1.   O presente regulamento estabelece as regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos da União, e regras sobre a livre circulação de dados pessoais entre essas instituições e órgãos, ou entre essas instituições e órgãos e outros destinatários estabelecidos na União.

2.   O presente regulamento protege os direitos e as liberdades fundamentais das pessoas singulares, nomeadamente o seu direito à proteção dos dados pessoais.

3.   A Autoridade Europeia para a Proteção de Dados controla a aplicação das disposições do presente regulamento a todas as operações de tratamento efetuadas pelas instituições e pelos órgãos da União.

1.   O presente regulamento aplica-se ao tratamento de dados pessoais por todas as instituições e todos os órgãos da União.

2.   Ao tratamento de dados pessoais operacionais pelos órgãos e pelos organismos da União no exercício de atividades abrangidas pelo âmbito de aplicação da parte III, título V, capítulos 4 ou 5, do TFUE, só se aplicam o artigo 3.o e o capítulo IX do presente regulamento.

3.   O presente regulamento não se aplica ao tratamento de dados pessoais operacionais pela Europol e pela Procuradoria Europeia, antes de o Regulamento (UE) 2016/794 do Parlamento Europeu e do Conselho (15) e o Regulamento (UE) 2017/1939 do Conselho (16) serem adaptados de acordo com o artigo 98.o do presente regulamento.

4.   O presente regulamento não se aplica ao tratamento de dados pessoais pelas missões referidas no artigo 42.o, n.o 1, e nos artigos 43.o e 44.o do TUE.

5.   O presente regulamento aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, e ao tratamento por meios não automatizados de dados pessoais contidos num ficheiro ou a ele destinados.

1.   Os dados pessoais são:

2.   O responsável pelo tratamento dos dados é responsável pelo cumprimento do n.o 1, e deve poder comprová-lo («responsabilidade»).

1.   O tratamento só é lícito caso, e na medida em que, se verifique pelo menos uma das seguintes situações:

2.   O fundamento para o tratamento referido no n.o 1, alíneas a) e b), é estabelecido no direito da União.

1.   Caso o tratamento seja realizado com base no consentimento, o responsável pelo tratamento deve poder demonstrar que o titular dos dados deu o consentimento ao tratamento dos seus dados pessoais.

2.   Se o consentimento do titular dos dados for dado no contexto de uma declaração escrita que diga também respeito a outras matérias, o pedido de consentimento deve ser apresentado de uma forma que o distinga claramente dessas outras matérias, de modo inteligível e de fácil acesso e numa linguagem clara e simples. Não é vinculativa nenhuma parte dessa declaração que constitua uma violação do presente regulamento.

3.   O titular dos dados tem o direito de retirar o seu consentimento a qualquer momento. A retirada do consentimento não compromete a licitude do tratamento efetuado com base no consentimento previamente dado. Antes de dar o seu consentimento, o titular dos dados é informado desse facto. Deve ser tão fácil retirar o consentimento quanto dá-lo.

4.   Ao avaliar se o consentimento é dado livremente, há que verificar com a máxima atenção se, designadamente, a execução de um contrato, inclusive a prestação de um serviço, está subordinada ao consentimento para o tratamento de dados pessoais que não é necessário para a execução desse contrato.

1.   Caso seja aplicável o artigo 5.o, n.o 1, alínea d), no que respeita à oferta direta de serviços da sociedade da informação a crianças, o tratamento dos dados pessoais de crianças é lícito se a criança tiver pelo menos 13 anos. Se a criança tiver menos de 13 anos, o tratamento só é lícito caso, e na medida em que, o consentimento seja dado ou autorizado pelos titulares da responsabilidade parental da criança.

2.   Nesses casos, o responsável pelo tratamento deve envidar os esforços adequados para verificar se o consentimento foi dado ou autorizado pelo titular da responsabilidade parental da criança, tendo em conta a tecnologia disponível.

3.   O disposto no n.o 1 não afeta o direito contratual geral dos Estados-Membros, nomeadamente as disposições que regulam a validade, a formação ou os efeitos de um contrato em relação a uma criança.

1.   Sem prejuízo dos artigos 4.o a 6.o e 10.o, os dados pessoais só podem ser transferidos para destinatários estabelecidos na União que não sejam instituições ou órgãos da União se o destinatário demonstrar que:

2.   Caso o responsável pelo tratamento dê início à transmissão nos termos do presente artigo, deve demonstrar que a transmissão de dados pessoais é necessária e proporcionada para as finalidades a que se destina, aplicando os critérios referidos no n.o 1, alíneas a) ou b).

3.   As instituições e os órgãos da União conciliam o direito à proteção dos dados pessoais com o direito de acesso aos documentos, nos termos do direito da União.

1.   É proibido o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, e o tratamento de dados genéticos, de dados biométricos para identificar uma pessoa de forma inequívoca, de dados relativos à saúde ou de dados relativos à vida sexual ou à orientação sexual de uma pessoa.

2.   O n.o 1 não se aplica se se verificar um dos seguintes casos:

3.   Os dados pessoais referidos no n.o 1 podem ser tratados para os fins referidos no n.o 2, alínea h), se forem tratados por, ou sob a responsabilidade, de um profissional sujeito à obrigação de sigilo profissional, nos termos do direito da União ou do direito dos Estados-Membros, ou de regulamentação estabelecida pelas autoridades nacionais competentes, ou por outra pessoa igualmente sujeita a uma obrigação de confidencialidade ao abrigo do direito da União ou do direito dos Estados-Membros, ou de regulamentação estabelecida pelas autoridades nacionais competentes.

1.   Se as finalidades para as quais um responsável pelo tratamento efetua o tratamento de dados pessoais não exigirem ou tiverem deixado de exigir a identificação do titular dos dados, esse responsável não é obrigado a manter, a obter ou a tratar informações suplementares para identificar o titular dos dados apenas para dar cumprimento ao presente regulamento.

2.   Sempre que, nos casos referidos no n.o 1 do presente artigo, o responsável pelo tratamento possa demonstrar que não está em condições de identificar o titular dos dados, informa este último, se possível, desse facto. Nesses casos, os artigos 17.o a 22.o não são aplicáveis, exceto se o titular dos dados fornecer, a fim de exercer os seus direitos ao abrigo dos referidos artigos, informações adicionais que permitam a sua identificação.

1.   O responsável pelo tratamento deve tomar as medidas adequadas para fornecer ao titular dos dados as informações a que se referem os artigos 15.o e 16.o, e as comunicações previstas nos artigos 17.o a 24.o e no artigo 35.o relativas ao tratamento dos dados, de forma concisa, transparente, inteligível e de fácil acesso, utilizando uma linguagem clara e simples, em especial no que diz respeito às informações dirigidas especificamente a crianças. As informações são prestadas por escrito ou por outros meios, nomeadamente, se for caso disso, por meios eletrónicos. Se o titular dos dados o solicitar, as informações podem ser prestadas oralmente, desde que a identidade do titular seja comprovada por outros meios.

2.   O responsável pelo tratamento deve facilitar o exercício dos direitos do titular dos dados, nos termos dos artigos 17.o a 24.o. Nos casos a que se refere o artigo 12.o, n.o 2, o responsável pelo tratamento não pode recusar-se a dar seguimento ao pedido do titular dos dados para exercer os seus direitos ao abrigo dos artigos 17.o a 24.o, exceto se demonstrar que não está em condições de identificar o titular dos dados.

3.   O responsável pelo tratamento deve fornecer ao titular dos dados informações sobre as medidas tomadas na sequência de um pedido apresentado nos termos dos artigos 17.o a 24.o, sem demora indevida e no prazo de um mês a contar da data de receção do pedido. Esse prazo pode ser prorrogado por dois meses, quando for necessário, tendo em conta a complexidade e o número de pedidos. O responsável pelo tratamento deve informar o titular dos dados da prorrogação e dos motivos da demora no prazo de um mês a contar da data de receção do pedido. Se o titular dos dados apresentar o pedido por meios eletrónicos, a informação é, sempre que possível, fornecida por meios eletrónicos, salvo pedido em contrário do titular.

4.   Se o responsável pelo tratamento não der seguimento ao pedido apresentado pelo titular dos dados, informa-o sem demora e, o mais tardar, no prazo de um mês a contar da data de receção do pedido, das razões que o levaram a não tomar medidas e da possibilidade de apresentar uma reclamação à Autoridade Europeia para a Proteção de Dados e de intentar uma ação judicial.

5.   As informações prestadas nos termos dos artigos 15.o e 16.o e as comunicações e as medidas tomadas nos termos dos artigos 17.o a 24.o e do artigo 35.o são fornecidas gratuitamente. Se os pedidos apresentados por um titular de dados forem manifestamente infundados ou excessivos, nomeadamente devido ao seu caráter recorrente, o responsável pelo tratamento pode recusar-se a dar-lhes seguimento. Cabe ao responsável pelo tratamento demonstrar o caráter manifestamente infundado ou excessivo do pedido.

6.   Sem prejuízo do artigo 12.o, caso o responsável pelo tratamento tenha dúvidas razoáveis quanto à identidade da pessoa singular que apresenta o pedido a que se referem os artigos 17.o a 23.o, pode solicitar que lhe sejam fornecidas as informações adicionais necessárias para confirmar a identidade do titular dos dados.

7.   As informações a prestar aos titulares dos dados nos termos dos artigos 15.o e 16.o podem ser combinadas com ícones normalizados, a fim de dar, de forma facilmente visível, inteligível e claramente legível, uma perspetiva geral e coerente do tratamento previsto. Se os ícones forem apresentados por via eletrónica, devem ser de leitura automática.

8.   Caso a Comissão adote atos delegados, nos termos do artigo 12.o, n.o 8, do Regulamento (UE) 2016/679, a fim de determinar as informações que devem ser apresentadas por meio de ícones e os procedimentos aplicáveis à apresentação de ícones normalizados, as instituições e os órgãos da União devem prestar, se apropriado, as informações previstas nos artigos 15.o e 16.o do presente regulamento, em combinação com esses ícones normalizados.

1.   Caso os dados pessoais sejam recolhidos junto do titular dos dados, o responsável pelo tratamento deve prestar-lhe, aquando da recolha dos dados pessoais, todas as informações seguintes:

2.   Para além das informações referidas no n.o 1, aquando da recolha dos dados pessoais, o responsável pelo tratamento deve fornecer ao titular dos dados as seguintes informações adicionais, necessárias para garantir um tratamento dos dados leal e transparente:

3.   Caso o responsável pelo tratamento tenha a intenção de proceder ao tratamento posterior dos dados pessoais para uma finalidade diferente daquela para a qual os dados foram recolhidos, antes de proceder a esse tratamento posterior, deve prestar ao titular dos dados informações sobre essa finalidade diferente e outras informações pertinentes referidas no n.o 2.

4.   Os n.os 1, 2 e 3 não se aplicam caso, e na medida em que, o titular dos dados já tenha conhecimento das informações em causa.

1.   Caso os dados pessoais não sejam recolhidos junto do titular dos dados, o responsável pelo tratamento deve prestar-lhe as seguintes informações:

2.   Para além das informações referidas no n.o 1, o responsável pelo tratamento deve prestar ao titular dos dados as seguintes informações adicionais, necessárias para garantir um tratamento leal e transparente:

3.   O responsável pelo tratamento deve prestar as informações referidas nos n.os 1 e 2:

4.   Caso o responsável pelo tratamento tenha a intenção de proceder ao tratamento posterior dos dados pessoais para uma finalidade diferente daquela para a qual os dados pessoais foram obtidos, antes de proceder a esse tratamento posterior, deve prestar ao titular dos dados informações sobre essa finalidade diferente, e outras informações pertinentes referidas no n.o 2.

5.   Os n.os 1 a 4 não se aplicam caso, e na medida em que:

6.   Nos casos referidos no n.o 5, alínea b), o responsável pelo tratamento toma as medidas adequadas para defender os direitos, as liberdades e os interesses legítimos do titular dos dados, incluindo a divulgação pública das informações.

1.   O titular dos dados tem o direito de obter do responsável pelo tratamento a confirmação do facto de estarem ou não a ser tratados dados pessoais que lhe dizem respeito, e, em caso afirmativo, o direito de aceder aos seus dados pessoais e às seguintes informações:

2.   Caso os dados pessoais sejam transferidos para um país terceiro ou para uma organização internacional, o titular dos dados tem o direito de ser informado das garantias adequadas, nos termos do artigo 48.o relativo à transferência de dados.

3.   O responsável pelo tratamento deve facultar uma cópia dos dados pessoais em fase de tratamento. Se o titular dos dados apresentar o pedido por meios eletrónicos, e salvo pedido seu em contrário, as informações são facultadas num formato eletrónico de uso corrente.

4.   O direito de obter uma cópia a que se refere o n.o 3 não pode prejudicar os direitos e as liberdades de terceiros.

1.   O titular dos dados tem o direito de obter, sem demora indevida, do responsável pelo tratamento o apagamento dos seus dados pessoais, e o responsável pelo tratamento tem a obrigação de apagar os dados pessoais, sem demora indevida, caso se aplique um dos seguintes motivos:

2.   Caso o responsável pelo tratamento tenha tornado públicos os dados pessoais e seja obrigado a apagá-los nos termos do n.o 1, deve tomar as medidas que sejam razoáveis, nomeadamente de caráter técnico, tendo em consideração as tecnologias disponíveis e os custos da sua aplicação, para informar os responsáveis pelo tratamento, ou os responsáveis pelo tratamento que não sejam instituições ou órgãos da União, que efetuam o tratamento dos dados pessoais, de que o titular dos dados lhes solicitou o apagamento das ligações para esses dados pessoais, ou das cópias ou reproduções dos mesmos.

3.   Os n.os 1 e 2 não se aplicam na medida em que o tratamento dos dados seja necessário:

1.   O titular dos dados tem o direito de obter do responsável pelo tratamento a limitação do tratamento, caso se verifique uma das seguintes situações:

2.   Caso o tratamento tenha sido limitado nos termos do n.o 1, os dados pessoais só podem ser tratados, com exceção da conservação, com o consentimento do titular, ou para efeitos de declaração, de exercício ou de defesa de um direito num processo judicial, de defesa dos direitos de outra pessoa singular ou coletiva, ou por motivos importantes de interesse público da União ou de um Estado-Membro.

3.   O titular dos dados que tenha obtido a limitação do tratamento dos dados nos termos do n.o 1 é informado pelo responsável pelo tratamento antes de a limitação do referido tratamento ser levantada.

4.   Nos ficheiros automatizados, a limitação do tratamento deve ser, em princípio, assegurada por meios técnicos. O facto de os dados pessoais estarem sujeitos a limitações deve ser indicado no sistema de forma que seja bem claro que os dados pessoais não podem ser utilizados.

1.   O titular dos dados tem o direito de receber os dados pessoais que lhe digam respeito e que tenha fornecido a um responsável pelo tratamento, num formato estruturado, de uso corrente e de leitura automática, e o direito de os transmitir a outro responsável pelo tratamento sem que o responsável ao qual os dados pessoais foram fornecidos possa impedi-lo de o fazer, caso o tratamento:

2.   Ao exercer o seu direito de portabilidade dos dados nos termos do n.o 1, o titular dos dados tem o direito a que os dados pessoais sejam transmitidos diretamente de um responsável pelo tratamento para outro, ou para responsáveis pelo tratamento que não sejam instituições ou órgãos da União, caso tal seja tecnicamente possível.

3.   O exercício do direito a que se refere o n.o 1 do presente artigo aplica-se sem prejuízo do artigo 19.o. Esse direito não se aplica ao tratamento necessário para o exercício de funções de interesse público nem ao exercício da autoridade pública de que o responsável pelo tratamento esteja investido.

4.   O direito a que se refere o n.o 1 não pode prejudicar os direitos e as liberdades de terceiros.

1.   O titular dos dados tem o direito de se opor a qualquer momento, por motivos relacionados com a sua situação particular, ao tratamento dos dados pessoais que lhe digam respeito com base no artigo 5.o, n.o 1, alínea a), incluindo a definição de perfis com base nessa disposição. O responsável pelo tratamento deve cessar o tratamento dos dados pessoais, salvo se apresentar razões imperiosas e legítimas para esse tratamento que prevaleçam sobre os interesses, os direitos e as liberdades do titular dos dados, ou para efeitos de declaração, de exercício ou de defesa de um direito num processo judicial.

2.   O mais tardar no momento da primeira comunicação ao titular dos dados, o direito a que se refere o n.o 1 deve ser-lhe explicitamente comunicado, e apresentado de modo claro e destacado de outras informações.

3.   Sem prejuízo dos artigos 36.o e 37.o, no contexto da utilização dos serviços da sociedade da informação, o titular dos dados pode exercer o seu direito de oposição por meios automatizados, utilizando especificações técnicas.

4.   Caso os dados pessoais sejam tratados para fins de investigação científica ou histórica, ou para fins estatísticos, o titular dos dados tem o direito de se opor, por motivos relacionados com a sua situação particular, ao tratamento dos dados pessoais que lhe digam respeito, salvo se o tratamento for necessário por razões de interesse público.

1.   O titular dos dados tem o direito de não ficar sujeito a decisões tomadas exclusivamente com base no tratamento automatizado de dados, incluindo a definição de perfis, que produzam efeitos na sua esfera jurídica ou que o afetem significativamente de forma similar.

2.   O n.o 1 não se aplica se a decisão:

3.   Nos casos referidos no n.o 2, alíneas a) e c), o responsável pelo tratamento deve aplicar medidas adequadas para salvaguardar os direitos, as liberdades e os interesses legítimos do titular dos dados, pelo menos o direito de obter a intervenção humana do responsável pelo tratamento, de manifestar o seu ponto de vista e de contestar a decisão.

4.   As decisões referidas o n.o 2 do presente artigo não podem basear-se nas categorias especiais de dados pessoais a que se refere o artigo 10.o, n.o 1, salvo caso se aplique o n.o 2, alínea a) ou g), desse artigo, e existam medidas adequadas para salvaguardar os direitos, as liberdades e os interesses legítimos do titular.

1.   Os atos normativos adotados com base nos tratados ou, em matérias relacionadas com o funcionamento das instituições e dos órgãos da União, as regras internas estabelecidas por estes últimos podem limitar a aplicação dos artigos 14.o a 22.o, dos artigos 35.o e 36.o, e do artigo 4.o, na medida em que as disposições deste artigo correspondam aos direitos e às obrigações previstos nos artigos 14.o a 22.o, desde que tal limitação respeite a essência dos direitos e das liberdades fundamentais e constitua uma medida necessária e proporcionada numa sociedade democrática para salvaguardar:

2.   Em especial, os atos normativos e as regras internas a que se refere o n.o 1 incluem disposições explícitas, se tal for relevante, relativas:

3.   Caso os dados pessoais sejam tratados para fins de investigação científica ou histórica ou para fins estatísticos, o direito da União, que pode incluir regras internas adotadas pelas instituições e pelos órgãos da União em matérias relacionadas com o seu funcionamento, pode prever derrogações dos direitos a que se referem os artigos 17.o, 18.o, 20.o e 23.o, sob reserva das condições e das garantias previstas no artigo 13.o, na medida em que esses direitos sejam suscetíveis de impossibilitar ou de prejudicar gravemente a consecução de finalidades específicas, e essas derrogações sejam necessárias para a consecução dessas finalidades.

4.   Caso os dados pessoais sejam tratados para fins de arquivo de interesse público, o direito da União, que pode incluir regras internas adotadas pelas instituições e pelos órgãos da União em matérias relacionadas com o seu funcionamento, pode prever derrogações dos direitos a que se referem os artigos 17.o, 18.o, 20.o, 21.o, 22.o e 23.o, sob reserva das condições e das garantias previstas no artigo 13.o, na medida em que esses direitos sejam suscetíveis de impossibilitar ou de prejudicar gravemente a consecução de finalidades específicas, e essas derrogações sejam necessárias para a consecução dessas finalidades.

5.   As regras internas referidas nos n.os 1, 3 e 4 devem constituir atos claros e precisos de aplicação geral, destinados a produzir efeitos jurídicos em relação aos titulares dos dados, adotados ao mais alto nível de direção das instituições e dos órgãos da União e sujeitos a publicação no Jornal Oficial da União Europeia.

6.   Se for imposta uma limitação nos termos do n.o 1, o titular dos dados deve ser informado, nos termos do direito da União, dos principais motivos de aplicação da limitação e do seu direito de apresentar uma reclamação à Autoridade Europeia para a Proteção de Dados.

7.   Caso seja invocada uma limitação imposta nos termos do n.o 1 para recusar o acesso ao titular dos dados, a Autoridade Europeia para a Proteção de Dados, ao investigar a reclamação, comunica-lhe unicamente se os dados foram tratados corretamente e, em caso negativo, se as correções necessárias foram introduzidas.

8.   A comunicação das informações referida nos n.os 6 e 7 do presente artigo e no artigo 45.o, n.o 2, pode ser adiada, omitida ou recusada caso se presuma que anule o efeito da limitação imposta nos termos do n.o 1 do presente artigo.

1.   Tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos, de probabilidade e gravidade variáveis, para os direitos e as liberdades das pessoas singulares, o responsável pelo tratamento deve aplicar as medidas técnicas e organizativas adequadas para assegurar e para poder comprovar que o tratamento é realizado em conformidade com o presente regulamento. Essas medidas são revistas e atualizadas consoante as necessidades.

2.   Caso sejam proporcionadas em relação às atividades de tratamento, as medidas a que se refere o n.o 1 incluem a aplicação de medidas adequadas em matéria de proteção de dados pelo responsável pelo tratamento.

3.   O cumprimento de procedimentos de certificação aprovados a que se refere o artigo 42.o do Regulamento (UE) 2016/679 pode ser utilizado como um elemento demonstrativo do cumprimento das obrigações do responsável pelo tratamento.

1.   Tendo em conta as técnicas mais avançadas, os custos da sua aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos decorrentes do tratamento para os direitos e as liberdades das pessoas singulares, de probabilidade e gravidade variáveis, o responsável pelo tratamento deve aplicar, tanto no momento da definição dos meios de tratamento como durante o próprio tratamento, as medidas técnicas e organizativas adequadas, como a pseudonimização, destinadas a pôr efetivamente em prática os princípios da proteção de dados, como a minimização, e a integrar as garantias necessárias no tratamento a fim de cumprir os requisitos do presente regulamento e de proteger os direitos dos titulares dos dados.

2.   O responsável pelo tratamento deve aplicar medidas técnicas e organizativas adequadas para assegurar que, por defeito, só sejam tratados os dados pessoais que forem necessários para cada finalidade específica do tratamento. Essa obrigação aplica-se à quantidade de dados pessoais recolhidos, à extensão do seu tratamento, ao seu prazo de conservação e à sua acessibilidade. Em especial, essas medidas asseguram que, por defeito, os dados pessoais não sejam disponibilizados sem intervenção humana a um número indeterminado de pessoas singulares.

3.   O cumprimento de procedimentos de certificação aprovados nos termos do artigo 42.o do Regulamento (UE) 2016/679 pode ser utilizado como um elemento demonstrativo do cumprimento das obrigações estabelecidas nos n.os 1 e 2 do presente artigo.

1.   Caso dois ou mais responsáveis pelo tratamento, ou um ou mais responsáveis pelo tratamento juntamente com um ou mais responsáveis pelo tratamento que não sejam instituições ou órgãos da União, determinem em conjunto as finalidades e os meios do tratamento, são considerados responsáveis conjuntos pelo tratamento. Os responsáveis conjuntos pelo tratamento determinam, por acordo entre si e de modo transparente, as respetivas responsabilidades pelo cumprimento das suas obrigações em matéria de proteção de dados, nomeadamente no que diz respeito ao exercício dos direitos do titular dos dados e aos seus deveres de prestar as informações referidas nos artigos 15.o e 16.o, a não ser e na medida em que as suas responsabilidades respetivas sejam determinadas pelo direito da União ou pelo direito do Estado-Membro a que estão sujeitos. No referido acordo, pode ser designado um ponto de contacto para os titulares dos dados.

2.   O acordo a que se refere o n.o 1 deve refletir devidamente as funções e as relações respetivas dos responsáveis conjuntos pelo tratamento em relação aos titulares dos dados. O teor do acordo deve ser disponibilizado ao titular dos dados.

3.   Independentemente dos termos do acordo a que se refere o n.o 1, o titular dos dados pode exercer os direitos que o presente regulamento lhe confere em relação a, e contra, cada um dos responsáveis pelo tratamento.

1.   Caso o tratamento dos dados seja efetuado por sua conta, o responsável pelo tratamento deve recorrer apenas a subcontratantes que apresentem garantias suficientes de execução de medidas técnicas e organizativas adequadas de tal forma que o tratamento satisfaça os requisitos do presente regulamento e assegure a defesa dos direitos do titular dos dados.

2.   O subcontratante não pode contratar outro subcontratante sem autorização escrita prévia, específica ou geral, do responsável pelo tratamento. Em caso de autorização geral por escrito, o subcontratante deve informar o responsável pelo tratamento das alterações pretendidas quanto ao aumento do número ou à substituição de outros subcontratantes, dando assim ao responsável pelo tratamento a oportunidade de se opor a essas alterações.

3.   O tratamento por subcontratação é regulado por contrato ou por outro ato normativo ao abrigo do direito da União ou do direito dos Estados-Membros, que vincule o subcontratante ao responsável pelo tratamento, estabeleça o objeto e a duração do tratamento, a sua natureza e a sua finalidade, o tipo de dados pessoais e as categorias dos titulares dos dados, e as obrigações e os direitos do responsável pelo tratamento. Esse contrato, ou outro ato normativo, deve estipular, em especial, que o subcontratante:

No que diz respeito ao primeiro parágrafo, alínea h), o subcontratante deve informar imediatamente o responsável pelo tratamento se, no seu entender, alguma instrução violar o presente regulamento ou outras disposições do direito da União ou do direito dos Estados-Membros em matéria de proteção de dados.

4.   Caso o subcontratante contrate outro subcontratante para realizar operações específicas de tratamento por conta do responsável pelo tratamento, são impostas a esse outro subcontratante, por contrato ou por outro ato normativo ao abrigo do direito da União ou do direito dos Estados-Membros, as mesmas obrigações em matéria de proteção de dados que as estabelecidas no contrato ou noutro ato normativo entre o responsável pelo tratamento e o subcontratante, referidas no n.o 3, em particular a obrigação de apresentar garantias suficientes de aplicar as medidas técnicas e organizativas adequadas de forma que o tratamento satisfaça os requisitos do presente regulamento. Se esse outro subcontratante não cumprir as suas obrigações em matéria de proteção de dados, o subcontratante inicial continua a ser plenamente responsável perante o responsável pelo tratamento pelo cumprimento das obrigações desse outro subcontratante.

5.   Caso o subcontratante não seja uma instituição ou um órgão da União, o cumprimento de um código de conduta aprovado a que se refere o artigo 40.o, n.o 5, do Regulamento (UE) 2016/679, ou de um procedimento de certificação aprovado a que se refere o artigo 42.o do Regulamento (UE) 2016/679, pode ser utilizado como um elemento demonstrativo das garantias suficientes referidas nos n.os 1 e 4 do presente artigo.

6.   Sem prejuízo da existência de um contrato entre o responsável pelo tratamento e o subcontratante, o contrato ou o outro ato normativo referidos nos n.os 3 e 4 do presente artigo podem basear-se, total ou parcialmente, nas cláusulas contratuais-tipo referidas nos n.os 7 e 8 do presente artigo, inclusive caso façam parte de uma certificação concedida ao subcontratante que não seja uma instituição ou um órgão da União ao abrigo do artigo 42.o do Regulamento (UE) 2016/679.

7.   A Comissão pode estabelecer cláusulas contratuais-tipo para as matérias referidas nos n.os 3 e 4 do presente artigo pelo procedimento de exame a que se refere o artigo 96.o, n.o 2.

8.   A Autoridade Europeia para a Proteção de Dados pode adotar cláusulas contratuais-tipo para as matérias referidas nos n.os 3 e 4.

9.   O contrato ou o outro ato normativo a que se referem os n.os 3 e 4 é feito por escrito, inclusive em formato eletrónico.

10.   Sem prejuízo dos artigos 65.o e 66.o, o subcontratante que, em violação do presente regulamento, determine as finalidades e os meios de tratamento, é considerado responsável pelo tratamento no que respeita ao tratamento em questão.

1.   Cada responsável pelo tratamento deve conservar um registo de todas as atividades de tratamento sob a sua responsabilidade. Desse registo devem constar todas as informações seguintes:

2.   Cada subcontratante deve conservar um registo de todas as categorias de atividades de tratamento realizadas em nome de um responsável pelo tratamento, do qual constem:

3.   Os registos a que se referem os n.os 1 e 2 são feitos por escrito, inclusive em formato eletrónico.

4.   As instituições e os órgãos da União disponibilizam os registos, a pedido, à Autoridade Europeia para a Proteção de Dados.

5.   A não ser que tal não seja adequado devido à dimensão da instituição ou do órgão da União, as instituições e os órgãos da União conservam os seus registos de atividades de tratamento num registo central. O registo é acessível ao público.

1.   Tendo em conta as técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos, de probabilidade e gravidade variáveis, para os direitos e as liberdades das pessoas singulares, o responsável pelo tratamento e o subcontratante aplicam medidas técnicas e organizativas apropriadas para assegurar um nível de segurança adequado ao risco, nomeadamente, conforme adequado:

2.   Ao avaliar o nível de segurança adequado, devem ser tidos em conta, designadamente, os riscos apresentados pelo tratamento, em particular os riscos decorrentes da destruição, da perda e da alteração acidentais ou ilícitas dos dados, e da divulgação ou do acesso não autorizados dos dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.

3.   O responsável pelo tratamento e o subcontratante devem tomar medidas para assegurar que as pessoas singulares que, agindo sob a autoridade do responsável pelo tratamento ou do subcontratante, tenham acesso a dados pessoais, só procedam ao seu tratamento mediante instruções do responsável pelo tratamento, salvo se a tal forem obrigadas pelo direito da União.

4.   O cumprimento de um procedimento de certificação aprovado a que se refere o artigo 42.o do Regulamento (UE) 2016/679 pode ser utilizado como um elemento demonstrativo do cumprimento das obrigações estabelecidas no n.o 1 do presente artigo.

1.   Em caso de violação de dados pessoais, o responsável pelo tratamento notifica desse facto a Autoridade Europeia para a Proteção de Dados sem demora indevida e, se possível, no prazo de 72 horas após ter tido conhecimento da violação, salvo se essa violação não for suscetível de constituir um risco para os direitos e para as liberdades das pessoas singulares. Caso não seja feita no prazo de 72 horas, a notificação à Autoridade Europeia para a Proteção de Dados deve ser acompanhada dos motivos do atraso.

2.   O subcontratante deve notificar o responsável pelo tratamento sem demora indevida após tomar conhecimento de uma violação de dados pessoais.

3.   A notificação referida no n.o 1 deve, pelo menos:

4.   Caso, e na medida em que, não seja possível comunicar todas as informações ao mesmo tempo, as informações podem ser comunicadas por fases, sem demora indevida.

5.   O responsável pelo tratamento deve informar o encarregado da proteção de dados acerca da violação de dados pessoais.

6.   O responsável pelo tratamento deve documentar todas as violações de dados pessoais, incluindo os factos relacionados com a violação, os seus efeitos e as medidas de reparação adotadas. Essa documentação deve permitir à Autoridade Europeia para a Proteção de Dados verificar o respeito do presente artigo.

1.   Caso uma violação de dados pessoais seja suscetível de constituir um elevado risco para os direitos e para as liberdades das pessoas singulares, o responsável pelo tratamento deve comunicá-la ao titular dos dados sem demora indevida.

2.   A comunicação ao titular dos dados a que se refere o n.o 1 do presente artigo deve descrever em linguagem clara e simples a natureza da violação de dados pessoais e incluir, pelo menos, as informações e as medidas referidas no artigo 34.o, n.o 3, alíneas b), c) e d).

3.   A comunicação ao titular dos dados a que se refere o n.o 1 não é obrigatória caso esteja satisfeita uma das seguintes condições:

4.   Se o responsável pelo tratamento ainda não tiver comunicado a violação de dados pessoais ao titular dos dados, a Autoridade Europeia para a Proteção de Dados, tendo avaliado a probabilidade de a violação de dados pessoais implicar um elevado risco, pode exigir-lhe que proceda a essa comunicação, ou pode constatar que está satisfeita uma das condições referidas no n.o 3.

1.   Os dados pessoais inseridos em listas de utilizadores e o acesso a essas listas devem limitar-se ao estritamente necessário para os fins específicos das listas.

2.   As instituições e os órgãos da União devem tomar todas as medidas necessárias para impedir que os dados pessoais incluídos nessas listas, independentemente de as mesmas serem ou não acessíveis ao público, sejam utilizados para fins de marketing direto.

1.   Caso um tipo de tratamento, em particular, um tipo de tratamento que utilize novas tecnologias, seja suscetível de constituir um elevado risco para os direitos e as liberdades das pessoas singulares, o responsável pelo tratamento, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento, deve proceder, antes de iniciar o tratamento, a uma avaliação do impacto das operações de tratamento previstas na proteção de dados pessoais. Se um conjunto de operações de tratamento apresentar riscos elevados semelhantes, pode ser objeto de uma única e mesma avaliação.

2.   Ao efetuar uma avaliação de impacto relativa à proteção de dados, o responsável pelo tratamento deve solicitar o parecer do encarregado da proteção de dados.

3.   A realização de uma avaliação de impacto relativa à proteção de dados a que se refere o n.o 1 é obrigatória, nomeadamente, em caso de:

4.   A Autoridade Europeia para a Proteção de Dados deve estabelecer e tornar pública uma lista dos tipos de operações de tratamento sujeitos ao requisito de avaliação de impacto relativa à proteção de dados nos termos do n.o 1.

5.   A Autoridade Europeia para a Proteção de Dados pode também estabelecer e tornar pública uma lista dos tipos de operações de tratamento em relação aos quais a avaliação de impacto relativa à proteção de dados não é obrigatória.

6.   Antes de adotar as listas referidas nos n.os 4 e 5 do presente artigo, a Autoridade Europeia para a Proteção de Dados solicita que o Comité Europeu para a Proteção de Dados criado pelo artigo 68.o do Regulamento (UE) 2016/679 analise essas listas nos termos do artigo 70.o, n.o 1, alínea e), desse regulamento, caso se refiram a operações de tratamento efetuadas por um responsável pelo tratamento que atue em conjunto com um ou mais responsáveis pelo tratamento que não sejam uma instituição ou um organismo da União.

7.   A avaliação deve incluir, pelo menos:

8.   Ao avaliar o impacto das operações de tratamento efetuadas pelos subcontratantes, em especial para efeitos de uma avaliação de impacto relativa à proteção de dados, deve ser tido em devida conta o respeito dos códigos de conduta aprovados a que se refere o artigo 40.o do Regulamento (UE) 2016/679 pelos subcontratantes em causa que não sejam instituições ou órgãos da União.

9.   Se for adequado, o responsável pelo tratamento deve solicitar a opinião dos titulares de dados ou dos seus representantes sobre o tratamento previsto, sem prejuízo da defesa dos interesses públicos ou da segurança das operações de tratamento.

10.   Se o tratamento efetuado por força do artigo 5.o, n.o 1, alíneas a) ou b), tiver por fundamento jurídico um ato normativo adotado com base nos Tratados, e esse ato regular a operação ou conjuntos de operações de tratamento específicas em questão, e se já tiver sido realizada uma avaliação de impacto geral da proteção dos dados antes da adoção desse ato normativo, não se aplicam os n.os 1 a 6 do presente artigo, salvo disposição em contrário prevista nesse ato normativo.

11.   Se necessário, o responsável pelo tratamento deve proceder a um controlo para avaliar se o tratamento é realizado em conformidade com a avaliação de impacto relativa à proteção de dados, pelo menos quando existir uma alteração do risco representado pelas operações de tratamento.

1.   O responsável pelo tratamento deve consultar a Autoridade Europeia para a Proteção de Dados antes de proceder ao tratamento, caso uma avaliação de impacto relativa à proteção de dados, efetuada nos termos do artigo 39.o, indique que o tratamento, na falta de garantias, de medidas e de procedimentos de segurança para atenuar os riscos, constitui um elevado risco para os direitos e as liberdades das pessoas singulares, e o responsável pelo tratamento considere que o risco não poderá ser atenuado através de meios razoáveis, tendo em conta as tecnologias disponíveis e os custos de aplicação. O responsável pelo tratamento deve solicitar o parecer do encarregado da proteção de dados sobre a necessidade da consulta prévia.

2.   Caso a Autoridade Europeia para a Proteção de Dados considere que o tratamento previsto a que se refere o n.o 1 violaria o presente regulamento, nomeadamente se o responsável pelo tratamento não tiver identificado ou atenuado suficientemente os riscos, deve emitir orientações por escrito, no prazo máximo de oito semanas a contar da receção do pedido de consulta, destinadas ao responsável pelo tratamento e, se aplicável, ao subcontratante, e pode recorrer a todos os seus poderes referidos no artigo 58.o. Esse prazo pode ser prorrogado por seis semanas, tendo em conta a complexidade do tratamento previsto. A Autoridade Europeia para a Proteção de Dados deve informar da prorrogação o responsável pelo tratamento e, se aplicável, o subcontratante, no prazo de um mês a contar da data de receção do pedido de consulta, indicando os motivos do atraso. Esses prazos podem ser suspensos até a Autoridade Europeia para a Proteção de Dados ter obtido as informações solicitadas para os efeitos da consulta.

3.   Quando consultar a Autoridade Europeia para a Proteção de Dados nos termos do n.o 1, o responsável pelo tratamento deve comunicar-lhe os seguintes elementos:

4.   A Comissão pode elaborar, mediante um ato de execução, uma lista de casos em que os responsáveis pelo tratamento devem consultar a Autoridade Europeia para a Proteção de Dados e dela obter a autorização prévia no que diz respeito ao tratamento de dados pessoais efetuado no exercício de uma missão de interesse público por um responsável pelo tratamento, incluindo o tratamento desses dados por motivos de proteção social e de saúde pública.

1.   As instituições e os órgãos da União devem informar a Autoridade Europeia para a Proteção de Dados da elaboração de medidas administrativas e de regras internas relativas ao tratamento de dados pessoais por uma instituição ou por um órgão da União, quer individualmente quer conjuntamente.

2.   Quando elaborarem as regras internas referidas no artigo 25.o, as instituições e os órgãos da União devem consultar a Autoridade Europeia para a Proteção de Dados.

1.   Após ter adotado propostas de atos legislativos, recomendações ou propostas ao Conselho nos termos do artigo 218.o do TFUE, ou quando elaborar atos delegados ou atos de execução, a Comissão deve consultar a Autoridade Europeia para a Proteção de Dados caso exista um impacto na proteção dos direitos e das liberdades das pessoas singulares no que diz respeito ao tratamento de dados pessoais.

2.   Caso um ato referido no n.o 1 tenha particular importância para a proteção dos direitos e das liberdades das pessoas singulares no que diz respeito ao tratamento de dados pessoais, a Comissão pode consultar também o Comité Europeu para a Proteção de Dados. Nesses casos, a Autoridade Europeia para a Proteção de Dados e o Comité Europeu para a Proteção de Dados devem coordenar o seu trabalho, para emitir um parecer comum.

3.   O parecer referido nos n.os 1 e 2 é emitido por escrito no prazo de oito semanas a contar da receção do pedido de consulta referido nos n.os 1 e 2. Em casos urgentes, ou sempre que necessário, a Comissão pode reduzir esse prazo.

4.   O presente artigo não se aplica quando a Comissão é obrigada, por força do Regulamento (UE) 2016/679, a consultar o Comité Europeu para a Proteção de Dados.

1.   Cada instituição ou órgão da União deve designar um encarregado da proteção de dados.

2.   As instituições e os órgãos da União podem designar um único encarregado da proteção de dados para várias instituições e órgãos, tendo em conta a sua dimensão e a sua estrutura organizativa.

3.   O encarregado da proteção de dados é designado com base nas suas qualidades profissionais e, em particular, nos seus conhecimentos especializados no domínio do direito e das práticas em matéria de proteção de dados, bem como na sua capacidade para desempenhar as funções referidas no artigo 45.o.

4.   O encarregado da proteção de dados deve ser um membro do pessoal da instituição ou do órgão da União. Tendo em conta a sua dimensão, e se a opção prevista no n.o 2 não for exercida, as instituições e os órgãos da União podem designar um encarregado da proteção de dados que exerça as suas funções com base num contrato de prestação de serviços.

5.   As instituições e os órgãos da União publicam os contactos do encarregado da proteção de dados e comunicam-nos à Autoridade Europeia para a Proteção de Dados.

1.   As instituições e os órgãos da União devem assegurar que o encarregado da proteção de dados seja envolvido, de forma adequada e atempada, em todas as matérias relacionadas com a proteção de dados pessoais.

2.   As instituições e os órgãos da União devem apoiar o encarregado da proteção de dados no exercício das funções referidas no artigo 45.o, fornecendo-lhe os recursos necessários para desempenhar essas funções e para aceder aos dados pessoais e às operações de tratamento, e para manter os seus conhecimentos especializados.

3.   As instituições e os órgãos da União devem assegurar que o encarregado da proteção de dados não receba instruções no que diz respeito ao exercício dessas funções. O encarregado da proteção de dados não pode ser destituído nem penalizado pelo responsável pelo tratamento ou pelo subcontratante pelo exercício das suas funções. O encarregado da proteção de dados reporta diretamente ao mais alto nível da direção do responsável pelo tratamento ou do subcontratante.

4.   Os titulares dos dados podem contactar o encarregado da proteção de dados sobre todas matérias relacionadas com o tratamento dos seus dados pessoais e com o exercício dos direitos que lhes são conferidos pelo presente regulamento.

5.   O encarregado da proteção de dados e o seu pessoal estão vinculados à obrigação de sigilo ou de confidencialidade no exercício das suas funções, em conformidade com o direito da União.

6.   O encarregado da proteção de dados pode exercer outras funções e atribuições. O responsável pelo tratamento ou o subcontratante devem assegurar que essas funções e atribuições não deem origem a conflitos de interesses.

7.   O encarregado da proteção de dados pode ser consultado sobre qualquer questão relativa à interpretação ou à aplicação do presente regulamento pelo responsável pelo tratamento e pelo subcontratante, pelo Comité do Pessoal ou por qualquer outra pessoa singular, sem que estes tenham que recorrer às vias oficiais. Ninguém pode ser prejudicado por uma questão levada ao conhecimento do encarregado da proteção de dados competente por alegadamente constituir uma violação do presente regulamento.

8.   O encarregado da proteção de dados é designado por um período de três a cinco anos, e o seu mandato é renovável. O encarregado da proteção de dados pode ser destituído pela instituição ou pelo órgão da União que o nomeou se tiver deixado de preencher as condições exigidas para o exercício das suas funções, e unicamente com o acordo da Autoridade Europeia para a Proteção de Dados.

9.   Após a designação do encarregado da proteção de dados, o seu nome é comunicado à Autoridade Europeia para a Proteção de Dados pela instituição ou pelo órgão da União que o tenha designado.

1.   O encarregado da proteção de dados tem as seguintes funções:

2.   O encarregado da proteção de dados pode emitir recomendações dirigidas ao responsável pelo tratamento e ao subcontratante a fim de melhorar concretamente a proteção de dados, e aconselhá-los sobre matérias relativas à aplicação das disposições relativas à proteção de dados. Além disso, por iniciativa própria ou a pedido do responsável pelo tratamento ou do subcontratante, do comité de pessoal ou de qualquer pessoa, pode investigar questões e factos diretamente relacionados com as suas funções de que tenha tido conhecimento e, se necessário, informar a pessoa que solicitou a investigação ou o responsável pelo tratamento ou o subcontratante.

3.   Devem ser adotadas disposições de execução complementares respeitantes ao encarregado da proteção de dados por cada instituição ou órgão da União. Essas disposições de execução devem incidir em especial sobre as funções e as competências do encarregado da proteção de dados.

1.   Pode ser realizada uma transferência de dados pessoais para um país terceiro ou para uma organização internacional se a Comissão tiver decidido, por força do artigo 45.o, n.o 3, do Regulamento (UE) 2016/679 ou do artigo 36.o, n.o 3, da Diretiva (UE) 2016/680, que o país terceiro, um território ou um setor ou setores específicos desse país terceiro, ou a organização internacional em causa, garantem um nível de proteção adequado, e se os dados pessoais forem transferidos exclusivamente para o desempenho de funções da competência do responsável pelo tratamento.

2.   As instituições e os órgãos da União devem informar a Comissão e a Autoridade Europeia para a Proteção de Dados dos casos em que consideram que um país terceiro, um território, um setor ou setores específicos de um país terceiro, ou uma organização internacional não garantem um nível de proteção adequado nos termos do n.o 1.

3.   As instituições e os órgãos da União devem tomar as medidas necessárias para dar cumprimento às decisões tomadas pela Comissão, caso esta estabeleça, ao abrigo do artigo 45.o, n.os 3 ou 5, do Regulamento (UE) 2016/679, ou do artigo 36.o, n.os 3 ou 5, da Diretiva (UE) 2016/680, que um país terceiro, um território ou um ou mais setores específicos de um país terceiro, ou uma organização internacional, asseguram ou deixaram de assegurar um nível de proteção adequado.

1.   Na falta de uma decisão nos termos do artigo 45.o, n.o 3, do Regulamento (UE) 2016/679 ou do artigo 36.o, n.o 3, da Diretiva (UE) 2016/680, os responsáveis pelo tratamento ou os subcontratantes só podem transferir dados pessoais para um país terceiro ou para uma organização internacional se tiverem apresentado garantias adequadas, e na condição de os titulares dos dados gozarem de direitos oponíveis e de medidas jurídicas corretivas eficazes.

2.   As garantias adequadas a que se refere o n.o 1 podem ser previstas, sem autorização específica da Autoridade Europeia para a Proteção de Dados, por meio de:

3.   Sob reserva de autorização da Autoridade Europeia para a Proteção de Dados, as garantias adequadas a que se refere o n.o 1 podem também ser previstas, nomeadamente, por meio de:

4.   As autorizações concedidas pela Autoridade Europeia para a Proteção de Dados com base no artigo 9.o, n.o 7, do Regulamento (CE) n.o 45/2001 mantêm-se válidas até à sua alteração, substituição ou revogação, se necessário, pela Autoridade Europeia para a Proteção de Dados.

5.   As instituições e os órgãos da União devem informar a Autoridade Europeia para a Proteção de Dados das categorias de casos em que o presente artigo foi aplicado.

1.   Na falta de uma decisão de adequação nos termos do artigo 45.o, n.o 3, do Regulamento (UE) 2016/679 ou do artigo 36.o, n.o 3, da Diretiva (UE) 2016/680, ou de garantias adequadas nos termos do artigo 48.o do presente regulamento, uma transferência ou um conjunto de transferências de dados pessoais para um país terceiro ou para uma organização internacional só são efetuadas caso se verifique uma das seguintes condições:

2.   As alíneas a), b), e c) do n.o 1 não são aplicáveis a atividades executadas por instituições e órgãos da União no exercício dos seus poderes públicos.

3.   O interesse público referido no n.o 1, alínea d), deve ser reconhecido no direito da União.

4.   Uma transferência efetuada nos termos do n.o 1, alínea g), não pode envolver a totalidade dos dados pessoais nem categorias completas de dados pessoais constantes do registo, a não ser que seja autorizada pelo direito da União. Quando o registo se destinar a ser consultado por pessoas com um interesse legítimo, as transferências só podem ser efetuadas a pedido dessas pessoas, ou se forem elas os seus destinatários.

5.   Na falta de uma decisão de adequação, o direito da União pode estabelecer expressamente, por razões importantes de interesse público, limites à transferência de categorias específicas de dados pessoais para países terceiros ou para organizações internacionais.

6.   As instituições e os órgãos da União devem informar a Autoridade Europeia para a Proteção de Dados das categorias de casos em que o presente artigo foi aplicado.

1.   É criada a Autoridade Europeia para a Proteção de Dados.

2.   No que diz respeito ao tratamento de dados pessoais, a Autoridade Europeia para a Proteção de Dados é encarregada de assegurar que os direitos e as liberdades fundamentais das pessoas singulares, especialmente o direito à proteção de dados, sejam respeitados pelas instituições e pelos órgãos da União.

3.   A Autoridade Europeia para a Proteção de Dados é encarregada do controlo e da aplicação das disposições do presente regulamento e de qualquer outro ato da União relativo à proteção dos direitos e das liberdades fundamentais das pessoas singulares no que diz respeito ao tratamento de dados pessoais por uma instituição ou um órgão da União, bem como do aconselhamento das instituições e dos órgãos da União e dos titulares dos dados sobre todas as questões relativas ao tratamento de dados pessoais. Para esses fins, a Autoridade Europeia para a Proteção de Dados exerce as atribuições previstas no artigo 57.o e os poderes conferidos pelo artigo 58.o.

4.   O Regulamento (CE) n.o 1049/2001 é aplicável aos documentos detidos pela Autoridade Europeia para a Proteção de Dados. A Autoridade Europeia para a Proteção de Dados adota as regras de aplicação do Regulamento (CE) n.o 1049/2001 no que diz respeito a esses documentos.

1.   O Parlamento Europeu e o Conselho nomeiam, de comum acordo e por um período de cinco anos, a Autoridade Europeia para a Proteção de Dados, com base numa lista estabelecida pela Comissão na sequência de um convite público à apresentação de candidaturas. Esse convite público à apresentação de candidaturas permite a todas as pessoas interessadas na União apresentarem as suas candidaturas. A lista de candidatos elaborada pela Comissão é pública e deve ser constituída, no mínimo, por três candidatos. Com base na lista elaborada pela Comissão, a comissão competente do Parlamento Europeu pode decidir realizar uma audição que lhe permita exprimir a sua preferência.

2.   A lista de candidatos referida no n.o 1 deve ser constituída por pessoas que ofereçam todas as garantias de independência e que disponham de conhecimentos especializados no domínio da proteção de dados, além da experiência e da competência requeridas para o desempenho das funções de Autoridade Europeia para a Proteção de Dados.

3.   O mandato da Autoridade Europeia para a Proteção de Dados é renovável uma vez.

4.   As funções da Autoridade Europeia para a Proteção de Dados cessam nas seguintes circunstâncias:

5.   A Autoridade Europeia para a Proteção de Dados pode ser declarada demissionária ou privada do seu direito à pensão ou a outros benefícios equivalentes por decisão do Tribunal de Justiça, a pedido do Parlamento Europeu, do Conselho ou da Comissão, se deixar de preencher os requisitos necessários ao exercício das suas funções ou tiver cometido uma falta grave.

6.   Nos casos de substituição regular ou de exoneração voluntária, a Autoridade Europeia para a Proteção de Dados permanece, no entanto, em funções até que se proceda à sua substituição.

7.   Os artigos 11.o a 14.o e 17.o do Protocolo relativo aos Privilégios e Imunidades da União Europeia são igualmente aplicáveis à Autoridade Europeia para a Proteção de Dados.

1.   A Autoridade Europeia para a Proteção de Dados é considerada equiparada a um juiz do Tribunal de Justiça no que se refere à determinação da remuneração, dos subsídios, da pensão de reforma e de quaisquer outros benefícios equivalentes à remuneração que lhe sejam devidos.

2.   A autoridade orçamental deve assegurar que a Autoridade Europeia para a Proteção de Dados disponha dos recursos humanos e financeiros necessários para o desempenho das suas funções.

3.   O orçamento da Autoridade Europeia para a Proteção de Dados deve figurar numa rubrica específica da secção relativa às despesas administrativas do orçamento geral da União.

4.   A Autoridade Europeia para a Proteção de Dados é assistida por um secretariado. Os funcionários e outros agentes do secretariado são nomeados pela Autoridade Europeia para a Proteção de Dados, que é o seu superior hierárquico, e dependem exclusivamente dela. O seu número é aprovado anualmente no âmbito do exercício orçamental. O artigo 75.o, n.o 2, do Regulamento (UE) 2016/679 é aplicável ao pessoal da Autoridade Europeia para a Proteção de Dados que desempenha as atribuições conferidas ao Comité Europeu para a Proteção de Dados pelo direito da União.

5.   Os funcionários e outros agentes do secretariado da Autoridade Europeia para a Proteção de Dados estão sujeitos às regras e à regulamentação aplicáveis aos funcionários e outros agentes da União.

6.   A Autoridade Europeia para a Proteção de Dados tem sede em Bruxelas.

1.   A Autoridade Europeia para a Proteção de Dados desempenha as suas funções e exerce os seus poderes com total independência, nos termos do presente regulamento.

2.   A Autoridade Europeia para a Proteção de Dados não está sujeita a influências externas, diretas ou indiretas, no desempenho das suas funções e no exercício dos seus poderes nos termos do presente regulamento, e não solicita nem recebe instruções de terceiros.

3.   A Autoridade Europeia para a Proteção de Dados deve abster-se de praticar atos incompatíveis com as suas atribuições e, durante o seu mandato, não pode exercer outras atividades profissionais, remuneradas ou não.

4.   Após a cessação do seu mandato, a Autoridade Europeia para a Proteção de Dados deve agir com integridade e discrição relativamente à aceitação de funções e benefícios.

1.   Sem prejuízo de outras atribuições previstas nos termos do presente regulamento, a Autoridade Europeia para a Proteção de Dados:

2.   A Autoridade Europeia para a Proteção de Dados facilita a apresentação das reclamações previstas no n.o 1, alínea e), disponibilizando um formulário de reclamações que possa ser preenchido eletronicamente, sem excluir outros meios de comunicação.

3.   O exercício das atribuições da Autoridade Europeia para a Proteção de Dados é gratuito para o titular dos dados.

4.   Caso os pedidos sejam manifestamente infundados ou excessivos, nomeadamente devido ao seu caráter repetitivo, a Autoridade Europeia para a Proteção de Dados pode recusar-se a dar-lhes seguimento. Cabe à Autoridade Europeia para a Proteção de Dados demonstrar o caráter manifestamente infundado ou excessivo dos pedidos.

1.   A Autoridade Europeia para a Proteção de Dados dispõe dos seguintes poderes de investigação:

2.   A Autoridade Europeia para a Proteção de Dados dispõe dos seguintes poderes de correção:

3.   A Autoridade Europeia para a Proteção de Dados dispõe dos seguintes poderes de autorização e consultivos:

4.   A Autoridade Europeia para a Proteção de Dados dispõe do poder de submeter questões à apreciação do Tribunal de Justiça nas condições previstas nos Tratados e de intervir em processos judiciais intentados junto do Tribunal de Justiça.

5.   O exercício dos poderes conferidos à Autoridade Europeia para a Proteção de Dados nos termos do presente artigo está subordinado a garantias adequadas, incluindo o direito a ações judiciais efetivas e a processos equitativos, previsto no direito da União.

1.   A Autoridade Europeia para a Proteção de Dados apresenta um relatório anual de atividades ao Parlamento Europeu, ao Conselho e à Comissão e, simultaneamente, torna-o público.

2.   A Autoridade Europeia para a Proteção de Dados transmite o relatório referido no n.o 1 às restantes instituições e órgãos da União, os quais podem apresentar observações tendo em vista um eventual exame do relatório pelo Parlamento Europeu.

1.   Caso um ato da União faça referência ao presente artigo, a Autoridade Europeia para a Proteção de Dados e as autoridades nacionais de controlo, agindo no âmbito das respetivas competências, devem cooperar ativamente no âmbito das suas responsabilidades para assegurar uma supervisão eficaz dos sistemas informáticos de grande escala e dos órgãos e organismos da União.

2.   Se necessário, as autoridades em causa, agindo no âmbito das respetivas competências e responsabilidades, devem partilhar as informações relevantes, prestar assistência mútua na realização de auditorias e inspeções, examinar as dificuldades de interpretação ou de aplicação do presente regulamento e de outros atos aplicáveis da União, examinar problemas relacionados com o exercício de uma supervisão independente ou com o exercício dos direitos dos titulares dos dados, elaborar propostas harmonizadas para resolver problemas e promover a sensibilização para os direitos da proteção dos dados.

3.   Para os efeitos previstos no n.o 2, a Autoridade Europeia para a Proteção de Dados e as autoridades nacionais de controlo devem reunir-se pelo menos duas vezes por ano no quadro do Comité Europeu para a Proteção de Dados. Para esse efeito, o Comité Europeu para a Proteção de Dados pode definir outros métodos de trabalho, em função das necessidades.

4.   O Comité Europeu para a Proteção de Dados apresenta, de dois em dois anos, ao Parlamento Europeu, ao Conselho e à Comissão um relatório comum relativo às atividades de supervisão coordenada.

1.   Sem prejuízo de outras vias de recurso judicial, administrativo ou extrajudicial, os titulares dos dados têm o direito de apresentar reclamações à Autoridade Europeia para a Proteção de Dados se considerarem que o tratamento dos seus dados pessoais constitui uma violação do presente regulamento.

2.   A Autoridade Europeia para a Proteção de Dados deve informar o autor da reclamação do andamento e do resultado da reclamação apresentada, nomeadamente da possibilidade de intentar uma ação judicial ao abrigo do artigo 64.o.

3.   Se a Autoridade Europeia para a Proteção de Dados não tratar uma reclamação ou não informar o titular dos dados, no prazo de três meses, sobre o andamento ou sobre o resultado da reclamação, considera-se que adotou uma decisão negativa.

1.   O Tribunal de Justiça é competente para apreciar todos os litígios relacionados com o disposto no presente regulamento, incluindo ações de indemnização.

2.   Os recursos contra as decisões da Autoridade Europeia para a Proteção de Dados, incluindo as decisões previstas no artigo 63.o, n.o 3, são interpostos no Tribunal de Justiça.

3.   O Tribunal de Justiça tem competência de plena jurisdição para decidir sobre os recursos interpostos contra as coimas referidas no artigo 66.o. O Tribunal de Justiça pode anular, reduzir ou aumentar as referidas coimas dentro dos limites do artigo 66.o.

1.   A Autoridade Europeia para a Proteção de Dados pode impor coimas às instituições e aos órgãos da União, em função das circunstâncias de cada caso, se uma instituição ou um órgão da União não cumprir uma ordem da Autoridade Europeia para a Proteção de Dados nos termos do artigo 58.o, n.o 2, alíneas d) a h) e j). Ao decidir da imposição de uma coima e do montante da mesma, devem ser tidos em conta, em cada caso, os seguintes elementos:

2.   Nos termos dos artigos 8.o, 12.o, 27.o a 35.o, 39.o, 40.o, 43.o, 44.o e 45.o, a violação das obrigações pela instituição ou pelo órgão da União deve ser sujeita, nos termos do n.o 1 do presente artigo, a coimas de um montante máximo de 25 000 EUR por infração, e de um montante total de 250 000 EUR por ano.

3.   Nos termos do n.o 1, a violação das seguintes disposições pela instituição ou pelo órgão da União deve ser sujeita a coimas de um montante máximo de 50 000 EUR por infração, e de um montante total de 500 000 EUR por ano:

4.   Se uma instituição ou um órgão da União violarem, no âmbito da mesma operação de tratamento ou de operações de tratamento ligadas ou contínuas, várias disposições do presente regulamento ou várias vezes a mesma disposição, o montante total da coima não pode exceder o montante fixado para a infração mais grave.

5.   Antes de tomar uma decisão ao abrigo do presente artigo, a Autoridade Europeia para a Proteção de Dados deve conceder à instituição ou ao órgão da União que são alvo do procedimento por si aplicado, a oportunidade de se pronunciarem sobre as objeções que formulou. A Autoridade Europeia para a Proteção de Dados deve basear as suas decisões unicamente nas objeções relativamente às quais as partes em causa puderam apresentar as suas observações. Os autores das reclamações devem ser estreitamente associados ao procedimento.

6.   Os direitos de defesa das partes interessadas devem ser plenamente respeitados durante o procedimento. As partes interessadas devem ter o direito de aceder ao processo da Autoridade Europeia para a Proteção de Dados, sob reserva do interesse legítimo das pessoas ou das empresas relativamente à proteção dos seus dados pessoais ou dos seus segredos comerciais.

7.   Os fundos recolhidos em resultado da imposição das coimas previstas no presente artigo constituem receitas do orçamento geral da União.

1.   Os dados pessoais operacionais são:

2.   É permitido o tratamento pelo mesmo ou por outro responsável pelo tratamento para as finalidades previstas no ato normativo que cria o órgão ou o organismo da União, que sejam diferentes das finalidades para as quais os dados pessoais operacionais foram recolhidos, desde que:

3.   O tratamento pelo mesmo ou por outro responsável pelo tratamento pode incluir o arquivo de interesse público e a utilização científica, estatística ou histórica dos dados para as finalidades previstas no ato normativo que cria o órgão ou o organismo da União, sob reserva de garantias adequadas dos direitos e liberdades do titular dos dados.

4.   O responsável pelo tratamento é responsável pelo cumprimento dos n.os 1, 2 e 3, e deve poder comprová-lo.

1.   O tratamento de dados pessoais operacionais só é lícito se e na medida em que for necessário para o desempenho de uma função pelos órgãos e organismos da União no exercício de atividades abrangidas pelo âmbito de aplicação da parte III, título V, capítulos 4 ou 5, do TFUE, e tiver por base o direito da União.

2.   Os atos normativos específicos da União que regulam o tratamento abrangido pelo âmbito do presente capítulo devem especificar, pelo menos, os objetivos do tratamento, os dados pessoais operacionais a tratar, as finalidades do tratamento e os prazos aplicáveis à conservação dos dados pessoais operacionais e à revisão periódica da necessidade de prolongar a conservação dos dados pessoais operacionais.

1.   O responsável pelo tratamento estabelece, na medida do possível, uma distinção entre os dados pessoais operacionais baseados em factos e os dados pessoais operacionais baseados em apreciações pessoais.

2.   O responsável pelo tratamento toma todas as medidas razoáveis para garantir que os dados pessoais operacionais inexatos, incompletos ou desatualizados não sejam transmitidos nem disponibilizados. Para esse efeito, o responsável pelo tratamento verifica, na medida do possível e caso seja pertinente, a qualidade dos dados pessoais operacionais antes de estes serem transmitidos ou disponibilizados, por exemplo, consultando a autoridade competente da qual os dados provêm. Na medida do possível, em todas as transmissões de dados pessoais operacionais, o responsável pelo tratamento fornece as informações necessárias que permitam ao destinatário apreciar até que ponto os dados pessoais operacionais são exatos, completos e fiáveis, e estão atualizados.

3.   Caso se verifique que foram transmitidos dados pessoais operacionais inexatos ou que foram transmitidos dados pessoais operacionais de forma ilícita, o destinatário deve ser informado sem demora. Neste caso, os dados pessoais operacionais em causa são retificados ou apagados, ou o seu tratamento é limitado nos termos do artigo 82.o.

1.   Quando o direito da União aplicável ao responsável pelo tratamento que transmite os dados estabelece condições específicas de tratamento, o responsável pelo tratamento informa o destinatário dos dados pessoais operacionais dessas condições e da obrigação de as respeitar.

2.   O responsável pelo tratamento respeita as condições específicas de tratamento previstas pela autoridade competente que transmite os dados, nos termos do artigo 9.o, n.os 3 e 4, da Diretiva (UE) 2016/680.

1.   O tratamento de dados pessoais operacionais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas ou a filiação sindical, e o tratamento de dados genéticos, de dados biométricos destinados a identificar uma pessoa singular de forma inequívoca, de dados pessoais operacionais relativos à saúde ou relativos à vida sexual ou à orientação sexual de uma pessoa só são autorizados se forem estritamente necessários para fins operacionais, no âmbito do mandato do órgão ou do organismo da União em causa, e se estiverem sujeitos a garantias adequadas dos direitos e das liberdades do titular dos dados. É proibida a discriminação de pessoas singulares com base nesses dados pessoais.

2.   O encarregado da proteção de dados deve ser informado sem demora indevida da aplicação do presente artigo.

1.   São proibidas as decisões baseadas exclusivamente no tratamento automatizado de dados, incluindo a definição de perfis, que produzam efeitos adversos na esfera jurídica do titular dos dados ou que o afetem de forma significativa, salvo se forem autorizadas pelo direito da União ao qual o responsável pelo tratamento está sujeito e desde que esse direito preveja garantias adequadas dos direitos e das liberdades do titular dos dados, pelo menos o direito de obter a intervenção humana do responsável pelo tratamento.

2.   As decisões a que se refere o n.o 1 do presente artigo não se baseiam nas categorias especiais de dados pessoais a que se refere o artigo 76.o, salvo se forem aplicadas medidas adequadas para salvaguardar os direitos, as liberdades e os legítimos interesses do titular dos dados.

3.   Em conformidade com o direito da União, são proibidas as definições de perfis que conduzam à discriminação de pessoas singulares com base nas categorias especiais de dados pessoais a que se refere o artigo 76.o.

1.   O responsável pelo tratamento toma todas as medidas razoáveis para fornecer ao titular dos dados as informações a que se refere o artigo 79.o e efetua as comunicações relativas aos artigos 80.o a 84.o e 92.o a respeito do tratamento de uma forma concisa, inteligível e de fácil acesso, utilizando uma linguagem clara e simples. As informações são fornecidas pelos meios adequados, inclusive eletrónicos. Em regra geral, o responsável pelo tratamento fornece as informações na mesma forma que o pedido.

2.   O responsável pelo tratamento facilita o exercício dos direitos do titular dos dados, nos termos dos artigos 79.o a 84.o.

3.   O responsável pelo tratamento informa o titular dos dados por escrito sobre a resposta dada ao seu pedido sem demora indevida e, em qualquer caso, no prazo máximo de três meses após a receção do pedido do titular dos dados.

4.   O responsável pelo tratamento fornece as informações previstas nos termos do artigo 79.o, e informações sobre as comunicações efetuadas ou sobre as medidas tomadas ao abrigo dos artigos 80.o a 84.o e 92.o, gratuitamente. Caso os pedidos apresentados por um titular de dados sejam manifestamente infundados ou excessivos, nomeadamente devido ao seu caráter recorrente, o responsável pelo tratamento pode recusar dar-lhes seguimento. Cabe ao responsável pelo tratamento demonstrar o caráter manifestamente infundado ou excessivo do pedido.

5.   Se o responsável pelo tratamento tiver dúvidas razoáveis quanto à identidade da pessoa singular que apresenta um pedido referido nos artigos 80.o ou 82.o, pode solicitar que lhe sejam fornecidas informações adicionais necessárias para confirmar a identidade do titular dos dados.

1.   O responsável pelo tratamento faculta ao titular dos dados, pelo menos, as seguintes informações:

2.   Para além das informações a que se refere o n.o 1, o responsável pelo tratamento presta ao titular dos dados, nos casos específicos previstos no direito da União, as seguintes informações adicionais a fim de lhe permitir exercer os seus direitos:

3.   O responsável pelos dados pode adiar, limitar ou omitir a prestação das informações a que se refere o n.o 2 aos titulares dos dados se e enquanto essas medidas constituírem medidas necessárias e proporcionadas numa sociedade democrática, tendo devidamente em conta os direitos fundamentais e os interesses legítimos das pessoas singulares em causa, a fim de:

1.   O responsável pelo tratamento pode limitar, total ou parcialmente, o direito de acesso do titular dos dados, se e enquanto essa limitação, total ou parcial, constituir uma medida necessária e proporcionada numa sociedade democrática, tendo devidamente em conta os direitos fundamentais e os interesses legítimos da pessoa singular em causa, a fim de:

2.   Nos casos a que se refere o n.o 1, o responsável pelo tratamento informa por escrito o titular dos dados, sem demora indevida, de todos os casos de recusa ou limitação de acesso, e dos motivos da recusa ou da limitação. Essa informação pode ser omitida, caso a sua prestação possa prejudicar uma das finalidades enunciadas no n.o 1. O responsável pelo tratamento informa o titular dos dados da possibilidade de apresentar reclamações à Autoridade Europeia para a Proteção de Dados ou de intentar uma ação judicial junto do Tribunal de Justiça. O responsável pelo tratamento documenta os motivos de facto ou de direito em que a sua decisão se baseou. Essa informação deve ser facultada à Autoridade Europeia para a Proteção de Dados, a pedido desta.

1.   O titular dos dados tem o direito de obter do responsável pelo tratamento, sem demora indevida, a retificação dos dados pessoais operacionais inexatos que lhe digam respeito. Tendo em conta as finalidades do tratamento, o titular dos dados tem o direito de que os seus dados pessoais operacionais incompletos sejam completados, inclusive por meio de uma declaração adicional.

2.   O responsável pelo tratamento apaga os dados pessoais operacionais sem demora indevida, e o titular dos dados tem o direito de obter do responsável pelo tratamento o apagamento, sem demora indevida, dos dados pessoais operacionais que lhe digam respeito caso o tratamento viole o artigo 71.o, o artigo 72.o, n.o 1, ou o artigo 76.o, ou caso os dados pessoais operacionais devam ser apagados em cumprimento de uma obrigação legal a que o responsável pelo tratamento esteja sujeito.

3.   Em vez de proceder ao apagamento, o responsável pelo tratamento limita o tratamento dos dados caso:

Caso o tratamento seja limitado nos termos do primeiro parágrafo, alínea a), o responsável pelo tratamento informa o titular dos dados antes de levantar a limitação do tratamento dos dados.

Os dados limitados só podem ser tratados para as finalidades que impediram o seu apagamento.

4.   O responsável pelo tratamento informa por escrito o titular dos dados da recusa de retificação ou de apagamento de dados pessoais operacionais, ou da limitação do seu tratamento, e dos motivos da recusa. O responsável pelo tratamento pode limitar, total ou parcialmente, o fornecimento dessas informações, na medida em que tal limitação constitua uma medida necessária e proporcionada numa sociedade democrática, tendo devidamente em conta os direitos fundamentais e os interesses legítimos da pessoa singular em causa, a fim de:

O responsável pelo tratamento informa o titular dos dados da possibilidade de apresentar reclamações à Autoridade Europeia para a Proteção de Dados e de intentar uma ação judicial junto do Tribunal de Justiça.

5.   O responsável pelo tratamento comunica a retificação dos dados pessoais operacionais inexatos à autoridade competente da qual provieram os dados pessoais operacionais inexatos.

6.   Quando os dados pessoais operacionais tenham sido retificados ou apagados, ou o seu tratamento tenha sido limitado nos termos dos n.os 1, 2 ou 3, o responsável pelo tratamento notifica os destinatários e informa-os de que devem retificar ou apagar os dados pessoais operacionais, ou limitar o tratamento dos dados pessoais operacionais sob a sua responsabilidade.

1.   Nos casos referidos no artigo 79.o, n.o 3, no artigo 81.o e no artigo 82.o, n.o 4, os direitos do titular dos dados podem igualmente ser exercidos através da Autoridade Europeia para a Proteção de Dados.

2.   O responsável pelo tratamento informa o titular dos dados da possibilidade de exercer os seus direitos através da Autoridade Europeia para a Proteção de Dados, nos termos do n.o 1.

3.   Caso o direito referido no n.o 1 seja exercido, a Autoridade Europeia para a Proteção de Dados informa, pelo menos, o titular dos dados de que procedeu a todas as verificações necessárias, ou a uma revisão. A Autoridade Europeia para a Proteção de Dados informa também o titular dos dados sobre o seu direito de intentar uma ação judicial junto do Tribunal de Justiça.

1.   Tendo em conta as técnicas mais avançadas, os custos de execução e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos, de probabilidade e gravidade variáveis, para os direitos e as liberdades das pessoas singulares suscitados pelo tratamento, o responsável pelo tratamento deve aplicar, tanto no momento da definição dos meios de tratamento como durante o próprio tratamento, as medidas técnicas e organizativas adequadas, como a pseudonimização, destinadas a pôr efetivamente em prática os princípios da proteção de dados, como a minimização, a fim de integrar as garantias necessárias no tratamento, de modo a cumprir os requisitos previstos no presente regulamento e no ato normativo que o cria, e a proteger os direitos dos titulares dos dados.

2.   O responsável pelo tratamento aplica as medidas técnicas e organizativas adequadas para garantir que, por defeito, só sejam tratados os dados pessoais operacionais que sejam adequados, pertinentes e não excessivos em relação à finalidade do tratamento. Essa obrigação aplica-se à quantidade de dados pessoais operacionais recolhidos, à extensão do seu tratamento, ao seu prazo de conservação e à sua acessibilidade. Em especial, essas medidas asseguram que, por defeito, os dados pessoais operacionais não sejam disponibilizados sem intervenção humana a um número indeterminado de pessoas singulares.

1.   Caso dois ou mais responsáveis pelo tratamento ou um ou mais responsáveis pelo tratamento, juntamente com um ou mais responsáveis pelo tratamento que não sejam instituições ou órgãos da União, determinem conjuntamente as finalidades e os meios do tratamento, são considerados responsáveis conjuntos pelo tratamento. Os responsáveis conjuntos pelo tratamento determinam, por acordo entre si e de modo transparente, as respetivas responsabilidades pelo cumprimento das suas obrigações em matéria de proteção de dados, nomeadamente no que diz respeito ao exercício dos direitos do titular dos dados e aos respetivos deveres de prestar as informações referidas no artigo 79.o, a não ser e na medida em que as suas responsabilidades respetivas sejam determinadas pelo direito da União ou pelo direito do Estado-Membro a que estão sujeitos. No referido acordo, pode ser designado um ponto de contacto para os titulares dos dados.

2.   O acordo a que se refere o n.o 1 deve refletir devidamente as funções e as relações respetivas dos responsáveis conjuntos pelo tratamento em relação ao titular dos dados. O teor do acordo deve ser disponibilizado ao titular dos dados.

3.   Independentemente dos termos do acordo a que se refere o n.o 1, o titular dos dados pode exercer os direitos que o presente regulamento lhe confere em relação e contra cada um dos responsáveis pelo tratamento.

1.   Caso o tratamento dos dados seja efetuado por sua conta, o responsável pelo tratamento deve recorrer apenas a subcontratantes que apresentem garantias suficientes de execução de medidas técnicas e organizativas adequadas de tal forma que o tratamento satisfaça os requisitos previstos no presente regulamento e no ato normativo que cria o responsável pelo tratamento, e assegure a defesa dos direitos do titular dos dados.

2.   O subcontratante não pode contratar outro subcontratante sem a autorização escrita prévia, específica ou geral, do responsável pelo tratamento. Em caso de autorização geral por escrito, o subcontratante deve informar o responsável pelo tratamento das alterações pretendidas quanto ao aumento do número ou à substituição de outros subcontratantes, dando assim ao responsável pelo tratamento a oportunidade de se opor a essas alterações.

3.   O tratamento em subcontratação é regulado por contrato, ou por outro ato normativo ao abrigo do direito da União ou de um Estado-Membro, que vincula o subcontratante ao responsável pelo tratamento, estabelece o objeto e a duração do tratamento, a sua natureza e a sua finalidade, o tipo de dados pessoais operacionais e as categorias dos titulares dos dados, e as obrigações e os direitos do responsável pelo tratamento. Esse contrato, ou o outro ato normativo, deve estipular, em especial, que o subcontratante:

4.   O contrato ou o outro ato normativo a que se refere o n.o 3 é feito por escrito, inclusive em formato eletrónico.

5.   Se, em violação do presente regulamento ou do ato normativo que cria o responsável pelo tratamento, o subcontratante determinar as finalidades e os meios do tratamento, é considerado responsável pelo tratamento em relação ao tratamento em causa.

1.   O responsável pelo tratamento conserva registos cronológicos de todas as seguintes operações de tratamento em sistemas automatizados de tratamento: recolha, alteração, consulta, divulgação — incluindo transferências –, interconexão e apagamento de dados pessoais operacionais. Os registos cronológicos das operações de consulta e divulgação permitem determinar o motivo, a data e a hora dessas operações, a identificação da pessoa que consultou ou divulgou os dados pessoais operacionais e, na medida do possível, a identidade dos destinatários desses dados pessoais operacionais.

2.   Os registos cronológicos são utilizados exclusivamente para efeitos de verificação da licitude do tratamento, de autocontrolo e de garantia da integridade e segurança dos dados pessoais operacionais, e para ações penais. Os registos cronológicos são apagados ao fim de três anos, salvo se forem necessários para controlos em curso.

3.   O responsável pelo tratamento disponibiliza, a pedido, os registos cronológicos ao seu encarregado da proteção de dados e à Autoridade Europeia para a Proteção de Dados.

1.   Caso um tipo de tratamento, em particular que utilize novas tecnologias, tendo em conta a natureza, o âmbito, o contexto e as finalidades desse tratamento, seja suscetível de constituir um elevado risco para os direitos e as liberdades das pessoas singulares, o responsável pelo tratamento deve proceder, antes de iniciar o tratamento, uma avaliação do impacto das operações de tratamento previstas sobre a proteção dos dados pessoais operacionais.

2.   A avaliação a que se refere o n.o 1 inclui pelo menos uma descrição geral das operações de tratamento previstas, uma avaliação dos riscos para os direitos e as liberdades dos titulares dos dados, as medidas previstas para fazer face a esses riscos, as garantias, as medidas de segurança e os mecanismos para assegurar a proteção dos dados pessoais operacionais e para demonstrar a conformidade com as regras de proteção de dados, tendo em conta os direitos e os legítimos interesses dos titulares dos dados e de outras pessoas afetadas.

1.   O responsável pelo tratamento consulta a Autoridade Europeia para a Proteção de Dados antes de proceder a um tratamento que fará parte de um novo sistema de ficheiro a criar, caso:

2.   A Autoridade Europeia para a Proteção de Dados elabora uma lista das operações de tratamento sujeitas a consulta prévia nos termos do n.o 1.

3.   O responsável pelo tratamento fornece à Autoridade Europeia para a Proteção de Dados a avaliação de impacto relativa à proteção de dados a que se refere o artigo 89.o e, quando lhe for solicitado, outras informações que permitam à Autoridade Europeia para a Proteção de Dados avaliar a conformidade do tratamento e, nomeadamente, os riscos para a proteção dos dados pessoais operacionais do titular dos dados e as respetivas garantias.

4.   Caso a Autoridade Europeia para a Proteção de Dados considere que o tratamento previsto referido no n.o 1 violaria o presente regulamento ou o ato normativo que cria o órgão ou o organismo da União, nomeadamente se o responsável pelo tratamento não tiver identificado ou atenuado suficientemente os riscos, deve emitir orientações por escrito, no prazo máximo de seis semanas a contar da receção do pedido de consulta, destinadas ao responsável pelo tratamento. Esse prazo pode ser prorrogado por um mês, tendo em conta a complexidade do tratamento previsto. A Autoridade Europeia para a Proteção de Dados informa o responsável pelo tratamento da prorrogação no prazo de um mês a contar da data de receção do pedido de consulta, e indica os motivos do atraso.

1.   O responsável pelo tratamento e o subcontratante, tendo em conta as técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos, de probabilidade e gravidade variáveis, para os direitos e as liberdades das pessoas singulares, aplicam as medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco, em especial no que respeita ao tratamento das categorias especiais de dados pessoais operacionais.

2.   No que diz respeito ao tratamento automatizado de dados, o responsável pelo tratamento e o subcontratante, na sequência de uma avaliação dos riscos, aplicam medidas para os seguintes efeitos:

1.   Em caso de violação de dados pessoais, o responsável pelo tratamento deve notificar desse facto a Autoridade Europeia para a Proteção de Dados sem demora indevida e, se possível, no prazo máximo de 72 horas após ter tido conhecimento da mesma, salvo se tal violação não for suscetível de constituir um risco para os direitos e as liberdades das pessoas singulares. Se não for transmitida no prazo de 72 horas, a notificação à Autoridade Europeia para a Proteção de Dados deve ser acompanhada dos motivos do atraso.

2.   A notificação referida no n.o 1 deve, pelo menos:

3.   Caso e na medida em que não seja possível comunicar todas as informações referidas no n.o 2 ao mesmo tempo, as informações podem ser comunicadas por fases, sem demora indevida.

4.   O responsável pelo tratamento documenta todas as violações de dados pessoais referidas no n.o 1, incluindo os factos relacionados com a violação, os seus efeitos e as medidas de reparação adotadas. Essa documentação deve permitir à Autoridade Europeia para a Proteção de Dados verificar o respeito do presente artigo.

5.   Caso a violação de dados pessoais envolva dados pessoais operacionais transmitidos pelas autoridades competentes ou a elas destinados, o responsável pelo tratamento comunica as informações referidas no n.o 2 às autoridades competentes em causa sem demora indevida.

1.   Caso uma violação de dados pessoais seja suscetível de constituir um elevado risco para os direitos e as liberdades das pessoas singulares, o responsável pelo tratamento deve comunicar a violação ao titular dos dados sem demora indevida.

2.   A comunicação ao titular dos dados a que se refere o n.o 1 do presente artigo deve descrever, em linguagem clara e simples, a natureza da violação de dados pessoais e incluir, pelo menos, as informações e as recomendações previstas no artigo 92.o, n.o 2, alíneas b), c) e d).

3.   A comunicação ao titular dos dados a que se refere o n.o 1 não é exigida caso uma das seguintes condições esteja satisfeita:

4.   Se o responsável pelo tratamento ainda não tiver comunicado a violação de dados pessoais ao titular dos dados, a Autoridade Europeia para a Proteção de Dados, tendo considerado a probabilidade de a violação de dados pessoais constituir um elevado risco, pode exigir-lhe que proceda a essa notificação, ou pode constatar que uma das condições referidas no n.o 3 está preenchida.

5.   A comunicação ao titular dos dados referida no n.o 1 do presente artigo pode ser adiada, limitada ou omitida, sob reserva das condições e pelos motivos a que se refere o artigo 79.o, n.o 3.

1.   Sob reserva das limitações e das condições estabelecidas nos atos normativos que criam o órgão ou o organismo da União, o responsável pelo tratamento pode transferir dados pessoais operacionais para uma autoridade de um país terceiro ou para uma organização internacional, na medida em que essa transmissão seja necessária para o exercício das suas funções, e apenas nos casos em que as condições previstas no presente artigo sejam respeitadas, a saber:

2.   Os atos normativos que criam os órgãos e os organismos da União podem manter ou introduzir disposições mais específicas sobre as condições aplicáveis às transferências internacionais de dados pessoais operacionais, em especial sobre as transferências com garantias adequadas e derrogações aplicáveis a situações específicas.

3.   O responsável pelo tratamento publica no seu sítio Web, e mantém atualizada, uma lista das decisões de adequação referidas no n.o 1, alínea a), dos acordos, dos convénios administrativos e de outros instrumentos relacionados com a transferência de dados pessoais operacionais nos termos do n.o 1.

4.   O responsável pelo tratamento conserva registos pormenorizados de todas as transferências realizadas ao abrigo do presente artigo.

1.   A Comissão é assistida pelo comité criado pelo artigo 93.o do Regulamento (UE) 2016/679. Esse comité é um comité na aceção do Regulamento (UE) n.o 182/2011.

2.   Caso se remeta para o presente número, aplica-se o artigo 5.o do Regulamento (UE) n.o 182/2011.

1.   Até 30 de abril de 2022, a Comissão deve efetuar um reexame dos atos normativos adotados com base nos Tratados que regulam o tratamento dos dados pessoais operacionais pelos órgãos e organismos da União no exercício de atividades abrangidas pelo âmbito de aplicação da parte III, título V, capítulos 4 ou 5, do TFUE, a fim de:

2.   Com base nesse reexame, a fim de assegurar uma proteção uniforme e coerente das pessoas singulares no que diz respeito ao tratamento, a Comissão pode apresentar propostas legislativas adequadas, nomeadamente na perspetiva da aplicação do capítulo IX do presente regulamento, à Europol e à Procuradoria Europeia, que incluam, se necessário, adaptações do capítulo IX do presente regulamento.

1.   O presente regulamento não obsta à aplicação da Decisão 2014/886/UE do Parlamento Europeu e do Conselho (20) nem aos mandatos atuais da Autoridade Europeia para a Proteção de Dados e da Autoridade Adjunta.

2.   A Autoridade Adjunta é considerada equiparada ao Secretário do Tribunal de Justiça no que se refere à determinação da remuneração, subsídios, pensão de reforma e outros benefícios equivalentes à remuneração que lhe sejam devidos.

3.   O artigo 53.o, n.os 4, 5 e 7, e os artigos 55.o e 56.o do presente regulamento, são aplicáveis à atual Autoridade Adjunta até ao termo do seu mandato.

4.   A Autoridade Adjunta assiste a Autoridade Europeia para a Proteção de Dados no desempenho das suas funções, e substitui-a em caso de ausência ou de impedimento, até ao termo do atual mandato da Autoridade Adjunta.

1.   O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.

2.   No entanto, o presente regulamento é aplicável ao tratamento de dados pessoais pela Eurojust a partir de 12 de dezembro de 2019.