(1)

Piața internă este una dintre cele mai tangibile realizări ale Uniunii. Datorită faptului că permite persoanelor, bunurilor, serviciilor și capitalurilor să circule liber, ea oferă noi oportunități pentru cetățeni și întreprinderi. Prezentul regulament este unul dintre elementele esențiale ale Strategiei privind piața unică, instituită prin Comunicarea Comisiei din 28 octombrie 2015 intitulată „Ameliorarea pieței unice: mai multe oportunități pentru cetățeni și pentru întreprinderi”. Respectiva strategie are ca scop deblocarea întregului potențial al pieței interne prin facilitarea deplasării cetățenilor și a întreprinderilor în interiorul Uniunii și a schimburilor comerciale, permițându-le acestora să se stabilească și să își extindă activitățile la nivel transfrontalier.

(2)

Comunicarea Comisiei din 6 mai 2015 intitulată „O strategie privind piața unică digitală pentru Europa” a recunoscut rolul internetului și al tehnologiilor digitale în transformarea modului în care trăim și în care cetățenii și întreprinderile accesează informații, dobândesc cunoștințe, cumpără bunuri și servicii, participă pe piață și își desfășoară activitățile, facilitând astfel accesul la oportunități de inovare, creștere economică și locuri de muncă. În această comunicare, precum și în mai multe rezoluții adoptate de Parlamentul European, s-a recunoscut faptul că nevoile cetățenilor și întreprinderilor atât în propriile lor țări, cât și la nivel transfrontalier ar putea fi mai bine satisfăcute prin extinderea și integrarea portalurilor, a site-urilor web, a rețelelor, a serviciilor și a sistemelor europene existente și prin conectarea acestora la diverse soluții de la nivel național, creând astfel un portal digital unic (gateway) care servește drept punct unic de intrare la nivel european („portalul”). Comunicarea Comisiei din 19 aprilie 2016 intitulată „Planul de acțiune al UE privind guvernarea electronică 2016-2020 – Accelerarea transformării digitale a guvernării” a plasat portalul printre acțiunile sale pentru 2017. Raportul Comisiei din 24 ianuarie 2017 intitulat „Consolidarea drepturilor cetățenilor într-o Uniune a schimbărilor democratice – Raportul din 2017 privind cetățenia Uniunii” considera portalul a fi o prioritate pentru drepturile cetățenilor Uniunii.

(3)

Parlamentul European și Consiliul au solicitat în mod repetat un pachet de informații și asistență mai amplu și mai ușor de utilizat pentru a ajuta cetățenii și întreprinderile să navigheze pe piața internă și pentru a consolida și a raționaliza instrumentele pieței interne, pentru a răspunde mai bine nevoilor cetățenilor și ale întreprinderilor în activitățile lor transfrontaliere.

(4)

Prezentul regulament răspunde respectivelor solicitări prin punerea la dispoziția cetățenilor și a întreprinderilor a unui acces ușor la informațiile, la procedurile și la serviciile de asistență și de soluționare a problemelor de care au nevoie pentru a-și exercita drepturile în cadrul pieței interne. Portalul ar putea contribui la o mai mare transparență a normelor și reglementărilor care vizează diverse aspecte ale activității comerciale și ale vieții, în domenii precum călătoriile, pensionarea, educația, ocuparea unui loc de muncă, sănătatea, drepturile consumatorilor și drepturile familiei. În plus, ar putea contribui la îmbunătățirea încrederii consumatorilor, la creșterea gradului de informare cu privire la aspecte legate de protecția consumatorilor și la normele pieței interne, precum și la reducerea costurilor de conformitate pentru întreprinderi. Prezentul regulament instituie un portal interactiv și ușor de utilizat, care, în funcție de nevoile utilizatorilor, îi va îndruma către serviciile cele mai potrivite. În acest context, Comisia și statele membre ar trebui să joace un rol important în îndeplinirea obiectivelor menționate mai sus.

(5)

Portalul ar trebui să faciliteze interacțiunile dintre cetățeni și întreprinderi, pe de o parte, și autoritățile competente, pe de altă parte, prin asigurarea unui acces la soluții online, prin facilitarea activităților de zi cu zi ale cetățenilor și ale întreprinderilor și prin reducerea la minimum a obstacolelor întâmpinate pe piața internă. Existența unui portal digital unic, care oferă acces online la informații exacte și actualizate, la proceduri și la servicii de asistență și de soluționare a problemelor, ar putea contribui la creșterea gradului de sensibilizare în rândul utilizatorilor cu privire la diferite servicii ce există online și le-ar putea aduce utilizatorilor economii de timp și de bani.

(6)

Prezentul regulament are trei obiective, și anume, reducerea oricăror sarcini administrative suplimentare suportate de cetățenii și întreprinderile care își exercită sau doresc să-și exercite drepturile pe piața internă, inclusiv dreptul la libera circulație a cetățenilor, în deplină conformitate cu normele și procedurile naționale, eliminarea discriminării și asigurarea funcționării pieței interne în ceea ce privește furnizarea de informații, de proceduri și de servicii de asistență și soluționare a problemelor. Deoarece acoperă libera circulație a cetățenilor, care nu poate fi considerată ca având un simplu caracter accesoriu, prezentul regulament ar trebui să se bazeze pe articolul 21 alineatul (2) și articolul 114 alineatul (1) din Tratatul privind funcționarea Uniunii Europene (TFUE).

(7)

Pentru ca cetățenii și întreprinderile din Uniune să se bucure de dreptul lor la liberă circulație în cadrul pieței interne, Uniunea ar trebui să adopte măsuri specifice și nediscriminatorii care să le permită cetățenilor și întreprinderilor să aibă acces cu ușurință la informații suficient de complete și fiabile cu privire la drepturile lor în temeiul dreptului Uniunii și la informarea în legătură cu normele și procedurile naționale aplicabile pe care vor trebui să le respecte atunci când se mută, locuiesc sau studiază sau atunci când stabilesc sau desfășoară activități comerciale într-un alt stat membru decât cel de origine. Informațiile sunt considerate a fi suficient de complete dacă includ toate informațiile necesare pentru ca utilizatorii să înțeleagă drepturile și obligațiile ce le revin și identifică normele care se aplică lor în legătură cu activitățile pe care doresc să le întreprindă în calitate de utilizatori transfrontalieri. Informațiile respective ar trebui formulate într-un mod clar, concis și ușor de înțeles și ar trebui să fie funcționale și bine adaptate pentru utilizatorii vizați. Informațiile privind procedurile ar trebui să acopere toate etapele procedurale previzibile care au relevanță pentru utilizator. Este important ca cetățenii și întreprinderile care se confruntă cu cadre de reglementare complexe, cum sunt cei activi în comerțul electronic și în economia colaborativă, să poată găsi cu ușurință normele aplicabile și modul în care acestea se aplică activităților lor. Accesul ușor și practic la informații înseamnă un acces care le permite utilizatorilor să găsească cu ușurință informațiile necesare, să identifice cu ușurință elementele acestor informații care au relevanță pentru situația lor specifică și să înțeleagă cu ușurință informațiile pertinente. Informațiile care urmează a fi furnizate la nivel național ar trebui să aibă în vedere nu numai normele naționale de punere în aplicare a dreptul Uniunii, ci și orice alte norme naționale care sunt aplicabile atât utilizatorilor netransfrontalieri, cât și celor transfrontalieri.

(8)

Normele privind furnizarea informațiilor în prezentul regulament nu ar trebui să se aplice sistemelor judiciare naționale, deoarece informațiile din acest domeniu care sunt relevante pentru utilizatorii transfrontalieri sunt deja incluse în portalul e-justiție. În anumite situații care intră sub incidența prezentului regulament, instanțele ar trebui considerate a fi autorități competente, de exemplu atunci când gestionează registrele comerțului. În plus, principiul nediscriminării ar trebui să se aplice și procedurilor online care asigură accesul la procedurile judiciare.

(9)

Este evident că cetățenii și întreprinderile din alte state membre pot fi dezavantajați din cauza lipsei de familiarizare cu sistemele administrative și normele naționale, din cauza diferitelor limbi utilizate, precum și din cauza lipsei de proximitate geografică față de autoritățile competente dintr-un alt stat membru decât cel de origine. Modul cel mai eficient de a reduce obstacolele pentru piața internă este de a le permite utilizatorilor transfrontalieri și netransfrontalieri să aibă acces la informații online, într-o limbă pe care o înțeleg, pentru a le permite să finalizeze procedurile pentru respectarea normelor naționale integral online și de a le oferi asistență în cazul în care normele și procedurile nu sunt suficient de clare sau în cazul în care întâmpină dificultăți în exercitarea drepturilor lor.

(10)

O serie de acte ale Uniunii au urmărit să ofere soluții prin crearea de ghișee unice sectoriale, inclusiv ghișeele unice înființate în temeiul Directivei 2006/123/CE a Parlamentului European și a Consiliului (3), care oferă informații online, servicii online de asistență și acces la procedurile relevante pentru furnizarea de servicii; punctele de informare despre produse înființate în temeiul Regulamentului (CE) nr. 764/2008 al Parlamentului European și al Consiliului (4), și punctele de informare despre produse pentru construcții înființate în temeiul Regulamentului (UE) nr. 305/2011 al Parlamentului European și al Consiliului (5), care oferă acces la normele tehnice specifice; și centrele naționale de asistență pentru calificările profesionale, înființate în temeiul Directivei 2005/36/CE a Parlamentului European și a Consiliului (6), care sprijină profesioniștii care se deplasează la nivel transfrontalier. În plus, au fost create rețele, cum ar fi Centrele Europene ale Consumatorilor, în scopul de a promova o mai bună înțelegere a drepturilor consumatorilor din Uniune și de a contribui la soluționarea plângerilor în legătură cu cumpărăturile făcute în alte state membre în cadrul rețelei, atunci când consumatorii călătoresc sau fac cumpărături online. De asemenea, SOLVIT astfel cum este menționată în Recomandarea 2013/461/UE a Comisiei (7) are obiectivul de a oferi soluții rapide, eficace și neoficiale persoanelor fizice și întreprinderilor atunci când drepturile lor în cadrul pieței interne le sunt refuzate de către autoritățile publice. În sfârșit, au fost create mai multe portaluri de informații, cum ar fi portalul „Europa ta”, în ceea ce privește piața internă, și portalul e-justiție, în ceea ce privește domeniul justiției, pentru a informa utilizatorii cu privire la normele naționale și ale Uniunii.

(11)

Ca urmare a naturii sectoriale a actelor respective ale Uniunii, oferta actuală de informații online și de servicii de asistență și de soluționare a problemelor, împreună cu procedurile online pentru cetățeni și întreprinderi rămâne foarte fragmentată. Există discrepanțe în ceea ce privește disponibilitatea informațiilor și a procedurilor online, există o lipsă de calitate în ceea ce privește serviciile și o lipsă de sensibilizare în ceea ce privește respectivele informații și servicii de asistență și de soluționare a problemelor. De asemenea, utilizatorii transfrontalieri întâmpină probleme legate de identificarea și accesibilitatea serviciilor respective.

(12)

Prezentul regulament ar trebui să creeze un portal digital unic pentru a servi drept punct de intrare unic prin intermediul căruia cetățenii și întreprinderile să aibă acces la informații cu privire la regulile și cerințele pe care trebuie să le respecte, în conformitate cu dreptul Uniunii sau dreptul intern. Portalul ar trebui să simplifice contactul cetățenilor și întreprinderilor cu serviciile de asistență și de soluționare a problemelor, stabilite la nivelul Uniunii sau la nivel național și să îl facă mai eficace. Portalul ar trebui, de asemenea, să faciliteze accesul la proceduri online și completarea acestora. Prezentul regulament nu ar trebui să aducă atingere în niciun fel drepturilor și obligațiilor existente în dreptul Uniunii sau dreptul intern în aceste domenii de politică. În ceea ce privește procedurile enumerate în anexa II la prezentul regulament și procedurile prevăzute în Directivele 2005/36/CE și 2006/123/CE, precum și în Directivele 2014/24/UE (8) și 2014/25/UE (9) ale Parlamentului European și ale Consiliului, prezentul regulament ar trebui să sprijine utilizarea principiului „doar o singură dată” și ar trebui să respecte pe deplin dreptul fundamental la protecția datelor cu caracter personal, pentru schimbul de elemente justificative între autoritățile competente din diferite state membre.

(13)

Portalul și conținutul său ar trebui să fie ușor de utilizat și orientat către utilizator. Portalul ar trebui să aibă ca scop evitarea suprapunerilor și să ofere linkuri către serviciile existente. Portalul ar trebui să le permită cetățenilor și întreprinderilor să interacționeze cu administrațiile publice la nivel național și al Uniunii, oferindu-le posibilitatea să formuleze observații cu privire la serviciile oferite prin intermediul portalului și la funcționarea pieței interne, în funcție de experiența lor. Instrumentul de formulare a observațiilor ar trebui să îi permită utilizatorului, într-un mod care să îi asigure anonimatul, să atragă atenția asupra problemelor, deficiențelor și nevoilor pe care le întâlnește, pentru a încuraja îmbunătățirea continuă a calității serviciilor.

(14)

Succesul portalului va depinde de eforturile comune ale Comisiei și ale statelor membre. Portalul ar trebui să includă o interfață comună pentru utilizatori, integrată în portalul „Europa ta” existent, a fi gestionată de Comisie. Interfața comună pentru utilizatori ar trebui să ofere linkuri către informațiile, procedurile și către serviciile de asistență sau de soluționare a problemelor disponibile pe portalurile autorităților competente din statele membre și ale Comisiei. Pentru a facilita utilizarea portalului, interfața comună pentru utilizatori ar trebui să fie disponibilă în toate limbile oficiale ale instituțiilor Uniunii („limbile oficiale ale Uniunii”). Portalul „Europa ta”, care există deja, și principala sa pagină web de acces, adaptate la cerințele portalului, ar trebui să păstreze prezentarea multilingvă a informațiilor puse la dispoziție. Funcționarea portalului ar trebui să fie sprijinită prin instrumente tehnice elaborate de Comisie în strânsă cooperare cu statele membre.

(15)

În carta pentru ghișeele unice electronice prevăzute de Directiva 2006/123/CE, care a fost aprobată de Consiliu în 2013, statele membre și-au luat un angajament voluntar să adopte o abordare centrată pe utilizator în furnizarea de informații prin intermediul ghișeelor unice, pentru a acoperi domenii care sunt deosebit de importante pentru întreprinderi, inclusiv TVA, impozitul pe profit, cerințele de securitate socială sau dreptul muncii. Pe baza cartei și în lumina experienței acumulate prin utilizarea portalului „Europa ta”, informațiile respective ar trebui, de asemenea, să prezinte o descriere a serviciilor de asistență și de soluționare a problemelor. Cetățenii și întreprinderile ar trebui să poată recurge la aceste servicii în cazul în care au dificultăți cu înțelegerea informațiilor, cu aplicarea acestor informații la situația lor sau cu efectuarea unei proceduri.

(16)

Prezentul regulament ar trebui să enumere domeniile de informații care sunt pertinente pentru cetățenii și întreprinderile care își exercită drepturile și își respectă obligațiile în cadrul pieței interne. Pentru aceste domenii, ar trebui puse la dispoziție informații suficient de cuprinzătoare la nivel național, inclusiv la nivel regional și local, precum și la nivelul Uniunii, explicându-se normele și obligațiile aplicabile și procedurile care trebuie efectuate de către cetățeni și întreprinderi pentru a respecta aceste norme și obligații. În vederea asigurării calității serviciilor oferite, informațiile puse la dispoziție prin intermediul acestui portal ar trebui să fie clare, exacte și actualizate, ar trebui redusă la minimum utilizarea unei terminologii complexe, iar utilizarea acronimelor ar trebui limitată la cele care se referă la termeni simplificați și ușor de înțeles, care nu necesită o cunoaștere prealabilă a subiectului sau a domeniului de drept respectiv. Aceste informații ar trebui să fie prezentate în așa fel încât utilizatorii să poată înțelege cu ușurință regulile și cerințele de bază aplicabile situației lor în aceste domenii. De asemenea, utilizatorii ar trebui să fie informați cu privire la lipsa de norme naționale în anumite state membre pentru domeniile de informare enumerate în anexa I, în special în cazul în care domeniile respective fac obiectul unor norme naționale în alte state membre. Astfel de informații privind lipsa de norme naționale ar putea fi incluse în portalul „Europa ta”.

(17)

Ori de câte ori este posibil, informațiile deja colectate de către Comisie de la statele membre în conformitate cu legislația în vigoare a Uniunii sau cu acorduri voluntare – precum informațiile colectate pentru portalul EURES, înființat prin Regulamentul (UE) 2016/589 al Parlamentului European și al Consiliului (10), pentru portalul e-justiție, înființat prin Decizia 2001/470/CE a Consiliului (11), sau pentru baza de date a profesiilor reglementate, înființată prin Directiva 2005/36/CE – ar trebui să fie utilizate pentru a acoperi o parte din informațiile care trebuie să fie puse la dispoziția cetățenilor și a întreprinderilor la nivelul Uniunii și la nivel național în conformitate cu prezentul regulament. Statele membre nu ar trebui să aibă obligația de a pune la dispoziție pe site-urile web naționale informațiile care sunt deja disponibile în bazele de date corespunzătoare administrate de Comisie. În cazul în care statele membre au deja obligația de a pune la dispoziție informații online în temeiul altor acte ale Uniunii, cum ar fi Directiva 2014/67/UE a Parlamentului European și a Consiliului (12), punerea la dispoziție a unor linkuri către informațiile online existente ar trebui să fie suficientă. În cazul în care anumite domenii de politică au fost deja pe deplin armonizate prin dreptul Uniunii, de exemplu drepturile consumatorilor, informațiile puse la dispoziție la nivelul Uniunii ar trebui să fie în general suficiente pentru ca utilizatorii să poată înțelege drepturile sau obligațiile ce îi vizează. În astfel de cazuri, statele membre ar trebui numai să furnizeze informații privind procedurile lor administrative și serviciile lor de asistență de la nivel național sau orice alte norme administrative naționale care sunt pertinente pentru utilizatori. De exemplu, informațiile privind drepturile consumatorilor nu ar trebui să aducă atingere dreptului contractual, ci ar trebui doar să prezinte utilizatorilor drepturile lor în temeiul dreptului Uniunii și al dreptului intern în cadrul tranzacțiilor comerciale.

(18)

Prezentul regulament ar trebui să sporească dimensiunea pieței interne referitoare la procedurile online, și să contribuie astfel la digitalizarea pieței interne, prin respectarea principiului general al nediscriminării și, între altele, în ceea ce privește accesarea de către cetățeni sau întreprinderi a procedurilor online deja stabilite la nivel național, pe baza dreptului Uniunii sau dreptului intern, precum și a celor care urmează să fie puse la dispoziție în întregime online în conformitate cu prezentul regulament. În cazul în care un utilizator aflat într-o situație strict limitată la un singur stat membru poate accesa și efectua o procedură online în statul membru respectiv într-un domeniu reglementat de prezentul regulament, un utilizator transfrontalier ar trebui să aibă posibilitatea de a accesa și efectua aceeași procedură online, fie prin aceeași soluție tehnică, fie printr-o soluție alternativă, separată din punct de vedere tehnic, care să ducă la același rezultat, fără niciun obstacol discriminatoriu. Astfel de obstacole ar putea decurge din soluțiile elaborate la nivel național, cum ar fi câmpurile care necesită numere naționale de telefon, prefixe naționale pentru numerele de telefon sau coduri poștale naționale, plata de redevențe care poate fi realizată numai prin intermediul unor sisteme care nu prevăd plăți transfrontaliere, lipsa de explicații detaliate într-o limbă înțeleasă de către utilizatorii transfrontalieri, lipsa de posibilități de a depune elemente justificative electronice din partea autorităților situate într-un alt stat membru și lipsa de acceptare a mijloacelor de identificare electronică emise în alte state membre. Statele membre ar trebui să pună la dispoziție soluții pentru obstacolele respective.

(19)

Atunci când efectuează proceduri online transfrontaliere, utilizatorii ar trebui să aibă posibilitatea de a primi toate explicațiile pertinente într-o limbă oficială a Uniunii care este pe larg înțeleasă de un număr cât mai mare de utilizatori transfrontalieri. Aceasta nu înseamnă că statele membre au obligația să își traducă formularele administrative aferente procedurii în cauză și nici rezultatul procedurii respective în acea limbă. Statele membre sunt totuși încurajate să utilizeze soluții tehnice care să le permită utilizatorilor să efectueze procedurile, în cât mai multe cazuri, în acea limbă, cu respectarea reglementărilor statelor membre cu privire la utilizarea limbilor.

(20)

La identificarea procedurilor naționale online care sunt pertinente pentru exercitarea de către utilizatorii transfrontalieri a drepturilor de care se bucură în cadrul pieței interne se ia în considerare dacă aceștia sunt rezidenți sau stabiliți în statul membru în cauză sau dacă doresc să aibă acces la procedurile din statul membru respectiv în timp ce își au reședința sau sunt stabiliți în alt stat membru. Prezentul regulament nu ar trebui să împiedice statele membre să le ceară utilizatorii transfrontalieri care sunt rezidenți sau stabiliți pe teritoriul lor să obțină un număr de identificare național pentru a avea acces la procedurile naționale online, cu condiția ca acest lucru să nu genereze o sarcină sau costuri suplimentare nejustificate pentru utilizatorii respectivi. Pentru utilizatorii transfrontalieri care nu sunt rezidenți sau stabiliți în statul membru respectiv, procedurile naționale online care nu sunt pertinente pentru exercitarea drepturilor lor în domeniul pieței interne, cum ar fi înscrierea la servicii locale, precum colectarea deșeurilor sau permisele de parcare, nu trebuie să fie pe deplin accesibile online.

(21)

Prezentul regulament ar trebui să se bazeze pe Regulamentul (UE) nr. 910/2014 al Parlamentului European și al Consiliului (13), care stabilește condițiile în care statele membre recunosc anumite mijloace de identificare electronică ale persoanelor fizice și juridice care intră sub incidența unui sistem notificat de identificare electronică al unui alt stat membru. Regulamentul (UE) nr. 910/2014 stabilește condițiile în care utilizatorii au posibilitatea de a-și utiliza mijloacele de identificare și autentificare electronică pentru a avea acces la servicii publice online în situații transfrontaliere. Instituțiile, organele, oficiile și agențiile Uniunii sunt încurajate să accepte mijloace de identificare și autentificare electronică pentru procedurile de care sunt responsabile.

(22)

O serie de acte sectoriale ale Uniunii, cum ar fi Directivele 2005/36/CE, 2006/123/CE, 2014/24/UE și 2014/25/UE, prevăd că procedurile sunt integral disponibile online. Prezentul regulament ar trebui să includă cerințele conform cărora o serie de proceduri de importanță majoră pentru majoritatea cetățenilor și a întreprinderilor care își exercită drepturile și își respectă obligațiile la nivel transfrontalier sunt puse la dispoziție integral online.

(23)

Pentru a le permite cetățenilor și întreprinderilor să se bucure de beneficiile pieței interne în mod direct, fără a suporta sarcini administrative suplimentare inutile, prezentul regulament ar trebui să impună digitalizarea completă a interfeței utilizatorilor pentru anumite proceduri destinate utilizatorilor transfrontalieri, care sunt enumerate în anexa II la prezentul regulament. Prezentul regulament ar trebui să stabilească și criterii pentru definirea modului în care procedura se califică drept integral online. Această obligație de a face o astfel de procedură disponibilă integral online ar trebui să se aplice doar în situațiile în care aceste proceduri există în statele membre respective. Prezentul regulament nu ar trebui să includă înregistrarea inițială a unei activități comerciale sau procedurile care conduc la constituirea de societăți comerciale sau firme cu personalitate juridică sau eventuale demersuri ulterioare din partea acestor societăți comerciale ori firme, dat fiind faptul că astfel de proceduri necesită o abordare globală care vizează facilitarea soluțiilor digitale pe toată durata ciclului de viață al unei societăți. Atunci când întreprinderile se stabilesc într-un alt stat membru, acestea sunt obligate să se înscrie la un regim de asigurări sociale și la un regim de asigurări medicale pentru a înregistra și plăti contribuțiile angajaților la acele regimuri. Întreprinderile ar putea să aibă obligația de a-și notifica activitățile comerciale, de a obține autorizații sau de a înregistra modificările intervenite în activitățile lor comerciale. Aceste proceduri sunt comune pentru întreprinderile care își desfășoară activitatea în multe sectoare ale economiei și, prin urmare, este oportun să se solicite ca aceste proceduri să fie disponibile online.

(24)

Prezentul regulament ar trebui să clarifice ce presupune oferirea unei proceduri integral online. O procedură ar trebui să fie considerată ca fiind integral online în cazul în care utilizatorul poate urma toți pașii de la acces până la finalizarea acesteia, în ceea ce privește interacțiunea dintre utilizator și autoritatea competentă („serviciul de relații cu clienții”), în format electronic, de la distanță și prin intermediul unui serviciu online. Acest serviciu online ar trebui să ghideze utilizatorul printr-o listă cu toate cerințele care trebuie să fie îndeplinite și cu toate elementele justificative care trebuie furnizate, ar trebui să permită utilizatorului să prezinte informațiile și dovada conformității cu toate aceste cerințe și ar trebui să ofere utilizatorului o recunoaștere automată a primirii, cu excepția cazului în care rezultatul procedurii este livrat imediat. Aceste lucru nu ar trebui să împiedice autoritățile competente să contacteze utilizatorii direct dacă pentru procedura respectivă sunt necesare precizări suplimentare. Rezultatul procedurii, astfel cum figurează în prezentul regulament, ar trebui și el să fie transmis utilizatorului de către autoritățile competente pe cale electronică, dacă este posibil, în conformitate cu dreptul aplicabil la nivelul Uniunii și la nivel intern.

(25)

Prezentul regulament nu ar trebui să afecteze fondul procedurilor enumerate în anexa II, instituite la nivel național, regional sau local, și nici nu prevede norme de fond sau procedurale în domeniile vizate de anexa II, inclusiv în domeniul fiscal. Scopul prezentului regulament este stabilirea cerințelor tehnice prin care să se asigure faptul că procedurile respective, în cazul în care acestea au fost prevăzute în statul membru în cauză, sunt puse la dispoziție integral online.

(26)

Prezentul regulament nu ar trebui să afecteze competențele autorităților naționale în orice procedură, inclusiv verificarea corectitudinii și a validității informațiilor sau a elementelor justificative prezentate și verificarea autenticității în cazul în care elementele justificative sunt prezentate prin alte mijloace decât prin sistemul tehnic bazat pe principiul „doar o singură dată”. Prezentul regulament nu ar trebui să afecteze nici fluxurile procedurale din cadrul autorităților competente și dintre acestea („serviciul administrativ”), indiferent dacă sunt digitalizate sau nu. În cazul în care este necesar în cadrul unor proceduri de înregistrare a modificărilor intervenite în activitatea comercială, statele membre ar trebui să poată impune în continuare cerința de a se recurge la notari sau avocați, care pot utiliza mijloace de verificare precum videoconferințele sau alte mijloace online care asigură o conexiune audiovizuală în timp real. Totuși, recurgerea la notari sau avocați nu ar trebui să împiedice efectuarea integral online a procedurilor de înregistrare a acestor modificări.

(27)

În unele cazuri, utilizatorului ar putea să i se solicite să prezinte elemente justificative care să dovedească fapte ce nu pot fi atestate prin mijloace online. Printre aceste elemente se pot afla certificatele medicale, dovada existenței reale, dovada inspecției tehnice a autovehiculelor sau confirmarea seriei de șasiu. Dacă elementele justificative respective pot fi depuse în format electronic, acest lucru nu ar trebui să constituie o excepție de la principiul că o procedură ar trebui să fie oferită integral online. În alte cazuri ar putea fi încă necesar ca utilizatorii unei proceduri să se prezinte personal în fața unei autorități competente, ca parte a unei proceduri online. Orice excepție de acest fel, în afara celor care decurg din dreptul Uniunii, ar trebui să se limiteze la situațiile care sunt justificate de un motiv imperativ de interes general în domeniile securității publice, sănătății publice sau combaterii fraudelor. În vederea asigurării transparenței, statele membre ar trebui să pună la dispoziția Comisiei și a celorlalte state membre informații cu privire la aceste excepții, cu privire la motivele pe care se întemeiază și la împrejurările în care pot fi aplicate. Statele membre nu ar trebui să fie obligate să informeze cu privire la fiecare caz individual în care a fost necesară, în mod excepțional, prezența fizică, ci ar trebui să comunice mai curând dispozițiile interne care prevăd astfel de cazuri. Bunele practici naționale și evoluțiile tehnice care permit răspândirea digitalizării în acest sens ar trebui discutate cu regularitate în cadrul unui grup de coordonare a portalului.

(28)

În situații transfrontaliere, procedura de înregistrare a unei schimbări de adresă poate cuprinde două proceduri distincte, una în statul membru de origine pentru a solicita radierea de la vechea adresă, iar cealaltă în statul membru de destinație pentru a solicita înregistrarea la noua adresă. Ambele proceduri ar trebui să fie reglementate de prezentul regulament.

(29)

Întrucât digitalizarea cerințelor, a procedurilor și a formalităților legate de recunoașterea calificărilor profesionale este deja reglementată de Directiva 2005/36/CE, prezentul regulament ar trebui să acopere doar digitalizarea procedurii de solicitare a recunoașterii academice a diplomelor, a certificatelor sau a altor elemente justificative pentru cursurile finalizate care vizează o persoană ce dorește să continue sau să înceapă studiile sau să utilizeze un titlu academic, în afara formalităților legate de recunoașterea calificărilor profesionale.

(30)

Prezentul regulament nu ar trebui să afecteze normele de coordonare a securității sociale prevăzute în Regulamentele (CE) nr. 883/2004 (14) și (CE) nr. 987/2009 (15) ale Parlamentului European și ale Consiliului, care definesc drepturile și obligațiile persoanelor asigurate și ale instituțiilor de securitate socială, precum și procedurile aplicabile în domeniul coordonării sistemelor de securitate socială.

(31)

Mai multe rețele și servicii au fost înființate la nivelul Uniunii și la nivel național pentru a ajuta cetățenii și întreprinderile în activitățile lor transfrontaliere. Este important ca aceste servicii, inclusiv serviciile existente de asistență sau de soluționare a problemelor instituite la nivelul Uniunii, cum ar fi Centrele Europene ale Consumatorilor, serviciul „Europa ta – Consiliere”, SOLVIT, serviciul de asistență în materie de drepturi de proprietate intelectuală, Europe Direct și Rețeaua întreprinderilor europene, să facă parte din portal, pentru a se asigura că toți utilizatorii potențiali le pot găsi. Serviciile enumerate în anexa III au fost stabilite prin acte obligatorii ale Uniunii, în timp ce alte servicii își desfășoară activitatea pe o bază voluntară. Serviciile înființate prin acte obligatorii ale Uniunii ar trebui să fie obligate să respecte cerințele de calitate prevăzute în prezentul regulament. Serviciile operate pe bază voluntară ar trebui să respecte cerințele de calitate dacă intenția este de a face serviciile lor să fie disponibile prin intermediul portalului. Sfera de aplicare și natura acestor servicii, modalitățile de gestionare ale acestora, termenele existente și caracterul lor voluntar, contractual sau de alt tip care le determină modul de funcționare nu ar trebui să fie modificate de prezentul regulament. De exemplu, în cazul în care asistența oferită are un caracter informal, prezentul regulament nu ar trebui să aibă ca efect transformarea acestei asistențe în consiliere juridică cu caracter obligatoriu.

(32)

În plus, statele membre și Comisia ar trebui să poată include în portal și alte servicii naționale de asistență sau de soluționare a problemelor, furnizate de către autoritățile competente ori de către entități private sau semiprivate sau de către organisme publice cum ar fi camerele de comerț sau serviciile neguvernamentale de asistență pentru cetățeni, în conformitate cu condițiile stabilite în prezentul regulament. În principiu, autoritățile competente ar trebui să fie responsabile de acordarea de asistență cetățenilor și întreprinderilor în legătură cu orice întrebări legate de normele și procedurile aplicabile care nu pot fi abordate pe deplin de serviciile online. Cu toate acestea, în domenii foarte specializate și în cazul în care serviciul prestat de către organismele private sau semiprivate îndeplinește nevoile utilizatorilor, statele membre pot propune Comisiei să includă aceste servicii în portal, cu condiția ca aceste servicii să îndeplinească toate condițiile stabilite în prezentul regulament și să nu se suprapună cu serviciile de asistență sau de soluționare a problemelor deja incluse.

(33)

Pentru a-i ajuta pe utilizatori să identifice serviciile corespunzătoare, prezentul regulament ar trebui să prevadă un sistem de identificare a serviciilor de asistență care să îi îndrume pe utilizatori în mod automat către serviciile respective.

(34)

Conformitatea cu o listă de cerințe minime de calitate este esențială pentru succesul portalului, pentru a se asigura că furnizarea de informații sau servicii este fiabilă, deoarece, în caz contrar, credibilitatea portalului în ansamblu ar fi subminată în mod grav. Obiectivul primordial al conformității este acela de a garanta că informațiile sau serviciile sunt prezentate sub o formă clară și ușor de utilizat. Este responsabilitatea statelor membre să stabilească modul în care informațiile sunt prezentate pe calea parcursă de utilizator pentru a se atinge acest obiectiv. De exemplu, chiar dacă este util ca utilizatorii să fie informați, înainte de inițierea unei proceduri, cu privire la căile de atac disponibile în general în cazul unui rezultat negativ, este mult mai ușor pentru utilizatori să primească la sfârșitul procedurii informațiile specifice cu privire la eventualele demersuri care trebuie întreprinse în astfel de cazuri.

(35)

Accesibilitatea informațiilor destinate utilizatorilor transfrontalieri poate fi îmbunătățită substanțial dacă informațiile sunt disponibile într-o limbă oficială a Uniunii pe larg înțeleasă de un număr cât mai mare de utilizatori transfrontalieri. Această limbă ar trebui să fie, în majoritatea cazurilor, limba străină cea mai studiată de utilizatori în întreaga Uniune, dar, în anumite cazuri, în special în cazul informațiilor care urmează să fie furnizate la nivel local de către localitățile mici din apropierea frontierei unui stat membru, cea mai adecvată limbă ar putea fi limba utilizatorilor transfrontalieri din statele membre învecinate. Traducerea din limba sau limbile oficiale ale statelor membre respective în această altă limbă oficială a Uniunii ar trebui să reflecte în mod fidel conținutul informațiilor furnizate în limba sau limbile originale. Traducerea se poate limita la informațiile de care utilizatorii au nevoie pentru a înțelege normele și cerințele de bază care se aplică situației lor. Deși statele membre ar trebui să fie încurajate să traducă cât mai multe informații cu putință în una dintre limbile oficiale ale Uniunii care este pe larg înțeleasă de un număr cât mai mare de utilizatori transfrontalieri, volumul de informații a fi traduse, în conformitate cu prezentul regulament, va depinde de resursele financiare disponibile, în special în cadrul bugetului Uniunii. Comisia ar trebui să ia măsurile necesare pentru a asigura livrarea eficientă a traducerilor pentru statele membre, la cererea acestora. Grupul de coordonare a portalului ar trebui să dezbată și să furnizeze orientări cu privire la limba sau limbile oficiale ale Uniunii în care aceste informații ar trebui traduse.

(36)

În temeiul Directivei (UE) 2016/2102 a Parlamentului European și a Consiliului (16), statele membre trebuie să se asigure că site-urile web ale autorităților lor publice sunt accesibile în conformitate cu principiile perceptibilității, operabilității, inteligibilității și robusteții și că se conformează cerințelor prevăzute în respectiva directivă. Comisia și statele membre ar trebui să asigure conformitatea cu Convenția Organizației Națiunilor Unite privind drepturile persoanelor cu handicap, în special articolele 9 și 21, și, pentru a promova accesul la informații pentru persoanele cu handicap intelectual, ar trebui furnizate alternative în limbaj ușor lizibil și în cea mai mare măsură cu putință și în conformitate cu principiul proporționalității. Prin ratificarea de către statele membre și încheierea (17) de către Uniune a respectivei convenții, acestea s-au angajat să ia măsurile adecvate pentru a garanta accesul persoanelor cu handicap, în mod egal cu celelalte persoane, la noile tehnologii și sisteme de informatică și comunicare, inclusiv la internet, prin facilitarea accesului la informație pentru persoanele cu handicap intelectual, oferind alternative într-un limbaj ușor inteligibil, în cea mai mare măsură posibilă, și în mod proporțional.

(37)

Directiva (UE) 2016/2102 nu se aplică site-urilor web și aplicațiilor mobile ale instituțiilor, organelor, oficiilor și agențiilor Uniunii, dar Comisia ar trebui să se asigure că interfața comună pentru utilizatori și paginile web care se află în responsabilitatea sa și care urmează să fie incluse în portal sunt accesibile persoanelor cu handicap, în sensul că acestea sunt perceptibile, utilizabile, ușor de înțeles și solide. Perceptibilitatea se referă la faptul că informațiile și componentele interfeței comune de utilizare trebuie să poată fi prezentate utilizatorilor în moduri pe care aceștia le pot percepe; operabilitatea se referă la faptul că componentele interfeței comune de utilizare și navigarea trebuie să poată fi utilizate; inteligibilitatea se referă la faptul că informațiile și exploatarea interfeței comune de utilizare trebuie să poată fi înțelese; iar robustețea se referă la faptul că conținutul trebuie să fie suficient de robust încât să poată fi interpretat în mod fiabil de o gamă largă de agenți utilizatori, inclusiv de tehnologiile de asistare. În privința noțiunilor de perceptibil, utilizabil, ușor de înțeles și solid, Comisia este încurajată să respecte standardele armonizate relevante.

(38)

Pentru a facilita plata taxelor necesare ca parte a procedurilor online sau pentru furnizarea de asistență sau de servicii de rezolvare a problemelor, utilizatorii transfrontalieri ar trebui să poată utiliza transferuri de credit sau debitări directe, astfel cum sunt menționate în Regulamentul (UE) nr. 260/2012 al Parlamentului European și al Consiliului (18), sau alte mijloace de plată transfrontalieră general utilizate, inclusiv carduri de debit sau de credit.

(39)

Este util ca utilizatorii să fie informați cu privire la durata preconizată a unei proceduri. Utilizatorii ar trebui să fie informați în mod corespunzător cu privire la termenele aplicabile sau modalitățile de aprobare tacită sau de tăcere administrativă sau, în cazul în care acestea nu sunt aplicabile, cel puțin cu privire la durata medie, estimată sau orientativă necesară în mod obișnuit pentru procedura respectivă. Aceste estimări sau indicații ar trebui doar să îi ajute pe utilizatori să își planifice activitățile sau orice măsuri administrative ulterioare și nu ar trebui să aibă niciun efect juridic.

(40)

Prezentul regulament ar trebui, de asemenea, să permită verificarea elementelor justificative furnizate în format electronic de către utilizatori, în cazul în care respectivele elemente justificative sunt prezentate fără sigiliul sau certificatul electronic din partea autorității competente emitente, sau în cazul în care instrumentul tehnic stabilit de prezentul regulament sau orice alt sistem care permite schimbul direct de elemente justificative sau verificarea acestora între autoritățile competente ale diferitelor state membre nu este disponibil. În astfel de situații, prezentul regulament ar trebui să prevadă un mecanism eficace de cooperare administrativă între autoritățile competente din statele membre, care să se bazeze pe sistemul de informare al pieței interne (IMI), instituit prin Regulamentul (UE) nr. 1024/2012 al Parlamentului European și al Consiliului (19). În astfel de cazuri, decizia unei autorități competente de a utiliza IMI ar trebui să fie voluntară, dar după ce autoritatea respectivă a transmis o cerere de informații sau de cooperare prin intermediul IMI, autoritatea competentă căreia i-a fost adresată solicitarea ar trebui să aibă obligația de a coopera și de a furniza un răspuns. Cererea poate fi trimisă prin intermediul IMI fie către o autoritate competentă care eliberează elementele justificative, fie către autoritatea centrală care urmează să fie desemnată de statele membre în conformitate cu propriile norme administrative. Pentru a se evita duplicarea inutilă și având în vedere că Regulamentul (UE) 2016/1191 al Parlamentului European și al Consiliului (20) reglementează o parte din elementele justificative relevante pentru procedurile vizate de prezentul regulament, modalitățile de cooperare pentru IMI prevăzute de Regulamentul (UE) 2016/1191 pot fi utilizate și pentru alte elemente justificative necesare în procedurile reglementate de prezentul regulament. Pentru a permite organelor, oficiilor sau agențiilor Uniunii să devină actori în cadrul IMI, este necesar ca Regulamentul (UE) nr. 1024/2012 să fie modificat.

(41)

Serviciile online oferite de autoritățile competente sunt esențiale pentru îmbunătățirea calității și siguranței serviciilor oferite cetățenilor și întreprinderilor. Administrațiile publice din anumite state membre depun eforturi din ce în ce mai mari în vederea reutilizării datelor, renunțând la cerința ca cetățenii și întreprinderile să furnizeze aceleași informații în mod repetat. Reutilizarea datelor ar trebui să fie stimulată în cazul utilizatorilor transfrontalieri, în scopul de a reduce sarcinile suplimentare.

(42)

Pentru a permite schimbul transfrontalier legal de elemente justificative și informații prin aplicarea principiului „doar o singură dată” la nivelul întregii Uniuni, aplicarea prezentului regulament și a principiului menționat ar trebui să respecte toate normele aplicabile în materie de protecție a datelor, inclusiv principiul reducerii la minimum a datelor, al acurateței, al limitării stocării, al integrității și confidențialității, al necesității, al proporționalității și al limitării scopului. De asemenea, aplicarea se face cu respectarea deplină a principiilor securității și protejării vieții private din faza de proiectare și cu respectarea drepturilor fundamentale ale persoanelor, inclusiv cele referitoare la dreptul la tratament echitabil și la transparență.

(43)

Statele membre ar trebui să se asigure că utilizatorilor procedurilor li se oferă informații clare cu privire la modul în care datele cu caracter personal care îi vizează vor fi prelucrate în conformitate cu articolele 13 și 14 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului (21) și cu articolele 15 și 16 din Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului (22).

(44)

În vederea facilitării în continuare a utilizării procedurilor online, prezentul regulament ar trebui, în conformitate cu principiul „doar o singură dată”, să reprezinte baza pentru crearea și utilizarea unui sistem tehnic pe deplin operațional, sigur și securizat pentru schimbul automatizat de elemente justificative între părțile angajate în procedură, atunci când acest lucru este cerut în mod expres de cetățeni și întreprinderi. În cazul în care schimbul de elemente justificative include date cu caracter personal, cererea ar trebui considerată a fi expresă în cazul în care conține o manifestare de voință liberă, specifică, în cunoștință de cauză și lipsită de ambiguitate a persoanei prin care aceasta, fie în baza unei declarații, fie în baza unei acțiuni fără echivoc, este de acord cu schimbul de date cu caracter personal relevante. În cazul în care utilizatorul nu este persoana vizată de date, procedura online nu ar trebui să afecteze drepturile sale în temeiul Regulamentului (UE) 2016/679. Aplicarea transfrontalieră a principiului „doar o singură dată” ar trebui să rezulte în faptul că cetățenii și întreprinderile nu sunt nevoiți să furnizeze în mod repetat aceleași date autorităților publice și că ar trebui să fie posibil ca respectivele date să poată fi folosite la cererea utilizatorului pentru efectuarea procedurilor online transfrontaliere care implică utilizatori transfrontalieri. Pentru autoritatea emitentă competentă, obligația utilizării sistemului tehnic pentru schimbul automatizat de elemente justificative între diferitele state membre ar trebui să se aplice doar în cazul în care autoritățile în cauză emit în mod legal, în propriul stat membru, elementul justificativ într-un format electronic care face posibil un asemenea schimb automatizat.

(45)

Orice schimb transfrontalier de elemente justificative ar trebui să aibă un temei juridic adecvat, precum Directiva 2005/36/CE, 2006/123/CE, 2014/24/UE sau 2014/25/UE sau, în ceea ce privește procedurile enumerate în anexa II, alte dispoziții aplicabile din dreptul Uniunii sau dreptul intern.

(46)

Ar trebui ca prezentul regulament să prevadă, ca regulă generală, că schimbul automatizat transfrontalier de elemente justificative are loc la cererea expresă a utilizatorului. Cu toate acestea, această cerință nu ar trebui să se aplice în cazul în care dreptul Uniunii sau dreptul intern relevant permite schimbul transfrontalier automatizat de date fără cererea expresă a utilizatorului.

(47)

Utilizarea sistemului tehnic stabilit în prezentul regulament ar trebui să rămână voluntară, iar utilizatorul să fie în continuare liber să prezinte elemente justificative prin alte mijloace, în afara sistemului tehnic. Utilizatorul ar trebui să dispună de posibilitatea de a examina în prealabil elementele justificative și de dreptul de a alege să nu procedeze la schimbul de elemente justificative în situațiile în care utilizatorul, după examinarea prealabilă a elementelor justificative care urmează să fie transmise, descoperă că informațiile sunt inexacte, neactualizate sau depășesc ceea ce este necesar în scopul procedurii în cauză. Datele incluse în examinarea prealabilă nu ar trebui stocate mai mult decât este necesar din punct de vedere tehnic.

(48)

Securitatea sistemului tehnic care ar trebui instituit pentru a permite schimbul de elemente justificative în temeiul prezentului regulament ar trebui, de asemenea, să ofere autorităților competente solicitante certitudinea că elementele justificative au fost emise de autoritatea emitentă adecvată. Înainte de a accepta informații oferite de către un utilizator în cadrul unei proceduri, autoritatea competentă ar trebui să fie în măsură să verifice informațiile în cazul în care acestea dau naștere la incertitudini, și să conchidă dacă acestea sunt corecte.

(49)

Există o serie de componente care oferă capabilități de bază și care pot fi utilizate pentru instituirea sistemului tehnic, precum Mecanismul pentru interconectarea Europei, instituit prin Regulamentul (UE) nr. 1316/2013 al Parlamentului European și al Consiliului (23), și componentele de livrare electronică (eDelivery) și de identificare electronică (eID) care sunt parte a respectivului mecanism. Aceste componente sunt compuse din specificații tehnice, eșantioane de software și servicii de sprijin și vizează asigurarea interoperabilității între sistemele de tehnologie a informației și comunicațiilor (TIC) existente în diferite state membre, astfel încât cetățenii, întreprinderile și administrațiile oriunde s-ar afla în Uniune să poată beneficia de servicii publice digitale fără perturbări.

(50)

Sistemele tehnice înființate de prezentul regulament ar trebui să fie puse la dispoziție în plus față de alte sisteme care oferă mecanisme de cooperare între autorități, cum ar fi IMI, și nu ar trebui să afecteze alte sisteme, inclusiv sistemul prevăzut în Regulamentul (CE) nr. 987/2009, documentul european de achiziție unic în temeiul Directivei 2014/24/UE, schimbul electronic de informații în materie de securitate socială (EESSI) în temeiul Regulamentului (CE) nr. 987/2009, cardul profesional european instituit prin Directiva 2005/36/CE, interconectarea registrelor naționale și interconectarea registrelor centrale, ale comerțului și ale societăților în temeiul Directivei (UE) 2017/1132 a Parlamentului European și a Consiliului (24) și interconectarea registrelor de insolvență în conformitate cu Regulamentul (UE) 2015/848 al Parlamentului European și al Consiliului (25).

(51)

În vederea asigurării unor condiții uniforme pentru punerea în aplicare a unui sistem tehnic care să permită schimbul automatizat de elemente justificative, ar trebui conferite competențe de executare Comisiei pentru a detalia, în special, specificațiile tehnice și operaționale ale unui sistem de prelucrare a cererii din partea utilizatorului pentru furnizarea de informații care urmează să fie schimbate, transferul unor astfel de elemente justificative, precum și pentru a detalia normele necesare pentru a asigura integritatea și confidențialitatea transferului. Aceste competențe ar trebui să fie exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului (26).

(52)

În vederea asigurării faptului că sistemul tehnic prevede un nivel înalt de securitate pentru aplicarea transfrontalieră a principiului „doar o singură dată”, la adoptarea actelor de punere în aplicare care stabilesc specificațiile pentru un astfel de sistem tehnic, Comisia ar trebui să ia în considerare în mod corespunzător standardele și specificațiile tehnice elaborate de organizațiile și organismele de standardizare europene și internaționale, în special de Comitetul European de Standardizare (CEN), Institutul European de Standardizare în Telecomunicații (ETSI), Organizația Internațională de Standardizare (ISO) și Uniunea Internațională a Telecomunicațiilor (UIT), precum și standardele de securitate prevăzute la articolul 32 din Regulamentul (UE) 2016/679 și la articolul 22 din Regulamentul (UE) 2018/1725.

(53)

Dacă este necesar pentru a asigura dezvoltarea, disponibilitatea, întreținerea, supravegherea, monitorizarea și gestionarea securității unor părți ale sistemului tehnic pentru care Comisia este responsabilă, Comisia ar trebui să solicite avizul Autorității Europene pentru Protecția Datelor.

(54)

Autoritățile competente Comisia ar trebui să se asigure că informațiile, procedurile și serviciile de care sunt responsabile sunt conforme cu criteriile calitative. Coordonatorii naționali numiți în temeiul prezentului regulament și Comisia ar trebui să supravegheze, la intervale regulate, respectarea criteriilor de calitate și securitate la nivel național și la nivelul Uniunii și să soluționeze toate problemele care apar. În plus, coordonatorii naționali ar trebui să asiste Comisia în monitorizarea funcționării sistemului tehnic care permite schimbul transfrontalier de elemente justificative. Prezentul regulament ar trebui să permită Comisiei o gamă de mijloace pentru a aborda orice deteriorare a calității serviciilor oferite prin portal, în funcție de gravitatea și persistența unor asemenea deteriorări; printre aceste mijloace s-ar număra, acolo unde este necesar, implicarea grupului de coordonare a portalului. Acest lucru nu ar trebui să aducă atingere responsabilității generale a Comisiei în ceea ce privește monitorizarea respectării prezentului regulament.

(55)

Prezentul regulament ar trebui să precizeze principalele funcții ale instrumentelor tehnice care stau la baza funcționării portalului, în special în ceea ce privește interfața comună pentru utilizatori, registrul pentru linkuri și sistemul comun de identificare a serviciului de asistență. Interfața comună pentru utilizatori ar trebui să asigure că utilizatorii pot găsi cu ușurință informații, proceduri și servicii de asistență și soluționare a problemelor pe site-urile web naționale și de la nivelul Uniunii. Statele membre și Comisia ar trebui să vizeze furnizarea de linkuri către o sursă unică de informații necesare pentru portal, pentru a se evita confuzia în rândul utilizatorilor ca rezultat al unor surse diferite sau suprapuse integral sau parțial pentru aceleași informații. Acest lucru nu ar trebui să excludă posibilitatea de furnizare de linkuri la aceleași informații oferite de autoritățile locale sau regionale competente în ceea ce privește diferite zone geografice. De asemenea, acest lucru nu ar trebui să împiedice o anumită suprapunere a informațiilor, atunci când aceasta este inevitabilă sau de dorit, de exemplu în cazul în care anumite drepturi, obligații și norme în Uniune sunt repetate sau descrise în paginile web naționale pentru a se îmbunătăți ușurința de utilizare. Pentru a se reduce la minimum intervenția umană în actualizarea linkurilor care urmează să fie utilizate de interfața comună pentru utilizatori, ar trebui să se stabilească o legătură directă între sistemele tehnice relevante ale statelor membre și registrul pentru linkuri, atunci când este posibil din punct de vedere tehnic. Instrumentele comune de asistență TIC ar putea utiliza Vocabularul serviciilor publice de bază (CPSV) pentru a facilita interoperabilitatea cu cataloagele și semantica serviciilor naționale. Statele membre ar trebui să fie încurajate să utilizeze CPSV, dar sunt libere să decidă utilizarea de soluții naționale. Informațiile incluse în registrul pentru linkuri ar trebui să fie puse la dispoziția publicului într-un format de date deschis și larg utilizat, care poate fi citit automat, de exemplu prin interfețe de programare a aplicațiilor (API-uri), pentru a permite reutilizarea lor.

(56)

Opțiunea de căutare din interfața comună pentru utilizatori ar trebui să-i conducă pe utilizatori la informațiile de care au nevoie, oriunde s-ar afla acestea pe paginile web de la nivelul Uniunii sau de la nivel național. În plus, ca o metodă alternativă pentru a ghida utilizatorii către informații utile, va continua să fie folositoare crearea de linkuri între site-urile sau paginile web existente și complementare, reorganizându-le și grupându-le cât mai mult posibil, precum și crearea de linkuri între paginile web și site-urile web de la nivelul Uniunii și de la nivel național care furnizează acces la informațiile și serviciile online.

(57)

Prezentul regulament ar trebui, de asemenea, să specifice cerințe de calitate pentru interfața comună pentru utilizatori. Comisia ar trebui să se asigure că interfața comună pentru utilizatori respectă cerințele respective și ar trebui să fie în special, disponibilă și accesibilă online prin intermediul unor canale diferite, și totodată să fie ușor de folosit.

(58)

În vederea asigurării unor condiții uniforme pentru punerea în aplicare a soluțiilor tehnice care sprijină portalul, ar trebui conferite competențe de executare Comisiei pentru a stabili, după caz, standardele aplicabile și cerințele de interoperabilitate pentru a spori ușurința găsirii informațiilor privind normele și obligațiile, privind procedurile și privind serviciile de asistență și soluționare a problemelor aflate în responsabilitatea statelor membre și a Comisiei. Respectivele competențe ar trebui exercitate în conformitate cu Regulamentul (UE) nr. 182/2011.

(59)

Prezentul regulament ar trebui, de asemenea, să aloce în mod clar responsabilitatea în ceea ce privește dezvoltarea, disponibilitatea, întreținerea și securitatea aplicațiilor TIC care sprijină portalul între Comisie și statele membre. Ca parte a activităților de întreținere, Comisia și statele membre ar trebui să monitorizeze periodic funcționarea corespunzătoare a acestor aplicații TIC.

(60)

Pentru a valorifica pe deplin potențialul diferitelor domenii ale informațiilor, procedurilor și serviciilor de asistență și soluționare a problemelor care ar trebui să fie incluse în portal, gradul de sensibilizare a publicului țintă cu privire la existența și funcționarea lor trebuie să fie îmbunătățit în mod semnificativ. Includerea lor în portal ar trebui să faciliteze modul în care utilizatorii găsesc informațiile, procedurile și serviciile de asistență și soluționare a problemelor de care au nevoie, chiar și în cazul în care nu sunt familiarizați cu niciunul dintre acestea. În plus, va fi necesar un efort coordonat de promovare pentru a garanta că cetățenii și întreprinderile din întreaga Uniune se familiarizează cu portalul și profită de avantajele pe care le oferă. Astfel de activități promoționale ar trebui să includă optimizarea motoarelor de căutare și alte campanii online de sensibilizare, deoarece acestea sunt cele mai eficace din punct de vedere al costurilor și au potențialul de a ajunge la cel mai larg public țintă posibil. Pentru optimizarea eficienței, aceste activități promoționale ar trebui să fie coordonate în cadrul grupului de coordonare a portalului, iar statele membre ar trebui să își adapteze eforturile de promovare, astfel încât să existe o marcă comună de referință în toate domeniile relevante, cu o posibilitate de marcare în comun a portalului digital unic cu inițiativele naționale.

(61)

Toate instituțiile, organele și agențiile Uniunii ar trebui să fie încurajate să promoveze portalul prin includerea logo-ului acestuia și linkuri către acesta pe toate paginile de web pentru care sunt responsabile.

(62)

Denumirea sub care portalul va fi cunoscut și promovat în rândul publicului larg ar trebui să fie „Your Europe”. Interfața comună pentru utilizatori ar trebui să fie vizibilă și ușor de găsit, în special pe paginile web relevante ale Uniunii și pe cele naționale. Logo-ul portalului ar trebui să fie vizibil pe toate paginile web relevante ale Uniunii și pe cele naționale.

(63)

Pentru a obține informații adecvate în vederea evaluării și a îmbunătățirii performanței portalului, prezentul regulament ar trebui să oblige autoritățile competente și Comisia să colecteze și să analizeze datele referitoare la utilizarea diferitelor domenii de informații, a diverselor proceduri și servicii oferite prin intermediul portalului. Colectarea de statistici privind utilizatorii, precum date referitoare la numărul de vizite pe anumite pagini web, numărul de utilizatori din cadrul unui stat membru în comparație cu numărul de utilizatori din alte state membre, termenii de căutare utilizați, paginile web cele mai vizitate, paginile web de referință sau numărul, originea și obiectul cererilor de asistență, ar trebui să îmbunătățească funcționarea portalului, ajutând la identificarea publicului, la elaborarea de activități promoționale și la îmbunătățirea calității serviciilor oferite. Colectarea de astfel de date ar trebui să țină seama de exercițiul de referință privind guvernarea electronică efectuat anual de Comisie pentru a se evita orice suprapunere.

(64)

În vederea asigurării unor condiții uniforme pentru punerea în aplicare a prezentului regulament, ar trebui conferite e competențe de executare Comisiei. pentru a stabili norme uniforme privind metoda de colectare și schimbul de statistici privind utilizatorii. Respectivele competențe ar trebui exercitate în conformitate cu Regulamentul (UE) nr. 182/2011.

(65)

Calitatea portalului depinde de calitatea serviciilor naționale și ale Uniunii furnizate prin intermediul portalului. Prin urmare, calitatea informațiilor, a procedurilor și a serviciilor de asistență și soluționare a problemelor disponibile prin intermediul portalului ar trebui să fie monitorizată periodic, inclusiv prin intermediul unui instrument care solicită utilizatorilor să evalueze și să formuleze observații privind gradul de acoperire și calitatea informațiilor, a procedurilor și a serviciilor de asistență și de soluționare a problemelor pe care aceștia le-au utilizat. Aceste observații ar trebui să fie colectate într-un instrument comun la care Comisia, autoritățile competente și coordonatorii naționali ar trebui să aibă acces. În vederea asigurării unor condiții uniforme pentru punerea în aplicare a prezentului regulament în ceea ce privește funcționalitățile comune ale instrumentelor de formulare a observațiilor de către utilizatori și modalitățile pentru colectarea și partajarea observațiilor din partea utilizatorilor, ar trebui conferite competențe de executare Comisiei. Respectivele competențe ar trebui exercitate în conformitate cu Regulamentul (UE) nr. 182/2011. Comisia ar trebui să publice online sinteze în formă anonimizată privind problemele care rezultă din informații, din principalele statistici privind utilizatorii și din principalele observații formulate de utilizatori, colectate în conformitate cu prezentul regulament.

(66)

În plus, portalul ar trebui să includă și un instrument de formulare a observațiilor care să permită utilizatorilor să semnaleze, în mod voluntar și anonim, toate problemele și dificultățile pe care le-au întâmpinat în exercitarea drepturilor lor pe piața internă. Acest instrument ar trebui să fie considerat o completare la mecanismele de soluționare a plângerilor, întrucât nu poate oferi un răspuns personalizat pentru utilizatori. Contribuțiile primite ar trebui să fie combinate cu informații agregate provenite de la serviciile de asistență și soluționare a problemelor cu privire la cazurile pe care le tratează, pentru a prezenta o imagine de ansamblu a pieței interne, așa cum este percepută de către utilizatori, și pentru a identifica domenii problematice pentru posibile acțiuni viitoare în vederea îmbunătățirii funcționării pieței interne. Această imagine de ansamblu ar trebui să fie conectată la instrumentele de raportare existente, precum Tabloul de bord al pieței unice.

(67)

Dreptul statelor membre de a decide cine ar trebui să îndeplinească rolul de coordonator național ar trebui să rămână neafectat de prezentul regulament. Statele membre ar trebui să fie în măsură să adapteze funcțiile și responsabilitățile coordonatorilor lor naționali în ceea ce privește portalul la structurile lor administrative interne. Statele membre ar trebui să fie în măsură să numească mai mulți coordonatori naționali pentru îndeplinirea sarcinilor în temeiul prezentului regulament, singuri sau împreună cu alții, având responsabilitate pentru un sector administrativ sau pentru o regiune geografică sau conform unui alt criteriu. Statele membre ar trebui să informeze Comisia cu privire la identitatea coordonatorului național unic pe care l-au desemnat pentru contactele cu Comisia.

(68)

Ar trebui înființat un grup de coordonare a portalului, format din coordonatori naționali și prezidat de către Comisie, cu scopul de a facilita punerea în aplicare a prezentului regulament, în special prin schimbul de bune practici și colaborarea în vederea îmbunătățirii coerenței prezentării informațiilor, astfel cum este prevăzut în prezentul regulament. Activitatea grupului de coordonare a portalului ar trebui să ia în considerare obiectivele stabilite în programul anual de lucru, pe care Comisia ar trebui să îl transmită în vederea examinării. Programul anual de lucru ar trebui să ia forma unor orientări sau recomandări fără caracter obligatoriu pentru statele membre. Comisia, la cererea Parlamentului European, poate decide să invite Parlamentul să trimită experți care să asiste la reuniunile grupului de coordonare a portalului.

(69)

Prezentul regulament ar trebui să precizeze în mod clar care dintre părțile portalului urmează să fie finanțate din bugetul Uniunii și care sunt părțile care intră în responsabilitatea statelor membre. Comisia ar trebui să asiste statele membre în identificarea componentelor TIC reutilizabile și a finanțării disponibile prin intermediul a diverse fonduri și programe de la nivelul Uniunii care pot contribui la acoperirea costurilor pentru adaptările și evoluțiile TIC necesare la nivel național în vederea respectării prezentului regulament. Bugetul necesar pentru punerea în aplicare a prezentului regulament ar trebui să fie compatibil cu cadrul financiar multianual aplicabil.

(70)

Statele membre sunt încurajate să se coordoneze, să facă schimburi și să colaboreze mai mult unele cu altele pentru a-și extinde capacitățile strategice, operaționale și de cercetare și dezvoltare în domeniul securității cibernetice, în special prin punerea în aplicare a securității rețelelor și a informațiilor (NIS), astfel cum sunt menționate în Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului (27), pentru a consolida securitatea și reziliența administrației și a serviciilor lor publice. Statele membre sunt încurajate să crească securitatea tranzacțiilor și să asigure un grad suficient de încredere în mijloacele electronice prin utilizarea cadrului eIDAS stabilit de Regulamentul (UE) nr. 910/2014 și, în special, a unor niveluri de asigurare adecvate. Statele membre pot lua măsuri în conformitate cu dreptul Uniunii pentru salvgardarea securității cibernetice și pentru prevenirea fraudelor de identitate sau a altor forme de fraudă.

(71)

Atunci când aplicarea prezentului regulament presupune prelucrarea de date cu caracter personal, acest lucru ar trebui să fie realizat în conformitate cu dreptul Uniunii privind protecția datelor cu caracter personal, în special Regulamentul (UE) 2016/679 și Regulamentul (UE) 2018/1725. Directiva (UE) 2016/680 a Parlamentului European și a Consiliului (28) ar trebui să se aplice, de asemenea, în contextul prezentului regulament. Așa cum prevede Regulamentul (UE) 2016/679, statele membre pot menține sau introduce și alte condiții, inclusiv restricții, în ceea ce privește prelucrarea datelor referitoare la starea de sănătate și pot prevedea norme mai specifice privind prelucrarea datelor cu caracter personal ale angajaților în contextul ocupării unui loc de muncă.

(72)

Prezentul regulament ar trebui să promoveze și să faciliteze raționalizarea modalităților de guvernanță pentru serviciile acoperite de portal. În acest scop, Comisia ar trebui, în strânsă cooperare cu statele membre, să revizuiască modalitățile de guvernanță existente și să le adapteze, după caz, în vederea evitării suprapunerilor și a ineficienței.

(73)

Obiectivul prezentului regulament este de a garanta că utilizatorii care își desfășoară activitatea în alte state membre au acces online, la nivelul Uniunii și la nivel național, la informații cuprinzătoare, fiabile, accesibile și ușor de înțeles cu privire la drepturi, reguli și obligații, la proceduri online care sunt pe deplin funcționale la nivel transfrontalier și la servicii de asistență și soluționare a problemelor. Întrucât obiectivul respectiv nu poate fi realizat în mod satisfăcător de către statele membre, dar, având în vedere amploarea și efectele prezentului regulament, poate fi realizat mai bine la nivelul Uniunii, aceasta poate adopta măsuri, în conformitate cu principiul subsidiarității, astfel cum este prevăzut la articolul 5 din Tratatul privind Uniunea Europeană. În conformitate cu principiul proporționalității, astfel cum este enunțat la articolul respectiv, prezentul regulament nu depășește ceea ce este necesar pentru atingerea acestui obiectiv.

(74)

Pentru ca statele membre și Comisia să elaboreze și să pună în aplicare instrumentele necesare pentru punerea în aplicare a prezentului regulament, anumite dispoziții din acesta ar trebui să se aplice la doi ani de la data intrării în vigoare. Autoritățile locale ar trebui să dispună de până la patru ani de la data intrării în vigoare a prezentului regulament pentru a implementa cerința referitoare la furnizarea de informații cu privire la norme, proceduri și servicii de asistență și soluționare a problemelor ce cad în sfera lor de responsabilitate. Dispozițiile prezentului regulament privind procedurile care urmează să fie desfășurate integral online, accesul transfrontalier la procedurile online și sistemul tehnic pentru schimbul transfrontalier automatizat de elemente justificative, în conformitate cu principiul „doar o singură dată” ar trebui să fie puse în aplicare în termen de cinci ani de la intrarea în vigoare a prezentului regulament.

(75)

Prezentul regulament respectă drepturile fundamentale și se conformează principiilor recunoscute, în special, de Carta drepturilor fundamentale a Uniunii Europene, și ar trebui să fie pus în aplicare în conformitate cu aceste drepturi și principii.

(76)

Autoritatea Europeană pentru Protecția Datelor a fost consultată în conformitate cu articolul 28 alineatul (2) din Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului (29) și a emis un aviz la 1 august 2017 (30),

(1)

Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal este un drept fundamental. Articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene („Carta”) și articolul 16 alineatul (1) din Tratatul privind funcționarea Uniunii Europene (TFUE) prevăd dreptul oricărei persoane la protecția datelor cu caracter personal care o privesc. De asemenea, acest drept este garantat și în temeiul articolului 8 din Convenția europeană pentru apărarea drepturilor omului și a libertăților fundamentale.

(2)

Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului (3) conferă persoanelor fizice drepturi garantate din punct de vedere juridic, definește obligațiile în materie de prelucrare a datelor care le revin operatorilor în instituțiile și organele comunitare și prevede instituirea unei autorități independente de supraveghere, Autoritatea Europeană pentru Protecția Datelor, care să răspundă de monitorizarea prelucrării datelor cu caracter personal de către instituțiile și organele Uniunii. Cu toate acestea, regulamentul menționat nu se aplică prelucrării datelor cu caracter personal în cursul unei activități desfășurate de către instituții și organe ale Uniunii care nu intră în domeniul de aplicare al dreptului Uniunii.

(3)

Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului (4) și Directiva (UE) 2016/680 a Parlamentului European și a Consiliului (5) au fost adoptate la 27 aprilie 2016. În timp ce regulamentul stabilește norme generale menite să protejeze persoanele fizice în ceea ce privește prelucrarea datelor cu caracter personal și să asigure libera circulație a datelor cu caracter personal în Uniune, directiva stabilește norme specifice menite să protejeze persoanele fizice în ceea ce privește prelucrarea datelor cu caracter personal și să asigure libera circulație a acestor date în Uniune în domeniile cooperării judiciare în materie penală și al cooperării polițienești.

(4)

Regulamentul (UE) 2016/679 prevede adaptarea Regulamentului (CE) nr. 45/2001 pentru a asigura un cadru solid și coerent în materia protecției datelor în Uniune și a permite aplicarea în paralel a acestuia din urmă cu Regulamentul (UE) 2016/679.

(5)

Este în interesul unei abordări coerente a protecției datelor cu caracter personal în întreaga Uniune, precum și al liberei circulații a datelor cu caracter personal în Uniune, ca normele de protecție a datelor ale instituțiilor, organelor, oficiilor și agențiilor Uniunii să fie aliniate cât mai mult posibil la normele de protecție a datelor adoptate pentru sectorul public din statele membre. Ori de câte ori dispozițiile din prezentul regulament urmează aceleași principii ca dispozițiile Regulamentului (UE) 2016/679, aceste două seturi de dispoziții ar trebui, în temeiul jurisprudenței Curții de Justiție a Uniunii Europene („Curtea de Justiție”), să fie interpretate în mod omogen, în special pentru că structura prezentului regulament ar trebui înțeleasă ca fiind similară structurii Regulamentului (UE) 2016/679.

(6)

Persoanele ale căror date cu caracter personal sunt prelucrate de către instituțiile sau organele Uniunii indiferent de context, de exemplu pentru că persoanele menționate mai sus sunt angajate de către aceste instituții sau organe, ar trebui să fie protejate. Prezentul regulament nu ar trebui să se aplice prelucrării datelor cu caracter personal ale persoanelor decedate. Prezentul regulament nu se aplică prelucrării datelor cu caracter personal care privesc persoane juridice și, în special, întreprinderi cu personalitate juridică, inclusiv numele și tipul de persoană juridică și datele de contact ale persoanei juridice.

(7)

Pentru a preveni apariția unui risc major de eludare, protecția persoanelor fizice ar trebui să fie neutră din punct de vedere tehnologic și să nu depindă de tehnologiile utilizate.

(8)

Prezentul regulament ar trebui să se aplice prelucrării datelor cu caracter personal de către toate instituțiile, organele, oficiile și agențiile Uniunii. Regulamentul ar trebui să se aplice prelucrării datelor cu caracter personal, efectuate total sau parțial prin mijloace automatizate, precum și prelucrării, prin alte mijloace decât cele automatizate, a datelor cu caracter personal care fac parte dintr-un sistem de evidență sau care sunt destinate să facă parte dintr-un sistem de evidență. Dosarele sau seturile de dosare, precum și copertele acestora, care nu sunt structurate în conformitate cu criterii specifice nu ar trebui să intre în domeniul de aplicare al prezentului regulament.

(9)

În Declarația nr. 21 cu privire la protecția datelor cu caracter personal în domeniul cooperării judiciare în materie penală și al cooperării polițienești, anexată actului final al Conferinței interguvernamentale care a adoptat Tratatul de la Lisabona, conferința a recunoscut că s-ar putea dovedi necesare norme specifice privind protecția datelor cu caracter personal și libera circulație a datelor cu caracter personal în domeniul cooperării judiciare în materie penală și al cooperării polițienești în temeiul articolului 16 din TFUE, având în vedere natura specifică a acestor domenii. Un capitol distinct din prezentul regulament cuprinzând norme generale ar trebui, prin urmare, să se aplice prelucrării datelor operaționale cu caracter personal, precum datele cu caracter personal prelucrate în vederea anchetelor penale de către organele, oficiile sau agențiile Uniunii atunci când desfășoară activități în domeniile cooperării judiciare în materie penală și al cooperării polițienești.

(10)

Directiva (UE) 2016/680 stabilește norme armonizate pentru protecția și libera circulație a datelor cu caracter personal prelucrate în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau în scopul executării pedepselor, inclusiv în scopul protejării împotriva amenințărilor la adresa securității publice și al prevenirii acestora. În vederea asigurării aceluiași nivel de protecție pentru persoanele fizice prin drepturi opozabile în întreaga Uniune și a preîntâmpinării discrepanțelor care împiedică schimbul de date cu caracter personal între organele, oficiile sau agențiile Uniunii atunci când desfășoară activități care intră în domeniul de aplicare al părții a treia titlul V capitolul 4 sau capitolul 5 din TFUE și autoritățile competente, normele pentru protecția și libera circulație a datelor operaționale cu caracter personal prelucrate de către aceste organe, oficii sau agenții ale Uniunii ar trebui să fie coerente cu Directiva (UE) 2016/680.

(11)

Normele generale ale capitolului din prezentul regulament referitor la prelucrarea datelor operaționale cu caracter personal ar trebui să se aplice fără a aduce atingere normelor specifice aplicabile prelucrării de date operaționale cu caracter personal efectuate de organele, oficiile și agențiile Uniunii atunci când desfășoară activități care intră sub incidența părții a treia titlul V capitolul 4 sau capitolul 5 din TFUE. Aceste norme specifice ar trebui să fie considerate lex specialis în raport cu dispozițiile de la capitolul din prezentul regulament referitor la prelucrarea datelor operaționale cu caracter personal (lex specialis derogat legi generali). Pentru a reduce fragmentarea juridică, normele specifice de protecție a datelor aplicabile prelucrării de date operaționale cu caracter personal de către organele, oficiile sau agențiile Uniunii atunci când desfășoară activități care intră sub incidența părții a treia titlul V capitolul 4 sau capitolul 5 din TFUE ar trebui să fie în concordanță cu principiile care stau la baza capitolului din prezentul regulament referitor la prelucrarea datelor operaționale cu caracter personal, precum și cu dispozițiile din prezentul regulament privind controlul independent, căile de atac, răspunderea și sancțiunile.

(12)

Capitolul din prezentul regulament referitor la prelucrarea datelor operaționale cu caracter personal ar trebui să se aplice organelor, oficiilor și agențiilor Uniunii atunci când desfășoară activități care intră sub incidența părții a treia titlul V capitolul 4 sau capitolul 5 din TFUE, indiferent dacă desfășoară aceste activități ca sarcini principale sau auxiliare în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor. Cu toate acestea, capitolul în cauză nu ar trebui să se aplice Europol sau Parchetului European până când actele juridice de instituire a Europol și a Parchetului European nu sunt modificate, cu scopul de a face capitolul din prezentul regulament referitor la prelucrarea datelor operaționale cu caracter personal, în forma adaptată, aplicabil acestora.

(13)

Comisia ar trebui să revizuiască prezentul regulament, în special capitolul din prezentul regulament referitor la prelucrarea datelor operaționale cu caracter personal. Comisia ar trebui, de asemenea, să revizuiască alte acte juridice, adoptate pe baza tratatelor, care reglementează prelucrarea datelor operaționale cu caracter personal de către organele, oficiile sau agențiile Uniunii atunci când desfășoară activități care intră sub incidența părții a treia titlul V capitolul 4 sau capitolul 5 din TFUE. După această revizuire, în vederea asigurării unei protecții uniforme și consecvente a persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal, Comisia ar trebui să poată face orice propuneri legislative corespunzătoare, inclusiv orice adaptări necesare ale capitolului din prezentul regulament referitor la prelucrarea datelor operaționale cu caracter personal, în vederea aplicării acestuia Europol și Parchetului European. Adaptările ar trebui să ia în considerare dispoziții referitoare la supravegherea independentă, căile de atac, răspunderea și sancțiunile.

(14)

Prelucrarea datelor administrative cu caracter personal, cum ar fi datele privind personalul, de către organele, oficiile sau agențiile Uniunii care desfășoară activități care intră sub incidența părții a treia titlul V capitolul 4 sau capitolul 5 din TFUE ar trebui reglementată de prezentul regulament.

(15)

Prezentul regulament ar trebui să se aplice prelucrării datelor cu caracter personal de către instituțiile, organele, oficiile sau agențiile Uniunii care desfășoară activități care intră în domeniul de aplicare al titlului V capitolul 2 din Tratatul privind Uniunea Europeană (TUE). Prezentul regulament nu ar trebui să se aplice prelucrării datelor cu caracter personal de către misiunile menționate la articolul 42 alineatul (1) și la articolele 43 și 44 din TUE, care pun în aplicare politica de securitate și apărare comună. Dacă este cazul, pentru a reglementa în mod mai specific prelucrarea de date cu caracter personal în domeniul politicii de securitate și apărare comune, ar trebui prezentate propuneri corespunzătoare.

(16)

Principiile protecției datelor ar trebui să se aplice oricărei informații referitoare la o persoană fizică identificată sau identificabilă. Datele cu caracter personal care au fost supuse pseudonimizării, care ar putea fi atribuite unei persoane fizice prin utilizarea de informații suplimentare, ar trebui considerate informații referitoare la o persoană fizică identificabilă. Pentru a se determina dacă o persoană fizică este identificabilă, ar trebui să se ia în considerare toate mijloacele, cum ar fi individualizarea, pe care este probabil, în mod rezonabil, să le utilizeze fie operatorul, fie o altă persoană, în scopul identificării, în mod direct sau indirect, a persoanei fizice respective. Pentru a se determina dacă este probabil, în mod rezonabil, să fie utilizate mijloace pentru identificarea persoanei fizice, ar trebui luați în considerare toți factorii obiectivi, precum costurile și intervalul de timp necesare pentru identificare, ținându-se seama atât de tehnologia disponibilă la momentul prelucrării, cât și de dezvoltarea tehnologică. Principiile protecției datelor ar trebui, prin urmare, să nu se aplice informațiilor anonime, adică informațiilor care nu sunt legate de o persoană fizică identificată sau identificabilă sau datelor cu caracter personal care sunt anonimizate astfel încât persoana vizată nu este sau nu mai este identificabilă. Prin urmare, prezentul regulament nu se aplică prelucrării unor astfel de informații anonime, inclusiv în cazul în care acestea sunt utilizate în scopuri statistice sau de cercetare.

(17)

Aplicarea pseudonimizării datelor cu caracter personal poate reduce riscurile pentru persoanele vizate și poate ajuta operatorii și persoanele împuternicite de către operatori să își îndeplinească obligațiile de protecție a datelor. Introducerea explicită a conceptului de „pseudonimizare” în prezentul regulament nu este destinată să împiedice alte eventuale măsuri de protecție a datelor.

(18)

Persoanele fizice pot fi asociate cu identificatorii online furnizați de dispozitivele, aplicațiile, instrumentele și protocoalele lor, cum ar fi adresele IP, identificatorii cookie sau alți identificatori, precum etichetele de identificare prin frecvențe radio. Aceștia pot lăsa urme care, în special atunci când sunt combinate cu identificatori unici și cu alte informații primite de servere, pot fi utilizate pentru crearea de profiluri ale persoanelor fizice și pentru identificarea lor.

(19)

Consimțământul ar trebui acordat printr-o acțiune neechivocă care să constituie o manifestare liber exprimată, specifică, în cunoștință de cauză și clară a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, cum ar fi o declarație făcută în scris, inclusiv în format electronic, sau verbal. Aceasta ar putea include bifarea unei căsuțe atunci când persoana vizitează un website, alegerea parametrilor tehnici pentru serviciile societății informaționale sau orice altă declarație sau acțiune care indică în mod clar în acest context acceptarea de către persoana vizată a prelucrării propuse a datelor sale cu caracter personal. Prin urmare, absența unui răspuns, căsuțele bifate în prealabil sau absența unei acțiuni nu ar trebui să constituie un consimțământ. Consimțământul ar trebui să vizeze toate activitățile de prelucrare efectuate în același scop sau în aceleași scopuri. Dacă prelucrarea datelor se face în mai multe scopuri, consimțământul ar trebui dat pentru toate scopurile prelucrării. În cazul în care consimțământul persoanei vizate trebuie acordat în urma unei cereri transmise pe cale electronică, cererea respectivă trebuie să fie clară și concisă și să nu perturbe în mod inutil utilizarea serviciului pentru care se acordă consimțământul. În același timp, persoana vizată ar trebui să aibă dreptul de a-și retrage în orice moment consimțământul, fără ca acest fapt să afecteze legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia. Pentru a garanta faptul că a fost acordat în mod liber, consimțământul nu ar trebui să constituie un temei juridic valabil pentru prelucrarea datelor cu caracter personal în cazul particular în care există un dezechilibru evident între persoana vizată și operator, iar acest lucru face improbabilă acordarea consimțământului în mod liber în toate circumstanțele aferente respectivei situații particulare. Adesea nu este posibil, în momentul colectării datelor cu caracter personal, să se identifice pe deplin scopul prelucrării datelor în scopuri de cercetare științifică. Din acest motiv, persoanelor vizate ar trebui să li se permită să își exprime consimțământul pentru anumite domenii ale cercetării științifice atunci când sunt respectate standardele etice recunoscute pentru cercetarea științifică. Persoanele vizate ar trebui să aibă posibilitatea de a-și exprima consimțământul doar pentru anumite domenii de cercetare sau părți ale proiectelor de cercetare în măsura permisă de scopul preconizat.

(20)

Orice prelucrare de date cu caracter personal ar trebui să fie legală și echitabilă. Ar trebui să fie transparent pentru persoanele fizice faptul că sunt colectate, utilizate, consultate sau prelucrate în alt mod datele cu caracter personal care le privesc și în ce măsură datele cu caracter personal sunt sau vor fi prelucrate. Principiul transparenței prevede că orice informații și comunicări referitoare la prelucrarea respectivelor date cu caracter personal sunt ușor accesibile și ușor de înțeles și că se utilizează un limbaj simplu și clar. Acest principiu se referă în special la informarea persoanelor vizate privind identitatea operatorului și scopurile prelucrării, precum și la oferirea de informații suplimentare, pentru a asigura o prelucrare echitabilă și transparentă în ceea ce privește persoanele fizice vizate și dreptul acestora de a li se confirma și comunica datele cu caracter personal care le privesc care sunt prelucrate. Persoanele fizice ar trebui informate cu privire la riscurile, normele, garanțiile și drepturile în materie de prelucrare a datelor cu caracter personal și cu privire la modul în care să își exercite drepturile în legătură cu prelucrarea. În special, scopurile specifice în care datele cu caracter personal sunt prelucrate ar trebui să fie explicite și legitime și să fie determinate la momentul colectării datelor respective. Datele cu caracter personal ar trebui să fie adecvate, relevante și limitate la ceea ce este necesar pentru scopurile în care sunt prelucrate. Aceasta necesită, în special, asigurarea faptului că perioada pentru care datele cu caracter personal sunt stocate este limitată strict la minimum. Datele cu caracter personal ar trebui prelucrate doar dacă scopul prelucrării nu poate fi îndeplinit în mod rezonabil prin alte mijloace. În vederea asigurării faptului că datele cu caracter personal nu sunt păstrate mai mult timp decât este necesar, ar trebui să se stabilească de către operator termene pentru ștergere sau pentru o revizuire periodică. Ar trebui să fie luate toate măsurile rezonabile pentru a se asigura că datele cu caracter personal care sunt inexacte sunt rectificate sau șterse. Datele cu caracter personal ar trebui prelucrate într-un mod care să asigure în mod adecvat securitatea și confidențialitatea acestora, inclusiv în scopul prevenirii accesului neautorizat la acestea sau utilizarea neautorizată a datelor cu caracter personal și a echipamentului utilizat pentru prelucrare și pentru a preveni dezvăluirea neautorizată în cursul transmiterii.

(21)

În conformitate cu principiul responsabilității, în cazul în care instituții sau organe ale Uniunii transmit date cu caracter personal în cadrul aceleiași instituții sau aceluiași organ, iar destinatarul nu face parte din operator, sau în cazul în care transmit date cu caracter personal către alte instituții sau organe ale Uniunii, respectivele instituții și organe ar trebui să verifice dacă aceste date cu caracter personal sunt necesare pentru îndeplinirea legitimă a sarcinilor care sunt de competența destinatarului. În special, după ce destinatarul i-a adresat o cerere de transmitere a unor date cu caracter personal, operatorul ar trebui să verifice existența unui motiv relevant pentru prelucrarea legală a datelor cu caracter personal, precum și competența destinatarului. Operatorul ar trebui, de asemenea, să efectueze o evaluare provizorie a necesității transmiterii datelor. Dacă apar îndoieli în privința necesității acestui transfer, operatorul ar trebui să solicite destinatarului mai multe informații. Destinatarul ar trebui să se asigure că necesitatea transmiterii datelor poate fi verificată ulterior.

(22)

Pentru ca prelucrarea datelor cu caracter personal să fie legală, la baza acesteia ar trebui să stea necesitatea îndeplinirii de către instituțiile și organele Uniunii a unei sarcini de interes public sau care rezultă din exercitarea autorității publice cu care sunt învestite, necesitatea respectării unei obligații legale care îi revine operatorului sau un alt motiv legitim în temeiul prezentului regulament, inclusiv consimțământul persoanei vizate, necesitatea prelucrării în vederea executării unui contract la care persoana vizată este parte sau necesitatea parcurgerii etapelor premergătoare încheierii unui contract, la solicitarea persoanei vizate. Prelucrarea datelor cu caracter personal în scopul îndeplinirii unor misiuni de interes public de către instituțiile și organele Uniunii include prelucrarea datelor cu caracter personal necesare administrării și funcționării acestor instituții și organe. Prelucrarea datelor cu caracter personal ar trebui, de asemenea, să fie considerată legală în cazul în care este necesară în scopul asigurării protecției unui interes care este esențial pentru viața persoanei vizate sau pentru viața unei alte persoane fizice. Prelucrarea datelor cu caracter personal care are drept temei interesele vitale ale unei alte persoane fizice ar trebui, în principiu, să fie efectuată numai în cazul în care prelucrarea nu se poate baza în mod evident pe un alt temei juridic. Unele tipuri de prelucrare pot servi atât unor motive importante de interes public, cât și intereselor vitale ale persoanei vizate, de exemplu în cazul în care prelucrarea este necesară în scopuri umanitare, inclusiv în vederea monitorizării unei epidemii și a răspândirii acesteia sau în situații de urgențe umanitare, în special în situații de dezastre naturale sau provocate de om.

(23)

Dreptul Uniunii menționat în prezentul regulament ar trebui să fie clar și precis, iar aplicarea sa ar trebui să fie previzibilă pentru persoanele vizate de acesta, în conformitate cu cerințele prevăzute în Cartă și în Convenția europeană pentru apărarea drepturilor omului și a libertăților fundamentale.

(24)

Normele interne menționate în prezentul regulament ar trebui să fie acte clare și precise, general aplicabile, menite să producă efecte juridice față de persoanele vizate. Acestea ar trebui adoptate la cel mai înalt nivel de conducere al instituțiilor și organelor Uniunii, în limita competențelor acestora și în chestiuni legate de funcționarea lor. Acestea ar trebui publicate în Jurnalul Oficial al Uniunii Europene. Aplicarea normelor respective ar trebui să fie previzibilă pentru persoanele vizate, în conformitate cu cerințele prevăzute în Cartă și în Convenția europeană pentru apărarea drepturilor omului și a libertăților fundamentale. Normele interne ar putea lua forma unor decizii, în special atunci când sunt adoptate de instituțiile Uniunii.

(25)

Prelucrarea datelor cu caracter personal în alte scopuri decât scopurile pentru care datele cu caracter personal au fost inițial colectate ar trebui să fie permisă doar atunci când prelucrarea este compatibilă cu scopurile pentru care datele cu caracter personal au fost inițial colectate. În acest caz nu este necesar un temei juridic separat de cel pe baza căruia a fost permisă colectarea datelor cu caracter personal. În cazul în care prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul, dreptul Uniunii poate stabili și specifica sarcinile și scopurile pentru care prelucrarea ulterioară ar trebui considerată a fi compatibilă și legală. Prelucrarea ulterioară în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice ar trebui considerată ca reprezentând operațiuni de prelucrare legale compatibile. Temeiul juridic prevăzut în dreptul Uniunii pentru prelucrarea datelor cu caracter personal poate constitui, de asemenea, un temei juridic pentru prelucrarea ulterioară. Pentru a stabili dacă scopul prelucrării ulterioare este compatibil cu scopul pentru care au fost colectate inițial datele cu caracter personal, operatorul, după ce a îndeplinit toate cerințele privind legalitatea prelucrării inițiale, ar trebui să țină seama, printre altele, de orice legătură existentă între respectivele scopuri și scopurile prelucrării ulterioare preconizate, de contextul în care au fost colectate datele cu caracter personal, în special de așteptările rezonabile ale persoanelor vizate, bazate pe relația lor cu operatorul, în ceea ce privește utilizarea ulterioară a datelor; de natura datelor cu caracter personal, de consecințele pe care prelucrarea ulterioară preconizată le va avea asupra persoanelor vizate, precum și de existența unor garanții corespunzătoare atât în cadrul operațiunilor de prelucrare inițiale, cât și în cadrul operațiunilor de prelucrare ulterioare preconizate.

(26)

În cazul în care prelucrarea se bazează pe consimțământul persoanei vizate, operatorul ar trebui să fie în măsură să demonstreze faptul că persoana vizată și-a dat consimțământul pentru operațiunea de prelucrare. În special, în contextul unei declarații scrise cu privire la un alt aspect, garanțiile ar trebui să asigure că persoana vizată este conștientă de faptul că și-a dat consimțământul și în ce măsură a făcut acest lucru. În conformitate cu Directiva 93/13/CEE a Consiliului (6), ar trebui furnizată o declarație de consimțământ formulată în prealabil de către operator, într-o formă inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu, iar această declarație nu ar trebui să conțină clauze abuzive. Pentru ca acordarea consimțământului să fie în cunoștință de cauză, persoana vizată ar trebui să fie la curent cel puțin cu identitatea operatorului și cu scopurile prelucrării pentru care sunt destinate datele cu caracter personal. Consimțământul nu ar trebui considerat ca fiind acordat în mod liber dacă persoana vizată nu dispune cu adevărat de libertatea de alegere sau nu este în măsură să refuze sau să își retragă consimțământul fără a fi prejudiciată.

(27)

Copiii au nevoie de o protecție specifică a datelor lor cu caracter personal, întrucât pot fi mai puțin conștienți de riscurile, consecințele, garanțiile în cauză și drepturile lor în ceea ce privește prelucrarea datelor cu caracter personal. O astfel de protecție specifică ar trebui să se aplice în special creării de profiluri de personalitate și colectării de date cu caracter personal privind copiii cu ocazia oferirii serviciilor direct copiilor pe website-urile instituțiilor și organelor Uniunii, cum ar fi serviciile de comunicare interpersonală sau vânzarea online de bilete, iar prelucrarea datelor cu caracter personal se bazează pe consimțământ.

(28)

Atunci când destinatari stabiliți în Uniune, alții decât instituțiile și organele Uniunii, ar dori ca instituții și organe ale Uniunii să le transmită date cu caracter personal, destinatarii respectivi ar trebui să demonstreze că este necesar ca datele să fie transmise acestor destinatari pentru îndeplinirea sarcinii lor executate în interes public sau în cadrul exercitării unei autorități oficiale cu care sunt învestiți. În mod alternativ, destinatarii respectivi ar trebui să demonstreze că transmiterea este necesară pentru un scop specific în interesul public iar operatorul ar trebui să stabilească dacă există vreun motiv să se presupună că interesele legitime ale persoanei vizate ar putea fi afectate. În astfel de cazuri, în mod demonstrabil, operatorul ar trebui să cântărească diferitele interese pentru a evalua proporționalitatea transmiterii solicitate de date cu caracter personal. Scopul specific în interesul public ar putea să se refere la transparența instituțiilor și organelor Uniunii. În plus, instituțiile și organele Uniunii ar trebui să demonstreze această necesitate atunci când inițiază ele însele o transmitere, în conformitate cu principiul transparenței și al bunei administrări. Cerințele stabilite în prezentul regulament privind transmiterile către destinatari stabiliți în Uniune, alții decât instituții și organe ale Uniunii, ar trebui să fie înțelese ca fiind complementare condițiilor pentru prelucrarea legală.

(29)

Datele cu caracter personal care sunt, prin natura lor, deosebit de sensibile în ceea ce privește drepturile și libertățile fundamentale necesită o protecție specifică, deoarece contextul prelucrării acestora ar putea genera riscuri considerabile la adresa drepturilor și libertăților fundamentale. Aceste date cu caracter personal nu ar trebui prelucrate dacă nu sunt îndeplinite condițiile specifice prevăzute de prezentul regulament. Aceste date cu caracter personal ar trebui să includă datele cu caracter personal care dezvăluie originea rasială sau etnică, utilizarea termenului „origine rasială” în prezentul regulament neimplicând o acceptare de către Uniune a teoriilor care urmăresc să stabilească existența unor rase umane separate. Prelucrarea fotografiilor nu ar trebui să fie considerată în mod sistematic ca fiind o prelucrare de categorii speciale de date cu caracter personal, întrucât fotografiile intră sub incidența definiției datelor biometrice doar în cazurile în care sunt prelucrate prin mijloace tehnice specifice care permit identificarea unică sau autentificarea unei persoane fizice. Pe lângă cerințele specifice privind prelucrarea datelor sensibile, ar trebui să se aplice principiile generale și alte norme prevăzute de prezentul regulament, în special în ceea ce privește condițiile pentru prelucrarea legală. Ar trebui prevăzute în mod explicit derogări de la interdicția generală de prelucrare a acestor categorii speciale de date cu caracter personal, printre altele atunci când persoana vizată își dă consimțământul explicit sau în ceea ce privește nevoi specifice, în special atunci când prelucrarea este efectuată în cadrul unor activități legitime de către anumite asociații sau fundații al căror scop este de a permite exercitarea libertăților fundamentale.

(30)

Categoriile speciale de date cu caracter personal, care necesită un nivel mai ridicat de protecție, ar trebui prelucrate în scopuri legate de sănătate doar atunci când este necesar pentru realizarea acestor scopuri, în beneficiul persoanelor fizice și al societății în general, în special în contextul gestionării serviciilor și sistemelor de sănătate sau de asistență socială. Prin urmare, prezentul regulament ar trebui să prevadă condiții armonizate pentru prelucrarea categoriilor speciale de date cu caracter personal privind sănătatea, în ceea ce privește nevoile specifice, în special atunci când prelucrarea acestor date este efectuată în anumite scopuri legate de sănătate de către persoane care fac obiectul unei obligații legale de a păstra secretul profesional. Dreptul Uniunii ar trebui să prevadă măsuri specifice și adecvate pentru a proteja drepturile fundamentale și datele cu caracter personal ale persoanelor fizice.

(31)

Prelucrarea categoriilor speciale de date cu caracter personal poate fi necesară din motive de interes public în domeniile sănătății publice, fără consimțământul persoanei vizate. O astfel de prelucrare ar trebui condiționată de măsuri adecvate și specifice destinate să protejeze drepturile și libertățile persoanelor fizice. În acest context, conceptul de „sănătate publică” ar trebui interpretat astfel cum este definit în Regulamentul (CE) nr. 1338/2008 al Parlamentului European și al Consiliului (7), și anume toate elementele referitoare la sănătate și anume starea de sănătate, inclusiv morbiditatea sau handicapul, factorii determinanți care au efect asupra stării de sănătate, necesitățile în domeniul asistenței medicale, resursele alocate asistenței medicale, furnizarea asistenței medicale și asigurarea accesului universal la aceasta, precum și cheltuielile și sursele de finanțare în domeniul sănătății și cauzele mortalității. Această prelucrare a datelor privind sănătatea din motive de interes public nu ar trebui să ducă la prelucrarea acestor date în alte scopuri.

(32)

Dacă datele cu caracter personal prelucrate de un operator nu îi permit acestuia să identifice o persoană fizică, operatorul de date nu ar trebui să aibă obligația de a obține informații suplimentare în vederea identificării persoanei vizate, cu unicul scop de a respecta oricare dintre dispozițiile prezentului regulament. Cu toate acestea, operatorul nu ar trebui să refuze să preia informațiile suplimentare furnizate de persoana vizată cu scopul de a sprijini exercitarea drepturilor acesteia. Identificarea ar trebui să includă identificarea digitală a unei persoane vizate, de exemplu prin mecanisme de autentificare precum aceleași acreditări utilizate de către persoana vizată pentru a accesa serviciile online oferite de operatorul de date.

(33)

Prelucrarea datelor cu caracter personal în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice ar trebui să facă, în conformitate cu prezentul regulament, obiectul unor garanții adecvate pentru drepturile și libertățile persoanei vizate. Respectivele garanții ar trebui să asigure faptul că au fost instituite măsuri tehnice și organizatorice necesare pentru a se asigura, în special, principiul reducerii la minimum a datelor. Prelucrarea ulterioară a datelor cu caracter personal în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice se efectuează atunci când operatorul a evaluat fezabilitatea pentru îndeplinirea acestor obiective prin prelucrarea unor date cu caracter personal care nu permit sau nu mai permit identificarea persoanelor vizate, cu condiția să existe garanții adecvate (cum ar fi pseudonimizarea datelor cu caracter personal). Instituțiile și organele Uniunii ar trebui să prevadă în dreptul Uniunii, eventual în normele interne adoptate de instituțiile și organele Uniunii în chestiuni legate de funcționarea lor, garanții adecvate pentru prelucrarea datelor cu caracter personal în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice.

(34)

Ar trebui să fie prevăzute modalități de facilitare a exercitării de către persoana vizată a drepturilor care îi sunt conferite prin prezentul regulament, inclusiv mecanismele prin care aceasta poate solicita și, dacă este cazul, obține, în mod gratuit, în special, acces la datele cu caracter personal, precum și rectificarea sau ștergerea acestora, și exercitarea dreptului la opoziție. Operatorul ar trebui să ofere, de asemenea, modalități de introducere a cererilor pe cale electronică, mai ales în cazul în care datele cu caracter personal sunt prelucrate prin mijloace electronice. Operatorul ar trebui să aibă obligația de a răspunde cererilor persoanelor vizate fără întârzieri nejustificate și cel târziu în termen de o lună și, în cazul în care nu intenționează să dea curs respectivelor cereri, să motiveze acest refuz.

(35)

Conform principiilor prelucrării echitabile și transparente, persoana vizată este informată cu privire la existența unei operațiuni de prelucrare și la scopurile acesteia. Operatorul ar trebui să furnizeze persoanei vizate orice informații suplimentare necesare pentru a asigura o prelucrare echitabilă și transparentă, ținând seama de circumstanțele specifice și de contextul în care sunt prelucrate datele cu caracter personal. În plus, persoana vizată ar trebui informată cu privire la crearea de profiluri, precum și la consecințele acesteia. Atunci când datele cu caracter personal sunt colectate de la persoana vizată, aceasta ar trebui informată, de asemenea, dacă are obligația de a furniza datele cu caracter personal și cu privire la consecințe în cazul unui refuz. Aceste informații pot fi furnizate în combinație cu pictograme standardizate pentru a oferi într-un mod ușor vizibil, inteligibil și clar lizibil o imagine de ansamblu semnificativă asupra prelucrării avute în vedere. În cazul în care pictogramele sunt prezentate în format electronic, acestea ar trebui să poată fi citite automat.

(36)

Informațiile în legătură cu prelucrarea datelor cu caracter personal referitoare la persoana vizată ar trebui furnizate acesteia la momentul colectării de la persoana vizată sau, în cazul în care datele cu caracter personal sunt obținute din altă sursă, într-o perioadă rezonabilă, în funcție de circumstanțele cazului. În cazul în care datele cu caracter personal pot fi divulgate în mod legitim unui alt destinatar, persoana vizată ar trebui informată atunci când datele cu caracter personal sunt divulgate pentru prima dată destinatarului. În cazul în care operatorul intenționează să prelucreze datele cu caracter personal într-un alt scop decât cel pentru care acestea au fost colectate, operatorul ar trebui să furnizeze persoanei vizate, înainte de această prelucrare ulterioară, informații privind scopul secundar respectiv și alte informații necesare. În cazul în care originea datelor cu caracter personal nu a putut fi comunicată persoanei vizate din cauză că au fost utilizate surse diverse, informațiile generale ar trebui furnizate.

(37)

O persoană vizată ar trebui să aibă drept de acces la datele cu caracter personal colectate care o privesc și ar trebui să își exercite acest drept cu ușurință și la intervale de timp rezonabile, pentru a fi informată cu privire la prelucrare și pentru a verifica legalitatea acesteia. Acest lucru include dreptul persoanelor vizate de a avea acces la date privind sănătatea lor, de exemplu datele din registrele lor medicale conținând informații precum diagnostice, rezultate ale examinărilor, evaluări ale medicilor curanți și orice tratament sau intervenție efectuată. Orice persoană vizată ar trebui, prin urmare, să aibă dreptul de a cunoaște și de a i se comunica în special scopurile în care sunt prelucrate datele cu caracter personal, dacă este posibil perioada pentru care se prelucrează datele cu caracter personal, destinatarii datelor cu caracter personal, logica de prelucrare automată a datelor cu caracter personal și, cel puțin în cazul în care se bazează pe crearea de profiluri, consecințele unei astfel de prelucrări. Acest drept nu ar trebui să aducă atingere drepturilor sau libertăților altora, inclusiv secretului comercial sau proprietății intelectuale și, în special, drepturilor de autor care asigură protecția programelor software. Cu toate acestea, considerațiile de mai sus nu ar trebui să aibă drept rezultat refuzul de a furniza toate informațiile persoanei vizate. Atunci când operatorul prelucrează un volum mare de informații privind persoana vizată, operatorul ar trebui să poată solicita ca, înainte de a îi fi furnizate informațiile, persoana vizată să precizeze informațiile sau activitățile de prelucrare la care se referă cererea sa.

(38)

O persoană vizată ar trebui să aibă dreptul la rectificarea datelor cu caracter personal care o privesc și „dreptul de a fi uitată”, în cazul în care păstrarea acestor date încalcă prezentul regulament sau dreptul Uniunii sub incidența căruia intră operatorul. Persoanele vizate ar trebui să aibă dreptul ca datele lor cu caracter personal să fie șterse și să nu mai fie prelucrate, în cazul în care datele cu caracter personal nu mai sunt necesare pentru scopurile în care sunt colectate sau sunt prelucrate, în cazul în care persoanele vizate și-au retras consimțământul pentru prelucrare sau în cazul în care acestea se opun prelucrării datelor cu caracter personal care le privesc sau în cazul în care prelucrarea datelor cu caracter personal ale acestora nu este conformă cu prezentul regulament. Acest drept este relevant în special în cazul în care persoana vizată și-a dat consimțământul când era copil și nu cunoștea pe deplin riscurile pe care le implică prelucrarea, iar ulterior dorește să elimine astfel de date cu caracter personal, în special de pe internet. Persoana vizată ar trebui să aibă posibilitatea de a-și exercita acest drept în pofida faptului că nu mai este copil. Cu toate acestea, păstrarea în continuare a datelor cu caracter personal ar trebui să fie legală în cazul în care este necesară pentru exercitarea dreptului la libertatea de exprimare și de informare, pentru respectarea unei obligații legale, pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul, din motive de interes public în domeniul sănătății publice, în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice sau pentru constatarea, exercitarea sau apărarea unui drept în instanță.

(39)

Pentru a se consolida „dreptul de a fi uitat” în mediul online, dreptul de ștergere ar trebui să fie extins astfel încât un operator care a făcut publice date cu caracter personal ar trebui să aibă obligația de a informa operatorii care prelucrează respectivele date cu caracter personal să șteargă orice linkuri către datele respective sau copii sau reproduceri ale acestora. În acest scop, operatorul în cauză ar trebui să ia măsuri rezonabile, ținând seama de tehnologia disponibilă și de mijloacele aflate la dispoziția lui, inclusiv măsuri tehnice, pentru a informa operatorii care prelucrează datele cu caracter personal cu privire la cererea persoanei vizate.

(40)

Metodele de restricționare a prelucrării de date cu caracter personal ar putea include, printre altele, mutarea temporară a datelor cu caracter personal selectate într-un alt sistem de prelucrare, sau anularea accesului utilizatorilor la datele selectate sau înlăturarea temporară a datelor publicate de pe un site. În ceea ce privește sistemele automatizate de evidență a datelor, restricționarea prelucrării ar trebui, în principiu, asigurată prin mijloace tehnice în așa fel încât datele cu caracter personal să nu facă obiectul unor operațiuni de prelucrare ulterioară și să nu mai poată fi schimbate. Faptul că prelucrarea datelor cu caracter personal este restricționată ar trebui indicat în mod clar în sistem.

(41)

Pentru a spori și mai mult controlul asupra propriilor date, persoana vizată ar trebui, în cazul în care datele cu caracter personal sunt prelucrate prin mijloace automate, să poată primi datele cu caracter personal care o privesc și pe care le-a furnizat unui operator, într-un format structurat, utilizat în mod curent, prelucrabil automat și interoperabil și să le poată transmite unui alt operator. Operatorii de date ar trebui să fie încurajați să dezvolte formate interoperabile care să permită portabilitatea datelor. Acest drept ar trebui să se aplice în cazul în care persoana vizată a furnizat datele cu caracter personal pe baza propriului consimțământ sau în cazul în care prelucrarea datelor este necesară pentru executarea unui contract. Prin urmare, acesta nu ar trebui să se aplice în cazul în care prelucrarea de date cu caracter personal este necesară în vederea respectării unei obligații legale căreia îi este supus operatorul sau în cazul îndeplinirii unei sarcini care servește unui interes public sau care rezultă din exercitarea unei autorități publice cu care este învestit operatorul. Dreptul persoanei vizate de a transmite sau de a primi date cu caracter personal care o privesc nu ar trebui să creeze pentru operatori obligația de a adopta sau de a menține sisteme de prelucrare care să fie compatibile din punct de vedere tehnic. În cazul în care, într-un anumit set de date cu caracter personal, sunt implicate mai multe persoane vizate, dreptul de a primi datele cu caracter personal nu ar trebui să aducă atingere drepturilor și libertăților altor persoane vizate, în conformitate cu prezentul regulament. De asemenea, acest drept nu ar trebui să aducă atingere dreptului persoanei vizate de a obține ștergerea datelor cu caracter personal și limitărilor dreptului respectiv, astfel cum se prevede în prezentul regulament, și nu ar trebui, în special, să implice ștergerea acelor date cu caracter personal referitoare la persoana vizată care au fost furnizate de către aceasta în vederea executării unui contract, în măsura în care și atât timp cât datele respective sunt necesare pentru executarea contractului. Persoana vizată ar trebui să aibă dreptul ca datele cu caracter personal să fie transmise direct de la un operator la altul, dacă acest lucru este fezabil din punct de vedere tehnic.

(42)

În cazurile în care datele cu caracter personal ar putea fi prelucrate în mod legal, deoarece prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul, o persoană vizată ar trebui să aibă totuși dreptul de a se opune prelucrării oricăror date cu caracter personal care se referă la situația sa particulară. Ar trebui să revină operatorului sarcina de a demonstra că interesele sale legitime și imperioase prevalează asupra intereselor sau a drepturilor și libertăților fundamentale ale persoanei vizate.

(43)

Persoana vizată ar trebui să aibă dreptul de a nu face obiectul unei decizii ce poate include o măsură prin care se evaluează aspecte personale legate de persoana vizată, care se bazează exclusiv pe prelucrarea automată și care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă, cum ar fi practicile de recrutare pe cale electronică fără intervenție umană. O astfel de prelucrare include „crearea de profiluri”, care constă în orice formă de prelucrare automată a datelor cu caracter personal prin evaluarea aspectelor personale referitoare la o persoană fizică, în special în vederea analizării sau preconizării anumitor aspecte privind randamentul la locul de muncă al persoanei vizate, situația economică, starea de sănătate, preferințele sau interesele personale, fiabilitatea sau comportamentul, locația sau deplasările, atunci când aceasta produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă.

Cu toate acestea, luarea de decizii pe baza acestei prelucrări, inclusiv crearea de profiluri, ar trebui permisă în cazul în care este autorizată în mod expres de dreptul Uniunii. În orice caz, o astfel de prelucrare ar trebui să facă obiectul unor garanții corespunzătoare, care ar trebui să includă o informare specifică a persoanei vizate și dreptul acesteia de a obține o intervenție umană, de a-și exprima punctul de vedere, de a primi o explicație privind decizia luată în urma unei astfel de evaluări, precum și dreptul de a contesta decizia. O astfel de măsură nu ar trebui să se refere la copii. Pentru a asigura o prelucrare echitabilă și transparentă în ceea ce privește persoana vizată, având în vedere circumstanțele specifice și contextul în care sunt prelucrate datele cu caracter personal, operatorul ar trebui să utilizeze proceduri matematice sau statistice adecvate pentru crearea de profiluri, să implementeze măsuri tehnice și organizatorice adecvate pentru a asigura în special faptul că factorii care duc la inexactități ale datelor cu caracter personal sunt corectați și că riscul de erori este redus la minimum, precum și să securizeze datele cu caracter personal într-un mod care să țină seama de pericolele potențiale la adresa intereselor și drepturilor persoanei vizate și să prevină, printre altele, efectele discriminatorii împotriva persoanelor pe motiv de rasă sau origine etnică, opinii politice, religie sau convingeri, apartenență sindicală, caracteristici genetice, stare de sănătate sau orientare sexuală sau prelucrări care să ducă la măsuri care să aibă astfel de efecte. Procesul decizional automatizat și crearea de profiluri pe baza unor categorii speciale de date cu caracter personal ar trebui permise numai în condiții specifice.

(44)

Actele juridice adoptate în temeiul tratatelor sau normele interne adoptate de instituțiile și organele Uniunii în chestiuni referitoare la funcționarea lor pot impune restricții în privința unor principii specifice, în privința dreptului de informare, a dreptului de acces la date cu caracter personal și de rectificare sau ștergere a acestora, în privința dreptului la portabilitatea datelor, a dreptului la confidențialitatea datelor transmise în cadrul comunicațiilor electronice, precum și în privința comunicării unei încălcări a securității datelor cu caracter personal persoanei vizate și a anumitor obligații conexe ale operatorilor, în măsura în care acest lucru este necesar și proporțional într-o societate democratică pentru a se garanta siguranța publică și pentru prevenirea, investigarea și urmărirea penală a infracțiunilor sau executarea pedepselor. Aceasta include protejarea împotriva amenințărilor la adresa securității publice și prevenirea acestora, inclusiv protecția vieții oamenilor, în special ca răspuns la dezastre naturale sau provocate de om, protejarea securității interne a instituțiilor și organelor Uniunii, alte obiective importante de interes public general ale Uniunii sau ale unui stat membru, în special obiectivele politicii externe și de securitate comune a Uniunii sau un interes economic sau financiar important al Uniunii sau al unui stat membru, și păstrarea de registre publice din motive de interes public general sau protecția persoanei vizate ori a drepturilor și libertăților altora, inclusiv protecția socială, sănătatea publică și scopurile umanitare.

(45)

Ar trebui să se stabilească responsabilitatea și răspunderea operatorului pentru orice prelucrare a datelor cu caracter personal efectuată de către acesta sau în numele său. În special, operatorul ar trebui să fie obligat să implementeze măsuri adecvate și eficace și să fie în măsură să demonstreze conformitatea activităților de prelucrare cu prezentul regulament, inclusiv eficacitatea măsurilor. Aceste măsuri ar trebui să țină seama de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și de riscul pentru drepturile și libertățile persoanelor fizice.

(46)

Riscul pentru drepturile și libertățile persoanelor fizice, prezentând grade diferite de probabilitate de materializare și de gravitate, poate fi rezultatul unei prelucrări a datelor cu caracter personal care ar putea genera prejudicii de natură fizică, materială sau morală, în special în cazurile în care: prelucrarea poate conduce la discriminare, furt sau fraudă a identității, pierdere financiară, compromiterea reputației, pierderea confidențialității datelor cu caracter personal protejate prin secret profesional, inversarea neautorizată a pseudonimizării sau la orice alt dezavantaj semnificativ de natură economică sau socială; persoanele vizate ar putea fi private de drepturile și libertățile lor sau împiedicate să-și exercite controlul asupra datelor lor cu caracter personal; datele cu caracter personal prelucrate sunt date care dezvăluie originea rasială sau etnică, opiniile politice, religia sau convingerile filozofice, apartenența sindicală, sunt prelucrate date genetice, date privind sănătatea sau date privind viața sexuală sau privind condamnările penale și infracțiunile sau măsurile de securitate conexe; sunt evaluate aspecte de natură personală, în special analizarea sau previzionarea unor aspecte privind randamentul la locul de muncă, situația economică, starea de sănătate, preferințele sau interesele personale, fiabilitatea sau comportamentul, locația sau deplasările, în scopul de a se crea sau de a se utiliza profiluri personale; sunt prelucrate date cu caracter personal ale unor persoane vulnerabile, în special ale unor copii; sau prelucrarea implică un volum mare de date cu caracter personal și afectează un număr larg de persoane vizate.

(47)

Probabilitatea de a se materializa și gravitatea riscului pentru drepturile și libertățile persoanei vizate ar trebui să fie determinate în funcție de natura, domeniul de aplicare, contextul și scopurile prelucrării datelor cu caracter personal. Riscul ar trebui apreciat pe baza unei evaluări obiective prin care se stabilește dacă operațiunile de prelucrare a datelor prezintă un risc sau un risc ridicat.

(48)

Protecția drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal necesită adoptarea de măsuri tehnice și organizatorice corespunzătoare, pentru a se asigura îndeplinirea cerințelor prezentului regulament. Pentru a putea demonstra conformitatea cu prezentul regulament, operatorul ar trebui să adopte politici interne și să pună în aplicare măsuri care să respecte îndeosebi principiul luării în considerare a protecției datelor începând cu momentul conceperii și pe cel al protecției implicite a datelor. Astfel de măsuri ar putea consta, printre altele, în reducerea la minimum a prelucrării datelor cu caracter personal, pseudonimizarea acestor date cât mai curând posibil, asigurarea transparenței în ceea ce privește funcțiile și prelucrarea datelor cu caracter personal, abilitarea persoanei vizate să monitorizeze prelucrarea datelor, abilitarea operatorului să creeze elemente de siguranță și să le îmbunătățească. Principiul protecției datelor începând cu momentul conceperii și cel al protecției implicite a datelor ar trebui să fie luate în considerare și în contextul licitațiilor publice.

(49)

Regulamentul (UE) 2016/679 prevede ca operatorii să demonstreze conformitatea prin aderarea la mecanisme de certificare aprobate. În mod similar, instituțiile și organele Uniunii ar trebui să poată demonstra conformitatea cu prezentul regulament prin obținerea unei certificări în conformitate cu articolul 42 din Regulamentul (UE) 2016/679.

(50)

Protecția drepturilor și libertăților persoanelor vizate, precum și responsabilitatea și răspunderea operatorilor și a persoanelor împuternicite de operatori necesită o atribuire clară a responsabilităților în temeiul prezentului regulament, inclusiv în cazul în care un operator stabilește scopurile și mijloacele prelucrării împreună cu alți operatori sau în cazul în care o operațiune de prelucrare este efectuată în numele unui operator.

(51)

Pentru a asigura respectarea cerințelor impuse de prezentul regulament în ceea ce privește prelucrarea care trebuie efectuată în numele operatorului de către persoana împuternicită de operator, atunci când încredințează activități de prelucrare unei persoane împuternicite de operator, operatorul ar trebui să utilizeze numai persoane împuternicite de operator care oferă garanții suficiente, în special în ceea ce privește cunoștințele de specialitate, fiabilitatea și resursele, pentru a implementa măsuri tehnice și organizatorice care îndeplinesc cerințele impuse de prezentul regulament, inclusiv pentru securitatea prelucrării. Aderarea persoanelor împuternicite de operator, altele decât instituțiile și organele Uniunii, la un cod de conduită aprobat sau la un mecanism de certificare aprobat poate fi utilizată drept element care să demonstreze respectarea obligațiilor de către operator. Efectuarea prelucrării de către o persoană împuternicită de un operator, alta decât o instituție sau un organ al Uniunii, ar trebui să fie reglementată printr-un contract sau, în cazul instituțiilor și organelor Uniunii care acționează ca persoane împuternicite de operator, printr-un contract sau un alt tip de act juridic, în temeiul dreptului Uniunii, care creează obligații pentru persoana împuternicită de operator în raport cu operatorul și care stabilește obiectul și durata prelucrării, natura și scopurile prelucrării, tipul de date cu caracter personal și categoriile de persoane vizate, și ar trebui să țină seama de sarcinile și responsabilitățile specifice ale persoanei împuternicite de operator în contextul prelucrării care urmează a fi efectuată, precum și de riscul pentru drepturile și libertățile persoanei vizate. Operatorul și persoana împuternicită de operator ar trebui să poată opta pentru recurgerea la un contract individual sau la clauze contractuale standard care sunt adoptate fie direct de Comisie, fie de Autoritatea Europeană pentru Protecția Datelor și, ulterior, de Comisie. După finalizarea prelucrării în numele operatorului, persoana împuternicită de operator ar trebui să returneze sau să șteargă, în funcție de opțiunea operatorului, datele cu caracter personal, cu excepția cazului în care există o cerință de stocare a acestor date cu caracter personal în temeiul dreptului Uniunii sau al dreptului intern care instituie obligații pentru persoana împuternicită de operator.

(52)

În vederea demonstrării conformității cu prezentul regulament, operatorii ar trebui să păstreze evidențe ale activităților de prelucrare aflate în responsabilitatea lor, iar persoanele împuternicite de către operator ar trebui să păstreze evidențe ale categoriilor de activități de prelucrare aflate în responsabilitatea lor. Instituțiile și organele Uniunii ar trebui să aibă obligația de a coopera cu Autoritatea Europeană pentru Protecția Datelor și de a își pune evidențele la dispoziția acesteia, la cerere, pentru a putea fi utilizate în scopul monitorizării operațiunilor de prelucrare respective. Cu excepția cazului în care nu este oportun, ținând seama de mărimea unei instituții sau a unui organ al Uniunii, instituțiile și organele Uniunii ar trebui să aibă posibilitatea de a institui un registru central al evidențelor activităților de prelucrare. Din motive de transparență, ele ar trebui, de asemenea, să poată face public acest registru.

(53)

În vederea menținerii securității și a prevenirii prelucrărilor care încalcă prezentul regulament, operatorul sau persoana împuternicită de operator ar trebui să evalueze riscurile inerente prelucrării și să implementeze măsuri pentru atenuarea acestor riscuri, cum ar fi criptarea. Măsurile respective ar trebui să asigure un nivel corespunzător de securitate, inclusiv confidențialitatea, luând în considerare stadiul actual al dezvoltării și costurile implementării în raport cu riscurile și cu natura datelor cu caracter personal a căror protecție trebuie asigurată. La evaluarea riscului pentru securitatea datelor, ar trebui să se acorde atenție riscurilor pe care le prezintă prelucrarea datelor cu caracter personal, cum ar fi distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate în alt mod, în mod accidental sau ilegal, care pot duce în special la prejudicii fizice, materiale sau morale.

(54)

Instituțiile și organele Uniunii ar trebui să asigure confidențialitatea comunicațiilor electronice, astfel cum prevede articolul 7 din Cartă. În special, instituțiile și organele Uniunii ar trebui să asigure securitatea propriilor rețele de comunicații electronice. Acestea ar trebui să protejeze informațiile legate de echipamentele terminale ale utilizatorilor care le oferă acces la site-urile lor internet publice și la aplicațiile lor mobile, în conformitate cu Directiva 2002/58/CE a Parlamentului European și a Consiliului (8). Acestea ar trebui, de asemenea, să protejeze confidențialitatea datelor personale stocate în repertoriile cu utilizatori.

(55)

Dacă nu este soluționată la timp și într-un mod adecvat, o încălcare a securității datelor cu caracter personal ar putea conduce la prejudicii fizice, materiale sau morale aduse persoanelor fizice Prin urmare, de îndată ce a luat cunoștință de producerea unei încălcări a securității datelor cu caracter personal, operatorul ar trebui să notifice această încălcare Autorității Europene pentru Protecția Datelor, fără întârziere nejustificată și, dacă este posibil, în cel mult 72 de ore după ce a luat la cunoștință de existența acesteia, cu excepția cazului în care operatorul este în măsură să demonstreze, în conformitate cu principiul responsabilității, că încălcarea securității datelor cu caracter personal nu este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor fizice. Atunci când această notificare nu se poate realiza în termen de 72 de ore, ea ar trebui să fie însoțită de o explicație privind întârzierea, iar informațiile pot fi furnizate în mai multe etape, fără altă întârziere nejustificată. În cazul în care această întârziere este justificată, ar trebui comunicate în cel mai scurt termen posibil informații mai puțin sensibile sau mai puțin specifice cu privire la această încălcare, în loc să se soluționeze complet incidentul aflat la originea încălcării înainte de a se proceda la notificare.

(56)

Operatorul ar trebui să comunice persoanei vizate o încălcare a securității datelor cu caracter personal, fără întârzieri nejustificate, atunci când încălcarea este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanei fizice, pentru a-i permite să ia măsurile de precauție necesare. Comunicarea ar trebui să descrie natura încălcării securității datelor cu caracter personal și să cuprindă recomandări pentru persoana fizică în cauză în scopul atenuării eventualelor efecte negative. Comunicările către persoanele vizate ar trebui efectuate în cel mai scurt timp posibil în mod rezonabil și în strânsă cooperare cu Autoritatea Europeană pentru Protecția Datelor, respectându-se orientările furnizate de aceasta sau de alte autorități competente, cum ar fi autoritățile de aplicare a legii.

(57)

Regulamentul (CE) nr. 45/2001 prevede o obligație generală a unui operator de a notifica prelucrarea datelor cu caracter personal responsabilului cu protecția datelor. Cu excepția cazului în care nu este oportun, ținând seama de mărimea instituției sau a organului Uniunii, responsabilul cu protecția datelor trebuie să țină un registru al operațiunilor de prelucrare ce i-au fost notificate. Pe lângă această obligație generală, ar trebui instituite proceduri și mecanisme eficace de monitorizare a operațiunilor de prelucrare susceptibile să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice prin însăși natura lor, prin domeniul lor de aplicare, prin contextul și prin scopurile lor. Astfel de proceduri ar trebui instituite, de asemenea, în special, în situațiile în care operațiunile de prelucrare presupun utilizarea unor noi tehnologii sau care reprezintă un nou tip de operațiuni în legătură cu care nicio evaluare a impactului asupra protecției datelor nu a fost efectuată anterior de către operator ori când acestea devin necesare dată fiind perioada de timp care s-a scurs de la prelucrarea inițială. În astfel de cazuri, operatorul ar trebui să efectueze, înainte de prelucrare, o evaluare a impactului asupra protecției datelor, în scopul evaluării gradului specific de probabilitate a materializării riscului ridicat și gravitatea acestuia, având în vedere natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și sursele riscului. Respectiva evaluare a impactului ar trebui să includă, în special, măsurile, garanțiile și mecanismele avute în vedere pentru atenuarea riscului respectiv, pentru asigurarea protecției datelor cu caracter personal și pentru demonstrarea conformității cu prezentul regulament.

(58)

În cazul în care o evaluare a impactului asupra protecției datelor arată că prelucrarea ar genera, în absența garanțiilor, măsurilor de securitate și mecanismelor de atenuare a riscului, un risc ridicat pentru drepturile și libertățile persoanelor fizice, iar operatorul consideră că riscul nu poate fi atenuat prin mijloace rezonabile sub aspectul tehnologiilor disponibile și al costurilor implementării, Autoritatea Europeană pentru Protecția Datelor ar trebui să fie consultată înainte de începerea activităților de prelucrare. Un astfel de risc ridicat este susceptibil să fie generat de anumite tipuri de prelucrare, precum și de amploarea și frecvența prelucrării, care ar putea duce și la producerea unor prejudicii sau pot atinge drepturile și libertățile persoanelor fizice. Autoritatea Europeană pentru Protecția Datelor ar trebui să răspundă cererii de consultare într-un anumit termen. Cu toate acestea, lipsa unei reacții din partea Autorității Europene pentru Protecția Datelor în termenul respectiv ar trebui să nu aducă atingere niciunei intervenții a Autorității Europene pentru Protecția Datelor în conformitate cu sarcinile și competențele sale prevăzute în prezentul regulament, inclusiv competența de a interzice operațiuni de prelucrare. Ca parte a acestui proces de consultare, rezultatul unei evaluări a impactului asupra protecției datelor efectuate cu privire la prelucrarea în cauză ar trebui să poată fi transmis Autorității Europene pentru Protecția Datelor, în special măsurile avute în vedere pentru a atenua riscul pentru drepturile și libertățile persoanelor fizice.

(59)

Autoritatea Europeană pentru Protecția Datelor ar trebui să fie informată cu privire la măsurile administrative și consultată cu privire la normele interne adoptate de instituțiile și organele Uniunii în chestiuni legate de funcționarea lor când acestea prevăd prelucrarea de date cu caracter personal, stabilesc condiții cu privire la restricționarea drepturilor persoanelor vizate sau oferă garanții corespunzătoare în ceea ce privește drepturile persoanelor vizate, pentru a asigura că prelucrarea în cauză este conformă cu prezentul regulament și, în special, în ceea ce privește atenuarea riscurilor la care este expusă persoana vizată.

(60)

Regulamentul (UE) 2016/679 a instituit Comitetul european pentru protecția datelor, cu statutul de organ independent cu personalitate juridică al Uniunii. Comitetul ar trebui să contribuie la aplicarea consecventă a Regulamentului (UE) 2016/679 și a Directivei (UE) 2016/680 în întreaga Uniune, inclusiv prin oferirea de consiliere Comisiei. În același timp, Autoritatea Europeană pentru Protecția Datelor ar trebui să continue să își exercite funcțiile de supraveghere și de consiliere a tuturor instituțiilor și organelor Uniunii, din proprie inițiativă sau la cerere. Pentru a asigura coerența normelor în materie de protecție a datelor în întreaga Uniune, în momentul în care aceasta elaborează propuneri sau recomandări, Comisia ar trebui să depună eforturi pentru a consulta Autoritatea Europeană pentru Protecția Datelor. Comisia ar trebui să aibă obligația de a organiza o consultare în urma adoptării de acte legislative sau în cursul acțiunilor de pregătire a actelor delegate și a actelor de punere în aplicare, astfel cum sunt definite la articolele 289, 290 și 291 din TFUE, precum și în urma adoptării de recomandări și de propuneri referitoare la acorduri cu țări terțe și organizații internaționale, astfel cum se prevede la articolul 218 din TFUE, care au repercusiuni asupra dreptului la protecția datelor cu caracter personal. În astfel de cazuri, Comisia ar trebui să fie obligată să consulte Autoritatea Europeană pentru Protecția Datelor, cu excepția cazului în care Regulamentul (UE) 2016/679 prevede consultarea obligatorie a Comitetului european pentru protecția datelor, de exemplu cu privire la deciziile privind caracterul adecvat al nivelului de protecție sau actele delegate privind pictogramele standardizate și cerințele referitoare la mecanismele de certificare. Atunci când actul în cauză este deosebit de important pentru protecția drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal, Comisia ar trebui să aibă în plus posibilitatea de a consulta Comitetul european pentru protecția datelor. În cazurile respective, Autoritatea Europeană pentru Protecția Datelor, în calitate de membră a Comitetului european pentru protecția datelor, își coordonează activitatea cu comitetul în vederea emiterii unui aviz comun. Autoritatea Europeană pentru Protecția Datelor și, după caz, Comitetul european pentru protecția datelor ar trebui să ofere consiliere în scris în termen de opt săptămâni. Acest termen ar trebui să fie redus în cazuri urgente sau în alte cazuri în care este necesar, de exemplu atunci când Comisia pregătește acte delegate și acte de punere în aplicare.

(61)

În conformitate cu articolul 75 din Regulamentul (UE) 2016/679, Autoritatea Europeană pentru Protecția Datelor ar trebui să asigure secretariatul Comitetului european pentru protecția datelor.

(62)

În toate instituțiile și organele Uniunii, un responsabil cu protecția datelor ar trebui să asigure aplicarea dispozițiilor prezentului regulament și să ofere consiliere operatorilor și persoanelor împuternicite de operatori în ceea ce privește îndeplinirea obligațiilor ce le revin. Acest responsabil ar trebui să fie o persoană care deține cunoștințe de specialitate în materie de legislație și practici privind protecția datelor la un nivel stabilit mai ales în funcție de operațiunile de prelucrare a datelor efectuate de operator sau de persoana împuternicită de operator, și de nivelul de protecție impus pentru datele cu caracter personal respective. Acești responsabili cu protecția datelor ar trebui să fie în măsură să își îndeplinească îndatoririle și sarcinile în mod independent.

(63)

În cazul în care se transferă date cu caracter personal de la instituții și organe ale Uniunii către operatori, persoane împuternicite de operatori sau alți destinatari din țări terțe sau către organizații internaționale, nivelul de protecție a persoanelor fizice asigurat în Uniune prin prezentul regulament ar trebui să fie garantat. Aceleași garanții ar trebui să se aplice inclusiv în cazurile de transferuri ulterioare de date cu caracter personal dinspre țara terță sau organizația internațională către operatori, persoane împuternicite de operatori din aceeași sau dintr-o altă țară terță sau organizație internațională. În orice caz, transferurile către țări terțe și organizații internaționale pot fi realizate numai în conformitate deplină cu prezentul regulament și cu respectarea drepturilor și libertăților fundamentale consacrate de Cartă. Un transfer ar putea avea loc numai dacă, sub rezerva respectării celorlalte dispoziții ale prezentului regulament, operatorul sau persoana împuternicită de operator îndeplinește condițiile prevăzute de dispozițiile prezentului regulament referitoare la transferul de date cu caracter personal către țări terțe sau către organizații internaționale.

(64)

Comisia poate să decidă, în temeiul articolului 45 din Regulamentul (UE) 2016/679 sau al articolului 36 din Directiva (UE) 2016/680, că o țară terță, un teritoriu sau un anumit sector dintr-o țară terță sau o organizație internațională asigură un nivel adecvat de protecție a datelor. În aceste cazuri, transferurile de date cu caracter personal efectuate de o instituție sau un organ al Uniunii către țara terță sau organizația internațională respectivă pot avea loc fără a fi necesar să se obțină autorizări suplimentare.

(65)

În absența unei decizii privind caracterul adecvat al nivelului de protecție, operatorul sau persoana împuternicită de operator ar trebui să adopte măsuri pentru a compensa lipsa protecției datelor într-o țară terță prin intermediul unor garanții adecvate pentru persoana vizată. Astfel de garanții adecvate pot consta în utilizarea clauzelor standard de protecție a datelor adoptate de Comisie, a clauzelor standard de protecție a datelor adoptate de Autoritatea Europeană pentru Protecția Datelor sau a clauzelor contractuale autorizate de Autoritatea Europeană pentru Protecția Datelor. În cazul în care persoana împuternicită de operator nu este o instituție sau un organ al Uniunii, respectivele garanții corespunzătoare pot consta, de asemenea, în reguli corporative obligatorii, coduri de conduită și mecanisme de certificare utilizate pentru transferurile internaționale efectuate în temeiul Regulamentului (UE) 2016/679. Respectivele garanții ar trebui să asigure respectarea cerințelor în materie de protecție a datelor și drepturi ale persoanelor vizate corespunzătoare prelucrării în interiorul Uniunii, inclusiv disponibilitatea unor drepturi opozabile ale persoanelor vizate și a unor căi de atac eficiente, printre care dreptul de acces la reparații efective pe cale administrativă sau judiciară și dreptul de a solicita despăgubiri, în Uniune sau într-o țară terță. Acestea ar trebui să fie legate în special de respectarea principiilor generale privind prelucrarea datelor cu caracter personal: principiul protecției datelor începând cu momentul conceperii și principiul protecției implicite a datelor. Transferurile pot fi efectuate și de către instituțiile și organele Uniunii către autorități sau organisme publice din țări terțe sau către organizații internaționale cu atribuții și funcții corespunzătoare, inclusiv pe baza dispozițiilor care prevăd drepturi opozabile și efective pentru persoanele vizate, care trebuie introduse în acordurile administrative, cum ar fi un memorandum de înțelegere. Autorizația din partea Autorității Europene pentru Protecția Datelor ar trebui obținută atunci când garanțiile sunt oferite în cadrul unor acorduri administrative fără caracter juridic obligatoriu.

(66)

Posibilitatea ca operatorul sau persoana împuternicită de operator să utilizeze clauze standard în materie de protecție a datelor, adoptate de Comisie sau de Autoritatea Europeană pentru Protecția Datelor, nu ar trebui să împiedice operatorii sau persoanele împuternicite de operatori să includă clauzele standard în materie de protecție a datelor într-un contract mai amplu, precum un contract între persoana împuternicită de operator și o altă persoană împuternicită de operator, și nici să adauge alte clauze sau garanții suplimentare, atât timp cât acestea nu contravin, direct sau indirect, clauzelor contractuale standard adoptate de Comisie sau de Autoritatea Europeană pentru Protecția Datelor sau nu prejudiciază drepturile sau libertățile fundamentale ale persoanelor vizate. Operatorii și persoanele împuternicite de operatori ar trebui să fie încurajați să ofere garanții suplimentare prin intermediul unor angajamente contractuale care să completeze clauzele standard în materie de protecție a datelor.

(67)

Unele țări terțe au adoptat legi, reglementări și alte acte juridice care au drept obiectiv să reglementeze în mod direct activitățile de prelucrare a datelor ale instituțiilor și organelor Uniunii. Acestea pot include hotărâri ale instanțelor judecătorești sau decizii ale autorităților administrative din țări terțe care solicită unui operator sau unei persoane împuternicite de operator să transfere sau să divulge date cu caracter personal și care nu se bazează pe un acord internațional în vigoare între țara terță solicitantă și Uniune. Aplicarea extrateritorială a acestor legi, reglementări și alte acte juridice poate încălca dreptul internațional și poate împiedica asigurarea protecției persoanelor fizice asigurată în Uniune prin prezentul regulament. Transferurile ar trebui să fie permise numai în cazul îndeplinirii condițiilor prevăzute de prezentul regulament pentru un transfer către țări terțe. Acesta ar putea fi cazul, printre altele, atunci când divulgarea este necesară dintr-un motiv important de interes public recunoscut în dreptul Uniunii.

(68)

În situații specifice, ar trebui să se prevadă posibilitatea de a se efectua transferuri în anumite circumstanțe în care persoana vizată și-a dat consimțământul explicit, în care transferul este ocazional și necesar în legătură cu un contract sau cu o acțiune în justiție, indiferent dacă este în contextul unei proceduri judiciare sau în contextul unei proceduri administrative sau extrajudiciare, inclusiv în cadrul procedurilor înaintate organismelor de reglementare. De asemenea, ar trebui să se prevadă posibilitatea de a se efectua transferuri în cazul în care motive importante de interes public stabilite de dreptul Uniunii impun acest lucru sau în cazul în care transferul se efectuează dintr-un registru instituit prin lege și destinat să fie consultat de către public sau de către persoane care au un interes legitim. În acest ultim caz, un astfel de transfer nu ar trebui să implice totalitatea datelor cu caracter personal sau ansamblul categoriilor de date conținute în registru, cu excepția cazului în care este autorizat de dreptul Uniunii, iar atunci când registrul este destinat să fie consultat de persoane care au un interes legitim, transferul ar trebui să fie efectuat doar la cererea persoanelor respective sau dacă acestea sunt destinatarii, luând pe deplin în considerare interesele și drepturile fundamentale ale persoanei vizate.

(69)

Aceste derogări ar trebui să se aplice, în special, transferurilor de date solicitate și necesare din considerente importante de interes public, de exemplu în cazul schimbului internațional de date între instituțiile și organele Uniunii și autorități din domeniul concurenței, administrații fiscale sau vamale, autorități de supraveghere financiară și servicii competente în materie de securitate socială sau de sănătate publică, precum în cazul depistării punctelor de contact pentru bolile contagioase sau pentru reducerea și/sau eliminarea dopajului în sport. Un transfer de date cu caracter personal ar trebui, de asemenea, să fie considerat legal în cazul în care este necesar în scopul protejării unui interes care este esențial pentru protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane, inclusiv pentru integritatea fizică sau pentru viața acesteia, în cazul în care persona vizată nu are capacitatea să își dea consimțământul. În absența unei decizii privind caracterul adecvat al nivelului de protecție, dreptul Uniunii poate, din considerente importante de interes public, stabili în mod expres limite asupra transferului unor categorii specifice de date către o țară terță sau o organizație internațională. Orice transfer către o organizație umanitară internațională al datelor cu caracter personal ale unei persoane vizate care se află în incapacitate fizică sau juridică de a își da consimțământul, în vederea îndeplinirii unei sarcini care decurge din Convențiile de la Geneva sau în vederea conformării cu dreptul internațional umanitar aplicabil în conflictele armate, ar putea fi considerat necesar pentru un motiv important de interes public sau pentru că este în interesul vital al persoanei vizate.

(70)

În orice caz, atunci când Comisia nu a luat o decizie cu privire la nivelul adecvat de protecție a datelor dintr-o țară terță, operatorul sau persoana împuternicită de operator ar trebui să utilizeze soluții care să ofere persoanelor vizate drepturi opozabile și efective în ceea ce privește prelucrarea datelor lor în Uniune odată ce aceste date au fost transferate, astfel încât persoanele vizate să beneficieze în continuare de drepturi fundamentale și de garanții.

(71)

Fluxul transfrontalier de date cu caracter personal în afara Uniunii poate expune unui risc sporit capacitatea persoanelor fizice de a-și exercita drepturile în materie de protecție a datelor, în special pentru a-și asigura protecția împotriva utilizării sau a divulgării ilegale a acestor informații. În același timp, autoritățile naționale de supraveghere și Autoritatea Europeană pentru Protecția Datelor, se pot afla în imposibilitatea de a trata plângeri sau de a efectua investigații referitoare la activitățile desfășurate în afara competenței lor judiciare. Eforturile acestora de a conlucra în context transfrontalier pot fi, de asemenea, îngreunate de insuficiența competențelor de prevenire sau remediere, de caracterul eterogen al regimurilor juridice și de existența unor obstacole de ordin practic, cum ar fi constrângerile în materie de resurse. Prin urmare, ar trebui să se promoveze o cooperare mai strânsă între Autoritatea Europeană pentru Protecția Datelor și autoritățile naționale de supraveghere, pentru a le ajuta să facă schimb de informații cu omologii lor internaționali.

(72)

Instituirea, prin Regulamentul (CE) nr. 45/2001, a Autorității Europene pentru Protecția Datelor, care este împuternicită să își îndeplinească sarcinile și să își exercite competențele în deplină independență, este un element esențial al protecției persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal. Prezentul regulament ar trebui să consolideze și să clarifice și mai mult rolul și independența acestei autorități. Autoritatea Europeană pentru Protecția Datelor ar trebui să fie o persoană care oferă toate garanțiile de independență și care posedă experiența și competențele necesare îndeplinirii atribuțiilor de Autoritate Europeană pentru Protecția Datelor, de exemplu deoarece a fost membru al uneia dintre autoritățile de supraveghere instituite în temeiul articolului 51 din Regulamentul (UE) 2016/679.

(73)

Pentru a se asigura coerența monitorizării și aplicării normelor privind protecția datelor în întreaga Uniune, Autoritatea Europeană pentru Protecția Datelor ar trebui să aibă aceleași sarcini și competențe efective ca autoritățile naționale de supraveghere, inclusiv competențe de investigare, competențe corective și de a aplica sancțiuni, competențe de autorizare și de consiliere, în special în cazul plângerilor depuse de persoane fizice, precum și competența de a sesiza Curtea de Justiție cu privire la cazurile de încălcare a prezentului regulament și competența de a acționa în justiție în conformitate cu dreptul primar. Aceste competențe ar trebui să includă și competența de a impune o limitare temporară sau definitivă, inclusiv o interdicție, asupra prelucrării. Pentru a se evita costurile inutile și inconvenientele excesive pentru persoanele în cauză care ar putea fi prejudiciate, fiecare măsură a Autorității Europene pentru Protecția Datelor ar trebui să fie adecvată, necesară și proporțională în vederea asigurării conformității cu dispozițiile prezentului regulament, să ia în considerare circumstanțele fiecărui caz în parte și să respecte dreptul oricărei persoane de a fi audiată înainte de luarea oricărei măsuri individuale în cauză. Fiecare măsură obligatorie din punct de vedere juridic luată de Autoritatea Europeană pentru Protecția Datelor ar trebui să fie prezentată în scris, să fie clară și lipsită de ambiguitate, să indice data emiterii măsurii, să poarte semnătura Autorității Europene pentru Protecția Datelor, să indice motivele pentru care s-a luat măsura și să facă trimitere la dreptul la o cale de atac eficientă.

(74)

Competența de supraveghere a Autorității Europene pentru Protecția Datelor nu ar trebui să vizeze prelucrarea datelor cu caracter personal de către Curtea de Justiție atunci când își exercită atribuțiile judiciare, în scopul garantării independenței Curții în îndeplinirea sarcinilor sale judiciare, inclusiv în luarea deciziilor. Pentru astfel de operațiuni de prelucrare, Curtea ar trebui să instituie o supraveghere independentă, în conformitate cu articolul 8 alineatul (3) din Cartă, de exemplu prin intermediul unui mecanism intern.

(75)

Deciziile Autorității Europene pentru Protecția Datelor privind excepțiile, garanțiile, autorizațiile și condițiile privind operațiunile de prelucrare a datelor, astfel cum sunt acestea definite în prezentul regulament, ar trebui să fie publicate în raportul de activitate. Independent de publicarea unui raport anual de activitate, Autoritatea Europeană pentru Protecția Datelor poate publica rapoarte pe teme specifice.

(76)

Autoritatea Europeană pentru Protecția Datelor ar trebui să respecte Regulamentul (CE) nr. 1049/2001 al Parlamentului European și al Consiliului (9).

(77)

Autoritățile naționale de supraveghere monitorizează aplicarea Regulamentului (UE) 2016/679 și contribuie la aplicarea coerentă a acestuia în întreaga Uniune, în scopul asigurării protecției persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal și al facilitării liberei circulații a datelor cu caracter personal în cadrul pieței interne. Pentru a asigura un grad sporit de coerență în aplicarea normelor privind protecția datelor în vigoare din statele membre și a normelor privind protecția datelor aplicabile instituțiilor și organelor Uniunii, Autoritatea Europeană pentru Protecția Datelor ar trebui să coopereze în mod eficace cu autoritățile naționale de supraveghere.

(78)

În anumite cazuri, dreptul Uniunii prevede un model de supraveghere coordonată, repartizată între Autoritatea Europeană pentru Protecția Datelor și autoritățile naționale de supraveghere. Autoritatea Europeană pentru Protecția Datelor este, de asemenea, autoritatea de supraveghere a Europol și, în acest scop a fost întocmit un anumit model de cooperare cu autoritățile naționale de supraveghere, prin intermediul unui consiliu de cooperare cu rol consultativ. În vederea îmbunătățirii supravegherii și aplicării efective a normelor de fond în materie de protecție a datelor, la nivelul Uniunii ar trebui să se instituie un model unic și coerent de supraveghere coordonată. Prin urmare, Comisia ar trebui să prezinte propuneri legislative, atunci când este cazul, în vederea modificării actelor juridice ale Uniunii care prevăd un model de supraveghere coordonată, pentru a le alinia la modelul de supraveghere coordonată menționat în prezentul regulament. Comitetul european pentru protecția datelor ar trebui să exercite rolul de forum unic pentru asigurarea supravegherii efective coordonate în toate domeniile.

(79)

Orice persoană vizată ar trebui să aibă dreptul de a depune o plângere la Autoritatea Europeană pentru Protecția Datelor și dreptul de a introduce o cale de atac eficientă la Curtea de Justiție în conformitate cu tratatele, în cazul în care persoana vizată consideră că drepturile de care se bucură în temeiul prezentului regulament îi sunt încălcate sau în cazul în care Autoritatea Europeană pentru Protecția Datelor nu reacționează la o plângere, respinge sau refuză parțial ori total o plângere sau nu acționează atunci când o astfel de acțiune este necesară pentru asigurarea protecției drepturilor persoanei vizate. Investigația în urma unei plângeri ar trebui să fie efectuată, sub control judiciar, în măsura în care este necesar, în funcție de caz. Autoritatea Europeană pentru Protecția Datelor ar trebui să informeze persoana vizată cu privire la stadiul în care se află plângerea și cu privire la soluționarea acesteia într-un termen rezonabil. În eventualitatea în care cazul necesită coordonarea ulterioară cu o autoritate națională de supraveghere, ar trebui să se furnizeze informații intermediare persoanei vizate. În vederea facilitării depunerii plângerilor, Autoritatea Europeană pentru Protecția Datelor ar trebui să ia măsuri precum punerea la dispoziție a unui formular de depunere a plângerii, care să poată fi completat inclusiv în format electronic, fără a exclude alte mijloace de comunicare.

(80)

Orice persoană care a suferit un prejudiciu material sau moral ca urmare a unei încălcări a prezentului regulament ar trebui să aibă dreptul de a obține despăgubiri de la operator sau de la persoana împuternicită de operator pentru prejudiciul suferit, în condițiile prevăzute în tratate.

(81)

În vederea întăririi rolului de supraveghere exercitat de Autoritatea Europeană pentru Protecția Datelor și a punerii efective în aplicare a prezentului regulament, Autoritatea Europeană pentru Protecția Datelor ar trebui să aibă competența de a aplica amenzi administrative, ca sancțiune de ultimă instanță. Aceste amenzi ar trebui să urmărească sancționarea mai degrabă a instituției sau a organului Uniunii în cauză, decât a persoanelor fizice, în caz de nerespectare a prezentului regulament, astfel încât să descurajeze viitoare încălcări ale prezentului regulament și să promoveze o cultură a protecției datelor cu caracter personal în instituțiile și organele Uniunii. Prezentul regulament ar trebui să indice încălcările care fac obiectul unor amenzi administrative și limitele maxime și criteriile pentru stabilirea amenzilor aferente. Autoritatea Europeană pentru Protecția Datelor ar trebui să determine cuantumul amenzii în fiecare caz în parte, ținând seama de toate circumstanțele relevante ale situației specifice, luându-se în considerare în mod corespunzător natura, gravitatea și durata încălcării, consecințele acesteia și măsurile luate pentru a se asigura respectarea obligațiilor prevăzute de prezentul regulament și pentru a se preveni sau atenua consecințele încălcării. Atunci când aplică o amendă administrativă unei instituții sau unui organ al Uniunii, Autoritatea Europeană pentru Protecția Datelor ar trebui să ia în considerare proporționalitatea cuantumului amenzii. Procedura administrativă de aplicare a amenzilor instituțiilor și organelor Uniunii ar trebui să respecte principiile generale ale dreptului Uniunii, astfel cum sunt interpretate de Curtea de Justiție.

(82)

În cazul în care persoana vizată consideră că drepturile de care beneficiază în temeiul prezentului regulament îi sunt încălcate, aceasta ar trebui să aibă dreptul de a mandata un organism, o organizație sau o asociație fără scop lucrativ care este înființat(ă) în conformitate cu dreptul Uniunii sau cu dreptul intern al unui stat membru, ale cărui (cărei) obiective statutare sunt în interesul public și care își desfășoară activitatea în domeniul asigurării protecției datelor cu caracter personal, să depună o plângere în numele său la Autoritatea Europeană pentru Protecția Datelor. Un astfel de organism, organizație sau asociație ar trebui, de asemenea, să fie în măsură să exercite dreptul la o cale de atac în numele persoanelor vizate sau să exercite dreptul de a primi despăgubiri în numele persoanelor vizate.

(83)

Împotriva funcționarilor sau altor agenți ai Uniunii care nu respectă obligațiile ce le revin în temeiul dispozițiilor prezentului regulament ar trebui să se poată lua măsuri disciplinare sau alt tip de măsuri, în conformitate cu normele și procedurile prevăzute în Statutul funcționarilor Uniunii Europene și în Regimul aplicabil celorlalți agenți ai Uniunii Europene, stabilite prin Regulamentul (CEE, Euratom, CECA) nr. 259/68 al Consiliului (10) („Statutul funcționarilor”).

(84)

În vederea asigurării unor condiții uniforme de punere în aplicare a prezentului regulament, Comisia ar trebui învestită cu competențe de executare. Competențele respective ar trebui să fie exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului (11). Procedura de examinare ar trebui utilizată pentru adoptarea de clauze contractuale standard între operatori și persoanele împuternicite de operatori, precum și între persoanele împuternicite de operatori, pentru adoptarea unei liste a operațiunilor de prelucrare în cazul cărora este necesară o consultare prealabilă a Autorității Europene pentru Protecția Datelor de către operatorii care efectuează activități de prelucrare a datelor cu caracter personal necesare pentru îndeplinirea unei sarcini de interes public, precum și pentru adoptarea unor clauze contractuale standard care oferă garanții adecvate pentru transferurile internaționale.

(85)

Informațiile confidențiale pe care autoritățile statistice de la nivelul Uniunii și de la nivel național le colectează în vederea elaborării de statistici europene și naționale oficiale ar trebui să fie protejate. Statisticile europene ar trebui concepute, elaborate și difuzate în conformitate cu principiile statistice prevăzute la articolul 338 alineatul (2) din TFUE. Regulamentul (CE) nr. 223/2009 al Parlamentului European și al Consiliului (12) prevede specificații suplimentare privind confidențialitatea datelor statistice pentru statisticile europene.

(86)

Regulamentul (CE) nr. 45/2001 și Decizia nr. 1247/2002/CE a Parlamentului European, a Consiliului și a Comisiei (13) ar trebui abrogate. Trimiterile la regulamentul și la decizia abrogate ar trebui interpretate ca trimiteri la prezentul regulament.

(87)

În scopul garantării independenței depline a membrilor autorității independente de supraveghere, prezentul regulament nu ar trebui să aducă atingere mandatelor actualei Autorități Europene pentru Protecția Datelor și a actualului său adjunct. Actualul adjunct al acestei autorități ar trebui să rămână în funcție până la sfârșitul mandatului său, cu excepția cazului în care este îndeplinită una dintre condițiile prevăzute de prezentul regulament pentru încetarea anticipată a mandatului Autorității Europene pentru Protecția Datelor. Dispozițiile relevante ale prezentului regulament ar trebui să se aplice adjunctului Autorității Europene pentru Protecția Datelor până la sfârșitul mandatului său.

(88)

În conformitate cu principiul proporționalității, este necesar și oportun, în vederea realizării obiectivului fundamental al asigurării unui nivel echivalent de protecție a persoanelor fizice cu privire la prelucrarea datelor cu caracter personal și al liberei circulații a datelor cu caracter personal în întreaga Uniune, să se stabilească norme privind prelucrarea datelor cu caracter personal în instituțiile și organele Uniunii. Prezentul regulament nu depășește ceea ce este necesar pentru realizarea obiectivelor urmărite, în conformitate cu articolul 5 alineatul (4) din TUE.

(89)

Autoritatea Europeană pentru Protecția Datelor a fost consultată în conformitate cu articolul 28 alineatul (2) din Regulamentul (CE) nr. 45/2001 și a emis un aviz la 15 martie 2017 (14),