Legea GDPR 2018 actualizata

PARLAMENTUL EUROPEAN SI CONSILIUL UNIUNII EUROPENE, 
 
avand in vedere Tratatul privind functionarea Uniunii Europene, in special articolul 16, 
 
avand in vedere propunerea Comisiei Europene, 
 
dupa transmiterea proiectului de act legislativ catre parlamentele nationale, 
 
avand in vedere avizul Comitetului Economic si Social European (1), 
 
avand in vedere avizul Comitetului Regiunilor (2), 
 
hotarand in conformitate cu procedura legislativa ordinara (3), 
 
intrucat: 
 
(1) 
Protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal este un drept fundamental. Articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene („carta”) si articolul 16 alineatul (1) din Tratatul privind functionarea Uniunii Europene (TFUE) prevad dreptul oricarei persoane la protectia datelor cu caracter personal care o privesc. 
 
(2) 
Principiile si normele referitoare la protectia persoanelor fizice in ceea ce priveste prelucrarea datelor lor cu caracter personal ar trebui, indiferent de cetatenia sau de locul de resedinta al persoanelor fizice, sa respecte drepturile si libertatile fundamentale ale acestora, in special dreptul la protectia datelor cu caracter personal. Prezentul regulament urmareste sa contribuie la realizarea unui spatiu de libertate, securitate si justitie si a unei uniuni economice, la progresul economic si social, la consolidarea si convergenta economiilor in cadrul pietei interne si la bunastarea persoanelor fizice. 
 
(3) 
Directiva 95/46/CE a Parlamentului European si a Consiliului (4) vizeaza armonizarea nivelului de protectie a drepturilor si libertatilor fundamentale ale persoanelor fizice in ceea ce priveste activitatile de prelucrare si asigurarea liberei circulatii a datelor cu caracter personal intre statele membre. 
 
(4) 
Prelucrarea datelor cu caracter personal ar trebui sa fie in serviciul cetatenilor. Dreptul la protectia datelor cu caracter personal nu este un drept absolut; acesta trebuie luat in considerare in raport cu functia pe care o indeplineste in societate si echilibrat cu alte drepturi fundamentale, in conformitate cu principiul proportionalitatii. Prezentul regulament respecta toate drepturile fundamentale si libertatile si principiile recunoscute in carta astfel cum sunt consacrate in tratate, in special respectarea vietii private si de familie, a resedintei si a comunicatiilor, a protectiei datelor cu caracter personal, a libertatii de gandire, de constiinta si de religie, a libertatii de exprimare si de informare, a libertatii de a desfasura o activitate comerciala, dreptul la o cale de atac eficienta si la un proces echitabil, precum si diversitatea culturala, religioasa si lingvistica. 
 
(5) 
Integrarea economica si sociala care rezulta din functionarea pietei interne a condus la o crestere substantiala a fluxurilor transfrontaliere de date cu caracter personal. Schimbul de date cu caracter personal intre actori publici si privati, inclusiv persoane fizice, asociatii si intreprinderi, s-a intensificat in intreaga Uniune. Conform dreptului Uniunii, autoritatile nationale din statele membre sunt chemate sa coopereze si sa faca schimb de date cu caracter personal pentru a putea sa isi indeplineasca atributiile sau sa execute sarcini in numele unei autoritati dintr-un alt stat membru. 
 
(6) 
Evolutiile tehnologice rapide si globalizarea au generat noi provocari pentru protectia datelor cu caracter personal. Amploarea colectarii si a schimbului de date cu caracter personal a crescut in mod semnificativ. Tehnologia permite atat societatilor private, cat si autoritatilor publice sa utilizeze date cu caracter personal la un nivel fara precedent in cadrul activitatilor lor. Din ce in ce mai mult, persoanele fizice fac publice la nivel mondial informatii cu caracter personal. Tehnologia a transformat deopotriva economia si viata sociala si ar trebui sa faciliteze in continuare libera circulatie a datelor cu caracter personal in cadrul Uniunii si transferul catre tari terte si organizatii internationale, asigurand, totodata, un nivel ridicat de protectie a datelor cu caracter personal. 
 
(7) 
Aceste evolutii impun un cadru solid si mai coerent in materie de protectie a datelor in Uniune, insotit de o aplicare riguroasa a normelor, luand in considerare importanta crearii unui climat de incredere care va permite economiei digitale sa se dezvolte pe piata interna. Persoanele fizice ar trebui sa aiba control asupra propriilor date cu caracter personal, iar securitatea juridica si practica pentru persoane fizice, operatori economici si autoritati publice ar trebui sa fie consolidata. 
 
(8) 
In cazul in care prezentul regulament prevede specificari sau restrictionari ale normelor sale de catre dreptul intern, statele membre pot, in masura in care acest lucru este necesar pentru coerenta si pentru a asigura intelegerea dispozitiilor nationale de catre persoanele carora li se aplica acestea, sa incorporeze elemente din prezentul regulament in dreptul lor intern. 
 
(9) 
Obiectivele si principiile Directivei 95/46/CE raman solide, dar aceasta nu a prevenit fragmentarea modului in care protectia datelor este pusa in aplicare in Uniune, insecuritatea juridica sau perceptia publica larg raspandita conform careia exista riscuri semnificative pentru protectia persoanelor fizice, in special in legatura cu activitatea online. Diferentele dintre nivelurile de protectie a drepturilor si libertatilor persoanelor fizice, in special a dreptului la protectia datelor cu caracter personal, in ceea ce priveste prelucrarea datelor cu caracter personal din statele membre pot impiedica libera circulatie a datelor cu caracter personal in intreaga Uniune. Aceste diferente pot constitui, prin urmare, un obstacol in desfasurarea de activitati economice la nivelul Uniunii, pot denatura concurenta si pot impiedica autoritatile sa indeplineasca responsabilitatile care le revin in temeiul dreptului Uniunii. Aceasta diferenta intre nivelurile de protectie este cauzata de existenta unor deosebiri in ceea ce priveste transpunerea si aplicarea Directivei 95/46/CE. 
 
(10) 
Pentru a se asigura un nivel consecvent si ridicat de protectie a persoanelor fizice si pentru a se indeparta obstacolele din calea circulatiei datelor cu caracter personal in cadrul Uniunii, nivelul protectiei drepturilor si libertatilor persoanelor fizice in ceea ce priveste prelucrarea unor astfel de date ar trebui sa fie echivalent in toate statele membre. Aplicarea consecventa si omogena a normelor in materie de protectie a drepturilor si libertatilor fundamentale ale persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal ar trebui sa fie asigurata in intreaga Uniune. In ceea ce priveste prelucrarea datelor cu caracter personal in vederea respectarii unei obligatii legale, a indeplinirii unei sarcini care serveste unui interes public sau care rezulta din exercitarea autoritatii publice cu care este investit operatorul, statelor membre ar trebui sa li se permita sa mentina sau sa introduca dispozitii de drept intern care sa clarifice intr-o mai mare masura aplicarea normelor prezentului regulament. In coroborare cu legislatia generala si orizontala privind protectia datelor, prin care este pusa in aplicare Directiva 95/46/CE, statele membre au mai multe legi sectoriale specifice in domenii care necesita dispozitii mai precise. Prezentul regulament ofera, de asemenea, statelor membre o marja de manevra in specificarea normelor sale, inclusiv in ceea ce priveste prelucrarea categoriilor speciale de date cu caracter personal („date sensibile”). In acest sens, prezentul regulament nu exclude dreptul statelor membre care stabileste circumstantele aferente unor situatii de prelucrare specifice, inclusiv stabilirea cu o mai mare precizie a conditiilor in care prelucrarea datelor cu caracter personal este legala. 
 
(11) 
Protectia efectiva a datelor cu caracter personal in intreaga Uniune necesita nu numai consolidarea si stabilirea in detaliu a drepturilor persoanelor vizate si a obligatiilor celor care prelucreaza si decid prelucrarea datelor cu caracter personal, ci si competente echivalente pentru monitorizarea si asigurarea conformitatii cu normele de protectie a datelor cu caracter personal si sanctiuni echivalente pentru infractiuni in statele membre. 
 
(12) 
Articolul 16 alineatul (2) din TFUE mandateaza Parlamentul European si Consiliul sa stabileasca normele privind protectia persoanelor fizice referitor la prelucrarea datelor cu caracter personal, precum si normele privind libera circulatie a acestor date. 
 
(13) 
In vederea asigurarii unui nivel uniform de protectie pentru persoanele fizice in intreaga Uniune si a preintampinarii discrepantelor care impiedica libera circulatie a datelor in cadrul pietei interne, este necesar un regulament in scopul de a furniza securitate juridica si transparenta pentru operatorii economici, inclusiv microintreprinderi si intreprinderi mici si mijlocii, precum si de a oferi persoanelor fizice in toate statele membre acelasi nivel de drepturi, obligatii si responsabilitati opozabile din punct de vedere juridic pentru operatori si persoanele imputernicite de acestia, pentru a se asigura o monitorizare coerenta a prelucrarii datelor cu caracter personal, sanctiuni echivalente in toate statele membre, precum si cooperarea eficace a autoritatilor de supraveghere ale diferitelor state membre. Pentru buna functionare a pietei interne este necesar ca libera circulatie a datelor cu caracter personal in cadrul Uniunii sa nu fie restrictionata sau interzisa din motive legate de protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal. Pentru a se lua in considerare situatia specifica a microintreprinderilor si a intreprinderilor mici si mijlocii, prezentul regulament include o derogare pentru organizatiile cu mai putin de 250 de angajati in ceea ce priveste pastrarea evidentelor. In plus, institutiile si organele Uniunii si statele membre si autoritatile lor de supraveghere sunt incurajate sa ia in considerare necesitatile specifice ale microintreprinderilor si ale intreprinderilor mici si mijlocii in aplicarea prezentului regulament. Notiunea de microintreprinderi si de intreprinderi mici si mijlocii ar trebui sa se bazeze pe articolul 2 din anexa la Recomandarea 2003/361/CE a Comisiei (5). 
 

(14)
Protectia conferita de prezentul regulament ar trebui sa vizeze persoanele fizice, indiferent de cetatenia sau de locul de resedinta al acestora, in ceea ce priveste prelucrarea datelor cu caracter personal ale acestora. Prezentul regulament nu se aplica prelucrarii datelor cu caracter personal care privesc persoane juridice si, in special, intreprinderi cu personalitate juridica, inclusiv numele si tipul de persoana juridica si datele de contact ale persoanei juridice. 
 
(15)  
Pentru a preveni aparitia unui risc major de eludare, protectia persoanelor fizice ar trebui sa fie neutra din punct de vedere tehnologic si sa nu depinda de tehnologiile utilizate. Protectia persoanelor fizice ar trebui sa se aplice prelucrarii datelor cu caracter personal prin mijloace automatizate, precum si prelucrarii manuale, in cazul in care datele cu caracter personal sunt cuprinse sau destinate sa fie cuprinse intr-un sistem de evidenta. Dosarele sau seturile de dosare, precum si copertele acestora, care nu sunt structurate in conformitate cu criterii specificenu ar trebui sa intre in domeniul de aplicare al prezentului regulament. 
 
(16) 
Prezentul regulament nu se aplica chestiunilor de protectie a drepturilor si libertatilor fundamentale sau la libera circulatie a datelor cu caracter personal referitoare la activitati care nu intra in domeniul de aplicare al dreptului Uniunii, de exemplu activitatile privind securitatea nationala. Prezentul regulament nu se aplica prelucrarii datelor cu caracter personal de catre statele membre atunci cand acestea desfasoara activitati legate de politica externa si de securitatea comuna a Uniunii. 
 
(17) 
Regulamentul (CE) nr. 45/2001 al Parlamentului European si al Consiliului (6) se aplica prelucrarii de date cu caracter personal de catre institutiile, organele, oficiile si agentiile Uniunii. Regulamentul (CE) nr. 45/2001 si alte acte juridice ale Uniunii aplicabile unei asemenea prelucrari a datelor cu caracter personal ar trebui adaptate la principiile si normele stabilite in prezentul regulament si aplicate in conformitate cu prezentul regulament. In vederea asigurarii unui cadru solid si coerent in materie de protectie a datelor in Uniune, ar trebui ca dupa adoptarea prezentului regulament sa se aduca Regulamentului (CE) nr. 45/2001 adaptarile necesare, astfel incat acestea sa poata fi aplicate odata cu prezentul regulament. 
 
(18) 
Prezentul regulament nu se aplica prelucrarii datelor cu caracter personal de catre o persoana fizica in cadrul unei activitati exclusiv personale sau domestice si care, prin urmare, nu are legatura cu o activitate profesionala sau comerciala. Activitatile personale sau domestice ar putea include corespondenta si repertoriul de adrese sau activitatile din cadrul retelelor sociale si activitatile online desfasurate in contextul respectivelor activitati. Cu toate acestea, prezentul regulament se aplica operatorilor sau persoanelor imputernicite de operatori care furnizeaza mijloacele de prelucrare a datelor cu caracter personal pentru astfel de activitati personale sau domestice. 
 
(19) 
Protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal de catre autoritatile competente in scopul prevenirii, investigarii, depistarii sau urmaririi penale a infractiunilor sau al executarii pedepselor, inclusiv al protejarii impotriva amenintarilor la adresa sigurantei publice si al prevenirii acestora, precum si libera circulatie a acestor date, face obiectul unui act juridic specific al Uniunii. Prin urmare, prezentul regulament nu ar trebui sa se aplice activitatilor de prelucrare in aceste scopuri. Cu toate acestea, datele cu caracter personal prelucrate de catre autoritatile publice in temeiul prezentului regulament, atunci cand sunt utilizate in aceste scopuri, ar trebui sa fie reglementate printr-un act juridic mai specific al Uniunii, si anume Directiva (UE) 2016/680 a Parlamentului European si a Consiliului (7). Statele membre pot incredinta autoritatilor competente in sensul Directivei (UE) 2016/680 sarcini care nu sunt neaparat indeplinite in scopul prevenirii, investigarii, depistarii sau urmaririi penale a infractiunilor sau al executarii pedepselor, inclusiv al protejarii impotriva amenintarilor la adresa sigurantei publice si al prevenirii acestora, astfel incat prelucrarea datelor cu caracter personal pentru alte scopuri, in masura in care se incadreaza in domeniul de aplicare al dreptului Uniunii, sa intre in domeniul de aplicare al prezentului regulament. 
 
In ceea ce priveste prelucrarea datelor cu caracter personal de catre aceste autoritati competente in scopuri care intra in domeniul de aplicare al prezentului regulament, statele membre ar trebui sa poata mentine sau introduce dispozitii mai detaliate pentru a adapta aplicarea normelor din prezentul regulament. Aceste dispozitii pot stabili mai precis cerinte specifice pentru prelucrarea datelor cu caracter personal de catre respectivele autoritati competente in aceste alte scopuri, tinand seama de structura constitutionala, organizatorica si administrativa a statului membru in cauza. Atunci cand prelucrarea de date cu caracter personal de catre organisme private face obiectul prezentului regulament, prezentul regulament ar trebui sa prevada posibilitatea ca statele membre, in anumite conditii, sa impuna prin lege restrictii asupra anumitor obligatii si drepturi, in cazul in care asemenea restrictii constituie o masura necesara si proportionala intr-o societate democratica in scopul garantarii unor interese specifice importante, printre care se numara siguranta publica si prevenirea, investigarea, depistarea si urmarirea penala a infractiunilor sau executarea pedepselor, inclusiv protejarea impotriva amenintarilor la adresa sigurantei publice si prevenirea acestora. Acest lucru este relevant, de exemplu, in cadrul combaterii spalarii de bani sau al activitatilor laboratoarelor criminalistice. 
 
 
 
 
(20) 
Desi prezentul regulament se aplica, inter alia, activitatilor instantelor si ale altor autoritati judiciare, dreptul Uniunii sau al statelor membre ar putea sa precizeze operatiunile si procedurile de prelucrare in ceea ce priveste prelucrarea datelor cu caracter personal de catre instante si alte autoritati judiciare. Prelucrarea datelor cu caracter personal nu ar trebui sa fie de competenta autoritatilor de supraveghere in cazul in care instantele isi exercita atributiile judiciare, in scopul garantarii independentei sistemului judiciar in indeplinirea sarcinilor sale judiciare, inclusiv in luarea deciziilor. Supravegherea unor astfel de operatiuni de prelucrare a datelor ar trebui sa poata fi incredintata unor organisme specifice din cadrul sistemului judiciar al statului membru, care ar trebui sa asigure in special respectarea normelor prevazute de prezentul regulament, sa sensibilizeze membrii sistemului judiciar cu privire la obligatiile care le revin in temeiul prezentului regulament si sa trateze plangerile in legatura cu astfel de operatiuni de prelucrare a datelor. 
 
(21) 
Prezentul regulament nu aduce atingere aplicarii Directivei 2000/31/CE a Parlamentului European si a Consiliului (8), in special normelor privind raspunderea furnizorilor intermediari de servicii prevazute la articolele 12-15 din directiva mentionata. Respectiva directiva isi propune sa contribuie la buna functionare a pietei interne, prin asigurarea liberei circulatii a serviciilor societatii informationale intre statele membre. 
 
(22) 
Orice prelucrare a datelor cu caracter personal in cadrul activitatilor unui sediu al unui operator sau al unei persoane imputernicite de operator din Uniune ar trebui efectuata in conformitate cu prezentul regulament, indiferent daca procesul de prelucrare in sine are loc sau nu in cadrul Uniunii. Sediul implica exercitarea efectiva si reala a unei activitati in cadrul unor intelegeri stabile. Forma juridica a unor astfel de intelegeri, prin intermediul unei sucursale sau al unei filiale cu personalitate juridica, nu este factorul determinant in aceasta privinta. 

(23) 
Pentru a se asigura ca persoanele fizice nu sunt lipsite de protectia la care au dreptul in temeiul prezentului regulament, prelucrarea datelor cu caracter personal ale persoanelor vizate care se afla pe teritoriul Uniunii de catre un operator sau o persoana imputernicita de acesta care nu isi are sediul in Uniune ar trebui sa faca obiectul prezentului regulament in cazul in care activitatile de prelucrare au legatura cu oferirea de bunuri sau servicii unor astfel de persoane vizate, indiferent daca acestea sunt sau nu legate de o plata. Pentru a determina daca un astfel de operator sau o astfel de persoana imputernicita de operator ofera bunuri sau servicii unor persoane vizate care se afla pe teritoriul Uniunii, ar trebui sa se stabileasca daca reiese ca operatorul sau persoana imputernicita de operator intentioneaza sa furnizeze servicii persoanelor vizate din unul sau mai multe state membre din Uniune. Intrucat simplul fapt ca exista acces la un site al operatorului, al persoanei imputernicite de operator sau al unui intermediar in Uniune, ca este disponibila o adresa de e-mail si alte date de contact sau ca este utilizata o limba folosita in general in tara terta in care operatorul isi are sediul este insuficient pentru a confirma o astfel de intentie, factori precum utilizarea unei limbi sau a unei monede utilizate in general in unul sau mai multe state membre cu posibilitatea de a comanda bunuri si servicii in respectiva limba sau mentionarea unor clienti sau utilizatori care se afla pe teritoriul Uniunii pot conduce la concluzia ca operatorul intentioneaza sa ofere bunuri sau servicii unor persoane vizate in Uniune. 
 
(24) 
Prelucrarea datelor cu caracter personal ale persoanelor vizate care se afla pe teritoriul Uniunii de catre un operator sau o persoana imputernicita de acesta care nu isi are sediul in Uniune ar trebui, de asemenea, sa faca obiectul prezentului regulament in cazul in care este legata de monitorizarea comportamentului unor astfel de persoane vizate, in masura in care acest comportament se manifesta pe teritoriul Uniunii. Pentru a se determina daca o activitate de prelucrare poate fi considerata ca „monitorizare a comportamentului” persoanelor vizate, ar trebui sa se stabileasca daca persoanele fizice sunt urmarite pe internet, inclusiv posibila utilizare ulterioara a unor tehnici de prelucrare a datelor cu caracter personal care constau in crearea unui profil al unei persoane fizice, in special in scopul de a lua decizii cu privire la aceasta sau de a analiza sau de a face previziuni referitoare la preferintele personale, comportamentele si atitudinile acesteia. 

(25) 
In cazul in care dreptul unui stat membru se aplica in temeiul dreptului international public, prezentul regulament ar trebui sa se aplice, de asemenea, unui operator care nu este stabilit in Uniune, ci, de exemplu, intr-o misiune diplomatica sau intr-un oficiu consular al unui stat membru. 
 
(26) 
Principiile protectiei datelor ar trebui sa se aplice oricarei informatii referitoare la o persoana fizica identificata sau identificabila. Datele cu caracter personal care au fost supuse pseudonimizarii, care ar putea fi atribuite unei persoane fizice prin utilizarea de informatii suplimentare, ar trebui considerate informatii referitoare la o persoana fizica identificabila. Pentru a se determina daca o persoana fizica este identificabila, ar trebui sa se ia in considerare toate mijloacele, cum ar fi individualizarea, pe care este probabil, in mod rezonabil, sa le utilizeze fie operatorul, fie o alta persoana, in scopul identificarii, in mod direct sau indirect, a persoanei fizice respective. Pentru a se determina daca este probabil, in mod rezonabil, sa fie utilizate mijloace pentru identificarea persoanei fizice, ar trebui luati in considerare toti factorii obiectivi, precum costurile si intervalul de timp necesare pentru identificare, tinandu-se seama atat de tehnologia disponibila la momentul prelucrarii, cat si de dezvoltarea tehnologica. Principiile protectiei datelor ar trebui, prin urmare, sa nu se aplice informatiilor anonime, adica informatiilor care nu sunt legate de o persoana fizica identificata sau identificabila sau datelor cu caracter personal care sunt anonimizate astfel incat persoana vizata nu este sau nu mai este identificabila. Prin urmare, prezentul regulament nu se aplica prelucrarii unor astfel de informatii anonime, inclusiv in cazul in care acestea sunt utilizate in scopuri statistice sau de cercetare. 
 
(27) 
Prezentul regulament nu se aplica datelor cu caracter personal referitoare la persoane decedate. Statele membre pot sa prevada norme privind prelucrarea datelor cu caracter personal referitoare la persoane decedate. 
 
(28) 
Aplicarea pseudonimizarii datelor cu caracter personal poate reduce riscurile pentru persoanele vizate si poate ajuta operatorii si persoanele imputernicite de acestia sa isi indeplineasca obligatiile de protectie a datelor. Introducerea explicita a conceptului de „pseudonimizare” in prezentul regulament nu este destinata sa impiedice alte eventuale masuri de protectie a datelor. 
 
(29) 
Pentru a crea stimulente pentru aplicarea pseudonimizarii atunci cand sunt prelucrate date cu caracter personal, ar trebui sa fie posibile masuri de pseudonimizare, permitand in acelasi timp analiza generala, in cadrul aceluiasi operator atunci cand operatorul a luat masurile tehnice si organizatorice necesare pentru a se asigura ca prezentul regulament este pus in aplicare in ceea ce priveste respectiva prelucrare a datelor si ca informatiile suplimentare pentru atribuirea datelor cu caracter personal unei anumite persoane vizate sunt pastrate separat. Operatorul care prelucreaza datele cu caracter personal ar trebui sa indice persoanele autorizate din cadrul aceluiasi operator. 
 
(30) 
Persoanele fizice pot fi asociate cu identificatorii online furnizati de dispozitivele, aplicatiile, instrumentele si protocoalele lor, cum ar fi adresele IP, identificatorii cookie sau alti identificatori precum etichetele de identificare prin frecvente radio. Acestia pot lasa urme care, in special atunci cand sunt combinate cu identificatori unici si alte informatii primite de servere, pot fi utilizate pentru crearea de profiluri ale persoanelor fizice si pentru identificarea lor. 
 
(31) 
Autoritatile publice carora le sunt divulgate date cu caracter personal in conformitate cu o obligatie legala in vederea exercitarii functiei lor oficiale, cum ar fi autoritatile fiscale si vamale, unitatile de investigare financiara, autoritatile administrative independente sau autoritatile pietelor financiare responsabile de reglementarea si supravegherea pietelor titlurilor de valoare, nu ar trebui sa fie considerate destinatari in cazul in care primesc date cu caracter personal care sunt necesare pentru efectuarea unei anumite anchete de interes general, in conformitate cu dreptul Uniunii sau cel al statelor membre. Cererile de divulgare trimise de autoritatile publice ar trebui sa fie intotdeauna prezentate in scris, motivate si ocazionale si nu ar trebui sa se refere la un sistem de evidenta in totalitate sau sa conduca la interconectarea sistemelor de evidenta. Prelucrarea datelor cu caracter personal de catre autoritatile publice respective ar trebui sa respecte normele aplicabile in materie de protectie a datelor in conformitate cu scopurile prelucrarii. 
 
(32) 
Consimtamantul ar trebui acordat printr-o actiune neechivoca care sa constituie o manifestare liber exprimata, specifica, in cunostinta de cauza si clara a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, ca de exemplu o declaratie facuta in scris, inclusiv in format electronic, sau verbal. Acesta ar putea include bifarea unei casute atunci cand persoana viziteaza un site, alegerea parametrilor tehnici pentru serviciile societatii informationale sau orice alta declaratie sau actiune care indica in mod clar in acest context acceptarea de catre persoana vizata a prelucrarii propuse a datelor sale cu caracter personal. Prin urmare, absenta unui raspuns, casutele bifate in prealabil sau absenta unei actiuni nu ar trebui sa constituie un consimtamant. Consimtamantul ar trebui sa vizeze toate activitatile de prelucrare efectuate in acelasi scop sau in aceleasi scopuri. Daca prelucrarea datelor se face in mai multe scopuri, consimtamantul ar trebui dat pentru toate scopurile prelucrarii. In cazul in care consimtamantul persoanei vizate trebuie acordat in urma unei cereri transmise pe cale electronica, cererea respectiva trebuie sa fie clara si concisa si sa nu perturbe in mod inutil utilizarea serviciului pentru care se acorda consimtamantul. 
 
(33) 
Adesea nu este posibil, in momentul colectarii datelor cu caracter personal, sa se identifice pe deplin scopul prelucrarii datelor in scopuri de cercetare stiintifica. Din acest motiv, persoanelor vizate ar trebui sa li se permita sa isi exprime consimtamantul pentru anumite domenii ale cercetarii stiintifice atunci cand sunt respectate standardele etice recunoscute pentru cercetarea stiintifica. Persoanele vizate ar trebui sa aiba posibilitatea de asi exprima consimtamantul doar pentru anumite domenii de cercetare sau parti ale proiectelor de cercetare in masura permisa de scopul preconizat. 
 
(34) 
Datele genetice ar trebui definite drept date cu caracter personal referitoare la caracteristicile genetice mostenite sau dobandite ale unei persoane fizice, care rezulta in urma unei analize a unei mostre de material biologic al persoanei fizice in cauza, in special a unei analize cromozomiale, a unei analize a acidului dezoxiribonucleic (ADN) sau a acidului ribonucleic (ARN) sau a unei analize a oricarui alt element ce permite obtinerea unor informatii echivalente. 
 
(35) 
Datele cu caracter personal privind sanatatea ar trebui sa includa toate datele avand legatura cu starea de sanatate a persoanei vizate care dezvaluie informatii despre starea de sanatate fizica sau mentala trecuta, prezenta sau viitoare a persoanei vizate. Acestea includ informatii despre persoana fizica colectate in cadrul inscrierii acesteia la serviciile de asistenta medicala sau in cadrul acordarii serviciilor respective persoanei fizice in cauza, astfel cum sunt mentionate in Directiva 2011/24/UE a Parlamentului European si a Consiliului (9); un numar, un simbol sau un semn distinctiv atribuit unei persoane fizice pentru identificarea singulara a acesteia in scopuri medicale; informatii rezultate din testarea sau examinarea unei parti a corpului sau a unei substante corporale, inclusiv din date genetice si esantioane de material biologic; precum si orice informatii privind, de exemplu, o boala, un handicap, un risc de imbolnavire, istoricul medical, tratamentul clinic sau starea fiziologica sau biomedicala a persoanei vizate, indiferent de sursa acestora, ca de exemplu, un medic sau un alt cadru medical, un spital, un dispozitiv medical sau un test de diagnostic in vitro. 
 
(36) 
Sediul principal al unui operator in Uniune ar trebui sa fie locul in care se afla administratia centrala a acestuia in Uniune, cu exceptia cazului in care deciziile privind scopurile si mijloacele de prelucrare a datelor cu caracter personal se iau intr-un alt sediu al operatorului in Uniune. In acest caz, acesta din urma ar trebui considerat drept sediul principal. Sediul principal al unui operator in Uniune ar trebui sa fie determinat conform unor criterii obiective si ar trebui sa implice exercitarea efectiva si reala a unor activitati de gestionare care sa determine principalele decizii cu privire la scopurile si mijloacele de prelucrare in cadrul unor intelegeri stabile. Acest criteriu nu ar trebui sa depinda de realizarea prelucrarii datelor cu caracter personal in locul respectiv. Prezenta si utilizarea mijloacelor tehnice si a tehnologiilor de prelucrare a datelor cu caracter personal sau activitatile de prelucrare nu constituie un sediu principal si, prin urmare, nu sunt criteriul determinant in acest sens. Sediul principal al persoanei imputernicite de operator ar trebui sa fie locul in care se afla administratia centrala a acestuia in Uniune sau, in cazul in care nu are o administratie centrala in Uniune, locul in care se desfasoara principalele activitati de prelucrare in Uniune. In cazurile care implica atat operatorul, cat si persoana imputernicita de operator, autoritatea de supraveghere principala competenta ar trebui sa ramana autoritatea de supraveghere a statului membru in care operatorul isi are sediul principal, dar autoritatea de supraveghere a persoanei imputernicite de operator ar trebui considerata ca fiind o autoritate de supraveghere vizata si acea autoritate de supraveghere ar trebui sa participe la procedura de cooperare prevazuta de prezentul regulament. In orice caz, autoritatile de supraveghere ale statului membru sau ale statelor membre in care persoana imputernicita de operator are unul sau mai multe sedii nu ar trebui considerate ca fiind autoritati de supraveghere vizate in cazul in care proiectul de decizie nu se refera decat la operator. In cazul in care prelucrarea este efectuata de un grup de intreprinderi, sediul principal al intreprinderii care exercita controlul ar trebui considerat drept sediul principal al grupului de intreprinderi, cu exceptia cazului in care scopurile si mijloacele aferente prelucrarii sunt stabilite de o alta intreprindere. 
 
(37) 
Un grup de intreprinderi ar trebui sa cuprinda o intreprindere care exercita controlul si intreprinderile controlate de aceasta, in cadrul caruia intreprinderea care exercita controlul ar trebui sa fie intreprinderea care poate exercita o influenta dominanta asupra celorlalte intreprinderi, de exemplu in temeiul proprietatii, al participarii financiare sau al regulilor care o reglementeaza sau al competentei de a pune in aplicare norme in materie de protectie a datelor cu caracter personal. O intreprindere care controleaza prelucrarea datelor cu caracter personal in intreprinderile sale afiliate ar trebui considerata, impreuna cu acestea din urma, drept „grup de intreprinderi”. 
 
(38) 
Copiii au nevoie de o protectie specifica a datelor lor cu caracter personal, intrucat pot fi mai putin constienti de riscurile, consecintele, garantiile in cauza si drepturile lor in ceea ce priveste prelucrarea datelor cu caracter personal. Aceasta protectie specifica ar trebui sa se aplice in special utilizarii datelor cu caracter personal ale copiilor in scopuri de marketing sau pentru crearea de profiluri de personalitate sau de utilizator si la colectarea datelor cu caracter personal privind copiii in momentul utilizarii serviciilor oferite direct copiilor. Consimtamantul titularului raspunderii parintesti nu ar trebui sa fie necesar in contextul serviciilor de prevenire sau consiliere oferite direct copiilor. 
 
(39) 
Orice prelucrare de date cu caracter personal ar trebui sa fie legala si echitabila. Ar trebui sa fie transparent pentru persoanele fizice ca sunt colectate, utilizate, consultate sau prelucrate in alt mod datele cu caracter personal care le privesc si in ce masura datele cu caracter personal sunt sau vor fi prelucrate. Principiul transparentei prevede ca orice informatii si comunicari referitoare la prelucrarea respectivelor date cu caracter personal sunt usor accesibile si usor de inteles si ca se utilizeaza un limbaj simplu si clar. Acest principiu se refera in special la informarea persoanelor vizate privind identitatea operatorului si scopurile prelucrarii, precum si la oferirea de informatii suplimentare, pentru a asigura o prelucrare echitabila si transparenta in ceea ce priveste persoanele fizice vizate si dreptul acestora de a li se confirma si comunica datele cu caracter personal care le privesc care sunt prelucrate. Persoanele fizice ar trebui informate cu privire la riscurile, normele, garantiile si drepturile in materie de prelucrare a datelor cu caracter personal si cu privire la modul in care sa isi exercite drepturile in legatura cu prelucrarea. In special, scopurile specifice in care datele cu caracter personal sunt prelucrate ar trebui sa fie explicite si legitime si sa fie determinate la momentul colectarii datelor respective. Datele cu caracter personal ar trebui sa fie adecvate, relevante si limitate la ceea ce este necesar pentru scopurile in care sunt prelucrate. Aceasta necesita, in special, asigurarea faptului ca perioada pentru care datele cu caracter personal sunt stocate este limitata strict la minimum. Datele cu caracter personal ar trebui prelucrate doar daca scopul prelucrarii nu poate fi indeplinit in mod rezonabil prin alte mijloace. In vederea asigurarii faptului ca datele cu caracter personal nu sunt pastrate mai mult timp decat este necesar, ar trebui sa se stabileasca de catre operator termene pentru stergere sau revizuirea periodica. Ar trebui sa fie luate toate masurile rezonabile pentru a se asigura ca datele cu caracter personal care sunt inexacte sunt rectificate sau sterse. Datele cu caracter personal ar trebui prelucrate intr-un mod care sa asigure in mod adecvat securitatea si confidentialitatea acestora, inclusiv in scopul prevenirii accesului neautorizat la acestea sau utilizarea neautorizata a datelor cu caracter personal si a echipamentului utilizat pentru prelucrare. 
 
(40) 
Pentru ca prelucrarea datelor cu caracter personal sa fie legala, aceasta ar trebui efectuata pe baza consimtamantului persoanei vizate sau in temeiul unui alt motiv legitim, prevazut de lege, fie in prezentul regulament, fie in alt act din dreptul Uniunii sau din dreptul intern, dupa cum se prevede in prezentul regulament, inclusiv necesitatea respectarii obligatiilor legale la care este supus operatorul sau necesitatea de a executa un contract la care persoana vizata este parte sau pentru a parcurge etapele premergatoare incheierii unui contract, la solicitarea persoanei vizate. 
 
(41) 
Ori de cate ori prezentul regulament face trimitere la un temei juridic sau la o masura legislativa, aceasta nu necesita neaparat un act legislativ adoptat de catre un parlament, fara a aduce atingere cerintelor care decurg din ordinea constitutionala a statului membru in cauza. Cu toate acestea, un astfel de temei juridic sau o astfel de masura legislativa ar trebui sa fie clara si precisa, iar aplicarea acesteia ar trebui sa fie previzibila pentru persoanele vizate de aceasta, in conformitate cu jurisprudenta Curtii de Justitie a Uniunii Europene („Curtea de Justitie”) si a Curtii Europene a Drepturilor Omului. 
 
(42) 
In cazul in care prelucrarea se bazeaza pe consimtamantul persoanei vizate, operatorul ar trebui sa fie in masura sa demonstreze faptul ca persoana vizata si-a dat consimtamantul pentru operatiunea de prelucrare. In special, in contextul unei declaratii scrise cu privire la un alt aspect, garantiile ar trebui sa asigure ca persoana vizata este constienta de faptul ca si-a dat consimtamantul si in ce masura a facut acest lucru. In conformitate cu Directiva 93/13/CEE a Consiliului (10), ar trebui furnizata o declaratie de consimtamant formulata in prealabil de catre operator, intr-o forma inteligibila si usor accesibila, utilizand un limbaj clar si simplu, iar aceasta declaratie nu ar trebui sa contina clauze abuzive. Pentru ca acordarea consimtamantului sa fie in cunostinta de cauza, persoana vizata ar trebui sa fie la curent cel putin cu identitatea operatorului si cu scopurile prelucrarii pentru care sunt destinate datele cu caracter personal. Consimtamantul nu ar trebui considerat ca fiind acordat in mod liber daca persoana vizata nu dispune cu adevarat de libertatea de alegere sau nu este in masura sa refuze sau sa isi retraga consimtamantul fara a fi prejudiciata. 
 
(43) 
Pentru a garanta faptul ca a fost acordat in mod liber, consimtamantul nu ar trebui sa constituie un temei juridic valabil pentru prelucrarea datelor cu caracter personal in cazul particular in care exista un dezechilibru evident intre persoana vizata si operator, in special in cazul in care operatorul este o autoritate publica, iar acest lucru face improbabila acordarea consimtamantului in mod liber in toate circumstantele aferente respectivei situatii particulare. Consimtamantul este considerat a nu fi acordat in mod liber in cazul in care aceasta nu permite sa se acorde consimtamantul separat pentru diferitele operatiuni de prelucrare a datelor cu caracter personal, desi acest lucru este adecvat in cazul particular, sau daca executarea unui contract, inclusiv furnizarea unui serviciu, este conditionata de consimtamant, in ciuda faptului ca consimtamantul in cauza nu este necesar pentru executarea contractului. 
 
(44) 
Prelucrarea ar trebui sa fie considerata legala in cazul in care este necesara in cadrul unui contract sau in vederea incheierii unui contract. 
 
(45) 
In cazul in care prelucrarea este efectuata in conformitate cu o obligatie legala a operatorului sau in cazul in care prelucrarea este necesara pentru indeplinirea unei sarcini care serveste unui interes public sau care face parte din exercitarea autoritatii publice, prelucrarea ar trebui sa aiba un temei in dreptul Uniunii sau in dreptul intern. Prezentul regulament nu impune existenta unei legi specifice pentru fiecare prelucrare in parte. Poate fi suficienta o singura lege drept temei pentru mai multe operatiuni de prelucrare efectuate in conformitate cu o obligatie legala a operatorului sau in cazul in care prelucrarea este necesara pentru indeplinirea unei sarcini care serveste unui interes public sau care face parte din exercitarea autoritatii publice. De asemenea, ar trebui ca scopul prelucrarii sa fie stabilit in dreptul Uniunii sau in dreptul intern. Mai mult decat atat, dreptul respectiv ar putea sa specifice conditiile generale ale prezentului regulament care reglementeaza legalitatea prelucrarii datelor cu caracter personal, sa determine specificatiile pentru stabilirea operatorului, a tipului de date cu caracter personal care fac obiectul prelucrarii, a persoanelor vizate, a entitatilor carora le pot fi divulgate datele cu caracter personal, a limitarilor in functie de scop, a perioadei de stocare si a altor masuri pentru a garanta o prelucrare legala si echitabila. De asemenea, ar trebui sa se stabileasca in dreptul Uniunii sau in dreptul intern daca operatorul care indeplineste o sarcina care serveste unui interes public sau care face parte din exercitarea autoritatii publice ar trebui sa fie o autoritate publica sau o alta persoana fizica sau juridica guvernata de dreptul public sau, atunci cand motive de interes public justifica acest lucru, inclusiv in scopuri medicale, precum sanatatea publica si protectia sociala, precum si gestionarea serviciilor de asistenta medicala, de dreptul privat, cum ar fi o asociatie profesionala. 
 
(46) 
Prelucrarea datelor cu caracter personal ar trebui, de asemenea, sa fie considerata legala in cazul in care este necesara in scopul asigurarii protectiei unui interes care este esential pentru viata persoanei vizate sau pentru viata unei alte persoane fizice. Prelucrarea datelor cu caracter personal care are drept temei interesele vitale ale unei alte persoane fizice ar trebui efectuata numai in cazul in care prelucrarea nu se poate baza in mod evident pe un alt temei juridic. Unele tipuri de prelucrare pot servi atat unor motive importante de interes public, cat si intereselor vitale ale persoanei vizate, de exemplu in cazul in care prelucrarea este necesara in scopuri umanitare, inclusiv in vederea monitorizarii unei epidemii si a raspandirii acesteia sau in situatii de urgente umanitare, in special in situatii de dezastre naturale sau provocate de om. 
 
(47) 
Interesele legitime ale unui operator, inclusiv cele ale unui operator caruia ii pot fi divulgate datele cu caracter personal sau ale unei terte parti, pot constitui un temei juridic pentru prelucrare, cu conditia sa nu prevaleze interesele sau drepturile si libertatile fundamentale ale persoanei vizate, luand in considerare asteptarile rezonabile ale persoanelor vizate bazate pe relatia acestora cu operatorul. Acest interes legitim ar putea exista, de exemplu, atunci cand exista o relatie relevanta si adecvata intre persoana vizata si operator, cum ar fi cazul in care persoana vizata este un client al operatorului sau se afla in serviciul acestuia. In orice caz, existenta unui interes legitim ar necesita o evaluare atenta, care sa stabileasca inclusiv daca o persoana vizata poate preconiza in mod rezonabil, in momentul si in contextul colectarii datelor cu caracter personal, posibilitatea prelucrarii in acest scop. Interesele si drepturile fundamentale ale persoanei vizate ar putea prevala in special in raport cu interesul operatorului de date atunci cand datele cu caracter personal sunt prelucrate in circumstante in care persoanele vizate nu preconizeaza in mod rezonabil o prelucrare ulterioara. Intrucat legiuitorul trebuie sa furnizeze temeiul juridic pentru prelucrarea datelor cu caracter personal de catre autoritatile publice, temeiul juridic respectiv nu ar trebui sa se aplice prelucrarii de catre autoritatile publice in indeplinirea sarcinilor care le revin. Prelucrarea de date cu caracter personal strict necesara in scopul prevenirii fraudelor constituie, de asemenea, un interes legitim al operatorului de date in cauza. Prelucrarea de date cu caracter personal care are drept scop marketingul direct poate fi considerata ca fiind desfasurata pentru un interes legitim. 
 
(48) 
Operatorii care fac parte dintr-un grup de intreprinderi sau institutii afiliate unui organism central pot avea un interes legitim de a transmite date cu caracter personal in cadrul grupului de intreprinderi in scopuri administrative interne, inclusiv in scopul prelucrarii datelor cu caracter personal ale clientilor sau angajatilor. Principiile generale ale transferului de date cu caracter personal, in cadrul unui grup de intreprinderi, catre o intreprindere situata intr-o tara terta raman neschimbate. 
 
(49) 
Prelucrarea datelor cu caracter personal in masura strict necesara si proportionala in scopul asigurarii securitatii retelelor si a informatiilor, si anume capacitatea unei retele sau a unui sistem de informatii de a face fata, la un anumit nivel de incredere, evenimentelor accidentale sau actiunilor ilegale sau rau intentionate care compromit disponibilitatea, autenticitatea, integritatea si confidentialitatea datelor cu caracter personal stocate sau transmise, precum si securitatea serviciilor conexe oferite de aceste retele si sisteme, sau accesibile prin intermediul acestora, de catre autoritatile publice, echipele de interventie in caz de urgenta informatica, echipele de interventie in cazul producerii unor incidente care afecteaza securitatea informatica, furnizorii de retele si servicii de comunicatii electronice, precum si de catre furnizorii de servicii si tehnologii de securitate, constituie un interes legitim al operatorului de date in cauza. Acesta ar putea include, de exemplu, prevenirea accesului neautorizat la retelele de comunicatii electronice si a difuzarii de coduri daunatoare si oprirea atacurilor de „blocare a serviciului”, precum si prevenirea daunelor aduse calculatoarelor si sistemelor de comunicatii electronice. 
 
(50) 
Prelucrarea datelor cu caracter personal in alte scopuri decat scopurile pentru care datele cu caracter personal au fost initial colectate ar trebui sa fie permisa doar atunci cand prelucrarea este compatibila cu scopurile respective pentru care datele cu caracter personal au fost initial colectate. In acest caz nu este necesar un temei juridic separat de cel pe baza caruia a fost permisa colectarea datelor cu caracter personal. In cazul in care prelucrarea este necesara pentru indeplinirea unei sarcini care serveste unui interes public sau care rezulta din exercitarea autoritatii publice cu care este investit operatorul, dreptul Uniunii sau dreptul intern poate stabili si specifica sarcinile si scopurile pentru care prelucrarea ulterioara ar trebui considerata a fi compatibila si legala. Prelucrarea ulterioara in scopuri de arhivare in interes public, in scopuri de cercetare stiintifica sau istorica ori in scopuri statistice ar trebui considerata ca reprezentand operatiuni de prelucrare legale compatibile. Temeiul juridic prevazut in dreptul Uniunii sau in dreptul intern pentru prelucrarea datelor cu caracter personal poate constitui, de asemenea, un temei juridic pentru prelucrarea ulterioara. Pentru a stabili daca scopul prelucrarii ulterioare este compatibil cu scopul pentru care au fost colectate initial datele cu caracter personal, operatorul, dupa ce a indeplinit toate cerintele privind legalitatea prelucrarii initiale, ar trebui sa tina seama, printre altele, de orice legatura intre respectivele scopuri si scopurile prelucrarii ulterioare preconizate, de contextul in care au fost colectate datele cu caracter personal, in special de asteptarile rezonabile ale persoanelor vizate, bazate pe relatia lor cu operatorul, in ceea ce priveste utilizarea ulterioara a datelor, de natura datelor cu caracter personal, de consecintele prelucrarii ulterioare preconizate asupra persoanelor vizate, precum si de existenta garantiilor corespunzatoare atat in cadrul operatiunilor de prelucrare initiale, cat si in cadrul operatiunilor de prelucrare ulterioare preconizate. 
 
In cazul in care persoana vizata si-a dat consimtamantul sau prelucrarea se bazeaza pe dreptul Uniunii sau pe dreptul intern, care constituie o masura necesara si proportionala intr-o societate democratica pentru a proteja, in special, obiective importante de interes public general, operatorul ar trebui sa aiba posibilitatea de a prelucra in continuare datele cu caracter personal, indiferent de compatibilitatea scopurilor. In orice caz, aplicarea principiilor stabilite de prezentul regulament si, in special, informarea persoanei vizate cu privire la aceste alte scopuri si la drepturile sale, inclusiv dreptul la opozitie, ar trebui sa fie garantate. Indicarea unor posibile infractiuni sau amenintari la adresa sigurantei publice de catre operator si transmiterea catre o autoritate competenta a datelor cu caracter personal relevante in cazuri individuale sau in mai multe cazuri legate de aceeasi infractiune sau de aceleasi amenintari la adresa sigurantei publice ar trebui considerata ca fiind in interesul legitim urmarit de operator. Cu toate acestea, o astfel de transmitere in interesul legitim al operatorului sau prelucrarea ulterioara a datelor cu caracter personal ar trebui interzisa in cazul in care prelucrarea nu este compatibila cu o obligatie legala, profesionala sau cu o alta obligatie de pastrare a confidentialitatii. 
 
(51) 
Datele cu caracter personal care sunt, prin natura lor, deosebit de sensibile in ceea ce priveste drepturile si libertatile fundamentale necesita o protectie specifica, deoarece contextul prelucrarii acestora ar putea genera riscuri considerabile la adresa drepturilor si libertatilor fundamentale. Aceste date cu caracter personal ar trebui sa includa datele cu caracter personal care dezvaluie originea rasiala sau etnica, utilizarea termenului „origine rasiala” in prezentul regulament neimplicand o acceptare de catre Uniune a teoriilor care urmaresc sa stabileasca existenta unor rase umane separate. Prelucrarea fotografiilor nu ar trebui sa fie considerata in mod sistematic ca fiind o prelucrare de categorii speciale de date cu caracter personal, intrucat fotografiile intra sub incidenta definitiei datelor biometrice doar in cazurile in care sunt prelucrate prin mijloace tehnice specifice care permit identificarea unica sau autentificarea unei persoane fizice. Asemenea date cu caracter personal nu ar trebui prelucrate, cu exceptia cazului in care prelucrarea este permisa in cazuri specifice prevazute de prezentul regulament, tinand seama de faptul ca dreptul statelor membre poate prevedea dispozitii specifice cu privire la protectia datelor in scopul adaptarii aplicarii normelor din prezentul regulament in vederea respectarii unei obligatii legale sau a indeplinirii unei sarcini care serveste unui interes public sau care rezulta din exercitarea autoritatii publice cu care este investit operatorul. Pe langa cerintele specifice pentru o astfel de prelucrare, ar trebui sa se aplice principiile generale si alte norme prevazute de prezentul regulament, in special in ceea ce priveste conditiile pentru prelucrarea legala. Ar trebui prevazute in mod explicit derogari de la interdictia generala de prelucrare a acestor categorii speciale de date cu caracter personal, printre altele atunci cand persoana vizata isi da consimtamantul explicit sau in ceea ce priveste nevoile specifice in special atunci cand prelucrarea este efectuata in cadrul unor activitati legitime de catre anumite asociatii sau fundatii al caror scop este de a permite exercitarea libertatilor fundamentale. 
 
(52) 
Derogarea de la interdictia privind prelucrarea categoriilor speciale de date cu caracter personal ar trebui sa fie permisa, de asemenea, in cazul in care dreptul Uniunii sau dreptul intern prevede acest lucru si ar trebui sa faca obiectul unor garantii adecvate, astfel incat sa fie protejate datele cu caracter personal si alte drepturi fundamentale, atunci cand acest lucru se justifica din motive de interes public, in special in cazul prelucrarii datelor cu caracter personal in domeniul legislatiei privind ocuparea fortei de munca, protectia sociala, inclusiv pensiile, precum si in scopuri de securitate, supraveghere si alerta in materie de sanatate, pentru prevenirea sau controlul bolilor transmisibile si a altor amenintari grave la adresa sanatatii. Aceasta derogare poate fi acordata in scopuri medicale, inclusiv sanatatea publica si gestionarea serviciilor de asistenta medicala, in special in vederea asigurarii calitatii si eficientei din punctul de vedere al costurilor ale procedurilor utilizate pentru solutionarea cererilor de prestatii si servicii in cadrul sistemului de asigurari de sanatate, sau in scopuri de arhivare in interes public, in scopuri de cercetare stiintifica sau istorica ori in scopuri statistice. De asemenea, prelucrarea unor asemenea date cu caracter personal ar trebui permisa, printr-o derogare, atunci cand este necesara pentru constatarea, exercitarea sau apararea unui drept in justitie, indiferent daca are loc in cadrul unei proceduri in fata unei instante sau in cadrul unei proceduri administrative sau a unei proceduri extrajudiciare. 
 
(53) 
Categoriile speciale de date cu caracter personal care necesita un nivel mai ridicat de protectie ar trebui prelucrate doar in scopuri legate de sanatate atunci cand este necesar pentru realizarea acestor scopuri in beneficiul persoanelor fizice si al societatii in general, in special in contextul gestionarii serviciilor si sistemelor de sanatate sau de asistenta sociala, inclusiv prelucrarea acestor date de catre autoritatile de management si de catre autoritatile centrale nationale din domeniul sanatatii in scopul controlului calitatii, furnizarii de informatii de gestiune si al supravegherii generale a sistemului de sanatate sau de asistenta sociala la nivel national si local, precum si in contextul asigurarii continuitatii asistentei medicale sau sociale si a asistentei medicale transfrontaliere ori in scopuri de securitate, supraveghere si alerta in materie de sanatate ori in scopuri de arhivare in interes public, in scopuri de cercetare stiintifica sau istorica ori in scopuri statistice in temeiul dreptului Uniunii sau al dreptului intern, care trebuie sa urmareasca un obiectiv de interes public, precum si in cazul studiilor realizate in interes public in domeniul sanatatii publice. Prin urmare, prezentul regulament ar trebui sa prevada conditii armonizate pentru prelucrarea categoriilor speciale de date cu caracter personal privind sanatatea, in ceea ce priveste nevoile specifice, in special atunci cand prelucrarea acestor date este efectuata in anumite scopuri legate de sanatate de catre persoane care fac obiectul unei obligatii legale de a pastra secretul profesional. Dreptul Uniunii sau dreptul intern ar trebui sa prevada masuri specifice si adecvate pentru a proteja drepturile fundamentale si datele cu caracter personal ale persoanelor fizice. Statele membre ar trebui sa aiba posibilitatea de a mentine sau de a introduce conditii suplimentare, inclusiv restrictii, in ceea ce priveste prelucrarea datelor genetice, a datelor biometrice sau a datelor privind sanatatea. Totusi, acest lucru nu ar trebui sa impiedice libera circulatie a datelor cu caracter personal in cadrul Uniunii atunci cand aceste conditii se aplica prelucrarii transfrontaliere a unor astfel de date. 
 
(54) 
Prelucrarea categoriilor speciale de date cu caracter personal poate fi necesara din motive de interes public in domeniile sanatatii publice, fara consimtamantul persoanei vizate. O astfel de prelucrare ar trebui conditionata de masuri adecvate si specifice destinate sa protejeze drepturile si libertatile persoanelor fizice. In acest context, conceptul de „sanatate publica” ar trebui interpretat astfel cum este definit in Regulamentul (CE) nr. 1338/2008 al Parlamentului European si al Consiliului (11), si anume toate elementele referitoare la sanatate si anume starea de sanatate, inclusiv morbiditatea sau handicapul, factorii determinanti care au efect asupra starii de sanatate, necesitatile in domeniul asistentei medicale, resursele alocate asistentei medicale, furnizarea asistentei medicale si asigurarea accesului universal la aceasta, precum si cheltuielile si sursele de finantare in domeniul sanatatii si cauzele mortalitatii. Aceasta prelucrare a datelor privind sanatatea din motive de interes public nu ar trebui sa duca la prelucrarea acestor date in alte scopuri de catre parti terte, cum ar fi angajatorii sau societatile de asigurari si bancile. 
 
(55) 
In plus, prelucrarea datelor cu caracter personal de catre autoritatile publice in vederea realizarii obiectivelor prevazute de dreptul constitutional sau de dreptul international public, ale asociatiilor religioase recunoscute oficial se efectueaza din motive de interes public. 
 
(56) 
In cazul in care, in cadrul activitatilor electorale, functionarea sistemului democratic necesita, intr-un stat membru, ca partidele politice sa colecteze date cu caracter personal privind opiniile politice ale persoanelor, prelucrarea unor astfel de date poate fi permisa din motive de interes public, cu conditia sa se prevada garantiile corespunzatoare. 
 
(57) 
Daca datele cu caracter personal prelucrate de un operator nu ii permit acestuia sa identifice o persoana fizica, operatorul de date nu ar trebui sa aiba obligatia de a obtine informatii suplimentare in vederea identificarii persoanei vizate, cu unicul scop de a respecta oricare dintre dispozitiile prezentului regulament. Cu toate acestea, operatorul nu ar trebui sa refuze sa preia informatiile suplimentare furnizate de persoana vizata cu scopul de a sprijini exercitarea drepturilor acesteia. Identificarea ar trebui sa includa identificarea digitala a unei persoane vizate, de exemplu prin mecanisme de autentificare precum aceleasi acreditari utilizate de catre persoana vizata pentru a accesa serviciile online oferite de operatorul de date. 
 
(58) 
Principiul transparentei prevede ca orice informatii care se adreseaza publicului sau persoanei vizate sa fie concise, usor accesibile si usor de inteles si sa se utilizeze un limbaj simplu si clar, precum si vizualizare acolo unde este cazul. Aceste informatii ar putea fi furnizate in format electronic, de exemplu atunci cand sunt adresate publicului, prin intermediul unui site. Acest lucru este important in special in situatii in care datorita multitudinii actorilor si a complexitatii, din punct de vedere tehnologic, a practicii, este dificil ca persoana vizata sa stie si sa inteleaga daca datele cu caracter personal care o privesc sunt colectate, de catre cine si in ce scop, cum este cazul publicitatii online. Intrucat copiiii necesita o protectie specifica, orice informatii si orice comunicare, in cazul in care prelucrarea vizeaza un copil, ar trebui sa fie exprimate intr-un limbaj simplu si clar, astfel incat copilul sa il poata intelege cu usurinta. 
 
(59) 
Ar trebui sa fie prevazute modalitati de facilitare a exercitarii de catre persoana vizata a drepturilor care ii sunt conferite prin prezentul regulament, inclusiv mecanismele prin care aceasta poate solicita si, daca este cazul, obtine, in mod gratuit, in special, acces la datele cu caracter personal, precum si rectificarea sau stergerea acestora, si exercitarea dreptului la opozitie. Operatorul ar trebui sa ofere, de asemenea, modalitati de introducere a cererilor pe cale electronica, mai ales in cazul in care datele cu caracter personal sunt prelucrate prin mijloace electronice. Operatorul ar trebui sa aiba obligatia de a raspunde cererilor persoanelor vizate fara intarzieri nejustificate si cel tarziu in termen de o luna si, in cazul in care nu intentioneaza sa se conformeze respectivele cereri, sa motiveze acest refuz. 
 
(60) 
Conform principiilor prelucrarii echitabile si transparente, persoana vizata este informata cu privire la existenta unei operatiuni de prelucrare si la scopurile acesteia. Operatorul ar trebui sa furnizeze persoanei vizate orice informatii suplimentare necesare pentru a asigura o prelucrare echitabila si transparenta, tinand seama de circumstantele specifice si de contextul in care sunt prelucrate datele cu caracter personal. In plus, persoana vizata ar trebui informata cu privire la crearea de profiluri, precum si la consecintele acesteia. Atunci cand datele cu caracter personal sunt colectate de la persoana vizata, aceasta ar trebui informata, de asemenea, daca are obligatia de a furniza datele cu caracter personal si care sunt consecintele in cazul unui refuz. Aceste informatii pot fi furnizate in combinatie cu pictograme standardizate pentru a oferi intr-un mod usor vizibil, inteligibil si clar lizibil o imagine de ansamblu semnificativa asupra prelucrarii avute in vedere. In cazul in care pictogramele sunt prezentate in format electronic, acestea ar trebui sa poata fi citite automat. 
 
(61) 
Informatiile in legatura cu prelucrarea datelor cu caracter personal referitoare la persoana vizata ar trebui furnizate acesteia la momentul colectarii de la persoana vizata sau, in cazul in care datele cu caracter personal sunt obtinute din alta sursa, intr-o perioada rezonabila, in functie de circumstantele cazului. In cazul in care datele cu caracter personal pot fi divulgate in mod legitim unui alt destinatar, persoana vizata ar trebui informata atunci cand datele cu caracter personal sunt divulgate pentru prima data destinatarului. In cazul in care operatorul intentioneaza sa prelucreze datele cu caracter personal intr-un alt scop decat cel pentru care acestea au fost colectate, operatorul ar trebui sa furnizeze persoanei vizate, inainte de aceasta prelucrare ulterioara, informatii privind scopul secundar respectiv si alte informatii necesare. In cazul in care originea datelor cu caracter personal nu a putut fi comunicata persoanei vizate din cauza ca au fost utilizate surse diverse, informatiile generale ar trebui furnizate. 
 
(62) 
Cu toate acestea, nu este necesara impunerea obligatiei de a furniza informatii in cazul in care persoana vizata detine deja informatiile, in cazul in care inregistrarea sau divulgarea datelor cu caracter personal este prevazuta in mod expres de lege sau in cazul in care informarea persoanei vizate se dovedeste imposibila sau ar implica eforturi disproportionate. Acesta din urma ar putea fi cazul in special atunci cand prelucrarea se efectueaza in scopuri de arhivare in interes public, in scopuri de cercetare stiintifica sau istorica ori in scopuri statistice. In aceasta privinta, ar trebui luate in considerare numarul persoanelor vizate, vechimea datelor si orice garantii adecvate adoptate. 
 
(63) 
O persoana vizata ar trebui sa aiba drept de acces la datele cu caracter personal colectate care o privesc si ar trebui sa isi exercite acest drept cu usurinta si la intervale de timp rezonabile, pentru a fi informata cu privire la prelucrare si pentru a verifica legalitatea acesteia. Acest lucru include dreptul persoanelor vizate de a avea acces la datele lor privind sanatatea, de exemplu datele din registrele lor medicale continand informatii precum diagnostice, rezultate ale examinarilor, evaluari ale medicilor curanti si orice tratament sau interventie efectuata. Orice persoana vizata ar trebui, prin urmare, sa aiba dreptul de a cunoaste si de a i se comunica in special scopurile in care sunt prelucrate datele, daca este posibil perioada pentru care se prelucreaza datele cu caracter personal, destinatarii datelor cu caracter personal, logica de prelucrare automata a datelor cu caracter personal si, cel putin in cazul in care se bazeaza pe crearea de profiluri, consecintele unei astfel de prelucrari. Daca acest lucru este posibil, operatorul de date ar trebui sa poata furniza acces de la distanta la un sistem sigur, care sa ofere persoanei vizate acces direct la datele sale cu caracter personal. Acest drept nu ar trebui sa aduca atingere drepturilor sau libertatilor altora, inclusiv secretului comercial sau proprietatii intelectuale si, in special, drepturilor de autor care asigura protectia programelor software. Cu toate acestea, consideratiile de mai sus nu ar trebui sa aiba drept rezultat refuzul de a furniza toate informatiile persoanei vizate. Atunci cand operatorul prelucreaza un volum mare de informatii privind persoana vizata, operatorul ar trebui sa poata solicita ca, inainte de a ii fi furnizate informatiile, persoana vizata sa precizeze informatiile sau activitatile de prelucrare la care se refera cererea sa. 
 
(64) 
Operatorul ar trebui sa ia toate masurile rezonabile pentru a verifica identitatea unei persoane vizate care solicita acces la date, in special in contextul serviciilor online si al identificatorilor online. Un operator nu ar trebui sa retina datele cu caracter personal in scopul exclusiv de a fi in masura sa reactioneze la cereri potentiale. 
 
(65) 
O persoana vizata ar trebui sa aiba dreptul la rectificarea datelor cu caracter personal care o privesc si „dreptul de a fi uitata”, in cazul in care pastrarea acestor date incalca prezentul regulament sau dreptul Uniunii sau dreptul intern sub incidenta caruia intra operatorul. In special, persoanele vizate ar trebui sa aiba dreptul ca datele lor cu caracter personal sa fie sterse si sa nu mai fie prelucrate, in cazul in care datele cu caracter personal nu mai sunt necesare pentru scopurile in care sunt colectate sau sunt prelucrate, in cazul in care persoanele vizate si-au retras consimtamantul pentru prelucrare sau in cazul in care acestea se opun prelucrarii datelor cu caracter personal care le privesc sau in cazul in care prelucrarea datelor cu caracter personal ale acestora nu este conforma cu prezentul regulament. Acest drept este relevant in special in cazul in care persoana vizata si-a dat consimtamantul cand era copil si nu cunostea pe deplin riscurile pe care le implica prelucrarea, iar ulterior doreste sa elimine astfel de date cu caracter personal, in special de pe internet. Persoana vizata ar trebui sa aiba posibilitatea de a-si exercita acest drept in pofida faptului ca nu mai este copil. Cu toate acestea, pastrarea in continuare a datelor cu caracter personal ar trebui sa fie legala in cazul in care este necesara pentru exercitarea dreptului la libertatea de exprimare si de informare, pentru respectarea unei obligatii legale, pentru indeplinirea unei sarcini care serveste unui interes public sau care rezulta din exercitarea autoritatii publice cu care este investit operatorul, din motive de interes public in domeniul sanatatii publice, in scopuri de arhivare in interes public, in scopuri de cercetare stiintifica sau istorica ori in scopuri statistice sau pentru constatarea, exercitarea sau apararea unui drept in instanta. 
 
(66)
Pentru a se consolida „dreptul de a fi uitat” in mediul online, dreptul de stergere ar trebui sa fie extins astfel incat un operator care a facut publice date cu caracter personal ar trebui sa aiba obligatia de a informa operatorii care prelucreaza respectivele date cu caracter personal sa stearga orice linkuri catre datele respective sau copii sau reproduceri ale acestora. In acest scop, operatorul in cauza ar trebui sa ia masuri rezonabile, tinand seama de tehnologia disponibila si de mijloacele aflate la dispozitia lui, inclusiv masuri tehnice, pentru a informa operatorii care prelucreaza datele cu caracter personal in ceea ce priveste cererea persoanei vizate. 
 
(67) 
Metodele de restrictionare a prelucrarii de date cu caracter personal ar putea include, printre altele, mutarea temporara a datelor cu caracter personal selectate intr-un alt sistem de prelucrare, sau anularea accesului utilizatorilor la datele selectate sau inlaturarea temporara a datelor publicate de pe un site. In ceea ce priveste sistemele automatizate de evidenta a datelor, restrictionarea prelucrarii ar trebui, in principiu, asigurata prin mijloace tehnice in asa fel incat datele cu caracter personal sa nu faca obiectul unor operatiuni de prelucrare ulterioara si sa nu mai poata fi schimbate. Faptul ca prelucrarea datelor cu caracter personal este restrictionata ar trebui indicat in mod clar in sistem. 
 
(68) 
Pentru a spori suplimentar controlul asupra propriilor date, persoana vizata ar trebui, in cazul in care datele cu caracter personal sunt prelucrate prin mijloace automate, sa poata primi datele cu caracter personal care o privesc si pe care le-a furnizat unui operator, intr-un format structurat, utilizat in mod curent, prelucrabil automat si interoperabil si sa le poata transmite unui alt operator. Operatorii de date ar trebui sa fie incurajati sa dezvolte formate interoperabile care sa permita portabilitatea datelor. Acest drept ar trebui sa se aplice in cazul in care persoana vizata a furnizat datele cu caracter personal pe baza propriului consimtamant sau in cazul in care prelucrarea datelor este necesara pentru executarea unui contract. Acest drept nu ar trebui sa se aplice in cazul in care prelucrarea se bazeaza pe un alt temei juridic decat consimtamantul sau contractul. Prin insasi natura sa, acest drept nu ar trebui exercitat impotriva operatorilor care prelucreaza date cu caracter personal in cadrul exercitarii functiilor lor publice. Acesta nu ar trebui sa se aplice in special in cazul in care prelucrarea de date cu caracter personal este necesara in vederea respectarii unei obligatii legale careia ii este supus operatorul sau in cazul indeplinirii unei sarcini care serveste unui interes public sau care rezulta din exercitarea unei autoritati publice cu care este investit operatorul. Dreptul persoanei vizate de a transmite sau de a primi date cu caracter personal care o privesc nu ar trebui sa creeze pentru operatori obligatia de a adopta sau de a mentine sisteme de prelucrare care sa fie compatibile din punct de vedere tehnic. In cazul in care, intr-un anumit set de date cu caracter personal, sunt implicate mai multe persoane vizate, dreptul de a primi datele cu caracter personal nu ar trebui sa aduca atingere drepturilor si libertatilor altor persoane vizate, in conformitate cu prezentul regulament. De asemenea, acest drept nu ar trebui sa aduca atingere dreptului persoanei vizate de a obtine stergerea datelor cu caracter personal si limitarilor dreptului respectiv, astfel cum sunt prevazute in prezentul regulament, si nu ar trebui, in special, sa implice stergerea acelor date cu caracter personal referitoare la persoana vizata care au fost furnizate de catre aceasta in vederea executarii unui contract, in masura in care si atat timp cat datele respective sunt necesare pentru executarea contractului. Persoana vizata ar trebui sa aiba dreptul ca datele cu caracter personal sa fie transmise direct de la un operator la altul, daca acest lucru este fezabil din punct de vedere tehnic. 
 
(69) 
In cazurile in care datele cu caracter personal ar putea fi prelucrate in mod legal deoarece prelucrarea este necesara pentru indeplinirea unei sarcini care serveste unui interes public sau care rezulta din exercitarea autoritatii publice cu care este investit operatorul sau pe baza intereselor legitime ale unui operator sau ale unei parti terte, o persoana vizata ar trebui sa aiba totusi dreptul de a se opune prelucrarii oricaror date cu caracter personal care se refera la situatia sa particulara. Ar trebui sa revina operatorului sarcina de a demonstra ca interesele sale legitime si imperioase prevaleaza asupra intereselor sau a drepturilor si libertatilor fundamentale ale persoanei vizate. 
 
(70) 
In cazul in care datele cu caracter personal sunt prelucrate in scopuri de marketing direct, persoana vizata ar trebui sa aiba dreptul de a se opune unei astfel de prelucrari, inclusiv crearii de profiluri in masura in care aceasta are legatura cu marketingul direct, indiferent daca prelucrarea in cauza este cea initiala sau una ulterioara, in orice moment si in mod gratuit. Acest drept ar trebui adus in mod explicit in atentia persoanei vizate si prezentat in mod clar si separat de orice alte informatii. 
 
(71) 
Persoana vizata ar trebui sa aiba dreptul de a nu face obiectul unei decizii, care poate include o masura, care evalueaza aspecte personale referitoare la persoana vizata, care se bazeaza exclusiv pe prelucrarea automata si care produce efecte juridice care privesc persoana vizata sau o afecteaza in mod similar intr-o masura semnificativa, cum ar fi refuzul automat al unei cereri de credit online sau practicile de recrutare pe cale electronica, fara interventie umana. O astfel de prelucrare include „crearea de profiluri”, care consta in orice forma de prelucrare automata a datelor cu caracter personal prin evaluarea aspectelor personale referitoare la o persoana fizica, in special in vederea analizarii sau preconizarii anumitor aspecte privind randamentul la locul de munca al persoanei vizate, situatia economica, starea de sanatate, preferintele sau interesele personale, fiabilitatea sau comportamentul, locatia sau deplasarile, atunci cand aceasta produce efecte juridice care privesc persoana vizata sau o afecteaza in mod similar intr-o masura semnificativa. Cu toate acestea, luarea de decizii pe baza unei astfel de prelucrari, inclusiv crearea de profiluri, ar trebui permisa in cazul in care este autorizata in mod expres in dreptul Uniunii sau in dreptul intern care se aplica operatorului, inclusiv in scopul monitorizarii si prevenirii fraudei si a evaziunii fiscale, desfasurate in conformitate cu reglementarile, standardele si recomandarile institutiilor Uniunii sau ale organismelor nationale de supraveghere, si in scopul asigurarii securitatii si fiabilitatii unui serviciu oferit de operator sau in cazul in care este necesara pentru incheierea sau executarea unui contract intre persoana vizata si un operator sau in cazul in care persoana vizata si-a dat in mod explicit consimtamantul. In orice caz, o astfel de prelucrare ar trebui sa faca obiectul unor garantii corespunzatoare, care ar trebui sa includa o informare specifica a persoanei vizate si dreptul acesteia de a obtine interventie umana, de a-si exprima punctul de vedere, de a primi o explicatie privind decizia luata in urma unei astfel de evaluari, precum si dreptul de a contesta decizia. O astfel de masura nu ar trebui sa se refere la un copil. 
 
Pentru a asigura o prelucrare echitabila si transparenta in ceea ce priveste persoana vizata, avand in vedere circumstantele specifice si contextul in care sunt prelucrate datele cu caracter personal, operatorul ar trebui sa utilizeze proceduri matematice sau statistice adecvate pentru crearea de profiluri, sa implementeze masuri tehnice si organizatorice adecvate pentru a asigura in special faptul ca factorii care duc la inexactitati ale datelor cu caracter personal sunt corectati si ca riscul de erori este redus la minimum, precum si sa securizeze datele cu caracter personal intr-un mod care sa tina seama de pericolele potentiale la adresa intereselor si drepturilor persoanei vizate si care sa previna, printre altele, efectele discriminatorii impotriva persoanelor pe motiv de rasa sau origine etnica, opinii politice, religie sau convingeri, apartenenta sindicala, caracteristici genetice, stare de sanatate sau orientare sexuala sau care sa duca la masuri care sa aiba astfel de efecte. Procesul decizional automatizat si crearea de profiluri pe baza unor categorii speciale de date cu caracter personal ar trebui permise numai in conditii specifice. 
 
(72) 
Crearea de profiluri este supusa normelor prezentului regulament care reglementeaza prelucrarea datelor cu caracter personal, precum temeiurile juridice ale prelucrarii sau principiile de protectie a datelor. Comitetul european pentru protectia datelor instituit prin prezentul regulament („comitetul”) ar trebui sa poata emite orientari in acest context. 
 
(73) 
Dreptul Uniunii sau dreptul intern poate impune restrictii in privinta unor principii specifice, in privinta dreptului de informare, a dreptului de acces la datele cu caracter personal si de rectificare sau stergere a acestora, in privinta dreptului la portabilitatea datelor, a dreptului la opozitie, a deciziilor bazate pe crearea de profiluri, precum si in privinta comunicarii unei incalcari a securitatii datelor cu caracter personal persoanei vizate si a anumitor obligatii conexe ale operatorilor, in masura in care acest lucru este necesar si proportional intr-o societate democratica pentru a se garanta siguranta publica, inclusiv protectia vietii oamenilor, in special ca raspuns la dezastre naturale sau provocate de om, prevenirea, investigarea si urmarirea penala a infractiunilor sau executarea pedepselor, inclusiv protejarea impotriva amenintarilor la adresa sigurantei publice sau impotriva incalcarii eticii in cazul profesiilor reglementate si prevenirea acestora, alte obiective importante de interes public general ale Uniunii sau ale unui stat membru, in special un interes economic sau financiar important al Uniunii sau al unui stat membru, mentinerea de registre publice din motive de interes public general, prelucrarea ulterioara a datelor cu caracter personal arhivate pentru a transmite informatii specifice legate de comportamentul politic in perioada regimurilor fostelor state totalitare, protectia persoanei vizate sau a drepturilor si libertatilor unor terti, inclusiv protectia sociala, sanatatea publica si scopurile umanitare. Aceste restrictii ar trebui sa fie conforme cu cerintele prevazute de carta si de Conventia europeana pentru apararea drepturilor omului si a libertatilor fundamentale. 
 
(74) 
Ar trebui sa se stabileasca responsabilitatea si raspunderea operatorului pentru orice prelucrare a datelor cu caracter personal efectuata de catre acesta sau in numele sau. In special, operatorul ar trebui sa fie obligat sa implementeze masuri adecvate si eficace si sa fie in masura sa demonstreze conformitatea activitatilor de prelucrare cu prezentul regulament, inclusiv eficacitatea masurilor. Aceste masuri ar trebui sa tina seama de natura, domeniul de aplicare, contextul si scopurile prelucrarii, precum si de riscul pentru drepturile si libertatile persoanelor fizice. 
 
(75)
Riscul pentru drepturile si libertatile persoanelor fizice, prezentand grade diferite de probabilitate de materializare si de gravitate, poate fi rezultatul unei prelucrari a datelor cu caracter personal care ar putea genera prejudicii de natura fizica, materiala sau morala, in special in cazurile in care: prelucrarea poate conduce la discriminare, furt sau frauda a identitatii, pierdere financiara, compromiterea reputatiei, pierderea confidentialitatii datelor cu caracter personal protejate prin secret profesional, inversarea neautorizata a pseudonimizarii sau la orice alt dezavantaj semnificativ de natura economica sau sociala; persoanele vizate ar putea fi private de drepturile si libertatile lor sau impiedicate sa-si exercite controlul asupra datelor lor cu caracter personal; datele cu caracter personal prelucrate sunt date care dezvaluie originea rasiala sau etnica, opiniile politice, religia sau convingerile filozofice, apartenenta sindicala; sunt prelucrate date genetice, date privind sanatatea sau date privind viata sexuala sau privind condamnarile penale si infractiunile sau masurile de securitate conexe; sunt evaluate aspecte de natura personala, in special analizarea sau previzionarea unor aspecte privind randamentul la locul de munca, situatia economica, starea de sanatate, preferintele sau interesele personale, fiabilitatea sau comportamentul, locatia sau deplasarile, in scopul de a se crea sau de a se utiliza profiluri personale; sunt prelucrate date cu caracter personal ale unor persoane vulnerabile, in special ale unor copii; sau prelucrarea implica un volum mare de date cu caracter personal si afecteaza un numar larg de persoane vizate. 
 
(76) 
Probabilitatea de a se materializa si gravitatea riscului pentru drepturile si libertatile persoanei vizate ar trebui sa fie determinate in functie de natura, domeniul de aplicare, contextul si scopurile prelucrarii datelor cu caracter personal. Riscul ar trebui apreciat pe baza unei evaluari obiective prin care se stabileste daca operatiunile de prelucrare a datelor prezinta un risc sau un risc ridicat. 
 
(77) 
Orientari pentru implementarea unor masuri adecvate si pentru demonstrarea conformitatii de catre operator sau persoana imputernicita de operator, mai ales in ceea ce priveste identificarea riscului legat de prelucrare, evaluarea acestuia din punctul de vedere al originii, naturii, probabilitatii de a se materializa si al gravitatii, precum si identificarea bunelor practici pentru atenuarea riscului ar putea fi oferite in special prin coduri de conduita aprobate, certificari aprobate, orientari ale comitetului sau prin indicatii furnizate de un responsabil cu protectia datelor. Comitetul poate, de asemenea, sa emita orientari cu privire la operatiunile de prelucrare care sunt considerate putin susceptibile de a genera un risc ridicat pentru drepturile si libertatile persoanelor fizice si sa indice masurile care se pot dovedi suficiente in asemenea cazuri pentru a aborda un astfel de risc. 
 
(78) 
Protectia drepturilor si libertatilor persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal necesita adoptarea de masuri tehnice si organizatorice corespunzatoare pentru a se asigura indeplinirea cerintelor din prezentul regulament. Pentru a fi in masura sa demonstreze conformitatea cu prezentul regulament, operatorul ar trebui sa adopte politici interne si sa puna in aplicare masuri care sa respecte in special principiul protectiei datelor incepand cu momentul conceperii si cel al protectiei implicite a datelor. Astfel de masuri ar putea consta, printre altele, in reducerea la minimum a prelucrarii datelor cu caracter personal, pseudonimizarea acestor date cat mai curand posibil, transparenta in ceea ce priveste functiile si prelucrarea datelor cu caracter personal, abilitarea persoanei vizate sa monitorizeze prelucrarea datelor, abilitarea operatorului sa creeze elemente de siguranta si sa le imbunatateasca. Atunci cand elaboreaza, proiecteaza, selecteaza si utilizeaza aplicatii, servicii si produse care se bazeaza pe prelucrarea datelor cu caracter personal sau care prelucreaza date cu caracter personal pentru a-si indeplini rolul, producatorii acestor produse si furnizorii acestor servicii si aplicatii ar trebui sa fie incurajati sa aiba in vedere dreptul la protectia datelor la momentul elaborarii si proiectarii unor astfel de produse, servicii si aplicatii si, tinand cont de stadiul actual al dezvoltarii, sa se asigure ca operatorii si persoanele imputernicite de operatori sunt in masura sa isi indeplineasca obligatiile referitoare la protectia datelor.Principiul protectiei datelor incepand cu momentul conceperii si cel al protectiei implicite a datelor ar trebui sa fie luate in considerare si in contextul licitatiilor publice. 
 
(79) 
Protectia drepturilor si libertatilor persoanelor vizate, precum si responsabilitatea si raspunderea operatorilor si a persoanelor imputernicite de operator, inclusiv in ceea ce priveste monitorizarea de catre autoritatile de supraveghere si masurile adoptate de acestea, necesita o atribuire clara a responsabilitatilor in temeiul prezentului regulament, inclusiv in cazul in care un operator stabileste scopurile si mijloacele prelucrarii impreuna cu alti operatori sau in cazul in care o operatiune de prelucrare este efectuata in numele unui operator. 
 
(80) 
Atunci cand un operator sau o persoana imputernicita de operator care nu este stabilita in Uniune prelucreaza date cu caracter personal ale unor persoane vizate care se afla pe teritoriul Uniunii, iar activitatile sale de prelucrare au legatura cu oferirea de bunuri sau servicii unor astfel de persoane vizate in Uniune, indiferent daca se solicita sau nu efectuarea unei plati de catre persoana vizata, sau cu monitorizarea comportamentului unor persoane vizate daca acesta se manifesta in cadrul Uniunii, operatorul sau persoana imputernicita de operator ar trebui sa desemneze un reprezentant, cu exceptia cazului in care prelucrarea are caracter ocazional, nu include prelucrarea pe scara larga a unor categorii speciale de date cu caracter personal si nici prelucrarea de date referitoare la condamnari penale si la infractiuni, si este putin susceptibila sa genereze un risc pentru drepturile si libertatile persoanelor fizice, avand in vedere natura, contextul, domeniul de aplicare si scopurile prelucrarii, precum si a cazului in care operatorul este o autoritate publica sau un organism public. Reprezentantul ar trebui sa actioneze in numele operatorului sau al persoanei imputernicite de operator, putand fi contactat de orice autoritate de supraveghere. Reprezentantul ar trebui desemnat in mod explicit, printr-un mandat scris al operatorului sau al persoanei imputernicite de operator, sa actioneze in numele acestuia (acesteia) in ceea ce priveste obligatiile lor in temeiul prezentului regulament. Desemnarea unui astfel de reprezentant nu aduce atingere responsabilitatii sau raspunderii operatorului sau a persoanei imputernicite de operator in temeiul prezentului regulament. Un astfel de reprezentant ar trebui sa isi indeplineasca sarcinile in conformitate cu mandatul primit de la operator sau de la persoana imputernicita de operator, inclusiv sa coopereze cu autoritatile de supraveghere competente in ceea ce priveste orice actiune intreprinsa pentru a asigura respectarea prezentului regulament. Reprezentantul desemnat ar trebui sa fie supus unor proceduri de asigurare a respectarii legii in cazul nerespectarii prezentului regulament de catre operator sau de catre persoana imputernicita de operator. 
 
(81) 
Pentru a asigura respectarea cerintelor impuse de prezentul regulament in ceea ce priveste prelucrarea care trebuie efectuata in numele operatorului de catre persoana imputernicita de operator, atunci cand atribuie activitati de prelucrare unei persoane imputernicite de operator, acesta din urma ar trebui sa utilizeze numai persoane imputernicite care ofera garantii suficiente, in special in ceea ce priveste cunostintele de specialitate, fiabilitatea si resursele, pentru a implementa masuri tehnice si organizatorice care indeplinesc cerintele impuse de prezentul regulament, inclusiv pentru securitatea prelucrarii. Aderarea de catre persoana imputernicita de operator la un cod de conduita aprobat sau la un mecanism de certificare aprobat poate fi utilizata drept element care sa demonstreze respectarea obligatiilor de catre operator. Efectuarea prelucrarii de catre o persoana imputernicita de un operator ar trebui sa fie reglementata printr-un contract sau un alt tip de act juridic, in temeiul dreptului Uniunii sau al dreptului intern, care creeaza obligatii pentru persoana imputernicita de operator in raport cu operatorul si care stabileste obiectul si durata prelucrarii, natura si scopurile prelucrarii, tipul de date cu caracter personal si categoriile de persoane vizate, si ar trebui sa tina seama de sarcinile si responsabilitatile specifice ale persoanei imputernicite de operator in contextul prelucrarii care trebuie efectuata, precum si de riscul pentru drepturile si libertatile persoanei vizate. Operatorul si persoana imputernicita de operator pot alege sa utilizeze un contract individual sau clauze contractuale standard care sunt adoptate fie direct de Comisie, fie de o autoritate de supraveghere in conformitate cu mecanismul de asigurare a coerentei si apoi adoptate de Comisie. Dupa finalizarea prelucrarii in numele operatorului, persoana imputernicita de operator ar trebui sa returneze sau sa stearga, in functie de optiunea operatorului, datele cu caracter personal, cu exceptia cazului in care exista o cerinta de stocare a datelor cu caracter personal in temeiul dreptului Uniunii sau al dreptului intern care instituie obligatii pentru persoana imputernicita de operator. 
 
(82) 
In vederea demonstrarii conformitatii cu prezentul regulament, operatorul sau persoana imputernicita de operator ar trebui sa pastreze evidente ale activitatilor de prelucrare aflate in responsabilitatea sa. Fiecare operator si fiecare persoana imputernicita de operator ar trebui sa aiba obligatia de a coopera cu autoritatea de supraveghere si de a pune la dispozitia acesteia, la cerere, aceste evidente, pentru a putea fi utilizate in scopul monitorizarii operatiunilor de prelucrare respective. 
 
(83) 
In vederea mentinerii securitatii si a prevenirii prelucrarilor care incalca prezentul regulament, operatorul sau persoana imputernicita de operator ar trebui sa evalueze riscurile inerente prelucrarii si sa implementeze masuri pentru atenuarea acestor riscuri, cum ar fi criptarea. Masurile respective ar trebui sa asigure un nivel corespunzator de securitate, inclusiv confidentialitatea, luand in considerare stadiul actual al dezvoltarii si costurile implementarii in raport cu riscurile si cu natura datelor cu caracter personal a caror protectie trebuie asigurata. La evaluarea riscului pentru securitatea datelor cu caracter personal, ar trebui sa se acorde atentie riscurilor pe care le prezinta prelucrarea datelor, cum ar fi distrugerea, pierderea, modificarea, divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate in alt mod, in mod accidental sau ilegal, care pot duce in special la prejudicii fizice, materiale sau morale. 
 
(84) 
Pentru a favoriza respectarea dispozitiilor prezentului regulament in cazurile in care operatiunile de prelucrare sunt susceptibile sa genereze un risc ridicat pentru drepturile si libertatile persoanelor fizice, operatorul ar trebui sa fie responsabil de efectuarea unei evaluari a impactului asupra protectiei datelor, care sa estimeze, in special, originea, natura, specificitatea si gravitatea acestui risc. Rezultatul evaluarii ar trebui luat in considerare la stabilirea masurilor adecvate care trebuie luate pentru a demonstra ca prelucrarea datelor cu caracter personal respecta prezentul regulament. In cazul in care o evaluare a impactului asupra protectiei datelor arata ca operatiunile de prelucrare implica un risc ridicat, pe care operatorul nu il poate atenua prin masuri adecvate sub aspectul tehnologiei disponibile si al costurilor implementarii, ar trebui sa aiba loc o consultare a autoritatii de supraveghere inainte de prelucrare. 
 
(85) 
Daca nu este solutionata la timp si intr-un mod adecvat, o incalcare a securitatii datelor cu caracter personal poate conduce la prejudicii fizice, materiale sau morale aduse persoanelor fizice, cum ar fi pierderea controlului asupra datelor lor cu caracter personal sau limitarea drepturilor lor, discriminare, furt sau frauda de identitate, pierdere financiara, inversarea neautorizata a pseudonimizarii, compromiterea reputatiei, pierderea confidentialitatii datelor cu caracter personal protejate prin secret profesional sau orice alt dezavantaj semnificativ de natura economica sau sociala adus persoanei fizice in cauza. Prin urmare, de indata ce a luat cunostinta de producerea unei incalcari a securitatii datelor cu caracter personal, operatorul ar trebui sa notifice aceasta incalcare autoritatii de supraveghere, fara intarziere nejustificata si, daca este posibil, in cel mult 72 de ore dupa ce a luat la cunostinta de existenta acesteia, cu exceptia cazului in care operatorul este in masura sa demonstreze, in conformitate cu principiul responsabilitatii, ca incalcarea securitatii datelor cu caracter personal nu este susceptibila sa genereze un risc pentru drepturile si libertatile persoanelor fizice. Atunci cand notificarea nu se poate realiza in termen de 72 de ore, aceasta ar trebui sa cuprinda motivele intarzierii, iar informatiile pot fi furnizate treptat, fara alta intarziere. 
 
(86) 
Operatorul ar trebui sa comunice persoanei vizate o incalcare a securitatii datelor cu caracter personal, fara intarzieri nejustificate, atunci cand incalcarea este susceptibila sa genereze un risc ridicat pentru drepturile si libertatile persoanei fizice, pentru a-i permite sa ia masurile de precautie necesare. Comunicarea ar trebui sa descrie natura incalcarii securitatii datelor cu caracter personal si sa cuprinda recomandari pentru persoana fizica in cauza in scopul atenuarii eventualelor efecte negative. Comunicarile catre persoanele vizate ar trebui efectuate in cel mai scurt timp posibil in mod rezonabil si in stransa cooperare cu autoritatea de supraveghere, respectandu-se orientarile furnizate de aceasta sau de alte autoritati competente, cum ar fi autoritatile de aplicare a legii. De exemplu, necesitatea de a atenua un risc imediat de producere a unui prejudiciu ar presupune comunicarea cu promptitudine catre persoanele vizate, in timp ce necesitatea de a implementa masuri corespunzatoare impotriva incalcarii in continuare a securitatii datelor cu caracter personal sau impotriva unor incalcari similare ale securitatii datelor cu caracter personal ar putea justifica un termen mai indelungat pentru comunicare. 
 
(87) 
Ar trebui sa se stabileasca daca au fost implementate toate masurile tehnologice de protectie si organizatorice corespunzatoare in scopul de a se stabili imediat daca s-a produs o incalcare a securitatii datelor cu caracter personal si de a se informa cu promptitudine autoritatea de supraveghere si persoana vizata. Faptul ca notificarea a fost efectuata fara intarziere nejustificata ar trebui stabilit luandu-se in considerare, in special, natura si gravitatea incalcarii securitatii datelor cu caracter personal, precum si consecintele si efectele negative ale acesteia asupra persoanei vizate. Aceasta notificare poate conduce la o interventie a autoritatii de supraveghere, in conformitate cu sarcinile si competentele specificate in prezentul regulament. 
 
(88) 
La stabilirea de norme detaliate privind formatul si procedurile aplicabile notificarii referitoare la incalcarile securitatii datelor cu caracter personal, ar trebui sa se acorde atentia cuvenita circumstantelor in care a avut loc incalcarea, stabilindu-se inclusiv daca protectia datelor cu caracter personal a fost sau nu a fost asigurata prin masuri tehnice de protectie corespunzatoare, care sa limiteze efectiv probabilitatea fraudarii identitatii sau a altor forme de utilizare abuziva. In plus, astfel de norme si proceduri ar trebui sa tina cont de interesele legitime ale autoritatilor de aplicare a legii in cazurile in care divulgarea timpurie ar putea ingreuna in mod inutil investigarea circumstantelor in care a avut loc o incalcare a datelor cu caracter personal. 
 
(89) 
Directiva 95/46/CE a prevazut o obligatie generala de a notifica prelucrarea datelor cu caracter personal autoritatilor de supraveghere. Cu toate ca obligatia respectiva genereaza sarcini administrative si financiare, aceasta nu a contribuit intotdeauna la imbunatatirea protectiei datelor cu caracter personal. Prin urmare, astfel de obligatii de notificare generala nediferentiata ar trebui sa fie abrogate si inlocuite cu proceduri si mecanisme eficace care sa puna accentul, in schimb, pe acele tipuri de operatiuni de prelucrare susceptibile sa genereze un risc ridicat pentru drepturile si libertatile persoanelor fizice prin insasi natura lor, prin domeniul lor de aplicare, prin contextul si prin scopurile lor. Astfel de tipuri de operatiuni de prelucrare pot fi cele care presupun, in special, utilizarea unor noi tehnologii sau care reprezinta un nou tip de operatiuni, pentru care nicio evaluare a impactului asupra protectiei datelor nu a fost efectuata anterior de catre operator ori care devin necesare data fiind perioada de timp care s-a scurs de la prelucrarea initiala. 
 
(90) 
In astfel de cazuri, operatorul ar trebui sa efectueze, inainte de prelucrare, o evaluare a impactului asupra protectiei datelor, in scopul evaluarii gradului specific de probabilitate a materializarii riscului ridicat si gravitatea acestuia, avand in vedere natura, domeniul de aplicare, contextul si scopurile prelucrarii, precum si sursele riscului. Respectiva evaluare a impactului ar trebui sa includa, in special, masurile, garantiile si mecanismele avute in vedere pentru atenuarea riscului respectiv, pentru asigurarea protectiei datelor cu caracter personal si pentru demonstrarea conformitatii cu prezentul regulament. 
 
(91) 
Aceasta ar trebui sa se aplice, in special, operatiunilor de prelucrare la scara larga, care au drept obiectiv prelucrarea unui volum considerabil de date cu caracter personal la nivel regional, national sau supranational, care ar putea afecta un numar mare de persoane vizate si care sunt susceptibile de a genera un risc ridicat, de exemplu, din cauza sensibilitatii lor, in cazul in care, in conformitate cu nivelul atins al cunostintelor tehnologice, se foloseste la scara larga o tehnologie noua, precum si altor operatiuni de prelucrare care genereaza un risc ridicat pentru drepturile si libertatile persoanelor vizate, in special in cazul in care operatiunile respective limiteaza capacitatea persoanelor vizate de a-si exercita drepturile. Ar trebui efectuata o evaluare a impactului asupra protectiei datelor si in situatiile in care datele cu caracter personal sunt prelucrate in scopul luarii de decizii care vizeaza anumite persoane fizice in urma unei evaluari sistematice si cuprinzatoare a aspectelor personale referitoare la persoane fizice, pe baza crearii de profiluri pentru datele respective, sau in urma prelucrarii unor categorii speciale de date cu caracter personal, a unor date biometrice sau a unor date privind condamnarile penale si infractiunile sau masurile de securitate conexe. Este la fel de necesara o evaluare a impactului asupra protectiei datelor pentru monitorizarea la scara larga a zonelor accesibile publicului, mai ales in cazul utilizarii dispozitivelor optoelectronice sau pentru orice alte operatiuni in cazul in care autoritatea de supraveghere competenta considera ca prelucrarea este susceptibila de a genera un risc ridicat pentru drepturile si libertatile persoanelor vizate, in special deoarece acestea impiedica persoanele vizate sa exercite un drept sau sa utilizeze un serviciu ori un contract, sau deoarece acestea sunt efectuate in mod sistematic la scara larga. Prelucrarea datelor cu caracter personal nu ar trebui considerata a fi la scara larga in cazul in care prelucrarea se refera la date cu caracter personal de la pacienti sau clienti de catre un anumit medic, un alt profesionist in domeniul sanatatii sau un avocat. In aceste cazuri, o evaluare a impactului asupra protectiei datelor nu ar trebui sa fie obligatorie. 
 
(92) 
In unele circumstante ar putea fi rezonabil si util din punct de vedere economic ca o evaluare a impactului asupra protectiei datelor sa aiba o perspectiva mai extinsa decat cea a unui singur proiect, de exemplu in cazul in care autoritati sau organisme publice intentioneaza sa instituie o aplicatie sau o platforma de prelucrare comuna sau in cazul in care mai multi operatori preconizeaza sa introduca o aplicatie comuna sau un mediu de prelucrare comun in cadrul unui sector sau segment industrial sau pentru o activitate orizontala utilizata la scara larga. 
 
(93) 
In contextul adoptarii legislatiei nationale pe care se bazeaza indeplinirea sarcinilor autoritatii publice sau ale organismului public si care reglementeaza operatiunea sau seria de operatiuni de prelucrare in cauza, statele membre pot considera ca este necesara efectuarea unei astfel de evaluari inaintea desfasurarii activitatilor de prelucrare. 
 
(94) 
In cazul in care o evaluare a impactului asupra protectiei datelor arata ca prelucrarea ar genera, in absenta garantiilor, masurilor de securitate si mecanismelor de atenuare a riscului, un risc ridicat pentru drepturile si libertatile persoanelor fizice, iar operatorul considera ca riscul nu poate fi atenuat prin mijloace rezonabile sub aspectul tehnologiilor disponibile si al costurilor implementarii, autoritatea de supraveghere ar trebui sa fie consultata inainte de inceperea activitatilor de prelucrare. Un astfel de risc ridicat este susceptibil sa fie generat de anumite tipuri de prelucrare, precum si de amploarea si frecventa prelucrarii, care pot duce si la producerea unor prejudicii sau pot atinge drepturile si libertatile persoanelor fizice. Autoritatea de supraveghere ar trebui sa raspunda cererii de consultare intr-un anumit termen. Cu toate acestea, lipsa unei reactii din partea autoritatii de supraveghere in termenul respectiv ar trebui sa nu aduca atingere niciunei interventii a autoritatii de supraveghere in conformitate cu sarcinile si competentele sale prevazute in prezentul regulament, inclusiv competenta de a interzice operatiuni de prelucrare. Ca parte a acestui proces de consultare, rezultatul unei evaluari a impactului asupra protectiei datelor efectuate cu privire la prelucrarea in cauza poate fi transmis autoritatii de supraveghere, in special masurile avute in vedere pentru a atenua riscul pentru drepturile si libertatile persoanelor fizice. 
 
(95) 
Persoana imputernicita de operator ar trebui sa acorde asistenta operatorului, daca este necesar si la cerere, la asigurarea respectarii obligatiilor care decurg din realizarea de evaluari ale impactului asupra protectiei datelor si din consultarea prealabila a autoritatii de supraveghere. 
 
(96) 
In timpul elaborarii unei masuri legislative sau de reglementare care prevede prelucrarea unor date cu caracter personal ar trebui, de asemenea, sa aiba loc o consultare a autoritatii de supraveghere, pentru a garanta conformitatea prelucrarii avute in vedere cu prezentul regulament si, in special, pentru a atenua riscul la care este expusa persoana vizata. 
 
(97) 
In cazul in care prelucrarea este efectuata de o autoritate publica, cu exceptia instantelor sau a autoritatilor judiciare independente atunci cand actioneaza in calitatea lor judiciara, in cazul in care, in sectorul privat, prelucrarea este efectuata de un operator a carui activitate principala consta in operatiuni de prelucrare care necesita o monitorizare regulata si sistematica a persoanelor vizate pe scara larga, sau in cazul in care activitatea principala a operatorului sau a persoanei imputernicite de operator consta in prelucrarea pe scara larga de categorii speciale de date cu caracter personal si de date privind condamnarile penale si infractiunile, o persoana care detine cunostinte de specialitate in materie de legislatie si practici privind protectia datelor ar trebui sa acorde asistenta operatorului sau persoanei imputernicite de operator pentru monitorizarea conformitatii, la nivel intern, cu prezentul regulament. In sectorul privat, activitatile principale ale unui operator se refera la activitatile sale de baza, si nu la prelucrarea datelor cu caracter personal drept activitati auxiliare. Nivelul necesar al cunostintelor de specialitate ar trebui sa fie stabilit in special in functie de operatiunile de prelucrare a datelor efectuate si de nivelul de protectie impus pentru datele cu caracter personal prelucrate de operator sau de persoana imputernicita de operator. Acesti responsabili cu protectia datelor, indiferent daca sunt sau nu angajati ai operatorului, ar trebui sa fie in masura sa isi indeplineasca atributiile si sarcinile in mod independent. 
 
(98) 
Asociatiile sau alte organisme care reprezinta categorii de operatori sau de persoane imputernicite de operatori ar trebui incurajate sa elaboreze coduri de conduita, in limitele prezentului regulament, astfel incat sa se faciliteze aplicarea efectiva a prezentului regulament, luandu-se in considerare caracteristicile specifice ale prelucrarii efectuate in anumite sectoare si necesitatile specifice ale microintreprinderilor si ale intreprinderilor mici si mijlocii. In special, astfel de coduri de conduita ar putea sa ajusteze obligatiile operatorilor si ale persoanelor imputernicite de operatori, tinand seama de riscul aferent prelucrarii care este susceptibil de a fi generat pentru drepturile si libertatile persoanelor fizice. 
 
(99) 
Atunci cand elaboreaza un cod de conduita sau cand modifica sau extind un astfel de cod, asociatiile si alte organisme care reprezinta categorii de operatori sau persoane imputernicite de operatori ar trebui sa consulte partile implicate relevante, inclusiv persoanele vizate, daca este fezabil, si sa ia in considerare contributiile transmise si opiniile exprimate in cadrul unor astfel de consultari. 
 
(100) 
Pentru a se imbunatati transparenta si conformitatea cu prezentul regulament, ar trebui sa se incurajeze instituirea de mecanisme de certificare, precum si de sigilii si marci in materie de protectie a datelor, care sa permita persoanelor vizate sa evalueze rapid nivelul de protectie a datelor aferent produselor si serviciilor relevante. 
 
(101) 
Fluxurile de date cu caracter personal catre si dinspre tari situate in afara Uniunii si organizatii internationale sunt necesare pentru dezvoltarea comertului international si a cooperarii internationale. Cresterea acestor fluxuri a generat noi provocari si preocupari cu privire la protectia datelor cu caracter personal. Cu toate acestea, in cazul in care se transfera date cu caracter personal din Uniune catre operatori, persoane imputernicite de operatori sau alti destinatari din tari terte sau organizatii internationale, nivelul de protectie a persoanelor fizice asigurat in Uniune prin prezentul regulament nu ar trebui sa fie diminuat, inclusiv in cazurile de transferuri ulterioare de date cu caracter personal dinspre tara terta sau organizatia internationala catre operatori, persoane imputernicite de operatori din aceeasi sau dintr-o alta tara terta sau organizatie internationala. In orice caz, transferurile catre tari terte si organizatii internationale pot fi desfasurate numai in conformitate deplina cu prezentul regulament. Un transfer ar putea avea loc numai daca, sub rezerva respectarii celorlalte dispozitii ale prezentului regulament, operatorul sau persoana imputernicita de operator indeplineste conditiile prevazute de dispozitiile prezentului regulament privind transferul de date cu caracter personal catre tari terte sau organizatii internationale. 
 
(102) 
Prezentul regulament nu aduce atingere acordurilor internationale incheiate intre Uniune si tari terte in vederea reglementarii transferului de date cu caracter personal, inclusiv garantii adecvate pentru persoanele vizate. Statele membre pot incheia acorduri internationale care implica transferul de date cu caracter personal catre tari terte sau organizatii internationale, in masura in care astfel de acorduri nu afecteaza prezentul regulament si nici alte dispozitii din dreptul Uniunii si includ un nivel corespunzator de protectie a drepturilor fundamentale ale persoanelor vizate. 
 
(103) 
Comisia poate decide, cu efect in intreaga Uniune, ca o tara terta, un teritoriu sau un anumit sector dintr-o tara terta sau o organizatie internationala ofera un nivel adecvat de protectie a datelor, asigurand astfel securitate juridica si uniformitate in Uniune in ceea ce priveste tara terta sau organizatia internationala care este considerata a furniza un astfel de nivel de protectie. In aceste cazuri, transferurile de date cu caracter personal catre tara terta sau organizatia internationala respectiva pot avea loc fara a fi necesar sa se obtina autorizari suplimentare. De asemenea, Comisia poate sa decida, dupa trimiterea unei notificari si a unei justificari complete tarii terte sau organizatiei internationale, sa anuleze o astfel de decizie. 
 
(104) 
In conformitate cu valorile fundamentale pe care se intemeiaza Uniunea, in special protectia drepturilor omului, Comisia ar trebui, in evaluarea sa referitoare la tara terta sau la un teritoriu sau la un sector specificat dintr-o tara terta, sa ia in considerare modul in care aceasta respecta statul de drept, accesul la justitie, precum si normele si standardele internationale in materie de drepturi ale omului si legislatia sa generala si sectoriala, inclusiv legislatia privind securitatea publica, apararea si securitatea nationala, precum si ordinea publica si dreptul penal. Adoptarea unei decizii privind caracterul adecvat al nivelului de protectie pentru un teritoriu sau un sector specificat dintr-o tara terta ar trebui sa tina seama de criterii clare si obiective, cum ar fi activitatile specifice de prelucrare si domeniul de aplicare al standardelor legale aplicabile si legislatia in vigoare in tara terta respectiva. Tara terta ar trebui sa ofere garantii care sa asigure un nivel adecvat de protectie, echivalent in esenta cu cel asigurat in cadrul Uniunii, in special atunci cand datele cu caracter personal sunt prelucrate in unul sau mai multe sectoare specifice. In special, tara terta ar trebui sa asigure o supraveghere efectiva independenta in materie de protectie a datelor si sa prevada mecanisme de cooperare cu autoritatile statelor membre de protectie a datelor, iar persoanele vizate ar trebui sa beneficieze de drepturi efective si opozabile si de reparatii efective pe cale administrativa si judiciara. 
 
(105) 
Pe langa angajamentele internationale asumate de tara terta sau de organizatia internationala, Comisia ar trebui sa tina seama de obligatiile care decurg din participarea tarii terte sau a organizatiei internationale la sistemele multilaterale sau regionale, in special in ceea ce priveste protectia datelor cu caracter personal, precum si de punerea in aplicare a unor astfel de obligatii. In special, ar trebui sa fie luata in considerare aderarea tarii terte la Conventia Consiliului Europei din 28 ianuarie 1981 pentru protejarea persoanelor fata de prelucrarea automatizata a datelor cu caracter personal si protocolul aditional la aceasta. Comisia ar trebui sa consulte comitetul atunci cand evalueaza nivelul de protectie din tarile terte sau din organizatiile internationale. 
 
(106) 
Comisia ar trebui sa monitorizeze functionarea deciziilor privind nivelul de protectie dintr-o tara terta sau un teritoriu sau un anumit sector dintr-o tara terta sau dintr-o organizatie internationala si sa monitorizeze functionarea deciziilor adoptate in temeiul articolului 25 alineatul (6) sau al articolului 26 alineatul (4) din Directiva 95/46/CE. In deciziile sale privind caracterul adecvat al nivelului de protectie, Comisia ar trebui sa prevada un mecanism de revizuire periodica a modului lor de functionare. Aceasta revizuire periodica ar trebui sa fie efectuata in consultare cu tara terta sau organizatia internationala in cauza si ar trebui sa ia in considerare toate evolutiile relevante din tara terta sau organizatia internationala. In scopul monitorizarii si al efectuarii revizuirilor periodice, Comisia ar trebui sa ia in considerare opiniile si constatarile Parlamentului European si ale Consiliului, precum si ale altor organisme si surse relevante. Comisia ar trebui sa evalueze, intr-un termen rezonabil, functionarea deciziilor din urma si sa raporteze toate constatarile relevante comitetului, in sensul Regulamentului (UE) nr. 182/2011 al Parlamentului European si al Consiliului (12), dupa cum s-a stabilit in temeiul prezentului regulament, Parlamentului European si Consiliului. 
 
(107) 
Comisia poate sa recunoasca faptul ca o tara terta,un teritoriu sau un sector specificat dintr-o tara terta sau o organizatie internationala nu mai asigura un nivel adecvat de protectie a datelor. In consecinta, transferul de date cu caracter personal catre tara terta sau organizatia internationala respectiva ar trebui sa fie interzis, cu exceptia cazului in care sunt indeplinite cerintele prevazute in prezentul regulament privind transferurile in baza unor garantii adecvate, inclusiv regulile corporatiste obligatorii si derogarile de la situatiile specifice. In acest caz, ar trebui sa se prevada dispozitii pentru consultari intre Comisie si astfel de tari terte sau organizatii internationale. Comisia ar trebui ca, in timp util, sa informeze tara terta sau organizatia internationala cu privire la aceste motive si sa initieze consultari cu aceasta pentru remedierea situatiei. 

(108) 
In absenta unei decizii privind caracterul adecvat al nivelului de protectie, operatorul sau persoana imputernicita de operator ar trebui sa adopte masuri pentru a compensa lipsa protectiei datelor intr-o tara terta prin intermediul unor garantii adecvate pentru persoana vizata. Astfel de garantii adecvate pot consta in utilizarea regulilor corporatiste obligatorii, a clauzelor standard de protectie a datelor adoptate de Comisie, a clauzelor standard de protectie a datelor adoptate de o autoritate de supraveghere sau a clauzelor contractuale autorizate de o autoritate de supraveghere. Respectivele garantii ar trebui sa asigure respectarea cerintelor in materie de protectie a datelor si drepturi ale persoanelor vizate corespunzatoare prelucrarii in interiorul Uniunii, inclusiv disponibilitatea unor drepturi opozabile ale persoanelor vizate si a unor cai de atac eficiente, printre care dreptul de acces la reparatii efective pe cale administrativa sau judiciara si dreptul de a solicita despagubiri, in Uniune sau intr-o tara terta. Acestea ar trebui sa se refere in special la respectarea principiilor generale privind prelucrarea datelor cu caracter personal: principiul protectiei datelor incepand cu momentul conceperii si principiul protectiei implicite a datelor. Transferurile pot fi efectuate si de catre autoritatile sau organismele publice cu autoritati sau organisme publice in tari terte sau cu organizatii internationale cu atributii si functii corespunzatoare, inclusiv pe baza dispozitiilor care prevad drepturi opozabile si efective pentru persoanele vizate, care trebuie introduse in acordurile administrative, cum ar fi un memorandum de intelegere. Autorizatia din partea autoritatii de supraveghere competente ar trebui obtinuta atunci cand garantiile sunt oferite in cadrul unor acorduri administrative fara caracter juridic obligatoriu. 

(109) 
Posibilitatea ca operatorul sau persoana imputernicita de operator sa utilizeze clauze standard in materie de protectie a datelor, adoptate de Comisie sau de o autoritate de supraveghere, nu ar trebui sa impiedice operatorii sau persoanele imputernicite de acestia sa includa clauzele standard in materie de protectie a datelor intr-un contract mai amplu, precum un contract intre persoana imputernicita de operator si o alta persoana imputernicita de operator, si nici sa adauge alte clauze sau garantii suplimentare, atat timp cat acestea nu contravin, direct sau indirect, clauzelor contractuale standard adoptate de Comisie sau de o autoritate de supraveghere sau nu prejudiciaza drepturile sau libertatile fundamentale ale persoanelor vizate. Operatorii si persoanele imputernicite de operatori ar trebui sa fie incurajati sa ofere garantii suplimentare prin intermediul unor angajamente contractuale care sa completeze clauzele standard in materie de protectie. 
 
(110) 
Un grup de intreprinderi sau un grup de intreprinderi implicat intr-o activitate economica comuna ar trebui sa poata utiliza regulile corporatiste obligatorii aprobate pentru transferurile sale internationale dinspre Uniune catre organizatii din cadrul aceluiasi grup de intreprinderi sau grup de intreprinderi implicate intr-o activitate economica comuna, cu conditia ca astfel de reguli corporatiste sa includa toate principiile esentiale si drepturile opozabile in scopul asigurarii unor garantii adecvate pentru transferurile sau categoriile de transferuri de date cu caracter personal. 
 
(111) 
Ar trebui sa se prevada posibilitatea de a se efectua transferuri in anumite circumstante in care persoana vizata si-a dat consimtamantul explicit, in care transferul este ocazional si necesar in legatura cu un contract sau cu o actiune in justitie, indiferent daca este in contextul unei proceduri judiciare sau in contextul unei proceduri administrative sau extrajudiciare, inclusiv in cadrul procedurilor inaintate organismelor de reglementare. De asemenea, ar trebui sa se prevada posibilitatea de a se efectua transferuri in cazul in care motive importante de interes public stabilite de dreptul Uniunii sau de dreptul intern impun acest lucru sau in cazul in care transferul se efectueaza dintr-un registru instituit prin lege si destinat sa fie consultat de catre public sau de catre persoane care au un interes legitim. In acest ultim caz, un astfel de transfer nu ar trebui sa implice totalitatea datelor cu caracter personal sau ansamblul categoriilor de date continute in registru, iar atunci cand registrul este destinat sa fie consultat de persoane care au un interes legitim, transferul ar trebui sa fie efectuat doar la cererea persoanelor respective sau daca acestea sunt destinatarii, luand pe deplin in considerare interesele si drepturile fundamentale ale persoanei vizate. 
 
(112) 
Aceste derogari ar trebui sa se aplice, in special, transferurilor de date solicitate si necesare din considerente importante de interes public, de exemplu in cazul schimbului international de date intre autoritatile din domeniul concurentei, administratiile fiscale sau vamale, intre autoritatile de supraveghere financiara, intre serviciile competente in materie de securitate sociala sau de sanatate publica, de exemplu in cazul depistarii punctelor de contact pentru bolile contagioase sau pentru reducerea si/sau eliminarea dopajului in sport. Un transfer de date cu caracter personal ar trebui, de asemenea, sa fie considerat legal in cazul in care este necesar in scopul protejarii unui interes care este esential in interesele vitale ale persoanei vizate sau ale unei alte persoane, inclusiv pentru integritatea fizica sau pentru viata acesteia, in cazul in care persona vizata nu are capacitatea sa isi dea consimtamantul. In absenta unei decizii privind caracterul adecvat al nivelului de protectie, dreptul Uniunii sau dreptul intern poate, din considerente importante de interes public, stabili in mod expres limite asupra transferului unor categorii specifice de date catre o tara terta sau o organizatie internationala. Statele membre ar trebui sa notifice Comisiei aceste dispozitii. Orice transfer catre o organizatie umanitara internationala al datelor cu caracter personal ale unei persoane vizate care se afla in incapacitate fizica sau juridica de a isi da consimtamantul, in vederea indeplinirii unei sarcini care decurge din Conventiile de la Geneva sau in vederea conformarii cu dreptul international umanitar aplicabil in conflictele armate, ar putea fi considerat necesar pentru un motiv important de interes public sau pentru ca este in interesul vital al persoanei vizate. 
 
(113) 
Transferurile care pot fi considerate ca nefiind repetitive si care se refera doar la un numar limitat de persoane vizate, ar putea, de asemenea, sa fie efectuate in scopul realizarii intereselor legitime urmarite de operator, atunci cand asupra respectivelor interese nu prevaleaza interesele sau drepturile si libertatile persoanei vizate si atunci cand operatorul a evaluat toate circumstantele aferente transferului de date. Operatorul ar trebui sa acorde o atentie deosebita naturii datelor cu caracter personal, scopului si duratei operatiunii sau operatiunilor propuse de prelucrare, precum si situatiei din tara de origine, din tara terta si din tara de destinatie finala si ar trebui sa ofere garantii adecvate pentru protectia drepturilor si libertatilor fundamentale ale persoanelor fizice in ceea ce priveste prelucrarea datelor lor cu caracter personal. Astfel de transferuri ar trebui sa fie posibile numai in cazurile reziduale in care nu se poate aplica niciunul dintre celelalte motive de transfer. In ceea ce priveste scopurile de cercetare stiintifica sau istorica sau scopurile statistice, ar trebui sa se ia in considerare asteptarile legitime ale societatii cu privire la cresterea nivelului de cunostinte. Operatorul ar trebui sa informeze autoritatea de supraveghere si persoana vizata cu privire la transfer. 
 
(114) 
In orice caz, atunci cand Comisia nu a luat o decizie cu privire la nivelul adecvat de protectie a datelor dintr-o tara terta, operatorul sau persoana imputernicita de operator ar trebui sa utilizeze solutii care sa ofere persoanelor vizate drepturi opozabile si efective in ceea ce priveste prelucrarea datelor lor in Uniune odata ce aceste date au fost transferate, astfel incat persoanele vizate sa beneficieze in continuare de drepturi fundamentale si garantii. 
 
(115) 
Unele tari terte au adoptat legi, reglementari si alte acte juridice care au drept obiectiv sa reglementeze in mod direct activitatile de prelucrare a datelor ale persoanelor fizice si juridice aflate sub jurisdictia statelor membre. Aceasta poate include hotarari ale instantelor judecatoresti sau decizii ale autoritatilor administrative din tari terte care solicita unui operator sau unei persoane imputernicite de operator sa transfere sau sa divulge date cu caracter personal si care nu se bazeaza pe un acord international, cum ar fi un tratat de asistenta juridica reciproca, in vigoare intre tara terta solicitanta si Uniune sau un stat membru. Aplicarea extrateritoriala a acestor legi, reglementari si alte acte juridice poate incalca dreptul international si poate impiedica asigurarea protectiei persoanelor fizice asigurata in Uniune prin prezentul regulament. Transferurile ar trebui sa fie permise numai in cazul indeplinirii conditiilor prevazute de prezentul regulament pentru un transfer catre tari terte. Acesta ar putea fi cazul, inter alia, atunci cand divulgarea este necesara dintr-un motiv important de interes public recunoscut in dreptul Uniunii sau in dreptul intern care se aplica operatorului. 
 
(116) 
Fluxul transfrontalier de date cu caracter personal in afara Uniunii poate expune unui risc sporit capacitatea persoanelor fizice de a-si exercita drepturile in materie de protectie a datelor, in special pentru a-si asigura protectia impotriva utilizarii sau a divulgarii ilegale a acestor informatii. In acelasi timp, autoritatile de supraveghere pot constata ca se afla in imposibilitatea de a trata plangeri sau de a efectua investigatii referitoare la activitatile desfasurate in afara frontierelor lor. Eforturile acestora de a conlucra in context transfrontalier pot fi, de asemenea, ingreunate de insuficienta competentelor de prevenire sau remediere, de caracterul eterogen al regimurilor juridice si de existenta unor obstacole de ordin practic, cum ar fi constrangerile in materie de resurse. Prin urmare, este necesar sa se promoveze o cooperare mai stransa intre autoritatile de supraveghere a protectiei datelor pentru a putea face schimb de informatii si a desfasura investigatii impreuna cu omologii lor internationali. In scopul elaborarii de mecanisme de cooperare internationala pentru a facilita si a oferi asistenta internationala reciproca in asigurarea aplicarii legislatiei din domeniul protectiei datelor cu caracter personal, Comisia si autoritatile de supraveghere ar trebui sa faca schimb de informatii si sa coopereze in cadrul activitatilor legate de exercitarea competentelor lor cu autoritatile competente din tari terte, pe baza de reciprocitate si in conformitate cu prezentul regulament. 
 
(117) 
Instituirea in statele membre a unor autoritati de supraveghere, imputernicite sa isi indeplineasca sarcinile si sa isi exercite competentele in deplina independenta, este un element esential al protectiei persoanelor fizice in ceea ce priveste prelucrarea datelor lor cu caracter personal. Statele membre ar trebui sa poata institui mai multe autoritati de supraveghere, pentru a reflecta structura lor constitutionala, organizatorica si administrativa. 
 
(118) 
Independenta autoritatilor de supraveghere nu ar trebui sa insemne ca autoritatile de supraveghere nu pot face obiectul unor mecanisme de control sau de monitorizare in ceea ce priveste cheltuielile acestora sau unui control jurisdictional. 
 
(119) 
In cazul in care un stat membru instituie mai multe autoritati de supraveghere, acesta ar trebui sa stabileasca prin lege mecanisme care sa asigure participarea efectiva a autoritatilor de supraveghere respective la mecanismul pentru asigurarea coerentei. Statul membru respectiv ar trebui, in special, sa desemneze autoritatea de supraveghere care indeplineste functia de punct unic de contact pentru participarea efectiva a acestor autoritati la mecanism, in scopul asigurarii unei cooperari rapide si armonioase cu alte autoritati de supraveghere, cu comitetul si cu Comisia. 
 
(120) 
Fiecare autoritate de supraveghere ar trebui sa beneficieze de resurse financiare si umane, de spatiile si de infrastructura necesare pentru indeplinirea cu eficacitate a sarcinilor lor, inclusiv a celor legate de asistenta reciproca si cooperarea cu alte autoritati de supraveghere in intreaga Uniune. Fiecare autoritate de supraveghere ar trebui sa aiba un buget public anual separat, care poate face parte din bugetul general de stat sau national. 
 
(121) 
Conditiile generale pentru membrul sau membrii autoritatii de supraveghere ar trebui stabilite de lege in fiecare stat membru si ar trebui, in special, sa prevada ca respectivii membri sunt numiti printr-o procedura transparenta fie de parlamentul, de guvernul ori seful de stat al statului membru pe baza unei propuneri din partea guvernului, a unui membru al guvernului, a parlamentului sau a unei camere a parlamentului, fie de catre un organism independent imputernicit prin dreptul intern. In vederea asigurarii independentei autoritatii de supraveghere, membrul sau membrii acesteia ar trebui sa actioneze cu integritate, sa nu intreprinda actiuni incompatibile cu indatoririle lor, iar, pe durata mandatului, ar trebui sa nu desfasoare activitati incompatibile, remunerate sau nu. Autoritatea de supraveghere ar trebui sa aiba personal propriu, ales de autoritatea de supraveghere sau de un organism independent infiintat in temeiul dreptului intern, care ar trebui sa fie subordonat exclusiv membrului sau membrilor autoritatii de supraveghere. 
 
(122) 
Fiecare autoritate de supraveghere ar trebui sa aiba, pe teritoriul statului membru de care apartine, atributia de a exercita competentele si de a indeplini sarcinile cu care este investita in conformitate cu prezentul regulament. Aceasta ar trebui sa includa in special prelucrarea in contextul activitatilor unui sediu al operatorului sau al persoanei imputernicite de operator pe teritoriul propriului stat membru, prelucrarea datelor cu caracter personal efectuata de autoritatile publice sau de organisme private care actioneaza in interes public, prelucrarea care afecteaza persoanele vizate de pe teritoriul sau sau prelucrarea efectuata de catre un operator sau o persoana imputernicita de operator care nu isi are sediul in Uniune in cazul in care aceasta priveste persoane vizate care isi au resedinta pe teritoriul sau. Aceasta ar trebui sa includa tratarea plangerilor depuse de o persoana vizata, efectuarea de investigatii privind aplicarea prezentului regulament si promovarea informarii publicului cu privire la riscurile, normele, garantiile si drepturile in materie de prelucrare a datelor cu caracter personal. 
 
(123) 
Autoritatile de supraveghere ar trebui sa monitorizeze aplicarea dispozitiilor prevazute de prezentul regulament si sa contribuie la aplicarea coerenta a acestuia in intreaga Uniune, in scopul asigurarii protectiei persoanelor fizice in ceea ce priveste prelucrarea datelor lor cu caracter personal si al facilitarii liberei circulatii a datelor cu caracter personal in interiorul pietei interne. In acest sens, autoritatile de supraveghere ar trebui sa coopereze reciproc, precum si cu Comisia, fara sa fie necesar niciun acord intre statele membre cu privire la acordarea de asistenta reciproca sau cu privire la respectiva cooperare. 
 
(124) 
In cazul in care prelucrarea datelor cu caracter personal se desfasoara in cadrul activitatilor unui sediu al unui operator sau al unei persoane imputernicite de operator din Uniune, iar operatorul sau persoana imputernicita de operator are sedii in mai multe state membre, sau in cazul in care prelucrarea care se desfasoara in contextul activitatilor unui singur sediu al unui operator sau al unei persoane imputernicite de operator din Uniune afecteaza sau este susceptibila sa afecteze semnificativ persoane vizate din mai multe state membre, autoritatea de supraveghere a sediului principal al operatorului sau al persoanei imputernicite de operator ori a sediului unic al operatorului sau al persoanei imputernicite de operator ar trebui sa actioneze in calitate de autoritate principala. Aceasta ar trebui sa coopereze cu celelalte autoritati vizate, pentru ca operatorul sau persoana imputernicita de operator are un sediu pe teritoriul statului lor membru, pentru ca persoanele vizate care isi au resedinta pe teritoriul lor sunt afectate in mod semnificativ sau pentru ca le-a fost inaintata o plangere. De asemenea, in cazul in care o persoana vizata care nu isi are resedinta in statul membru respectiv a depus o plangere, autoritatea de supraveghere la care a fost depusa plangerea ar trebui, de asemenea, sa fie o autoritate de supraveghere vizata. In cadrul sarcinilor sale de a emite orientari cu privire la orice chestiune referitoare la punerea in aplicare a prezentului regulament, comitetul ar trebui sa poata emite orientari privind, in special, criteriile care trebuie luate in considerare pentru a se stabili daca prelucrarea in cauza afecteaza in mod semnificativ persoane vizate din mai multe state membre si privind continutul unei obiectii relevante si motivate.  
 
(125) 
Autoritatea principala ar trebui sa aiba competenta de a adopta decizii obligatorii privind masurile de aplicare a competentelor care ii sunt conferite in conformitate cu prezentul regulament. In calitatea sa de autoritate principala, autoritatea de supraveghere ar trebui sa implice indeaproape si sa coordoneze activitatile autoritatilor de supraveghere vizate in procesul decizional. In cazurile in care decizia este de respingere partiala sau totala a plangerii din partea persoanei vizate, o asemenea decizie ar trebui adoptata de catre autoritatea de supraveghere la care s-a depus plangerea. 
 
(126) 
Decizia ar trebui convenita in comun de autoritatea de supraveghere principala si de autoritatile de supraveghere vizate si ar trebui sa vizeze sediul principal sau sediul unic al operatorului sau al persoanei imputernicite de operator si sa fie obligatorie pentru operator si pentru persoana imputernicita de operator. Operatorul sau persoana imputernicita de operator ar trebui sa ia masurile necesare pentru a asigura conformitatea cu prezentul regulament si punerea in aplicare a deciziei notificate de autoritatea de supraveghere principala sediului principal al operatorului sau al persoanei imputernicite de operator in ceea ce priveste activitatile de prelucrare in Uniune. 
 
(127) 
Fiecare autoritate de supraveghere care nu actioneaza ca autoritate de supraveghere principala ar trebui sa aiba competenta de a trata cazuri locale, in care operatorul sau persoana imputernicita de operator are sedii in mai multe state membre, dar obiectul respectivei prelucrari priveste doar prelucrarea efectuata intr-un singur stat membru si implicand doar persoane vizate din acel unic stat membru, de exemplu in cazul in care obiectul il constituie prelucrarea datelor cu caracter personal ale angajatilor in contextul specific legat de forta de munca dintr-un stat membru. In astfel de cazuri, autoritatea de supraveghere ar trebui sa informeze fara intarziere autoritatea de supraveghere principala cu privire la aceasta chestiune. Dupa ce a fost informata, autoritatea de supraveghere principala ar trebui sa decida daca va trata ea insasi cazul in temeiul dispozitiei privind cooperarea intre autoritatea de supraveghere principala si alte autoritati de supraveghere vizate („mecanismul ghiseului unic”), sau daca autoritatea de supraveghere care a informat-o ar trebui sa se ocupe de caz la nivel local. Atunci cand decide daca va trata cazul, autoritatea de supraveghere principala ar trebui sa ia in considerare daca exista un sediu al operatorului sau al persoanei imputernicite de operator in statul membru al autoritatii de supraveghere care a informat-o, in vederea garantarii respectarii efective a unei decizii in ceea ce priveste operatorul sau persoana imputernicita de operator. In cazul in care autoritatea de supraveghere principala decide sa trateze cazul, autoritatea de supraveghere care a informat-o ar trebui sa beneficieze de posibilitatea de a prezenta un proiect de decizie, de care autoritatea de supraveghere principala ar trebui sa tina seama in cea mai mare masura atunci cand pregateste proiectul sau de decizie in cadrul respectivului mecanism al ghiseului unic. 
 
(128)
Normele privind autoritatea de supraveghere principala si mecanismul ghiseului unic nu ar trebui sa se aplice in cazul in care prelucrarea este efectuata de autoritati publice sau organisme private in interes public. In asemenea cazuri, singura autoritate de supraveghere competenta sa isi exercite competentele care i-au fost atribuite in conformitate cu prezentul regulament ar trebui sa fie autoritatea de supraveghere a statului membru in care autoritatea publica sau organismul privat isi are sediul. 
 
(129) 
Pentru a se asigura consecventa monitorizarii si a aplicarii prezentului regulament in intreaga Uniune, autoritatile de supraveghere ar trebui sa aiba in fiecare stat membru aceleasi sarcini si competente efective, inclusiv competente de investigare, competente corective si sanctiuni, precum si competente de autorizare si de consiliere, in special in cazul plangerilor depuse de persoane fizice, precum si, fara a aduce atingere competentelor autoritatilor de urmarire penala in temeiul dreptului intern, de a aduce in atentia autoritatilor judiciare cazurile de incalcare a prezentului regulament si de a se implica in proceduri judiciare. Aceste competente ar trebui sa includa si competenta de a impune o limitare temporara sau definitiva, inclusiv o interdictie, asupra prelucrarii. Statele membre pot stabili alte sarcini legate de protectia datelor cu caracter personal in temeiul prezentului regulament. Competentele autoritatilor de supraveghere ar trebui exercitate in conformitate cu garantii procedurale adecvate prevazute in dreptul Uniunii si in dreptul intern, in mod impartial, echitabil si intr-un termen rezonabil. In special, fiecare masura ar trebui sa fie adecvata, necesara si proportionala in scopul de a asigura conformitatea cu dispozitiile prezentului regulament, luand in considerare circumstantele fiecarui caz in parte, sa respecte dreptul oricarei persoane de a fi ascultata inainte de luarea oricarei masuri individuale care ar putea sa ii aduca atingere si sa evite costurile inutile si inconvenientele excesive pentru persoanele in cauza. Competentele de investigare in ceea ce priveste accesul in incinte ar trebui exercitate in conformitate cu cerintele specifice din dreptul procedural national, cum ar fi obligatia de a obtine in prealabil o autorizare judiciara. Fiecare masura obligatorie din punct de vedere juridic luata de autoritatea de supraveghere ar trebui sa fie prezentata in scris, sa fie clara si lipsita de ambiguitate, sa indice autoritatea de supraveghere care a emis masura, data emiterii masurii, sa poarte semnatura sefului sau a unui membru al autoritatii de supraveghere autorizat de acesta, sa furnizeze motivele pentru care s-a luat masura si sa faca trimitere la dreptul la o cale de atac eficienta. Acest lucru nu ar trebui sa excluda cerinte suplimentare in conformitate cu dreptul procedural national. Adoptarea unor astfel de decizii obligatorii din punct de vedere juridic implica faptul ca se poate da nastere unui control jurisdictional in statul membru al autoritatii de supraveghere care a adoptat decizia. 
 
(130) 
In cazul in care autoritatea de supraveghere la care s-a depus plangerea nu este autoritatea de supraveghere principala, autoritatea de supraveghere principala ar trebui sa coopereze indeaproape cu autoritatea de supraveghere la care s-a depus plangerea, in conformitate cu dispozitiile privind cooperarea si consecventa prevazute in prezentul regulament. In astfel de cazuri, autoritatea de supraveghere principala ar trebui, atunci cand ia masuri destinate sa produca efecte juridice, inclusiv impunerea de amenzi administrative, sa tina seama cat mai mult posibil de opinia autoritatii de supraveghere la care a fost depusa plangerea si care ar trebui sa isi mentina competenta de a desfasura orice investigatie pe teritoriul propriului stat membru, in colaborare cu autoritatea de supraveghere principala. 
 
(131) 
In cazurile in care o alta autoritate de supraveghere ar trebui sa actioneze in calitate de autoritate de supraveghere principala pentru activitatile de prelucrare ale operatorului sau ale persoanei imputernicite de operator, dar obiectul concret al unei plangeri sau posibila incalcare vizeaza numai activitatile de prelucrare ale operatorului sau ale persoanei imputernicite de operator in statul membru in care a fost depusa plangerea sau a fost depistata posibila incalcare, iar chestiunea nu afecteaza in mod substantial sau nu este susceptibila sa afecteze in mod substantial persoane vizate din alte state membre, autoritatea de supraveghere care a primit o plangere sau a depistat ori a fost informata in alt mod asupra unor situatii de posibile incalcari ale prezentului regulament ar trebui sa incerce o solutionare pe cale amiabila cu operatorul si, in cazul in care aceasta esueaza, sa isi exercite plenitudinea competentelor. Aceasta ar trebui sa includa activitati specifice de prelucrare efectuate pe teritoriul statului membru al autoritatii de supraveghere ori cu privire la persoane vizate de pe teritoriul acelui stat membru, activitati de prelucrare care au loc in contextul unei oferte de bunuri sau servicii destinate in mod special persoanelor vizate pe teritoriul statului membru al autoritatii de supraveghere sau activitati de prelucrare care trebuie evaluate tinand seama de obligatiile juridice relevante in temeiul dreptului intern. 
 
(132)  
Activitatile de crestere a gradului de constientizare organizate pentru public de autoritatile de supraveghere ar trebui sa includa masuri specifice care sa vizeze operatorii si persoanele imputernicite de operatori, inclusiv microintreprinderile si intreprinderile mici si mijlocii, precum si persoanele fizice, in special in context educational. 
 
(133) 
Autoritatile de supraveghere ar trebui sa isi acorde reciproc asistenta in indeplinirea sarcinilor care le revin, pentru a se asigura coerenta aplicarii prezentului regulament pe piata interna. O autoritate de supraveghere care solicita asistenta reciproca poate adopta o masura provizorie in cazul in care nu primeste un raspuns la o solicitare de asistenta reciproca in termen de o luna de la primirea solicitarii de catre cealalta autoritate de supraveghere. 
 
(134) 
Fiecare autoritate de supraveghere ar trebui sa participe, dupa caz, la operatiuni comune intre autoritatile de supraveghere. Autoritatea de supraveghere careia i s-a adresat solicitarea ar trebui sa aiba obligatia de a raspunde cererii intr-un anumit termen. 
 
(135) 
Pentru a se asigura aplicarea coerenta a prezentului regulament in intreaga Uniune, ar trebui sa se instituie un mecanism pentru asigurarea coerentei in cadrul caruia autoritatile de supraveghere sa coopereze. Acest mecanism ar trebui sa se aplice, in special, in cazul in care o autoritate de supraveghere intentioneaza sa adopte o masura prevazuta a produce efecte juridice in ceea ce priveste operatiunile de prelucrare care afecteaza in mod substantial un numar semnificativ de persoane vizate din mai multe state membre. Mecanismul ar trebui sa se aplice, de asemenea, in cazul in care o autoritate de supraveghere vizata sau Comisia solicita ca aspectul respectiv sa fie tratat in cadrul mecanismului pentru asigurarea coerentei. Acest mecanism nu ar trebui sa aduca atingere masurilor pe care Comisia le poate adopta in exercitarea competentelor care ii revin in temeiul tratatelor. 
 
(136) 
In aplicarea mecanismului pentru asigurarea coerentei, comitetul ar trebui, intr-un anumit termen, sa emita un aviz in cazul in care o majoritate a membrilor sai decide astfel sau in cazul in care orice autoritate de supraveghere vizata sau Comisia solicita acest lucru. Comitetul ar trebui, de asemenea, sa fie imputernicit sa adopte decizii obligatorii din punct de vedere juridic in cazul unor litigii intre autoritatile de supraveghere. In acest scop, acesta ar trebui sa emita, in principiu cu o majoritate de doua treimi din membrii sai, decizii obligatorii din punct de vedere juridic, in cazuri bine definite, in cazul in care exista opinii divergente intre autoritatile de supraveghere, in special in cadrul mecanismului de cooperare intre autoritatea de supraveghere principala si autoritatile de supraveghere vizate privind fondul cauzei, in special existenta sau nu a unei incalcari a prezentului regulament. 
 
(137) 
Este posibil sa existe o necesitate urgenta de a se actiona pentru asigurarea protectiei drepturilor si libertatilor persoanelor vizate, in special in cazul in care exista pericolul ca exercitarea unui drept al unei persoane vizate sa fie impiedicata in mod considerabil. Prin urmare, o autoritate de supraveghere ar trebui sa poata adopta masuri provizorii pe teritoriul sau, justificate in mod corespunzator, avand o perioada de valabilitate determinata care nu ar trebui sa depaseasca trei luni. 
 
(138) 
Aplicarea unui astfel de mecanism ar trebui sa constituie o conditie pentru legalitatea unei masuri destinate sa produca efecte juridice, luate de o autoritate de supraveghere, in cazurile in care aplicarea acesteia este obligatorie. In alte cazuri cu relevanta transfrontaliera, ar trebui pus in aplicare mecanismul de cooperare intre autoritatea de supraveghere principala si autoritatile de supraveghere vizate, iar intre autoritatile de supraveghere vizate s-ar putea acorda asistenta reciproca si s-ar putea desfasura operatiuni comune pe baza bilaterala sau multilaterala, fara declansarea mecanismului pentru asigurarea coerentei. 
 
(139) 
Cu scopul de a promova aplicarea coerenta a prezentului regulament, comitetul ar trebui instituit ca organ independent al Uniunii. Pentru a-si indeplini obiectivele, comitetul ar trebui sa aiba personalitate juridica. Comitetul ar trebui sa fie reprezentat de presedintele sau. Acesta ar trebui sa inlocuiasca Grupul de lucru pentru protectia persoanelor in ceea ce priveste prelucrarea datelor cu caracter personal, instituit prin Directiva 95/46/CE. Acesta ar trebui sa fie alcatuit din sefii autoritatilor de supraveghere din fiecare stat membru si din Autoritatea Europeana pentru Protectia Datelor sau reprezentantii acestora. Comisia ar trebui sa participe la activitatile comitetului fara a avea drept de vot, iar Autoritatea Europeana pentru Protectia Datelor ar trebui sa aiba drepturi de vot speciale. Comitetul ar trebui sa contribuie la aplicarea coerenta a prezentului regulament in intreaga Uniune, inclusiv prin oferirea de consiliere Comisiei, in special cu privire la nivelul de protectie in tarile terte si in cadrul organizatiilor internationale, si prin promovarea cooperarii autoritatilor de supraveghere in intreaga Uniune. Comitetul ar trebui sa actioneze in mod independent in indeplinirea sarcinilor sale. 
 
(140) 
Comitetul ar trebui sa fie asistat de un secretariat asigurat de Autoritatea Europeana pentru Protectia Datelor. Personalul Autoritatii Europene pentru Protectia Datelor implicat in indeplinirea sarcinilor conferite comitetului in temeiul prezentului regulament ar trebui sa isi indeplineasca sarcinile exclusiv conform instructiunilor presedintelui comitetului si sa raporteze acestuia. 
 
(141) 
Orice persoana vizata ar trebui sa aiba dreptul de a depune o plangere la o singura autoritate de supraveghere, in special in statul membru in care isi are resedinta obisnuita, precum si dreptul la o cale de atac eficienta in conformitate cu articolul 47 din carta, in cazul in care persoana vizata considera ca drepturile sale in temeiul prezentului regulament sunt incalcate sau in cazul in care autoritatea de supraveghere nu reactioneaza la o plangere, respinge sau refuza partial sau total o plangere sau nu actioneaza atunci cand o astfel de actiune este necesara pentru asigurarea protectiei drepturilor persoanei vizate. Investigatia in urma unei plangeri ar trebui sa fie efectuata, sub control judiciar, in masura in care este necesar, in functie de caz. Autoritatea de supraveghere ar trebui sa informeze persoana vizata cu privire la evolutia si solutionarea plangerii intr-un termen rezonabil. In eventualitatea in care cazul necesita o investigare suplimentara sau coordonarea cu o alta autoritate de supraveghere, ar trebui sa se furnizeze informatii intermediare persoanei vizate. In vederea facilitarii depunerii plangerilor, fiecare autoritate de supraveghere ar trebui sa ia masuri precum punerea la dispozitie a unui formular de depunere a plangerii, care sa poata fi completat inclusiv in format electronic, fara a exclude alte mijloace de comunicare. 
 
(142) 
In cazul in care persoana vizata considera ca drepturile sale in temeiul prezentului regulament sunt incalcate, aceasta ar trebui sa aiba dreptul de a mandata un organism, o organizatie sau o asociatie fara scop lucrativ care este infiintat(a) in conformitate cu dreptul intern, ale carui (carei) obiective statutare sunt in interesul public si care isi desfasoara activitatea in domeniul asigurarii protectiei datelor cu caracter personal, sa depuna o plangere in numele sau la o autoritate de supraveghere, sa exercite dreptul la o cale de atac in numele persoanelor vizate sau, in cazul in care se prevede in dreptul intern, sa exercite dreptul de a primi despagubiri in numele persoanelor vizate. Un stat membru poate prevedea ca un astfel de organism, organizatie sau asociatie sa aiba dreptul de a depune o plangere in statul membru respectiv, independent de mandatul acordat de o persoana vizata, si sa aiba dreptul la o cale de atac eficienta in cazul in care are motive sa considere ca drepturile unei persoane vizate au fost incalcate ca rezultat al unei prelucrari a datelor cu caracter personal care incalca prezentul regulament. Organismul, organizatia sau asociatia in cauza nu poate pretinde despagubiri in numele unei persoane vizate, independent de mandatul acordat de persoana vizata. 
 
(143) 
Orice persoana fizica sau juridica are dreptul de a introduce o actiune in anulare impotriva deciziilor comitetului in fata Curtii de Justitie, in conformitate cu conditiile prevazute la articolul 263 din TFUE. In calitate de destinatare ale acestor decizii, autoritatile de supraveghere vizate care doresc sa le conteste trebuie sa introduca o actiune impotriva deciziilor respective in termen de doua luni de la data la care le-au fost notificate, in conformitate cu articolul 263 din TFUE. In cazul in care deciziile comitetului vizeaza in mod direct si individual un operator, o persoana imputernicita de operator sau reclamantul, acestia din urma pot introduce o actiune in anularea respectivelor decizii in termen de doua luni de la publicarea acestora pe site-ul comitetului, in conformitate cu articolul 263 din TFUE. Fara a aduce atingere acestui drept in temeiul articolului 263 din TFUE, orice persoana fizica sau juridica ar trebui sa aiba dreptul la o cale de atac judiciara eficienta in fata instantei nationale competente impotriva unei decizii a unei autoritati de supraveghere care produce efecte juridice privind respectiva persoana. O astfel de decizie se refera in special la exercitarea competentelor de investigare, corective si de autorizare de catre autoritatea de supraveghere sau la refuzul sau respingerea plangerilor. Cu toate acestea, dreptul la o cale de atac judiciara eficienta nu include masuri ale autoritatilor de supraveghere care nu sunt obligatorii din punct de vedere juridic, cum ar fi avizele emise de autoritatea de supraveghere sau consiliere furnizata de aceasta. Actiunile impotriva unei autoritati de supraveghere ar trebui sa fie aduse in fata instantelor statului membru in care este stabilita autoritatea de supraveghere si ar trebui sa se desfasoare in conformitate cu dreptul procesual al statului membru respectiv. Respectivele instante ar trebui sa isi exercite competenta judiciara deplina, care ar trebui sa includa competenta de a examina toate aspectele de fapt sau de drept care au relevanta pentru litigiul cu care acestea sunt sesizate. 
 
In cazul in care o plangere a fost respinsa sau refuzata de o autoritate de supraveghere, reclamantul poate introduce o actiune la instantele din acelasi stat membru. In contextul cailor de atac judiciare privind aplicarea prezentului regulament, instantele nationale care considera necesara o decizie privind chestiunea respectiva pentru a le permite sa ia o hotarare pot sau, in cazul prevazut la articolul 267 din TFUE, trebuie sa solicite Curtii de Justitie sa pronunte o decizie preliminara privind interpretarea dreptului Uniunii, inclusiv a prezentului regulament. In plus, in cazul in care o decizie a unei autoritati de supraveghere care pune in aplicare o decizie a comitetului este contestata in fata unei instante nationale si este in discutie validitatea deciziei comitetului, respectiva instanta nationala nu are competenta de a declara nula decizia comitetului, ci trebuie sa aduca chestiunea validitatii in fata Curtii de Justitie, in conformitate cu articolul 267 din TFUE, astfel cum a fost interpretat de Curtea de Justitie, ori de cate ori instanta nationala considera decizia nula. Cu toate acestea, o instanta nationala nu poate sa transmita o chestiune cu privire la validitatea deciziei comitetului la cererea unei persoane fizice sau juridice care a avut posibilitatea de a introduce o actiune in anulare impotriva respectivei decizii, in special daca aceasta era vizata in mod direct si individual de decizia in cauza, dar nu a facut acest lucru in termenul prevazut la articolul 263 din TFUE. 
 
(144) 
Atunci cand o instanta sesizata cu o procedura impotriva unei decizii a unei autoritati de supraveghere are motive sa creada ca in fata unei instante competente dintr-un alt stat membru au fost introduse proceduri cu privire la aceeasi prelucrare, cum ar fi acelasi obiect al prelucrarii, de catre acelasi operator sau aceleeasi persoana imputernicita de operator, sau aceeasi cauza, instanta respectiva ar trebui sa contacteze cea de a doua instanta pentru a confirma existenta unor astfel de proceduri conexe. In cazul in care aceste proceduri conexe se afla pe rolul unei instante dintr-un alt stat membru, orice instanta, cu exceptia celei sesizate initial, poate sa isi suspende procedurile sau, la cererea uneia dintre parti, isi poate declina competenta in favoarea instantei sesizate initial, cu conditia ca aceasta din urma sa aiba competenta de a solutiona procedurile in cauza si ca dreptul care i se aplica sa ii permita consolidarea acestor proceduri conexe. Procedurile sunt considerate conexe atunci cand sunt atat de strans legate intre ele incat este oportuna instrumentarea si judecarea lor in acelasi timp pentru a se evita riscul pronuntarii unor hotarari ireconciliabile in cazul judecarii lor in mod separat. 
 
(145) 
In ceea ce priveste actiunile initiate impotriva unui operator sau unei persoane imputernicite de operator, reclamantul ar trebui sa aiba posibilitatea de a introduce actiunea in fata instantelor din statele membre in care operatorul sau persoana imputernicita de operator are un sediu sau in care persoana vizata isi are resedinta, cu exceptia cazului in care operatorul este o autoritate publica dintr-un stat membru ce actioneaza in exercitarea competentelor sale publice. 
 
(146) 
Operatorul sau persoana imputernicita de operator ar trebui sa plateasca despagubiri pentru orice prejudiciu pe care o persoana il poate suferi ca urmare a unei prelucrari care incalca prezentul regulament. Operatorul sau persoana imputernicita de operator ar trebui sa fie exonerati de raspundere daca dovedesc ca nu sunt in niciun fel raspunzatori pentru prejudiciu. Conceptul de prejudiciu ar trebui interpretat in sens larg, din perspectiva jurisprudentei Curtii de Justitie, intr-un mod care sa reflecte pe deplin obiectivele prezentului regulament. Aceasta dispozitie nu aduce atingere niciunei cereri de despagubire care rezulta din incalcarea altor norme din dreptul Uniunii sau din dreptul intern. O prelucrare care incalca prezentul regulament include si prelucrarea care incalca actele delegate si de punere in aplicare adoptate in conformitate cu prezentul regulament si cu dreptul intern care specifica norme din prezentul regulament. Persoanele vizate ar trebui sa primeasca despagubiri integrale si eficace pentru prejudiciul pe care le-au suferit. In cazul in care operatorii sau persoanele imputernicite de operatori sunt implicate in aceeasi prelucrare, fiecare operator sau fiecare persoana imputernicita de operator ar trebui sa fie considerata raspunzatoare pentru intregul prejudiciu. Cu toate acestea, atunci cand procedurile juridice care le vizeaza sunt conexate, in conformitate cu dreptul intern, despagubirile pot fi impartite in functie de raspunderea fiecarui operator sau a fiecarei persoane imputernicite de operator, cu conditia sa se asigure despagubirea integrala si efectiva a persoanei vizate care a suferit prejudiciul. Orice operator sau persoana imputernicita de operator care a platit despagubiri integrale poate formula ulterior o actiune in regres impotriva altor operatori sau persoane imputernicite de operatori implicate in aceeasi prelucrare. 
 
(147) 
In cazul in care prezentul regulament cuprinde norme specifice privind competenta judiciara, in special in ceea ce priveste caile de atac judiciare, inclusiv actiunile in despagubiri, impotriva unui operator sau a unei persoane imputernicite de operator, normele generale privind competenta judiciara precum cele din Regulamentul (UE) nr. 1215/2012 al Parlamentului European si al Consiliului (13) nu ar trebui sa aduca atingere aplicarii unor astfel de norme specifice. 
 
(148) 
Pentru a consolida respectarea aplicarii normelor prevazute in prezentul regulament, ar trebui impuse sanctiuni, inclusiv amenzi administrative, pentru orice incalcare a prezentului regulament, pe langa sau in locul masurilor adecvate impuse de autoritatea de supraveghere in temeiul prezentului regulament. In cazul unei incalcari minore sau in cazul in care amenda susceptibila de a fi impusa ar constitui o sarcina disproportionata pentru o persoana fizica, poate fi emis un avertisment in locul unei amenzi. Cu toate acestea, ar trebui sa se ia in considerare in mod corespunzator natura, gravitatea si durata incalcarii, caracterul deliberat al incalcarii, actiunile intreprinse pentru a reduce prejudiciul cauzat, gradul de raspundere sau orice incalcari anterioare relevante, modul in care incalcarea a fost adusa la cunostinta autoritatii de supraveghere, conformitatea cu masurile adoptate impotriva operatorului sau a persoanei imputernicite de operator, aderarea la un cod de conduita si orice alt factor agravant sau atenuant. Impunerea de sanctiuni, inclusiv de amenzi administrative, ar trebui sa faca obiectul unor garantii procedurale adecvate, in conformitate cu principiile generale ale dreptului Uniunii si cu carta, inclusiv o protectie judiciara eficienta si un proces echitabil. 
 
(149) 
Statele membre ar trebui sa poata stabili normele privind sanctiunile penale pentru incalcarile prezentului regulament, inclusiv pentru incalcarea normelor de drept intern adoptate in temeiul si in limitele prezentului regulament. Respectivele sanctiuni penale pot, de asemenea, permite privarea de profiturile obtinute prin incalcarea prezentului regulament. Cu toate acestea, impunerea de sanctiuni penale pentru incalcari ale unor asemenea norme de drept intern si de sanctiuni administrative nu ar trebui sa duca la incalcarea principiului ne bis in idem, astfel cum a fost interpretat de Curtea de Justitie. 
 
(150) 
 Pentru consolidarea si armonizarea sanctiunilor administrative in cazul incalcarii prezentului regulament, fiecare autoritate de supraveghere ar trebui sa aiba competenta de a impune amenzi administrative. Prezentul regulament ar trebui sa indice incalcarile, si limita maxima si criteriile pentru stabilirea amenzilor administrative aferente, care ar trebui sa fie stabilite de autoritatea de supraveghere competenta in fiecare caz in parte, tinand seama de toate circumstantele relevante ale situatiei specifice, luandu-se in considerare in mod corespunzator, in special, natura, gravitatea si durata incalcarii, precum si consecintele acesteia si masurile luate pentru a se asigura respectarea obligatiilor in temeiul prezentului regulament si pentru a se preveni sau atenua consecintele incalcarii. In cazul in care amenzile administrative sunt impuse unei intreprinderi, o intreprindere ar trebui inteleasa ca fiind o intreprindere in conformitate cu articolele 101 si 102 din TFUE in aceste scopuri. In cazul in care se impun amenzi administrative unor persoane care nu sunt intreprinderi, autoritatea de supraveghere ar trebui sa tina seama de nivelul general al veniturilor din statul membru respectiv, precum si de situatia economica a persoanei atunci cand estimeaza cuantumul adecvat al amenzii. Mecanismul pentru asigurarea coerentei poate fi, de asemenea, utilizat pentru a promova aplicarea consecventa a amenzilor administrative. Competenta de a stabili daca si in ce masura autoritatile publice ar trebui sa faca obiectul unor amenzi administrative ar trebui sa revina statelor membre. Impunerea unei amenzi administrative sau transmiterea unei avertizari nu afecteaza aplicarea altor competente ale autoritatilor de supraveghere sau a altor sanctiuni in temeiul prezentului regulament. 
 
(151)  
Sistemele juridice ale Danemarcei si Estoniei nu permit amenzi administrative astfel cum sunt prevazute in prezentul regulament. Normele privind amenzile administrative pot fi aplicate astfel incat, in Danemarca, amenda sa fie impusa de instantele nationale competente ca sanctiune penala, iar in Estonia amenda sa fie impusa de autoritatea de supraveghere in cadrul unei proceduri privind delictele, cu conditia ca o astfel de aplicare a normelor in statele membre respective sa aiba un efect echivalent cu cel al amenzilor administrative impuse de autoritatile de supraveghere. Prin urmare, instantele nationale competente ar trebui sa tina seama de recomandarea autoritatii de supraveghere care a initiat amenda. In orice caz, amenzile impuse ar trebui sa fie eficace, proportionale si disuasive. 
 
(152)  
In cazul in care prezentul regulament nu armonizeaza sanctiunile administrative sau in alte cazuri, acolo unde este necesar, de exemplu in cazul unor incalcari grave ale prezentului regulament, statele membre ar trebui sa puna in aplicare un sistem care sa prevada sanctiuni eficace, proportionale si disuasive. Natura unor astfel de sanctiuni, penale sau administrative, ar trebui stabilita in dreptul intern. 
 
(153)  
Dreptul statelor membre ar trebui sa stabileasca un echilibru intre normele care reglementeaza libertatea de exprimare si de informare, inclusiv exprimarea jurnalistica, academica, artistica si/sau literara, si dreptul la protectia datelor cu caracter personal in temeiul prezentului regulament. Prelucrarea datelor cu caracter personal exclusiv in scopuri jurnalistice sau in scopul exprimarii academice, artistice sau literare ar trebui sa faca obiectul unor derogari sau al unor exceptii de la anumite dispozitii ale prezentului regulament in cazul in care este necesara stabilirea unui echilibru intre dreptul la protectia datelor cu caracter personal si dreptul la libertatea de exprimare si de informare, astfel cum este prevazut in articolul 11 din carta. Acest lucru ar trebui sa se aplice in special prelucrarii datelor cu caracter personal in domeniul audiovizualului, precum si in arhivele de stiri si in bibliotecile ziarelor. Prin urmare, statele membre ar trebui sa adopte masuri legislative care sa prevada exceptiile si derogarile necesare in vederea asigurarii echilibrului intre aceste drepturi fundamentale. Statele membre ar trebui sa adopte astfel de exceptii si derogari in ceea ce priveste principiile generale, drepturile persoanelor vizate, operatorul si persoana imputernicita de operator, transferul de date cu caracter personal catre tari terte sau organizatii internationale, autoritatile de supraveghere independente, cooperarea si coerenta, precum si in ceea ce priveste situatii specifice de prelucrare a datelor. In cazul in care aceste exceptii sau derogari difera de la un stat membru la altul, ar trebui sa se aplice dreptul statului membru sub incidenta caruia intra operatorul. Pentru a tine seama de importanta dreptului la libertatea de exprimare in fiecare societate democratica, este necesar ca notiunile legate de aceasta libertate, cum ar fi jurnalismul, sa fie interpretate in sens larg. 
 
(154) 
Prezentul regulament permite luarea in considerare a principiului accesului public la documente oficiale in aplicarea prezentului regulament. Accesul public la documente oficiale poate fi considerat a fi in interes public. Datele cu caracter personal din documentele detinute de o autoritate publica sau de un organism public ar trebui sa poata fi divulgate de autoritatea respectiva sau de organismul respectiv in cazul in care dreptul Uniunii sau dreptul intern sub incidenta caruia intra autoritatea publica sau organismul public prevede acest lucru. Dreptul Uniunii si dreptul intern ar trebui sa asigure un echilibru intre accesul public la documentele oficiale si reutilizarea informatiilor din sectorul public, pe de o parte, si dreptul la protectia datelor cu caracter personal, pe de alta parte, si ar putea prin urmare sa prevada echilibrul necesar cu dreptul la protectia datelor cu caracter personal in temeiul prezentului regulament. Trimiterea la autoritatile si organismele publice ar trebui, in acest context, sa includa toate autoritatile sau alte organisme reglementate de dreptul intern privind accesul public la documente. Directiva 2003/98/CE a Parlamentului European si a Consiliului (14) lasa intact si nu aduce atingere in niciun fel nivelului de protectie a persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal in conformitate cu dreptul Uniunii si cu cel intern si, in special, nu modifica drepturile si obligatiile prevazute de prezentul regulament. In special, directiva sus-mentionata nu se aplica documentelor la care accesul este exclus sau restrans in temeiul regimurilor de acces din motive legate de protectia datelor cu caracter personal si nici partilor din documente accesibile in temeiul respectivelor regimuri care contin date cu caracter personal a caror reutilizare a fost stabilita prin lege ca fiind incompatibila cu dreptul privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal. 
 
(155) 
Dreptul intern sau acordurile colective, inclusiv „acordurile de munca”, pot prevedea norme specifice care sa reglementeze prelucrarea datelor cu caracter personal ale angajatilor in contextul ocuparii unui loc de munca, in special conditiile in care datele cu caracter personal in contextul ocuparii unui loc de munca pot fi prelucrate pe baza consimtamantului angajatului, in scopul recrutarii, al respectarii clauzelor contractului de munca, inclusiv descarcarea de obligatiile stabilite prin lege sau prin acorduri colective, al gestionarii, planificarii si organizarii muncii, al egalitatii si diversitatii la locul de munca, al asigurarii sanatatii si securitatii la locul de munca, precum si in scopul exercitarii si beneficierii, in mod individual sau colectiv, de drepturile si beneficiile legate de ocuparea unui loc de munca, precum si in scopul incetarii raporturilor de munca. 
 
 
(156) 
Prelucrarea datelor cu caracter personal in scopuri de arhivare in interes public, in scopuri de cercetare stiintifica sau istorica ori in scopuri statistice ar trebui sa faca obiectul unor garantii adecvate pentru drepturile si libertatile persoanei vizate in temeiul prezentului regulament. Respectivele garantii ar trebui sa asigure faptul ca au fost instituite masuri tehnice si organizatorice necesare pentru a se asigura, in special, principiul reducerii la minimum a datelor. Prelucrarea ulterioara a datelor cu caracter personal in scopuri de arhivare in interes public, in scopuri de cercetare stiintifica sau istorica ori in scopuri statistice se efectueaza atunci cand operatorul a evaluat fezabilitatea pentru indeplinirea acestor obiective prin prelucrarea unor date cu caracter personal care nu permit sau nu mai permit identificarea persoanelor vizate, cu conditia sa existe garantii adecvate (cum ar fi pseudonimizarea datelor cu caracter personal). Statele membre ar trebui sa prevada garantii adecvate pentru prelucrarea datelor cu caracter personal in scopuri de arhivare in interes public, in scopuri de cercetare stiintifica sau istorica ori in scopuri statistice. Statele membre ar trebui sa fie autorizate sa ofere, in anumite conditii si sub rezerva unor garantii adecvate pentru persoanele vizate, precizari si derogari in ceea ce priveste cererile de informatii si dreptul la rectificare, dreptul la stergere, dreptul de a fi uitat, dreptul la restrictionarea prelucrarii,dreptul la portabilitatea datelor, precum si dreptul la opozitie in cazul prelucrarii datelor cu caracter personal in scopuri de arhivare in interes public, in scopuri de cercetare stiintifica sau istorica ori in scopuri statistice. Conditiile si garantiile in cauza pot genera proceduri specifice astfel incat persoanele vizate sa isi exercite respectivele drepturi daca acest lucru este adecvat in contextul scopurilor vizate de prelucrarea specifica, precum si masuri tehnice si organizationale vizand reducerea la minimum a prelucrarii datelor cu caracter personal, in conformitate cu principiile proportionalitatii si necesitatii. Prelucrarea datelor cu caracter personal in scopuri stiintifice ar trebui sa fie, de asemenea, conforma cu alte acte legislative relevante, cum ar fi cele privind studiile clinice. 
 
(157) 
Prin combinarea informatiilor din registre, cercetatorii pot obtine noi cunostinte de mare valoare in ceea ce priveste bolile cu larga raspandire, cum ar fi bolile cardiovasculare, cancerul si depresia. Pe baza registrelor, rezultatele cercetarilor pot fi intarite, intrucat acestea se bazeaza pe o populatie mai mare. In domeniul stiintelor sociale, cercetarea pe baza registrelor le permite cercetatorilor sa obtina informatii esentiale despre corelarea pe termen lung a unei serii de conditii sociale, precum somajul sau educatia, cu alte conditii de viata. Rezultatele cercetarilor obtinute pe baza registrelor furnizeaza cunostinte solide, de inalta calitate, care pot constitui baza pentru elaborarea si punerea in aplicare a unor politici bazate pe cunoastere si care pot imbunatati calitatea vietii pentru un numar de persoane, eficienta serviciilor sociale. Pentru a facilita cercetarea stiintifica, datele cu caracter personal pot fi prelucrate in scopuri de cercetare stiintifica, sub rezerva conditiilor si a garantiilor corespunzatoare stabilite in dreptul Uniunii sau in dreptul intern. 
 
(158) 
In cazul in care datele cu caracter personal sunt prelucrate in scopuri de arhivare, prezentul regulament ar trebui sa se aplice si prelucrarii respective, tinand seama de faptul ca prezentul regulament nu ar trebui sa se aplice persoanelor decedate. Autoritatile publice sau organismele publice sau private care detin evidente de interes public ar trebui, in temeiul dreptului Uniunii sau al dreptului national, sa aiba o obligatie legala de a dobandi, a pastra, a evalua, a pregati, a descrie, a comunica, a promova, a disemina si a asigura accesul la evidente de valoare durabila de interes public general. Statele membre ar trebui, de asemenea, sa poata sa prevada prelucrarea ulterioara a datelor cu caracter personal in scopuri de arhivare, de exemplu cu scopul de a furniza informatii specifice referitoare la comportamentul politic in perioada fostelor regimuri de stat totalitare, la genociduri, la crime impotriva umanitatii, in special holocaustul, sau la crime de razboi. 
 
(159) 
In cazul in care datele cu caracter personal sunt prelucrate in scopuri de cercetare stiintifica, prezentul regulament ar trebui sa se aplice si prelucrarii respective. In sensul prezentului regulament, prelucrarea datelor cu caracter personal in scopuri de cercetare stiintifica ar trebui sa fie interpretata in sens larg, incluzand de exemplu dezvoltarea tehnologica si activitatile demonstrative, cercetarea fundamentala, cercetarea aplicata si cercetarea finantata din surse private. Ar trebui, in plus, luat in considerare obiectivul Uniunii de creare a unui Spatiu european de cercetare, astfel cum este mentionat la articolul 179 alineatul (1) din TFUE. Scopurile de cercetare stiintifica ar trebui sa includa, de asemenea, studii efectuate in interes public in domeniul sanatatii publice. Pentru a indeplini caracteristicile specifice ale prelucrarii datelor cu caracter personal in scopuri de cercetare stiintifica, ar trebui sa se aplice conditii specifice, in special in ceea ce priveste publicarea sau divulgarea intr-un alt mod a datelor cu caracter personal in contextul scopurilor de cercetare stiintifica. In cazul in care rezultatul cercetarii stiintifice, in special in contextul sanatatii, constituie un motiv pentru masuri suplimentare in interesul persoanei vizate, normele generale ale prezentului regulament ar trebui sa se aplice avand in vedere aceste masuri. 
 
(160) 
In cazul in care datele cu caracter personal sunt prelucrate in scopuri de cercetare istorica, prezentul regulament ar trebui sa se aplice si prelucrarii respective. Acest lucru ar trebui sa includa, de asemenea, cercetarea istorica si cercetarea in scopuri genealogice, tinand seama de faptul ca prezentul regulament nu ar trebui sa se aplice persoanelor decedate. 
 
(161) 
In scopul acordarii consimtamantului de a participa la activitati de cercetare stiintifica in cadrul testelor clinice, ar trebui sa se aplice dispozitiile relevante ale Regulamentului (UE) nr. 536/2014 al Parlamentului European si al Consiliului (15). 
 
(162) 
In cazul in care datele cu caracter personal sunt prelucrate in scopuri statistice, prezentul regulament ar trebui sa se aplice prelucrarii respective. Dreptul Uniunii sau dreptul intern ar trebui, in limitele prezentului regulament, sa determine continutul statistic, controlul accesului, specificatiile pentru prelucrarea datelor cu caracter personal in scopuri statistice si masurile adecvate pentru a proteja drepturile si libertatile persoanelor vizate si pentru a asigura confidentialitatea datelor statistice. Aceste rezultate statistice pot fi utilizate ulterior in diferite scopuri, inclusiv in scopuri de cercetare stiintifica. Scopuri statistice inseamna orice operatiune de colectare si prelucrare de date cu caracter personal necesara pentru anchetele statistice sau pentru producerea de rezultate statistice. Scopurile statistice presupun ca rezultatul prelucrarii in scopuri statistice nu constituie date cu caracter personal, ci date agregate si ca acest rezultat sau datele cu caracter personal nu sunt utilizate in sprijinul unor masuri sau decizii privind o anumita persoana fizica. 

(163) 
Informatiile confidentiale pe care autoritatile statistice de la nivelul Uniunii si de la nivel national le colecteaza in vederea elaborarii de statistici europene si nationale oficiale ar trebui sa fie protejate. Statisticile europene ar trebui concepute, elaborate si difuzate in conformitate cu principiile statistice prevazute la articolul 338 alineatul (2) din TFUE, in timp ce statisticile nationale ar trebui, de asemenea, sa fie in conformitate cu dreptul intern. Regulamentul (CE) nr. 223/2009 al Parlamentului European si al Consiliului (16) prevede specificatii suplimentare privind confidentialitatea datelor statistice pentru statisticile europene. 
 
(164) 
In ceea ce priveste competentele autoritatilor de supraveghere de a obtine de la operator sau de la persoana imputernicita de operator accesul la datele cu caracter personal si accesul in cladirile lor, statele membre pot adopta, pe cale legislativa si in limitele stabilite de prezentul regulament, norme specifice pentru protejarea secretului profesional sau a altor obligatii echivalente, in masura in care acest lucru este necesar pentru a asigura un echilibru intre dreptul la protectia datelor cu caracter personal si obligatia de pastrare a secretului profesional. Aceasta nu aduce atingere obligatiilor existente ale statelor membre de a adopta norme privind secretul profesional in situatiile cerute de dreptul Uniunii. 
 
(165) 
Prezentul regulament respecta si nu aduce atingere statutului de care beneficiaza, in temeiul dreptului constitutional existent, bisericile si asociatiile sau comunitatile religioase din statele membre, astfel cum este recunoscut in articolul 17 din TFUE. 
 
(166) 
In vederea indeplinirii obiectivelor prezentului regulament, si anume protejarea drepturilor si libertatilor fundamentale ale persoanelor fizice si, in special, a dreptului acestora la protectia datelor cu caracter personal, si pentru a se garanta libera circulatie a datelor cu caracter personal pe teritoriul Uniunii, competenta de a adopta acte in conformitate cu articolul 290 din TFUE ar trebui sa fie delegata Comisiei. In special, ar trebui adoptate acte delegate in ceea ce priveste criteriile si cerintele privind mecanismele de certificare, informatiile care trebuie prezentate prin pictograme standardizate si procedurile pentru furnizarea unor astfel de pictograme. Este deosebit de important ca, in cadrul activitatii sale pregatitoare, Comisia sa organizeze consultari adecvate, inclusiv la nivel de experti. Atunci cand pregateste si elaboreaza acte delegate, Comisia ar trebui sa asigure transmiterea simultana, la timp si in mod corespunzator a documentelor relevante catre Parlamentul European si catre Consiliu. 
 
(167) 
In vederea asigurarii unor conditii uniforme de punere in aplicare a prezentului regulament, Comisia ar trebui investita cu competente de executare in situatiile stabilite de prezentul regulament. Competentele respective ar trebui sa fie exercitate in conformitate cu Regulamentul (UE) nr. 182/2011. In acest context, Comisia ar trebui sa ia in considerare masuri specifice pentru microintreprinderi si pentru intreprinderile mici si mijlocii. 
 
(168) 
Procedura de examinare ar trebui utilizata pentru adoptarea de acte de punere in aplicare privind: clauzele contractuale standard dintre operatori si persoanele imputernicite de operatori, precum si dintre persoanele imputernicite de operatori; codurile de conduita; standardele tehnice si mecanismele de certificare; nivelul adecvat de protectie oferit de o tara terta, de un teritoriu sau de un anumit sector de prelucrare din tara terta respectiva, sau de o organizatie internationala; clauzele standard de protectie a datelor; formatele si procedurile pentru schimbul electronic de informatii intre operatori, persoanele imputernicite de operatori si autoritatile de supraveghere pentru regulile corporatiste obligatorii; asistenta reciproca; precum si modalitatile de realizare a schimbului electronic de informatii intre autoritatile de supraveghere, precum si intre autoritatile de supraveghere si comitetul. 

(169) 
Comisia ar trebui sa adopte acte de punere in aplicare imediat aplicabile atunci cand dovezile disponibile arata ca o tara terta, un teritoriu sau un anumit sector de prelucrare din tara terta respectiva, sau o organizatie internationala nu asigura un nivel de protectie adecvat, precum si din motive imperative de urgenta. 
 
(170) 
Deoarece obiectivul prezentului regulament, si anume asigurarea unui nivel echivalent de protectie a persoanelor fizice si libera circulatie a datelor cu caracter personal in intreaga Uniune, nu poate fi realizat in mod satisfacator de catre statele membre dar, avand in vedere amploarea sau efectele actiunii, poate fi realizat mai bine la nivelul Uniunii, aceasta poate adopta masuri in conformitate cu principiul subsidiaritatii, astfel cum este definit la articolul 5 din Tratatul privind Uniunea Europeana („Tratatul UE”). In conformitate cu principiul proportionalitatii, astfel cum este definit la articolul respectiv, prezentul regulament nu depaseste ceea ce este necesar pentru realizarea obiectivelor mentionate. 

(171) 
Directiva 95/46/CE ar trebui sa fie abrogata prin prezentul regulament. Prelucrarile in derulare la data aplicarii prezentului regulament ar trebui sa fie aduse in conformitate cu prezentul regulament in termen de doi ani de la data intrarii in vigoare a prezentului regulament. In cazul in care prelucrarile se bazeaza pe consimtamant in temeiul Directivei 95/46/CE, nu este necesar ca persoana vizata sa isi dea inca o data consimtamantul in cazul in care modul in care consimtamantul a fost dat este in conformitate cu conditiile din prezentul regulament, astfel incat operatorului sa i se permita sa continue o astfel de prelucrare dupa data aplicarii prezentului regulament. Deciziile adoptate ale Comisiei si autorizatiile autoritatilor de supraveghere emise pe baza Directivei 95/46/CE raman in vigoare pana cand vor fi modificate, inlocuite sau abrogate. 
 
(172) 
Autoritatea Europeana pentru Protectia Datelor a fost consultata in conformitate cu articolul 28 alineatul (2) din Regulamentul (CE) nr. 45/2001 si a emis un aviz la 7 martie 2012 (17). 
 
(173) 
Prezentul regulament ar trebui sa se aplice tuturor aspectelor referitoare la protectia drepturilor si libertatilor fundamentale legate de prelucrarea datelor cu caracter personal, care nu fac obiectul unor obligatii specifice cu acelasi obiectiv ca cel stabilit in Directiva 2002/58/CE a Parlamentului European si a Consiliului (18), inclusiv obligatiile privind operatorul si drepturile persoanelor fizice. Pentru a se clarifica relatia dintre prezentul regulament si Directiva 2002/58/CE, respectiva directiva ar trebui sa fie modificata in consecinta. Dupa adoptarea prezentului regulament, Directiva 2002/58/CE ar trebui sa fie revizuita in special pentru a se asigura coerenta cu prezentul regulament, 
 
ADOPTA PREZENTUL REGULAMENT: 

PREAMBUL