(1)   Prezentul regulament stabilește normele referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile și organele Uniunii precum și normele referitoare la libera circulație a datelor cu caracter personal între acestea sau către alți destinatari stabiliți în Uniune.

(2)   Prezentul regulament asigură protecția drepturilor și libertăților fundamentale ale persoanelor fizice și, în special, a dreptului acestora la protecția datelor cu caracter personal.

(3)   Autoritatea Europeană pentru Protecția Datelor monitorizează aplicarea dispozițiilor prezentului regulament în ceea ce privește toate operațiunile de prelucrare efectuate de către o instituție sau un organ al Uniunii.

(1)   Prezentul regulament se aplică prelucrării datelor cu caracter personal efectuate de toate instituțiile și organele Uniunii.

(2)   Doar articolul 3 și capitolul IX din prezentul regulament se aplică prelucrării datelor operaționale cu caracter personal efectuate de organele, oficiile și agențiile Uniunii atunci când acestea desfășoară activități care intră sub incidența părții a treia titlul V capitolul 4 sau capitolul 5 din TFUE.

(3)   Prezentul regulament nu se aplică prelucrării datelor operaționale cu caracter personal efectuate de Europol și de Parchetul European, până la adaptarea Regulamentului (UE) 2016/794 al Parlamentului European și al Consiliului (15) și a Regulamentului (UE) 2017/1939 al Consiliului (16) în conformitate cu articolul 98 din prezentul regulament.

(4)   Prezentul regulament nu se aplică prelucrării datelor cu caracter personal de către misiunile menționate la articolul 42 alineatul (1) și la articolele 43 și 44 din TUE.

(5)   Prezentul regulament se aplică prelucrării datelor cu caracter personal, efectuate total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidență sau care sunt destinate să facă parte dintr-un sistem de evidență.

(1)   Datele cu caracter personal sunt:

(2)   Operatorul este responsabil de respectarea alineatului (1) și poate demonstra această respectare („responsabilitate”).

(1)   Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:

(2)   Temeiurile pentru prelucrarea menționată la alineatul (1) literele (a) și (b) sunt prevăzute în dreptul Uniunii.

(1)   În cazul în care prelucrarea se bazează pe consimțământ, operatorul trebuie să fie în măsură să demonstreze că persoana vizată și-a dat consimțământul pentru prelucrarea datelor sale cu caracter personal.

(2)   În cazul în care consimțământul persoanei vizate este dat în contextul unei declarații scrise care se referă și la alte aspecte, cererea privind consimțământul trebuie să fie prezentată într-o formă care o diferențiază în mod clar de celelalte aspecte, într-o formă inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu. Nicio parte a respectivei declarații care constituie o încălcare a prezentului regulament nu este obligatorie.

(3)   Persoana vizată are dreptul să își retragă în orice moment consimțământul. Retragerea consimțământului nu afectează legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia. Înainte de acordarea consimțământului, persoana vizată este informată cu privire la acest lucru. Retragerea consimțământului se face la fel de simplu ca acordarea acestuia.

(4)   Atunci când se evaluează dacă consimțământul este dat în mod liber, se ține seama cât mai mult de faptul că, printre altele, executarea unui contract, inclusiv prestarea unui serviciu, este condiționată de consimțământul cu privire la prelucrarea datelor cu caracter personal care nu este necesară pentru executarea acestui contract.

(1)   În cazul în care se aplică articolul 5 alineatul (1) litera (d), în ceea ce privește oferirea de servicii ale societății informaționale în mod direct unui copil, prelucrarea datelor cu caracter personal ale unui copil este legală dacă copilul are cel puțin vârsta de 13 ani. Dacă copilul are sub vârsta de 13 ani, respectiva prelucrare este legală numai dacă și în măsura în care consimțământul respectiv este acordat sau autorizat de titularul răspunderii părintești asupra copilului.

(2)   Operatorul depune toate eforturile rezonabile pentru a verifica în astfel de cazuri că titularul răspunderii părintești asupra copilului a acordat sau a autorizat consimțământul, ținând seama de tehnologiile disponibile.

(3)   Alineatul (1) nu afectează dreptul general al contractelor aplicabil în statele membre, cum ar fi normele privind valabilitatea, încheierea sau efectele unui contract în legătură cu un copil.

(1)   Fără a aduce atingere articolelor 4-6 și 10, datele cu caracter personal se transmit destinatarilor stabiliți în Uniune, alții decât instituții și organe ale Uniunii, numai dacă:

(2)   În cazul în care operatorul inițiază transmiterea în temeiul prezentului articol, acesta trebuie să demonstreze că transmiterea datelor cu caracter personal este necesară și proporțională cu scopul transmiterii, prin aplicarea criteriilor stabilite la alineatul (1) litera (a) sau (b).

(3)   Instituțiile și organele Uniunii asigură echilibrul între dreptul la protecția datelor cu caracter personal și dreptul de acces la documente în conformitate cu dreptul Uniunii.

(1)   Se interzice prelucrarea datelor cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea datelor genetice, a datelor biometrice pentru identificarea unică a unei persoane fizice, a datelor privind sănătatea sau a datelor privind viața sexuală sau orientarea sexuală a unei persoane fizice.

(2)   Alineatul (1) nu se aplică în următoarele situații:

(3)   Datele cu caracter personal menționate la alineatul (1) se pot prelucra pentru scopurile menționate la alineatul (2) litera (h) în cazul în care datele respective sunt prelucrate de către un profesionist supus obligației de păstrare a secretului profesional sau sub responsabilitatea acestuia, în temeiul dreptului Uniunii sau al dreptului intern sau în temeiul normelor stabilite de organisme naționale competente, sau de către o altă persoană care este, de asemenea, supusă unei obligații de confidențialitate în temeiul dreptului Uniunii sau al dreptului intern ori al unor normelor stabilite de organisme naționale competente.

(1)   În cazul în care scopurile pentru care un operator prelucrează date cu caracter personal nu necesită sau nu mai necesită identificarea unei persoane vizate de către operator, operatorul nu are obligația de a păstra, obține sau prelucra informații suplimentare pentru a identifica persoana vizată în scopul unic al respectării prezentului regulament.

(2)   Dacă, în cazurile menționate la alineatul (1) din prezentul articol, operatorul poate demonstra că nu este în măsură să identifice persoana vizată, operatorul informează persoana vizată în mod corespunzător, în cazul în care este posibil. În astfel de cazuri, articolele 17-22 nu se aplică, cu excepția cazului în care persoana vizată, în scopul exercitării drepturilor sale în temeiul respectivelor articole, oferă informații suplimentare care permit identificarea sa.

(1)   Operatorul ia măsuri adecvate pentru a furniza persoanei vizate orice informații menționate la articolele 15 și 16 și pentru a efectua orice comunicări în temeiul articolelor 17-24 și 35 referitoare la prelucrare, într-o formă concisă, transparentă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu, în special pentru orice informații adresate în mod specific unui copil. Informațiile se furnizează în scris sau prin alte mijloace, inclusiv, atunci când este oportun, în format electronic. La solicitarea persoanei vizate, informațiile pot fi furnizate verbal, cu condiția ca identitatea persoanei vizate să fie dovedită prin alte mijloace.

(2)   Operatorul facilitează exercitarea drepturilor persoanei vizate prevăzute la articolele 17-24. În cazurile menționate la articolul 12 alineatul (2), operatorul nu refuză să dea curs cererii persoanei vizate de a-și exercita drepturile prevăzute la articolele 17-24, cu excepția cazului în care operatorul demonstrează că nu este în măsură să identifice persoana vizată.

(3)   Operatorul furnizează persoanei vizate informații privind acțiunile întreprinse în urma unei cereri în temeiul articolelor 17-24, fără întârzieri nejustificate și, în orice caz, în cel mult o lună de la primirea cererii. Această perioadă poate fi prelungită cu două luni atunci când este necesar, ținându-se seama de complexitatea și numărul cererilor. Operatorul informează persoana vizată cu privire la orice astfel de prelungire, în termen de o lună de la primirea cererii, prezentând și motivele întârzierii. În cazul în care persoana vizată introduce o cerere în format electronic, informațiile sunt furnizate în format electronic acolo unde este posibil, cu excepția cazului în care persoana vizată solicită un alt format.

(4)   Dacă nu ia măsuri cu privire la cererea persoanei vizate, operatorul informează persoana vizată, fără întârziere și în termen de cel mult o lună de la primirea cererii, cu privire la motivele pentru care nu ia măsuri și la posibilitatea de a depune o plângere la Autoritatea Europeană pentru protecția Datelor și de a introduce o cale de atac judiciară.

(5)   Informațiile furnizate în temeiul articolelor 15 și 16, orice comunicare și orice măsuri luate în temeiul articolelor 17-24 și 35 sunt gratuite. În cazul în care cererile din partea unei persoane vizate sunt în mod vădit nefondate sau excesive, în special din cauza caracterului lor repetitiv, operatorul poate refuza să dea curs cererii. Operatorului îi revine sarcina de a demonstra caracterul vădit nefondat sau excesiv al cererii.

(6)   Fără a aduce atingere articolului 12, în cazul în care are îndoieli întemeiate cu privire la identitatea persoanei fizice care înaintează cererea menționată la articolele 17-23, operatorul poate solicita furnizarea de informații suplimentare necesare pentru a confirma identitatea persoanei vizate.

(7)   Informațiile care urmează să fie furnizate persoanelor vizate în temeiul articolelor 15 și 16 pot fi furnizate în combinație cu pictograme standardizate pentru a oferi într-un mod ușor vizibil, inteligibil și clar lizibil o imagine de ansamblu semnificativă asupra prelucrării avute în vedere. În cazul în care pictogramele sunt prezentate în format electronic, acestea trebuie să poată fi citite automat.

(8)   În cazul în care Comisia adoptă acte delegate în temeiul articolului 12 alineatul (8) din Regulamentul (UE) 2016/679 în vederea stabilirii informațiilor care trebuie să fie prezentate de pictograme și a procedurilor pentru furnizarea de pictograme standardizate, instituțiile și organele Uniunii, acolo unde este cazul, pun la dispoziție informațiile furnizate în temeiul articolelor 15 și 16 din prezentul regulament în combinație cu aceste pictograme standardizate.

(1)   În cazul în care date cu caracter personal referitoare la o persoană vizată se colectează de la aceasta, operatorul, în momentul obținerii acestor date cu caracter personal, furnizează persoanei vizate toate informațiile următoare:

(2)   În plus față de informațiile menționate la alineatul (1), în momentul în care datele cu caracter personal sunt obținute, operatorul furnizează persoanei vizate următoarele informații suplimentare necesare pentru a asigura o prelucrare echitabilă și transparentă:

(3)   În cazul în care operatorul intenționează să prelucreze ulterior datele cu caracter personal într-un alt scop decât cel pentru care acestea au fost colectate, operatorul furnizează persoanei vizate, înainte de această prelucrare ulterioară, informații privind scopul secundar respectiv și orice informații suplimentare relevante, în conformitate cu alineatul (2).

(4)   Alineatele (1), (2) și (3) nu se aplică dacă și în măsura în care persoana vizată deține deja informațiile respective.

(1)   În cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată, operatorul furnizează persoanei vizate următoarele informații:

(2)   Pe lângă informațiile menționate la alineatul (1), operatorul furnizează persoanei vizate următoarele informații suplimentare necesare pentru a asigura o prelucrare echitabilă și transparentă în ceea ce privește persoana vizată:

(3)   Operatorul furnizează informațiile menționate la alineatele (1) și (2):

(4)   În cazul în care operatorul intenționează să prelucreze ulterior datele cu caracter personal într-un alt scop decât cel pentru care acestea au fost obținute, operatorul furnizează persoanei vizate, înainte de această prelucrare ulterioară, informații privind scopul secundar respectiv și orice informații suplimentare relevante, în conformitate cu alineatul (2).

(5)   Alineatele (1)-(4) nu se aplică dacă și în măsura în care:

(6)   În cazurile menționate la alineatul (5) litera (b), operatorul ia măsuri adecvate pentru a proteja drepturile, libertățile și interesele legitime ale persoanei vizate, inclusiv punerea informațiilor la dispoziția publicului.

(1)   Persoana vizată are dreptul de a obține din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care o privesc și, în caz afirmativ, acces la datele respective și la următoarele informații:

(2)   În cazul în care datele cu caracter personal sunt transferate către o țară terță sau o organizație internațională, persoana vizată are dreptul să fie informată cu privire la garanțiile adecvate în temeiul articolului 48 referitoare la transfer.

(3)   Operatorul furnizează o copie a datelor cu caracter personal care fac obiectul prelucrării. În cazul în care persoana vizată introduce cererea în format electronic și cu excepția cazului în care persoana vizată solicită un alt format, informațiile sunt furnizate într-un format electronic utilizat în mod curent.

(4)   Dreptul de a obține o copie menționată la alineatul (3) nu aduce atingere drepturilor și libertăților altora.

(1)   Persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, iar operatorul are obligația de a șterge datele cu caracter personal fără întârzieri nejustificate în cazul în care se aplică unul dintre următoarele motive:

(2)   În cazul în care operatorul a făcut publice datele cu caracter personal și este obligat, în temeiul alineatului (1), să le șteargă, operatorul, ținând seama de tehnologia disponibilă și de costul implementării, ia măsuri rezonabile, inclusiv măsuri tehnice, pentru a informa operatorii sau operatorii, alții decât instituții și organe ale Uniunii care prelucrează datele cu caracter personal că persoana vizată a solicitat ștergerea de către acești operatori, a oricăror linkuri către datele respective sau a oricăror copii sau reproduceri ale acestor date cu caracter personal.

(3)   Alineatele (1) și (2) nu se aplică în măsura în care prelucrarea este necesară:

(1)   Persoana vizată are dreptul de a obține din partea operatorului restricționarea prelucrării în următoarele cazuri:

(2)   În cazul în care prelucrarea a fost restricționată în temeiul alineatului (1), astfel de date cu caracter personal pot, cu excepția stocării, să fie prelucrate numai cu consimțământul persoanei vizate sau pentru constatarea, exercitarea sau apărarea unui drept în instanță sau pentru protecția drepturilor unei alte persoane fizice sau juridice sau din motive de interes public important al Uniunii sau al unui stat membru.

(3)   O persoană vizată care a obținut restricționarea prelucrării în temeiul alineatului (1) este informată de către operator înainte de ridicarea restricției de prelucrare.

(4)   În cazul sistemelor automatizate de evidență a datelor, restricționarea prelucrării se asigură, în principiu, prin mijloace tehnice. Faptul că prelucrarea datelor cu caracter personal este restricționată se indică în sistem în așa fel încât să devină evident că acele date cu caracter personal nu pot fi utilizate.

(1)   Persoana vizată are dreptul de a primi datele cu caracter personal care o privesc și pe care le-a furnizat operatorului într-un format structurat, utilizat în mod curent și care poate fi citit automat și are dreptul de a transmite aceste date altui operator, fără obstacole din partea operatorului căruia i-au fost furnizate datele cu caracter personal, în cazul în care:

(2)   În exercitarea dreptului său la portabilitatea datelor în temeiul alineatului (1), persoana vizată are dreptul ca datele cu caracter personal să fie transmise direct de la un operator la altul sau către operatori, alții decât instituții și organe ale Uniunii, acolo unde acest lucru este fezabil din punct de vedere tehnic.

(3)   Exercitarea dreptului menționat la alineatul (1) din prezentul articol nu aduce atingere articolului 19. Respectivul drept nu se aplică prelucrării necesare pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorități oficiale cu care este învestit operatorul.

(4)   Dreptul menționat la alineatul (1) nu aduce atingere drepturilor și libertăților altora.

(1)   În orice moment, persoana vizată are dreptul să se opună, din motive legate de situația particulară în care se află, prelucrării în temeiul articolului 5 alineatul (1) litera (a), a datelor cu caracter personal care o privesc, inclusiv creării de profiluri pe baza respectivei dispoziții. Operatorul nu mai prelucrează datele cu caracter personal, cu excepția cazului în care operatorul demonstrează că are motive legitime și imperioase care justifică prelucrarea și care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate sau că scopul este constatarea, exercitarea sau apărarea unui drept în instanță.

(2)   Cel târziu în momentul primei comunicări cu persoana vizată, dreptul menționat la alineatul (1) este adus în mod explicit în atenția persoanei vizate și este prezentat în mod clar și separat de orice alte informații.

(3)   Fără a aduce atingere articolelor 36 și 37, în contextul utilizării serviciilor societății informaționale, persoana vizată își poate exercita dreptul de a se opune prin mijloace automatizate care folosesc specificații tehnice.

(4)   În cazul în care datele cu caracter personal sunt prelucrate în scopuri de cercetare științifică sau istorică sau în scopuri statistice, persoana vizată, din motive legate de situația sa particulară, are dreptul de a se opune prelucrării datelor cu caracter personal care o privesc, cu excepția cazului în care prelucrarea este necesară pentru îndeplinirea unei sarcini din motive de interes public.

(1)   Persoana vizată are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă.

(2)   Alineatul (1) nu se aplică în cazul în care decizia:

(3)   În cazurile menționate la alineatul (2) literele (a) și (c), operatorul pune în aplicare măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate, cel puțin dreptul acesteia de a obține intervenție umană din partea operatorului, de a-și exprima punctul de vedere și de a contesta decizia.

(4)   Deciziile menționate la alineatul (2) de la prezentul articol nu au la bază categoriile speciale de date cu caracter personal menționate la articolul 10 alineatul (1), cu excepția cazului în care se aplică articolul 10 alineatul (2) litera (a) sau (g) și în care au fost instituite măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate.

(1)   Actele legislative adoptate în baza tratatelor sau, în chestiuni legate de funcționarea instituțiilor și organelor Uniunii, normele interne prevăzute de acestea din urmă pot restricționa aplicarea articolelor 14-22, 35 și 36, precum și a articolului 4 în măsura în care dispozițiile acestuia corespund drepturilor și obligațiilor prevăzute la articolele 14-22, atunci când o astfel de restricție respectă esența drepturilor și libertăților fundamentale și constituie o măsură necesară și proporțională într-o societate democratică, pentru a garanta:

(2)   În special, orice act juridic sau normă internă menționată la alineatul (1) conține dispoziții specifice privind, dacă este cazul:

(3)   În cazul în care datele cu caracter personal sunt prelucrate în scopuri de cercetare științifică sau istorică ori în scopuri statistice, dreptul Uniunii, care poate include norme interne adoptate de instituțiile și organele Uniunii în chestiuni referitoare la funcționarea lor, poate să prevadă derogări de la drepturile menționate la articolele 17, 18, 20 și 23, sub rezerva condițiilor și a garanțiilor prevăzute la articolul 13, în măsura în care drepturile respective sunt de natură să facă imposibilă sau să afecteze în mod grav realizarea scopurilor specifice, iar derogările respective sunt necesare pentru îndeplinirea acestor scopuri.

(4)   În cazul în care datele cu caracter personal sunt prelucrate în scopuri de arhivare de interes public, dreptul Uniunii, care poate include norme interne adoptate de instituțiile și organele Uniunii în chestiuni referitoare la funcționarea lor, poate să prevadă derogări de la drepturile menționate la articolele 17, 18, 20, 21, 22 și 23, sub rezerva condițiilor și a garanțiilor prevăzute la articolul 13, în măsura în care drepturile respective sunt de natură să facă imposibilă sau să afecteze în mod grav realizarea scopurilor specifice, iar derogările respective sunt necesare pentru îndeplinirea acestor scopuri.

(5)   Normele interne menționate la alineatele (1), (3) și (4) sunt acte clare și precise cu domeniu de aplicare general, menite să producă efecte juridice față de persoanele vizate, adoptate la cel mai înalt nivel de conducere din instituțiile și organele Uniunii și se publică în Jurnalul Oficial al Uniunii Europene.

(6)   În cazul în care se impune o restricție în temeiul alineatului (1), persoana vizată este informată, în conformitate cu dreptul Uniunii, cu privire la motivele principale care stau la baza aplicării restricției și cu privire la dreptul său de a depune o plângere la Autoritatea Europeană pentru Protecția Datelor.

(7)   În cazul în care o restricție impusă în temeiul alineatului (1) este invocată pentru a se refuza accesul persoanei vizate, Autoritatea Europeană pentru Protecția Datelor, atunci când examinează plângerea, doar o va informa dacă datele au fost prelucrate în mod corect și, dacă nu, dacă au fost efectuate corecțiile necesare.

(8)   Furnizarea informațiilor menționate la alineatele (6) și (7) de la prezentul articol și la articolul 45 alineatul (2) poate fi amânată, omisă sau refuzată în cazul în care aceasta ar anula efectul restricției impuse în temeiul alineatului (1) de la prezentul articol.

(1)   Ținând seama de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și de riscurile cu grade diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul pune în aplicare măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament. Respectivele măsuri se revizuiesc și se actualizează dacă este necesar.

(2)   Atunci când sunt proporționale în raport cu operațiunile de prelucrare, măsurile menționate la alineatul (1) includ punerea în aplicare de către operator a unor politici adecvate de protecție a datelor.

(3)   Aderarea la mecanismele de certificare aprobate, menționate la articolul 42 din Regulamentul (UE) 2016/679, poate fi utilizată ca element care să demonstreze respectarea obligațiilor de către operator.

(1)   Având în vedere stadiul actual al tehnologiei, costurile implementării și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscurile cu grade diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice pe care le prezintă prelucrarea, operatorul, atât în momentul stabilirii mijloacelor de prelucrare, cât și în cel al prelucrării în sine, pune în aplicare măsuri tehnice și organizatorice adecvate, cum ar fi pseudonimizarea, care sunt destinate să pună în aplicare în mod eficient principiile de protecție a datelor, precum reducerea la minimum a datelor, și să integreze garanțiile necesare în cadrul prelucrării, pentru a îndeplini cerințele prezentului regulament și a proteja drepturile persoanelor vizate.

(2)   Operatorul pune în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura că, în mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării. Respectiva obligație se aplică volumului de date colectate, gradului de prelucrare a acestora, perioadei lor de stocare și accesibilității lor. În special, astfel de măsuri asigură că, în mod implicit, datele cu caracter personal nu pot fi accesate, fără intervenția persoanei, de un număr nelimitat de persoane.

(3)   Un mecanism de certificare aprobat în conformitate cu articolul 42 din Regulamentul (UE) 2016/679 poate fi utilizat drept element care să demonstreze îndeplinirea cerințelor prevăzute la alineatele (1) și (2) din prezentul articol.

(1)   În cazul în care doi sau mai mulți operatori sau unul sau mai mulți operatori împreună cu unul sau mai mulți operatori, alții decât instituții și organe ale Uniunii, stabilesc în comun scopurile și mijloacele prelucrării, aceștia sunt operatori asociați. Aceștia stabilesc într-un mod transparent responsabilitățile fiecăruia în ceea ce privește îndeplinirea obligațiilor care le revin în materie de protecție a datelor, în special în ceea ce privește exercitarea drepturilor persoanelor vizate și îndatoririle fiecărui operator de a furniza informațiile prevăzute la articolele 15 și 16, prin intermediul unui acord între ei, cu excepția cazului și în măsura în care responsabilitățile operatorilor asociați sunt stabilite în dreptul Uniunii sau în dreptul intern al statului membru care se aplică acestora. Acordul poate să desemneze un punct de contact pentru persoanele vizate.

(2)   Acordul menționat la alineatul (1) reflectă în mod adecvat rolurile și raporturile respective ale operatorilor asociați față de persoanele vizate. Esența acestui acord este făcută cunoscută persoanei vizate.

(3)   Indiferent de clauzele acordului menționat la alineatul (1), persoana vizată își poate exercita drepturile de care beneficiază în temeiul prezentului regulament în legătură cu sau împotriva fiecăruia dintre operatori.

(1)   În cazul în care prelucrarea urmează să fie realizată în numele unui operator, operatorul recurge doar la persoane împuternicite care oferă garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prevăzute în prezentul regulament și să asigure protecția drepturilor persoanei vizate.

(2)   Persoana împuternicită de operator nu recrutează o altă persoană împuternicită de operator fără a primi în prealabil o autorizație scrisă, specifică sau generală, din partea operatorului. În cazul unei autorizații generale scrise, persoana împuternicită de operator informează operatorul cu privire la orice modificări preconizate privind adăugarea sau înlocuirea altor persoane împuternicite de operator, oferind astfel operatorului posibilitatea de a formula obiecții față de aceste modificări.

(3)   Prelucrarea de către o persoană împuternicită de un operator este reglementată printr-un contract sau un alt act juridic în temeiul dreptului Uniunii sau al dreptului intern care are caracter obligatoriu pentru persoana împuternicită de operator în raport cu operatorul și care stabilește obiectul și durata prelucrării, natura și scopul prelucrării, tipul de date cu caracter personal și categoriile de persoane vizate și obligațiile și drepturile operatorului. Respectivul contract sau act juridic prevede în special că persoana împuternicită de operator:

În ceea ce privește primul paragraf litera (h), persoana împuternicită de operator informează imediat operatorul în cazul în care, în opinia sa, o instrucțiune încalcă prezentul regulament sau alte dispoziții din dreptul intern sau din dreptul Uniunii referitoare la protecția datelor.

(4)   În cazul în care o persoană împuternicită de un operator recrutează o altă persoană împuternicită pentru efectuarea de activități de prelucrare specifice în numele operatorului, aceleași obligații privind protecția datelor prevăzute în contractul sau în alt act juridic încheiat între operator și persoana împuternicită de operator, astfel cum se prevede la alineatul (3), revin celei de a doua persoane împuternicite, prin intermediul unui contract sau al unui alt act juridic, în temeiul dreptului Uniunii sau al dreptului intern, în special furnizarea de garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea să îndeplinească cerințele prezentului regulament. În cazul în care această a doua persoană împuternicită nu își respectă obligațiile privind protecția datelor, persoana împuternicită inițială rămâne pe deplin răspunzătoare față de operator în ceea ce privește îndeplinirea obligațiilor acestei a doua persoane împuternicite.

(5)   În cazul în care o persoană împuternicită de un operator nu este o instituție sau un organ al Uniunii, aderarea la un cod de conduită aprobat, menționat la articolul 40 alineatul (5) din Regulamentul (UE) 2016/679, sau la un mecanism de certificare aprobat, menționat la articolul 42 din Regulamentul (UE) 2016/679, poate fi utilizată ca element prin care să se demonstreze existența unor garanții suficiente, astfel cum sunt menționate la alineatele (1) și (4) din prezentul articol.

(6)   Fără a aduce atingere unui contract individual încheiat între operator și persoana împuternicită de operator, contractul sau celălalt act juridic menționat la alineatele (3) și (4) din prezentul articol se poate baza, integral sau parțial, pe clauzele contractuale standard menționate la alineatele (7) și (8) din prezentul articol, inclusiv atunci când fac parte dintr-o certificare acordată persoanei împuternicite de operator, care nu este o instituție sau un organ al UE, în temeiul articolului 42 din Regulamentul (UE) 2016/679.

(7)   Comisia poate să prevadă clauze contractuale standard pentru aspectele menționate la alineatele (3) și (4) din prezentul articol și în conformitate cu procedura de examinare menționată la articolul 96 alineatul (2).

(8)   Autoritatea Europeană pentru Protecția Datelor poate să adopte clauze contractuale standard pentru aspectele menționate la alineatele (3) și (4).

(9)   Contractul sau celălalt act juridic menționat la alineatele (3) și (4) se formulează în scris, inclusiv în format electronic.

(10)   Fără a aduce atingere articolelor 65 și 66, în cazul în care o persoană împuternicită de operator încalcă prezentul regulament prin stabilirea scopurilor prelucrării și a mijloacelor de prelucrare, persoana împuternicită de operator este considerată a fi un operator în ceea ce privește prelucrarea respectivă.

(1)   Fiecare operator păstrează o evidență a activităților de prelucrare desfășurate sub responsabilitatea sa. Respectiva evidență cuprinde toate informațiile următoare:

(2)   Fiecare persoană împuternicită de operator păstrează o evidență a tuturor categoriilor de activități de prelucrare desfășurate în numele operatorului, care cuprinde:

(3)   Evidențele menționate la alineatele (1) și (2) se formulează în scris, inclusiv în format electronic.

(4)   Instituțiile și organele Uniunii pun evidențele la dispoziția Autorității Europene pentru Protecția Datelor, la cerere.

(5)   Cu excepția cazului în care nu este adecvat, ținând cont de dimensiunea instituției sau a organului Uniunii, instituțiile și organele Uniunii își păstrează evidențele activităților de prelucrare într-un registru central. Acestea pun registrul la dispoziția publicului.

(1)   Având în vedere stadiul actual al dezvoltării, costurile implementării și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscurile cu diferite grade de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul și persoana împuternicită de acesta implementează măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând, printre altele, după caz:

(2)   La evaluarea nivelului adecvat de securitate, se ține seama în special de riscurile prezentate de prelucrare, generate, în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.

(3)   Operatorul și persoana împuternicită de acesta iau măsuri pentru a se asigura că orice persoană fizică ce acționează sub autoritatea operatorului sau a persoanei împuternicite de operator și care are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului, cu excepția cazului în care această obligație îi revine în temeiul dreptului Uniunii.

(4)   Aderarea la un mecanism de certificare aprobat, astfel cum se prevede la articolul 42 din Regulamentul (UE) 2016/679, poate fi utilizată drept element care să demonstreze îndeplinirea cerințelor prevăzute la alineatul (1) din prezentul articol.

(1)   În cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică acest lucru Autorității Europene pentru Protecția Datelor, fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta, cu excepția cazului în care este puțin probabil să genereze un risc pentru drepturile și libertățile persoanelor fizice. În cazul în care notificarea către Autoritatea Europeană pentru Protecția Datelor nu are loc în termen de 72 de ore, aceasta este însoțită de o explicație privind motivele întârzierii.

(2)   Persoana împuternicită de operator înștiințează operatorul fără întârzieri nejustificate după ce ia cunoștință de o încălcare a securității datelor cu caracter personal.

(3)   Notificarea menționată la alineatul (1), cel puțin:

(4)   Atunci când și în măsura în care nu este posibil să se furnizeze informațiile în același timp, acestea pot fi furnizate în mai multe etape, fără întârzieri nejustificate.

(5)   Operatorul informează responsabilul cu protecția datelor cu privire la încălcarea securității datelor cu caracter personal.

(6)   Operatorul păstrează documente referitoare la toate cazurile de încălcare a securității datelor cu caracter personal, care cuprind o descriere a situației de fapt în care a avut loc încălcarea securității datelor cu caracter personal, a efectelor acesteia și a măsurilor de remediere întreprinse. Această documentație permite Autorității Europene pentru Protecția Datelor să verifice respectarea prezentului articol.

(1)   În cazul în care încălcarea securității datelor cu caracter personal este de natură să ducă la apariția unui risc ridicat la adresa drepturilor și libertăților persoanelor fizice, operatorul informează persoana vizată fără întârzieri nejustificate cu privire la această încălcare.

(2)   În informarea transmisă persoanei vizate prevăzută la alineatul (1) din prezentul articol se include o descriere într-un limbaj clar și simplu a caracterului încălcării securității datelor cu caracter personal, precum și cel puțin informațiile și măsurile menționate la articolul 34 alineatul (3) literele (b), (c) și (d).

(3)   Informarea persoanei vizate menționată la alineatul (1) nu este necesară în cazul în care oricare dintre următoarele condiții este îndeplinită:

(4)   În cazul în care operatorul nu a comunicat deja persoanei vizate încălcarea securității datelor cu caracter personal, Autoritatea Europeană pentru Protecția Datelor, după ce a luat în considerare probabilitatea ca încălcarea securității datelor cu caracter personal să ducă la apariția unui risc ridicat, poate să îi solicite acestuia să facă acest lucru sau poate decide că oricare dintre condițiile menționate la alineatul (3) sunt îndeplinite.

(1)   Datele cu caracter personal cuprinse în anuarele de utilizatori și accesul la aceste anuare se limitează la ceea ce este strict necesar pentru scopurile specifice ale anuarului respectiv.

(2)   Instituțiile și organele Uniunii iau toate măsurile necesare pentru a împiedica folosirea datelor cu caracter personal conținute în aceste anuare în scopuri de marketing direct, indiferent dacă datele sunt accesibile sau nu publicului.

(1)   Având în vedere natura, domeniul de aplicare, contextul și scopurile prelucrării, în cazul în care un tip de prelucrare, în special cel bazat pe utilizarea noilor tehnologii, este de natură să ducă la apariția unui risc ridicat la adresa drepturilor și libertăților persoanelor fizice, operatorul efectuează, înaintea prelucrării, o evaluare a impactului operațiunilor de prelucrare prevăzute asupra protecției datelor cu caracter personal. O evaluare unică poate aborda un set de operațiuni de prelucrare similare care prezintă riscuri ridicate similare.

(2)   La realizarea unei evaluări a impactului asupra protecției datelor, operatorul solicită consiliere din partea responsabilului cu protecția datelor.

(3)   Evaluarea impactului asupra protecției datelor menționată la alineatul (1) se impune mai ales în cazul:

(4)   Autoritatea Europeană pentru Protecția Datelor întocmește și publică o listă a tipurilor de operațiuni de prelucrare care fac obiectul cerinței de efectuare a unei evaluări a impactului asupra protecției datelor în conformitate cu alineatul (1).

(5)   Autoritatea Europeană pentru Protecția Datelor poate, de asemenea, să întocmească și să pună la dispoziția publicului o listă a tipurilor de operațiuni de prelucrare pentru care nu este necesară o evaluare a impactului asupra protecției datelor.

(6)   Înainte de adoptarea listelor menționate la alineatele (4) și (5) de la prezentul articol, Autoritatea Europeană pentru Protecția Datelor solicită Comitetului european pentru protecția datelor instituit în temeiul articolului 68 din Regulamentul (UE) 2016/679 să examineze aceste liste în conformitate cu articolul 70 alineatul (1) litera (e) din regulamentul menționat în cazul în care acestea vizează operațiuni de prelucrare efectuate de un operator care acționează împreună cu unul sau mai mulți operatori alții decât instituțiile și organele Uniunii.

(7)   Evaluarea conține cel puțin:

(8)   La evaluarea impactului operațiunilor de prelucrare efectuate de persoanele împuternicite de operatori relevante, altele decât instituțiile și organele Uniunii, se are în vedere în mod corespunzător respectarea de către persoanele împuternicite respective a codurilor de conduită aprobate menționate la articolul 40 din Regulamentul (UE) 2016/679, în special în vederea unei evaluări a impactului asupra protecției datelor.

(9)   Operatorul solicită, acolo unde este cazul, avizul persoanelor vizate sau al reprezentanților acestora privind prelucrarea prevăzută, fără a aduce atingere protecției intereselor publice ori securității operațiunilor de prelucrare.

(10)   Atunci când prelucrarea efectuată în temeiul articolului 5 alineatul (1) litera (a) sau (b) are drept temei juridic un act legislativ adoptat în baza tratatelor, care reglementează operațiunea de prelucrare specifică sau setul de operațiuni în cauză, și atunci când s-a efectuat deja o evaluare a impactului asupra protecției datelor ca parte a unei evaluări generale a impactului prealabile adoptării respectivului act legislativ, alineatele (1)-(6) din prezentul articol nu se aplică, cu excepția cazului în care acel act legislativ prevede acest lucru.

(11)   Acolo unde este necesar, operatorul efectuează o analiză pentru a evalua dacă prelucrarea are loc în conformitate cu evaluarea impactului asupra protecției datelor, cel puțin atunci când are loc o modificare a riscului reprezentat de operațiunile de prelucrare.

(1)   Operatorul consultă Autoritatea Europeană pentru Protecția Datelor înainte de prelucrare în cazul în care o evaluare a impactului asupra protecției datelor efectuată în temeiul articolului 39 arată că prelucrarea ar duce, în absența garanțiilor, măsurilor de securitate și mecanismelor de atenuare a riscului, la apariția unui risc ridicat la adresa drepturilor și libertăților persoanelor fizice, iar operatorul consideră că riscul nu poate fi atenuat prin mijloace rezonabile având în vedere tehnologiile disponibile și costurile implementării. Operatorul solicită consiliere din partea responsabilului cu protecția datelor cu privire la necesitatea consultării prealabile.

(2)   Atunci când Autoritatea Europeană pentru Protecția Datelor consideră că prelucrarea prevăzută, astfel cum este menționată la alineatul (1), ar încălca prezentul regulament, în special atunci când riscul nu a fost identificat sau atenuat într-o măsură suficientă de către operator, Autoritatea Europeană pentru Protecția Datelor oferă consiliere în scris operatorului și, după caz, persoanei împuternicite de operator, în termen de cel mult opt săptămâni de la primirea cererii de consultare, și își poate exercita oricare dintre competențele menționate la articolul 58. Această perioadă poate fi prelungită cu șase săptămâni, ținându-se seama de complexitatea prelucrării prevăzute. Autoritatea Europeană pentru Protecția Datelor informează operatorul și, după caz, persoana împuternicită de operator în termen de o lună de la primirea cererii de consultare cu privire la orice astfel de prelungire, prezentând motivele întârzierii. Aceste perioade pot fi suspendate până când Autoritatea Europeană pentru Protecția Datelor a obținut informațiile pe care le-a solicitat în scopul consultării.

(3)   Cu ocazia consultării Autorității Europene pentru Protecția Datelor în temeiul alineatului (1), operatorul furnizează Autorității Europene pentru Protecția Datelor:

(4)   Comisia poate, prin intermediul unui act de punere în aplicare, să stabilească o listă de cazuri în care operatorii se consultă cu Autoritatea Europeană pentru Protecția Datelor și obțin o autorizație prealabilă de la aceasta în ceea ce privește prelucrarea datelor cu caracter personal pentru îndeplinirea unei sarcini executate de operator în interes public, inclusiv prelucrarea unor astfel de date în legătură cu protecția socială și sănătatea publică.

(1)   Instituțiile și organele Uniunii informează Autoritatea Europeană pentru Protecția Datelor în cazul elaborării de măsuri administrative și de norme interne referitoare la prelucrarea datelor cu caracter personal de către o instituție sau un organ al Uniunii, singur sau împreună cu altele.

(2)   Instituțiile și organele Uniunii consultă Autoritatea Europeană pentru Protecția Datelor atunci când elaborează normele interne menționate la articolul 25.

(1)   În urma adoptării unor propuneri de acte legislative, a unor recomandări sau a unor propuneri adresate Consiliului în temeiul articolului 218 din TFUE sau atunci când elaborează acte delegate sau acte de punere în aplicare, Comisia consultă Autoritatea Europeană pentru Protecția Datelor atunci când există un impact asupra protecției drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal.

(2)   În cazul în care un act menționat la alineatul (1) este deosebit de important pentru protecția drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal, Comisia poate, de asemenea, să consulte Comitetul european pentru protecția datelor. În astfel de cazuri, Autoritatea Europeană pentru Protecția Datelor și Comitetul european pentru protecția datelor își coordonează activitatea în vederea emiterii unui aviz comun.

(3)   Consilierea menționată la alineatele (1) și (2) se furnizează în scris, în termen de maximum opt săptămâni de la primirea cererii de consultare menționate la alineatele (1) și (2). În cazuri urgente sau oportune, Comisia poate să reducă termenul stabilit.

(4)   Prezentul articol nu se aplică în cazul în care Comisia este obligată, în conformitate cu Regulamentul (UE) 2016/679, să consulte Comitetul european pentru protecția datelor.

(1)   Fiecare instituție sau organ al Uniunii desemnează un responsabil cu protecția datelor.

(2)   Instituțiile și organele Uniunii pot desemna un responsabil unic cu protecția datelor pentru mai multe dintre ele, ținând seama de structura organizatorică și de dimensiunea acestora.

(3)   Responsabilul cu protecția datelor este desemnat pe baza calităților profesionale și, în special, a cunoștințelor de specialitate în dreptul și practicile din domeniul protecției datelor, precum și pe baza capacității de a îndeplini sarcinile prevăzute la articolul 45.

(4)   Responsabilul cu protecția datelor este un membru al personalului instituției sau organului Uniunii. Având în vedere dimensiunea lor și dacă opțiunea în temeiul alineatului (2) nu este exercitată, instituțiile și organele Uniunii pot desemna un responsabil cu protecția datelor care își îndeplinește atribuțiile în baza unui contract de servicii.

(5)   Instituțiile și organele Uniunii publică datele de contact ale responsabilului cu protecția datelor și le comunică Autorității Europene pentru Protecția Datelor.

(1)   Instituțiile și organele Uniunii se asigură că responsabilul cu protecția datelor este implicat în mod corespunzător și în timp util în toate aspectele legate de protecția datelor cu caracter personal.

(2)   Instituțiile și organele Uniunii sprijină responsabilul cu protecția datelor în îndeplinirea sarcinilor menționate la articolul 45, asigurându-i resursele necesare pentru executarea acestor sarcini, precum și accesul la date cu caracter personal și la operațiunile de prelucrare a acestora, și oferindu-i posibilitatea de a-și actualiza cunoștințele de specialitate.

(3)   Instituțiile și organele Uniunii se asigură că responsabilul cu protecția datelor nu primește niciun fel de instrucțiuni în ceea ce privește îndeplinirea acestor sarcini. Acesta nu este demis sau sancționat de către operator sau de persoana împuternicită de operator pentru îndeplinirea sarcinilor sale. Responsabilul cu protecția datelor răspunde direct în fața celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator.

(4)   Persoanele vizate pot contacta responsabilul cu protecția datelor cu privire la toate chestiunile legate de prelucrarea datelor lor și la exercitarea drepturilor lor în temeiul prezentului regulament.

(5)   Responsabilul cu protecția datelor și personalul acestuia au obligația de a respecta secretul sau confidențialitatea în ceea ce privește îndeplinirea sarcinilor lor, în conformitate cu dreptul Uniunii.

(6)   Responsabilul cu protecția datelor poate îndeplini și alte sarcini și atribuții. Operatorul sau persoana împuternicită de operator se asigură că niciuna dintre aceste sarcini și atribuții nu generează un conflict de interese.

(7)   Responsabilul cu protecția datelor poate fi consultat de către operator sau de către persoana împuternicită de acesta, de către Comitetul pentru personal și de către orice persoană fizică, în orice problemă privind interpretarea sau aplicarea prezentului regulament, fără să se recurgă la căile oficiale. Nimeni nu poate suferi un prejudiciu ca urmare a unui fapt adus la cunoștința responsabilului competent cu protecția datelor, despre care se susține că ar reprezenta o încălcare a dispozițiilor prezentului regulament.

(8)   Responsabilul cu protecția datelor este desemnat pentru un mandat de trei până la cinci ani și este eligibil pentru o nouă numire. Acesta nu poate fi eliberat din funcția de responsabil cu protecția datelor de către instituția sau organul Uniunii care l-a desemnat, dacă nu mai îndeplinește condițiile necesare pentru exercitarea atribuțiilor sale, decât cu acordul Autorității Europene pentru Protecția Datelor.

(9)   După desemnarea responsabilului cu protecția datelor, numele acestuia se comunică Autorității Europene pentru Protecția Datelor de către instituția sau organul Uniunii care l-a desemnat.

(1)   Responsabilul cu protecția datelor are următoarele sarcini:

(2)   Responsabilul cu protecția datelor poate face recomandări operatorului și persoanei împuternicite de acesta în vederea îmbunătățirii concrete a protecției datelor și le poate acorda consultanță cu privire la aspecte referitoare la aplicarea dispozițiilor privind protecția datelor. Mai mult, din proprie inițiativă sau la cererea operatorului ori a persoanei împuternicite de acesta, a Comitetului pentru personal în cauză sau a oricărei alte persoane fizice, poate să cerceteze problemele și faptele legate direct de sarcinile sale, care i-au fost aduse la cunoștință, prezentând un raport persoanei care a solicitat cercetarea sau operatorului ori persoanei împuternicite de acesta.

(3)   Fiecare instituție sau organ al Uniunii adoptă norme complementare de punere în aplicare cu privire la responsabilul cu protecția datelor. Normele de aplicare se referă în special la sarcinile, atribuțiile și competențele responsabilului cu protecția datelor.

(1)   Transferul de date cu caracter personal către o țară terță sau o organizație internațională se poate realiza atunci când Comisia a decis, în temeiul articolului 45 alineatul (3) din Regulamentul (UE) 2016/679 sau al articolului 36 alineatul (3) din Directiva (UE) 2016/680, că țara terță, un teritoriu ori unul sau mai multe sectoare specificate din acea țară terță sau organizația internațională în cauză asigură un nivel de protecție adecvat, și atunci când datele cu caracter personal sunt transferate exclusiv pentru a permite îndeplinirea sarcinilor care sunt de competența operatorului.

(2)   Instituțiile și organele Uniunii informează Comisia și Autoritatea Europeană pentru Protecția Datelor despre situațiile în care consideră că o țară terță, un teritoriu sau unul sau mai multe sectoare specificate dintr-o țară terță sau o organizație internațională în cauză nu asigură un nivel adecvat de protecție în sensul alineatului (1).

(3)   Instituțiile și organele Uniunii iau măsurile necesare pentru a se conforma deciziilor luate de către Comisie, care hotărăște, în temeiul articolului 45 alineatul (3) sau (5) din Regulamentul (UE) 2016/679 sau în temeiul articolului 36 alineatul (3) sau (5) din Directiva (UE) 2016/680, dacă o țară terță, un teritoriu sau unul sau mai multe sectoare specificate dintr-o țară terță sau o organizație internațională asigură sau nu mai asigură un nivel adecvat de protecție.

(1)   În absența unei decizii în temeiul articolului 45 alineatul (3) din Regulamentul (UE) 2016/679 sau al articolului 36 alineatul (3) din Directiva (UE) 2016/680, un operator sau persoana împuternicită de operator poate transfera date cu caracter personal către o țară terță sau o organizație internațională numai dacă operatorul sau persoana împuternicită de operator a oferit garanții adecvate și cu condiția să existe drepturi opozabile și căi de atac eficiente pentru persoanele vizate.

(2)   Garanțiile adecvate menționate la alineatul (1) pot fi furnizate fără să fie nevoie de vreo autorizație specifică din partea Autorității Europene pentru Protecția Datelor, sub formele următoare:

(3)   Sub rezerva autorizării din partea Autorității Europene pentru Protecția Datelor, garanțiile adecvate menționate la alineatul (1) pot fi furnizate, de asemenea, în special, prin:

(4)   Autorizațiile acordate de Autoritatea Europeană pentru Protecția Datelor în temeiul articolului 9 alineatul (7) din Regulamentul (CE) nr. 45/2001 sunt valabile până la data la care sunt modificate, înlocuite sau abrogate, dacă este necesar, de Autoritatea Europeană pentru Protecția Datelor.

(5)   Instituțiile și organele Uniunii informează Autoritatea Europeană Pentru Protecția Datelor despre categoriile de cazuri în care a fost aplicat prezentul articol.

(1)   În absența unei decizii privind caracterul adecvat al nivelului de protecție în conformitate cu articolul 45 alineatul (3) din Regulamentul (UE) 2016/679 sau în conformitate cu articolul 36 alineatul (3) din Directiva (UE) 2016/680 sau a unor garanții adecvate în conformitate cu articolul 48 din prezentul regulament, un transfer sau o serie de transferuri de date cu caracter personal către o țară terță sau o organizație internațională are loc numai în condițiile în care:

(2)   Literele (a), (b) și (c) de la alineatul (1) nu se aplică activităților desfășurate de instituții și organe ale Uniunii în exercitarea competențelor lor publice.

(3)   Interesul public menționat la alineatul (1) litera (d) este recunoscut în dreptul Uniunii.

(4)   Un transfer în temeiul alineatului (1) litera (g) nu implică totalitatea datelor cu caracter personal și nici totalitatea categoriilor de date cu caracter personal cuprinse în registru, cu excepția cazului în care este autorizat de dreptul Uniunii. Atunci când registrul urmează a fi consultat de către persoane care au un interes legitim, transferul se efectuează numai la cererea persoanelor respective sau în cazul în care acestea vor fi destinatarii.

(5)   În absența unei decizii privind caracterul adecvat al nivelului de protecție, dreptul Uniunii poate, din considerente importante de interes public, să stabilească în mod expres limite asupra transferului unor categorii specifice de date cu caracter personal către o țară terță sau o organizație internațională.

(6)   Instituțiile și organele Uniunii informează Autoritatea Europeană Pentru Protecția Datelor despre categoriile de cazuri în care a fost aplicat prezentul articol.

(1)   Se instituie prin prezenta Autoritatea Europeană pentru Protecția Datelor.

(2)   În ceea ce privește prelucrarea datelor cu caracter personal, Autoritatea Europeană pentru Protecția Datelor răspunde de asigurarea respectării de către instituțiile și organele Uniunii a drepturilor și libertăților fundamentale ale persoanelor fizice și, în special, a dreptului acestora la protecția datelor.

(3)   Autoritatea Europeană pentru Protecția Datelor răspunde de monitorizarea și asigurarea aplicării dispozițiilor prezentului regulament și a oricărui alt act al Uniunii referitor la protecția drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal efectuată de către o instituție sau un organ al Uniunii, precum și de consilierea instituțiilor și organelor Uniunii și a persoanelor vizate cu privire la toate aspectele legate de prelucrarea de date cu caracter personal. În aceste scopuri, Autoritatea Europeană pentru Protecția Datelor îndeplinește sarcinile prevăzute la articolul 57 și exercită competențele care i-au fost conferite prin articolul 58.

(4)   Regulamentul (CE) nr. 1049/2001 se aplică documentelor deținute de Autoritatea Europeană pentru Protecția Datelor. Autoritatea Europeană pentru Protecția Datelor adoptă norme detaliate pentru aplicarea Regulamentului (CE) nr. 1049/2001 cu privire la documentele respective.

(1)   Parlamentul European și Consiliul numesc de comun acord Autoritatea Europeană pentru Protecția Datelor pentru un mandat de cinci ani, pe baza unei liste întocmite de Comisie în urma unui anunț public de depunere a candidaturilor. Anunțul de depunere a candidaturilor le permite tuturor părților interesate din întreaga Uniune să-și prezinte candidatura. Lista candidaților întocmită de Comisie este publică și conține cel puțin trei candidați. Pe baza listei întocmite de Comisie, comisia competentă a Parlamentului European poate decide organizarea unei audieri care să îi permită să își exprime preferința pentru un candidat.

(2)   Lista candidaților menționată la alineatul (1) este alcătuită din personalități care oferă toate garanțiile de independență și care posedă cunoștințe de specialitate în domeniul protecției datelor, precum și experiența și competențele necesare îndeplinirii atribuțiilor de Autoritate Europeană pentru Protecția Datelor.

(3)   Mandatul Autorității Europene pentru Protecția Datelor poate fi reînnoit o singură dată.

(4)   Atribuțiile Autorității Europene Pentru Protecția Datelor încetează în următoarele situații:

(5)   Autoritatea Europeană pentru Protecția Datelor poate fi demisă sau decăzută din dreptul la pensie sau la alte avantaje echivalente de către Curtea de Justiție, la cererea Parlamentului European, a Consiliului sau a Comisiei, dacă nu mai îndeplinește condițiile necesare pentru exercitarea atribuțiilor sale sau dacă a săvârșit o greșeală gravă.

(6)   În cazul înlocuirii obișnuite sau a demisiei voluntare, Autoritatea Europeană pentru Protecția Datelor rămâne totuși în funcție până la numirea unui înlocuitor.

(7)   Articolele 11-14 și 17 din Protocolul privind privilegiile și imunitățile Uniunii Europene se aplică și Autorității Europene pentru Protecția Datelor.

(1)   Autoritatea Europeană pentru Protecția Datelor este asimilată unui judecător al Curții de Justiție în ceea ce privește stabilirea remunerației, a indemnizațiilor, a pensiei pentru limită de vârstă și a oricăror altor prestații care țin loc de remunerație.

(2)   Autoritatea bugetară se asigură că Autoritatea Europeană pentru Protecția Datelor dispune de resursele umane și financiare necesare îndeplinirii îndatoririlor sale.

(3)   Bugetul Autorității Europene pentru Protecția Datelor figurează la o rubrică bugetară separată a secțiunii referitoare la cheltuielile administrative din bugetul general al Uniunii.

(4)   Autoritatea Europeană pentru Protecția Datelor este asistată de un secretariat. Funcționarii și ceilalți membri ai personalului din cadrul secretariatului sunt numiți de Autoritatea Europeană pentru Protecția Datelor, iar superiorul lor ierarhic este Autoritatea Europeană pentru Protecția Datelor. Aceștia se află exclusiv sub conducerea sa. Numărul lor este stabilit în fiecare an în cadrul procedurii bugetare. Articolul 75 alineatul (2) din Regulamentul (UE) 2016/679 se aplică personalului Autorității Europene pentru Protecția Datelor implicat în îndeplinirea sarcinilor conferite Comitetului european pentru protecția datelor de dreptul Uniunii.

(5)   Funcționarii și ceilalți membri de personal ai secretariatului Autorității Europene pentru Protecția Datelor intră sub incidența normelor și reglementărilor aplicabile funcționarilor și altor agenți ai Uniunii.

(6)   Sediul Autorității Europene pentru Protecția Datelor este la Bruxelles.

(1)   Autoritatea Europeană pentru Protecția Datelor beneficiază de independență deplină în îndeplinirea sarcinilor sale și în exercitarea competențelor sale în conformitate cu prezentul regulament.

(2)   Autoritatea Europeană pentru Protecția Datelor, în cadrul îndeplinirii sarcinilor și al exercitării competențelor sale în conformitate cu prezentul regulament, rămâne independentă de orice influență externă directă sau indirectă și nici nu solicită, nici nu acceptă instrucțiuni de la o parte externă.

(3)   Autoritatea Europeană pentru Protecția Datelor se abține de la orice act incompatibil cu caracterul atribuțiilor sale și, pe durata mandatului, nu poate exercita nici o altă activitate, remunerată sau nu.

(4)   După încetarea mandatului său, Autoritatea Europeană pentru Protecția Datelor este obligată să manifeste integritate și discreție în ceea ce privește acceptarea anumitor funcții sau beneficii.

(1)   Fără a aduce atingere altor sarcini stabilite în temeiul prezentului regulament, Autoritatea Europeană pentru Protecția Datelor:

(2)   Autoritatea Europeană pentru Protecția Datelor facilitează depunerea plângerilor menționate la alineatul (1) litera (e) printr-un formular de depunere a plângerii care poate fi completat și în format electronic, fără a exclude alte mijloace de comunicare.

(3)   Îndeplinirea sarcinilor de către Autoritatea Europeană pentru Protecția Datelor este gratuită pentru persoana vizată.

(4)   În cazul în care cererile sunt în mod vădit nefondate sau excesive, în special din cauza caracterului lor repetitiv, Autoritatea Europeană pentru Protecția Datelor poate refuza să le dea curs. Sarcina de a demonstra caracterul vădit nefondat sau excesiv al cererii revine Autorității Europene pentru Protecția Datelor.

(1)   Autoritatea Europeană pentru Protecția Datelor deține următoarele competențe de investigare:

(2)   Autoritatea Europeană pentru Protecția Datelor deține următoarele competențe corective:

(3)   Autoritatea Europeană pentru Protecția Datelor deține următoarele competențe de autorizare și de consiliere:

(4)   Autoritatea Europeană pentru Protecția Datelor are competența de a sesiza Curtea de Justiție în condițiile prevăzute de tratate și de a interveni în acțiunile introduse la Curtea de Justiție.

(5)   Exercitarea competențelor conferite Autorității Europene pentru Protecția Datelor în temeiul prezentului articol face obiectul unor garanții adecvate, inclusiv căi de atac judiciare eficiente și procese echitabile, prevăzute în dreptul Uniunii.

(1)   Autoritatea Europeană pentru Protecția Datelor prezintă Parlamentului European, Consiliului și Comisiei un raport anual privind activitățile sale, pe care îl publică în același timp.

(2)   Autoritatea Europeană pentru Protecția Datelor trimite raportul menționat la alineatul (1) celorlalte instituții și organe ale Uniunii, care pot prezenta observații în vederea unei posibile examinări a raportului de către Parlamentul European.

(1)   În cazul în care un act al Uniunii face trimitere la prezentul articol, Autoritatea Europeană pentru Protecția Datelor și autoritățile naționale de supraveghere cooperează în mod activ în cadrul responsabilităților lor respective, fiecare acționând în cadrul competențelor sale, pentru a asigura o supraveghere eficace a sistemelor informatice la scară largă și a organelor, oficiilor și agențiilor Uniunii.

(2)   Acționând fiecare în cadrul propriilor competențe și responsabilități acestea fac, dacă este necesar, schimb de informații relevante, își acordă reciproc asistență în efectuarea de audituri și inspecții, examinează dificultățile de interpretare sau de aplicare a prezentului regulament și a altor acte aplicabile ale Uniunii, studiază problemele legate de exercitarea supravegherii independente sau de exercitarea drepturilor persoanelor vizate, redactează propuneri armonizate privind soluții la eventualele probleme și promovează sensibilizarea cu privire la drepturile privind protecția datelor.

(3)   În scopurile enunțate la alineatul (2), Autoritatea Europeană pentru Protecția Datelor și autoritățile naționale de supraveghere se întâlnesc cel puțin de două ori pe an în cadrul Comitetului european pentru protecția datelor. În acest scop, Comitetul european pentru protecția datelor poate elabora alte metode de lucru, dacă este necesar.

(4)   Comitetul european pentru protecția datelor transmite Parlamentului European, Consiliului și Comisiei, o dată la doi ani, un raport comun al activităților în ceea ce privește supravegherea coordonată.

(1)   Fără a aduce atingere oricărei căi de atac judiciare, administrative sau nejudiciare, orice persoană vizată are dreptul de a depune o plângere la Autoritatea Europeană pentru Protecția Datelor în cazul în care consideră că prelucrarea datelor sale cu caracter personal încalcă prevederile prezentului regulament.

(2)   Autoritatea Europeană pentru Protecția Datelor informează reclamantul cu privire la evoluția și soluționarea plângerii, inclusiv cu privire la posibilitatea de a exercita o cale de atac judiciară în temeiul articolului 64.

(3)   În cazul în care Autoritatea Europeană pentru Protecția Datelor nu se ocupă de o plângere sau nu informează persoana vizată în termen de trei luni cu privire la evoluția sau la soluționarea plângerii, se consideră că Autoritatea Europeană pentru Protecția Datelor a adoptat o decizie negativă.

(1)   Curtea de Justiție are competența de a soluționa orice litigiu privind dispozițiile prezentului regulament, inclusiv de a se pronunța asupra cererilor de despăgubiri.

(2)   Acțiunile împotriva deciziilor Autorității Europene pentru Protecția Datelor, inclusiv împotriva deciziilor în temeiul articolului 63 alineatul (3), sunt introduse în fața Curții de Justiție.

(3)   Curtea de Justiție are competența de fond în materie de control al amenzilor administrative menționate la articolul 66. Aceasta poate anula, reduce sau majora amenzile respective în limitele articolului 66.

(1)   Autoritatea Europeană pentru Protecția Datelor poate aplica amenzi administrative instituțiilor și organelor Uniunii, în funcție de circumstanțele fiecărui caz în parte, în cazul în care o instituție sau un organ al Uniunii nu se supune unui ordin al Autorității Europene pentru Protecția Datelor în temeiul articolului 58 alineatul (2) literele (d)-(h) și (j). Atunci când se ia decizia privind oportunitatea aplicării unei amenzi administrative și decizia cu privire la valoarea amenzii administrative în fiecare caz în parte, se acordă atenția cuvenită următoarelor aspecte:

(2)   Încălcările obligațiilor prevăzute la articolele 8, 12, 27-35, 39, 40, 43, 44 și 45, săvârșite de către instituția sau organul Uniunii fac, în conformitate cu alineatul (1) de la prezentul articol, obiectul unor amenzi administrative de până la 25 000 EUR pentru fiecare încălcare, în limita unui cuantum total de 250 000 EUR pe an.

(3)   Încălcările următoarelor prevederi de către instituția sau organul Uniunii fac, în conformitate cu alineatul (1), obiectul unor amenzi administrative de până la 50 000 EUR pentru fiecare încălcare, în limita unui cuantum total de 500 000 EUR pe an:

(4)   În cazul în care o instituție sau un organ al Uniunii, pentru aceeași operațiune de prelucrare sau pentru operațiuni de prelucrare conexe sau continue, încalcă mai multe dispoziții din prezentul regulament sau aceeași dispoziție din regulament de mai multe ori, cuantumul total al amenzii administrative nu depășește suma prevăzută pentru cea mai gravă încălcare.

(5)   Înaintea adoptării unor decizii în temeiul prezentului articol, Autoritatea Europeană pentru Protecția Datelor oferă instituției sau organului Uniunii care face obiectul procedurilor desfășurate de Autoritatea Europeană pentru Protecția Datelor posibilitatea de a se exprima în cadrul unei audieri în legătură cu aspectele cu privire la care Autoritatea Europeană pentru Protecția Datelor a ridicat obiecții. Autoritatea Europeană pentru Protecția Datelor își fundamentează deciziile doar pe obiecțiile asupra cărora părțile în cauză au putut formula observații. Reclamanții sunt implicați îndeaproape în proceduri.

(6)   Drepturile la apărare ale părților în cauză sunt pe deplin garantate în cadrul procedurilor. Părțile au drept de acces la dosarul Autorității Europene pentru Protecția Datelor, sub rezerva interesului legitim al persoanelor fizice sau al întreprinderilor în ceea ce privește protecția datelor cu caracter personal sau a secretelor comerciale ale acestora.

(7)   Fondurile colectate prin aplicarea amenzilor prevăzute la prezentul articol constituie venituri la bugetul general al Uniunii.

(1)   Datele operaționale cu caracter personal:

(2)   Se permite prelucrarea de către același operator sau de către un alt operator, în oricare dintre scopurile stabilite în actul juridic de instituire a organului, a oficiului sau a agenției Uniunii pe lângă scopul pentru care au fost colectate datele operaționale cu caracter personal, în măsura în care:

(3)   Prelucrarea de către același operator sau de către un alt operator poate include arhivarea în interes public sau în scopuri științifice, statistice sau istorice, pentru scopurile stabilite în actul juridic de instituire a respectivului organ, oficiu sau agenție a Uniunii, cu condiția unor garanții adecvate privind respectarea drepturilor și a libertăților persoanelor vizate.

(4)   Operatorul este responsabil de respectarea alineatelor (1), (2) și (3) și este în măsură să demonstreze că aceste dispoziții au fost respectate.

(1)   Prelucrarea datelor operaționale cu caracter personal este legală numai dacă și în măsura în care prelucrarea în cauză este necesară pentru executarea unei sarcini realizate de către organele, oficiile și agențiile Uniunii atunci când desfășoară activități care intră sub incidența părții a treia titlul V capitolul 4 sau capitolul 5 din TFUE și se întemeiază pe dreptul Uniunii.

(2)   În actele juridice specifice ale Uniunii prin care se reglementează prelucrarea în temeiul prezentului capitol se precizează cel puțin obiectivele prelucrării, datele operaționale cu caracter personal ce urmează să fie prelucrate, scopul prelucrării și perioada de păstrare a datelor operaționale cu caracter personal sau periodicitatea cu care este examinată necesitatea ca datele operaționale respective cu caracter personal să fie păstrate în continuare.

(1)   Operatorul face deosebirea, în măsura posibilului, între datele operaționale cu caracter personal ce se bazează pe fapte și datele operaționale cu caracter personal ce se bazează pe o apreciere personală.

(2)   Operatorul ia toate măsurile rezonabile pentru a se asigura că datele operaționale cu caracter personal care sunt inexacte, incomplete sau perimate nu sunt transmise sau puse la dispoziție. În acest scop, operatorul verifică, în măsura în care este posibil și relevant, calitatea datelor cu caracter personal înainte ca acestea să fie transmise sau puse la dispoziție, de exemplu consultând autoritatea competentă de la care provin datele. În măsura în care acest lucru este posibil, de fiecare dată când transmite date operaționale cu caracter personal, operatorul adaugă informațiile necesare care să-i permită destinatarului să evalueze gradul de exactitate, caracterul integral, gradul de fiabilitate al datelor operaționale cu caracter personal, precum și măsura în care acestea sunt actuale.

(3)   În cazul în care se constată că au fost transmise date operaționale cu caracter personal incorecte sau au fost transmise date operaționale cu caracter personal în mod ilegal, acest lucru se comunică de îndată destinatarului. În acest caz, datele operaționale cu caracter personal respective sunt rectificate ori șterse sau prelucrarea lor este limitată în conformitate cu articolul 82.

(1)   Atunci când dreptul Uniunii aplicabilă operatorului care transmite datele prevede condiții specifice de prelucrare, operatorul informează destinatarul datelor operaționale cu caracter personal cu privire la aceste condiții și la obligația de a le respecta.

(2)   Operatorul respectă condițiile specifice de prelucrare prevăzute de autoritatea națională competentă care transmite datele în conformitate cu articolul 9 alineatele (3) și (4) din Directiva (UE) 2016/680.

(1)   Prelucrarea datelor cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice și afilierea sindicală, precum și prelucrarea datelor genetice, a datelor biometrice pentru identificarea unică a unei persoane fizice, a datelor operaționale cu caracter personal privind starea sănătății sau viața sexuală ori orientarea sexuală a unei persoane fizice este autorizată numai atunci când este strict necesară în scopuri operaționale și se încadrează în mandatul respectivului organ, oficiu sau agenție a Uniunii și sub rezerva unor garanții adecvate pentru drepturile și libertățile persoanei vizate. Este interzisă discriminarea persoanelor fizice pe baza acestor date cu caracter personal.

(2)   Responsabilul cu protecția datelor este informat imediat cu privire la cazurile în care se aplică prezentul articol.

(1)   O decizie bazată numai pe prelucrarea automatizată, inclusiv întocmirea unui profil, care produce un efect juridic advers privind persoana vizată sau care o afectează în mod semnificativ, este interzisă, cu excepția cazului în care acest lucru este autorizat de dreptul Uniunii care îl vizează pe operator și care oferă garanții adecvate privind drepturile și libertățile persoanei vizate, cel puțin privind dreptul la o intervenție umană din partea operatorului.

(2)   Deciziile menționate la alineatul (1) din prezentul articol nu se întemeiază pe categoriile speciale de date cu caracter personal menționate la articolul 76, cu excepția cazului în care au fost instituite măsuri corespunzătoare pentru protejarea drepturilor, a libertăților și a intereselor legitime ale persoanei vizate.

(3)   În conformitate cu dreptul Uniunii, este interzisă crearea de profiluri care are drept rezultat discriminarea persoanelor fizice pe baza categoriilor speciale de date cu caracter personal menționate la articolul 76.

(1)   Operatorul ia măsuri rezonabile pentru a transmite persoanei vizate toate informațiile menționate la articolul 79 și îi transmite acesteia toate comunicările în legătură cu articolele 80-84 și cu articolul 92 referitoare la prelucrare, într-o formă concisă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu. Informațiile se transmit prin orice mijloace adecvate, inclusiv prin mijloace electronice. Ca regulă generală, operatorul transmite informațiile în același format în care a fost primită cererea.

(2)   Operatorul facilitează exercitarea drepturilor persoanei vizate în temeiul articolelor 79-84.

(3)   Operatorul informează în scris persoana vizată cu privire la modul în care a dat curs cererii acesteia, fără întârzieri nejustificate și, în orice caz, în termen de trei luni de la primirea cererii din partea persoanei vizate.

(4)   Operatorul transmite gratuit informațiile vizate la articolul 79 și realizează gratuit comunicările și măsurile prevăzute la articolele 80-84 și la articolul 92. În cazul în care cererile din partea unei persoane vizate sunt în mod vădit nefondate sau excesive, în special din cauza caracterului lor repetitiv, operatorul poate refuza să dea curs cererii. În aceste cazuri, operatorului îi revine sarcina de a demonstra caracterul vădit nefondat sau excesiv al cererii.

(5)   În cazul în care are îndoieli întemeiate cu privire la identitatea persoanei fizice care înaintează cererea menționată la articolul 80 sau 82, operatorul poate solicita să-i prezinte informații suplimentare, necesare pentru a confirma identitatea persoanei vizate.

(1)   Operatorul pune la dispoziția persoanei vizate cel puțin următoarele informații:

(2)   În plus față de informațiile menționate la alineatul (1), operatorul îi comunică persoanei vizate, în anumite cazuri prevăzute de legislația Uniunii, următoarele informații suplimentare, pentru a-i permite acesteia să-și exercite drepturile:

(3)   Operatorul poate amâna, restricționa sau omite furnizarea de informații persoanei vizate în conformitate cu alineatul (2) în măsura în care și atât timp cât o astfel de măsură constituie o măsură necesară și proporțională într-o societate democratică, ținând seama în mod corespunzător de drepturile fundamentale și de interesele legitime ale persoanei fizice în cauză, pentru:

(1)   Operatorul poate limita, integral sau parțial, dreptul de acces al persoanei vizate în măsura în care și atât timp cât o astfel de limitare, parțială sau totală, constituie o măsură necesară și proporțională într-o societate democratică, ținând seama în mod corespunzător de drepturile fundamentale și de interesele legitime ale persoanei fizice în cauză, pentru:

(2)   În cazurile prevăzute la alineatul (1), operatorul informează în scris persoana vizată, fără întârzieri nejustificate, cu privire la orice refuz sau restricționare a accesului și la motivele refuzului sau ale restricționării. Aceste informații pot fi omise atunci când furnizarea lor ar contraveni unuia dintre scopurile de la alineatul (1). Operatorul informează persoana vizată cu privire la posibilitatea de a depune o plângere la Autoritatea Europeană pentru Protecția Datelor sau de a introduce o cale de atac în fața Curții de Justiție. Operatorul justifică motivele de fapt sau de drept pe care se întemeiază decizia. Aceste informații sunt puse la dispoziția Autorității Europene pentru Protecția Datelor, la cerere.

(1)   Orice persoană vizată are dreptul de a obține de la operator, fără întârzieri nejustificate, rectificarea datelor operaționale cu caracter personal inexacte care o privesc. Ținându-se seama de scopul prelucrării datelor, persoana vizată are dreptul de a obține completarea datelor operaționale cu caracter personal care sunt incomplete, inclusiv prin transmiterea unei declarații suplimentare.

(2)   Operatorul șterge datele operaționale cu caracter personal fără întârzieri nejustificate, iar persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor operaționale cu caracter personal care o privesc fără întârzieri nejustificate în cazul în care prelucrarea încalcă dispozițiile articolului 71, articolului 72 alineatul (1) sau ale articolului 76 sau în cazul în care datele operaționale cu caracter personal trebuie șterse pentru îndeplinirea unei obligații legale ce îi revine operatorului.

(3)   În loc de ștergere, operatorul restricționează prelucrarea în cazul în care:

În cazul în care prelucrarea este restricționată în conformitate cu litera (a) de la primul paragraf, operatorul informează persoana vizată înainte de ridicarea restricțiilor de prelucrare.

Datele restricționate se prelucrează doar în scopul pentru care nu au fost șterse.

(4)   Operatorul informează în scris persoana vizată cu privire la orice refuz de rectificare sau de ștergere a datelor operaționale cu caracter personal sau la restricționarea prelucrării și motivele refuzului. Operatorul poate restricționa, integral sau parțial, furnizarea unor astfel de informații în măsura în care o astfel de restricționare constituie o măsură necesară și proporțională într-o societate democratică, ținând seama în mod corespunzător de drepturile fundamentale și de interesele legitime ale persoanei fizice vizate pentru:

Operatorul informează persoana vizată cu privire la posibilitatea de a depune o plângere la Autoritatea Europeană pentru Protecția Datelor sau de a introduce o cale de atac în fața Curții de Justiție.

(5)   Operatorul comunică rectificarea datelor operaționale cu caracter personal inexacte autorității competente de la care provin datele operaționale cu caracter personal inexacte.

(6)   În cazul în care datele operaționale cu caracter personal au fost rectificate sau șterse sau a fost restricționată prelucrarea lor în temeiul alineatului (1), (2) sau (3), operatorul aduce la cunoștința destinatarilor aceste fapte și îi informează că trebuie să rectifice sau să șteargă datele operaționale cu caracter personal sau să restricționeze prelucrarea datelor operaționale cu caracter personal aflate în responsabilitatea lor.

(1)   În cazurile menționate la articolul 79 alineatul (3), articolul 81 și articolul 82 alineatul (4), drepturile persoanei vizate pot fi exercitate și prin intermediul Autorității Europene pentru Protecția Datelor.

(2)   Operatorul informează persoana vizată cu privire la posibilitatea de a-și exercita drepturile prin intermediul Autorității Europene pentru Protecția Datelor în temeiul alineatului (1).

(3)   Atunci când dreptul menționat la alineatul (1) este exercitat, Autoritatea Europeană pentru Protecția Datelor informează persoana vizată cel puțin cu privire la faptul că a realizat toate verificările necesare sau o analiză. Autoritatea Europeană pentru Protecția Datelor informează, de asemenea, persoana vizată în legătură cu dreptul acesteia de a introduce o cale de atac în fața Curții de Justiție.

(1)   Având în vedere stadiul actual al tehnologiei, costurile de punere în aplicare și natura, amploarea, contextul și scopurile prelucrării, precum și riscurile cu grade diferite de probabilitate și de gravitate la adresa drepturilor și libertăților persoanelor fizice pe care le prezintă prelucrarea, operatorul, atât la momentul stabilirii mijloacelor de prelucrare, cât și la momentul prelucrării propriu-zise, pune în aplicare măsuri tehnice și organizatorice adecvate, cum ar fi pseudonimizarea, care sunt destinate să pună în aplicare în mod eficace principiile de protecție a datelor, precum reducerea la minimum a datelor, și să integreze garanțiile necesare în cadrul prelucrării, pentru a îndeplini cerințele prezentului regulament și ale actului juridic de instituire care îl vizează pe operator, precum și pentru a proteja drepturile persoanelor vizate.

(2)   Operatorul pune în aplicare măsuri tehnice și organizatorice corespunzătoare pentru a asigura că, în mod implicit, sunt prelucrate numai date operaționale cu caracter personal care sunt adecvate și pertinente și nu sunt excesive în raport cu scopul în care sunt prelucrate. Această obligație se aplică volumului de date operaționale cu caracter personal colectate, gradului de prelucrare a acestora, perioadei lor de păstrare și accesibilității lor. În special, astfel de măsuri garantează că, în mod implicit, datele operaționale cu caracter personal nu pot fi accesate de un număr nelimitat de persoane fizice fără intervenția persoanei vizate.

(1)   În cazul în care doi sau mai mulți operatori sau unul sau mai mulți operatori împreună cu unul sau mai mulți operatori, alții decât instituții și organe ale Uniunii, stabilesc în comun scopurile și mijloacele prelucrării, aceștia sunt operatori asociați. Aceștia stabilesc într-un mod transparent responsabilitățile fiecăruia în ceea ce privește îndeplinirea obligațiilor care le revin în materie de protecție a datelor, în special în ceea ce privește exercitarea drepturilor persoanelor vizate și îndatoririle fiecărui operator de a transmite informațiile prevăzute la articolul 79, prin intermediul unui acord între ei, cu excepția cazului și în măsura în care responsabilitățile operatorilor asociați sunt stabilite în dreptul Uniunii sau în dreptul intern al statelor membre care se aplică operatorilor asociați. Acordul poate să desemneze un punct de contact pentru persoanele vizate.

(2)   Acordul menționat la alineatul (1) reflectă în mod corespunzător rolurile respective ale operatorilor asociați și raporturile lor cu persoana vizată. Esența acestui acord este făcută cunoscută persoanei vizate.

(3)   Indiferent de clauzele acordului menționat la alineatul (1), persoana vizată își poate exercita drepturile în temeiul prezentului regulament cu privire la fiecare dintre operatori și în raport cu fiecare dintre operatori.

(1)   În cazul în care prelucrarea urmează să fie realizată în numele unui operator, operatorul recurge doar la persoane împuternicite care oferă garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prevăzute în prezentul regulament și în actul juridic de instituire a operatorului și să asigure protecția drepturilor persoanei vizate.

(2)   Persoana împuternicită de operator nu recrutează o altă persoană împuternicită fără a primi în prealabil o autorizație scrisă, specifică sau generală, din partea operatorului. În cazul unei autorizații generale scrise, persoana împuternicită de operator informează operatorul cu privire la orice modificare preconizată privind adăugarea sau înlocuirea altor persoane împuternicite, oferind astfel operatorului posibilitatea de a formula obiecții față de aceste modificări.

(3)   Prelucrarea de către o persoană împuternicită de un operator este reglementată printr-un contract sau un alt act juridic în temeiul dreptului Uniunii sau al dreptului intern, care are caracter obligatoriu pentru persoana împuternicită de operator în raport cu operatorul și care stabilește obiectul și durata prelucrării, natura și scopul prelucrării, tipul de date operaționale cu caracter personal și categoriile de persoane vizate și obligațiile și drepturile operatorului. Respectivul contract sau act juridic prevede în special că persoana împuternicită de operator:

(4)   Contractul sau un alt act juridic menționat la alineatul (3) se întocmește în scris, inclusiv în format electronic.

(5)   În cazul în care o persoană împuternicită de către operator încalcă prezentul regulament sau actul juridic de instituire a operatorului prin stabilirea scopurilor și mijloacelor prelucrării, persoana împuternicită este considerată ca fiind operator în ceea ce privește prelucrarea respectivă.

(1)   Operatorul înregistrează oricare dintre următoarele operațiuni de prelucrare în sistemele de prelucrare automată: colectarea, modificarea, accesul, consultarea, divulgarea (inclusiv transferurile), combinarea și ștergerea de date operaționale cu caracter personal. Înregistrările consultărilor și ale dezvăluirilor fac posibilă determinarea motivelor, a datei și a orei efectuării acestor operațiuni, identificarea persoanei care a consultat sau a dezvăluit date operaționale cu caracter personal și, în măsura în care este posibil, identitatea destinatarilor acestor date operaționale cu caracter personal.

(2)   Înregistrările sunt utilizate numai pentru verificarea legalității prelucrării, monitorizare proprie, asigurarea integrității și a securității datelor operaționale cu caracter personal și în cadrul unor proceduri penale. Aceste înregistrări sunt șterse după trei ani, cu excepția cazului în care sunt necesare pentru un control în curs.

(3)   Operatorul pune înregistrările la dispoziția responsabilului cu protecția datelor din cadrul său și la dispoziția Autorității Europene pentru Protecția Datelor, la cerere.

(1)   În cazul în care un tip de prelucrare, în special care implică utilizarea de noi tehnologii, și ținând seama de natura, amploarea, contextul și scopurile prelucrării, este susceptibil să genereze un risc ridicat la adresa drepturilor și libertăților persoanelor fizice, operatorul efectuează, înainte de prelucrare, o evaluare a impactului operațiunilor de prelucrare preconizate asupra protecției datelor operaționale cu caracter personal.

(2)   Evaluarea menționată la alineatul (1) cuprinde cel puțin o descriere generală a operațiunilor de prelucrare preconizate, o evaluare a riscurilor la adresa drepturilor și libertăților persoanelor vizate, măsurile preconizate în vederea eliminării riscurilor, garanțiile, măsurile de securitate și mecanismele menite să asigure protecția datelor operaționale cu caracter personal și să demonstreze respectarea normelor de protecție a datelor, luând în considerare drepturile și interesele legitime ale persoanelor vizate și ale celorlalte persoane interesate.

(1)   Operatorul consultă Autoritatea Europeană pentru Protecția Datelor înainte de prelucrarea care va face parte dintr-un nou sistem de evidență care urmează a fi creat, în cazul în care:

(2)   Autoritatea Europeană pentru Protecția Datelor poate stabili o listă a operațiunilor de prelucrare care fac obiectul consultării prealabile în conformitate cu alineatul (1).

(3)   Operatorul transmite Autorității Europene pentru Protecția Datelor evaluarea impactului asupra protecției datelor menționată la articolul 89 și, la cererea acesteia, orice altă informație care îi permite Autorității Europene pentru Protecția Datelor să evalueze conformitatea prelucrării și, în special, riscurile la adresa protecției datelor operaționale cu caracter personal ale persoanei vizate și garanțiile aferente.

(4)   Atunci când Autoritatea Europeană pentru Protecția Datelor consideră că prelucrarea preconizată, menționată la alineatul (1), ar încălca dispozițiile prezentului regulament sau ale actului juridic de instituire a organului, oficiului sau agenției Uniunii, în special în cazul în care riscul nu a fost identificat sau atenuat într-o măsură suficientă de către operator, Autoritatea Europeană pentru Protecția Datelor îi transmite operatorului recomandări scrise în termen de cel mult șase săptămâni de la primirea cererii de consultare. Termenul menționat poate fi prelungit cu o lună, ținându-se seama de complexitatea prelucrării preconizate. Autoritatea Europeană pentru Protecția Datelor informează operatorul cu privire la o astfel de prelungire în termen de o lună de la primirea cererii de consultare, prezentând motivele întârzierii.

(1)   Având în vedere stadiul actual al tehnologiei și costurile implementării și ținând seama de natura, amploarea, contextul și scopurile prelucrării, precum și de riscurile cu grade diferite de probabilitate și de gravitate la adresa drepturilor și libertăților persoanelor fizice, operatorul și persoana împuternicită de operator pun în aplicare măsuri tehnice și organizatorice corespunzătoare în vederea asigurării unui nivel de securitate corespunzător acestui risc, în special în ceea ce privește prelucrarea categoriilor speciale de date operaționale cu caracter personal.

(2)   În ceea ce privește prelucrarea automată, operatorul și persoana împuternicită de operator pun în aplicare, în urma unei evaluări a riscurilor, măsuri menite:

(1)   În cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică acest lucru Autorității Europene pentru Protecția Datelor, fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta, cu excepția cazului în care este puțin probabil să genereze un risc pentru drepturile și libertățile persoanelor fizice. În cazul în care notificarea Autorității Europene pentru Protecția Datelor nu are loc în termen de 72 de ore, aceasta este însoțită de o explicație privind motivele întârzierii.

(2)   Notificarea menționată la alineatul (1) trebuie cel puțin:

(3)   Atunci când și în măsura în care nu este posibil să se pună la dispoziție informațiile menționate la alineatul (2) în același timp, acestea pot fi transmise în mai multe etape, fără întârzieri nejustificate.

(4)   Operatorul păstrează documente referitoare la toate cazurile de încălcare a securității datelor cu caracter personal menționate la alineatul (1), care cuprind o descriere a situației în care a avut loc încălcarea securității datelor cu caracter personal, a efectelor acesteia și a măsurilor de remediere întreprinse. Această documentație îi permite Autorității Europene pentru Protecția Datelor să verifice respectarea prezentului articol.

(5)   În cazul în care încălcarea securității datelor operaționale cu caracter personal vizează date cu caracter personal care au fost transmise de către autoritățile competente sau autorităților competente, operatorul comunică fără întârzieri nejustificate informațiile menționate la alineatul (2) autorităților competente în cauză.

(1)   În cazul în care încălcarea securității datelor cu caracter personal este de natură să ducă la apariția unui risc ridicat la adresa drepturilor și libertăților persoanelor fizice, operatorul informează persoana vizată fără întârzieri nejustificate cu privire la această încălcare.

(2)   Informarea persoanei vizate menționată la alineatul (1) din prezentul articol include o descriere, într-un limbaj simplu și clar, a caracterului încălcării securității datelor cu caracter personal, precum și cel puțin informațiile și recomandările prevăzute la articolul 92 alineatul (2) literele (b), (c) și (d).

(3)   Informarea persoanei vizate menționată la alineatul (1) nu este necesară în cazul în care este îndeplinită oricare dintre următoarele condiții:

(4)   În cazul în care operatorul nu a comunicat deja persoanei vizate încălcarea securității datelor cu caracter personal, Autoritatea Europeană pentru Protecția Datelor poate să îi solicite operatorului, după ce analizează probabilitatea ca încălcarea securității datelor cu caracter personal să ducă la apariția unui risc ridicat, să facă acest lucru sau poate decide că este îndeplinită oricare dintre condițiile menționate la alineatul (3).

(5)   Informarea persoanei vizate menționată la alineatul (1) din prezentul articol poate fi amânată, restricționată sau omisă, sub rezerva condițiilor și a motivelor menționate la articolul 79 alineatul (3).

(1)   Sub rezerva restricțiilor și a condițiilor prevăzute în actele juridice de instituire a organului, oficiului sau agenției Uniunii, operatorul poate să transfere datele operaționale cu caracter personal unei autorități dintr-o țară terță sau unei organizații internaționale în măsura în care acest transfer este necesar pentru executarea de către operator a sarcinilor sale și numai dacă sunt îndeplinite condițiile prevăzute la prezentul articol, și anume:

(2)   Actele juridice de instituire a organelor, oficiilor și agențiilor Uniunii pot menține sau introduce dispoziții mai specifice privind condițiile pentru transferurile internaționale de date operaționale cu caracter personal, în special privind transferurile care fac obiectul unor garanții corespunzătoare și derogări pentru situații specifice.

(3)   Operatorul publică și menține la zi pe site-ul său de internet o listă care conține deciziile privind caracterul adecvat menționate la alineatul (1) litera (a), acordurile, mecanismele administrative și alte instrumente legate de transferul de date operaționale cu caracter personal în conformitate cu alineatul (1).

(4)   Operatorul ține o evidență detaliată a tuturor transferurilor efectuate în temeiul prezentului articol.

(1)   Comisia este asistată de comitetul instituit prin articolul 93 din Regulamentul (UE) 2016/679. Respectivul comitet reprezintă un comitet în înțelesul Regulamentului (UE) nr. 182/2011.

(2)   Atunci când se face trimitere la prezentul alineat, se aplică articolul 5 din Regulamentul (UE) nr. 182/2011.

(1)   Până la 30 aprilie 2022, Comisia analizează actele juridice adoptate în temeiul tratatelor, care reglementează prelucrarea datelor operaționale cu caracter personal de organele, oficiile și agențiile Uniunii atunci când desfășoară activități care intră în domeniul de aplicare al părții a treia titlul V capitolul 4 sau capitolul 5 din TFUE, pentru:

(2)   Pe baza rezultatelor acestei analize, în vederea asigurării unei protecții uniforme și consecvente a persoanelor fizice în ceea ce privește prelucrarea, Comisia poate să prezinte propuneri legislative corespunzătoare, în special în vederea aplicării capitolului IX din prezentul regulament Europol și Parchetului European și care să includă, dacă este necesar, propuneri de adaptare a capitolului IX din prezentul regulament.

(1)   Decizia 2014/886/UE a Parlamentului European și a Consiliului (20) și actualul mandat al Autorității Europene pentru Protecția Datelor și al adjunctului acesteia nu sunt afectate de prezentul regulament.

(2)   Adjunctul autorității este asimilat grefierului Curții de Justiție în ceea ce privește stabilirea remunerației, a indemnizațiilor, a pensiei pentru limită de vârstă și a oricăror alte prestații care țin loc de remunerație.

(3)   Articolul 53 alineatele (4), (5) și (7), precum și articolele 55 și 56 din prezentul regulament se aplică adjunctului actual al autorității până la sfârșitul mandatului său.

(4)   Adjunctul autorității asistă Autoritatea Europeană pentru Protecția Datelor în îndeplinirea atribuțiilor acesteia din urmă și o înlocuiește atunci când este absentă sau nu își poate îndeplini atribuțiile respective, până la sfârșitul mandatului adjunctului autorității.

(1)   Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.

(2)   Cu toate acestea, prezentul regulament se aplică prelucrării datelor cu caracter personal de către Eurojust de la 12 decembrie 2019.