Legea GDPR 2025 actualizata

(1)  In conformitate cu mecanismul pentru asigurarea coerentei prevazut la articolul 63, autoritatea de supraveghere competenta aproba reguli corporatiste obligatorii, cu conditia ca acestea: 
(a) sa fie obligatorii din punct de vedere juridic si sa se aplice fiecarui membru vizat al grupului de intreprinderi sau al grupului de intreprinderi implicate intr-o activitate economica comuna, inclusiv angajatilor acestuia, precum si sa fie puse in aplicare de membrii in cauza; 
(b) sa confere, in mod expres, drepturi opozabile persoanelor vizate in ceea ce priveste prelucrarea datelor lor cu caracter personal; si 
(c) sa indeplineasca cerintele prevazute la alineatul (2). 
 
(2)   Regulile corporatiste obligatorii mentionate la alineatul (1) precizeaza cel putin: 
(a) structura si datele de contact ale grupului de intreprinderi sau ale grupului de intreprinderi implicate intr-o activitate economica comuna si ale fiecaruia dintre membrii sai; 
(b) transferurile de date sau setul de transferuri, inclusiv categoriile de date cu caracter personal, tipul prelucrarii si scopurile prelucrarii, tipurile de persoane vizate afectate si identificarea tarii terte sau a tarilor terte in cauza; 
(c) caracterul lor juridic obligatoriu, atat pe plan intern, cat si extern; 
(d) aplicarea principiilor generale in materie de protectie a datelor, in special limitarea scopului, reducerea la minimum a datelor, perioadele de stocare limitate, calitatea datelor, protectia datelor incepand cu momentul conceperii si protectia implicita, temeiul juridic pentru prelucrare, prelucrarea categoriilor speciale de date cu caracter personal, masurile de asigurare a securitatii datelor, precum si cerintele referitoare la transferurile ulterioare catre organisme care nu fac obiectul regulilor corporatiste obligatorii; 
(e) drepturile persoanelor vizate in ceea ce priveste prelucrarea si mijloacele de exercitare a acestor drepturi, inclusiv dreptul de a nu face obiectul unor decizii bazate exclusiv pe prelucrarea automata, inclusiv crearea de profiluri, in conformitate cu articolul 22, dreptul de a depune o plangere in fata autoritatii de supraveghere competente si in fata instantelor competente ale statelor membre, in conformitate cu articolul 79, precum si dreptul de a obtine reparatii si, dupa caz, despagubiri pentru incalcarea regulilor corporatiste obligatorii; 
(f) acceptarea de catre operator sau de persoana imputernicita de operator, care isi are sediul pe teritoriul unui stat membru, a raspunderii pentru orice incalcare a regulilor corporatiste obligatorii de catre orice membru in cauza care nu isi are sediul in Uniune; operatorul sau persoana imputernicita de operator este exonerat(a) de aceasta raspundere, integral sau partial, numai daca dovedeste ca membrul respectiv nu a fost raspunzator de evenimentul care a cauzat prejudiciul; 
(g) modul in care informatiile privind regulile corporatiste obligatorii, in special privind dispozitiile mentionate la literele (d), (e) si (f) de la prezentul alineat, sunt furnizate persoanelor vizate in completarea informatiilor mentionate la articolele 13 si 14; 
(h) sarcinile oricarui responsabil cu protectia datelor desemnat in conformitate cu articolul 37 sau ale oricarei alte persoane sau entitati insarcinate cu monitorizarea respectarii regulilor corporatiste obligatorii in cadrul grupului de intreprinderi sau al grupului de intreprinderi implicate intr-o activitate economica comuna, a activitatilor de formare si a gestionarii plangerilor; 
(i) procedurile de formulare a plangerilor; 
(j) mecanismele din cadrul grupului de intreprinderi sau al grupului de intreprinderi implicate intr-o activitate economica comuna, menite sa asigure verificarea conformitatii cu regulile corporatiste obligatorii. Aceste mecanisme includ auditurile privind protectia datelor si metodele de asigurare a actiunilor corective menite sa protejeze drepturile persoanei vizate. Rezultatele acestor verificari ar trebui sa fie comunicate persoanei sau entitatii mentionate la litera (h) si consiliului de administratie al intreprinderii care exercita controlul grupului de intreprinderi sau al grupului de intreprinderi implicate intr-o activitate economica comuna si ar trebui sa fie puse la dispozitia autoritatii de supraveghere competente, la cerere; 
(k) mecanismele de raportare si inregistrare a modificarilor aduse regulilor si de raportare a acestor modificari autoritatii de supraveghere; 
(l) mecanismul de cooperare cu autoritatea de supraveghere in vederea asigurarii respectarii regulilor de catre orice membru al grupului de intreprinderi sau al grupului de intreprinderi implicate intr-o activitate economica comuna, in special prin punerea la dispozitia autoritatii de supraveghere a rezultatelor verificarilor cu privire la masurile mentionate la punctul (j); 
(m) mecanismele de raportare catre autoritatea de supraveghere competenta a oricaror cerinte legale impuse unui membru al grupului de intreprinderi sau al grupului de intreprinderi implicate intr-o activitate economica comuna intr-o tara terta care pot avea un efect advers considerabil asupra garantiilor furnizate prin regulile corporatiste obligatorii; si 
(n) formarea corespunzatoare in domeniul protectiei datelor a personalului care are un acces permanent sau periodic la date cu caracter personal. 
 
(3)   Comisia poate preciza formatul si procedurile pentru schimbul de informatii intre operatori, persoanele imputernicite de operatori si autoritatile de supraveghere pentru regulile corporatiste obligatorii in sensul prezentului articol. Actele de punere in aplicare respective se adopta in conformitate cu procedura de examinare prevazuta la articolul 93 alineatul (2). 

Capitolul V - Transferurile de date cu caracter personal catre tari terte sau organizatii internationale