02016L0680 — RO — 04.05.2016 — 000.001

---

Acest document are doar scop informativ și nu produce efecte juridice. Instituțiile Uniunii nu își asumă răspunderea pentru conținutul său. Versiunile autentice ale actelor relevante, inclusiv preambulul acestora, sunt cele publicate în Jurnalul Oficial al Uniunii Europene și disponibile pe site-ul EUR-Lex. Aceste texte oficiale pot fi consultate accesând linkurile integrate în prezentul document.

►B

DIRECTIVA (UE) 2016/680 A PARLAMENTULUI EUROPEAN ȘI A CONSILIULUI din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului (JO L 119 4.5.2016, p. 89)

Rectificată prin:

►C1	Rectificare, JO L 127, 23.5.2018, p.  8 (2016/680)

---

▼B

DIRECTIVA (UE) 2016/680 A PARLAMENTULUI EUROPEAN ȘI A CONSILIULUI

din 27 aprilie 2016

privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului

CAPITOLUL I

Dispoziții generale

Articolul 1

Obiect și obiective

(1)  Prezenta directivă stabilește normele referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor, inclusiv al protejării împotriva amenințărilor la adresa securității publice și al prevenirii acestora.

(2)  În conformitate cu prezenta directivă, statele membre:

(3)  Prezenta directivă nu împiedică statele membre să prevadă garanții sporite față de cele stabilite în prezenta directivă pentru protecția drepturilor și libertăților persoanelor vizate în ceea ce privește prelucrarea datelor cu caracter personal de către autoritățile competente.

Articolul 2

Domeniul de aplicare

(1)  Prezenta directivă se aplică prelucrării datelor cu caracter personal de către autoritățile competente în scopurile prevăzute la articolul 1 alineatul (1).

(2)  Prezenta directivă se aplică prelucrării datelor cu caracter personal realizate integral sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidență a datelor sau care urmează să facă parte dintr-un sistem de evidență a datelor.

(3)  Prezenta directivă nu se aplică prelucrării datelor cu caracter personal:

Articolul 3

Definiții

În sensul prezentei directive:

CAPITOLUL II

Principii

Articolul 4

Principii referitoare la prelucrarea datelor cu caracter personal

(1)  Statele membre garantează că datele cu caracter personal:

(2)  Prelucrarea de către același operator sau de către un altul, în oricare dintre scopurile stabilite la articolul 1 alineatul (1), altele decât cele pentru care datele cu caracter personal au fost colectate, este permisă în măsura în care:

(3)  Prelucrarea de către același operator sau de către un altul poate include arhivarea în interes public sau în scopuri științifice, statistice sau istorice pentru scopurile stabilite la articolul 1 alineatul (1), cu condiția unor garanții adecvate pentru drepturile și libertățile persoanelor vizate.

(4)  Operatorul este responsabil de respectarea alineatelor (1), (2) și (3) și poate demonstra acest lucru.

Articolul 5

Termene pentru stocare și revizuire

Statele membre garantează stabilirea unor termene corespunzătoare pentru ștergerea datelor cu caracter personal sau pentru o revizuire periodică a necesității de stocare a datelor cu caracter personal. Respectarea acestor termene este asigurată prin măsuri procedurale.

Articolul 6

Distincția între diferitele categorii de persoane vizate

Statele membre garantează că, după caz și în măsura posibilului, operatorul face distincție clară între datele cu caracter personal ale diferitelor categorii de persoane vizate, precum:

Articolul 7

Distincția între datele cu caracter personal și verificarea calității datelor cu caracter personal

(1)  Statele membre garantează că se face distincție, pe cât posibil, între datele cu caracter personal bazate pe fapte și datele cu caracter personal bazate pe evaluări personale.

(2)  Statele membre garantează că autoritățile competente iau toate măsurile rezonabile pentru a se asigura că datele cu caracter personal care sunt inexacte, incomplete sau nu mai sunt actuale nu sunt transmise sau puse la dispoziție. În acest scop, fiecare autoritate competentă verifică, în măsura în care este posibil, calitatea datelor cu caracter personal înainte ca acestea să fie transmise sau puse la dispoziție. În măsura în care acest lucru este posibil, în cadrul tuturor transmiterilor de date cu caracter personal, se adaugă informații necesare care permit autorității competente destinatare să evalueze gradul de exactitate, caracterul integral, gradul de fiabilitate și de actualitate al datelor cu caracter personal.

(3)  În cazul în care se constată transmiterea unor date cu caracter personal incorecte sau transmiterea unor date cu caracter personal în mod ilegal, acest lucru se comunică de îndată destinatarului. Într-un astfel de caz, datele cu caracter personal sunt rectificate sau șterse sau prelucrarea este restricționată în conformitate cu articolul 16.

Articolul 8

Legalitatea prelucrării

(1)  Statele membre garantează legalitatea prelucrării numai dacă și în măsura în care aceasta este necesară pentru îndeplinirea unei sarcini de către o autoritate competentă în scopurile stabilite la articolul 1 alineatul (1) și că aceasta se întemeiază pe dreptul Uniunii sau pe dreptul intern.

(2)  Dreptul intern care reglementează prelucrarea care intră sub incidența prezentei directive precizează cel puțin obiectivele prelucrării, datele cu caracter personal care urmează să fie prelucrate și scopurile prelucrării.

Articolul 9

Condiții specifice de prelucrare

(1)  Datele cu caracter personal colectate de autoritățile competente în scopurile stabilite la articolul 1 alineatul (1) nu se prelucrează în alte scopuri decât cele stabilite la articolul 1 alineatul (1), cu excepția cazurilor în care o astfel de prelucrare este autorizată în temeiul dreptului Uniunii sau al dreptului intern. În cazurile în care datele cu caracter personal sunt prelucrate în alte scopuri, prelucrării respective i se aplică Regulamentul (UE) 2016/679, cu excepția cazului în care prelucrarea este efectuată în cadrul unei activități care nu intră sub incidența dreptului Uniunii.

(2)  În cazul în care autoritățile competente sunt împuternicite prin dreptul intern să îndeplinească alte atribuții decât cele aferente scopurilor stabilite la articolul 1 alineatul (1), pentru prelucrarea în astfel de scopuri se aplică Regulamentul (UE) 2016/679, inclusiv în ce privește prelucrarea în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, cu excepția cazului în care prelucrarea este efectuată în cadrul unei activități care nu intră sub incidența dreptului Uniunii.

(3)  Statele membre garantează că, în cazul în care dreptul Uniunii sau dreptul intern aplicabil autorității competente care a transmis datele prevede condiții specifice de prelucrare, autoritatea competentă care a transmis datele informează destinatarul respectivelor date cu caracter personal cu privire la aceste condiții și la obligația de a le respecta.

(4)  Statele membre garantează că autoritatea competentă care a transmis datele nu aplică condițiile prevăzute la alineatul (3) destinatarilor din alte state membre sau agențiilor, oficiilor și organismelor instituite în conformitate cu titlul V capitolele 4 și 5 din TFUE, altele decât cele aplicabile transmiterii similare de date în statul membru al autorității competente care a transmis datele.

Articolul 10

Prelucrarea de categorii speciale de date cu caracter personal

Prelucrarea datelor cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice, afilierea sindicală, prelucrarea datelor genetice, prelucrarea datelor biometrice pentru identificarea unică a unei persoane fizice sau prelucrarea datelor privind sănătatea sau a datelor privind viața sexuală și orientarea sexuală a unei persoane fizice este autorizată numai atunci când este strict necesară și sub rezerva unor garanții adecvate pentru drepturile și libertățile persoanei vizate și numai atunci când:

Articolul 11

Procesul decizional individual automatizat

(1)  Statele membre garantează că o decizie întemeiată exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce un efect juridic negativ pentru persoana vizată sau care o afectează în mod semnificativ, este interzisă, cu excepția cazului în care este autorizată de dreptul Uniunii sau de dreptul intern care se aplică operatorului și care prevede garanții adecvate pentru drepturile și libertățile persoanei vizate, cel puțin dreptul de a obține intervenția umană din partea operatorului.

(2)  Deciziile menționate la alineatul (1) din prezentul articol nu se întemeiază pe categoriile speciale de date cu caracter personal menționate la articolul 10, cu excepția cazului în care au fost instituite măsuri corespunzătoare pentru protejarea drepturilor, a libertăților și a intereselor legitime ale persoanei vizate.

(3)  În conformitate cu dreptul Uniunii, este interzisă crearea de profiluri care are drept rezultat discriminarea persoanelor fizice pe baza categoriilor speciale de date cu caracter personal menționate la articolul 10.

CAPITOLUL III

Drepturile persoanei vizate

Articolul 12

Comunicare și modalități de exercitare a drepturilor persoanei vizate

(1)  Statele membre garantează faptul că operatorul ia măsuri rezonabile pentru a transmite persoanei vizate orice informații menționate la articolul 13 și transmite acesteia orice comunicare în legătură cu articolele 11, 14-18 și 31 referitoare la prelucrare, într-o formă concisă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu. Informațiile se transmit prin orice mijloace adecvate, inclusiv prin mijloace electronice. Ca regulă generală, operatorul transmite informațiile în același format în care a fost primită cererea.

(2)  Statele membre garantează faptul că operatorul facilitează exercitarea drepturilor persoanei vizate în temeiul articolelor 11 și 14-18.

(3)  Statele membre garantează faptul că operatorul informează în scris persoana vizată cu privire la modul în care a dat curs cererii acesteia, fără întârzieri nejustificate.

(4)  Statele membre garantează faptul că transmiterea informațiilor în conformitate cu articolul 13 și orice comunicare transmisă și măsură luată în temeiul articolelor 11, 14-18 și 31 este gratuită. În cazul în care cererile din partea unei persoane vizate sunt în mod vădit nefondate sau excesive, în special din cauza caracterului lor repetitiv, operatorul poate:

Operatorului îi revine sarcina de a demonstra caracterul vădit nefondat sau excesiv al cererii.

(5)  În cazul în care operatorul are îndoieli întemeiate cu privire la identitatea persoanei fizice care înaintează cererea menționată la articolul 14 sau 16, acesta poate solicita furnizarea de informații suplimentare necesare pentru a confirma identitatea persoanei vizate.

Articolul 13

Informații care se pun la dispoziția persoanei vizate sau se comunică acesteia

(1)  Statele membre garantează că operatorul pune la dispoziția persoanelor vizate cel puțin următoarele informații:

(2)  În plus față de informațiile menționate la alineatul (1), statele membre garantează prin lege că operatorul comunică persoanei vizate, în anumite cazuri, următoarele informații suplimentare, pentru a permite acesteia exercitarea drepturilor sale:

(3)  Statele membre pot adopta măsuri legislative de amânare, restricționare sau omitere a furnizării de informații persoanei vizate în conformitate cu alineatul (2) în măsura în care și atât timp cât o astfel de măsură constituie o măsură necesară și proporțională într-o societate democratică, ținând seama de drepturile fundamentale și de interesele legitime ale persoanei fizice, pentru:

(4)  Statele membre pot adopta măsuri legislative pentru a stabili categoriile de prelucrare care pot intra, integral sau parțial, sub incidența oricăreia dintre literele de la alineatul (3).

Articolul 14

Dreptul de acces al persoanei vizate

Sub rezerva articolului 15, statele membre garantează dreptul persoanei vizate de a obține din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care o privesc și, în caz afirmativ, acces la datele respective și la următoarele informații:

Articolul 15

Limitarea dreptului de acces

(1)  Statele membre pot adopta măsuri legislative care limitează, integral sau parțial, dreptul de acces al persoanei vizate în măsura și atât timp o astfel de limitare, parțială sau totală, constituie o măsură necesară și proporțională într-o societate democratică, ținându-se seama de drepturile fundamentale și de interesele legitime ale respectivei persoane fizice, pentru:

(2)  Statele membre pot adopta măsuri legislative pentru a stabili categoriile de prelucrare care se pot intra, integral sau parțial, sub incidența literelor (a)-(e) de la alineatul (1).

(3)  În cazurile prevăzute la alineatele (1) și (2), statele membre garantează că operatorul informează în scris persoana vizată, fără întârzieri nejustificate, cu privire la refuzarea sau limitarea accesului și la motivele refuzului sau ale limitării. Astfel de informații pot fi omise atunci când furnizarea lor ar contraveni unuia dintre scopurile de la alineatul (1). Statele membre garantează că operatorul informează persoana vizată cu privire la posibilitatea de a depune o plângere la autoritatea de supraveghere sau de a introduce o cale de atac judiciară.

(4)  Statele membre garantează că operatorul justifică motivele de fapt și de drept pe care se întemeiază decizia. Aceste informații se pun la dispoziția autorităților de supraveghere.

Articolul 16

Dreptul la rectificarea sau la ștergerea datelor cu caracter personal și la restricționarea prelucrării

(1)  Statele membre garantează persoanei vizate dreptul de a obține de la operator, fără întârzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc. Ținându-se seama de scopurile prelucrării, statele membre garantează persoanei vizate dreptul de a obține completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declarații suplimentare.

(2)  Statele membre impun operatorului obligația de a șterge datele cu caracter personal fără întârzieri nejustificate și garantează persoanei vizate dreptul de a obține de la operator ștergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, în cazul în care prelucrarea încalcă dispozițiile adoptate în temeiul articolului 4, 8 sau 10, sau în cazul în care datele cu caracter personal trebuie șterse pentru îndeplinirea unei obligații legale care îi revine operatorului.

(3)  În loc de ștergere, operatorul restricționează prelucrarea datelor cu caracter personal în cazul în care:

În cazul în care prelucrarea este restricționată în conformitate cu litera (a) de la primul paragraf, operatorul informează în acest sens persoana vizată înainte de ridicarea restricțiilor de prelucrare.

(4)  Statele garantează că operatorul informează în scris persoana vizată cu privire la orice refuz de rectificare sau de ștergere a datelor cu caracter personal sau de restricționare a prelucrării și cu privire la motivele refuzului. Statele membre pot adopta măsuri legislative care restricționează, integral sau parțial, obligația de a furniza astfel de informații în măsura în care o astfel de restricționare a prelucrării constituie o măsură necesară și proporțională într-o societate democratică, ținându-se seama în mod corespunzător de drepturile fundamentale și de interesele legitime ale persoanei fizice vizate pentru:

Statele membre garantează că operatorul informează persoana vizată cu privire la posibilitatea de a depune o plângere la autoritatea de supraveghere sau de a introduce o cale de atac judiciară.

(5)  Statele membre garantează comunicarea de către operator a rectificării datelor cu caracter personal inexacte autorității competente de la care provin datele cu caracter personal inexacte.

(6)  Statele membre garantează faptul că operatorul informează destinatarii cu privire la rectificarea sau ștergerea datelor cu caracter personal sau cu privire la restricționarea prelucrării, în temeiul alineatelor (1), (2) și (3), precum și faptul că destinatarii rectifică sau șterg datele cu caracter personal sau restricționează prelucrarea datelor cu caracter personal atunci când le revine responsabilitatea pentru acestea.

Articolul 17

Exercitarea drepturilor de către persoana vizată și verificarea de către autoritatea de supraveghere

(1)  În cazurile menționate la articolul 13 alineatul (3), la articolul 15 alineatul (3) și la articolul 16 alineatul (4), statele membre adoptă măsuri prin care se prevede că drepturile persoanei vizate pot fi, de asemenea, exercitate prin intermediul autorității de supraveghere competente.

(2)  Statele membre garantează că operatorul informează persoana vizată cu privire la posibilitatea de a-și exercita drepturile prin intermediul autorității de supraveghere în temeiul alineatului (1).

(3)  Atunci când este exercitat dreptul menționat la alineatul (1), autoritatea de supraveghere informează persoana vizată cel puțin că au fost realizate toate verificările necesare sau o revizuire de către autoritatea de supraveghere. Autoritatea de supraveghere informează, de asemenea, persoana vizată în legătură cu dreptul acesteia de a introduce o cale de atac.

Articolul 18

Drepturile persoanei vizate în cadrul investigațiilor și procedurilor penale

Statele membre garantează că drepturile menționate la articolele 13, 14 și 16 se exercită în conformitate cu dreptul intern în cazul în care datele cu caracter personal sunt conținute într-o hotărâre judecătorească sau într-un cazier sau dosar prelucrat pe parcursul investigațiilor și procedurilor penale.

CAPITOLUL IV

Operatorul și persoana împuternicită de către operator

Secțiunea 1

Obligații generale

Articolul 19

Obligațiile operatorului

(1)  Statele membre garantează că, ținând seama de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și de riscurile cu grade diferite de probabilitate și gravitate la adresa drepturilor și libertăților persoanelor fizice, operatorul pune în aplicare măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezenta directivă. Respectivele măsuri se revizuiesc și se actualizează dacă este necesar.

(2)  Atunci când sunt proporționale în raport cu operațiunile de prelucrare, măsurile menționate la alineatul (1) includ punerea în aplicare de către operator a unor politici corespunzătoare de protecție a datelor.

Articolul 20

Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit

(1)  Statele membre garantează că, având în vedere stadiul actual al tehnologiei, costurile de punere în aplicare, precum și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscurile cu grade diferite de probabilitate și de gravitate la adresa drepturilor și libertăților persoanelor fizice pe care le prezintă prelucrarea, operatorul, atât la momentul stabilirii mijloacelor de prelucrare, cât și la cel al prelucrării în sine, pune în aplicare măsuri tehnice și organizatorice adecvate, cum ar fi pseudonimizarea, care sunt destinate să pună în aplicare în mod eficient principiile de protecție a datelor, precum reducerea la minim a datelor și să integreze garanțiile necesare în cadrul prelucrării, pentru a îndeplini cerințele prezentei directive și a proteja drepturile persoanelor vizate.

(2)  Statele membre garantează că operatorul pune în aplicare măsuri tehnice și organizatorice adecvate prin care să se asigure că, în mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării. Obligația respectivă se aplică volumului de date cu caracter personal colectate, gradului de prelucrare a acestora, perioadei lor de stocare și accesibilității lor. În special, măsurile respective trebuie să asigure că, în mod implicit, datele cu caracter personal nu sunt accesibile, fără intervenția persoanei fizice, unui număr nedefinit de persoane fizice.

Articolul 21

Operatori asociați

(1)  Statele membre garantează faptul că, atunci când doi sau mai mulți operatori stabilesc în comun scopurile și mijloacele de prelucrare, aceștia sunt operatori asociați. Aceștia stabilesc într-un mod transparent responsabilitățile care revin fiecăruia în vederea respectării prezentei directive, în special în ceea ce privește exercitarea drepturilor persoanelor vizate și îndatoririle fiecăruia de furnizare a informațiilor prevăzute la articolul 13, prin intermediul unui acord între ei, cu excepția cazului și în măsura în care responsabilitățile operatorilor sunt stabilite de dreptul Uniunii sau de dreptul intern care li se aplică. Acordul desemnează punctul de contact pentru persoanele vizate. Statele membre pot desemna care dintre operatorii asociați poate acționa ca punct unic de contact pentru exercitarea de către persoanele vizate a drepturilor lor.

(2)  Indiferent de termenii acordului menționat la alineatul (1), statele membre pot să prevadă dispoziții potrivit cărora persoana vizată își exercită drepturile cu privire la și în raport cu fiecare dintre operatori în conformitate cu dispozițiile adoptate în temeiul prezentei directive.

Articolul 22

Persoana împuternicită de către operator

(1)  Statele membre garantează că, atunci când o prelucrare urmează să fie realizată în numele unui operator, operatorul recurge doar la persoane împuternicite care să ofere garanții suficiente pentru punerea în aplicare a măsurilor tehnice și organizatorice adecvate, astfel încât prelucrarea să îndeplinească cerințele prezentei directive și să asigure protecția drepturilor persoanei vizate.

(2)  Statele membre garantează că persoana împuternicită de către operator nu recrutează o altă persoană împuternicită de operator fără a primi în prealabil o autorizație scrisă, specifică sau generală, din partea operatorului. În cazul unei autorizații scrise generale, persoana împuternicită de către operator informează operatorul cu privire la orice modificări preconizate privind adăugarea sau înlocuirea altor persoane împuternicite de către operator, oferind astfel operatorului posibilitatea de a formula obiecții față de aceste modificări.

(3)  Statele membre garantează că prelucrarea de către o persoană împuternicită de un operator este reglementată printr-un contract sau un alt act juridic în temeiul dreptului Uniunii sau al dreptului intern, care are caracter obligatoriu pentru persoana împuternicită de către operator în raport cu operatorul și care stabilește obiectul și durata prelucrării, natura și scopul prelucrării, tipul de date cu caracter personal și categoriile de persoane vizate, precum și obligațiile și drepturile operatorului. Respectivul contract sau act juridic prevede, în special, că persoana împuternicită de operator:

(4)  Contractul sau un alt act juridic menționat la alineatul (3) se întocmește în scris și poate fi pus la dispoziție în format electronic.

(5)  În cazul în care o persoană împuternicită de către operator stabilește, cu încălcarea prezentei directive, scopurile și mijloacele de prelucrare, persoana împuternicită este considerată ca fiind operator în ceea ce privește prelucrarea respectivă.

Articolul 23

Desfășurarea activității de prelucrare sub autoritatea operatorului sau a persoanei împuternicite de către operator

Statele membre garantează că persoana împuternicită de către operator și orice persoană care acționează sub autoritatea operatorului sau a persoanei împuternicite de către operator care are acces la datele cu caracter personal prelucrează datele respective numai la cererea operatorului, cu excepția cazului în care dreptul Uniunii sau dreptul intern impun aceasta.

Articolul 24

Evidențe ale activităților de prelucrare

(1)  Statele membre garantează că operatorul menține o evidență a tuturor categoriilor de activități de prelucrare aflate în responsabilitatea sa. Respectiva evidență cuprinde toate informațiile următoare:

(2)  Statele membre garantează că fiecare persoană împuternicită de către operator păstrează o evidență a tuturor categoriilor de activități de prelucrare desfășurate în numele operatorului, evidență care cuprinde:

▼C1

▼B

(3)  Evidențele menționate la alineatele (1) și (2) se păstrează în scris, inclusiv în format electronic.

Operatorul și persoana împuternicită de acesta pun evidențele la dispoziția autorității de supraveghere, la cererea acesteia.

Articolul 25

Înregistrarea

(1)  Statele membre se asigură că se înregistrează cel puțin următoarele operațiuni de prelucrare din cadrul sistemelor de prelucrare automată: colectarea, modificarea, consultarea, divulgarea inclusiv transferurile, combinarea și ștergerea. Înregistrările consultărilor și ale divulgărilor fac posibilă determinarea motivelor, a datei și a momentului acestor operațiuni și, în măsura în care este posibil, identificarea persoanei care a consultat sau a divulgat date cu caracter personal și identitatea destinatarilor acestor date cu caracter personal.

(2)  Înregistrările sunt utilizate numai pentru verificarea legalității prelucrării, monitorizare proprie, asigurarea integrității și a securității datelor cu caracter personal și în cadrul unor proceduri penale.

(3)  Operatorul și persoana împuternicită de către operator pun înregistrările la dispoziția autorității de supraveghere, la cererea acesteia.

Articolul 26

Cooperarea cu autoritatea de supraveghere

Statele membre garantează că operatorul și persoana împuternicită de către operator cooperează cu autoritatea de supraveghere, la cererea acesteia, în îndeplinirea sarcinilor acesteia.

Articolul 27

Evaluarea impactului asupra protecției datelor

(1)  În cazul în care un tip de prelucrare, în special care implică utilizarea de noi tehnologii, și, ținând seama de natura, domeniul de aplicare, contextul și scopurile prelucrării, este susceptibil să genereze un risc ridicat la adresa drepturilor și libertăților persoanelor fizice, statele membre garantează că operatorul, înainte de prelucrare, efectuează o evaluare a impactului operațiunilor de prelucrare preconizate asupra protecției datelor cu caracter personal.

(2)  Evaluarea menționată la alineatul (1) cuprinde cel puțin o descriere generală a operațiunilor de prelucrare preconizate, o evaluare a riscurilor la adresa drepturilor și libertăților persoanelor vizate, măsurile preconizate în vederea abordării riscurilor, garanțiile, măsurile de securitate și mecanismele menite să asigure protecția datelor cu caracter personal și să demonstreze respectarea prezentei directive, luând în considerare drepturile și interesele legitime ale persoanelor vizate și ale celorlalte persoane interesate.

Articolul 28

Consultarea prealabilă a autorității de supraveghere

(1)  Statele membre garantează că operatorul sau persoana împuternicită de către operator consultă autoritatea de supraveghere înainte de prelucrarea datelor cu caracter personal care fac parte dintr-un sistem nou de evidență a datelor care urmează a fi creat, în cazul în care:

(2)  Statele membre garantează că autoritatea de supraveghere este consultată în cadrul procesului de pregătire a unei propuneri de măsură legislativă care să fie adoptată de un parlament național sau a unei măsuri de reglementare întemeiate pe o astfel de măsură legislativă, care se referă la prelucrare.

(3)  Statele membre garantează că autoritatea de supraveghere poate stabili o listă a operațiunilor de prelucrare care fac obiectul consultării prealabile, în conformitate cu alineatul (1).

(4)  Statele membre garantează că operatorul transmite autorității de supraveghere evaluarea impactului asupra protecției datelor în temeiul articolului 27 și, la cererea acesteia, orice altă informație care permite autorității de supraveghere să evalueze conformitatea prelucrării și în special riscurile la adresa protecției datelor cu caracter personal ale persoanei vizate și garanțiile aferente.

(5)  Statele membre garantează că atunci când autoritatea de supraveghere consideră că prelucrarea preconizată, menționată la alineatul (1) din prezentul articol, ar încălca dispozițiile adoptate în temeiul prezentei directive, în special în cazul în care riscul nu a fost identificat sau atenuat într-o măsură suficientă de către operator, autoritatea de supraveghere oferă consiliere în scris operatorului, în termen de cel mult șase săptămâni de la primirea cererii de consultare, și, dacă este cazul, persoanei împuternicite de către operator, și își poate recurge la oricare dintre competențele menționate la articolul 47. Termenul menționat poate fi prelungit cu o lună, ținându-se seama de complexitatea prelucrării preconizate. Autoritatea de supraveghere informează operatorul și, dacă este cazul, persoana împuternicită de către operator, cu privire la prelungirea termenului respectiv, inclusiv cu privire la motivele prelungirii, în termen de o lună de la primirea cererii de consultare.

Secțiunea 2

Securitatea datelor cu caracter personal

Articolul 29

Securitatea prelucrării

(1)  Statele membre garantează că, având în vedere stadiul actual al tehnologiei și costurile implementării și ținând seama de natura,domeniul de aplicare, contextul și scopurile prelucrării, precum și de riscurile cu grade diferite de probabilitate și de gravitate la adresa drepturilor și libertăților persoanelor fizice, operatorul și persoana împuternicită de acesta implementează măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, în special în ceea ce privește prelucrarea categoriilor speciale de date cu caracter personal menționate la articolul 10.

(2)  În ceea ce privește prelucrarea automată, fiecare stat membru garantează că operatorul sau persoana împuternicită de către operator pune în aplicare, în urma unei evaluări a riscurilor, măsuri menite:

Articolul 30

Notificarea autorității de supraveghere în cazul încălcării securității datelor cu caracter personal

(1)  Statele membre garantează că, în cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică acest lucru autorității de supraveghere fără întârzieri nejustificate și, în cazul în care este posibil, în cel mult 72 de ore după ce a luat cunoștință de aceasta, cu excepția cazului în care încălcarea securității datelor cu caracter personal nu este susceptibilă să genereze un risc la adresa drepturilor și libertăților persoanelor fizice. ►C1  În cazul în care notificarea către autoritatea de supraveghere nu are loc în termen de 72 de ore, aceasta este însoțită de o explicație motivată pentru întârziere. ◄

(2)  Persoana împuternicită de către operator înștiințează operatorul fără întârzieri nejustificate după ce ia cunoștință de o încălcare a securității datelor cu caracter personal.

(3)  Notificarea menționată la alineatul (1) trebuie, cel puțin:

(4)  În cazul în care și în măsura în care furnizarea informațiilor în același timp nu este posibilă, informațiile pot fi furnizate treptat, fără întârzieri nejustificate.

(5)  Statele membre garantează că operatorul păstrează documente referitoare la toate cazurile de încălcare a securității datelor cu caracter personal, menționate la alineatul (1), care cuprind o descriere a situației în care a avut loc încălcarea securității datelor cu caracter personal, a efectelor acesteia și a măsurilor de remediere întreprinse. Această documentație trebuie să permită autorității de supraveghere să verifice respectarea prezentului articol.

(6)  Statele membre garantează că, în cazul în care încălcarea securității datelor implică date cu caracter personal care au fost transmise de un operator dintr-un alt stat membru sau către un astfel de operator, informațiile prevăzute la alineatul (3) se comunică operatorului din respectivul stat membru fără întârzieri nejustificate.

Articolul 31

Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal

(1)  Statele membre garantează că, în cazul în care încălcarea securității datelor cu caracter personal este susceptibilă să genereze un risc ridicat la adresa drepturilor și libertăților persoanelor fizice, operatorul informează persoana vizată, fără întârzieri nejustificate, cu privire la încălcarea securității datelor cu caracter personal.

(2)  În informarea transmisă persoanei vizate, prevăzută la alineatul (1) din prezentul articol, se include o descriere într-un limbaj simplu și clar a caracterului încălcării securității datelor cu caracter personal, precum și cel puțin informațiile și măsurile menționate la articolul 30 alineatul (3) literele (b), (c) și (d).

(3)  Informarea persoanei vizate, menționată la alineatul (1), nu este necesară în cazul în care este îndeplinită oricare dintre următoarele condiții:

(4)  În cazul în care operatorul nu a informat deja persoana vizată cu privire la încălcarea securității datelor cu caracter personal, autoritatea de supraveghere, luând în considerare probabilitatea ca încălcarea securității datelor cu caracter personal să genereze un risc ridicat, poate să îi solicite să facă acest lucru sau poate decide că oricare dintre condițiile menționate la alineatul (3) sunt îndeplinite.

(5)  Informarea persoanei vizate menționată la alineatul (1) din prezentul articol poate fi amânată, restricționată sau omisă, sub rezerva condițiilor și a motivelor menționate la articolul 13 alineatul (3).

Secțiunea 3

Responsabilul cu protecția datelor

Articolul 32

Desemnarea responsabilului cu protecția datelor

(1)  Statele membre garantează că operatorul desemnează un responsabil cu protecția datelor. Statele membre pot scuti de această obligație instanțele și alte autorități judiciare independente atunci când acționează în exercițiul funcției lor judiciare.

(2)  Responsabilul cu protecția datelor este desemnat pe baza calităților sale profesionale și, în special, a cunoștințelor de specialitate în domeniul legislației și practicilor privind protecția datelor, precum și pe baza capacității de a îndeplini sarcinile prevăzute la articolul 34.

(3)  Un unic responsabil cu protecția datelor poate fi desemnat pentru mai multe autorități competente, luând în considerare structura organizatorică și dimensiunea acestora.

(4)  Statele membre garantează că operatorul publică datele de contact ale responsabilului cu protecția datelor și le transmite autorității de supraveghere.

Articolul 33

Funcția responsabilului cu protecția datelor

(1)  Statele membre impun operatorului să se asigure că responsabilul cu protecția datelor este consultat în mod corespunzător și în timp util în toate aspectele legate de protecția datelor cu caracter personal.

(2)  Operatorul sprijină responsabilul cu protecția datelor în îndeplinirea sarcinilor menționate la articolul 34, asigurându-i resursele necesare pentru executarea acestor sarcini, precum și accesul la datele cu caracter personal și la operațiunile de prelucrare, și să își mențină cunoștințele de specialitate.

Articolul 34

Sarcinile responsabilului cu protecția datelor

Statele membre garantează că operatorul încredințează responsabilului cu protecția datelor cel puțin următoarele sarcini:

CAPITOLUL V

Transferurile de date cu caracter personal către țări terțe sau organizații internaționale

Articolul 35

Principii generale pentru transferurile de date cu caracter personal

(1)  Statele membre garantează că orice transfer de date cu caracter personal de către autoritățile competente, care sunt în curs de prelucrare sau care sunt destinate prelucrării după transferul către o țară terță sau către o organizație internațională, inclusiv transferurilor ulterioare către o altă țară terță sau organizație internațională, poate avea loc numai sub rezerva respectării altor dispoziții ale prezentei directive, în cazul în care sunt îndeplinite condițiile prevăzute în prezentul capitol, și anume:

(2)  Statele membre garantează că transferurile fără autorizarea prealabilă de către un alt stat membru, în conformitate cu litera (c) de la alineatul (1), sunt permise numai dacă transferul de date cu caracter personal este necesar pentru prevenirea unei amenințări imediate și grave la adresa securității publice a unui stat membru sau a unei țări terțe sau a intereselor fundamentale ale unui stat membru, iar autorizarea prealabilă nu poate fi obținută în timp util. Autoritatea responsabilă pentru acordarea unei autorizări prealabile este informată fără întârziere.

(3)  Toate dispozițiile din prezentul capitol se aplică pentru a se asigura că nivelul de protecție a persoanelor fizice garantat prin prezenta directivă nu este subminat.

Articolul 36

Transferuri în baza unei decizii privind caracterul adecvat al nivelului de protecție

(1)  Statele membre garantează că transferul de date cu caracter personal către o țară terță sau o organizație internațională se poate realiza atunci când Comisia a decis că țara terță, un teritoriu ori unul sau mai multe sectoare determinate din acea țară terță sau organizația internațională în cauză asigură un nivel de protecție adecvat. Transferurile realizate în aceste condiții nu necesită autorizări speciale.

(2)  Atunci când evaluează caracterul adecvat al nivelului de protecție, Comisia ține seama, în special, de următoarele elemente:

(3)  Comisia, după ce evaluează caracterul adecvat al nivelului de protecție, poate decide, prin intermediul unui act de punere în aplicare, că o țară terță, un teritoriu sau unul sau mai multe sectoare determinate dintr-o țară terță sau o organizație internațională asigură un nivel de protecție adecvat în sensul alineatului (2) din prezentul articol. Actul de punere în aplicare prevede un mecanism de revizuire periodică, cel puțin o dată la patru ani, care ia în considerare toate evoluțiile relevante din țara terță sau organizația internațională. Actul de punere în aplicare menționează aplicarea sa teritorială și sectorială și, după caz, identifică autoritatea sau autoritățile de supraveghere menționate la alineatul (2) litera (b) din prezentul articol. Actul de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 58 alineatul (2).

(4)  Comisia monitorizează în permanență evoluțiile din țările terțe și organizațiile internaționale care ar putea afecta funcționarea deciziilor adoptate în conformitate cu alineatul (3).

(5)  În cazul în care din informațiile disponibile, în special în urma revizuirii menționate la alineatul (3) din prezentul articol, reiese că o țară terță, un teritoriu sau un sector determinat dintr-o țară terță sau o organizație internațională nu mai asigură un nivel de protecție adecvat în sensul alineatului (2) din prezentul articol, Comisia, în măsura în care este necesar, abrogă, modifică sau suspendă, prin intermediul unor acte de punere în aplicare, decizia menționată la alineatul (3) din prezentul articol fără efect retroactiv. Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare menționată la articolul 58 alineatul (2).

Din motive imperioase de urgență justificate corespunzător, Comisia adoptă acte de punere în aplicare imediat aplicabile în conformitate cu procedura menționată la articolul 58 alineatul (3).

(6)  Comisia inițiază consultări cu țara terță sau organizația internațională în vederea remedierii situației care a stat la baza deciziei luate în conformitate cu alineatul (5).

(7)  Statele membre garantează că o decizie luată în temeiul alineatului (5) nu aduce atingere transferurilor de date cu caracter personal către țara terță, către teritoriul sau către unul sau mai multe sectoare determinate din acea țară terță sau către organizația internațională în cauză în conformitate cu articolele 37 și 38.

(8)  Comisia publică în Jurnalul Oficial al Uniunii Europene și pe site-ul său web o listă a țărilor terțe, a teritoriilor și sectoarelor determinate din țările terțe și a organizațiilor internaționale în cazul cărora a decis că nivelul de protecție adecvat este asigurat sau nu mai este asigurat.

Articolul 37

Transferuri sub rezerva unor garanții adecvate

(1)  În absența unei decizii luate în conformitate cu articolul 36 alineatul (3), statele membre garantează că transferul de date cu caracter personal către o țară terță sau către o organizație internațională poate avea loc atunci când:

(2)  Operatorul informează autoritatea de supraveghere cu privire la categoriile de transferuri în temeiul alineatului (1) litera (b).

(3)  Atunci când un transfer se întemeiază pe alineatul (1) litera (b), un astfel de transfer se documentează, iar documentația se pune la dispoziția autorității de supraveghere la cerere, incluzând data și ora transferului, informații cu privire la autoritatea competentă destinatară, justificarea transferului și datele cu caracter personal transferate.

Articolul 38

Derogări pentru situații specifice

(1)  În absența unei decizii privind caracterul adecvat al nivelului de protecție în conformitate cu articolul 37 sau a unor garanții adecvate în conformitate cu articolul 36, statele membre garantează că un transfer sau o categorie de transferuri de date cu caracter personal către o țară terță sau către o organizație internațională poate avea loc numai în condițiile în care transferul este necesar:

(2)  Datele cu caracter personal nu sunt transferate dacă autoritatea competentă care transferă datele stabilește că drepturile și libertățile fundamentale ale persoanei vizate în cauză prevalează asupra interesului public în cazul transferului prevăzut la alineatul (1) literele (d) și (e).

(3)  Atunci când un transfer se întemeiază pe alineatul (1), un astfel de transfer trebuie să fie documentat, iar documentația trebuie pusă la dispoziția autorității de supraveghere la cerere, incluzând data și ora transferului, informații cu privire la autoritatea competentă destinatară, justificarea transferului și datele cu caracter personal transferate.

Articolul 39

Transferurile de date cu caracter personal către destinatari stabiliți în țări terțe

(1)  Prin derogare de la articolul 35 alineatul (1) litera (b) și fără a aduce atingere niciunui acord internațional menționat la alineatul (2) din prezentul articol, dreptul Uniunii sau dreptul intern poate să prevadă că autoritățile competente menționate la articolul 3 punctul 7 litera (a) pot, în cazuri individuale și specifice, transfera date cu caracter personal direct destinatarilor stabiliți în țări terțe, dar numai în cazul în care celelalte dispoziții ale prezentei directive sunt respectate și dacă sunt îndeplinite următoarele condiții:

(2)  Un acord internațional menționat la alineatul (1) este orice acord internațional bilateral sau multilateral în vigoare între statele membre și țări terțe în domeniul cooperării judiciare în materie penală și al cooperării polițienești.

(3)  Autoritatea competentă care transferă datele informează autoritatea de supraveghere cu privire la transferurile efectuate în temeiul prezentului articol.

(4)  Atunci când un transfer se întemeiază pe alineatul (1), un astfel de transfer trebuie să fie documentat.

Articolul 40

Cooperarea internațională în domeniul protecției datelor cu caracter personal

În ceea ce privește țările terțe și organizațiile internaționale, Comisia și statele membre iau măsurile corespunzătoare pentru:

CAPITOLUL VI

Autorități de supraveghere independente

Secțiunea 1

Statut independent

Articolul 41

Autoritatea de supraveghere

(1)  Fiecare stat membru garantează că una sau mai multe autorități publice independente sunt responsabile de monitorizarea aplicării prezentei directive, în vederea protejării drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea și în vederea facilitării liberei circulații a datelor cu caracter personal în cadrul Uniunii („autoritatea de supraveghere”).

(2)  Fiecare autoritate de supraveghere contribuie la aplicarea consecventă a prezentei directive în întreaga Uniune. În acest scop, autoritățile de supraveghere cooperează atât între ele, cât și cu Comisia, în conformitate cu capitolul VII.

(3)  Statele membre pot să prevadă că o autoritate de supraveghere instituită în conformitate cu Regulamentul (UE) 2016/679 constituie autoritatea de supraveghere menționată în prezenta directivă și își asumă responsabilitatea pentru sarcinile autorității de supraveghere care urmează să fie instituită în conformitate cu alineatul (1) din prezentul articol.

(4)  În cazul în care un stat membru instituie mai multe autorități de supraveghere, statul membru respectiv desemnează autoritatea de supraveghere care reprezintă autoritățile respective în cadrul comitetului menționat la articolul 51.

Articolul 42

Independență

(1)  Fiecare stat membru garantează că autoritatea sa de supraveghere beneficiază de independență deplină în îndeplinirea sarcinilor și exercitarea competențelor care le revin în conformitate cu prezenta directivă.

(2)  Statele membre garantează că membrii autorităților lor de supraveghere, în îndeplinirea sarcinilor și în exercitarea competențelor care le revin în conformitate cu prezenta directivă, rămân independenți de orice influență externă directă sau indirectă și nici nu solicită, nici nu acceptă instrucțiuni de la nimeni.

(3)  Membrii autorităților de supraveghere din statele membre nu întreprind acțiuni incompatibile cu îndatoririle lor, iar, pe durata mandatului, nu desfășoară activități incompatibile, remunerate sau nu.

(4)  Fiecare stat membru garantează că autoritatea sa de supraveghere beneficiază de resurse umane, tehnice și financiare, de un sediu și de infrastructura necesară pentru îndeplinirea sarcinilor și exercitarea competențelor în mod eficace, inclusiv a celor care urmează să fie realizate în contextul asistenței reciproce, al cooperării și al participării în cadrul comitetului.

(5)  Fiecare stat membru garantează că autoritatea sa de supraveghere selectează și dispune de personal propriu, care se află sub conducerea exclusivă a membrului sau membrilor autorității de supraveghere vizate.

(6)  Fiecare stat membru garantează că autoritatea sa de supraveghere face obiectul unui control financiar care nu aduce atingere independenței sale și că dispune de bugete publice anuale distincte, care pot face parte din bugetul general de stat sau național.

Articolul 43

Condiții generale aplicabile membrilor autorității de supraveghere

(1)  Statele membre garantează că fiecare membru al autorităților lor de supraveghere este numit prin intermediul unei proceduri transparente:

(2)  Fiecare membru dispune de calificările, experiența și competențele, în special în domeniul protecției datelor cu caracter personal, necesare pentru îndeplinirea atribuțiilor și exercitarea competențelor sale.

(3)  Atribuțiile unui membru încetează în cazul expirării mandatului, în cazul demisiei sau destituirii în conformitate cu dreptul statului membru în cauză.

(4)  Un membru poate fi demis doar în cazuri de abateri grave sau în cazul în care membrul respectiv nu mai întrunește condițiile necesare pentru îndeplinirea atribuțiilor sale.

Articolul 44

Norme privind instituirea autorității de supraveghere

(1)  Fiecare stat membru prevede în dreptul său următoarele:

(2)  Membrul sau membrii și personalul fiecărei autorități de supraveghere au obligația, în conformitate cu dreptul Uniunii sau cu dreptul intern, de a păstra atât pe parcursul mandatului, cât și după încetarea acestuia, secretul profesional în ceea ce privește toate informațiile confidențiale de care au luat cunoștință în cursul îndeplinirii atribuțiilor sau al exercitării competențelor lor. Pe durata mandatului lor, această obligație de păstrare a secretului profesional se aplică, în special, în ceea ce privește denunțarea de către persoane fizice a cazurilor de încălcare a prezentei directive.

Secțiunea 2

Abilitări, sarcini și competențe

Articolul 45

Abilitări

(1)  Fiecare stat membru garantează că autoritatea sa de supraveghere este abilitată să îndeplinească sarcinile și să exercite competențele care îi revin în conformitate cu prezenta directivă pe teritoriul respectivului stat membru.

▼C1

(2)  Fiecare stat membru garantează că autorității sale de supraveghere nu îi revine competența să supravegheze operațiunile de prelucrare ale instanțelor atunci când acestea acționează în exercițiul funcției lor judiciare. Statele membre pot să stabilească dispoziții potrivit cărora autorităților sale de supraveghere nu le revine competența să supravegheze operațiunile de prelucrare ale altor autorități judiciare independente atunci când acestea acționează în exercițiul funcției lor judiciare.

▼B

Articolul 46

Sarcini

(1)  Fiecare stat membru garantează, pe teritoriul său, că autoritatea sa de supraveghere:

(2)  Fiecare autoritate de supraveghere facilitează depunerea plângerilor menționate la alineatul (1) litera (f) prin măsuri precum punerea la dispoziție a unui formular de depunere a plângerii, care să poată fi completat inclusiv în format electronic, fără a exclude alte mijloace de comunicare.

(3)  Îndeplinirea sarcinilor fiecărei autorități de supraveghere este gratuită pentru persoana vizată și pentru responsabilul cu protecția datelor.

(4)  În cazul în care o cerere este în mod vădit nefondată sau excesivă, în special când este repetitivă, autoritatea de supraveghere poate percepe o taxă rezonabilă pe baza costurilor sale administrative sau poate refuza să îi dea curs. Obligația de a demonstra caracterul evident nefondat sau excesiv al cererii respective revine autorității de supraveghere.

Articolul 47

Competențe

(1)  Fiecare stat membru garantează prin lege că autorității sale de supraveghere îi revin competențe de investigare efective. Respectivele competențe includ, cel puțin, competența de a obține, din partea operatorului și a persoanei împuternicite de operator, accesul la toate datele cu caracter personal care sunt prelucrate și la toate informațiile necesare pentru îndeplinirea sarcinilor sale.

(2)  Fiecare stat membru garantează prin lege că autorității sale de supraveghere îi revin competențe corective efective, cum ar fi, de exemplu:

(3)  Fiecare stat membru garantează prin lege că autorității sale de supraveghere îi revin competențe de consiliere efective pentru a oferi consiliere operatorului în conformitate cu procedura de consultare prealabilă menționată la articolul 28 și de a emite avize, din proprie inițiativă sau la cerere, parlamentului național, guvernului sau, în conformitate cu dreptul său intern, altor instituții și organisme, precum și publicului, cu privire la orice aspect legat de protecția datelor cu caracter personal.

(4)  Exercitarea competențelor conferite autorității de supraveghere în temeiul prezentului articol face obiectul unor garanții adecvate, inclusiv căi de atac judiciare eficiente și procese echitabile, prevăzute de dreptul Uniunii și de dreptul intern în conformitate cu Carta.

(5)  Fiecare stat membru garantează prin lege că autorității sale de supraveghere îi revine competența de a aduce în atenția autorităților judiciare cazurile de încălcare a dispozițiilor adoptate în temeiul prezentei directive și, după caz, de a iniția sau de a se implica într-un alt mod în proceduri judiciare, în scopul de a asigura respectarea dispozițiilor adoptate în temeiul prezentei directive.

Articolul 48

Denunțarea cazurilor de încălcare

Statele membre garantează că autoritățile competente instituie mecanisme eficiente de încurajare a denunțării confidențiale a cazurilor de încălcare a prezentei directive.

Articolul 49

Rapoarte de activitate

Fiecare autoritate de supraveghere întocmește un raport anual cu privire la activitățile sale, care poate include o listă a cazurilor de încălcare notificate și natura sancțiunilor aplicate. Rapoartele se transmit parlamentului național, guvernului și altor autorități desemnate de dreptul intern. Rapoartele se pune la dispoziția publicului, a Comisiei și a comitetului.

CAPITOLUL VII

Cooperarea

Articolul 50

Asistență reciprocă

(1)  Fiecare stat membru garantează că autoritățile sale de supraveghere își furnizează reciproc informațiile relevante și asistență pentru a pune în aplicare și a aplica prezenta directivă în mod consecvent și instituie măsuri de cooperare eficace între ele. Asistența reciprocă se referă, în special, la cereri de informații și măsuri de supraveghere, cum ar fi cereri în vederea efectuării de consultări, inspecții și investigații.

(2)  Fiecare stat membru garantează luarea de către fiecare autoritate de supraveghere a tuturor măsurilor corespunzătoare necesare pentru a răspunde cererii unei alte autorități de supraveghere, fără întârziere și în cel mult o lună de la data primirii cererii. Astfel de măsuri pot include, în special, transmiterea informațiilor relevante privind desfășurarea unei investigații.

(3)  Cererile de asistență cuprind toate informațiile necesare, inclusiv scopul și motivele care stau la baza acesteia. Informațiile care fac obiectul schimbului se utilizează numai în scopul în care au fost solicitate.

(4)  O autoritate de supraveghere căreia i se adresează o cerere de asistență nu poate refuza să îi dea curs, cu excepția cazului în care:

(5)  Autoritatea de supraveghere căreia i s-a adresat cererea informează autoritatea de supraveghere care a transmis cererea cu privire la rezultate sau, după caz, la progresele înregistrate ori măsurile întreprinse pentru a răspunde cererii. În cazul unui refuz în temeiul alineatului (4), autoritatea de supraveghere căreia i s-a adresat cererea explică motivele de refuz.

(6)  Autoritățile de supraveghere cărora li s-a adresat o cerere furnizează, de regulă, informațiile solicitate de alte autorități de supraveghere prin mijloace electronice, utilizând un formular-standard.

(7)  Pentru acțiunile întreprinse în urma unei cereri de asistență reciprocă autoritățile de supraveghere cărora li s-a adresat o cerere nu percep taxă. Autoritățile de supraveghere pot conveni asupra unor compensații reciproce în cazul unor cheltuieli specifice rezultate în urma acordării de asistență reciprocă în situații excepționale.

(8)  Comisia poate preciza, prin intermediul unor acte de punere în aplicare, forma și procedurile pentru asistența reciprocă menționată în prezentul articol, precum și modalitățile de schimb de informații prin mijloace electronice între autoritățile de supraveghere și între autoritățile de supraveghere și comitet. Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare menționată la articolul 58 alineatul (2).

Articolul 51

Sarcinile comitetului

(1)  Comitetul instituit prin Regulamentul (UE) 2016/679 îndeplinește, în ceea ce privește prelucrarea care intră sub incidența prezentei directive, toate sarcinile următoare:

▼C1

▼B

În ceea ce privește litera (g) de la primul paragraf, Comisia pune la dispoziția comitetului toată documentația necesară, inclusiv corespondența purtată cu guvernul țării terțe, al teritoriului respectiv sau cu sectorul specific din respectiva țară terță, sau cu organizația internațională.

(2)  În cazul în care Comisia solicită consiliere din partea comitetului, aceasta poate indica un termen limită, ținând seama de caracterul urgent al chestiunii.

(3)  Comitetul își transmite avizele, orientările, recomandările și bunele practici Comisiei și comitetului menționat la articolul 58 alineatul (1) și le publică.

(4)  Comisia informează comitetul cu privire la măsurile pe care le-a luat în urma avizelor, orientărilor, recomandărilor și bunelor practici emise de comitet.

CAPITOLUL VIII

Căi de atac, răspundere și sancțiuni

Articolul 52

Dreptul de a depune o plângere la o autoritate de supraveghere

(1)  Fără a aduce atingere oricăror alte căi de atac administrative sau judiciare, statele membre garantează oricărei persoane vizate dreptul de a depune o plângere la o singură autoritate de supraveghere, în cazul în care persoana vizată consideră că prelucrarea datelor cu caracter personal care o vizează încalcă dispozițiile adoptate în temeiul prezentei directive.

(2)  Statele membre garantează că, în cazul în care plângerea nu este depusă la autoritatea de supraveghere competentă în temeiul articolului 45 alineatul (1), autoritatea de supraveghere la care a fost depusă plângerea o transmite autorității de supraveghere competente, fără întârzieri nejustificate. Persoana vizată este informată cu privire la transmitere.

(3)  Statele membre garantează că autoritatea de supraveghere la care s-a depus plângerea oferă, la cerere, asistență suplimentară persoanei vizate.

(4)  Persoana vizată este informată de către autoritatea de supraveghere competentă cu privire la evoluția și rezultatul plângerii, inclusiv cu privire la posibilitatea de a exercita o cale de atac judiciară în conformitate cu articolul 53.

Articolul 53

Dreptul la o cale de atac judiciară eficientă împotriva unei autorități de supraveghere

(1)  Fără a aduce atingere oricăror alte căi de atac administrative sau extrajudiciare, statele membre dispun că o persoană fizică sau juridică are dreptul de a exercita o cale de atac judiciară eficientă împotriva unei decizii obligatorii din punct de vedere juridic a unei autorități de supraveghere care o vizează.

(2)  Fără a aduce atingere oricăror alte căi de atac administrative sau extrajudiciare, fiecare persoană vizată are dreptul de a exercita o cale de atac judiciară eficientă în cazul în care autoritatea de supraveghere competentă în conformitate cu articolul 45 alineatul (1) nu tratează o plângere sau nu informează persoana vizată în termen de trei luni cu privire la progresele sau la soluționarea plângerii depuse în conformitate cu articolul 52.

(3)  Statele membre garantează că acțiunile împotriva unei autorități de supraveghere sunt introduse în fața instanțelor din statul membru în care este stabilită autoritatea de supraveghere.

Articolul 54

Dreptul la o cale de atac judiciară eficientă împotriva unui operator sau a unei persoane împuternicite de către operator

Fără a aduce atingere vreunei căi de atac administrative sau extrajudiciare disponibile, inclusiv dreptului de a depune o plângere la o autoritate de supraveghere în conformitate cu articolul 52, statele membre garantează persoanei vizate dreptul la exercitarea unei căi de atac judiciare eficiente în cazul în care aceasta consideră că, prin prelucrarea datelor sale cu caracter personal cu nerespectarea dispozițiilor adoptate în temeiul prezentei directive, au fost încălcate drepturile care îi revin în conformitate cu dispozițiile respective.

Articolul 55

Reprezentarea persoanelor vizate

În conformitate cu dreptul intern procedural, statele membre garantează oricărei persoane vizate dreptul de a mandata un organism, o organizație sau o asociație, care nu are scop lucrativ și care a fost constituită în mod corespunzător în conformitate cu dreptul intern, ale cărei obiective statutare sunt de interes public și care este activă în domeniul protecției drepturilor și libertăților persoanelor vizate în ceea ce privește protecția datelor lor cu caracter personal, să depună plângerea în numele său și să exercite în numele său drepturile menționate la articolele 52, 53 și 54.

Articolul 56

Dreptul la despăgubiri

Statele membre garantează oricărei persoane care a suferit prejudicii materiale sau morale ca urmare a unei operațiuni de prelucrare ilegale sau a oricărei acțiuni care încalcă dispozițiile adoptate în temeiul prezentei directive dreptul de a obține despăgubiri, în temeiul dreptului intern, pentru prejudiciul cauzat de operator sau de o altă autoritate competentă.

Articolul 57

Sancțiuni

Statele membre definesc normele privind sancțiunile aplicabile în cazurile de încălcare a dispozițiilor adoptate în temeiul prezentei directive și iau toate măsurile necesare pentru a se asigura că acestea sunt puse în aplicare. Sancțiunile prevăzute trebuie să fie eficace, proporționale și disuasive.

CAPITOLUL IX

Acte de punere în aplicare

Articolul 58

Procedura comitetului

(1)  Comisia este asistată de comitetul înființat prin articolul 93 din Regulamentul (UE) 2016/679. Acesta reprezintă un comitet în sensul Regulamentului (UE) nr. 182/2011.

(2)  Atunci când se face trimitere la prezentul alineat, se aplică articolul 5 din Regulamentul (UE) nr. 182/2011.

(3)  Atunci când se face trimitere la prezentul alineat, se aplică articolul 8 din Regulamentul (UE) nr. 182/2011 coroborat cu articolul 5 din același regulament.

CAPITOLUL X

Dispoziții finale

Articolul 59

Abrogarea Deciziei-cadru 2008/977/JAI

(1)  Decizia-cadru 2008/977/JAI se abrogă începând cu 6 mai 2018.

(2)  Trimiterile la decizia abrogată menționată la alineatul (1) se interpretează ca trimiteri la prezenta directivă.

Articolul 60

Actele Uniunii aflate deja în vigoare

Dispozițiile specifice referitoare la protecția datelor cu caracter personal din actele juridice ale Uniunii care au intrat în vigoare până la 6 mai 2016 în domeniul cooperării judiciare în materie penală și al cooperării polițienești, care reglementează prelucrarea între statele membre și accesul autorităților desemnate ale statelor membre la sistemele de informații instituite în temeiul tratatelor și care intră sub incidența prezentei directive nu sunt afectate.

Articolul 61

Relația cu acordurile internaționale încheiate anterior în domeniul cooperării judiciare în materie penală și al cooperării polițienești

Acordurile internaționale care implică transferul de date cu caracter personal către țări terțe sau organizații internaționale, care au fost încheiate de statele membre înainte de 6 mai 2016 și sunt aplicabile înainte de 6 mai 2016 și care sunt în conformitate cu dreptul Uniunii, rămân în vigoare până la modificarea, înlocuirea sau revocarea lor.

Articolul 62

Rapoartele Comisiei

(1)  Până la 6 mai 2022 și, ulterior, la fiecare patru ani, Comisia transmite Parlamentului European și Consiliului, un raport privind evaluarea și revizuirea prezentei directive. Rapoartele sunt făcute publice.

(2)  În contextul evaluărilor și revizuirilor menționate la alineatul (1), Comisia examinează, în special, aplicarea și funcționarea capitolului V privind transferul datelor cu caracter personal către țări terțe sau organizații internaționale, acordând o atenție deosebită deciziilor adoptate în temeiul articolului 36 alineatul (3) și al articolului 39.

(3)  În scopul alineatelor (1) și (2), Comisia poate solicita informații de la statele membre și de la autoritățile de supraveghere.

(4)  La efectuarea evaluărilor și revizuirilor menționate la alineatele (1) și (2), Comisia ia în considerare pozițiile și concluziile Parlamentului European, ale Consiliului și ale altor organisme și surse relevante.

(5)  Comisia transmite, dacă este necesar, propuneri corespunzătoare în vederea modificării prezentei directive, în special ținând seama de evoluțiile din domeniul tehnologiei informației și având în vedere progresele societății informaționale.

(6)  Până la 6 mai 2019, Comisia revizuiește celelalte acte adoptate de Uniune care reglementează prelucrarea de către autoritățile competente în scopurile prevăzute la articolul 1 alineatul (1), inclusiv actele menționate la articolul 60, pentru a evalua necesitatea de a le alinia la prezenta directivă și prezintă, după caz, propunerile necesare de modificare a actelor respective pentru a asigura o abordare uniformă privind protecția datelor cu caracter personal care intră în domeniul de aplicare al prezentei directive.

Articolul 63

Transpunerea

(1)  Statele membre adoptă și publică, până la 6 mai 2018, actele cu putere de lege și actele administrative necesare pentru a se conforma prezentei directive. Statele membre notifică de îndată Comisiei textele acestor dispoziții. Statele membre aplică aceste dispoziții începând cu 6 mai 2018.

Atunci când statele membre adoptă dispozițiile respective, acestea conțin o trimitere la prezenta directivă sau sunt însoțite de o astfel de trimitere la data publicării lor oficiale. Statele membre stabilesc modalitatea de efectuare a acestei trimiteri.

(2)  Prin derogare de la alineatul (1), un stat membru poate prevedea că, în mod excepțional, în cazul în care acest lucru implică eforturi disproporționate, sistemele de prelucrare automată instituite înainte de 6 mai 2016 sunt aduse în conformitate cu articolul 25 alineatul (1) până la 6 mai 2023.

(3)  Prin derogare de la alineatele (1) și (2) din prezentul articol, un stat membru poate aduce, în circumstanțe excepționale, în conformitate cu articolul 25 alineatul (1), un sistem de prelucrare automată, în conformitate cu alineatul (2) din prezentul articol, într-un termen determinat, după încheierea perioadei menționate la alineatul (2) din prezentul articol, dacă, în caz contrar, s-ar provoca dificultăți majore pentru funcționarea respectivului sistem de prelucrare automată. Statul membru respectiv notifică Comisiei motivele respectivelor dificultăți majore și motivele pe care se întemeiază termenul determinat în care statul membru aduce în conformitate cu articolul 25 alineatul (1) respectivul sistem de prelucrare automată. Termenul determinat nu depășește în niciun caz 6 mai 2026.

(4)  Statele membre comunică Comisiei textul principalelor dispoziții de drept intern pe care le adoptă în domeniul reglementat de prezenta directivă.

Articolul 64

Intrarea în vigoare

Prezenta directivă intră în vigoare în ziua următoare datei publicării în Jurnalul Oficial al Uniunii Europene.

Articolul 65

Destinatari

Prezenta directivă se adresează statelor membre.