Regulamentul-ue-2016-679_27.04_2016

7/26/2019 Regulamentul-ue-2016-679_27.04_2016

1/88

I

(Acte legislative)

REGULAMENTE

REGULAMENTUL (UE) 2016/679 AL PARLAMENTULUI EUROPEAN I AL CONSILIULUI

din 27 aprilie 2016

privind protecia persoanelor fizice n ceea ce privete prelucrarea datelor cu caracter personal iprivind libera circulaie a acestor date i de abrogare a Directivei 95/46/CE (Regulamentul general

privind protecia datelor)

(Text cu relevan pentru SEE)

PARLAMENTUL EUROPEAN I CONSILIUL UNIUNII EUROPENE,

avnd n vedere Tratatul privind funcionarea Uniunii Europene, n special articolul 16,

avnd n vedere propunerea Comisiei Europene,

dup transmiterea proiectului de act legislativ ctre parlamentele naionale,

avnd n vedere avizul Comitetului Economic i Social European (1),

avnd n vedere avizul Comitetului Regiunilor (2),

hotrnd n conformitate cu procedura legislativ ordinar (3),

ntruct:

(1) Protecia persoanelor fizice n ceea ce privete prelucrarea datelor cu caracter personal este un drept fundamental.Articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene (carta) i articolul 16 alineatul (1) din Tratatul privind funcionarea Uniunii Europene (TFUE) prevd dreptul oricrei persoane la protecia

datelor cu caracter personal care o privesc.

(2) Principiile i normele referitoare la protecia persoanelor fizice n ceea ce privete prelucrarea datelor lor cucaracter personal ar trebui, indiferent de cetenia sau de locul de reedin al persoanelor fizice, s respectedrepturile i libertile fundamentale ale acestora, n special dreptul la protecia datelor cu caracter personal.Prezentul regulament urmrete s contribuie la realizarea unui spaiu de libertate, securitate i justiie i a uneiuniuni economice, la progresul economic i social, la consolidarea i convergena economiilor n cadrul pieeiinterne i la bunstarea persoanelor fizice.

(3) Directiva 95/46/CE a Parlamentului European i a Consiliului (4) vizeaz armonizarea nivelului de protecie adrepturilor i libertilor fundamentale ale persoanelor fizice n ceea ce privete activitile de prelucrare iasigurarea liberei circulaii a datelor cu caracter personal ntre statele membre.

4.5.2016 L 119/1Jurnalul Oficial al Uniunii EuropeneRO

(1) JO C 229, 31.7.2012, p. 90.(2) JO C 391, 18.12.2012, p.127.(3) Poziia Parlamentului European din 12 martie 2014 (nepublicat nc n Jurnalul Oficial) i Poziia n prim lectur a Consiliului din

8 aprilie 2016 (nepublicat nc n Jurnalul Oficial). Poziia Parlamentului European din 14 aprilie 2016.(4) Directiva 95/46/CE a Parlamentului European i a Consiliului din 24 octombrie 1995 privind protecia persoanelor fizice n ceea ce

privete prelucrarea datelor cu caracter personal i libera circulaie a acestor date (JO L 281, 23.11.1995, p. 31).

7/26/2019 Regulamentul-ue-2016-679_27.04_2016

2/88

(4) Prelucrarea datelor cu caracter personal ar trebui s fie n serviciul cetenilor. Dreptul la protecia datelor cucaracter personal nu este un drept absolut; acesta trebuie luat n considerare n raport cu funcia pe care ondeplinete n societate i echilibrat cu alte drepturi fundamentale, n conformitate cu principiul proporionalitii. Prezentul regulament respect toate drepturile fundamentale i libertile i principiile recunoscute n cartastfel cum sunt consacrate n tratate, n special respectarea vieii private i de familie, a reedinei i a comunicaiilor, a proteciei datelor cu caracter personal, a libertii de gndire, de contiin i de religie, a libertii de

exprimare i de informare, a libertii de a desfura o activitate comercial, dreptul la o cale de atac eficient i laun proces echitabil, precum i diversitatea cultural, religioas i lingvistic.

(5) Integrarea economic i social care rezult din funcionarea pieei interne a condus la o cretere substanial afluxurilor transfrontaliere de date cu caracter personal. Schimbul de date cu caracter personal ntre actori publicii privai, inclusiv persoane fizice, asociaii i ntreprinderi, s-a intensificat n ntreaga Uniune. Conform dreptuluiUniunii, autoritile naionale din statele membre sunt chemate s coopereze i s fac schimb de date cu caracterpersonal pentru a putea s i ndeplineasc atribuiile sau s execute sarcini n numele unei autoriti dintr-un altstat membru.

(6) Evoluiile tehnologice rapide i globalizarea au generat noi provocri pentru protecia datelor cu caracterpersonal. Amploarea colectrii i a schimbului de date cu caracter personal a crescut n mod semnificativ.

Tehnologia permite att societilor private, ct i autoritilor publice s utilizeze date cu caracter personal la unnivel fr precedent n cadrul activitilor lor. Din ce n ce mai mult, persoanele fizice fac publice la nivel mondialinformaii cu caracter personal. Tehnologia a transformat deopotriv economia i viaa social i ar trebui sfaciliteze n continuare libera circulaie a datelor cu caracter personal n cadrul Uniunii i transferul ctre ri terei organizaii internaionale, asigurnd, totodat, un nivel ridicat de protecie a datelor cu caracter personal.

(7) Aceste evoluii impun un cadru solid i mai coerent n materie de protecie a datelor n Uniune, nsoit de oaplicare riguroas a normelor, lund n considerare importana crerii unui climat de ncredere care va permiteeconomiei digitale s se dezvolte pe piaa intern. Persoanele fizice ar trebui s aib control asupra propriilor datecu caracter personal, iar securitatea juridic i practic pentru persoane fizice, operatori economici i autoritipublice ar trebui s fie consolidat.

(8) n cazul n care prezentul regulament prevede specificri sau restricionri ale normelor sale de ctre dreptulintern, statele membre pot, n msura n care acest lucru este necesar pentru coeren i pentru a asiguranelegerea dispoziiilor naionale de ctre persoanele crora li se aplic acestea, s ncorporeze elemente dinprezentul regulament n dreptul lor intern.

(9) Obiectivele i principiile Directivei 95/46/CE rmn solide, dar aceasta nu a prevenit fragmentarea modului ncare protecia datelor este pus n aplicare n Uniune, insecuritatea juridic sau percepia public larg rspnditconform creia exist riscuri semnificative pentru protecia persoanelor fizice, n special n legtur cu activitateaonline. Diferenele dintre nivelurile de protecie a drepturilor i libertilor persoanelor fizice, n special adreptului la protecia datelor cu caracter personal, n ceea ce privete prelucrarea datelor cu caracter personal dinstatele membre pot mpiedica libera circulaie a datelor cu caracter personal n ntreaga Uniune. Aceste diferenepot constitui, prin urmare, un obstacol n desfurarea de activiti economice la nivelul Uniunii, pot denaturaconcurena i pot mpiedica autoritile s ndeplineasc responsabilitile care le revin n temeiul dreptului

Uniunii. Aceast diferen ntre nivelurile de protecie este cauzat de existena unor deosebiri n ceea ce privetetranspunerea i aplicarea Directivei 95/46/CE.

(10) Pentru a se asigura un nivel consecvent i ridicat de protecie a persoanelor fizice i pentru a se ndeprtaobstacolele din calea circulaiei datelor cu caracter personal n cadrul Uniunii, nivelul proteciei drepturilor ilibertilor persoanelor fizice n ceea ce privete prelucrarea unor astfel de date ar trebui s fie echivalent n toatestatele membre. Aplicarea consecvent i omogen a normelor n materie de protecie a drepturilor i libertilorfundamentale ale persoanelor fizice n ceea ce privete prelucrarea datelor cu caracter personal ar trebui s fieasigurat n ntreaga Uniune. n ceea ce privete prelucrarea datelor cu caracter personal n vederea respectriiunei obligaii legale, a ndeplinirii unei sarcini care servete unui interes public sau care rezult din exercitareaautoritii publice cu care este nvestit operatorul, statelor membre ar trebui s li se permit s menin sau sintroduc dispoziii de drept intern care s clarifice ntr-o mai mare msur aplicarea normelor prezentuluiregulament. n coroborare cu legislaia general i orizontal privind protecia datelor, prin care este pus naplicare Directiva 95/46/CE, statele membre au mai multe legi sectoriale specifice n domenii care necesitdispoziii mai precise. Prezentul regulament ofer, de asemenea, statelor membre o marj de manevr nspecificarea normelor sale, inclusiv n ceea ce privete prelucrarea categoriilor speciale de date cu caracterpersonal (date sensibile). n acest sens, prezentul regulament nu exclude dreptul statelor membre care stabiletecircumstanele aferente unor situaii de prelucrare specifice, inclusiv stabilirea cu o mai mare precizie a condiiilorn care prelucrarea datelor cu caracter personal este legal.

4.5.2016L 119/2 Jurnalul Oficial al Uniunii EuropeneRO

7/26/2019 Regulamentul-ue-2016-679_27.04_2016

3/88

(11) Protecia efectiv a datelor cu caracter personal n ntreaga Uniune necesit nu numai consolidarea i stabilirea ndetaliu a drepturilor persoanelor vizate i a obligaiilor celor care prelucreaz i decid prelucrarea datelor cucaracter personal, ci i competene echivalente pentru monitorizarea i asigurarea conformitii cu normele deprotecie a datelor cu caracter personal i sanciuni echivalente pentru infraciuni n statele membre.

(12) Articolul 16 alineatul (2) din TFUE mandateaz Parlamentul European i Consiliul s stabileasc normele privindprotecia persoanelor fizice referitor la prelucrarea datelor cu caracter personal, precum i normele privind liberacirculaie a acestor date.

(13) n vederea asigurrii unui nivel uniform de protecie pentru persoanele fizice n ntreaga Uniune i a prentmpinrii discrepanelor care mpiedic libera circulaie a datelor n cadrul pieei interne, este necesar un regulamentn scopul de a furniza securitate juridic i transparen pentru operatorii economici, inclusiv microntreprinderii ntreprinderi mici i mijlocii, precum i de a oferi persoanelor fizice n toate statele membre acelai nivel dedrepturi, obligaii i responsabiliti opozabile din punct de vedere juridic pentru operatori i persoanele mputernicite de acetia, pentru a se asigura o monitorizare coerent a prelucrrii datelor cu caracter personal, sanciuniechivalente n toate statele membre, precum i cooperarea eficace a autoritilor de supraveghere ale diferitelorstate membre. Pentru buna funcionare a pieei interne este necesar ca libera circulaie a datelor cu caracterpersonal n cadrul Uniunii s nu fie restricionat sau interzis din motive legate de protecia persoanelor fizice n

ceea ce privete prelucrarea datelor cu caracter personal. Pentru a se lua n considerare situaia specific amicrontreprinderilor i a ntreprinderilor mici i mijlocii, prezentul regulament include o derogare pentru organizaiile cu mai puin de 250 de angajai n ceea ce privete pstrarea evidenelor. n plus, instituiile i organeleUniunii i statele membre i autoritile lor de supraveghere sunt ncurajate s ia n considerare necesitilespecifice ale microntreprinderilor i ale ntreprinderilor mici i mijlocii n aplicarea prezentului regulament.Noiunea de microntreprinderi i de ntreprinderi mici i mijlocii ar trebui s se bazeze pe articolul 2 din anexala Recomandarea 2003/361/CE a Comisiei (1).

(14) Protecia conferit de prezentul regulament ar trebui s vizeze persoanele fizice, indiferent de cetenia sau delocul de reedin al acestora, n ceea ce privete prelucrarea datelor cu caracter personal ale acestora. Prezentulregulament nu se aplic prelucrrii datelor cu caracter personal care privesc persoane juridice i, n special,ntreprinderi cu personalitate juridic, inclusiv numele i tipul de persoan juridic i datele de contact alepersoanei juridice.

(15) Pentru a preveni apariia unui risc major de eludare, protecia persoanelor fizice ar trebui s fie neutr din punctde vedere tehnologic i s nu depind de tehnologiile utilizate. Protecia persoanelor fizice ar trebui s se apliceprelucrrii datelor cu caracter personal prin mijloace automatizate, precum i prelucrrii manuale, n cazul n caredatele cu caracter personal sunt cuprinse sau destinate s fie cuprinse ntr-un sistem de eviden. Dosarele sauseturile de dosare, precum i copertele acestora, care nu sunt structurate n conformitate cu criterii specificenu artrebui s intre n domeniul de aplicare al prezentului regulament.

(16) Prezentul regulament nu se aplic chestiunilor de protecie a drepturilor i libertilor fundamentale sau la liberacirculaie a datelor cu caracter personal referitoare la activiti care nu intr n domeniul de aplicare al dreptuluiUniunii, de exemplu activitile privind securitatea naional. Prezentul regulament nu se aplic prelucrrii datelorcu caracter personal de ctre statele membre atunci cnd acestea desfoar activiti legate de politica extern i

de securitatea comun a Uniunii.

(17) Regulamentul (CE) nr. 45/2001 al Parlamentului European i al Consiliului (2) se aplic prelucrrii de date cucaracter personal de ctre instituiile, organele, oficiile i ageniile Uniunii. Regulamentul (CE) nr. 45/2001 i alteacte juridice ale Uniunii aplicabile unei asemenea prelucrri a datelor cu caracter personal ar trebui adaptate laprincipiile i normele stabilite n prezentul regulament i aplicate n conformitate cu prezentul regulament. nvederea asigurrii unui cadru solid i coerent n materie de protecie a datelor n Uniune, ar trebui ca dupadoptarea prezentului regulament s se aduc Regulamentului (CE) nr. 45/2001 adaptrile necesare, astfel nctacestea s poat fi aplicate odat cu prezentul regulament.

(18) Prezentul regulament nu se aplic prelucrrii datelor cu caracter personal de ctre o persoan fizic n cadrul uneiactiviti exclusiv personale sau domestice i care, prin urmare, nu are legtur cu o activitate profesional sau


(1) Recomandarea 2003/361/CE a Comisiei din 6 mai 2003 privind definirea microntreprinderilor i a ntreprinderilor mici i mijlocii[C(2003) 1422] (JO L 124, 20.5.2003, p. 36).

(2) Regulamentul (CE) nr. 45/2001 al Parlamentului European i al Consiliului din 18 decembrie 2000 privind protecia persoanelor fizicecu privire la prelucrarea datelor cu caracter personal de ctre instituiile i organele comunitare i privind libera circulaie a acestor date(JO L 8, 12.1.2001, p. 1).

7/26/2019 Regulamentul-ue-2016-679_27.04_2016

4/88

comercial. Activitile personale sau domestice ar putea include corespondena i repertoriul de adrese sauactivitile din cadrul reelelor sociale i activitile online desfurate n contextul respectivelor activiti. Cu toateacestea, prezentul regulament se aplic operatorilor sau persoanelor mputernicite de operatori care furnizeazmijloacele de prelucrare a datelor cu caracter personal pentru astfel de activiti personale sau domestice.

(19) Protecia persoanelor fizice n ceea ce privete prelucrarea datelor cu caracter personal de ctre autoritilecompetente n scopul prevenirii, investigrii, depistrii sau urmririi penale a infraciunilor sau al executriipedepselor, inclusiv al protejrii mpotriva ameninrilor la adresa siguranei publice i al prevenirii acestora,precum i libera circulaie a acestor date, face obiectul unui act juridic specific al Uniunii. Prin urmare, prezentulregulament nu ar trebui s se aplice activitilor de prelucrare n aceste scopuri. Cu toate acestea, datele cucaracter personal prelucrate de ctre autoritile publice n temeiul prezentului regulament, atunci cnd suntutilizate n aceste scopuri, ar trebui s fie reglementate printr-un act juridic mai specific al Uniunii, i anumeDirectiva (UE) 2016/680 a Parlamentului European i a Consiliului (1). Statele membre pot ncredina autoritilorcompetente n sensul Directivei (UE) 2016/680 sarcini care nu sunt neaprat ndeplinite n scopul prevenirii,investigrii, depistrii sau urmririi penale a infraciunilor sau al executrii pedepselor, inclusiv al protejriimpotriva ameninrilor la adresa siguranei publice i al prevenirii acestora, astfel nct prelucrarea datelor cucaracter personal pentru alte scopuri, n msura n care se ncadreaz n domeniul de aplicare al dreptuluiUniunii, s intre n domeniul de aplicare al prezentului regulament.

n ceea ce privete prelucrarea datelor cu caracter personal de ctre aceste autoriti competente n scopuri careintr n domeniul de aplicare al prezentului regulament, statele membre ar trebui s poat menine sau introducedispoziii mai detaliate pentru a adapta aplicarea normelor din prezentul regulament. Aceste dispoziii pot stabilimai precis cerine specifice pentru prelucrarea datelor cu caracter personal de ctre respectivele autoriticompetente n aceste alte scopuri, innd seama de structura constituional, organizatoric i administrativ astatului membru n cauz. Atunci cnd prelucrarea de date cu caracter personal de ctre organisme private faceobiectul prezentului regulament, prezentul regulament ar trebui s prevad posibilitatea ca statele membre, nanumite condiii, s impun prin lege restricii asupra anumitor obligaii i drepturi, n cazul n care asemenearestricii constituie o msur necesar i proporional ntr-o societate democratic n scopul garantrii unorinterese specifice importante, printre care se numr sigurana public i prevenirea, investigarea, depistarea iurmrirea penal a infraciunilor sau executarea pedepselor, inclusiv protejarea mpotriva ameninrilor la adresasiguranei publice i prevenirea acestora. Acest lucru este relevant, de exemplu, n cadrul combaterii splrii debani sau al activitilor laboratoarelor criminalistice.

(20) Dei prezentul regulament se aplic, inter alia, activitilor instanelor i ale altor autoriti judiciare, dreptulUniunii sau al statelor membre ar putea s precizeze operaiunile i procedurile de prelucrare n ceea ce priveteprelucrarea datelor cu caracter personal de ctre instane i alte autoriti judiciare. Prelucrarea datelor cu caracterpersonal nu ar trebui s fie de competena autoritilor de supraveghere n cazul n care instanele i exercitatribuiile judiciare, n scopul garantrii independenei sistemului judiciar n ndeplinirea sarcinilor sale judiciare,inclusiv n luarea deciziilor. Supravegherea unor astfel de operaiuni de prelucrare a datelor ar trebui s poat fincredinat unor organisme specifice din cadrul sistemului judiciar al statului membru, care ar trebui s asiguren special respectarea normelor prevzute de prezentul regulament, s sensibilizeze membrii sistemului judiciar cuprivire la obligaiile care le revin n temeiul prezentului regulament i s trateze plngerile n legtur cu astfel deoperaiuni de prelucrare a datelor.

(21) Prezentul regulament nu aduce atingere aplicrii Directivei 2000/31/CE a Parlamentului European i aConsiliului (2), n special normelor privind rspunderea furnizorilor intermediari de servicii prevzute la articolele 12-15 din directiva menionat. Respectiva directiv i propune s contribuie la buna funcionare a pieeiinterne, prin asigurarea liberei circulaii a serviciilor societii informaionale ntre statele membre.

(22) Orice prelucrare a datelor cu caracter personal n cadrul activitilor unui sediu al unui operator sau al uneipersoane mputernicite de operator din Uniune ar trebui efectuat n conformitate cu prezentul regulament,indiferent dac procesul de prelucrare n sine are loc sau nu n cadrul Uniunii. Sediul implic exercitarea efectivi real a unei activiti n cadrul unor nelegeri stabile. Forma juridic a unor astfel de nelegeri, prinintermediul unei sucursale sau al unei filiale cu personalitate juridic, nu este factorul determinant n aceastprivin.


(1) Directiva (UE) 2016/680 a Parlamentului European i a Consiliului din 27 aprilie 2016 privind protecia persoanelor fizice referitor la

prelucrarea datelor cu caracter personal de ctre autoritile competente n scopul prevenirii, depistrii, investigrii sau urmririi penale ainfraciunilor sau al executrii pedepselor i privind libera circulaie a acestor date i de abrogare a Deciziei-cadru 2008/977/JAI aConsiliului (a se vedea pagina 89 din prezentul Jurnal Oficial).

(2) Directiva 2000/31/CE a Parlamentului European i a Consiliului din 8 iunie 2000 privind anumite aspecte juridice ale serviciilorsocietii informaionale, n special ale comerului electronic, pe piaa intern (directiva privind comerul electronic) (JO L 178,17.7.2000, p. 1).

7/26/2019 Regulamentul-ue-2016-679_27.04_2016

5/88

(23) Pentru a se asigura c persoanele fizice nu sunt lipsite de protecia la care au dreptul n temeiul prezentuluiregulament, prelucrarea datelor cu caracter personal ale persoanelor vizate care se afl pe teritoriul Uniunii dectre un operator sau o persoan mputernicit de acesta care nu i are sediul n Uniune ar trebui s fac obiectulprezentului regulament n cazul n care activitile de prelucrare au legtur cu oferirea de bunuri sau serviciiunor astfel de persoane vizate, indiferent dac acestea sunt sau nu legate de o plat. Pentru a determina dac unastfel de operator sau o astfel de persoan mputernicit de operator ofer bunuri sau servicii unor persoane

vizate care se afl pe teritoriul Uniunii, ar trebui s se stabileasc dac reiese c operatorul sau persoana mputernicit de operator intenioneaz s furnizeze servicii persoanelor vizate din unul sau mai multe state membre dinUniune. ntruct simplul fapt c exist acces la un site al operatorului, al persoanei mputernicite de operator saual unui intermediar n Uniune, c este disponibil o adres de e-mail i alte date de contact sau c este utilizat olimb folosit n general n ara ter n care operatorul i are sediul este insuficient pentru a confirma o astfel deintenie, factori precum utilizarea unei limbi sau a unei monede utilizate n general n unul sau mai multe statemembre cu posibilitatea de a comanda bunuri i servicii n respectiva limb sau menionarea unor clieni sauutilizatori care se afl pe teritoriul Uniunii pot conduce la concluzia c operatorul intenioneaz s ofere bunurisau servicii unor persoane vizate n Uniune.

(24) Prelucrarea datelor cu caracter personal ale persoanelor vizate care se afl pe teritoriul Uniunii de ctre unoperator sau o persoan mputernicit de acesta care nu i are sediul n Uniune ar trebui, de asemenea, s facobiectul prezentului regulament n cazul n care este legat de monitorizarea comportamentului unor astfel de

persoane vizate, n msura n care acest comportament se manifest pe teritoriul Uniunii. Pentru a se determinadac o activitate de prelucrare poate fi considerat ca monitorizare a comportamentului persoanelor vizate, artrebui s se stabileasc dac persoanele fizice sunt urmrite pe internet, inclusiv posibila utilizare ulterioar aunor tehnici de prelucrare a datelor cu caracter personal care constau n crearea unui profil al unei persoanefizice, n special n scopul de a lua decizii cu privire la aceasta sau de a analiza sau de a face previziuni referitoarela preferinele personale, comportamentele i atitudinile acesteia.

(25) n cazul n care dreptul unui stat membru se aplic n temeiul dreptului internaional public, prezentulregulament ar trebui s se aplice, de asemenea, unui operator care nu este stabilit n Uniune, ci, de exemplu,ntr-o misiune diplomatic sau ntr-un oficiu consular al unui stat membru.

(26) Principiile proteciei datelor ar trebui s se aplice oricrei informaii referitoare la o persoan fizic identificatsau identificabil. Datele cu caracter personal care au fost supuse pseudonimizrii, care ar putea fi atribuite uneipersoane fizice prin utilizarea de informaii suplimentare, ar trebui considerate informaii referitoare la opersoan fizic identificabil. Pentru a se determina dac o persoan fizic este identificabil, ar trebui s se ia nconsiderare toate mijloacele, cum ar fi individualizarea, pe care este probabil, n mod rezonabil, s le utilizeze fieoperatorul, fie o alt persoan, n scopul identificrii, n mod direct sau indirect, a persoanei fizice respective.Pentru a se determina dac este probabil, n mod rezonabil, s fie utilizate mijloace pentru identificarea persoaneifizice, ar trebui luai n considerare toi factorii obiectivi, precum costurile i intervalul de timp necesare pentruidentificare, inndu-se seama att de tehnologia disponibil la momentul prelucrrii, ct i de dezvoltareatehnologic. Principiile proteciei datelor ar trebui, prin urmare, s nu se aplice informaiilor anonime, adicinformaiilor care nu sunt legate de o persoan fizic identificat sau identificabil sau datelor cu caracterpersonal care sunt anonimizate astfel nct persoana vizat nu este sau nu mai este identificabil. Prin urmare,prezentul regulament nu se aplic prelucrrii unor astfel de informaii anonime, inclusiv n cazul n care acesteasunt utilizate n scopuri statistice sau de cercetare.

(27) Prezentul regulament nu se aplic datelor cu caracter personal referitoare la persoane decedate. Statele membrepot s prevad norme privind prelucrarea datelor cu caracter personal referitoare la persoane decedate.

(28) Aplicarea pseudonimizrii datelor cu caracter personal poate reduce riscurile pentru persoanele vizate i poateajuta operatorii i persoanele mputernicite de acetia s i ndeplineasc obligaiile de protecie a datelor.Introducerea explicit a conceptului de pseudonimizare n prezentul regulament nu este destinat s mpiedicealte eventuale msuri de protecie a datelor.

(29) Pentru a crea stimulente pentru aplicarea pseudonimizrii atunci cnd sunt prelucrate date cu caracter personal,ar trebui s fie posibile msuri de pseudonimizare, permind n acelai timp analiza general, n cadrul aceluiaioperator atunci cnd operatorul a luat msurile tehnice i organizatorice necesare pentru a se asigura cprezentul regulament este pus n aplicare n ceea ce privete respectiva prelucrare a datelor i c informaiilesuplimentare pentru atribuirea datelor cu caracter personal unei anumite persoane vizate sunt pstrate separat.Operatorul care prelucreaz datele cu caracter personal ar trebui s indice persoanele autorizate din cadrulaceluiai operator.


7/26/2019 Regulamentul-ue-2016-679_27.04_2016

6/88

(30) Persoanele fizice pot fi asociate cu identificatorii online furnizai de dispozitivele, aplicaiile, instrumentele iprotocoalele lor, cum ar fi adresele IP, identificatorii cookie sau ali identificatori precum etichetele de identificareprin frecvene radio. Acetia pot lsa urme care, n special atunci cnd sunt combinate cu identificatori unici ialte informaii primite de servere, pot fi utilizate pentru crearea de profiluri ale persoanelor fizice i pentru identificarea lor.

(31) Autoritile publice crora le sunt divulgate date cu caracter personal n conformitate cu o obligaie legal nvederea exercitrii funciei lor oficiale, cum ar fi autoritile fiscale i vamale, unitile de investigare financiar,autoritile administrative independente sau autoritile pieelor financiare responsabile de reglementarea isupravegherea pieelor titlurilor de valoare, nu ar trebui s fie considerate destinatari n cazul n care primesc datecu caracter personal care sunt necesare pentru efectuarea unei anumite anchete de interes general, n conformitatecu dreptul Uniunii sau cel al statelor membre. Cererile de divulgare trimise de autoritile publice ar trebui s fientotdeauna prezentate n scris, motivate i ocazionale i nu ar trebui s se refere la un sistem de eviden ntotalitate sau s conduc la interconectarea sistemelor de eviden. Prelucrarea datelor cu caracter personal dectre autoritile publice respective ar trebui s respecte normele aplicabile n materie de protecie a datelor nconformitate cu scopurile prelucrrii.

(32) Consimmntul ar trebui acordat printr-o aciune neechivoc care s constituie o manifestare liber exprimat,

specific, n cunotin de cauz i clar a acordului persoanei vizate pentru prelucrarea datelor sale cu caracterpersonal, ca de exemplu o declaraie fcut n scris, inclusiv n format electronic, sau verbal. Acesta ar puteainclude bifarea unei csue atunci cnd persoana viziteaz un site, alegerea parametrilor tehnici pentru serviciilesocietii informaionale sau orice alt declaraie sau aciune care indic n mod clar n acest context acceptareade ctre persoana vizat a prelucrrii propuse a datelor sale cu caracter personal. Prin urmare, absena unuirspuns, csuele bifate n prealabil sau absena unei aciuni nu ar trebui s constituie un consimmnt. Consimmntul ar trebui s vizeze toate activitile de prelucrare efectuate n acelai scop sau n aceleai scopuri. Dacprelucrarea datelor se face n mai multe scopuri, consimmntul ar trebui dat pentru toate scopurile prelucrrii.n cazul n care consimmntul persoanei vizate trebuie acordat n urma unei cereri transmise pe caleelectronic, cererea respectiv trebuie s fie clar i concis i s nu perturbe n mod inutil utilizarea serviciuluipentru care se acord consimmntul.

(33) Adesea nu este posibil, n momentul colectrii datelor cu caracter personal, s se identifice pe deplin scopul

prelucrrii datelor n scopuri de cercetare tiinific. Din acest motiv, persoanelor vizate ar trebui s li se permits i exprime consimmntul pentru anumite domenii ale cercetrii tiinifice atunci cnd sunt respectatestandardele etice recunoscute pentru cercetarea tiinific. Persoanele vizate ar trebui s aib posibilitatea de a-iexprima consimmntul doar pentru anumite domenii de cercetare sau pri ale proiectelor de cercetare nmsura permis de scopul preconizat.

(34) Datele genetice ar trebui definite drept date cu caracter personal referitoare la caracteristicile genetice motenitesau dobndite ale unei persoane fizice, care rezult n urma unei analize a unei mostre de material biologic alpersoanei fizice n cauz, n special a unei analize cromozomiale, a unei analize a acidului dezoxiribonucleic(ADN) sau a acidului ribonucleic (ARN) sau a unei analize a oricrui alt element ce permite obinerea unorinformaii echivalente.

(35) Datele cu caracter personal privind sntatea ar trebui s includ toate datele avnd legtur cu starea de sntatea persoanei vizate care dezvluie informaii despre starea de sntate fizic sau mental trecut, prezent sauviitoare a persoanei vizate. Acestea includ informaii despre persoana fizic colectate n cadrul nscrierii acesteia laserviciile de asisten medical sau n cadrul acordrii serviciilor respective persoanei fizice n cauz, astfel cumsunt menionate n Directiva 2011/24/UE a Parlamentului European i a Consiliului (1); un numr, un simbol sauun semn distinctiv atribuit unei persoane fizice pentru identificarea singular a acesteia n scopuri medicale;informaii rezultate din testarea sau examinarea unei pri a corpului sau a unei substane corporale, inclusiv dindate genetice i eantioane de material biologic; precum i orice informaii privind, de exemplu, o boal, unhandicap, un risc de mbolnvire, istoricul medical, tratamentul clinic sau starea fiziologic sau biomedical apersoanei vizate, indiferent de sursa acestora, ca de exemplu, un medic sau un alt cadru medical, un spital, undispozitiv medical sau un test de diagnostic in vitro.

(36) Sediul principal al unui operator n Uniune ar trebui s fie locul n care se afl administraia central a acestuia nUniune, cu excepia cazului n care deciziile privind scopurile i mijloacele de prelucrare a datelor cu caracterpersonal se iau ntr-un alt sediu al operatorului n Uniune. n acest caz, acesta din urm ar trebui considerat drept


(1) Directiva 2011/24/UE a Parlamentului European i a Consiliului din 9 martie 2011 privind aplicarea drepturilor pacienilor n cadrulasistenei medicale transfrontaliere (JO L 88, 4.4.2011, p. 45).

7/26/2019 Regulamentul-ue-2016-679_27.04_2016

7/88

sediul principal. Sediul principal al unui operator n Uniune ar trebui s fie determinat conform unor criteriiobiective i ar trebui s implice exercitarea efectiv i real a unor activiti de gestionare care s determineprincipalele decizii cu privire la scopurile i mijloacele de prelucrare n cadrul unor nelegeri stabile. Acestcriteriu nu ar trebui s depind de realizarea prelucrrii datelor cu caracter personal n locul respectiv. Prezena iutilizarea mijloacelor tehnice i a tehnologiilor de prelucrare a datelor cu caracter personal sau activitile deprelucrare nu constituie un sediu principal i, prin urmare, nu sunt criteriul determinant n acest sens. Sediul

principal al persoanei mputernicite de operator ar trebui s fie locul n care se afl administraia central aacestuia n Uniune sau, n cazul n care nu are o administraie central n Uniune, locul n care se desfoarprincipalele activiti de prelucrare n Uniune. n cazurile care implic att operatorul, ct i persoana mputernicit de operator, autoritatea de supraveghere principal competent ar trebui s rmn autoritatea desupraveghere a statului membru n care operatorul i are sediul principal, dar autoritatea de supraveghere apersoanei mputernicite de operator ar trebui considerat ca fiind o autoritate de supraveghere vizat i aceaautoritate de supraveghere ar trebui s participe la procedura de cooperare prevzut de prezentul regulament. norice caz, autoritile de supraveghere ale statului membru sau ale statelor membre n care persoana mputernicitde operator are unul sau mai multe sedii nu ar trebui considerate ca fiind autoriti de supraveghere vizate ncazul n care proiectul de decizie nu se refer dect la operator. n cazul n care prelucrarea este efectuat de ungrup de ntreprinderi, sediul principal al ntreprinderii care exercit controlul ar trebui considerat drept sediulprincipal al grupului de ntreprinderi, cu excepia cazului n care scopurile i mijloacele aferente prelucrrii suntstabilite de o alt ntreprindere.

(37) Un grup de ntreprinderi ar trebui s cuprind o ntreprindere care exercit controlul i ntreprinderile controlatede aceasta, n cadrul cruia ntreprinderea care exercit controlul ar trebui s fie ntreprinderea care poate exercitao influen dominant asupra celorlalte ntreprinderi, de exemplu n temeiul proprietii, al participrii financiaresau al regulilor care o reglementeaz sau al competenei de a pune n aplicare norme n materie de protecie adatelor cu caracter personal. O ntreprindere care controleaz prelucrarea datelor cu caracter personal nntreprinderile sale afiliate ar trebui considerat, mpreun cu acestea din urm, drept grup de ntreprinderi.

(38) Copiii au nevoie de o protecie specific a datelor lor cu caracter personal, ntruct pot fi mai puin contieni deriscurile, consecinele, garaniile n cauz i drepturile lor n ceea ce privete prelucrarea datelor cu caracterpersonal. Aceast protecie specific ar trebui s se aplice n special utilizrii datelor cu caracter personal alecopiilor n scopuri de marketing sau pentru crearea de profiluri de personalitate sau de utilizator i la colectareadatelor cu caracter personal privind copiii n momentul utilizrii serviciilor oferite direct copiilor. Consimmntul titularului rspunderii printeti nu ar trebui s fie necesar n contextul serviciilor de prevenire sauconsiliere oferite direct copiilor.

(39) Orice prelucrare de date cu caracter personal ar trebui s fie legal i echitabil. Ar trebui s fie transparentpentru persoanele fizice c sunt colectate, utilizate, consultate sau prelucrate n alt mod datele cu caracterpersonal care le privesc i n ce msur datele cu caracter personal sunt sau vor fi prelucrate. Principiul transparenei prevede c orice informaii i comunicri referitoare la prelucrarea respectivelor date cu caracter personalsunt uor accesibile i uor de neles i c se utilizeaz un limbaj simplu i clar. Acest principiu se refer nspecial la informarea persoanelor vizate privind identitatea operatorului i scopurile prelucrrii, precum i laoferirea de informaii suplimentare, pentru a asigura o prelucrare echitabil i transparent n ceea ce privetepersoanele fizice vizate i dreptul acestora de a li se confirma i comunica datele cu caracter personal care leprivesc care sunt prelucrate. Persoanele fizice ar trebui informate cu privire la riscurile, normele, garaniile idrepturile n materie de prelucrare a datelor cu caracter personal i cu privire la modul n care s i exercitedrepturile n legtur cu prelucrarea. n special, scopurile specifice n care datele cu caracter personal suntprelucrate ar trebui s fie explicite i legitime i s fie determinate la momentul colectrii datelor respective.Datele cu caracter personal ar trebui s fie adecvate, relevante i limitate la ceea ce este necesar pentru scopurilen care sunt prelucrate. Aceasta necesit, n special, asigurarea faptului c perioada pentru care datele cu caracterpersonal sunt stocate este limitat strict la minimum. Datele cu caracter personal ar trebui prelucrate doar dacscopul prelucrrii nu poate fi ndeplinit n mod rezonabil prin alte mijloace. n vederea asigurrii faptului cdatele cu caracter personal nu sunt pstrate mai mult timp dect este necesar, ar trebui s se stabileasc de ctreoperator termene pentru tergere sau revizuirea periodic. Ar trebui s fie luate toate msurile rezonabile pentrua se asigura c datele cu caracter personal care sunt inexacte sunt rectificate sau terse. Datele cu caracter personalar trebui prelucrate ntr-un mod care s asigure n mod adecvat securitatea i confidenialitatea acestora, inclusivn scopul prevenirii accesului neautorizat la acestea sau utilizarea neautorizat a datelor cu caracter personal i aechipamentului utilizat pentru prelucrare.

(40) Pentru ca prelucrarea datelor cu caracter personal s fie legal, aceasta ar trebui efectuat pe baza consimmntului persoanei vizate sau n temeiul unui alt motiv legitim, prevzut de lege, fie n prezentul regulament, fie


7/26/2019 Regulamentul-ue-2016-679_27.04_2016

8/88

n alt act din dreptul Uniunii sau din dreptul intern, dup cum se prevede n prezentul regulament, inclusivnecesitatea respectrii obligaiilor legale la care este supus operatorul sau necesitatea de a executa un contract lacare persoana vizat este parte sau pentru a parcurge etapele premergtoare ncheierii unui contract, la solicitareapersoanei vizate.

(41) Ori de cte ori prezentul regulament face trimitere la un temei juridic sau la o msur legislativ, aceasta nunecesit neaprat un act legislativ adoptat de ctre un parlament, fr a aduce atingere cerinelor care decurg dinordinea constituional a statului membru n cauz. Cu toate acestea, un astfel de temei juridic sau o astfel demsur legislativ ar trebui s fie clar i precis, iar aplicarea acesteia ar trebui s fie previzibil pentrupersoanele vizate de aceasta, n conformitate cu jurisprudena Curii de Justiie a Uniunii Europene (Curtea deJustiie) i a Curii Europene a Drepturilor Omului.

(42) n cazul n care prelucrarea se bazeaz pe consimmntul persoanei vizate, operatorul ar trebui s fie n msurs demonstreze faptul c persoana vizat i-a dat consimmntul pentru operaiunea de prelucrare. n special, ncontextul unei declaraii scrise cu privire la un alt aspect, garaniile ar trebui s asigure c persoana vizat estecontient de faptul c i-a dat consimmntul i n ce msur a fcut acest lucru. n conformitate cu Directiva93/13/CEE a Consiliului (1), ar trebui furnizat o declaraie de consimmnt formulat n prealabil de ctreoperator, ntr-o form inteligibil i uor accesibil, utiliznd un limbaj clar i simplu, iar aceast declaraie nu ar

trebui s conin clauze abuzive. Pentru ca acordarea consimmntului s fie n cunotin de cauz, persoanavizat ar trebui s fie la curent cel puin cu identitatea operatorului i cu scopurile prelucrrii pentru care suntdestinate datele cu caracter personal. Consimmntul nu ar trebui considerat ca fiind acordat n mod liber dacpersoana vizat nu dispune cu adevrat de libertatea de alegere sau nu este n msur s refuze sau s i retragconsimmntul fr a fi prejudiciat.

(43) Pentru a garanta faptul c a fost acordat n mod liber, consimmntul nu ar trebui s constituie un temei juridicvalabil pentru prelucrarea datelor cu caracter personal n cazul particular n care exist un dezechilibru evidentntre persoana vizat i operator, n special n cazul n care operatorul este o autoritate public, iar acest lucruface improbabil acordarea consimmntului n mod liber n toate circumstanele aferente respectivei situaiiparticulare. Consimmntul este considerat a nu fi acordat n mod liber n cazul n care aceasta nu permite s seacorde consimmntul separat pentru diferitele operaiuni de prelucrare a datelor cu caracter personal, dei acestlucru este adecvat n cazul particular, sau dac executarea unui contract, inclusiv furnizarea unui serviciu, este

condiionat de consimmnt, n ciuda faptului c consimmntul n cauz nu este necesar pentru executareacontractului.

(44) Prelucrarea ar trebui s fie considerat legal n cazul n care este necesar n cadrul unui contract sau n vedereancheierii unui contract.

(45) n cazul n care prelucrarea este efectuat n conformitate cu o obligaie legal a operatorului sau n cazul n careprelucrarea este necesar pentru ndeplinirea unei sarcini care servete unui interes public sau care face parte dinexercitarea autoritii publice, prelucrarea ar trebui s aib un temei n dreptul Uniunii sau n dreptul intern.Prezentul regulament nu impune existena unei legi specifice pentru fiecare prelucrare n parte. Poate fi suficiento singur lege drept temei pentru mai multe operaiuni de prelucrare efectuate n conformitate cu o obligaielegal a operatorului sau n cazul n care prelucrarea este necesar pentru ndeplinirea unei sarcini care serveteunui interes public sau care face parte din exercitarea autoritii publice. De asemenea, ar trebui ca scopulprelucrrii s fie stabilit n dreptul Uniunii sau n dreptul intern. Mai mult dect att, dreptul respectiv ar putea sspecifice condiiile generale ale prezentului regulament care reglementeaz legalitatea prelucrrii datelor cucaracter personal, s determine specificaiile pentru stabilirea operatorului, a tipului de date cu caracter personalcare fac obiectul prelucrrii, a persoanelor vizate, a entitilor crora le pot fi divulgate datele cu caracterpersonal, a limitrilor n funcie de scop, a perioadei de stocare i a altor msuri pentru a garanta o prelucrarelegal i echitabil. De asemenea, ar trebui s se stabileasc n dreptul Uniunii sau n dreptul intern dacoperatorul care ndeplinete o sarcin care servete unui interes public sau care face parte din exercitareaautoritii publice ar trebui s fie o autoritate public sau o alt persoan fizic sau juridic guvernat de dreptulpublic sau, atunci cnd motive de interes public justific acest lucru, inclusiv n scopuri medicale, precumsntatea public i protecia social, precum i gestionarea serviciilor de asisten medical, de dreptul privat,cum ar fi o asociaie profesional.

(46) Prelucrarea datelor cu caracter personal ar trebui, de asemenea, s fie considerat legal n cazul n care estenecesar n scopul asigurrii proteciei unui interes care este esenial pentru viaa persoanei vizate sau pentru


(1) Directiva 93/13/CEE a Consiliului din 5 aprilie 1993 privind clauzele abuzive n contractele ncheiate cu consumatorii (JO L 95,21.4.1993, p. 29).

7/26/2019 Regulamentul-ue-2016-679_27.04_2016

9/88

viaa unei alte persoane fizice. Prelucrarea datelor cu caracter personal care are drept temei interesele vitale aleunei alte persoane fizice ar trebui efectuat numai n cazul n care prelucrarea nu se poate baza n mod evidentpe un alt temei juridic. Unele tipuri de prelucrare pot servi att unor motive importante de interes public, ct iintereselor vitale ale persoanei vizate, de exemplu n cazul n care prelucrarea este necesar n scopuri umanitare,inclusiv n vederea monitorizrii unei epidemii i a rspndirii acesteia sau n situaii de urgene umanitare, nspecial n situaii de dezastre naturale sau provocate de om.

(47) Interesele legitime ale unui operator, inclusiv cele ale unui operator cruia i pot fi divulgate datele cu caracterpersonal sau ale unei tere pri, pot constitui un temei juridic pentru prelucrare, cu condiia s nu prevalezeinteresele sau drepturile i libertile fundamentale ale persoanei vizate, lund n considerare ateptrile rezonabileale persoanelor vizate bazate pe relaia acestora cu operatorul. Acest interes legitim ar putea exista, de exemplu,atunci cnd exist o relaie relevant i adecvat ntre persoana vizat i operator, cum ar fi cazul n carepersoana vizat este un client al operatorului sau se afl n serviciul acestuia. n orice caz, existena unui intereslegitim ar necesita o evaluare atent, care s stabileasc inclusiv dac o persoan vizat poate preconiza n modrezonabil, n momentul i n contextul colectrii datelor cu caracter personal, posibilitatea prelucrrii n acestscop. Interesele i drepturile fundamentale ale persoanei vizate ar putea prevala n special n raport cu interesuloperatorului de date atunci cnd datele cu caracter personal sunt prelucrate n circumstane n care persoanelevizate nu preconizeaz n mod rezonabil o prelucrare ulterioar. ntruct legiuitorul trebuie s furnizeze temeiul

juridic pentru prelucrarea datelor cu caracter personal de ctre autoritile publice, temeiul juridic respectiv nu artrebui s se aplice prelucrrii de ctre autoritile publice n ndeplinirea sarcinilor care le revin. Prelucrarea dedate cu caracter personal strict necesar n scopul prevenirii fraudelor constituie, de asemenea, un interes legitimal operatorului de date n cauz. Prelucrarea de date cu caracter personal care are drept scop marketingul directpoate fi considerat ca fiind desfurat pentru un interes legitim.

(48) Operatorii care fac parte dintr-un grup de ntreprinderi sau instituii afiliate unui organism central pot avea uninteres legitim de a transmite date cu caracter personal n cadrul grupului de ntreprinderi n scopuri administrative interne, inclusiv n scopul prelucrrii datelor cu caracter personal ale clienilor sau angajailor. Principiilegenerale ale transferului de date cu caracter personal, n cadrul unui grup de ntreprinderi, ctre o ntreprinderesituat ntr-o ar ter rmn neschimbate.

(49) Prelucrarea datelor cu caracter personal n msura strict necesar i proporional n scopul asigurrii securitiireelelor i a informaiilor, i anume capacitatea unei reele sau a unui sistem de informaii de a face fa, la unanumit nivel de ncredere, evenimentelor accidentale sau aciunilor ilegale sau ru intenionate care compromitdisponibilitatea, autenticitatea, integritatea i confidenialitatea datelor cu caracter personal stocate sau transmise,precum i securitatea serviciilor conexe oferite de aceste reele i sisteme, sau accesibile prin intermediul acestora,de ctre autoritile publice, echipele de intervenie n caz de urgen informatic, echipele de intervenie n cazulproducerii unor incidente care afecteaz securitatea informatic, furnizorii de reele i servicii de comunicaiielectronice, precum i de ctre furnizorii de servicii i tehnologii de securitate, constituie un interes legitim aloperatorului de date n cauz. Acesta ar putea include, de exemplu, prevenirea accesului neautorizat la reelele decomunicaii electronice i a difuzrii de coduri duntoare i oprirea atacurilor de blocare a serviciului, precumi prevenirea daunelor aduse calculatoarelor i sistemelor de comunicaii electronice.

(50) Prelucrarea datelor cu caracter personal n alte scopuri dect scopurile pentru care datele cu caracter personal aufost iniial colectate ar trebui s fie permis doar atunci cnd prelucrarea este compatibil cu scopurile respectivepentru care datele cu caracter personal au fost iniial colectate. n acest caz nu este necesar un temei juridicseparat de cel pe baza cruia a fost permis colectarea datelor cu caracter personal. n cazul n care prelucrareaeste necesar pentru ndeplinirea unei sarcini care servete unui interes public sau care rezult din exercitareaautoritii publice cu care este nvestit operatorul, dreptul Uniunii sau dreptul intern poate stabili i specificasarcinile i scopurile pentru care prelucrarea ulterioar ar trebui considerat a fi compatibil i legal. Prelucrareaulterioar n scopuri de arhivare n interes public, n scopuri de cercetare tiinific sau istoric ori n scopuristatistice ar trebui considerat ca reprezentnd operaiuni de prelucrare legale compatibile. Temeiul juridicprevzut n dreptul Uniunii sau n dreptul intern pentru prelucrarea datelor cu caracter personal poate constitui,de asemenea, un temei juridic pentru prelucrarea ulterioar. Pentru a stabili dac scopul prelucrrii ulterioare estecompatibil cu scopul pentru care au fost colectate iniial datele cu caracter personal, operatorul, dup ce andeplinit toate cerinele privind legalitatea prelucrrii iniiale, ar trebui s in seama, printre altele, de oricelegtur ntre respectivele scopuri i scopurile prelucrrii ulterioare preconizate, de contextul n care au fostcolectate datele cu caracter personal, n special de ateptrile rezonabile ale persoanelor vizate, bazate pe relaialor cu operatorul, n ceea ce privete utilizarea ulterioar a datelor, de natura datelor cu caracter personal, de


7/26/2019 Regulamentul-ue-2016-679_27.04_2016

10/88

consecinele prelucrrii ulterioare preconizate asupra persoanelor vizate, precum i de existena garaniilorcorespunztoare att n cadrul operaiunilor de prelucrare iniiale, ct i n cadrul operaiunilor de prelucrareulterioare preconizate.

n cazul n care persoana vizat i-a dat consimmntul sau prelucrarea se bazeaz pe dreptul Uniunii sau pedreptul intern, care constituie o msur necesar i proporional ntr-o societate democratic pentru a proteja, n

special, obiective importante de interes public general, operatorul ar trebui s aib posibilitatea de a prelucra ncontinuare datele cu caracter personal, indiferent de compatibilitatea scopurilor. n orice caz, aplicarea principiilorstabilite de prezentul regulament i, n special, informarea persoanei vizate cu privire la aceste alte scopuri i ladrepturile sale, inclusiv dreptul la opoziie, ar trebui s fie garantate. Indicarea unor posibile infraciuni sauameninri la adresa siguranei publice de ctre operator i transmiterea ctre o autoritate competent a datelorcu caracter personal relevante n cazuri individuale sau n mai multe cazuri legate de aceeai infraciune sau deaceleai ameninri la adresa siguranei publice ar trebui considerat ca fiind n interesul legitim urmrit deoperator. Cu toate acestea, o astfel de transmitere n interesul legitim al operatorului sau prelucrarea ulterioar adatelor cu caracter personal ar trebui interzis n cazul n care prelucrarea nu este compatibil cu o obligaielegal, profesional sau cu o alt obligaie de pstrare a confidenialitii.

(51) Datele cu caracter personal care sunt, prin natura lor, deosebit de sensibile n ceea ce privete drepturile ilibertile fundamentale necesit o protecie specific, deoarece contextul prelucrrii acestora ar putea generariscuri considerabile la adresa drepturilor i libertilor fundamentale. Aceste date cu caracter personal ar trebui s

includ datele cu caracter personal care dezvluie originea rasial sau etnic, utilizarea termenului origine rasialn prezentul regulament neimplicnd o acceptare de ctre Uniune a teoriilor care urmresc s stabileasc existenaunor rase umane separate. Prelucrarea fotografiilor nu ar trebui s fie considerat n mod sistematic ca fiind oprelucrare de categorii speciale de date cu caracter personal, ntruct fotografiile intr sub incidena definiieidatelor biometrice doar n cazurile n care sunt prelucrate prin mijloace tehnice specifice care permit identificareaunic sau autentificarea unei persoane fizice. Asemenea date cu caracter personal nu ar trebui prelucrate, cuexcepia cazului n care prelucrarea este permis n cazuri specifice prevzute de prezentul regulament, inndseama de faptul c dreptul statelor membre poate prevedea dispoziii specifice cu privire la protecia datelor nscopul adaptrii aplicrii normelor din prezentul regulament n vederea respectrii unei obligaii legale sau andeplinirii unei sarcini care servete unui interes public sau care rezult din exercitarea autoritii publice cu careeste nvestit operatorul. Pe lng cerinele specifice pentru o astfel de prelucrare, ar trebui s se aplice principiilegenerale i alte norme prevzute de prezentul regulament, n special n ceea ce privete condiiile pentruprelucrarea legal. Ar trebui prevzute n mod explicit derogri de la interdicia general de prelucrare a acestorcategorii speciale de date cu caracter personal, printre altele atunci cnd persoana vizat i d consimmntul

explicit sau n ceea ce privete nevoile specifice n special atunci cnd prelucrarea este efectuat n cadrul unoractiviti legitime de ctre anumite asociaii sau fundaii al cror scop este de a permite exercitarea libertilorfundamentale.

(52) Derogarea de la interdicia privind prelucrarea categoriilor speciale de date cu caracter personal ar trebui s fiepermis, de asemenea, n cazul n care dreptul Uniunii sau dreptul intern prevede acest lucru i ar trebui s facobiectul unor garanii adecvate, astfel nct s fie protejate datele cu caracter personal i alte drepturifundamentale, atunci cnd acest lucru se justific din motive de interes public, n special n cazul prelucrriidatelor cu caracter personal n domeniul legislaiei privind ocuparea forei de munc, protecia social, inclusivpensiile, precum i n scopuri de securitate, supraveghere i alert n materie de sntate, pentru prevenirea saucontrolul bolilor transmisibile i a altor ameninri grave la adresa sntii. Aceast derogare poate fi acordat nscopuri medicale, inclusiv sntatea public i gestionarea serviciilor de asisten medical, n special n vedereaasigurrii calitii i eficienei din punctul de vedere al costurilor ale procedurilor utilizate pentru soluionareacererilor de prestaii i servicii n cadrul sistemului de asigurri de sntate, sau n scopuri de arhivare n interespublic, n scopuri de cercetare tiinific sau istoric ori n scopuri statistice. De asemenea, prelucrarea unorasemenea date cu caracter personal ar trebui permis, printr-o derogare, atunci cnd este necesar pentruconstatarea, exercitarea sau aprarea unui drept n justiie, indiferent dac are loc n cadrul unei proceduri n faaunei instane sau n cadrul unei proceduri administrative sau a unei proceduri extrajudiciare.

(53) Categoriile speciale de date cu caracter personal care necesit un nivel mai ridicat de protecie ar trebui prelucratedoar n scopuri legate de sntate atunci cnd este necesar pentru realizarea acestor scopuri n beneficiulpersoanelor fizice i al societii n general, n special n contextul gestionrii serviciilor i sistemelor de sntatesau de asisten social, inclusiv prelucrarea acestor date de ctre autoritile de management i de ctreautoritile centrale naionale din domeniul sntii n scopul controlului calitii, furnizrii de informaii degestiune i al supravegherii generale a sistemului de sntate sau de asisten social la nivel naional i local,precum i n contextul asigurrii continuitii asistenei medicale sau sociale i a asistenei medicale transfrontaliere ori n scopuri de securitate, supraveghere i alert n materie de sntate ori n scopuri de arhivare ninteres public, n scopuri de cercetare tiinific sau istoric ori n scopuri statistice n temeiul dreptului Uniuniisau al dreptului intern, care trebuie s urmreasc un obiectiv de interes public, precum i n cazul studiilorrealizate n interes public n domeniul sntii publice. Prin urmare, prezentul regulament ar trebui s prevadcondiii armonizate pentru prelucrarea categoriilor speciale de date cu caracter personal privind sntatea, n ceeace privete nevoile specifice, n special atunci cnd prelucrarea acestor date este efectuat n anumite scopurilegate de sntate de ctre persoane care fac obiectul unei obligaii legale de a pstra secretul profesional. Dreptul


7/26/2019 Regulamentul-ue-2016-679_27.04_2016

11/88

Uniunii sau dreptul intern ar trebui s prevad msuri specifice i adecvate pentru a proteja drepturilefundamentale i datele cu caracter personal ale persoanelor fizice. Statele membre ar trebui s aib posibilitateade a menine sau de a introduce condiii suplimentare, inclusiv restricii, n ceea ce privete prelucrarea datelorgenetice, a datelor biometrice sau a datelor privind sntatea. Totui, acest lucru nu ar trebui s mpiedice liberacirculaie a datelor cu caracter personal n cadrul Uniunii atunci cnd aceste condiii se aplic prelucrriitransfrontaliere a unor astfel de date.

(54) Prelucrarea categoriilor speciale de date cu caracter personal poate fi necesar din motive de interes public ndomeniile sntii publice, fr consimmntul persoanei vizate. O astfel de prelucrare ar trebui condiionat demsuri adecvate i specifice destinate s protejeze drepturile i libertile persoanelor fizice. n acest context,conceptul de sntate public ar trebui interpretat astfel cum este definit n Regulamentul (CE) nr. 1338/2008 alParlamentului European i al Consiliului (1), i anume toate elementele referitoare la sntate i anume starea desntate, inclusiv morbiditatea sau handicapul, factorii determinani care au efect asupra strii de sntate,necesitile n domeniul asistenei medicale, resursele alocate asistenei medicale, furnizarea asistenei medicale iasigurarea accesului universal la aceasta, precum i cheltuielile i sursele de finanare n domeniul sntii icauzele mortalitii. Aceast prelucrare a datelor privind sntatea din motive de interes public nu ar trebui sduc la prelucrarea acestor date n alte scopuri de ctre pri tere, cum ar fi angajatorii sau societile de asigurrii bncile.

(55) n plus, prelucrarea datelor cu caracter personal de ctre autoritile publice n vederea realizrii obiectivelorprevzute de dreptul constituional sau de dreptul internaional public, ale asociaiilor religioase recunoscuteoficial se efectueaz din motive de interes public.

(56) n cazul n care, n cadrul activitilor electorale, funcionarea sistemului democratic necesit, ntr-un statmembru, ca partidele politice s colecteze date cu caracter personal privind opiniile politice ale persoanelor,prelucrarea unor astfel de date poate fi permis din motive de interes public, cu condiia s se prevad garaniilecorespunztoare.

(57) Dac datele cu caracter personal prelucrate de un operator nu i permit acestuia s identifice o persoan fizic,operatorul de date nu ar trebui s aib obligaia de a obine informaii suplimentare n vederea identificriipersoanei vizate, cu unicul scop de a respecta oricare dintre dispoziiile prezentului regulament. Cu toate acestea,operatorul nu ar trebui s refuze s preia informaiile suplimentare furnizate de persoana vizat cu scopul de asprijini exercitarea drepturilor acesteia. Identificarea ar trebui s includ identificarea digital a unei persoanevizate, de exemplu prin mecanisme de autentificare precum aceleai acreditri utilizate de ctre persoana vizatpentru a accesa serviciile online oferite de operatorul de date.

(58) Principiul transparenei prevede c orice informaii care se adreseaz publicului sau persoanei vizate s fieconcise, uor accesibile i uor de neles i s se utilizeze un limbaj simplu i clar, precum i vizualizare acolounde este cazul. Aceste informaii ar putea fi furnizate n format electronic, de exemplu atunci cnd sunt adresate

publicului, prin intermediul unui site. Acest lucru este important n special n situaii n care datorit multitudiniiactorilor i a complexitii, din punct de vedere tehnologic, a practicii, este dificil ca persoana vizat s tie i sneleag dac datele cu caracter personal care o privesc sunt colectate, de ctre cine i n ce scop, cum este cazulpublicitii online. ntruct copiiii necesit o protecie specific, orice informaii i orice comunicare, n cazul ncare prelucrarea vizeaz un copil, ar trebui s fie exprimate ntr-un limbaj simplu i clar, astfel nct copilul s lpoat nelege cu uurin.

(59) Ar trebui s fie prevzute modaliti de facilitare a exercitrii de ctre persoana vizat a drepturilor care i suntconferite prin prezentul regulament, inclusiv mecanismele prin care aceasta poate solicita i, dac este cazul,obine, n mod gratuit, n special, acces la datele cu caracter personal, precum i rectificarea sau tergereaacestora, i exercitarea dreptului la opoziie. Operatorul ar trebui s ofere, de asemenea, modaliti de introducerea cererilor pe cale electronic, mai ales n cazul n care datele cu caracter personal sunt prelucrate prin mijloaceelectronice. Operatorul ar trebui s aib obligaia de a rspunde cererilor persoanelor vizate fr ntrzieri nejustificate i cel trziu n termen de o lun i, n cazul n care nu intenioneaz s se conformeze respectivele cereri, smotiveze acest refuz.


(1) Regulamentul (CE) nr. 1338/2008 al Parlamentului European i al Consiliului din 16 decembrie 2008 privind statisticile comunitarereferitoare la sntatea public, precum i la sntatea i sigurana la locul de munc (JO L 354, 31.12.2008, p. 70).

7/26/2019 Regulamentul-ue-2016-679_27.04_2016

12/88

(60) Conform principiilor prelucrrii echitabile i transparente, persoana vizat este informat cu privire la existenaunei operaiuni de prelucrare i la scopurile acesteia. Operatorul ar trebui s furnizeze persoanei vizate oriceinformaii suplimentare necesare pentru a asigura o prelucrare echitabil i transparent, innd seama de circumstanele specifice i de contextul n care sunt prelucrate datele cu caracter personal. n plus, persoana vizat artrebui informat cu privire la crearea de profiluri, precum i la consecinele acesteia. Atunci cnd datele cucaracter personal sunt colectate de la persoana vizat, aceasta ar trebui informat, de asemenea, dac are obligaia

de a furniza datele cu caracter personal i care sunt consecinele n cazul unui refuz. Aceste informaii pot fifurnizate n combinaie cu pictograme standardizate pentru a oferi ntr-un mod uor vizibil, inteligibil i clarlizibil o imagine de ansamblu semnificativ asupra prelucrrii avute n vedere. n cazul n care pictogramele suntprezentate n format electronic, acestea ar trebui s poat fi citite automat.

(61) Informaiile n legtur cu prelucrarea datelor cu caracter personal referitoare la persoana vizat ar trebuifurnizate acesteia la momentul colectrii de la persoana vizat sau, n cazul n care datele cu caracter personalsunt obinute din alt surs, ntr-o perioad rezonabil, n funcie de circumstanele cazului. n cazul n caredatele cu caracter personal pot fi divulgate n mod legitim unui alt destinatar, persoana vizat ar trebui informatatunci cnd datele cu caracter personal sunt divulgate pentru prima dat destinatarului. n cazul n careoperatorul intenioneaz s prelucreze datele cu caracter personal ntr-un alt scop dect cel pentru care acestea aufost colectate, operatorul ar trebui s furnizeze persoanei vizate, nainte de aceast prelucrare ulterioar,informaii privind scopul secundar respectiv i alte informaii necesare. n cazul n care originea datelor cucaracter personal nu a putut fi comunicat persoanei vizate din cauz c au fost utilizate surse diverse,informaiile generale ar trebui furnizate.

(62) Cu toate acestea, nu este necesar impunerea obligaiei de a furniza informaii n cazul n care persoana vizatdeine deja informaiile, n cazul n care nregistrarea sau divulgarea datelor cu caracter personal este prevzut nmod expres de lege sau n cazul n care informarea persoanei vizate se dovedete imposibil sau ar implicaeforturi disproporionate. Acesta din urm ar putea fi cazul n special atunci cnd prelucrarea se efectueaz nscopuri de arhivare n interes public, n scopuri de cercetare tiinific sau istoric ori n scopuri statistice. naceast privin, ar trebui luate n considerare numrul persoanelor vizate, vechimea datelor i orice garaniiadecvate adoptate.

(63) O persoan vizat ar trebui s aib drept de acces la datele cu caracter personal colectate care o privesc i artrebui s i exercite acest drept cu uurin i la intervale de timp rezonabile, pentru a fi informat cu privire laprelucrare i pentru a verifica legalitatea acesteia. Acest lucru include dreptul persoanelor vizate de a avea acces ladatele lor privind sntatea, de exemplu datele din registrele lor medicale coninnd informaii precumdiagnostice, rezultate ale examinrilor, evaluri ale medicilor curani i orice tratament sau intervenie efectuat.Orice persoan vizat ar trebui, prin urmare, s aib dreptul de a cunoate i de a i se comunica n specialscopurile n care sunt prelucrate datele, dac este posibil perioada pentru care se prelucreaz datele cu caracterpersonal, destinatarii datelor cu caracter personal, logica de prelucrare automat a datelor cu caracter personal i,cel puin n cazul n care se bazeaz pe crearea de profiluri, consecinele unei astfel de prelucrri. Dac acestlucru este posibil, operatorul de date ar trebui s poat furniza acces de la distan la un sistem sigur, care sofere persoanei vizate acces direct la datele sale cu caracter personal. Acest drept nu ar trebui s aduc atingeredrepturilor sau libertilor altora, inclusiv secretului comercial sau proprietii intelectuale i, n special,drepturilor de autor care asigur protecia programelor software. Cu toate acestea, consideraiile de mai sus nu ar

trebui s aib drept rezultat refuzul de a furniza toate informaiile persoanei vizate. Atunci cnd operatorulprelucreaz un volum mare de informaii privind persoana vizat, operatorul ar trebui s poat solicita ca, naintede a i fi furnizate informaiile, persoana vizat s precizeze informaiile sau activitile de prelucrare la care serefer cererea sa.

(64) Operatorul ar trebui s ia toate msurile rezonabile pentru a verifica identitatea unei persoane vizate care solicitacces la date, n special n contextul serviciilor online i al identificatorilor online. Un operator nu ar trebui srein datele cu caracter personal n scopul exclusiv de a fi n msur s reacioneze la cereri poteniale.

(65) O persoan vizat ar trebui s aib dreptul la rectificarea datelor cu caracter personal care o privesc i dreptul dea fi uitat, n cazul n care pstrarea acestor date ncalc prezentul regulament sau dreptul Uniunii sau dreptulintern sub incidena cruia intr operatorul. n special, persoanele vizate ar trebui s aib dreptul ca datele lor cucaracter personal s fie terse i s nu mai fie prelucrate, n cazul n care datele cu caracter personal nu mai suntnecesare pentru scopurile n care sunt colectate sau sunt prelucrate, n cazul n care persoanele vizate i-au retrasconsimmntul pentru prelucrare sau n cazul n care acestea se opun prelucrrii datelor cu caracter personalcare le privesc sau n cazul n care prelucrarea datelor cu caracter personal ale acestora nu este conform cu


7/26/2019 Regulamentul-ue-2016-679_27.04_2016

13/88

prezentul regulament. Acest drept este relevant n special n cazul n care persoana vizat i-a dat consimmntulcnd era copil i nu cunotea pe deplin riscurile pe care le implic prelucrarea, iar ulterior dorete s elimineastfel de date cu caracter personal, n special de pe internet. Persoana vizat ar trebui s aib posibilitatea de a-iexercita acest drept n pofida faptului c nu mai este copil. Cu toate acestea, pstrarea n continuare a datelor cucaracter personal ar trebui s fie legal n cazul n care este necesar pentru exercitarea dreptului la libertatea deexprimare i de informare, pentru respectarea unei obligaii legale, pentru ndeplinirea unei sarcini care servete

unui interes public sau care rezult din exercitarea autoritii publice cu care este nvestit operatorul, din motivede interes public n domeniul sntii publice, n scopuri de arhivare n interes public, n scopuri de cercetaretiinific sau istoric ori n scopuri statistice sau pentru constatarea, exercitarea sau aprarea unui drept ninstan.

(66) Pentru a se consolida dreptul de a fi uitat n mediul online, dreptul de tergere ar trebui s fie extins astfel nctun operator care a fcut publice date cu caracter personal ar trebui s aib obligaia de a informa operatorii careprelucreaz respectivele date cu caracter personal s tearg orice linkuri ctre datele respective sau copii saureproduceri ale acestora. n acest scop, operatorul n cauz ar trebui s ia msuri rezonabile, innd seama detehnologia disponibil i de mijloacele aflate la dispoziia lui, inclusiv msuri tehnice, pentru a informa operatoriicare prelucreaz datele cu caracter personal n ceea ce privete cererea persoanei vizate.

(67) Metodele de restricionare a prelucrrii de date cu caracter personal ar putea include, printre altele, mutareatemporar a datelor cu caracter personal selectate ntr-un alt sistem de prelucrare, sau anularea accesului utilizatorilor la datele selectate sau nlturarea temporar a datelor publicate de pe un site. n ceea ce privete sistemeleautomatizate de eviden a datelor, restricionarea prelucrrii ar trebui, n principiu, asigurat prin mijloacetehnice n aa fel nct datele cu caracter personal s nu fac obiectul unor operaiuni de prelucrare ulterioar is nu mai poat fi schimbate. Faptul c prelucrarea datelor cu caracter personal este restricionat ar trebuiindicat n mod clar n sistem.

(68) Pentru a spori suplimentar controlul asupra propriilor date, persoana vizat ar trebui, n cazul n care datele cucaracter personal sunt prelucrate prin mijloace automate, s poat primi datele cu caracter personal care o privesci pe care le-a furnizat unui operator, ntr-un format structurat, utilizat n mod curent, prelucrabil automat iinteroperabil i s le poat transmite unui alt operator. Operatorii de date ar trebui s fie ncurajai s dezvolteformate interoperabile care s permit portabilitatea datelor. Acest drept ar trebui s se aplice n cazul n care

persoana vizat a furnizat datele cu caracter personal pe baza propriului consimmnt sau n cazul n careprelucrarea datelor este necesar pentru executarea unui contract. Acest drept nu ar trebui s se aplice n cazul ncare prelucrarea se bazeaz pe un alt temei juridic dect consimmntul sau contractul. Prin nsi natura sa,acest drept nu ar trebui exercitat mpotriva operatorilor care prelucreaz date cu caracter personal n cadrulexercitrii funciilor lor publice. Acesta nu ar trebui s se aplice n special n cazul n care prelucrarea de date cucaracter personal este necesar n vederea respectrii unei obligaii legale creia i este supus operatorul sau ncazul ndeplinirii unei sarcini care servete unui interes public sau care rezult din exercitarea unei autoritipublice cu care este nvestit operatorul. Dreptul persoanei vizate de a transmite sau de a primi date cu caracterpersonal care o privesc nu ar trebui s creeze pentru operatori obligaia de a adopta sau de a menine sisteme deprelucrare care s fie compatibile din punct de vedere tehnic. n cazul n care, ntr-un anumit set de date cucaracter personal, sunt implicate mai multe persoane vizate, dreptul de a primi datele cu caracter personal nu artrebui s aduc atingere drepturilor i libertilor altor persoane vizate, n conformitate cu prezentul regulament.De asemenea, acest drept nu ar trebui s aduc atingere dreptului persoanei vizate de a obine tergerea datelor cucaracter personal i limitrilor dreptului respectiv, astfel cum sunt prevzute n prezentul regulament, i nu artrebui, n special, s implice tergerea acelor date cu caracter personal referitoare la persoana vizat care au fostfurnizate de ctre aceasta n vederea executrii unui contract, n msura n care i att timp ct datele respectivesunt necesare pentru executarea contractului. Persoana vizat ar trebui s aib dreptul ca datele cu caracterpersonal s fie transmise direct de la un operator la altul, dac acest lucru este fezabil din punct de vedere tehnic.

(69) n cazurile n care datele cu caracter personal ar putea fi prelucrate n mod legal deoarece prelucrarea estenecesar pentru ndeplinirea unei sarcini care servete unui interes public sau care rezult din exercitareaautoritii publice cu care este nvestit operatorul sau pe baza intereselor legitime ale unui operator sau ale uneipri tere, o persoan vizat ar trebui s aib totui dreptul de a se opune prelucrrii oricror date cu caracterpersonal care se refer la situaia sa particular. Ar trebui s revin operatorului sarcina de a demonstra cinteresele sale legitime i imperioase prevaleaz asupra intereselor sau a drepturilor i libertilor fundamentale alepersoanei vizate.

(70) n cazul n care datele cu caracter personal sunt prelucrate n scopuri de marketing direct, persoana vizat artrebui s aib dreptul de a se opune unei astfel de prelucrri, inclusiv crerii de profiluri n msura n care aceastaare legtur cu marketingul direct, indiferent dac prelucrarea n cauz este cea iniial sau una ulterioar, n oricemoment i n mod gratuit. Acest drept ar trebui adus n mod explicit n atenia persoanei vizate i prezentat nmod clar i separat de orice alte informaii.


7/26/2019 Regulamentul-ue-2016-679_27.04_2016

14/88

(71) Persoana vizat ar trebui s aib dreptul de a nu face obiectul unei decizii, care poate include o msur, careevalueaz aspecte personale referitoare la persoana vizat, care se bazeaz exclusiv pe prelucrarea automat icare produce efecte juridice care privesc persoana vizat sau o afecteaz n mod similar ntr-o msur semnificativ, cum ar fi refuzul automat al unei cereri de credit online sau practicile de recrutare pe cale electronic, frintervenie uman. O astfel de prelucrare include crearea de profiluri, care const n orice form de prelucrareautomat a datelor cu caracter personal prin evaluarea aspectelor personale referitoare la o persoan fizic, n

special n vederea analizrii sau preconizrii anumitor aspecte privind randamentul la locul de munc alpersoanei vizate, situaia economic, starea de sntate, preferinele sau interesele personale, fiabilitatea saucomportamentul, locaia sau deplasrile, atunci cnd aceasta produce efecte juridice care privesc persoana vizatsau o afecteaz n mod similar ntr-o msur semnificativ. Cu toate acestea, luarea de decizii pe baza unei astfelde prelucrri, inclusiv crearea de profiluri, ar trebui permis n cazul n care este autorizat n mod expres ndreptul Uniunii sau n dreptul intern care se aplic operatorului, inclusiv n scopul monitorizrii i preveniriifraudei i a evaziunii fiscale, desfurate n conformitate cu reglementrile, standardele i recomandrile instituiilor Uniunii sau ale organismelor naionale de supraveghere, i n scopul asigurrii securitii i fiabilitii unuiserviciu oferit de operator sau n cazul n care este necesar pentru ncheierea sau executarea unui contract ntrepersoana vizat i un operator sau n cazul n care persoana vizat i-a dat n mod explicit consimmntul. norice caz, o astfel de prelucrare ar trebui s fac obiectul unor garanii corespunztoare, care ar trebui s includo informare specific a persoanei vizate i dreptul acesteia de a obine intervenie uman, de a-i exprima punctulde vedere, de a primi o explicaie privind decizia luat n urma unei astfel de evaluri, precum i dreptul de acontesta decizia. O astfel de msur nu ar trebui s se refere la un copil.

Pentru a asigura o prelucrare echitabil i transparent n ceea ce privete persoana vizat, avnd n vederecircumstanele specifice i contextul n care sunt prelucrate datele cu caracter personal, operatorul ar trebui sutilizeze proceduri matematice sau statistice adecvate pentru crearea de profiluri, s implementeze msuri tehnicei organizatorice adecvate pentru a asigura n special faptul c factorii care duc la inexactiti ale datelor cucaracter personal sunt corectai i c riscul de erori este redus la minimum, precum i s securizeze datele cucaracter personal ntr-un mod care s in seama de pericolele poteniale la adresa intereselor i drepturilorpersoanei vizate i care s previn, printre altele, efectele discriminatorii mpotriva persoanelor pe motiv de rassau origine etnic, opinii politice, religie sau convingeri, apartenen sindical, caracteristici genetice, stare desntate sau orientare sexual sau care s duc la msuri care s aib astfel de efecte. Procesul decizionalautomatizat i crearea de profiluri pe baza unor categorii speciale de date cu caracter personal ar trebui permisenumai n condiii specifice.

(72) Crearea de profiluri este supus normelor prezentului regulament care reglementeaz prelucrarea datelor cucaracter personal, precum temeiurile juridice ale prelucrrii sau principiile de protecie a datelor. Comitetuleuropean pentru protecia datelor instituit prin prezentul regulament (comitetul) ar trebui s poat emiteorientri n acest context.

(73) Dreptul Uniunii sau dreptul intern poate impune restricii n privina unor principii specifice, n privina dreptuluide informare, a dreptului de acces la datele cu caracter personal i de rectificare sau tergere a acestora, n privinadreptului la portabilitatea datelor, a dreptului la opoziie, a deciziilor bazate pe crearea de profiluri, precum i nprivina comunicrii unei nclcri a securitii datelor cu caracter personal persoanei vizate i a anumitorobligaii conexe ale operatorilor, n msura n care acest lucru este necesar i proporional ntr-o societatedemocratic pentru a se garanta sigurana public, inclusiv protecia vieii oamenilor, n special ca rspuns ladezastre naturale sau provocate de om, prevenirea, investigarea i urmrirea penal a infraciunilor sau executareapedepselor, inclusiv protejarea mpotriva ameninrilor la adresa siguranei publice sau mpotriva nclcrii eticiin cazul profesiilor reglementate i prevenirea acestora, alte obiective importante de interes public general aleUniunii sau ale unui stat membru, n special un interes economic sau financiar important al Uniunii sau al unuistat membru, meninerea de registre publice din motive de interes public general, prelucrarea ulterioar a datelorcu caracter personal arhivate pentru a transmite informaii specifice legate de comportamentul politic n perioadaregimurilor fostelor state totalitare, protecia persoanei vizate sau a drepturilor i libertilor unor teri, inclusivprotecia social, sntatea public i scopurile umanitare. Aceste restricii ar trebui s fie conforme cu cerineleprevzute de cart i de Convenia european pentru aprarea drepturilor omului i a libertilor fundamentale.

(74) Ar trebui s se stabileasc responsabilitatea i rspunderea operatorului pentru orice prelucrare a datelor cucaracter personal efectuat de ctre acesta sau n numele su. n special, operatorul ar trebui s fie obligat simplementeze msuri adecvate i eficace i s fie n msur s demonstreze conformitatea activitilor deprelucrare cu prezentul regulament, inclusiv eficacitatea msurilor. Aceste msuri ar trebui s in seama denatura, domeniul de aplicare, contextul i scopurile prelucrrii, precum i de riscul pentru drepturile i libertilepersoanelor fizice.


7/26/2019 Regulamentul-ue-2016-679_27.04_2016

15/88

(75) Riscul pentru drepturile i libertile persoanelor fizice, prezentnd grade diferite de probabilitate de materializarei de gravitate, poate fi rezultatul unei prelucrri a datelor cu caracter personal care ar putea genera prejudicii denatur fizic, material sau moral, n special n cazurile n care: prelucrarea poate conduce la discriminare, furtsau fraud a identitii, pierdere financiar, compromiterea reputaiei, pierderea confidenialitii datelor cucaracter personal protejate prin secret profesional, inversarea neautorizat a pseudonimizrii sau la orice altdezavantaj semnificativ de natur economic sau social; persoanele vizate ar putea fi private de drepturile i

libertile lor sau mpiedicate s-i exercite controlul asupra datelor lor cu caracter personal; datele cu caracterpersonal prelucrate sunt date care dezvluie originea rasial sau etnic, opiniile politice, religia sau convingerilefilozofice, apartenena sindical; sunt prelucrate date genetice, date privind sntatea sau date privind viaasexual sau privind condamnrile penale i infraciunile sau msurile de securitate conexe; sunt evaluate aspectede natur personal, n special analizarea sau previzionarea unor aspecte privind randamentul la locul de munc,situaia economic, starea de sntate, preferinele sau interesele personale, fiabilitatea sau comportamentul,locaia sau deplasrile, n scopul de a se crea sau de a se utiliza profiluri personale; sunt prelucrate date cucaracter personal ale unor persoane vulnerabile, n special ale unor copii; sau prelucrarea implic un volum marede date cu caracter personal i afecteaz un numr larg de persoane vizate.

(76) Probabilitatea de a se materializa i gravitatea riscului pentru drepturile i libertile persoanei vizate ar trebui sfie determinate n funcie de natura, domeniul de aplicare, contextul i scopurile prelucrrii datelor cu caracterpersonal. Riscul ar trebui apreciat pe baza unei evaluri obiective prin care se stabilete dac operaiunile de

prelucrare a datelor prezint un risc sau un risc ridicat.

(77) Orientri pentru implementarea unor msuri adecvate i pentru demonstrarea conformitii de ctre operator saupersoana mputernicit de operator, mai ales n ceea ce privete identificarea riscului legat de prelucrare, evaluareaacestuia din punctul de vedere al originii, naturii, probabilitii de a se materializa i al gravitii, precum i identificarea bunelor practici pentru atenuarea riscului ar putea fi oferite n special prin coduri de conduit aprobate,certificri aprobate, orientri ale comitetului sau prin indicaii furnizate de un responsabil cu protecia datelor.Comitetul poate, de asemenea, s emit orientri cu privire la operaiunile de prelucrare care sunt consideratepuin susceptibile de a genera un risc ridicat pentru drepturile i libertile persoanelor fizice i s indice msurilecare se pot dovedi suficiente n asemenea cazuri pentru a aborda un astfel de risc.

(78) Protecia drepturilor i libertilor persoanelor fizice n ceea ce privete prelucrarea datelor cu caracter personalnecesit adoptarea de msuri tehnice i organizatorice corespunztoare pentru a se asigura ndeplinirea cerinelordin prezentul regulament. Pentru a fi n msur s demonstreze conformitatea cu prezentul regulament,operatorul ar trebui s adopte politici interne i s pun n aplicare msuri care s respecte n special principiulproteciei datelor ncepnd cu momentul conceperii i cel al proteciei implicite a datelor. Astfel de msuri arputea consta, printre altele, n reducerea la minimum a prelucrrii datelor cu caracter personal, pseudonimizareaacestor date ct mai curnd posibil, transparena n ceea ce privete funciile i prelucrarea datelor cu caracterpersonal, abilitarea persoanei vizate s monitorizeze prelucrarea datelor, abilitarea operatorului s creeze elementede siguran i s le mbunteasc. Atunci cnd elaboreaz, proiecteaz, selecteaz i utilizeaz aplicaii, serviciii produse care se bazeaz pe prelucrarea datelor cu caracter personal sau care prelucreaz date cu caracterpersonal pentru a-i ndeplini rolul, productorii acestor produse i furnizorii acestor servicii i aplicaii ar trebuis fie ncurajai s aib n vedere dreptul la protecia datelor la momentul elaborrii i proiectrii unor astfel deproduse, servicii i aplicaii i, innd cont de stadiul actual al dezvoltrii, s se asigure c operatorii i persoanelemputernicite de operatori sunt n msur s i ndeplineasc obligaiile referitoare la protecia datelor.Principiulproteciei datelor ncepnd cu momentul conceperii i cel al proteciei implicite a datelor ar trebui s fie luate nconsiderare i n contextul licitaiilor publice.

(79) Protecia drepturilor i libertilor persoanelor vizate, precum i responsabilitatea i rspunderea operatorilor i apersoanelor mputernicite de operator, inclusiv n ceea ce privete monitorizarea de ctre autoritile desupraveghere i msurile adoptate de acestea, necesit o atribuire clar a responsabilitilor n temeiul prezentuluiregulament, inclusiv n cazul n care un operator stabilete scopurile i mijloacele prelucrrii mpreun cu alioperatori sau n cazul n care o operaiune de prelucrare este efectuat n numele unui operator.

(80) Atunci cnd un operator sau o persoan mputernicit de operator care nu este stabilit n Uniune prelucreazdate cu caracter personal ale unor persoane vizate care se afl pe teritoriul Uniunii, iar activitile sale deprelucrare au legtur cu oferirea de bunuri sau servicii unor astfel de persoane vizate n Uniune, indiferent dacse solicit sau nu efectuarea unei pli de ctre persoana vizat, sau cu monitorizarea comportamentului unorpersoane vizate dac acesta se manifest n cadrul Uniunii, operatorul sau persoana mputernicit de operator artrebui s desemneze un reprezentant, cu excepia cazului n care prelucrarea are caracter ocazional, nu includeprelucrarea pe scar larg a unor categorii speciale de date cu caracter personal i nici prelucrarea de date


7/26/2019 Regulamentul-ue-2016-679_27.04_2016

16/88

referitoare la condamnri penale i la infraciuni, i este puin susceptibil s genereze un risc pentru drepturile ilibertile persoanelor fizice, avnd n vedere natura, contextul, domeniul de aplicare i scopurile prelucrrii,precum i a cazului n care operatorul este o autoritate public sau un organism public. Reprezentantul ar trebuis acioneze n numele operatorului sau al persoanei mputernicite de operator, putnd fi contactat de oriceautoritate de supraveghere. Reprezentantul ar trebui desemnat n mod explicit, printr-un mandat scris aloperatorului sau al persoanei mputernicite de operator, s acioneze n numele acestuia (acesteia) n ceea ce

privete obligaiile lor n temeiul prezentului regulament. Desemnarea unui astfel de reprezentant nu aduceatingere responsabilitii sau rspunderii operatorului sau a persoanei mputernicite de operator n temeiulprezentului regulament. Un astfel de reprezentant ar trebui s i ndeplineasc sarcinile n conformitate cumandatul primit de la operator sau de la persoana mputernicit de operator, inclusiv s coopereze cu autoritilede supraveghere competente n ceea ce privete orice aciune ntreprins pentru a asigura respectarea prezentuluiregulament. Reprezentantul desemnat ar trebui s fie supus unor proceduri de asigurare a respectrii legii n cazulnerespectrii prezentului regulament de ctre operator sau de ctre persoana mputernicit de operator.

(81) Pentru a asigura respectarea cerinelor impuse de prezentul regulament n ceea ce privete prelucrarea caretrebuie efectuat n numele operatorului de ctre persoana mputernicit de operator, atunci cnd atribuieactiviti de prelucrare unei persoane mputernicite de operator, acesta din urm ar trebui s utilizeze numaipersoane mputernicite care ofer garanii suficiente, n special n ceea ce privete cunotinele de specialitate,fiabilitatea i resursele, pentru a implementa msuri tehnice i organizatorice care ndeplinesc cerinele impuse deprezentul regulament, inclusiv pentru securitatea prelucrrii. Aderarea de ctre persoana mputernicit de

operator la un cod de conduit aprobat sau la un mecanism de certificare aprobat poate fi utilizat drept elementcare s demonstreze respectarea obligaiilor de ctre operator. Efectuarea prelucrrii de ctre o persoan mputernicit de un operator ar trebui s fie reglementat printr-un contract sau un alt tip de act juridic, n temeiuldreptului Uniunii sau al dreptului intern, care creeaz obligaii pentru persoana mputernicit de operator nraport cu operatorul i care stabilete obiectul i durata prelucrrii, natura i scopurile prelucrrii, tipul de date cucaracter personal i categoriile de persoane vizate, i ar trebui s in seama de sarcinile i responsabilitilespecifice ale persoanei mputernicite de operator n contextul prelucrrii care trebuie efectuat, precum i deriscul pentru drepturile i libertile persoanei vizate. Operatorul i persoana mputernicit de operator pot aleges utilizeze un contract individual sau clauze contractuale standard care sunt adoptate fie direct de Comisie, fie deo autoritate de supraveghere n conformitate cu mecanismul de asigurare a coerenei i apoi adoptate de Comisie.Dup finalizarea prelucrrii n numele operatorului, persoana mputernicit de operator ar trebui s returneze saus tearg, n funcie de opiunea operatorului, datele cu caracter personal, cu excepia cazului n care exist ocerin de stocare a datelor cu caracter personal n temeiul dreptului Uniunii sau al dreptului intern care instituieobligaii pentru persoana mputernicit de operator.

(82) n vederea demonstrrii conformitii cu prezentul regulament, operatorul sau persoana mputernicit de operatorar trebui s pstreze evidene ale activitilor de prelucrare aflate n responsabilitatea sa. Fiecare operator i fiecarepersoan mputernicit de operator ar trebui s aib obligaia de a coopera cu autoritatea de supraveghere i de apune la dispoziia acesteia, la cerere, aceste evidene, pentru a putea fi utilizate n scopul monitorizriioperaiunilor de prelucrare respective.

(83) n vederea meninerii securitii i a prevenirii prelucrrilor care ncalc prezentul regulament, operatorul saupersoana mputernicit de operator ar trebui s evalueze riscurile inerente prelucrrii i s implementeze msuripentru atenuarea acestor riscuri, cum ar fi criptarea. Msurile respective ar trebui s asigure un nivelcorespunztor de securitate, inclusiv confidenialitatea, lund n considerare stadiul actual al dezvoltrii icosturile implementrii n raport cu riscurile i cu natura datelor cu caracter personal a cror protecie trebuieasigurat. La evaluarea riscului pentru securitatea datelor cu caracter personal, ar trebui s se acorde atenie

riscurilor pe care le prezint prelucrarea datelor, cum ar fi distrugerea, pierderea, modificarea, divulgareaneautorizat sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate n alt mod, nmod accidental sau ilegal, care

Date post:	03-Mar-2018
Category:	Documents
Upload:	camelia
View:	217 times
Download:	0 times

Regulamentul-ue-2016-679_27.04_2016

Documents