avand in vedere Tratatul privind functionarea Uniunii Europene, in special articolul 16,
avand in vedere propunerea Comisiei Europene, dupa transmiterea proiectului de act legislativ catre parlamentele nationale, avand in vedere avizul Comitetului Economic si Social European, avand in vedere avizul Comitetului Regiunilor, hotarand in conformitate cu procedura legislativa ordinara, intrucat: (1) Protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal este un drept fundamental. Articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene (``carta``) si articolul 16 alineatul (1) din Tratatul privind functionarea Uniunii Europene (TFUE) prevad dreptul oricarei persoane la protectia datelor cu caracter personal care o privesc. (2) Principiile si normele referitoare la protectia persoanelor fizice in ceea ce priveste prelucrarea datelor lor cu caracter personal ar trebui, indiferent de cetatenia sau de locul de resedinta al persoanelor fizice, sa respecte drepturile si libertatile fundamentale ale acestora, in special dreptul la protectia datelor cu caracter personal. Prezentul regulament urmareste sa contribuie la realizarea unui spatiu de libertate, securitate si justitie si a unei uniuni economice, la progresul economic si social, la consolidarea si convergenta economiilor in cadrul pietei interne si la bunastarea persoanelor fizice. (3) Directiva 95/46/CE a Parlamentului European si a Consiliului (4) vizeaza armonizarea nivelului de protectie a drepturilor si libertatilor fundamentale ale persoanelor fizice in ceea ce priveste activitatile de prelucrare si asigurarea liberei circulatii a datelor cu caracter personal intre statele membre. (4) Prelucrarea datelor cu caracter personal ar trebui sa fie in serviciul cetatenilor. Dreptul la protectia datelor cu caracter personal nu este un drept absolut; acesta trebuie luat in considerare in raport cu functia pe care o indeplineste in societate si echilibrat cu alte drepturi fundamentale, in conformitate cu principiul proportionalitatii. Prezentul regulament respecta toate drepturile fundamentale si libertatile si principiile recunoscute in carta astfel cum sunt consacrate in tratate, in special respectarea vietii private si de familie, a resedintei si a comunicatiilor, a protectiei datelor cu caracter personal, a libertatii de gandire, de constiinta si de religie, a libertatii de exprimare si de informare, a libertatii de a desfasura o activitate comerciala, dreptul la o cale de atac eficienta si la un proces echitabil, precum si diversitatea culturala, religioasa si lingvistica.
(5) Integrarea economica si sociala care rezulta din functionarea pietei interne a condus la o crestere substantiala a fluxurilor transfrontaliere de date cu caracter personal. Schimbul de date cu caracter personal intre actori publici si privati, inclusiv persoane fizice, asociatii si intreprinderi, s-a intensificat in intreaga Uniune. Conform dreptului Uniunii, autoritatile nationale din statele membre sunt chemate sa coopereze si sa faca schimb de date cu caracter personal pentru a putea sa isi indeplineasca atributiile sau sa execute sarcini in numele unei autoritati dintr-un alt stat membru. (6) Evolutiile tehnologice rapide si globalizarea au generat noi provocari pentru protectia datelor cu caracter personal. Amploarea colectarii si a schimbului de date cu caracter personal a crescut in mod semnificativ. Tehnologia permite atat societatilor private, cat si autoritatilor publice sa utilizeze date cu caracter personal la un nivel fara precedent in cadrul activitatilor lor. Din ce in ce mai mult, persoanele fizice fac publice la nivel mondial informatii cu caracter personal. Tehnologia a transformat deopotriva economia si viata sociala si ar trebui sa faciliteze in continuare libera circulatie a datelor cu caracter personal in cadrul Uniunii si transferul catre tari terte si organizatii internationale, asigurand, totodata, un nivel ridicat de protectie a datelor cu caracter personal. (7) Aceste evolutii impun un cadru solid si mai coerent in materie de protectie a datelor in Uniune, insotit de o aplicare riguroasa a normelor, luand in considerare importanta crearii unui climat de incredere care va permite economiei digitale sa se dezvolte pe piata interna. Persoanele fizice ar trebui sa aiba control asupra propriilor date cu caracter personal, iar securitatea juridica si practica pentru persoane fizice, operatori economici si autoritati publice ar trebui sa fie consolidata. (8) In cazul in care prezentul regulament prevede specificari sau restrictionari ale normelor sale de catre dreptul intern, statele membre pot, in masura in care acest lucru este necesar pentru coerenta si pentru a asigura intelegerea dispozitiilor nationale de catre persoanele carora li se aplica acestea, sa incorporeze elemente din prezentul regulament in dreptul lor intern. (9) Obiectivele si principiile Directivei 95/46/CE raman solide, dar aceasta nu a prevenit fragmentarea modului in care protectia datelor este pusa in aplicare in Uniune, insecuritatea juridica sau perceptia publica larg raspandita conform careia exista riscuri semnificative pentru protectia persoanelor fizice, in special in legatura cu activitatea online. Diferentele dintre nivelurile de protectie a drepturilor si libertatilor persoanelor fizice, in special a dreptului la protectia datelor cu caracter personal, in ceea ce priveste prelucrarea datelor cu caracter personal din statele membre pot impiedica libera circulatie a datelor cu caracter personal in intreaga Uniune. Aceste diferente pot constitui, prin urmare, un obstacol in desfasurarea de activitati economice la nivelul Uniunii, pot denatura concurenta si pot impiedica autoritatile sa indeplineasca responsabilitatile care le revin in temeiul dreptului Uniunii. Aceasta diferenta intre nivelurile de protectie este cauzata de existenta unor deosebiri in ceea ce priveste transpunerea si aplicarea Directivei 95/46/CE. (10) Pentru a se asigura un nivel consecvent si ridicat de protectie a persoanelor fizice si pentru a se indeparta obstacolele din calea circulatiei datelor cu caracter personal in cadrul Uniunii, nivelul protectiei drepturilor si libertatilor persoanelor fizice in ceea ce priveste prelucrarea unor astfel de date ar trebui sa fie echivalent in toate statele membre. Aplicarea consecventa si omogena a normelor in materie de protectie a drepturilor si libertatilor fundamentale ale persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal ar trebui sa fie asigurata in intreaga Uniune. In ceea ce priveste prelucrarea datelor cu caracter personal in vederea respectarii unei obligatii legale, a indeplinirii unei sarcini care serveste unui interes public sau care rezulta din exercitarea autoritatii publice cu care este investit operatorul, statelor membre ar trebui sa li se permita sa mentina sau sa introduca dispozitii de drept intern care sa clarifice intr-o mai mare masura aplicarea normelor prezentului regulament. In coroborare cu legislatia generala si orizontala privind protectia datelor, prin care este pusa in aplicare Directiva 95/46/CE, statele membre au mai multe legi sectoriale specifice in domenii care necesita dispozitii mai precise. Prezentul regulament ofera, de asemenea, statelor membre o marja de manevra in specificarea normelor sale, inclusiv in ceea ce priveste prelucrarea categoriilor speciale de date cu caracter personal (``date sensibile``). In acest sens, prezentul regulament nu exclude dreptul statelor membre care stabileste circumstantele aferente unor situatii de prelucrare specifice, inclusiv stabilirea cu o mai mare precizie a conditiilor in care prelucrarea datelor cu caracter personal este legala. (11) Protectia efectiva a datelor cu caracter personal in intreaga Uniune necesita nu numai consolidarea si stabilirea in detaliu a drepturilor persoanelor vizate si a obligatiilor celor care prelucreaza si decid prelucrarea datelor cu caracter personal, ci si competente echivalente pentru monitorizarea si asigurarea conformitatii cu normele de protectie a datelor cu caracter personal si sanctiuni echivalente pentru infractiuni in statele membre. (12) Articolul 16 alineatul (2) din TFUE mandateaza Parlamentul European si Consiliul sa stabileasca normele privind protectia persoanelor fizice referitor la prelucrarea datelor cu caracter personal, precum si normele privind libera circulatie a acestor date . (13) In vederea asigurarii unui nivel uniform de protectie pentru persoanele fizice in intreaga Uniune si a preintampinarii discrepantelor care impiedica libera circulatie a datelor in cadrul pietei interne, este necesar un regulament in scopul de a furniza securitate juridica si transparenta pentru operatorii economici, inclusiv microintreprinderi si intreprinderi mici si mijlocii, precum si de a oferi persoanelor fizice in toate statele membre acelasi nivel de drepturi, obligatii si responsabilitati opozabile din punct de vedere juridic pentru operatori si persoanele imputernicite de acestia, pentru a se asigura o monitorizare coerenta a prelucrarii datelor cu caracter personal, sanctiuni echivalente in toate statele membre, precum si cooperarea eficace a autoritatilor de supraveghere ale diferitelor state membre. Pentru buna functionare a pietei interne este necesar ca libera circulatie a datelor cu caracter personal in cadrul Uniunii sa nu fie restrictionata sau interzisa din motive legate de protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal. Pentru a se lua in considerare situatia specifica a microintreprinderilor si a intreprinderilor mici si mijlocii, prezentul regulament include o derogare pentru organizatiile cu mai putin de 250 de angajati in ceea ce priveste pastrarea evidentelor. In plus, institutiile si organele Uniunii si statele membre si autoritatile lor de supraveghere sunt incurajate sa ia in considerare necesitatile specifice ale microintreprinderilor si ale intreprinderilor mici si mijlocii in aplicarea prezentului regulament. Notiunea de microintreprinderi si de intreprinderi mici si mijlocii ar trebui sa se bazeze pe articolul 2 din anexa la Recomandarea 2003/361/CE a Comisiei (5).
(14) Protectia conferita de prezentul regulament ar trebui sa vizeze persoanele fizice, indiferent de cetatenia sau de locul de resedinta al acestora, in ceea ce priveste prelucrarea datelor cu caracter personal ale acestora. Prezentul regulament nu se aplica prelucrarii datelor cu caracter personal care privesc persoane juridice si, in special, intreprinderi cu personalitate juridica, inclusiv numele si tipul de persoana juridica si datele de contact ale persoanei juridice. (15) Pentru a preveni aparitia unui risc major de eludare, protectia persoanelor fizice ar trebui sa fie neutra din punct de vedere tehnologic si sa nu depinda de tehnologiile utilizate. Protectia persoanelor fizice ar trebui sa se aplice prelucrarii datelor cu caracter personal prin mijloace automatizate, precum si prelucrarii manuale, in cazul in care datele cu caracter personal sunt cuprinse sau destinate sa fie cuprinse intr-un sistem de evidenta . Dosarele sau seturile de dosare, precum si copertele acestora, care nu sunt structurate in conformitate cu criterii specificenu ar trebui sa intre in domeniul de aplicare al prezentului regulament. (16) Prezentul regulament nu se aplica chestiunilor de protectie a drepturilor si libertatilor fundamentale sau la libera circulatie a datelor cu caracter personal referitoare la activitati care nu intra in domeniul de aplicare al dreptului Uniunii, de exemplu activitatile privind securitatea nationala. Prezentul regulament nu se aplica prelucrarii datelor cu caracter personal de catre statele membre atunci cand acestea desfasoara activitati legate de politica externa si de securitatea comuna a Uniunii. (17) Regulamentul (CE) nr. 45/2001 al Parlamentului European si al Consiliului (6) se aplica prelucrarii de date cu caracter personal de catre institutiile, organele, oficiile si agentiile Uniunii. Regulamentul (CE) nr. 45/2001 si alte acte juridice ale Uniunii aplicabile unei asemenea prelucrari a datelor cu caracter personal ar trebui adaptate la principiile si normele stabilite in prezentul regulament si aplicate in conformitate cu prezentul regulament. In vederea asigurarii unui cadru solid si coerent in materie de protectie a datelor in Uniune, ar trebui ca dupa adoptarea prezentului regulament sa se aduca Regulamentului (CE) nr. 45/2001 adaptarile necesare, astfel incat acestea sa poata fi aplicate odata cu prezentul regulament. (18) Prezentul regulament nu se aplica prelucrarii datelor cu caracter personal de catre o persoana fizica in cadrul unei activitati exclusiv personale sau domestice si care, prin urmare, nu are legatura cu o activitate profesionala sau comerciala. Activitatile personale sau domestice ar putea include corespondenta si repertoriul de adrese sau activitatile din cadrul retelelor sociale si activitatile online desfasurate in contextul respectivelor activitati . Cu toate acestea, prezentul regulament se aplica operatorilor sau persoanelor imputernicite de operatori care furnizeaza mijloacele de prelucrare a datelor cu caracter personal pentru astfel de activitati personale sau domestice. (19) Protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal de catre autoritatile competente in scopul prevenirii, investigarii, depistarii sau urmaririi penale a infractiunilor sau al executarii pedepselor, inclusiv al protejarii impotriva amenintarilor la adresa sigurantei publice si al prevenirii acestora, precum si libera circulatie a acestor date, face obiectul unui act juridic specific al Uniunii. Prin urmare, prezentul regulament nu ar trebui sa se aplice activitatilor de prelucrare in aceste scopuri . Cu toate acestea, datele cu caracter personal prelucrate de catre autoritatile publice in temeiul prezentului regulament, atunci cand sunt utilizate in aceste scopuri, ar trebui sa fie reglementate printr-un act juridic mai specific al Uniunii, si anume Directiva (UE) 2016/680 a Parlamentului European si a Consiliului (7). Statele membre pot incredinta autoritatilor competente in sensul Directivei (UE) 2016/680 sarcini care nu sunt neaparat indeplinite in scopul prevenirii, investigarii, depistarii sau urmaririi penale a infractiunilor sau al executarii pedepselor, inclusiv al protejarii impotriva amenintarilor la adresa sigurantei publice si al prevenirii acestora, astfel incat prelucrarea datelor cu caracter personal pentru alte scopuri, in masura in care se incadreaza in domeniul de aplicare al dreptului Uniunii, sa intre in domeniul de aplicare al prezentului regulament. In ceea ce priveste prelucrarea datelor cu caracter personal de catre aceste autoritati competente in scopuri care intra in domeniul de aplicare al prezentului regulament, statele membre ar trebui sa poata mentine sau introduce dispozitii mai detaliate pentru a adapta aplicarea normelor din prezentul regulament. Aceste dispozitii pot stabili mai precis cerinte specifice pentru prelucrarea datelor cu caracter personal de catre respectivele autoritati competente in aceste alte scopuri, tinand seama de structura constitutionala, organizatorica si administrativa a statului membru in cauza. Atunci cand prelucrarea de date cu caracter personal de catre organisme private face obiectul prezentului regulament, prezentul regulament ar trebui sa prevada posibilitatea ca statele membre, in anumite conditii, sa impuna prin lege restrictii asupra anumitor obligatii si drepturi, in cazul in care asemenea restrictii constituie o masura necesara si proportionala intr-o societate democratica in scopul garantarii unor interese specifice importante, printre care se numara siguranta publica si prevenirea, investigarea, depistarea si urmarirea penala a infractiunilor sau executarea pedepselor, inclusiv protejarea impotriva amenintarilor la adresa sigurantei publice si prevenirea acestora. Acest lucru este relevant, de exemplu, in cadrul combaterii spalarii de bani sau al activitatilor laboratoarelor criminalistice. (20) Desi prezentul regulament se aplica, inter alia, activitatilor instantelor si ale altor autoritati judiciare, dreptul Uniunii sau al statelor membre ar putea sa precizeze operatiunile si procedurile de prelucrare in ceea ce priveste prelucrarea datelor cu caracter personal de catre instante si alte autoritati judiciare. Prelucrarea datelor cu caracter personal nu ar trebui sa fie de competenta autoritatilor de supraveghere in cazul in care instantele isi exercita atributiile judiciare, in scopul garantarii independentei sistemului judiciar in indeplinirea sarcinilor sale judiciare, inclusiv in luarea deciziilor. Supravegherea unor astfel de operatiuni de prelucrare a datelor ar trebui sa poata fi incredintata unor organisme specifice din cadrul sistemului judiciar al statului membru, care ar trebui sa asigure in special respectarea normelor prevazute de prezentul regulament, sa sensibilizeze membrii sistemului judiciar cu privire la obligatiile care le revin in temeiul prezentului regulament si sa trateze plangerile in legatura cu astfel de operatiuni de prelucrare a datelor. (21) Prezentul regulament nu aduce atingere aplicarii Directivei 2000/31/CE a Parlamentului European si a Consiliului (8), in special normelor privind raspunderea furnizorilor intermediari de servicii prevazute la articolele 12-15 din directiva mentionata. Respectiva directiva isi propune sa contribuie la buna functionare a pietei interne, prin asigurarea liberei circulatii a serviciilor societatii informationale intre statele membre. (22) Orice prelucrare a datelor cu caracter personal in cadrul activitatilor unui sediu al unui operator sau al unei persoane imputernicite de operator din Uniune ar trebui efectuata in conformitate cu prezentul regulament, indiferent daca procesul de prelucrare in sine are loc sau nu in cadrul Uniunii. Sediul implica exercitarea efectiva si reala a unei activitati in cadrul unor intelegeri stabile. Forma juridica a unor astfel de intelegeri, prin intermediul unei sucursale sau al unei filiale cu personalitate juridica, nu este factorul determinant in aceasta privinta. (23) Pentru a se asigura ca persoanele fizice nu sunt lipsite de protectia la care au dreptul in temeiul prezentului regulament, prelucrarea datelor cu caracter personal ale persoanelor vizate care se afla pe teritoriul Uniunii de catre un operator sau o persoana imputernicita de acesta care nu isi are sediul in Uniune ar trebui sa faca obiectul prezentului regulament in cazul in care activitatile de prelucrare au legatura cu oferirea de bunuri sau servicii unor astfel de persoane vizate, indiferent daca acestea sunt sau nu legate de o plata . Pentru a determina daca un astfel de operator sau o astfel de persoana imputernicita de operator ofera bunuri sau servicii unor persoane vizate care se afla pe teritoriul Uniunii, ar trebui sa se stabileasca daca reiese ca operatorul sau persoana imputernicita de operator intentioneaza sa furnizeze servicii persoanelor vizate din unul sau mai multe state membre din Uniune. Intrucat simplul fapt ca exista acces la un site al operatorului, al persoanei imputernicite de operator sau al unui intermediar in Uniune, ca este disponibila o adresa de e-mail si alte date de contact sau ca este utilizata o limba folosita in general in tara terta in care operatorul isi are sediul este insuficient pentru a confirma o astfel de intentie, factori precum utilizarea unei limbi sau a unei monede utilizate in general in unul sau mai multe state membre cu posibilitatea de a comanda bunuri si servicii in respectiva limba sau mentionarea unor clienti sau utilizatori care se afla pe teritoriul Uniunii pot conduce la concluzia ca operatorul intentioneaza sa ofere bunuri sau servicii unor persoane vizate in Uniune. (24) Prelucrarea datelor cu caracter personal ale persoanelor vizate care se afla pe teritoriul Uniunii de catre un operator sau o persoana imputernicita de acesta care nu isi are sediul in Uniune ar trebui, de asemenea, sa faca obiectul prezentului regulament in cazul in care este legata de monitorizarea comportamentului unor astfel de persoane vizate, in masura in care acest comportament se manifesta pe teritoriul Uniunii. Pentru a se determina daca o activitate de prelucrare poate fi considerata ca ``monitorizare a comportamentului`` persoanelor vizate, ar trebui sa se stabileasca daca persoanele fizice sunt urmarite pe internet, inclusiv posibila utilizare ulterioara a unor tehnici de prelucrare a datelor cu caracter personal care constau in crearea unui profil al unei persoane fizice, in special in scopul de a lua decizii cu privire la aceasta sau de a analiza sau de a face previziuni referitoare la preferintele personale, comportamentele si atitudinile acesteia. (25) In cazul in care dreptul unui stat membru se aplica in temeiul dreptului international public, prezentul regulament ar trebui sa se aplice, de asemenea, unui operator care nu este stabilit in Uniune, ci, de exemplu, intr-o misiune diplomatica sau intr-un oficiu consular al unui stat membru. (26) Principiile protectiei datelor ar trebui sa se aplice oricarei informatii referitoare la o persoana fizica identificata sau identificabila. Datele cu caracter personal care au fost supuse pseudonimizarii, care ar putea fi atribuite unei persoane fizice prin utilizarea de informatii suplimentare, ar trebui considerate informatii referitoare la o persoana fizica identificabila. Pentru a se determina daca o persoana fizica este identificabila, ar trebui sa se ia in considerare toate mijloacele, cum ar fi individualizarea, pe care este probabil, in mod rezonabil, sa le utilizeze fie operatorul, fie o alta persoana, in scopul identificarii, in mod direct sau indirect, a persoanei fizice respective. Pentru a se determina daca este probabil, in mod rezonabil, sa fie utilizate mijloace pentru identificarea persoanei fizice, ar trebui luati in considerare toti factorii obiectivi, precum costurile si intervalul de timp necesare pentru identificare, tinandu-se seama atat de tehnologia disponibila la momentul prelucrarii, cat si de dezvoltarea tehnologica. Principiile protectiei datelor ar trebui, prin urmare, sa nu se aplice informatiilor anonime, adica informatiilor care nu sunt legate de o persoana fizica identificata sau identificabila sau datelor cu caracter personal care sunt anonimizate astfel incat persoana vizata nu este sau nu mai este identificabila. Prin urmare, prezentul regulament nu se aplica prelucrarii unor astfel de informatii anonime, inclusiv in cazul in care acestea sunt utilizate in scopuri statistice sau de cercetare. (27) Prezentul regulament nu se aplica datelor cu caracter personal referitoare la persoane decedate. Statele membre pot sa prevada norme privind prelucrarea datelor cu caracter personal referitoare la persoane decedate. (28) Aplicarea pseudonimizarii datelor cu caracter personal poate reduce riscurile pentru persoanele vizate si poate ajuta operatorii si persoanele imputernicite de acestia sa isi indeplineasca obligatiile de protectie a datelor. Introducerea explicita a conceptului de ``pseudonimizare`` in prezentul regulament nu este destinata sa impiedice alte eventuale masuri de protectie a datelor. (29) Pentru a crea stimulente pentru aplicarea pseudonimizarii atunci cand sunt prelucrate date cu caracter personal, ar trebui sa fie posibile masuri de pseudonimizare, permitand in acelasi timp analiza generala, in cadrul aceluiasi operator atunci cand operatorul a luat masurile tehnice si organizatorice necesare pentru a se asigura ca prezentul regulament este pus in aplicare in ceea ce priveste respectiva prelucrare a datelor si ca informatiile suplimentare pentru atribuirea datelor cu caracter personal unei anumite persoane vizate sunt pastrate separat. Operatorul care prelucreaza datele cu caracter personal ar trebui sa indice persoanele autorizate din cadrul aceluiasi operator . (30) Persoanele fizice pot fi asociate cu identificatorii online furnizati de dispozitivele, aplicatiile, instrumentele si protocoalele lor, cum ar fi adresele IP, identificatorii cookie sau alti identificatori precum etichetele de identificare prin frecvente radio. Acestia pot lasa urme care, in special atunci cand sunt combinate cu identificatori unici si alte informatii primite de servere, pot fi utilizate pentru crearea de profiluri ale persoanelor fizice si pentru identificarea lor. (31) Autoritatile publice carora le sunt divulgate date cu caracter personal in conformitate cu o obligatie legala in vederea exercitarii functiei lor oficiale, cum ar fi autoritatile fiscale si vamale, unitatile de investigare financiara, autoritatile administrative independente sau autoritatile pietelor financiare responsabile de reglementarea si supravegherea pietelor titlurilor de valoare, nu ar trebui sa fie considerate destinatari in cazul in care primesc date cu caracter personal care sunt necesare pentru efectuarea unei anumite anchete de interes general, in conformitate cu dreptul Uniunii sau cel al statelor membre. Cererile de divulgare trimise de autoritatile publice ar trebui sa fie intotdeauna prezentate in scris, motivate si ocazionale si nu ar trebui sa se refere la un sistem de evidenta in totalitate sau sa conduca la interconectarea sistemelor de evidenta . Prelucrarea datelor cu caracter personal de catre autoritatile publice respective ar trebui sa respecte normele aplicabile in materie de protectie a datelor in conformitate cu scopurile prelucrarii. (32) Consimtamantul ar trebui acordat printr-o actiune neechivoca care sa constituie o manifestare liber exprimata, specifica, in cunostinta de cauza si clara a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, ca de exemplu o declaratie facuta in scris, inclusiv in format electronic, sau verbal. Acesta ar putea include bifarea unei casute atunci cand persoana viziteaza un site, alegerea parametrilor tehnici pentru serviciile societatii informationale sau orice alta declaratie sau actiune care indica in mod clar in acest context acceptarea de catre persoana vizata a prelucrarii propuse a datelor sale cu caracter personal. Prin urmare, absenta unui raspuns, casutele bifate in prealabil sau absenta unei actiuni nu ar trebui sa constituie un consimtamant. Consimtamantul ar trebui sa vizeze toate activitatile de prelucrare efectuate in acelasi scop sau in aceleasi scopuri . Daca prelucrarea datelor se face in mai multe scopuri, consimtamantul ar trebui dat pentru toate scopurile prelucrarii. In cazul in care consimtamantul persoanei vizate trebuie acordat in urma unei cereri transmise pe cale electronica, cererea respectiva trebuie sa fie clara si concisa si sa nu perturbe in mod inutil utilizarea serviciului pentru care se acorda consimtamantul. (33) Adesea nu este posibil, in momentul colectarii datelor cu caracter personal, sa se identifice pe deplin scopul prelucrarii datelor in scopuri de cercetare stiintifica. Din acest motiv, persoanelor vizate ar trebui sa li se permita sa isi exprime consimtamantul pentru anumite domenii ale cercetarii stiintifice atunci cand sunt respectate standardele etice recunoscute pentru cercetarea stiintifica. Persoanele vizate ar trebui sa aiba posibilitatea de a-si exprima consimtamantul doar pentru anumite domenii de cercetare sau parti ale proiectelor de cercetare in masura permisa de scopul preconizat. (34) Datele genetice ar trebui definite drept date cu caracter personal referitoare la caracteristicile genetice mostenite sau dobandite ale unei persoane fizice, care rezulta in urma unei analize a unei mostre de material biologic al persoanei fizice in cauza, in special a unei analize cromozomiale, a unei analize a acidului dezoxiribonucleic (ADN) sau a acidului ribonucleic (ARN) sau a unei analize a oricarui alt element ce permite obtinerea unor informatii echivalente. (35) Datele cu caracter personal privind sanatatea ar trebui sa includa toate datele avand legatura cu starea de sanatate a persoanei vizate care dezvaluie informatii despre starea de sanatate fizica sau mentala trecuta, prezenta sau viitoare a persoanei vizate. Acestea includ informatii despre persoana fizica colectate in cadrul inscrierii acesteia la serviciile de asistenta medicala sau in cadrul acordarii serviciilor respective persoanei fizice in cauza, astfel cum sunt mentionate in Directiva 2011/24/UE a Parlamentului European si a Consiliului (9); un numar, un simbol sau un semn distinctiv atribuit unei persoane fizice pentru identificarea singulara a acesteia in scopuri medicale; informatii rezultate din testarea sau examinarea unei parti a corpului sau a unei substante corporale, inclusiv din date genetice si esantioane de material biologic; precum si orice informatii privind, de exemplu, o boala, un handicap, un risc de imbolnavire, istoricul medical, tratamentul clinic sau starea fiziologica sau biomedicala a persoanei vizate, indiferent de sursa acestora, ca de exemplu, un medic sau un alt cadru medical, un spital, un dispozitiv medical sau un test de diagnostic in vitro. (36) Sediul principal al unui operator in Uniune ar trebui sa fie locul in care se afla administratia centrala a acestuia in Uniune, cu exceptia cazului in care deciziile privind scopurile si mijloacele de prelucrare a datelor cu caracter personal se iau intr-un alt sediu al operatorului in Uniune. In acest caz, acesta din urma ar trebui considerat drept sediul principal. Sediul principal al unui operator in Uniune ar trebui sa fie determinat conform unor criterii obiective si ar trebui sa implice exercitarea efectiva si reala a unor activitati de gestionare care sa determine principalele decizii cu privire la scopurile si mijloacele de prelucrare in cadrul unor intelegeri stabile. Acest criteriu nu ar trebui sa depinda de realizarea prelucrarii datelor cu caracter personal in locul respectiv. Prezenta si utilizarea mijloacelor tehnice si a tehnologiilor de prelucrare a datelor cu caracter personal sau activitatile de prelucrare nu constituie un sediu principal si, prin urmare, nu sunt criteriul determinant in acest sens. Sediul principal al persoanei imputernicite de operator ar trebui sa fie locul in care se afla administratia centrala a acestuia in Uniune sau, in cazul in care nu are o administratie centrala in Uniune, locul in care se desfasoara principalele activitati de prelucrare in Uniune. In cazurile care implica atat operatorul, cat si persoana imputernicita de operator, autoritatea de supraveghere principala competenta ar trebui sa ramana autoritatea de supraveghere a statului membru in care operatorul isi are sediul principal, dar autoritatea de supraveghere a persoanei imputernicite de operator ar trebui considerata ca fiind o autoritate de supraveghere vizata si acea autoritate de supraveghere ar trebui sa participe la procedura de cooperare prevazuta de prezentul regulament. In orice caz, autoritatile de supraveghere ale statului membru sau ale statelor membre in care persoana imputernicita de operator are unul sau mai multe sedii nu ar trebui considerate ca fiind autoritati de supraveghere vizate in cazul in care proiectul de decizie nu se refera decat la operator . In cazul in care prelucrarea este efectuata de un grup de intreprinderi, sediul principal al intreprinderii care exercita controlul ar trebui considerat drept sediul principal al grupului de intreprinderi, cu exceptia cazului in care scopurile si mijloacele aferente prelucrarii sunt stabilite de o alta intreprindere . (37) Un grup de intreprinderi ar trebui sa cuprinda o intreprindere care exercita controlul si intreprinderile controlate de aceasta, in cadrul caruia intreprinderea care exercita controlul ar trebui sa fie intreprinderea care poate exercita o influenta dominanta asupra celorlalte intreprinderi, de exemplu in temeiul proprietatii, al participarii financiare sau al regulilor care o reglementeaza sau al competentei de a pune in aplicare norme in materie de protectie a datelor cu caracter personal. O intreprindere care controleaza prelucrarea datelor cu caracter personal in intreprinderile sale afiliate ar trebui considerata, impreuna cu acestea din urma, drept ``grup de intreprinderi``.
Orice persoana are dreptul sa stie cui i-au fost comunicate datele sale personale Sursa: MCP Cabinet avocati
Incidenta Regulamentului GDPR in cazul difuzarii in direct prin videoconferinta a cursurilor de invatamant scolar Sursa: MCP Cabinet avocati
Simpla incalcare a Regulamentului GDPR nu constituie temeiul unui drept la despagubiri Sursa: MCP Cabinet avocati
Prelucrarea datelor minorilor, inclusiv a codului numeric personal, in contextul functionarii sistemului e-ticheting cu carduri Sursa: Raportul pe anul 2020 al ANSPDCP
Evaluarea salariatilor prin procese automate, aplicatii si platforme electornice Sursa: avocat Gales Iulian | MCP Cabinet avocati
Revocarea consimtamantului din perspectiva Regulamentulului general privind protectia datelor nr. 679/2016 Sursa: avocat STOICA IOANA, BAROUL CONSTANTA
Raspunderea operatorului de date cu caracter personal in cazul unui incident de securitate Sursa: avocat Irina Maria Diculescu | MCP Cabinet avocati