REGULAMENTUL (UE) 2016/679 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (Regulamentul general privind protectia datelor RGPD 2018)

avand in vedere Tratatul privind functionarea Uniunii Europene, in special articolul 16,

avand in vedere propunerea Comisiei Europene,
dupa transmiterea proiectului de act legislativ catre parlamentele nationale,
avand in vedere avizul Comitetului Economic si Social European,
avand in vedere avizul Comitetului Regiunilor,
hotarand in conformitate cu procedura legislativa ordinara, intrucat:

(1) Protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal este un drept fundamental. Articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene („carta„) si articolul 16 alineatul (1) din Tratatul privind functionarea Uniunii Europene (TFUE) prevad dreptul oricarei persoane la protectia datelor cu caracter personal care o privesc.
(2) Principiile si normele referitoare la protectia persoanelor fizice in ceea ce priveste prelucrarea datelor lor cu caracter personal ar trebui, indiferent de cetatenia sau de locul de resedinta al persoanelor fizice, sa respecte drepturile si libertatile fundamentale ale acestora, in special dreptul la protectia datelor cu caracter personal. Prezentul regulament urmareste sa contribuie la realizarea unui spatiu de libertate, securitate si justitie si a unei uniuni economice, la progresul economic si social, la consolidarea si convergenta economiilor in cadrul pietei interne si la bunastarea persoanelor fizice.
(3) Directiva 95/46/CE a Parlamentului European si a Consiliului (4) vizeaza armonizarea nivelului de protectie a drepturilor si libertatilor fundamentale ale persoanelor fizice in ceea ce priveste activitatile de prelucrare si asigurarea liberei circulatii a datelor cu caracter personal intre statele membre.
(4) Prelucrarea datelor cu caracter personal ar trebui sa fie in serviciul cetatenilor. Dreptul la protectia datelor cu caracter personal nu este un drept absolut; acesta trebuie luat in considerare in raport cu functia pe care o indeplineste in societate si echilibrat cu alte drepturi fundamentale, in conformitate cu principiul proportionalitatii. Prezentul regulament respecta toate drepturile fundamentale si libertatile si principiile recunoscute in carta astfel cum sunt consacrate in tratate, in special respectarea vietii private si de familie, a resedintei si a comunicatiilor, a protectiei datelor cu caracter personal, a libertatii de gandire, de constiinta si de religie, a libertatii de exprimare si de informare, a libertatii de a desfasura o activitate comerciala, dreptul la o cale de atac eficienta si la un proces echitabil, precum si diversitatea culturala, religioasa si lingvistica.

(5) Integrarea economica si sociala care rezulta din functionarea pietei interne a condus la o crestere substantiala a fluxurilor transfrontaliere de date cu caracter personal. Schimbul de date cu caracter personal intre actori publici si privati, inclusiv persoane fizice, asociatii si intreprinderi, s-a intensificat in intreaga Uniune. Conform dreptului Uniunii, autoritatile nationale din statele membre sunt chemate sa coopereze si sa faca schimb de date cu caracter personal pentru a putea sa isi indeplineasca atributiile sau sa execute sarcini in numele unei autoritati dintr-un alt stat membru.
(6) Evolutiile tehnologice rapide si globalizarea au generat noi provocari pentru protectia datelor cu caracter personal. Amploarea colectarii si a schimbului de date cu caracter personal a crescut in mod semnificativ. Tehnologia permite atat societatilor private, cat si autoritatilor publice sa utilizeze date cu caracter personal la un nivel fara precedent in cadrul activitatilor lor. Din ce in ce mai mult, persoanele fizice fac publice la nivel mondial informatii cu caracter personal. Tehnologia a transformat deopotriva economia si viata sociala si ar trebui sa faciliteze in continuare libera circulatie a datelor cu caracter personal in cadrul Uniunii si transferul catre tari terte si organizatii internationale, asigurand, totodata, un nivel ridicat de protectie a datelor cu caracter personal.
(7) Aceste evolutii impun un cadru solid si mai coerent in materie de protectie a datelor in Uniune, insotit de o aplicare riguroasa a normelor, luand in considerare importanta crearii unui climat de incredere care va permite economiei digitale sa se dezvolte pe piata interna. Persoanele fizice ar trebui sa aiba control asupra propriilor date cu caracter personal, iar securitatea juridica si practica pentru persoane fizice, operatori economici si autoritati publice ar trebui sa fie consolidata.
(8) In cazul in care prezentul regulament prevede specificari sau restrictionari ale normelor sale de catre dreptul intern, statele membre pot, in masura in care acest lucru este necesar pentru coerenta si pentru a asigura intelegerea dispozitiilor nationale de catre persoanele carora li se aplica acestea, sa incorporeze elemente din prezentul regulament in dreptul lor intern.
(9) Obiectivele si principiile Directivei 95/46/CE raman solide, dar aceasta nu a prevenit fragmentarea modului in care protectia datelor este pusa in aplicare in Uniune, insecuritatea juridica sau perceptia publica larg raspandita conform careia exista riscuri semnificative pentru protectia persoanelor fizice, in special in legatura cu activitatea online. Diferentele dintre nivelurile de protectie a drepturilor si libertatilor persoanelor fizice, in special a dreptului la protectia datelor cu caracter personal, in ceea ce priveste prelucrarea datelor cu caracter personal din statele membre pot impiedica libera circulatie a datelor cu caracter personal in intreaga Uniune. Aceste diferente pot constitui, prin urmare, un obstacol in desfasurarea de activitati economice la nivelul Uniunii, pot denatura concurenta si pot impiedica autoritatile sa indeplineasca responsabilitatile care le revin in temeiul dreptului Uniunii. Aceasta diferenta intre nivelurile de protectie este cauzata de existenta unor deosebiri in ceea ce priveste transpunerea si aplicarea Directivei 95/46/CE.
(10) Pentru a se asigura un nivel consecvent si ridicat de protectie a persoanelor fizice si pentru a se indeparta obstacolele din calea circulatiei datelor cu caracter personal in cadrul Uniunii, nivelul protectiei drepturilor si libertatilor persoanelor fizice in ceea ce priveste prelucrarea unor astfel de date ar trebui sa fie echivalent in toate statele membre. Aplicarea consecventa si omogena a normelor in materie de protectie a drepturilor si libertatilor fundamentale ale persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal ar trebui sa fie asigurata in intreaga Uniune. In ceea ce priveste prelucrarea datelor cu caracter personal in vederea respectarii unei obligatii legale, a indeplinirii unei sarcini care serveste unui interes public sau care rezulta din exercitarea autoritatii publice cu care este investit operatorul, statelor membre ar trebui sa li se permita sa mentina sau sa introduca dispozitii de drept intern care sa clarifice intr-o mai mare masura aplicarea normelor prezentului regulament. In coroborare cu legislatia generala si orizontala privind protectia datelor, prin care este pusa in aplicare Directiva 95/46/CE, statele membre au mai multe legi sectoriale specifice in domenii care necesita dispozitii mai precise. Prezentul regulament ofera, de asemenea, statelor membre o marja de manevra in specificarea normelor sale, inclusiv in ceea ce priveste prelucrarea categoriilor speciale de date cu caracter personal („date sensibile„). In acest sens, prezentul regulament nu exclude dreptul statelor membre care stabileste circumstantele aferente unor situatii de prelucrare specifice, inclusiv stabilirea cu o mai mare precizie a conditiilor in care prelucrarea datelor cu caracter personal este legala.
(11) Protectia efectiva a datelor cu caracter personal in intreaga Uniune necesita nu numai consolidarea si stabilirea in detaliu a drepturilor persoanelor vizate si a obligatiilor celor care prelucreaza si decid prelucrarea datelor cu caracter personal, ci si competente echivalente pentru monitorizarea si asigurarea conformitatii cu normele de protectie a datelor cu caracter personal si sanctiuni echivalente pentru infractiuni in statele membre.
(12) Articolul 16 alineatul (2) din TFUE mandateaza Parlamentul European si Consiliul sa stabileasca normele privind protectia persoanelor fizice referitor la prelucrarea datelor cu caracter personal, precum si normele privind libera circulatie a acestor date.
(13) In vederea asigurarii unui nivel uniform de protectie pentru persoanele fizice in intreaga Uniune si a preintampinarii discrepantelor care impiedica libera circulatie a datelor in cadrul pietei interne, este necesar un regulament in scopul de a furniza securitate juridica si transparenta pentru operatorii economici, inclusiv microintreprinderi si intreprinderi mici si mijlocii, precum si de a oferi persoanelor fizice in toate statele membre acelasi nivel de drepturi, obligatii si responsabilitati opozabile din punct de vedere juridic pentru operatori si persoanele imputernicite de acestia, pentru a se asigura o monitorizare coerenta a prelucrarii datelor cu caracter personal, sanctiuni echivalente in toate statele membre, precum si cooperarea eficace a autoritatilor de supraveghere ale diferitelor state membre. Pentru buna functionare a pietei interne este necesar ca libera circulatie a datelor cu caracter personal in cadrul Uniunii sa nu fie restrictionata sau interzisa din motive legate de protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal. Pentru a se lua in considerare situatia specifica a microintreprinderilor si a intreprinderilor mici si mijlocii, prezentul regulament include o derogare pentru organizatiile cu mai putin de 250 de angajati in ceea ce priveste pastrarea evidentelor. In plus, institutiile si organele Uniunii si statele membre si autoritatile lor de supraveghere sunt incurajate sa ia in considerare necesitatile specifice ale microintreprinderilor si ale intreprinderilor mici si mijlocii in aplicarea prezentului regulament. Notiunea de microintreprinderi si de intreprinderi mici si mijlocii ar trebui sa se bazeze pe articolul 2 din anexa la Recomandarea 2003/361/CE a Comisiei (5).

(14) Protectia conferita de prezentul regulament ar trebui sa vizeze persoanele fizice, indiferent de cetatenia sau de locul de resedinta al acestora, in ceea ce priveste prelucrarea datelor cu caracter personal ale acestora. Prezentul regulament nu se aplica prelucrarii datelor cu caracter personal care privesc persoane juridice si, in special, intreprinderi cu personalitate juridica, inclusiv numele si tipul de persoana juridica si datele de contact ale persoanei juridice.
(15) Pentru a preveni aparitia unui risc major de eludare, protectia persoanelor fizice ar trebui sa fie neutra din punct de vedere tehnologic si sa nu depinda de tehnologiile utilizate. Protectia persoanelor fizice ar trebui sa se aplice prelucrarii datelor cu caracter personal prin mijloace automatizate, precum si prelucrarii manuale, in cazul in care datele cu caracter personal sunt cuprinse sau destinate sa fie cuprinse intr-un sistem de evidenta. Dosarele sau seturile de dosare, precum si copertele acestora, care nu sunt structurate in conformitate cu criterii specificenu ar trebui sa intre in domeniul de aplicare al prezentului regulament.
(16) Prezentul regulament nu se aplica chestiunilor de protectie a drepturilor si libertatilor fundamentale sau la libera circulatie a datelor cu caracter personal referitoare la activitati care nu intra in domeniul de aplicare al dreptului Uniunii, de exemplu activitatile privind securitatea nationala. Prezentul regulament nu se aplica prelucrarii datelor cu caracter personal de catre statele membre atunci cand acestea desfasoara activitati legate de politica externa si de securitatea comuna a Uniunii.
(17) Regulamentul (CE) nr. 45/2001 al Parlamentului European si al Consiliului (6) se aplica prelucrarii de date cu caracter personal de catre institutiile, organele, oficiile si agentiile Uniunii. Regulamentul (CE) nr. 45/2001 si alte acte juridice ale Uniunii aplicabile unei asemenea prelucrari a datelor cu caracter personal ar trebui adaptate la principiile si normele stabilite in prezentul regulament si aplicate in conformitate cu prezentul regulament. In vederea asigurarii unui cadru solid si coerent in materie de protectie a datelor in Uniune, ar trebui ca dupa adoptarea prezentului regulament sa se aduca Regulamentului (CE) nr. 45/2001 adaptarile necesare, astfel incat acestea sa poata fi aplicate odata cu prezentul regulament.
(18) Prezentul regulament nu se aplica prelucrarii datelor cu caracter personal de catre o persoana fizica in cadrul unei activitati exclusiv personale sau domestice si care, prin urmare, nu are legatura cu o activitate profesionala sau comerciala. Activitatile personale sau domestice ar putea include corespondenta si repertoriul de adrese sau activitatile din cadrul retelelor sociale si activitatile online desfasurate in contextul respectivelor activitati. Cu toate acestea, prezentul regulament se aplica operatorilor sau persoanelor imputernicite de operatori care furnizeaza mijloacele de prelucrare a datelor cu caracter personal pentru astfel de activitati personale sau domestice.
(19) Protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal de catre autoritatile competente in scopul prevenirii, investigarii, depistarii sau urmaririi penale a infractiunilor sau al executarii pedepselor, inclusiv al protejarii impotriva amenintarilor la adresa sigurantei publice si al prevenirii acestora, precum si libera circulatie a acestor date, face obiectul unui act juridic specific al Uniunii. Prin urmare, prezentul regulament nu ar trebui sa se aplice activitatilor de prelucrare in aceste scopuri. Cu toate acestea, datele cu caracter personal prelucrate de catre autoritatile publice in temeiul prezentului regulament, atunci cand sunt utilizate in aceste scopuri, ar trebui sa fie reglementate printr-un act juridic mai specific al Uniunii, si anume Directiva (UE) 2016/680 a Parlamentului European si a Consiliului (7). Statele membre pot incredinta autoritatilor competente in sensul Directivei (UE) 2016/680 sarcini care nu sunt neaparat indeplinite in scopul prevenirii, investigarii, depistarii sau urmaririi penale a infractiunilor sau al executarii pedepselor, inclusiv al protejarii impotriva amenintarilor la adresa sigurantei publice si al prevenirii acestora, astfel incat prelucrarea datelor cu caracter personal pentru alte scopuri, in masura in care se incadreaza in domeniul de aplicare al dreptului Uniunii, sa intre in domeniul de aplicare al prezentului regulament.
In ceea ce priveste prelucrarea datelor cu caracter personal de catre aceste autoritati competente in scopuri care intra in domeniul de aplicare al prezentului regulament, statele membre ar trebui sa poata mentine sau introduce dispozitii mai detaliate pentru a adapta aplicarea normelor din prezentul regulament. Aceste dispozitii pot stabili mai precis cerinte specifice pentru prelucrarea datelor cu caracter personal de catre respectivele autoritati competente in aceste alte scopuri, tinand seama de structura constitutionala, organizatorica si administrativa a statului membru in cauza. Atunci cand prelucrarea de date cu caracter personal de catre organisme private face obiectul prezentului regulament, prezentul regulament ar trebui sa prevada posibilitatea ca statele membre, in anumite conditii, sa impuna prin lege restrictii asupra anumitor obligatii si drepturi, in cazul in care asemenea restrictii constituie o masura necesara si proportionala intr-o societate democratica in scopul garantarii unor interese specifice importante, printre care se numara siguranta publica si prevenirea, investigarea, depistarea si urmarirea penala a infractiunilor sau executarea pedepselor, inclusiv protejarea impotriva amenintarilor la adresa sigurantei publice si prevenirea acestora. Acest lucru este relevant, de exemplu, in cadrul combaterii spalarii de bani sau al activitatilor laboratoarelor criminalistice.
(20) Desi prezentul regulament se aplica, inter alia, activitatilor instantelor si ale altor autoritati judiciare, dreptul Uniunii sau al statelor membre ar putea sa precizeze operatiunile si procedurile de prelucrare in ceea ce priveste prelucrarea datelor cu caracter personal de catre instante si alte autoritati judiciare. Prelucrarea datelor cu caracter personal nu ar trebui sa fie de competenta autoritatilor de supraveghere in cazul in care instantele isi exercita atributiile judiciare, in scopul garantarii independentei sistemului judiciar in indeplinirea sarcinilor sale judiciare, inclusiv in luarea deciziilor. Supravegherea unor astfel de operatiuni de prelucrare a datelor ar trebui sa poata fi incredintata unor organisme specifice din cadrul sistemului judiciar al statului membru, care ar trebui sa asigure in special respectarea normelor prevazute de prezentul regulament, sa sensibilizeze membrii sistemului judiciar cu privire la obligatiile care le revin in temeiul prezentului regulament si sa trateze plangerile in legatura cu astfel de operatiuni de prelucrare a datelor.
(21) Prezentul regulament nu aduce atingere aplicarii Directivei 2000/31/CE a Parlamentului European si a Consiliului (8), in special normelor privind raspunderea furnizorilor intermediari de servicii prevazute la articolele 12-15 din directiva mentionata. Respectiva directiva isi propune sa contribuie la buna functionare a pietei interne, prin asigurarea liberei circulatii a serviciilor societatii informationale intre statele membre.
(22) Orice prelucrare a datelor cu caracter personal in cadrul activitatilor unui sediu al unui operator sau al unei persoane imputernicite de operator din Uniune ar trebui efectuata in conformitate cu prezentul regulament, indiferent daca procesul de prelucrare in sine are loc sau nu in cadrul Uniunii. Sediul implica exercitarea efectiva si reala a unei activitati in cadrul unor intelegeri stabile. Forma juridica a unor astfel de intelegeri, prin intermediul unei sucursale sau al unei filiale cu personalitate juridica, nu este factorul determinant in aceasta privinta.
(23) Pentru a se asigura ca persoanele fizice nu sunt lipsite de protectia la care au dreptul in temeiul prezentului regulament, prelucrarea datelor cu caracter personal ale persoanelor vizate care se afla pe teritoriul Uniunii de catre un operator sau o persoana imputernicita de acesta care nu isi are sediul in Uniune ar trebui sa faca obiectul prezentului regulament in cazul in care activitatile de prelucrare au legatura cu oferirea de bunuri sau servicii unor astfel de persoane vizate, indiferent daca acestea sunt sau nu legate de o plata. Pentru a determina daca un astfel de operator sau o astfel de persoana imputernicita de operator ofera bunuri sau servicii unor persoane vizate care se afla pe teritoriul Uniunii, ar trebui sa se stabileasca daca reiese ca operatorul sau persoana imputernicita de operator intentioneaza sa furnizeze servicii persoanelor vizate din unul sau mai multe state membre din Uniune. Intrucat simplul fapt ca exista acces la un site al operatorului, al persoanei imputernicite de operator sau al unui intermediar in Uniune, ca este disponibila o adresa de e-mail si alte date de contact sau ca este utilizata o limba folosita in general in tara terta in care operatorul isi are sediul este insuficient pentru a confirma o astfel de intentie, factori precum utilizarea unei limbi sau a unei monede utilizate in general in unul sau mai multe state membre cu posibilitatea de a comanda bunuri si servicii in respectiva limba sau mentionarea unor clienti sau utilizatori care se afla pe teritoriul Uniunii pot conduce la concluzia ca operatorul intentioneaza sa ofere bunuri sau servicii unor persoane vizate in Uniune.
(24) Prelucrarea datelor cu caracter personal ale persoanelor vizate care se afla pe teritoriul Uniunii de catre un operator sau o persoana imputernicita de acesta care nu isi are sediul in Uniune ar trebui, de asemenea, sa faca obiectul prezentului regulament in cazul in care este legata de monitorizarea comportamentului unor astfel de persoane vizate, in masura in care acest comportament se manifesta pe teritoriul Uniunii. Pentru a se determina daca o activitate de prelucrare poate fi considerata ca „monitorizare a comportamentului„ persoanelor vizate, ar trebui sa se stabileasca daca persoanele fizice sunt urmarite pe internet, inclusiv posibila utilizare ulterioara a unor tehnici de prelucrare a datelor cu caracter personal care constau in crearea unui profil al unei persoane fizice, in special in scopul de a lua decizii cu privire la aceasta sau de a analiza sau de a face previziuni referitoare la preferintele personale, comportamentele si atitudinile acesteia.
(25) In cazul in care dreptul unui stat membru se aplica in temeiul dreptului international public, prezentul regulament ar trebui sa se aplice, de asemenea, unui operator care nu este stabilit in Uniune, ci, de exemplu, intr-o misiune diplomatica sau intr-un oficiu consular al unui stat membru.
(26) Principiile protectiei datelor ar trebui sa se aplice oricarei informatii referitoare la o persoana fizica identificata sau identificabila. Datele cu caracter personal care au fost supuse pseudonimizarii, care ar putea fi atribuite unei persoane fizice prin utilizarea de informatii suplimentare, ar trebui considerate informatii referitoare la o persoana fizica identificabila. Pentru a se determina daca o persoana fizica este identificabila, ar trebui sa se ia in considerare toate mijloacele, cum ar fi individualizarea, pe care este probabil, in mod rezonabil, sa le utilizeze fie operatorul, fie o alta persoana, in scopul identificarii, in mod direct sau indirect, a persoanei fizice respective. Pentru a se determina daca este probabil, in mod rezonabil, sa fie utilizate mijloace pentru identificarea persoanei fizice, ar trebui luati in considerare toti factorii obiectivi, precum costurile si intervalul de timp necesare pentru identificare, tinandu-se seama atat de tehnologia disponibila la momentul prelucrarii, cat si de dezvoltarea tehnologica. Principiile protectiei datelor ar trebui, prin urmare, sa nu se aplice informatiilor anonime, adica informatiilor care nu sunt legate de o persoana fizica identificata sau identificabila sau datelor cu caracter personal care sunt anonimizate astfel incat persoana vizata nu este sau nu mai este identificabila. Prin urmare, prezentul regulament nu se aplica prelucrarii unor astfel de informatii anonime, inclusiv in cazul in care acestea sunt utilizate in scopuri statistice sau de cercetare.
(27) Prezentul regulament nu se aplica datelor cu caracter personal referitoare la persoane decedate. Statele membre pot sa prevada norme privind prelucrarea datelor cu caracter personal referitoare la persoane decedate.
(28) Aplicarea pseudonimizarii datelor cu caracter personal poate reduce riscurile pentru persoanele vizate si poate ajuta operatorii si persoanele imputernicite de acestia sa isi indeplineasca obligatiile de protectie a datelor. Introducerea explicita a conceptului de „pseudonimizare„ in prezentul regulament nu este destinata sa impiedice alte eventuale masuri de protectie a datelor.
(29) Pentru a crea stimulente pentru aplicarea pseudonimizarii atunci cand sunt prelucrate date cu caracter personal, ar trebui sa fie posibile masuri de pseudonimizare, permitand in acelasi timp analiza generala, in cadrul aceluiasi operator atunci cand operatorul a luat masurile tehnice si organizatorice necesare pentru a se asigura ca prezentul regulament este pus in aplicare in ceea ce priveste respectiva prelucrare a datelor si ca informatiile suplimentare pentru atribuirea datelor cu caracter personal unei anumite persoane vizate sunt pastrate separat. Operatorul care prelucreaza datele cu caracter personal ar trebui sa indice persoanele autorizate din cadrul aceluiasi operator.
(30) Persoanele fizice pot fi asociate cu identificatorii online furnizati de dispozitivele, aplicatiile, instrumentele si protocoalele lor, cum ar fi adresele IP, identificatorii cookie sau alti identificatori precum etichetele de identificare prin frecvente radio. Acestia pot lasa urme care, in special atunci cand sunt combinate cu identificatori unici si alte informatii primite de servere, pot fi utilizate pentru crearea de profiluri ale persoanelor fizice si pentru identificarea lor.
(31) Autoritatile publice carora le sunt divulgate date cu caracter personal in conformitate cu o obligatie legala in vederea exercitarii functiei lor oficiale, cum ar fi autoritatile fiscale si vamale, unitatile de investigare financiara, autoritatile administrative independente sau autoritatile pietelor financiare responsabile de reglementarea si supravegherea pietelor titlurilor de valoare, nu ar trebui sa fie considerate destinatari in cazul in care primesc date cu caracter personal care sunt necesare pentru efectuarea unei anumite anchete de interes general, in conformitate cu dreptul Uniunii sau cel al statelor membre. Cererile de divulgare trimise de autoritatile publice ar trebui sa fie intotdeauna prezentate in scris, motivate si ocazionale si nu ar trebui sa se refere la un sistem de evidenta in totalitate sau sa conduca la interconectarea sistemelor de evidenta. Prelucrarea datelor cu caracter personal de catre autoritatile publice respective ar trebui sa respecte normele aplicabile in materie de protectie a datelor in conformitate cu scopurile prelucrarii.
(32) Consimtamantul ar trebui acordat printr-o actiune neechivoca care sa constituie o manifestare liber exprimata, specifica, in cunostinta de cauza si clara a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, ca de exemplu o declaratie facuta in scris, inclusiv in format electronic, sau verbal. Acesta ar putea include bifarea unei casute atunci cand persoana viziteaza un site, alegerea parametrilor tehnici pentru serviciile societatii informationale sau orice alta declaratie sau actiune care indica in mod clar in acest context acceptarea de catre persoana vizata a prelucrarii propuse a datelor sale cu caracter personal. Prin urmare, absenta unui raspuns, casutele bifate in prealabil sau absenta unei actiuni nu ar trebui sa constituie un consimtamant. Consimtamantul ar trebui sa vizeze toate activitatile de prelucrare efectuate in acelasi scop sau in aceleasi scopuri. Daca prelucrarea datelor se face in mai multe scopuri, consimtamantul ar trebui dat pentru toate scopurile prelucrarii. In cazul in care consimtamantul persoanei vizate trebuie acordat in urma unei cereri transmise pe cale electronica, cererea respectiva trebuie sa fie clara si concisa si sa nu perturbe in mod inutil utilizarea serviciului pentru care se acorda consimtamantul.
(33) Adesea nu este posibil, in momentul colectarii datelor cu caracter personal, sa se identifice pe deplin scopul prelucrarii datelor in scopuri de cercetare stiintifica. Din acest motiv, persoanelor vizate ar trebui sa li se permita sa isi exprime consimtamantul pentru anumite domenii ale cercetarii stiintifice atunci cand sunt respectate standardele etice recunoscute pentru cercetarea stiintifica. Persoanele vizate ar trebui sa aiba posibilitatea de a-si exprima consimtamantul doar pentru anumite domenii de cercetare sau parti ale proiectelor de cercetare in masura permisa de scopul preconizat.
(34) Datele genetice ar trebui definite drept date cu caracter personal referitoare la caracteristicile genetice mostenite sau dobandite ale unei persoane fizice, care rezulta in urma unei analize a unei mostre de material biologic al persoanei fizice in cauza, in special a unei analize cromozomiale, a unei analize a acidului dezoxiribonucleic (ADN) sau a acidului ribonucleic (ARN) sau a unei analize a oricarui alt element ce permite obtinerea unor informatii echivalente.
(35) Datele cu caracter personal privind sanatatea ar trebui sa includa toate datele avand legatura cu starea de sanatate a persoanei vizate care dezvaluie informatii despre starea de sanatate fizica sau mentala trecuta, prezenta sau viitoare a persoanei vizate. Acestea includ informatii despre persoana fizica colectate in cadrul inscrierii acesteia la serviciile de asistenta medicala sau in cadrul acordarii serviciilor respective persoanei fizice in cauza, astfel cum sunt mentionate in Directiva 2011/24/UE a Parlamentului European si a Consiliului (9); un numar, un simbol sau un semn distinctiv atribuit unei persoane fizice pentru identificarea singulara a acesteia in scopuri medicale; informatii rezultate din testarea sau examinarea unei parti a corpului sau a unei substante corporale, inclusiv din date genetice si esantioane de material biologic; precum si orice informatii privind, de exemplu, o boala, un handicap, un risc de imbolnavire, istoricul medical, tratamentul clinic sau starea fiziologica sau biomedicala a persoanei vizate, indiferent de sursa acestora, ca de exemplu, un medic sau un alt cadru medical, un spital, un dispozitiv medical sau un test de diagnostic in vitro.
(36) Sediul principal al unui operator in Uniune ar trebui sa fie locul in care se afla administratia centrala a acestuia in Uniune, cu exceptia cazului in care deciziile privind scopurile si mijloacele de prelucrare a datelor cu caracter personal se iau intr-un alt sediu al operatorului in Uniune. In acest caz, acesta din urma ar trebui considerat drept sediul principal. Sediul principal al unui operator in Uniune ar trebui sa fie determinat conform unor criterii obiective si ar trebui sa implice exercitarea efectiva si reala a unor activitati de gestionare care sa determine principalele decizii cu privire la scopurile si mijloacele de prelucrare in cadrul unor intelegeri stabile. Acest criteriu nu ar trebui sa depinda de realizarea prelucrarii datelor cu caracter personal in locul respectiv. Prezenta si utilizarea mijloacelor tehnice si a tehnologiilor de prelucrare a datelor cu caracter personal sau activitatile de prelucrare nu constituie un sediu principal si, prin urmare, nu sunt criteriul determinant in acest sens. Sediul principal al persoanei imputernicite de operator ar trebui sa fie locul in care se afla administratia centrala a acestuia in Uniune sau, in cazul in care nu are o administratie centrala in Uniune, locul in care se desfasoara principalele activitati de prelucrare in Uniune. In cazurile care implica atat operatorul, cat si persoana imputernicita de operator, autoritatea de supraveghere principala competenta ar trebui sa ramana autoritatea de supraveghere a statului membru in care operatorul isi are sediul principal, dar autoritatea de supraveghere a persoanei imputernicite de operator ar trebui considerata ca fiind o autoritate de supraveghere vizata si acea autoritate de supraveghere ar trebui sa participe la procedura de cooperare prevazuta de prezentul regulament. In orice caz, autoritatile de supraveghere ale statului membru sau ale statelor membre in care persoana imputernicita de operator are unul sau mai multe sedii nu ar trebui considerate ca fiind autoritati de supraveghere vizate in cazul in care proiectul de decizie nu se refera decat la operator. In cazul in care prelucrarea este efectuata de un grup de intreprinderi, sediul principal al intreprinderii care exercita controlul ar trebui considerat drept sediul principal al grupului de intreprinderi, cu exceptia cazului in care scopurile si mijloacele aferente prelucrarii sunt stabilite de o alta intreprindere.
(37) Un grup de intreprinderi ar trebui sa cuprinda o intreprindere care exercita controlul si intreprinderile controlate de aceasta, in cadrul caruia intreprinderea care exercita controlul ar trebui sa fie intreprinderea care poate exercita o influenta dominanta asupra celorlalte intreprinderi, de exemplu in temeiul proprietatii, al participarii financiare sau al regulilor care o reglementeaza sau al competentei de a pune in aplicare norme in materie de protectie a datelor cu caracter personal. O intreprindere care controleaza prelucrarea datelor cu caracter personal in intreprinderile sale afiliate ar trebui considerata, impreuna cu acestea din urma, drept „grup de intreprinderi„.
(38) Copiii au nevoie de o protectie specifica a datelor lor cu caracter personal, intrucat pot fi mai putin constienti de riscurile, consecintele, garantiile in cauza si drepturile lor in ceea ce priveste prelucrarea datelor cu caracter personal. Aceasta protectie specifica ar trebui sa se aplice in special utilizarii datelor cu caracter personal ale copiilor in scopuri de marketing sau pentru crearea de profiluri de personalitate sau de utilizator si la colectarea datelor cu caracter personal privind copiii in momentul utilizarii serviciilor oferite direct copiilor. Consimtamantul titularului raspunderii parintesti nu ar trebui sa fie necesar in contextul serviciilor de prevenire sau consiliere oferite direct copiilor.
(39) Orice prelucrare de date cu caracter personal ar trebui sa fie legala si echitabila. Ar trebui sa fie transparent pentru persoanele fizice ca sunt colectate, utilizate, consultate sau prelucrate in alt mod datele cu caracter personal care le privesc si in ce masura datele cu caracter personal sunt sau vor fi prelucrate. Principiul transparentei prevede ca orice informatii si comunicari referitoare la prelucrarea respectivelor date cu caracter personal sunt usor accesibile si usor de inteles si ca se utilizeaza un limbaj simplu si clar. Acest principiu se refera in special la informarea persoanelor vizate privind identitatea operatorului si scopurile prelucrarii, precum si la oferirea de informatii suplimentare, pentru a asigura o prelucrare echitabila si transparenta in ceea ce priveste persoanele fizice vizate si dreptul acestora de a li se confirma si comunica datele cu caracter personal care le privesc care sunt prelucrate. Persoanele fizice ar trebui informate cu privire la riscurile, normele, garantiile si drepturile in materie de prelucrare a datelor cu caracter personal si cu privire la modul in care sa isi exercite drepturile in legatura cu prelucrarea. In special, scopurile specifice in care datele cu caracter personal sunt prelucrate ar trebui sa fie explicite si legitime si sa fie determinate la momentul colectarii datelor respective. Datele cu caracter personal ar trebui sa fie adecvate, relevante si limitate la ceea ce este necesar pentru scopurile in care sunt prelucrate. Aceasta necesita, in special, asigurarea faptului ca perioada pentru care datele cu caracter personal sunt stocate este limitata strict la minimum. Datele cu caracter personal ar trebui prelucrate doar daca scopul prelucrarii nu poate fi indeplinit in mod rezonabil prin alte mijloace. In vederea asigurarii faptului ca datele cu caracter personal nu sunt pastrate mai mult timp decat este necesar, ar trebui sa se stabileasca de catre operator termene pentru stergere sau revizuirea periodica. Ar trebui sa fie luate toate masurile rezonabile pentru a se asigura ca datele cu caracter personal care sunt inexacte sunt rectificate sau sterse. Datele cu caracter personal ar trebui prelucrate intr-un mod care sa asigure in mod adecvat securitatea si confidentialitatea acestora, inclusiv in scopul prevenirii accesului neautorizat la acestea sau utilizarea neautorizata a datelor cu caracter personal si a echipamentului utilizat pentru prelucrare.
(40) Pentru ca prelucrarea datelor cu caracter personal sa fie legala, aceasta ar trebui efectuata pe baza consimtamantului persoanei vizate sau in temeiul unui alt motiv legitim, prevazut de lege, fie in prezentul regulament, fie in alt act din dreptul Uniunii sau din dreptul intern, dupa cum se prevede in prezentul regulament, inclusiv necesitatea respectarii obligatiilor legale la care este supus operatorul sau necesitatea de a executa un contract la care persoana vizata este parte sau pentru a parcurge etapele premergatoare incheierii unui contract, la solicitarea persoanei vizate.
(41) Ori de cate ori prezentul regulament face trimitere la un temei juridic sau la o masura legislativa, aceasta nu necesita neaparat un act legislativ adoptat de catre un parlament, fara a aduce atingere cerintelor care decurg din ordinea constitutionala a statului membru in cauza. Cu toate acestea, un astfel de temei juridic sau o astfel de masura legislativa ar trebui sa fie clara si precisa, iar aplicarea acesteia ar trebui sa fie previzibila pentru persoanele vizate de aceasta, in conformitate cu jurisprudenta Curtii de Justitie a Uniunii Europene („Curtea de Justitie„) si a Curtii Europene a Drepturilor Omului.
(42) In cazul in care prelucrarea se bazeaza pe consimtamantul persoanei vizate, operatorul ar trebui sa fie in masura sa demonstreze faptul ca persoana vizata si-a dat consimtamantul pentru operatiunea de prelucrare. In special, in contextul unei declaratii scrise cu privire la un alt aspect, garantiile ar trebui sa asigure ca persoana vizata este constienta de faptul ca si-a dat consimtamantul si in ce masura a facut acest lucru. In conformitate cu Directiva 93/13/CEE a Consiliului (10), ar trebui furnizata o declaratie de consimtamant formulata in prealabil de catre operator, intr-o forma inteligibila si usor accesibila, utilizand un limbaj clar si simplu, iar aceasta declaratie nu ar trebui sa contina clauze abuzive. Pentru ca acordarea consimtamantului sa fie in cunostinta de cauza, persoana vizata ar trebui sa fie la curent cel putin cu identitatea operatorului si cu scopurile prelucrarii pentru care sunt destinate datele cu caracter personal. Consimtamantul nu ar trebui considerat ca fiind acordat in mod liber daca persoana vizata nu dispune cu adevarat de libertatea de alegere sau nu este in masura sa refuze sau sa isi retraga consimtamantul fara a fi prejudiciata.
(43) Pentru a garanta faptul ca a fost acordat in mod liber, consimtamantul nu ar trebui sa constituie un temei juridic valabil pentru prelucrarea datelor cu caracter personal in cazul particular in care exista un dezechilibru evident intre persoana vizata si operator, in special in cazul in care operatorul este o autoritate publica, iar acest lucru face improbabila acordarea consimtamantului in mod liber in toate circumstantele aferente respectivei situatii particulare. Consimtamantul este considerat a nu fi acordat in mod liber in cazul in care aceasta nu permite sa se acorde consimtamantul separat pentru diferitele operatiuni de prelucrare a datelor cu caracter personal, desi acest lucru este adecvat in cazul particular, sau daca executarea unui contract, inclusiv furnizarea unui serviciu, este conditionata de consimtamant, in ciuda faptului ca consimtamantul in cauza nu este necesar pentru executarea contractului.
(44) Prelucrarea ar trebui sa fie considerata legala in cazul in care este necesara in cadrul unui contract sau in vederea incheierii unui contract.
(45) In cazul in care prelucrarea este efectuata in conformitate cu o obligatie legala a operatorului sau in cazul in care prelucrarea este necesara pentru indeplinirea unei sarcini care serveste unui interes public sau care face parte din exercitarea autoritatii publice, prelucrarea ar trebui sa aiba un temei in dreptul Uniunii sau in dreptul intern. Prezentul regulament nu impune existenta unei legi specifice pentru fiecare prelucrare in parte. Poate fi suficienta o singura lege drept temei pentru mai multe operatiuni de prelucrare efectuate in conformitate cu o obligatie legala a operatorului sau in cazul in care prelucrarea este necesara pentru indeplinirea unei sarcini care serveste unui interes public sau care face parte din exercitarea autoritatii publice. De asemenea, ar trebui ca scopul prelucrarii sa fie stabilit in dreptul Uniunii sau in dreptul intern. Mai mult decat atat, dreptul respectiv ar putea sa specifice conditiile generale ale prezentului regulament care reglementeaza legalitatea prelucrarii datelor cu caracter personal, sa determine specificatiile pentru stabilirea operatorului, a tipului de date cu caracter personal care fac obiectul prelucrarii, a persoanelor vizate, a entitatilor carora le pot fi divulgate datele cu caracter personal, a limitarilor in functie de scop, a perioadei de stocare si a altor masuri pentru a garanta o prelucrare legala si echitabila. De asemenea, ar trebui sa se stabileasca in dreptul Uniunii sau in dreptul intern daca operatorul care indeplineste o sarcina care serveste unui interes public sau care face parte din exercitarea autoritatii publice ar trebui sa fie o autoritate publica sau o alta persoana fizica sau juridica guvernata de dreptul public sau, atunci cand motive de interes public justifica acest lucru, inclusiv in scopuri medicale, precum sanatatea publica si protectia sociala, precum si gestionarea serviciilor de asistenta medicala, de dreptul privat, cum ar fi o asociatie profesionala.

(46) Prelucrarea datelor cu caracter personal ar trebui, de asemenea, sa fie considerata legala in cazul in care este necesara in scopul asigurarii protectiei unui interes care este esential pentru viata persoanei vizate sau pentru viata unei alte persoane fizice. Prelucrarea datelor cu caracter personal care are drept temei interesele vitale ale unei alte persoane fizice ar trebui efectuata numai in cazul in care prelucrarea nu se poate baza in mod evident pe un alt temei juridic. Unele tipuri de prelucrare pot servi atat unor motive importante de interes public, cat si intereselor vitale ale persoanei vizate, de exemplu in cazul in care prelucrarea este necesara in scopuri umanitare, inclusiv in vederea monitorizarii unei epidemii si a raspandirii acesteia sau in situatii de urgente umanitare, in special in situatii de dezastre naturale sau provocate de om.
(47) Interesele legitime ale unui operator, inclusiv cele ale unui operator caruia ii pot fi divulgate datele cu caracter personal sau ale unei terte parti, pot constitui un temei juridic pentru prelucrare, cu conditia sa nu prevaleze interesele sau drepturile si libertatile fundamentale ale persoanei vizate, luand in considerare asteptarile rezonabile ale persoanelor vizate bazate pe relatia acestora cu operatorul. Acest interes legitim ar putea exista, de exemplu, atunci cand exista o relatie relevanta si adecvata intre persoana vizata si operator, cum ar fi cazul in care persoana vizata este un client al operatorului sau se afla in serviciul acestuia. In orice caz, existenta unui interes legitim ar necesita o evaluare atenta, care sa stabileasca inclusiv daca o persoana vizata poate preconiza in mod rezonabil, in momentul si in contextul colectarii datelor cu caracter personal, posibilitatea prelucrarii in acest scop. Interesele si drepturile fundamentale ale persoanei vizate ar putea prevala in special in raport cu interesul operatorului de date atunci cand datele cu caracter personal sunt prelucrate in circumstante in care persoanele vizate nu preconizeaza in mod rezonabil o prelucrare ulterioara. Intrucat legiuitorul trebuie sa furnizeze temeiul juridic pentru prelucrarea datelor cu caracter personal de catre autoritatile publice, temeiul juridic respectiv nu ar trebui sa se aplice prelucrarii de catre autoritatile publice in indeplinirea sarcinilor care le revin. Prelucrarea de date cu caracter personal strict necesara in scopul prevenirii fraudelor constituie, de asemenea, un interes legitim al operatorului de date in cauza. Prelucrarea de date cu caracter personal care are drept scop marketingul direct poate fi considerata ca fiind desfasurata pentru un interes legitim.
(48) Operatorii care fac parte dintr-un grup de intreprinderi sau institutii afiliate unui organism central pot avea un interes legitim de a transmite date cu caracter personal in cadrul grupului de intreprinderi in scopuri administrative interne, inclusiv in scopul prelucrarii datelor cu caracter personal ale clientilor sau angajatilor. Principiile generale ale transferului de date cu caracter personal, in cadrul unui grup de intreprinderi, catre o intreprindere situata intr-o tara terta raman neschimbate.
(49) Prelucrarea datelor cu caracter personal in masura strict necesara si proportionala in scopul asigurarii securitatii retelelor si a informatiilor, si anume capacitatea unei retele sau a unui sistem de informatii de a face fata, la un anumit nivel de incredere, evenimentelor accidentale sau actiunilor ilegale sau rau intentionate care compromit disponibilitatea, autenticitatea, integritatea si confidentialitatea datelor cu caracter personal stocate sau transmise, precum si securitatea serviciilor conexe oferite de aceste retele si sisteme, sau accesibile prin intermediul acestora, de catre autoritatile publice, echipele de interventie in caz de urgenta informatica, echipele de interventie in cazul producerii unor incidente care afecteaza securitatea informatica, furnizorii de retele si servicii de comunicatii electronice, precum si de catre furnizorii de servicii si tehnologii de securitate, constituie un interes legitim al operatorului de date in cauza. Acesta ar putea include, de exemplu, prevenirea accesului neautorizat la retelele de comunicatii electronice si a difuzarii de coduri daunatoare si oprirea atacurilor de „blocare a serviciului„, precum si prevenirea daunelor aduse calculatoarelor si sistemelor de comunicatii electronice.
(50) Prelucrarea datelor cu caracter personal in alte scopuri decat scopurile pentru care datele cu caracter personal au fost initial colectate ar trebui sa fie permisa doar atunci cand prelucrarea este compatibila cu scopurile respective pentru care datele cu caracter personal au fost initial colectate. In acest caz nu este necesar un temei juridic separat de cel pe baza caruia a fost permisa colectarea datelor cu caracter personal. In cazul in care prelucrarea este necesara pentru indeplinirea unei sarcini care serveste unui interes public sau care rezulta din exercitarea autoritatii publice cu care este investit operatorul, dreptul Uniunii sau dreptul intern poate stabili si specifica sarcinile si scopurile pentru care prelucrarea ulterioara ar trebui considerata a fi compatibila si legala. Prelucrarea ulterioara in scopuri de arhivare in interes public, in scopuri de cercetare stiintifica sau istorica ori in scopuri statistice ar trebui considerata ca reprezentand operatiuni de prelucrare legale compatibile. Temeiul juridic prevazut in dreptul Uniunii sau in dreptul intern pentru prelucrarea datelor cu caracter personal poate constitui, de asemenea, un temei juridic pentru prelucrarea ulterioara. Pentru a stabili daca scopul prelucrarii ulterioare este compatibil cu scopul pentru care au fost colectate initial datele cu caracter personal, operatorul, dupa ce a indeplinit toate cerintele privind legalitatea prelucrarii initiale, ar trebui sa tina seama, printre altele, de orice legatura intre respectivele scopuri si scopurile prelucrarii ulterioare preconizate, de contextul in care au fost colectate datele cu caracter personal, in special de asteptarile rezonabile ale persoanelor vizate, bazate pe relatia lor cu operatorul, in ceea ce priveste utilizarea ulterioara a datelor, de natura datelor cu caracter personal, de consecintele prelucrarii ulterioare preconizate asupra persoanelor vizate, precum si de existenta garantiilor corespunzatoare atat in cadrul operatiunilor de prelucrare initiale, cat si