PROTECTIA DATELOR CU CARACTER PERSONAL
REGULAMENT nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor)
PARLAMENTUL EUROPEAN ŞI CONSILIUL UNIUNII EUROPENE,
având în vedere Tratatul privind funcţionarea Uniunii Europene, în special articolul 16, având în vedere propunerea Comisiei Europene, după transmiterea proiectului de act legislativ către parlamentele naţionale,
având în vedere avizul Comitetului Economic şi Social European (1),
(1)JO C 229, 31.7.2012, p. 90. având în vedere avizul Comitetului Regiunilor (2),
(2)JO C 391, 18.12.2012, p. 127. hotărând în conformitate cu procedura legislativă ordinară (3),
(3)Poziţia Parlamentului European din 12 martie 2014 (nepublicată încă în Jurnalul Oficial) şi
Poziţia în primă lectură a Consiliului din 8 aprilie 2016 (nepublicată încă în Jurnalul Oficial).
Poziţia Parlamentului European din 14 aprilie 2016. întrucât:
(1)Protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal
este un drept fundamental. Articolul 8 alineatul (1) din Carta drepturilor fundamentale a
Uniunii Europene ("carta") şi articolul 16 alineatul (1) din Tratatul privind funcţionarea
Uniunii Europene (TFUE) prevăd dreptul oricărei persoane la protecţia datelor cu caracter
personal care o privesc.
(2)Principiile şi normele referitoare la protecţia persoanelor fizice în ceea ce priveşte
prelucrarea datelor lor cu caracter personal ar trebui, indiferent de cetăţenia sau de locul de
reşedinţă al persoanelor fizice, să respecte drepturile şi libertăţile fundamentale ale acestora,
în special dreptul la protecţia datelor cu caracter personal. Prezentul regulament urmăreşte să
contribuie la realizarea unui spaţiu de libertate, securitate şi justiţie şi a unei uniuni
economice, la progresul economic şi social, la consolidarea şi convergenţa economiilor în
cadrul pieţei interne şi la bunăstarea persoanelor fizice.
(3)Directiva 95/46/CE a Parlamentului European şi a Consiliului (4) vizează armonizarea
nivelului de protecţie a drepturilor şi libertăţilor fundamentale ale persoanelor fizice în ceea ce
priveşte activităţile de prelucrare şi asigurarea liberei circulaţii a datelor cu caracter personal
între statele membre.
(4)Directiva 95/46/CE a Parlamentului European şi a Consiliului din 24 octombrie 1995
privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter
personal şi libera circulaţie a acestor date (JO L 281, 23.11.1995, p. 31).
(4)Prelucrarea datelor cu caracter personal ar trebui să fie în serviciul cetăţenilor. Dreptul la
protecţia datelor cu caracter personal nu este un drept absolut; acesta trebuie luat în
considerare în raport cu funcţia pe care o îndeplineşte în societate şi echilibrat cu alte drepturi
fundamentale, în conformitate cu principiul proporţionalităţii. Prezentul regulament respectă
toate drepturile fundamentale şi libertăţile şi principiile recunoscute în cartă astfel cum sunt
consacrate în tratate, în special respectarea vieţii private şi de familie, a reşedinţei şi a
comunicaţiilor, a protecţiei datelor cu caracter personal, a libertăţii de gândire, de conştiinţă şi
de religie, a libertăţii de exprimare şi de informare, a libertăţii de a desfăşura o activitate
comercială, dreptul la o cale de atac eficientă şi la un proces echitabil, precum şi diversitatea
culturală, religioasă şi lingvistică.
(5)Integrarea economică şi socială care rezultă din funcţionarea pieţei interne a condus la o
creştere substanţială a fluxurilor transfrontaliere de date cu caracter personal. Schimbul de
date cu caracter personal între actori publici şi privaţi, inclusiv persoane fizice, asociaţii şi
întreprinderi, s-a intensificat în întreaga Uniune. Conform dreptului Uniunii, autorităţile
naţionale din statele membre sunt chemate să coopereze şi să facă schimb de date cu
caracter personal pentru a putea să îşi îndeplinească atribuţiile sau să execute sarcini în
numele unei autorităţi dintr-un alt stat membru.
(6)Evoluţiile tehnologice rapide şi globalizarea au generat noi provocări pentru protecţia
datelor cu caracter personal. Amploarea colectării şi a schimbului de date cu caracter
personal a crescut în mod semnificativ. Tehnologia permite atât societăţilor private, cât şi
autorităţilor publice să utilizeze date cu caracter personal la un nivel fără precedent în cadrul
activităţilor lor. Din ce în ce mai mult, persoanele fizice fac publice la nivel mondial informaţii
cu caracter personal. Tehnologia a transformat deopotrivă economia şi viaţa socială şi ar
trebui să faciliteze în continuare libera circulaţie a datelor cu caracter personal în cadrul
Uniunii şi transferul către ţări terţe şi organizaţii internaţionale, asigurând, totodată, un nivel
ridicat de protecţie a datelor cu caracter personal.
(7)Aceste evoluţii impun un cadru solid şi mai coerent în materie de protecţie a datelor în
Uniune, însoţit de o aplicare riguroasă a normelor, luând în considerare importanţa creării
unui climat de încredere care va permite economiei digitale să se dezvolte pe piaţa internă.
Persoanele fizice ar trebui să aibă control asupra propriilor date cu caracter personal, iar
securitatea juridică şi practică pentru persoane fizice, operatori economici şi autorităţi publice
ar trebui să fie consolidată.
(8)În cazul în care prezentul regulament prevede specificări sau restricţionări ale normelor
sale de către dreptul intern, statele membre pot, în măsura în care acest lucru este necesar
pentru coerenţă şi pentru a asigura înţelegerea dispoziţiilor naţionale de către persoanele
cărora li se aplică acestea, să încorporeze elemente din prezentul regulament în dreptul lor
intern.
(9)Obiectivele şi principiile Directivei 95/46/CE rămân solide, dar aceasta nu a prevenit
fragmentarea modului în care protecţia datelor este pusă în aplicare în Uniune, insecuritatea
juridică sau percepţia publică larg răspândită conform căreia există riscuri semnificative
pentru protecţia persoanelor fizice, în special în legătură cu activitatea online. Diferenţele
dintre nivelurile de protecţie a drepturilor şi libertăţilor persoanelor fizice, în special a
dreptului la protecţia datelor cu caracter personal, în ceea ce priveşte prelucrarea datelor cu
caracter personal din statele membre pot împiedica libera circulaţie a datelor cu caracter
personal în întreaga Uniune. Aceste diferenţe pot constitui, prin urmare, un obstacol în
desfăşurarea de activităţi economice la nivelul Uniunii, pot denatura concurenţa şi pot
împiedica autorităţile să îndeplinească responsabilităţile care le revin în temeiul dreptului
Uniunii. Această diferenţă între nivelurile de protecţie este cauzată de existenţa unor
deosebiri în ceea ce priveşte transpunerea şi aplicarea Directivei 95/46/CE.
(10)Pentru a se asigura un nivel consecvent şi ridicat de protecţie a persoanelor fizice şi
pentru a se îndepărta obstacolele din calea circulaţiei datelor cu caracter personal în cadrul
Uniunii, nivelul protecţiei drepturilor şi libertăţilor persoanelor fizice în ceea ce priveşte
prelucrarea unor astfel de date ar trebui să fie echivalent în toate statele membre. Aplicarea
consecventă şi omogenă a normelor în materie de protecţie a drepturilor şi libertăţilor
fundamentale ale persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter
personal ar trebui să fie asigurată în întreaga Uniune. În ceea ce priveşte prelucrarea datelor
cu caracter personal în vederea respectării unei obligaţii legale, a îndeplinirii unei sarcini care
serveşte unui interes public sau care rezultă din exercitarea autorităţii publice cu care este
învestit operatorul, statelor membre ar trebui să li se permită să menţină sau să introducă
dispoziţii de drept intern care să clarifice într-o mai mare măsură aplicarea normelor
prezentului regulament. În coroborare cu legislaţia generală şi orizontală privind protecţia
datelor, prin care este pusă în aplicare Directiva 95/46/CE, statele membre au mai multe
legi sectoriale specifice în domenii care necesită dispoziţii mai precise. Prezentul regulament
oferă, de asemenea, statelor membre o marjă de manevră în specificarea normelor sale,
inclusiv în ceea ce priveşte prelucrarea categoriilor speciale de date cu caracter personal
("date sensibile"). În acest sens, prezentul regulament nu exclude dreptul statelor membre
care stabileşte circumstanţele aferente unor situaţii de prelucrare specifice, inclusiv stabilirea
cu o mai mare precizie a condiţiilor în care prelucrarea datelor cu caracter personal este
legală.
(11)Protecţia efectivă a datelor cu caracter personal în întreaga Uniune necesită nu numai
consolidarea şi stabilirea în detaliu a drepturilor persoanelor vizate şi a obligaţiilor celor care
prelucrează şi decid prelucrarea datelor cu caracter personal, ci şi competenţe echivalente
pentru monitorizarea şi asigurarea conformităţii cu normele de protecţie a datelor cu caracter
personal şi sancţiuni echivalente pentru infracţiuni în statele membre.
(12)Articolul 16 alineatul (2) din TFUE mandatează Parlamentul European şi Consiliul să
stabilească normele privind protecţia persoanelor fizice referitor la prelucrarea datelor cu
caracter personal, precum şi normele privind libera circulaţie a acestor date.
(13)În vederea asigurării unui nivel uniform de protecţie pentru persoanele fizice în întreaga
Uniune şi a preîntâmpinării discrepanţelor care împiedică libera circulaţie a datelor în cadrul
pieţei interne, este necesar un regulament în scopul de a furniza securitate juridică şi
transparenţă pentru operatorii economici, inclusiv microîntreprinderi şi întreprinderi mici şi
mijlocii, precum şi de a oferi persoanelor fizice în toate statele membre acelaşi nivel de
drepturi, obligaţii şi responsabilităţi opozabile din punct de vedere juridic pentru operatori şi
persoanele împuternicite de aceştia, pentru a se asigura o monitorizare coerentă a prelucrării
datelor cu caracter personal, sancţiuni echivalente în toate statele membre, precum şi
cooperarea eficace a autorităţilor de supraveghere ale diferitelor state membre. Pentru buna
funcţionare a pieţei interne este necesar ca libera circulaţie a datelor cu caracter personal în
cadrul Uniunii să nu fie restricţionată sau interzisă din motive legate de protecţia persoanelor
fizice în ceea ce priveşte prelucrarea datelor cu caracter personal. Pentru a se lua în
considerare situaţia specifică a microîntreprinderilor şi a întreprinderilor mici şi mijlocii,
prezentul regulament include o derogare pentru organizaţiile cu mai puţin de 250 de angajaţi
în ceea ce priveşte păstrarea evidenţelor. În plus, instituţiile şi organele Uniunii şi statele
membre şi autorităţile lor de supraveghere sunt încurajate să ia în considerare necesităţile
specifice ale microîntreprinderilor şi ale întreprinderilor mici şi mijlocii în aplicarea prezentului
regulament. Noţiunea de microîntreprinderi şi de întreprinderi mici şi mijlocii ar trebui să se
bazeze pe articolul 2 din anexa la Recomandarea 2003/361/CE a Comisiei (1).
(1)Recomandarea 2003/361/CE a Comisiei din 6 mai 2003 privind definirea
microîntreprinderilor şi a întreprinderilor mici şi mijlocii [C(2003) 1422] (JO L 124, 20.5.2003,
p. 36).
(14)Protecţia conferită de prezentul regulament ar trebui să vizeze persoanele fizice,
indiferent de cetăţenia sau de locul de reşedinţă al acestora, în ceea ce priveşte prelucrarea
datelor cu caracter personal ale acestora. Prezentul regulament nu se aplică prelucrării
datelor cu caracter personal care privesc persoane juridice şi, în special, întreprinderi cu
personalitate juridică, inclusiv numele şi tipul de persoană juridică şi datele de contact ale
persoanei juridice.
(15)Pentru a preveni apariţia unui risc major de eludare, protecţia persoanelor fizice ar trebui
să fie neutră din punct de vedere tehnologic şi să nu depindă de tehnologiile utilizate.
Protecţia persoanelor fizice ar trebui să se aplice prelucrării datelor cu caracter personal prin
mijloace automatizate, precum şi prelucrării manuale, în cazul în care datele cu caracter
personal sunt cuprinse sau destinate să fie cuprinse într-un sistem de evidenţă. Dosarele sau
seturile de dosare, precum şi copertele acestora, care nu sunt structurate în conformitate cu
criterii specifice nu ar trebui să intre în domeniul de aplicare al prezentului regulament.
(16)Prezentul regulament nu se aplică chestiunilor de protecţie a drepturilor şi libertăţilor
fundamentale sau la libera circulaţie a datelor cu caracter personal referitoare la activităţi
care nu intră în domeniul de aplicare al dreptului Uniunii, de exemplu activităţile privind
securitatea naţională. Prezentul regulament nu se aplică prelucrării datelor cu caracter
personal de către statele membre atunci când acestea desfăşoară activităţi legate de politica
externă şi de securitatea comună a Uniunii.
(17)Regulamentul (CE) nr. 45/2001 al Parlamentului European şi al Consiliului (2) se aplică
prelucrării de date cu caracter personal de către instituţiile, organele, oficiile şi agenţiile
Uniunii. Regulamentul (CE) nr. 45/2001 şi alte acte juridice ale Uniunii aplicabile unei
asemenea prelucrări a datelor cu caracter personal ar trebui adaptate la principiile şi normele
stabilite în prezentul regulament şi aplicate în conformitate cu prezentul regulament. În
vederea asigurării unui cadru solid şi coerent în materie de protecţie a datelor în Uniune, ar
trebui ca după adoptarea prezentului regulament să se aducă Regulamentului (CE) nr.
45/2001 adaptările necesare, astfel încât acestea să poată fi aplicate odată cu prezentul
regulament.
(2)Regulamentul (CE) nr. 45/2001 al Parlamentului European şi al Consiliului din 18
decembrie 2000 privind protecţia persoanelor fizice cu privire la prelucrarea datelor cu
caracter personal de către instituţiile şi organele comunitare şi privind libera circulaţie a
acestor date (JO L 8, 12.1.2001, p. 1).
(18)Prezentul regulament nu se aplică prelucrării datelor cu caracter personal de către o
persoană fizică în cadrul unei activităţi exclusiv personale sau domestice şi care, prin urmare,
nu are legătură cu o activitate profesională sau comercială. Activităţile personale sau
domestice ar putea include corespondenţa şi repertoriul de adrese sau activităţile din cadrul
reţelelor sociale şi activităţile online desfăşurate în contextul respectivelor activităţi. Cu toate
acestea, prezentul regulament se aplică operatorilor sau persoanelor împuternicite de
operatori care furnizează mijloacele de prelucrare a datelor cu caracter personal pentru astfel
de activităţi personale sau domestice.
(19)Protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal
de către autorităţile competente în scopul prevenirii, investigării, depistării sau urmăririi
penale a infracţiunilor sau al executării pedepselor, inclusiv al protejării împotriva
ameninţărilor la adresa siguranţei publice şi al prevenirii acestora, precum şi libera circulaţie a
acestor date, face obiectul unui act juridic specific al Uniunii. Prin urmare, prezentul
regulament nu ar trebui să se aplice activităţilor de prelucrare în aceste scopuri. Cu toate
acestea, datele cu caracter personal prelucrate de către autorităţile publice în temeiul
prezentului regulament, atunci când sunt utilizate în aceste scopuri, ar trebui să fie
reglementate printr-un act juridic mai specific al Uniunii, şi anume Directiva (UE) 2016/680
a Parlamentului European şi a Consiliului (1). Statele membre pot încredinţa autorităţilor
competente în sensul Directivei (UE) 2016/680 sarcini care nu sunt neapărat îndeplinite în
scopul prevenirii, investigării, depistării sau urmăririi penale a infracţiunilor sau al executării
pedepselor, inclusiv al protejării împotriva ameninţărilor la adresa siguranţei publice şi al
prevenirii acestora, astfel încât prelucrarea datelor cu caracter personal pentru alte scopuri, în
măsura în care se încadrează în domeniul de aplicare al dreptului Uniunii, să intre în domeniul
de aplicare al prezentului regulament.
(1)Directiva (UE) 2016/680 a Parlamentului European şi a Consiliului din 27 aprilie 2016
privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de
către autorităţile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a
infracţiunilor sau al executării pedepselor şi privind libera circulaţie a acestor date şi de
abrogare a Deciziei-cadru 2008/977/JAI a Consiliului (a se vedea pagina 89 din prezentul
Jurnal Oficial).
În ceea ce priveşte prelucrarea datelor cu caracter personal de către aceste autorităţi
competente în scopuri care intră în domeniul de aplicare al prezentului regulament, statele
membre ar trebui să poată menţine sau introduce dispoziţii mai detaliate pentru a adapta
aplicarea normelor din prezentul regulament. Aceste dispoziţii pot stabili mai precis cerinţe
specifice pentru prelucrarea datelor cu caracter personal de către respectivele autorităţi
competente în aceste alte scopuri, ţinând seama de structura constituţională, organizatorică şi
administrativă a statului membru în cauză. Atunci când prelucrarea de date cu caracter
personal de către organisme private face obiectul prezentului regulament, prezentul
regulament ar trebui să prevadă posibilitatea ca statele membre, în anumite condiţii, să
impună prin lege restricţii asupra anumitor obligaţii şi drepturi, în cazul în care asemenea
restricţii constituie o măsură necesară şi proporţională într-o societate democratică în scopul
garantării unor interese specifice importante, printre care se numără siguranţa publică şi
prevenirea, investigarea, depistarea şi urmărirea penală a infracţiunilor sau executarea
pedepselor, inclusiv protejarea împotriva ameninţărilor la adresa siguranţei publice şi
prevenirea acestora. Acest lucru este relevant, de exemplu, în cadrul combaterii spălării de
bani sau al activităţilor laboratoarelor criminalistice.
(20)Deşi prezentul regulament se aplică, inter alia, activităţilor instanţelor şi ale altor
autorităţi judiciare, dreptul Uniunii sau al statelor membre ar putea să precizeze operaţiunile
şi procedurile de prelucrare în ceea ce priveşte prelucrarea datelor cu caracter personal de
către instanţe şi alte autorităţi judiciare. Prelucrarea datelor cu caracter personal nu ar trebui
să fie de competenţa autorităţilor de supraveghere în cazul în care instanţele îşi exercită
atribuţiile judiciare, în scopul garantării independenţei sistemului judiciar în îndeplinirea
sarcinilor sale judiciare, inclusiv în luarea deciziilor. Supravegherea unor astfel de operaţiuni
de prelucrare a datelor ar trebui să poată fi încredinţată unor organisme specifice din cadrul
sistemului judiciar al statului membru, care ar trebui să asigure în special respectarea
normelor prevăzute de prezentul regulament, să sensibilizeze membrii sistemului judiciar cu
privire la obligaţiile care le revin în temeiul prezentului regulament şi să trateze plângerile în
legătură cu astfel de operaţiuni de prelucrare a datelor.
(21)Prezentul regulament nu aduce atingere aplicării Directivei 2000/31/CE a
Parlamentului European şi a Consiliului (2), în special normelor privind răspunderea
furnizorilor intermediari de servicii prevăzute la articolele 12-15 din directiva menţionată.
Respectiva directivă îşi propune să contribuie la buna funcţionare a pieţei interne, prin
asigurarea liberei circulaţii a serviciilor societăţii informaţionale între statele membre.
(2)Directiva 2000/31/CE a Parlamentului European şi a Consiliului din 8 iunie 2000 privind
anumite aspecte juridice ale serviciilor societăţii informaţionale, în special ale comerţului
electronic, pe piaţa internă (directiva privind comerţul electronic) (JO L 178, 17.7.2000, p. 1).
(22)Orice prelucrare a datelor cu caracter personal în cadrul activităţilor unui sediu al unui
operator sau al unei persoane împuternicite de operator din Uniune ar trebui efectuată în
conformitate cu prezentul regulament, indiferent dacă procesul de prelucrare în sine are loc
sau nu în cadrul Uniunii. Sediul implică exercitarea efectivă şi reală a unei activităţi în cadrul
unor înţelegeri stabile. Forma juridică a unor astfel de înţelegeri, prin intermediul unei
sucursale sau al unei filiale cu personalitate juridică, nu este factorul determinant în această
privinţă.
(23)Pentru a se asigura că persoanele fizice nu sunt lipsite de protecţia la care au dreptul în
temeiul prezentului regulament, prelucrarea datelor cu caracter personal ale persoanelor
vizate care se află pe teritoriul Uniunii de către un operator sau o persoană împuternicită de
acesta care nu îşi are sediul în Uniune ar trebui să facă obiectul prezentului regulament în
cazul în care activităţile de prelucrare au legătură cu oferirea de bunuri sau servicii unor astfel
de persoane vizate, indiferent dacă acestea sunt sau nu legate de o plată. Pentru a determina
dacă un astfel de operator sau o astfel de persoană împuternicită de operator oferă bunuri
sau servicii unor persoane vizate care se află pe teritoriul Uniunii, ar trebui să se stabilească
dacă reiese că operatorul sau persoana împuternicită de operator intenţionează să furnizeze
servicii persoanelor vizate din unul sau mai multe state membre din Uniune. Întrucât simplul
fapt că există acces la un site al operatorului, al persoanei împuternicite de operator sau al
unui intermediar în Uniune, că este disponibilă o adresă de e-mail şi alte date de contact sau
că este utilizată o limbă folosită în general în ţara terţă în care operatorul îşi are sediul este
insuficient pentru a confirma o astfel de intenţie, factori precum utilizarea unei limbi sau a
unei monede utilizate în general în unul sau mai multe state membre cu posibilitatea de a
comanda bunuri şi servicii în respectiva limbă sau menţionarea unor clienţi sau utilizatori care
se află pe teritoriul Uniunii pot conduce la concluzia că operatorul intenţionează să ofere
bunuri sau servicii unor persoane vizate în Uniune.
(24)Prelucrarea datelor cu caracter personal ale persoanelor vizate care se află pe teritoriul
Uniunii de către un operator sau o persoană împuternicită de acesta care nu îşi are sediul în
Uniune ar trebui, de asemenea, să facă obiectul prezentului regulament în cazul în care este
legată de monitorizarea comportamentului unor astfel de persoane vizate, în măsura în care
acest comportament se manifestă pe teritoriul Uniunii. Pentru a se determina dacă o
activitate de prelucrare poate fi considerată ca "monitorizare a comportamentului"
persoanelor vizate, ar trebui să se stabilească dacă persoanele fizice sunt urmărite pe
internet, inclusiv posibila utilizare ulterioară a unor tehnici de prelucrare a datelor cu caracter
personal care constau în crearea unui profil al unei persoane fizice, în special în scopul de a
lua decizii cu privire la aceasta sau de a analiza sau de a face previziuni referitoare la
preferinţele personale, comportamentele şi atitudinile acesteia.
(25)În cazul în care dreptul unui stat membru se aplică în temeiul dreptului internaţional
public, prezentul regulament ar trebui să se aplice, de asemenea, unui operator care nu este
stabilit în Uniune, ci, de exemplu, într-o misiune diplomatică sau într-un oficiu consular al unui
stat membru.
(26)Principiile protecţiei datelor ar trebui să se aplice oricărei informaţii referitoare la o
persoană fizică identificată sau identificabilă. Datele cu caracter personal care au fost supuse
pseudonimizării, care ar putea fi atribuite unei persoane fizice prin utilizarea de informaţii
suplimentare, ar trebui considerate informaţii referitoare la o persoană fizică identificabilă.
Pentru a se determina dacă o persoană fizică este identificabilă, ar trebui să se ia în
considerare toate mijloacele, cum ar fi individualizarea, pe care este probabil, în mod
rezonabil, să le utilizeze fie operatorul, fie o altă persoană, în scopul identificării, în mod direct
sau indirect, a persoanei fizice respective. Pentru a se determina dacă este probabil, în mod
rezonabil, să fie utilizate mijloace pentru identificarea persoanei fizice, ar trebui luaţi în
considerare toţi factorii obiectivi, precum costurile şi intervalul de timp necesare pentru
identificare, ţinându-se seama atât de tehnologia disponibilă la momentul prelucrării, cât şi de
dezvoltarea tehnologică. Principiile protecţiei datelor ar trebui, prin urmare, să nu se aplice
informaţiilor anonime, adică informaţiilor care nu sunt legate de o persoană fizică identificată
sau identificabilă sau datelor cu caracter personal care sunt anonimizate astfel încât persoana
vizată nu este sau nu mai este identificabilă. Prin urmare, prezentul regulament nu se aplică
prelucrării unor astfel de informaţii anonime, inclusiv în cazul în care acestea sunt utilizate în
scopuri statistice sau de cercetare.
(27)Prezentul regulament nu se aplică datelor cu caracter personal referitoare la persoane
decedate. Statele membre pot să prevadă norme privind prelucrarea datelor cu caracter
personal referitoare la persoane decedate.
(28)Aplicarea pseudonimizării datelor cu caracter personal poate reduce riscurile pentru
persoanele vizate şi poate ajuta operatorii şi persoanele împuternicite de aceştia să îşi
îndeplinească obligaţiile de protecţie a datelor. Introducerea explicită a conceptului de
"pseudonimizare" în prezentul regulament nu este destinată să împiedice alte eventuale
măsuri de protecţie a datelor.
(29)Pentru a crea stimulente pentru aplicarea pseudonimizării atunci când sunt prelucrate
date cu caracter personal, ar trebui să fie posibile măsuri de pseudonimizare, permiţând în
acelaşi timp analiza generală, în cadrul aceluiaşi operator atunci când operatorul a luat
măsurile tehnice şi organizatorice necesare pentru a se asigura că prezentul regulament este
pus în aplicare în ceea ce priveşte respectiva prelucrare a datelor şi că informaţiile
suplimentare pentru atribuirea datelor cu caracter personal unei anumite persoane vizate sunt
păstrate separat. Operatorul care prelucrează datele cu caracter personal ar trebui să indice
persoanele autorizate din cadrul aceluiaşi operator.
(30)Persoanele fizice pot fi asociate cu identificatorii online furnizaţi de dispozitivele,
aplicaţiile, instrumentele şi protocoalele lor, cum ar fi adresele IP, identificatorii cookie sau alţi
identificatori precum etichetele de identificare prin frecvenţe radio. Aceştia pot lăsa urme
care, în special atunci când sunt combinate cu identificatori unici şi alte informaţii primite de
servere, pot fi utilizate pentru crearea de profiluri ale persoanelor fizice şi pentru identificarea
lor.
(31)Autorităţile publice cărora le sunt divulgate date cu caracter personal în conformitate cu
o obligaţie legală în vederea exercitării funcţiei lor oficiale, cum ar fi autorităţile fiscale şi
vamale, unităţile de investigare financiară, autorităţile administrative independente sau
autorităţile pieţelor financiare responsabile de reglementarea şi supravegherea pieţelor
titlurilor de valoare, nu ar trebui să fie considerate destinatari în cazul în care primesc date cu
caracter personal care sunt necesare pentru efectuarea unei anumite anchete de interes
general, în conformitate cu dreptul Uniunii sau cel al statelor membre. Cererile de divulgare
trimise de autorităţile publice ar trebui să fie întotdeauna prezentate în scris, motivate şi
ocazionale şi nu ar trebui să se refere la un sistem de evidenţă în totalitate sau să conducă la
interconectarea sistemelor de evidenţă. Prelucrarea datelor cu caracter personal de către
autorităţile publice respective ar trebui să respecte normele aplicabile în materie de protecţie
a datelor în conformitate cu scopurile prelucrării.
(32)Consimţământul ar trebui acordat printr-o acţiune neechivocă care să constituie o
manifestare liber exprimată, specifică, în cunoştinţă de cauză şi clară a acordului persoanei
vizate pentru prelucrarea datelor sale cu caracter personal, ca de exemplu o declaraţie făcută
în scris, inclusiv în format electronic, sau verbal. Acesta ar putea include bifarea unei căsuţe
atunci când persoana vizitează un site, alegerea parametrilor tehnici pentru serviciile societăţii
informaţionale sau orice altă declaraţie sau acţiune care indică în mod clar în acest context
acceptarea de către persoana vizată a prelucrării propuse a datelor sale cu caracter personal.
Prin urmare, absenţa unui răspuns, căsuţele bifate în prealabil sau absenţa unei acţiuni nu ar
trebui să constituie un consimţământ. Consimţământul ar trebui să vizeze toate activităţile de
prelucrare efectuate în acelaşi scop sau în aceleaşi scopuri. Dacă prelucrarea datelor se face
în mai multe scopuri, consimţământul ar trebui dat pentru toate scopurile prelucrării. În cazul
în care consimţământul persoanei vizate trebuie acordat în urma unei cereri transmise pe cale
electronică, cererea respectivă trebuie să fie clară şi concisă şi să nu perturbe în mod inutil
utilizarea serviciului pentru care se acordă consimţământul.
(33)Adesea nu este posibil, în momentul colectării datelor cu caracter personal, să se
identifice pe deplin scopul prelucrării datelor în scopuri de cercetare ştiinţifică. Din acest
motiv, persoanelor vizate ar trebui să li se permită să îşi exprime consimţământul pentru
anumite domenii ale cercetării ştiinţifice atunci când sunt respectate standardele etice
recunoscute pentru cercetarea ştiinţifică. Persoanele vizate ar trebui să aibă posibilitatea de
a-şi exprima consimţământul doar pentru anumite domenii de cercetare sau părţi ale
proiectelor de cercetare în măsura permisă de scopul preconizat.
(34)Datele genetice ar trebui definite drept date cu caracter personal referitoare la
caracteristicile genetice moştenite sau dobândite ale unei persoane fizice, care rezultă în
urma unei analize a unei mostre de material biologic al persoanei fizice în cauză, în special a
unei analize cromozomiale, a unei analize a acidului dezoxiribonucleic (ADN) sau a acidului
ribonucleic (ARN) sau a unei analize a oricărui alt element ce permite obţinerea unor
informaţii echivalente.
(35)Datele cu caracter personal privind sănătatea ar trebui să includă toate datele având
legătură cu starea de sănătate a persoanei vizate care dezvăluie informaţii despre starea de
sănătate fizică sau mentală trecută, prezentă sau viitoare a persoanei vizate. Acestea includ
informaţii despre persoana fizică colectate în cadrul înscrierii acesteia la serviciile de asistenţă
medicală sau în cadrul acordării serviciilor respective persoanei fizice în cauză, astfel cum sunt
menţionate în Directiva 2011/24/UE a Parlamentului European şi a Consiliului (1); un
număr, un simbol sau un semn distinctiv atribuit unei persoane fizice pentru identificarea
singulară a acesteia în scopuri medicale; informaţii rezultate din testarea sau examinarea unei
părţi a corpului sau a unei substanţe corporale, inclusiv din date genetice şi eşantioane de
material biologic; precum şi orice informaţii privind, de exemplu, o boală, un handicap, un risc
de îmbolnăvire, istoricul medical, tratamentul clinic sau starea fiziologică sau biomedicală a
persoanei vizate, indiferent de sursa acestora, ca de exemplu, un medic sau un alt cadru
medical, un spital, un dispozitiv medical sau un test de diagnostic in vitro.
(1)Directiva 2011/24/UE a Parlamentului European şi a Consiliului din 9 martie 2011 privind
aplicarea drepturilor pacienţilor în cadrul asistenţei medicale transfrontaliere (JO L 88,
4.4.2011, p. 45).
(36)Sediul principal al unui operator în Uniune ar trebui să fie locul în care se află
administraţia centrală a acestuia în Uniune, cu excepţia cazului în care deciziile privind
scopurile şi mijloacele de prelucrare a datelor cu caracter personal se iau într-un alt sediu al
operatorului în Uniune. În acest caz, acesta din urmă ar trebui considerat drept sediul
principal. Sediul principal al unui operator în Uniune ar trebui să fie determinat conform unor
criterii obiective şi ar trebui să implice exercitarea efectivă şi reală a unor activităţi de
gestionare care să determine principalele decizii cu privire la scopurile şi mijloacele de
prelucrare în cadrul unor înţelegeri stabile. Acest criteriu nu ar trebui să depindă de realizarea
prelucrării datelor cu caracter personal în locul respectiv. Prezenţa şi utilizarea mijloacelor
tehnice şi a tehnologiilor de prelucrare a datelor cu caracter personal sau activităţile de
prelucrare nu constituie un sediu principal şi, prin urmare, nu sunt criteriul determinant în
acest sens. Sediul principal al persoanei împuternicite de operator ar trebui să fie locul în care
se află administraţia centrală a acestuia în Uniune sau, în cazul în care nu are o administraţie
centrală în Uniune, locul în care se desfăşoară principalele activităţi de prelucrare în Uniune.
În cazurile care implică atât operatorul, cât şi persoana împuternicită de operator, autoritatea
de supraveghere principală competentă ar trebui să rămână autoritatea de supraveghere a
statului membru în care operatorul îşi are sediul principal, dar autoritatea de supraveghere a
persoanei împuternicite de operator ar trebui considerată ca fiind o autoritate de
supraveghere vizată şi acea autoritate de supraveghere ar trebui să participe la procedura de
cooperare prevăzută de prezentul regulament. În orice caz, autorităţile de supraveghere ale
statului membru sau ale statelor membre în care persoana împuternicită de operator are unul
sau mai multe sedii nu ar trebui considerate ca fiind autorităţi de supraveghere vizate în cazul
în care proiectul de decizie nu se referă decât la operator. În cazul în care prelucrarea este
efectuată de un grup de întreprinderi, sediul principal al întreprinderii care exercită controlul
ar trebui considerat drept sediul principal al grupului de întreprinderi, cu excepţia cazului în
care scopurile şi mijloacele aferente prelucrării sunt stabilite de o altă întreprindere.
(37)Un grup de întreprinderi ar trebui să cuprindă o întreprindere care exercită controlul şi
întreprinderile controlate de aceasta, în cadrul căruia întreprinderea care exercită controlul ar
trebui să fie întreprinderea care poate exercita o influenţă dominantă asupra celorlalte
întreprinderi, de exemplu în temeiul proprietăţii, al participării financiare sau al regulilor care
o reglementează sau al competenţei de a pune în aplicare norme în materie de protecţie a
datelor cu caracter personal. O întreprindere care controlează prelucrarea datelor cu caracter
personal în întreprinderile sale afiliate ar trebui considerată, împreună cu acestea din urmă,
drept "grup de întreprinderi".
(38)Copiii au nevoie de o protecţie specifică a datelor lor cu caracter personal, întrucât pot fi
mai puţin conştienţi de riscurile, consecinţele, garanţiile în cauză şi drepturile lor în ceea ce
priveşte prelucrarea datelor cu caracter personal. Această protecţie specifică ar trebui să se
aplice în special utilizării datelor cu caracter personal ale copiilor în scopuri de marketing sau
pentru crearea de profiluri de personalitate sau de utilizator şi la colectarea datelor cu
caracter personal privind copiii în momentul utilizării serviciilor oferite direct copiilor.
Consimţământul titularului răspunderii părinteşti nu ar trebui să fie necesar în contextul
serviciilor de prevenire sau consiliere oferite direct copiilor.
(39)Orice prelucrare de date cu caracter personal ar trebui să fie legală şi echitabilă. Ar
trebui să fie transparent pentru persoanele fizice că sunt colectate, utilizate, consultate sau
prelucrate în alt mod datele cu caracter personal care le privesc şi în ce măsură datele cu
caracter personal sunt sau vor fi prelucrate. Principiul transparenţei prevede că orice
informaţii şi comunicări referitoare la prelucrarea respectivelor date cu caracter personal sunt
uşor accesibile şi uşor de înţeles şi că se utilizează un limbaj simplu şi clar. Acest principiu se
referă în special la informarea persoanelor vizate privind identitatea operatorului şi scopurile
prelucrării, precum şi la oferirea de informaţii suplimentare, pentru a asigura o prelucrare
echitabilă şi transparentă în ceea ce priveşte persoanele fizice vizate şi dreptul acestora de a
li se confirma şi comunica datele cu caracter personal care le privesc care sunt prelucrate.
Persoanele fizice ar trebui informate cu privire la riscurile, normele, garanţiile şi drepturile în
materie de prelucrare a datelor cu caracter personal şi cu privire la modul în care să îşi
exercite drepturile în legătură cu prelucrarea. În special, scopurile specifice în care datele cu
caracter personal sunt prelucrate ar trebui să fie explicite şi legitime şi să fie determinate la
momentul colectării datelor respective. Datele cu caracter personal ar trebui să fie adecvate,
relevante şi limitate la ceea ce este necesar pentru scopurile în care sunt prelucrate. Aceasta
necesită, în special, asigurarea faptului că perioada pentru care datele cu caracter personal
sunt stocate este limitată strict la minimum. Datele cu caracter personal ar trebui prelucrate
doar dacă scopul prelucrării nu poate fi îndeplinit în mod rezonabil prin alte mijloace. În
vederea asigurării faptului că datele cu caracter personal nu sunt păstrate mai mult timp
decât este necesar, ar trebui să se stabilească de către operator termene pentru ştergere sau
revizuirea periodică. Ar trebui să fie luate toate măsurile rezonabile pentru a se asigura că
datele cu caracter personal care sunt inexacte sunt rectificate sau şterse. Datele cu caracter
personal ar trebui prelucrate într-un mod care să asigure în mod adecvat securitatea şi
confidenţialitatea acestora, inclusiv în scopul prevenirii accesului neautorizat la acestea sau
utilizarea neautorizată a datelor cu caracter personal şi a echipamentului utilizat pentru
prelucrare.
(40)Pentru ca prelucrarea datelor cu caracter personal să fie legală, aceasta ar trebui
efectuată pe baza consimţământului persoanei vizate sau în temeiul unui alt motiv legitim,
prevăzut de lege, fie în prezentul regulament, fie în alt act din dreptul Uniunii sau din dreptul
intern, după cum se prevede în prezentul regulament, inclusiv necesitatea respectării
obligaţiilor legale la care este supus operatorul sau necesitatea de a executa un contract la
care persoana vizată este parte sau pentru a parcurge etapele premergătoare încheierii unui
contract, la solicitarea persoanei vizate.
(41)Ori de câte ori prezentul regulament face trimitere la un temei juridic sau la o măsură
legislativă, aceasta nu necesită neapărat un act legislativ adoptat de către un parlament, fără
a aduce atingere cerinţelor care decurg din ordinea constituţională a statului membru în
cauză. Cu toate acestea, un astfel de temei juridic sau o astfel de măsură legislativă ar trebui
să fie clară şi precisă, iar aplicarea acesteia ar trebui să fie previzibilă pentru persoanele
vizate de aceasta, în conformitate cu jurisprudenţa Curţii de Justiţie a Uniunii Europene
("Curtea de Justiţie") şi a Curţii Europene a Drepturilor Omului.
(42)În cazul în care prelucrarea se bazează pe consimţământul persoanei vizate, operatorul
ar trebui să fie în măsură să demonstreze faptul că persoana vizată şi-a dat consimţământul
pentru operaţiunea de prelucrare. În special, în contextul unei declaraţii scrise cu privire la un
alt aspect, garanţiile ar trebui să asigure că persoana vizată este conştientă de faptul că şi-a
dat consimţământul şi în ce măsură a făcut acest lucru. În conformitate cu Directiva
93/13/CEE a Consiliului (1), ar trebui furnizată o declaraţie de consimţământ formulată în
prealabil de către operator, într-o formă inteligibilă şi uşor accesibilă, utilizând un limbaj clar
şi simplu, iar această declaraţie nu ar trebui să conţină clauze abuzive. Pentru ca acordarea
consimţământului să fie în cunoştinţă de cauză, persoana vizată ar trebui să fie la curent cel
puţin cu identitatea operatorului şi cu scopurile prelucrării pentru care sunt destinate datele
cu caracter personal. Consimţământul nu ar trebui considerat ca fiind acordat în mod liber
dacă persoana vizată nu dispune cu adevărat de libertatea de alegere sau nu este în măsură
să refuze sau să îşi retragă consimţământul fără a fi prejudiciată.
(1)Directiva 93/13/CEE a Consiliului din 5 aprilie 1993 privind clauzele abuzive în contractele
încheiate cu consumatorii (JO L 95, 21.4.1993, p. 29).
(43)Pentru a garanta faptul că a fost acordat în mod liber, consimţământul nu ar trebui să
constituie un temei juridic valabil pentru prelucrarea datelor cu caracter personal în cazul
particular în care există un dezechilibru evident între persoana vizată şi operator, în special în
cazul în care operatorul este o autoritate publică, iar acest lucru face improbabilă acordarea
consimţământului în mod liber în toate circumstanţele aferente respectivei situaţii particulare.
Consimţământul este considerat a nu fi acordat în mod liber în cazul în care aceasta nu
permite să se acorde consimţământul separat pentru diferitele operaţiuni de prelucrare a
datelor cu caracter personal, deşi acest lucru este adecvat în cazul particular, sau dacă
executarea unui contract, inclusiv furnizarea unui serviciu, este condiţionată de
consimţământ, în ciuda faptului că consimţământul în cauză nu este necesar pentru
executarea contractului.
(44)Prelucrarea ar trebui să fie considerată legală în cazul în care este necesară în cadrul
unui contract sau în vederea încheierii unui contract.
(45)În cazul în care prelucrarea este efectuată în conformitate cu o obligaţie legală a
operatorului sau în cazul în care prelucrarea este necesară pentru îndeplinirea unei sarcini
care serveşte unui interes public sau care face parte din exercitarea autorităţii publice,
prelucrarea ar trebui să aibă un temei în dreptul Uniunii sau în dreptul intern. Prezentul
regulament nu impune existenţa unei legi specifice pentru fiecare prelucrare în parte. Poate fi
suficientă o singură lege drept temei pentru mai multe operaţiuni de prelucrare efectuate în
conformitate cu o obligaţie legală a operatorului sau în cazul în care prelucrarea este
necesară pentru îndeplinirea unei sarcini care serveşte unui interes public sau care face parte
din exercitarea autorităţii publice. De asemenea, ar trebui ca scopul prelucrării să fie stabilit în
dreptul Uniunii sau în dreptul intern. Mai mult decât atât, dreptul respectiv ar putea să
specifice condiţiile generale ale prezentului regulament care reglementează legalitatea
prelucrării datelor cu caracter personal, să determine specificaţiile pentru stabilirea
operatorului, a tipului de date cu caracter personal care fac obiectul prelucrării, a persoanelor
vizate, a entităţilor cărora le pot fi divulgate datele cu caracter personal, a limitărilor în funcţie
de scop, a perioadei de stocare şi a altor măsuri pentru a garanta o prelucrare legală şi
echitabilă. De asemenea, ar trebui să se stabilească în dreptul Uniunii sau în dreptul intern
dacă operatorul care îndeplineşte o sarcină care serveşte unui interes public sau care face
parte din exercitarea autorităţii publice ar trebui să fie o autoritate publică sau o altă
persoană fizică sau juridică guvernată de dreptul public sau, atunci când motive de interes
public justifică acest lucru, inclusiv în scopuri medicale, precum sănătatea publică şi protecţia
socială, precum şi gestionarea serviciilor de asistenţă medicală, de dreptul privat, cum ar fi o
asociaţie profesională.
(46)Prelucrarea datelor cu caracter personal ar trebui, de asemenea, să fie considerată
legală în cazul în care este necesară în scopul asigurării protecţiei unui interes care este
esenţial pentru viaţa persoanei vizate sau pentru viaţa unei alte persoane fizice. Prelucrarea
datelor cu caracter personal care are drept temei interesele vitale ale unei alte persoane fizice
ar trebui efectuată numai în cazul în care prelucrarea nu se poate baza în mod evident pe un
alt temei juridic. Unele tipuri de prelucrare pot servi atât unor motive importante de interes
public, cât şi intereselor vitale ale persoanei vizate, de exemplu în cazul în care prelucrarea
este necesară în scopuri umanitare, inclusiv în vederea monitorizării unei epidemii şi a
răspândirii acesteia sau în situaţii de urgenţe umanitare, în special în situaţii de dezastre
naturale sau provocate de om.
(47)Interesele legitime ale unui operator, inclusiv cele ale unui operator căruia îi pot fi
divulgate datele cu caracter personal sau ale unei terţe părţi, pot constitui un temei juridic
pentru prelucrare, cu condiţia să nu prevaleze interesele sau drepturile şi libertăţile
fundamentale ale persoanei vizate, luând în considerare aşteptările rezonabile ale persoanelor
vizate bazate pe relaţia acestora cu operatorul. Acest interes legitim ar putea exista, de
exemplu, atunci când există o relaţie relevantă şi adecvată între persoana vizată şi operator,
cum ar fi cazul în care persoana vizată este un client al operatorului sau se află în serviciul
acestuia. În orice caz, existenţa unui interes legitim ar necesita o evaluare atentă, care să
stabilească inclusiv dacă o persoană vizată poate preconiza în mod rezonabil, în momentul şi
în contextul colectării datelor cu caracter personal, posibilitatea prelucrării în acest scop.
Interesele şi drepturile fundamentale ale persoanei vizate ar putea prevala în special în raport
cu interesul operatorului de date atunci când datele cu caracter personal sunt prelucrate în
circumstanţe în care persoanele vizate nu preconizează în mod rezonabil o prelucrare
ulterioară. Întrucât legiuitorul trebuie să furnizeze temeiul juridic pentru prelucrarea datelor
cu caracter personal de către autorităţile publice, temeiul juridic respectiv nu ar trebui să se
aplice prelucrării de către autorităţile publice în îndeplinirea sarcinilor care le revin.
Prelucrarea de date cu caracter personal strict necesară în scopul prevenirii fraudelor
constituie, de asemenea, un interes legitim al operatorului de date în cauză. Prelucrarea de
date cu caracter personal care are drept scop marketingul direct poate fi considerată ca fiind
desfăşurată pentru un interes legitim.
(48)Operatorii care fac parte dintr-un grup de întreprinderi sau instituţii afiliate unui
organism central pot avea un interes legitim de a transmite date cu caracter personal în
cadrul grupului de întreprinderi în scopuri administrative interne, inclusiv în scopul prelucrării
datelor cu caracter personal ale clienţilor sau angajaţilor. Principiile generale ale transferului
de date cu caracter personal, în cadrul unui grup de întreprinderi, către o întreprindere
situată într-o ţară terţă rămân neschimbate.
(49)Prelucrarea datelor cu caracter personal în măsura strict necesară şi proporţională în
scopul asigurării securităţii reţelelor şi a informaţiilor, şi anume capacitatea unei reţele sau a
unui sistem de informaţii de a face faţă, la un anumit nivel de încredere, evenimentelor
accidentale sau acţiunilor ilegale sau rău intenţionate care compromit disponibilitatea,
autenticitatea, integritatea şi confidenţialitatea datelor cu caracter personal stocate sau
transmise, precum şi securitatea serviciilor conexe oferite de aceste reţele şi sisteme, sau
accesibile prin intermediul acestora, de către autorităţile publice, echipele de intervenţie în
caz de urgenţă informatică, echipele de intervenţie în cazul producerii unor incidente care
afectează securitatea informatică, furnizorii de reţele şi servicii de comunicaţii electronice,
precum şi de către furnizorii de servicii şi tehnologii de securitate, constituie un interes legitim
al operatorului de date în cauză. Acesta ar putea include, de exemplu, prevenirea accesului
neautorizat la reţelele de comunicaţii electronice şi a difuzării de coduri dăunătoare şi oprirea
atacurilor de "blocare a serviciului", precum şi prevenirea daunelor aduse calculatoarelor şi
sistemelor de comunicaţii electronice.
(50)Prelucrarea datelor cu caracter personal în alte scopuri decât scopurile pentru care
datele cu caracter personal au fost iniţial colectate ar trebui să fie permisă doar atunci când
prelucrarea este compatibilă cu scopurile respective pentru care datele cu caracter personal
au fost iniţial colectate. În acest caz nu este necesar un temei juridic separat de cel pe baza
căruia a fost permisă colectarea datelor cu caracter personal. În cazul în care prelucrarea este
necesară pentru îndeplinirea unei sarcini care serveşte unui interes public sau care rezultă din
exercitarea autorităţii publice cu care este învestit operatorul, dreptul Uniunii sau dreptul
intern poate stabili şi specifica sarcinile şi scopurile pentru care prelucrarea ulterioară ar
trebui considerată a fi compatibilă şi legală. Prelucrarea ulterioară în scopuri de arhivare în
interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice ar trebui
considerată ca reprezentând operaţiuni de prelucrare legale compatibile. Temeiul juridic
prevăzut în dreptul Uniunii sau în dreptul intern pentru prelucrarea datelor cu caracter
personal poate constitui, de asemenea, un temei juridic pentru prelucrarea ulterioară. Pentru
a stabili dacă scopul prelucrării ulterioare este compatibil cu scopul pentru care au fost
colectate iniţial datele cu caracter personal, operatorul, după ce a îndeplinit toate cerinţele
privind legalitatea prelucrării iniţiale, ar trebui să ţină seama, printre altele, de orice legătură
între respectivele scopuri şi scopurile prelucrării ulterioare preconizate, de contextul în care au
fost colectate datele cu caracter personal, în special de aşteptările rezonabile ale persoanelor
vizate, bazate pe relaţia lor cu operatorul, în ceea ce priveşte utilizarea ulterioară a datelor,
de natura datelor cu caracter personal, de consecinţele prelucrării ulterioare preconizate
asupra persoanelor vizate, precum şi de existenţa garanţiilor corespunzătoare atât în cadrul
operaţiunilor de prelucrare iniţiale, cât şi în cadrul operaţiunilor de prelucrare ulterioare
preconizate.
În cazul în care persoana vizată şi-a dat consimţământul sau prelucrarea se bazează pe
dreptul Uniunii sau pe dreptul intern, care constituie o măsură necesară şi proporţională într-o
societate democratică pentru a proteja, în special, obiective importante de interes public
general, operatorul ar trebui să aibă posibilitatea de a prelucra în continuare datele cu
caracter personal, indiferent de compatibilitatea scopurilor. În orice caz, aplicarea principiilor
stabilite de prezentul regulament şi, în special, informarea persoanei vizate cu privire la
aceste alte scopuri şi la drepturile sale, inclusiv dreptul la opoziţie, ar trebui să fie garantate.
Indicarea unor posibile infracţiuni sau ameninţări la adresa siguranţei publice de către
operator şi transmiterea către o autoritate competentă a datelor cu caracter personal
relevante în cazuri individuale sau în mai multe cazuri legate de aceeaşi infracţiune sau de
aceleaşi ameninţări la adresa siguranţei publice ar trebui considerată ca fiind în interesul
legitim urmărit de operator. Cu toate acestea, o astfel de transmitere în interesul legitim al
operatorului sau prelucrarea ulterioară a datelor cu caracter personal ar trebui interzisă în
cazul în care prelucrarea nu este compatibilă cu o obligaţie legală, profesională sau cu o altă
obligaţie de păstrare a confidenţialităţii.
(51)Datele cu caracter personal care sunt, prin natura lor, deosebit de sensibile în ceea ce
priveşte drepturile şi libertăţile fundamentale necesită o protecţie specifică, deoarece
contextul prelucrării acestora ar putea genera riscuri considerabile la adresa drepturilor şi
libertăţilor fundamentale. Aceste date cu caracter personal ar trebui să includă datele cu
caracter personal care dezvăluie originea rasială sau etnică, utilizarea termenului "origine
rasială" în prezentul regulament neimplicând o acceptare de către Uniune a teoriilor care
urmăresc să stabilească existenţa unor rase umane separate. Prelucrarea fotografiilor nu ar
trebui să fie considerată în mod sistematic ca fiind o prelucrare de categorii speciale de date
cu caracter personal, întrucât fotografiile intră sub incidenţa definiţiei datelor biometrice doar
în cazurile în care sunt prelucrate prin mijloace tehnice specifice care permit identificarea
unică sau autentificarea unei persoane fizice. Asemenea date cu caracter personal nu ar
trebui prelucrate, cu excepţia cazului în care prelucrarea este permisă în cazuri specifice
prevăzute de prezentul regulament, ţinând seama de faptul că dreptul statelor membre poate
prevedea dispoziţii specifice cu privire la protecţia datelor în scopul adaptării aplicării normelor
din prezentul regulament în vederea respectării unei obligaţii legale sau a îndeplinirii unei
sarcini care serveşte unui interes public sau care rezultă din exercitarea autorităţii publice cu
care este învestit operatorul. Pe lângă cerinţele specifice pentru o astfel de prelucrare, ar
trebui să se aplice principiile generale şi alte norme prevăzute de prezentul regulament, în
special în ceea ce priveşte condiţiile pentru prelucrarea legală. Ar trebui prevăzute în mod
explicit derogări de la interdicţia generală de prelucrare a acestor categorii speciale de date
cu caracter personal, printre altele atunci când persoana vizată îşi dă consimţământul explicit
sau în ceea ce priveşte nevoile specifice în special atunci când prelucrarea este efectuată în
cadrul unor activităţi legitime de către anumite asociaţii sau fundaţii al căror scop este de a
permite exercitarea libertăţilor fundamentale.
(52)Derogarea de la interdicţia privind prelucrarea categoriilor speciale de date cu caracter
personal ar trebui să fie permisă, de asemenea, în cazul în care dreptul Uniunii sau dreptul
intern prevede acest lucru şi ar trebui să facă obiectul unor garanţii adecvate, astfel încât să
fie protejate datele cu caracter personal şi alte drepturi fundamentale, atunci când acest lucru
se justifică din motive de interes public, în special în cazul prelucrării datelor cu caracter
personal în domeniul legislaţiei privind ocuparea forţei de muncă, protecţia socială, inclusiv
pensiile, precum şi în scopuri de securitate, supraveghere şi alertă în materie de sănătate,
pentru prevenirea sau controlul bolilor transmisibile şi a altor ameninţări grave la adresa
sănătăţii. Această derogare poate fi acordată în scopuri medicale, inclusiv sănătatea publică şi
gestionarea serviciilor de asistenţă medicală, în special în vederea asigurării calităţii şi
eficienţei din punctul de vedere al costurilor ale procedurilor utilizate pentru soluţionarea
cererilor de prestaţii şi servicii în cadrul sistemului de asigurări de sănătate, sau în scopuri de
arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice.
De asemenea, prelucrarea unor asemenea date cu caracter personal ar trebui permisă, printro
derogare, atunci când este necesară pentru constatarea, exercitarea sau apărarea unui
drept în justiţie, indiferent dacă are loc în cadrul unei proceduri în faţa unei instanţe sau în
cadrul unei proceduri administrative sau a unei proceduri extrajudiciare.
(53)Categoriile speciale de date cu caracter personal care necesită un nivel mai ridicat de
protecţie ar trebui prelucrate doar în scopuri legate de sănătate atunci când este necesar
pentru realizarea acestor scopuri în beneficiul persoanelor fizice şi al societăţii în general, în
special în contextul gestionării serviciilor şi sistemelor de sănătate sau de asistenţă socială,
inclusiv prelucrarea acestor date de către autorităţile de management şi de către autorităţile
centrale naţionale din domeniul sănătăţii în scopul controlului calităţii, furnizării de informaţii
de gestiune şi al supravegherii generale a sistemului de sănătate sau de asistenţă socială la
nivel naţional şi local, precum şi în contextul asigurării continuităţii asistenţei medicale sau
sociale şi a asistenţei medicale transfrontaliere ori în scopuri de securitate, supraveghere şi
alertă în materie de sănătate ori în scopuri de arhivare în interes public, în scopuri de
cercetare ştiinţifică sau istorică ori în scopuri statistice în temeiul dreptului Uniunii sau al
dreptului intern, care trebuie să urmărească un obiectiv de interes public, precum şi în cazul
studiilor realizate în interes public în domeniul sănătăţii publice. Prin urmare, prezentul
regulament ar trebui să prevadă condiţii armonizate pentru prelucrarea categoriilor speciale
de date cu caracter personal privind sănătatea, în ceea ce priveşte nevoile specifice, în special
atunci când prelucrarea acestor date este efectuată în anumite scopuri legate de sănătate de
către persoane care fac obiectul unei obligaţii legale de a păstra secretul profesional. Dreptul
Uniunii sau dreptul intern ar trebui să prevadă măsuri specifice şi adecvate pentru a proteja
drepturile fundamentale şi datele cu caracter personal ale persoanelor fizice. Statele membre
ar trebui să aibă posibilitatea de a menţine sau de a introduce condiţii suplimentare, inclusiv
restricţii, în ceea ce priveşte prelucrarea datelor genetice, a datelor biometrice sau a datelor
privind sănătatea. Totuşi, acest lucru nu ar trebui să împiedice libera circulaţie a datelor cu
caracter personal în cadrul Uniunii atunci când aceste condiţii se aplică prelucrării
transfrontaliere a unor astfel de date.
(54)Prelucrarea categoriilor speciale de date cu caracter personal poate fi necesară din
motive de interes public în domeniile sănătăţii publice, fără consimţământul persoanei vizate.
O astfel de prelucrare ar trebui condiţionată de măsuri adecvate şi specifice destinate să
protejeze drepturile şi libertăţile persoanelor fizice. În acest context, conceptul de "sănătate
publică" ar trebui interpretat astfel cum este definit în Regulamentul (CE) nr. 1338/2008 al
Parlamentului European şi al Consiliului (1), şi anume toate elementele referitoare la sănătate
şi anume starea de sănătate, inclusiv morbiditatea sau handicapul, factorii determinanţi care
au efect asupra stării de sănătate, necesităţile în domeniul asistenţei medicale, resursele
alocate asistenţei medicale, furnizarea asistenţei medicale şi asigurarea accesului universal la
aceasta, precum şi cheltuielile şi sursele de finanţare în domeniul sănătăţii şi cauzele
mortalităţii. Această prelucrare a datelor privind sănătatea din motive de interes public nu ar
trebui să ducă la prelucrarea acestor date în alte scopuri de către părţi terţe, cum ar fi
angajatorii sau societăţile de asigurări şi băncile.
(1)Regulamentul (CE) nr. 1338/2008 al Parlamentului European şi al Consiliului din 16
decembrie 2008 privind statisticile comunitare referitoare la sănătatea publică, precum şi la
sănătatea şi siguranţa la locul de muncă (JO L 354, 31.12.2008, p. 70).
(55)În plus, prelucrarea datelor cu caracter personal de către autorităţile publice în vederea
realizării obiectivelor prevăzute de dreptul constituţional sau de dreptul internaţional public,
ale asociaţiilor religioase recunoscute oficial se efectuează din motive de interes public.
(56)În cazul în care, în cadrul activităţilor electorale, funcţionarea sistemului democratic
necesită, într-un stat membru, ca partidele politice să colecteze date cu caracter personal
privind opiniile politice ale persoanelor, prelucrarea unor astfel de date poate fi permisă din
motive de interes public, cu condiţia să se prevadă garanţiile corespunzătoare.
(57)Dacă datele cu caracter personal prelucrate de un operator nu îi permit acestuia să
identifice o persoană fizică, operatorul de date nu ar trebui să aibă obligaţia de a obţine
informaţii suplimentare în vederea identificării persoanei vizate, cu unicul scop de a respecta
oricare dintre dispoziţiile prezentului regulament. Cu toate acestea, operatorul nu ar trebui să
refuze să preia informaţiile suplimentare furnizate de persoana vizată cu scopul de a sprijini
exercitarea drepturilor acesteia. Identificarea ar trebui să includă identificarea digitală a unei
persoane vizate, de exemplu prin mecanisme de autentificare precum aceleaşi acreditări
utilizate de către persoana vizată pentru a accesa serviciile online oferite de operatorul de
date.
(58)Principiul transparenţei prevede că orice informaţii care se adresează publicului sau
persoanei vizate să fie concise, uşor accesibile şi uşor de înţeles şi să se utilizeze un limbaj
simplu şi clar, precum şi vizualizare acolo unde este cazul. Aceste informaţii ar putea fi
furnizate în format electronic, de exemplu atunci când sunt adresate publicului, prin
intermediul unui site. Acest lucru este important în special în situaţii în care datorită
multitudinii actorilor şi a complexităţii, din punct de vedere tehnologic, a practicii, este dificil
ca persoana vizată să ştie şi să înţeleagă dacă datele cu caracter personal care o privesc sunt
colectate, de către cine şi în ce scop, cum este cazul publicităţii online. Întrucât copii necesită
o protecţie specifică, orice informaţii şi orice comunicare, în cazul în care prelucrarea vizează
un copil, ar trebui să fie exprimate într-un limbaj simplu şi clar, astfel încât copilul să îl poată
înţelege cu uşurinţă.
(59)Ar trebui să fie prevăzute modalităţi de facilitare a exercitării de către persoana vizată a
drepturilor care îi sunt conferite prin prezentul regulament, inclusiv mecanismele prin care
aceasta poate solicita şi, dacă este cazul, obţine, în mod gratuit, în special, acces la datele cu
caracter personal, precum şi rectificarea sau ştergerea acestora, şi exercitarea dreptului la
opoziţie. Operatorul ar trebui să ofere, de asemenea, modalităţi de introducere a cererilor pe
cale electronică, mai ales în cazul în care datele cu caracter personal sunt prelucrate prin
mijloace electronice. Operatorul ar trebui să aibă obligaţia de a răspunde cererilor
persoanelor vizate fără întârzieri nejustificate şi cel târziu în termen de o lună şi, în cazul în
care nu intenţionează să se conformeze respectivele cereri, să motiveze acest refuz.
(60)Conform principiilor prelucrării echitabile şi transparente, persoana vizată este informată
cu privire la existenţa unei operaţiuni de prelucrare şi la scopurile acesteia. Operatorul ar
trebui să furnizeze persoanei vizate orice informaţii suplimentare necesare pentru a asigura o
prelucrare echitabilă şi transparentă, ţinând seama de circumstanţele specifice şi de contextul
în care sunt prelucrate datele cu caracter personal. În plus, persoana vizată ar trebui
informată cu privire la crearea de profiluri, precum şi la consecinţele acesteia. Atunci când
datele cu caracter personal sunt colectate de la persoana vizată, aceasta ar trebui informată,
de asemenea, dacă are obligaţia de a furniza datele cu caracter personal şi care sunt
consecinţele în cazul unui refuz. Aceste informaţii pot fi furnizate în combinaţie cu pictograme
standardizate pentru a oferi într-un mod uşor vizibil, inteligibil şi clar lizibil o imagine de
ansamblu semnificativă asupra prelucrării avute în vedere. În cazul în care pictogramele sunt
prezentate în format electronic, acestea ar trebui să poată fi citite automat.
(61)Informaţiile în legătură cu prelucrarea datelor cu caracter personal referitoare la
persoana vizată ar trebui furnizate acesteia la momentul colectării de la persoana vizată sau,
în cazul în care datele cu caracter personal sunt obţinute din altă sursă, într-o perioadă
rezonabilă, în funcţie de circumstanţele cazului. În cazul în care datele cu caracter personal
pot fi divulgate în mod legitim unui alt destinatar, persoana vizată ar trebui informată atunci
când datele cu caracter personal sunt divulgate pentru prima dată destinatarului. În cazul în
care operatorul intenţionează să prelucreze datele cu caracter personal într-un alt scop decât
cel pentru care acestea au fost colectate, operatorul ar trebui să furnizeze persoanei vizate,
înainte de această prelucrare ulterioară, informaţii privind scopul secundar respectiv şi alte
informaţii necesare. În cazul în care originea datelor cu caracter personal nu a putut fi
comunicată persoanei vizate din cauză că au fost utilizate surse diverse, informaţiile generale
ar trebui furnizate.
(62)Cu toate acestea, nu este necesară impunerea obligaţiei de a furniza informaţii în cazul
în care persoana vizată deţine deja informaţiile, în cazul în care înregistrarea sau divulgarea
datelor cu caracter personal este prevăzută în mod expres de lege sau în cazul în care
informarea persoanei vizate se dovedeşte imposibilă sau ar implica eforturi disproporţionate.
Acesta din urmă ar putea fi cazul în special atunci când prelucrarea se efectuează în scopuri
de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri
statistice. În această privinţă, ar trebui luate în considerare numărul persoanelor vizate,
vechimea datelor şi orice garanţii adecvate adoptate.
(63)O persoană vizată ar trebui să aibă drept de acces la datele cu caracter personal
colectate care o privesc şi ar trebui să îşi exercite acest drept cu uşurinţă şi la intervale de
timp rezonabile, pentru a fi informată cu privire la prelucrare şi pentru a verifica legalitatea
acesteia. Acest lucru include dreptul persoanelor vizate de a avea acces la datele lor privind
sănătatea, de exemplu datele din registrele lor medicale conţinând informaţii precum
diagnostice, rezultate ale examinărilor, evaluări ale medicilor curanţi şi orice tratament sau
intervenţie efectuată. Orice persoană vizată ar trebui, prin urmare, să aibă dreptul de a
cunoaşte şi de a i se comunica în special scopurile în care sunt prelucrate datele, dacă este
posibil perioada pentru care se prelucrează datele cu caracter personal, destinatarii datelor cu
caracter personal, logica de prelucrare automată a datelor cu caracter personal şi, cel puţin în
cazul în care se bazează pe crearea de profiluri, consecinţele unei astfel de prelucrări. Dacă
acest lucru este posibil, operatorul de date ar trebui să poată furniza acces de la distanţă la
un sistem sigur, care să ofere persoanei vizate acces direct la datele sale cu caracter
personal. Acest drept nu ar trebui să aducă atingere drepturilor sau libertăţilor altora, inclusiv
secretului comercial sau proprietăţii intelectuale şi, în special, drepturilor de autor care
asigură protecţia programelor software. Cu toate acestea, consideraţiile de mai sus nu ar
trebui să aibă drept rezultat refuzul de a furniza toate informaţiile persoanei vizate. Atunci
când operatorul prelucrează un volum mare de informaţii privind persoana vizată, operatorul
ar trebui să poată solicita ca, înainte de a îi fi furnizate informaţiile, persoana vizată să
precizeze informaţiile sau activităţile de prelucrare la care se referă cererea sa.
(64)Operatorul ar trebui să ia toate măsurile rezonabile pentru a verifica identitatea unei
persoane vizate care solicită acces la date, în special în contextul serviciilor online şi al
identificatorilor online. Un operator nu ar trebui să reţină datele cu caracter personal în scopul
exclusiv de a fi în măsură să reacţioneze la cereri potenţiale.
(65)O persoană vizată ar trebui să aibă dreptul la rectificarea datelor cu caracter personal
care o privesc şi "dreptul de a fi uitată", în cazul în care păstrarea acestor date încalcă
prezentul regulament sau dreptul Uniunii sau dreptul intern sub incidenţa căruia intră
operatorul. În special, persoanele vizate ar trebui să aibă dreptul ca datele lor cu caracter
personal să fie şterse şi să nu mai fie prelucrate, în cazul în care datele cu caracter personal
nu mai sunt necesare pentru scopurile în care sunt colectate sau sunt prelucrate, în cazul în
care persoanele vizate şi-au retras consimţământul pentru prelucrare sau în cazul în care
acestea se opun prelucrării datelor cu caracter personal care le privesc sau în cazul în care
prelucrarea datelor cu caracter personal ale acestora nu este conformă cu prezentul
regulament. Acest drept este relevant în special în cazul în care persoana vizată şi-a dat
consimţământul când era copil şi nu cunoştea pe deplin riscurile pe care le implică
prelucrarea, iar ulterior doreşte să elimine astfel de date cu caracter personal, în special de
pe internet. Persoana vizată ar trebui să aibă posibilitatea de a-şi exercita acest drept în
pofida faptului că nu mai este copil. Cu toate acestea, păstrarea în continuare a datelor cu
caracter personal ar trebui să fie legală în cazul în care este necesară pentru exercitarea
dreptului la libertatea de exprimare şi de informare, pentru respectarea unei obligaţii legale,
pentru îndeplinirea unei sarcini care serveşte unui interes public sau care rezultă din
exercitarea autorităţii publice cu care este învestit operatorul, din motive de interes public în
domeniul sănătăţii publice, în scopuri de arhivare în interes public, în scopuri de cercetare
ştiinţifică sau istorică ori în scopuri statistice sau pentru constatarea, exercitarea sau apărarea
unui drept în instanţă.
(66)Pentru a se consolida "dreptul de a fi uitat" în mediul online, dreptul de ştergere ar
trebui să fie extins astfel încât un operator care a făcut publice date cu caracter personal ar
trebui să aibă obligaţia de a informa operatorii care prelucrează respectivele date cu caracter
personal să şteargă orice linkuri către datele respective sau copii sau reproduceri ale
acestora. În acest scop, operatorul în cauză ar trebui să ia măsuri rezonabile, ţinând seama
de tehnologia disponibilă şi de mijloacele aflate la dispoziţia lui, inclusiv măsuri tehnice,
pentru a informa operatorii care prelucrează datele cu caracter personal în ceea ce priveşte
cererea persoanei vizate.
(67)Metodele de restricţionare a prelucrării de date cu caracter personal ar putea include,
printre altele, mutarea temporară a datelor cu caracter personal selectate într-un alt sistem
de prelucrare, sau anularea accesului utilizatorilor la datele selectate sau înlăturarea
temporară a datelor publicate de pe un site. În ceea ce priveşte sistemele automatizate de
evidenţă a datelor, restricţionarea prelucrării ar trebui, în principiu, asigurată prin mijloace
tehnice în aşa fel încât datele cu caracter personal să nu facă obiectul unor operaţiuni de
prelucrare ulterioară şi să nu mai poată fi schimbate. Faptul că prelucrarea datelor cu caracter
personal este restricţionată ar trebui indicat în mod clar în sistem.
(68)Pentru a spori suplimentar controlul asupra propriilor date, persoana vizată ar trebui, în
cazul în care datele cu caracter personal sunt prelucrate prin mijloace automate, să poată
primi datele cu caracter personal care o privesc şi pe care le-a furnizat unui operator, într-un
format structurat, utilizat în mod curent, prelucrabil automat şi interoperabil şi să le poată
transmite unui alt operator. Operatorii de date ar trebui să fie încurajaţi să dezvolte formate
interoperabile care să permită portabilitatea datelor. Acest drept ar trebui să se aplice în cazul
în care persoana vizată a furnizat datele cu caracter personal pe baza propriului
consimţământ sau în cazul în care prelucrarea datelor este necesară pentru executarea unui
contract. Acest drept nu ar trebui să se aplice în cazul în care prelucrarea se bazează pe un
alt temei juridic decât consimţământul sau contractul. Prin însăşi natura sa, acest drept nu ar
trebui exercitat împotriva operatorilor care prelucrează date cu caracter personal în cadrul
exercitării funcţiilor lor publice. Acesta nu ar trebui să se aplice în special în cazul în care
prelucrarea de date cu caracter personal este necesară în vederea respectării unei obligaţii
legale căreia îi este supus operatorul sau în cazul îndeplinirii unei sarcini care serveşte unui
interes public sau care rezultă din exercitarea unei autorităţi publice cu care este învestit
operatorul. Dreptul persoanei vizate de a transmite sau de a primi date cu caracter personal
care o privesc nu ar trebui să creeze pentru operatori obligaţia de a adopta sau de a menţine
sisteme de prelucrare care să fie compatibile din punct de vedere tehnic. În cazul în care,
într-un anumit set de date cu caracter personal, sunt implicate mai multe persoane vizate,
dreptul de a primi datele cu caracter personal nu ar trebui să aducă atingere drepturilor şi
libertăţilor altor persoane vizate, în conformitate cu prezentul regulament. De asemenea,
acest drept nu ar trebui să aducă atingere dreptului persoanei vizate de a obţine ştergerea
datelor cu caracter personal şi limitărilor dreptului respectiv, astfel cum sunt prevăzute în
prezentul regulament, şi nu ar trebui, în special, să implice ştergerea acelor date cu caracter
personal referitoare la persoana vizată care au fost furnizate de către aceasta în vederea
executării unui contract, în măsura în care şi atât timp cât datele respective sunt necesare
pentru executarea contractului. Persoana vizată ar trebui să aibă dreptul ca datele cu caracter
personal să fie transmise direct de la un operator la altul, dacă acest lucru este fezabil din
punct de vedere tehnic.
(69)În cazurile în care datele cu caracter personal ar putea fi prelucrate în mod legal
deoarece prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes
public sau care rezultă din exercitarea autorităţii publice cu care este învestit operatorul sau
pe baza intereselor legitime ale unui operator sau ale unei părţi terţe, o persoană vizată ar
trebui să aibă totuşi dreptul de a se opune prelucrării oricăror date cu caracter personal care
se referă la situaţia sa particulară. Ar trebui să revină operatorului sarcina de a demonstra că
interesele sale legitime şi imperioase prevalează asupra intereselor sau a drepturilor şi
libertăţilor fundamentale ale persoanei vizate.
(70)În cazul în care datele cu caracter personal sunt prelucrate în scopuri de marketing
direct, persoana vizată ar trebui să aibă dreptul de a se opune unei astfel de prelucrări,
inclusiv creării de profiluri în măsura în care aceasta are legătură cu marketingul direct,
indiferent dacă prelucrarea în cauză este cea iniţială sau una ulterioară, în orice moment şi în
mod gratuit. Acest drept ar trebui adus în mod explicit în atenţia persoanei vizate şi prezentat
în mod clar şi separat de orice alte informaţii.
(71)Persoana vizată ar trebui să aibă dreptul de a nu face obiectul unei decizii, care poate
include o măsură, care evaluează aspecte personale referitoare la persoana vizată, care se
bazează exclusiv pe prelucrarea automată şi care produce efecte juridice care privesc
persoana vizată sau o afectează în mod similar într-o măsură semnificativă, cum ar fi refuzul
automat al unei cereri de credit online sau practicile de recrutare pe cale electronică, fără
intervenţie umană. O astfel de prelucrare include "crearea de profiluri", care constă în orice
formă de prelucrare automată a datelor cu caracter personal prin evaluarea aspectelor
personale referitoare la o persoană fizică, în special în vederea analizării sau preconizării
anumitor aspecte privind randamentul la locul de muncă al persoanei vizate, situaţia
economică, starea de sănătate, preferinţele sau interesele personale, fiabilitatea sau
comportamentul, locaţia sau deplasările, atunci când aceasta produce efecte juridice care
privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă. Cu toate
acestea, luarea de decizii pe baza unei astfel de prelucrări, inclusiv crearea de profiluri, ar
trebui permisă în cazul în care este autorizată în mod expres în dreptul Uniunii sau în dreptul
intern care se aplică operatorului, inclusiv în scopul monitorizării şi prevenirii fraudei şi a
evaziunii fiscale, desfăşurate în conformitate cu reglementările, standardele şi recomandările
instituţiilor Uniunii sau ale organismelor naţionale de supraveghere, şi în scopul asigurării
securităţii şi fiabilităţii unui serviciu oferit de operator sau în cazul în care este necesară
pentru încheierea sau executarea unui contract între persoana vizată şi un operator sau în
cazul în care persoana vizată şi-a dat în mod explicit consimţământul. În orice caz, o astfel de
prelucrare ar trebui să facă obiectul unor garanţii corespunzătoare, care ar trebui să includă o
informare specifică a persoanei vizate şi dreptul acesteia de a obţine intervenţie umană, de aşi
exprima punctul de vedere, de a primi o explicaţie privind decizia luată în urma unei astfel
de evaluări, precum şi dreptul de a contesta decizia. O astfel de măsură nu ar trebui să se
refere la un copil.
Pentru a asigura o prelucrare echitabilă şi transparentă în ceea ce priveşte persoana vizată,
având în vedere circumstanţele specifice şi contextul în care sunt prelucrate datele cu
caracter personal, operatorul ar trebui să utilizeze proceduri matematice sau statistice
adecvate pentru crearea de profiluri, să implementeze măsuri tehnice şi organizatorice
adecvate pentru a asigura în special faptul că factorii care duc la inexactităţi ale datelor cu
caracter personal sunt corectaţi şi că riscul de erori este redus la minimum, precum şi să
securizeze datele cu caracter personal într-un mod care să ţină seama de pericolele potenţiale
la adresa intereselor şi drepturilor persoanei vizate şi care să prevină, printre altele, efectele
discriminatorii împotriva persoanelor pe motiv de rasă sau origine etnică, opinii politice, religie
sau convingeri, apartenenţă sindicală, caracteristici genetice, stare de sănătate sau orientare
sexuală sau care să ducă la măsuri care să aibă astfel de efecte. Procesul decizional
automatizat şi crearea de profiluri pe baza unor categorii speciale de date cu caracter
personal ar trebui permise numai în condiţii specifice.
(72)Crearea de profiluri este supusă normelor prezentului regulament care reglementează
prelucrarea datelor cu caracter personal, precum temeiurile juridice ale prelucrării sau
principiile de protecţie a datelor. Comitetul european pentru protecţia datelor instituit prin
prezentul regulament ("comitetul") ar trebui să poată emite orientări în acest context.
(73)Dreptul Uniunii sau dreptul intern poate impune restricţii în privinţa unor principii
specifice, în privinţa dreptului de informare, a dreptului de acces la datele cu caracter
personal şi de rectificare sau ştergere a acestora, în privinţa dreptului la portabilitatea datelor,
a dreptului la opoziţie, a deciziilor bazate pe crearea de profiluri, precum şi în privinţa
comunicării unei încălcări a securităţii datelor cu caracter personal persoanei vizate şi a
anumitor obligaţii conexe ale operatorilor, în măsura în care acest lucru este necesar şi
proporţional într-o societate democratică pentru a se garanta siguranţa publică, inclusiv
protecţia vieţii oamenilor, în special ca răspuns la dezastre naturale sau provocate de om,
prevenirea, investigarea şi urmărirea penală a infracţiunilor sau executarea pedepselor,
inclusiv protejarea împotriva ameninţărilor la adresa siguranţei publice sau împotriva încălcării
eticii în cazul profesiilor reglementate şi prevenirea acestora, alte obiective importante de
interes public general ale Uniunii sau ale unui stat membru, în special un interes economic
sau financiar important al Uniunii sau al unui stat membru, menţinerea de registre publice din
motive de interes public general, prelucrarea ulterioară a datelor cu caracter personal
arhivate pentru a transmite informaţii specifice legate de comportamentul politic în perioada
regimurilor fostelor state totalitare, protecţia persoanei vizate sau a drepturilor şi libertăţilor
unor terţi, inclusiv protecţia socială, sănătatea publică şi scopurile umanitare. Aceste restricţii
ar trebui să fie conforme cu cerinţele prevăzute de cartă şi de Convenţia europeană
pentru apărarea drepturilor omului şi a libertăţilor fundamentale.
(74)Ar trebui să se stabilească responsabilitatea şi răspunderea operatorului pentru orice
prelucrare a datelor cu caracter personal efectuată de către acesta sau în numele său. În
special, operatorul ar trebui să fie obligat să implementeze măsuri adecvate şi eficace şi să fie
în măsură să demonstreze conformitatea activităţilor de prelucrare cu prezentul regulament,
inclusiv eficacitatea măsurilor. Aceste măsuri ar trebui să ţină seama de natura, domeniul de
aplicare, contextul şi scopurile prelucrării, precum şi de riscul pentru drepturile şi libertăţile
persoanelor fizice.
(75)Riscul pentru drepturile şi libertăţile persoanelor fizice, prezentând grade diferite de
probabilitate de materializare şi de gravitate, poate fi rezultatul unei prelucrări a datelor cu
caracter personal care ar putea genera prejudicii de natură fizică, materială sau morală, în
special în cazurile în care: prelucrarea poate conduce la discriminare, furt sau fraudă a
identităţii, pierdere financiară, compromiterea reputaţiei, pierderea confidenţialităţii datelor cu
caracter personal protejate prin secret profesional, inversarea neautorizată a pseudonimizării
sau la orice alt dezavantaj semnificativ de natură economică sau socială; persoanele vizate ar
putea fi private de drepturile şi libertăţile lor sau împiedicate să-şi exercite controlul asupra
datelor lor cu caracter personal; datele cu caracter personal prelucrate sunt date care
dezvăluie originea rasială sau etnică, opiniile politice, religia sau convingerile filozofice,
apartenenţa sindicală; sunt prelucrate date genetice, date privind sănătatea sau date privind
viaţa sexuală sau privind condamnările penale şi infracţiunile sau măsurile de securitate
conexe; sunt evaluate aspecte de natură personală, în special analizarea sau previzionarea
unor aspecte privind randamentul la locul de muncă, situaţia economică, starea de sănătate,
preferinţele sau interesele personale, fiabilitatea sau comportamentul, locaţia sau deplasările,
în scopul de a se crea sau de a se utiliza profiluri personale; sunt prelucrate date cu caracter
personal ale unor persoane vulnerabile, în special ale unor copii; sau prelucrarea implică un
volum mare de date cu caracter personal şi afectează un număr larg de persoane vizate.
(76)Probabilitatea de a se materializa şi gravitatea riscului pentru drepturile şi libertăţile
persoanei vizate ar trebui să fie determinate în funcţie de natura, domeniul de aplicare,
contextul şi scopurile prelucrării datelor cu caracter personal. Riscul ar trebui apreciat pe baza
unei evaluări obiective prin care se stabileşte dacă operaţiunile de prelucrare a datelor
prezintă un risc sau un risc ridicat.
(77)Orientări pentru implementarea unor măsuri adecvate şi pentru demonstrarea
conformităţii de către operator sau persoana împuternicită de operator, mai ales în ceea ce
priveşte identificarea riscului legat de prelucrare, evaluarea acestuia din punctul de vedere al
originii, naturii, probabilităţii de a se materializa şi al gravităţii, precum şi identificarea bunelor
practici pentru atenuarea riscului ar putea fi oferite în special prin coduri de conduită
aprobate, certificări aprobate, orientări ale comitetului sau prin indicaţii furnizate de un
responsabil cu protecţia datelor. Comitetul poate, de asemenea, să emită orientări cu privire
la operaţiunile de prelucrare care sunt considerate puţin susceptibile de a genera un risc
ridicat pentru drepturile şi libertăţile persoanelor fizice şi să indice măsurile care se pot dovedi
suficiente în asemenea cazuri pentru a aborda un astfel de risc.
(78)Protecţia drepturilor şi libertăţilor persoanelor fizice în ceea ce priveşte prelucrarea
datelor cu caracter personal necesită adoptarea de măsuri tehnice şi organizatorice
corespunzătoare pentru a se asigura îndeplinirea cerinţelor din prezentul regulament. Pentru
a fi în măsură să demonstreze conformitatea cu prezentul regulament, operatorul ar trebui să
adopte politici interne şi să pună în aplicare măsuri care să respecte în special principiul
protecţiei datelor începând cu momentul conceperii şi cel al protecţiei implicite a datelor.
Astfel de măsuri ar putea consta, printre altele, în reducerea la minimum a prelucrării datelor
cu caracter personal, pseudonimizarea acestor date cât mai curând posibil, transparenţa în
ceea ce priveşte funcţiile şi prelucrarea datelor cu caracter personal, abilitarea persoanei
vizate să monitorizeze prelucrarea datelor, abilitarea operatorului să creeze elemente de
siguranţă şi să le îmbunătăţească. Atunci când elaborează, proiectează, selectează şi
utilizează aplicaţii, servicii şi produse care se bazează pe prelucrarea datelor cu caracter
personal sau care prelucrează date cu caracter personal pentru a-şi îndeplini rolul,
producătorii acestor produse şi furnizorii acestor servicii şi aplicaţii ar trebui să fie încurajaţi
să aibă în vedere dreptul la protecţia datelor la momentul elaborării şi proiectării unor astfel
de produse, servicii şi aplicaţii şi, ţinând cont de stadiul actual al dezvoltării, să se asigure că
operatorii şi persoanele împuternicite de operatori sunt în măsură să îşi îndeplinească
obligaţiile referitoare la protecţia datelor. Principiul protecţiei datelor începând cu momentul
conceperii şi cel al protecţiei implicite a datelor ar trebui să fie luate în considerare şi în
contextul licitaţiilor publice.
(79)Protecţia drepturilor şi libertăţilor persoanelor vizate, precum şi responsabilitatea şi
răspunderea operatorilor şi a persoanelor împuternicite de operator, inclusiv în ceea ce
priveşte monitorizarea de către autorităţile de supraveghere şi măsurile adoptate de acestea,
necesită o atribuire clară a responsabilităţilor în temeiul prezentului regulament.