REGULAMENTUL (UE) 2016/679 (RGPD 2018) privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date

(80) Atunci cand un operator sau o persoana imputernicita de operator care nu este stabilita in Uniune prelucreaza date cu caracter personal ale unor persoane vizate care se afla pe teritoriul Uniunii, iar activitatile sale de prelucrare au legatura cu oferirea de bunuri sau servicii unor astfel de persoane vizate in Uniune, indiferent daca se solicita sau nu efectuarea unei plati de catre persoana vizata, sau cu monitorizarea comportamentului unor persoane vizate daca acesta se manifesta in cadrul Uniunii, operatorul sau persoana imputernicita de operator ar trebui sa desemneze un reprezentant, cu exceptia cazului in care prelucrarea are caracter ocazional, nu include prelucrarea pe scara larga a unor categorii speciale de date cu caracter personal si nici prelucrarea de date referitoare la condamnari penale si la infractiuni, si este putin susceptibila sa genereze un risc pentru drepturile si libertatile persoanelor fizice, avand in vedere natura, contextul, domeniul de aplicare si scopurile prelucrarii, precum si a cazului in care operatorul este o autoritate publica sau un organism public. Reprezentantul ar trebui sa actioneze in numele operatorului sau al persoanei imputernicite de operator, putand fi contactat de orice autoritate de supraveghere . Reprezentantul ar trebui desemnat in mod explicit, printr-un mandat scris al operatorului sau al persoanei imputernicite de operator, sa actioneze in numele acestuia (acesteia) in ceea ce priveste obligatiile lor in temeiul prezentului regulament. Desemnarea unui astfel de reprezentant nu aduce atingere responsabilitatii sau raspunderii operatorului sau a persoanei imputernicite de operator in temeiul prezentului regulament. Un astfel de reprezentant ar trebui sa isi indeplineasca sarcinile in conformitate cu mandatul primit de la operator sau de la persoana imputernicita de operator, inclusiv sa coopereze cu autoritatile de supraveghere competente in ceea ce priveste orice actiune intreprinsa pentru a asigura respectarea prezentului regulament. Reprezentantul desemnat ar trebui sa fie supus unor proceduri de asigurare a respectarii legii in cazul nerespectarii prezentului regulament de catre operator sau de catre persoana imputernicita de operator .
(81) Pentru a asigura respectarea cerintelor impuse de prezentul regulament in ceea ce priveste prelucrarea care trebuie efectuata in numele operatorului de catre persoana imputernicita de operator, atunci cand atribuie activitati de prelucrare unei persoane imputernicite de operator, acesta din urma ar trebui sa utilizeze numai persoane imputernicite care ofera garantii suficiente, in special in ceea ce priveste cunostintele de specialitate, fiabilitatea si resursele, pentru a implementa masuri tehnice si organizatorice care indeplinesc cerintele impuse de prezentul regulament, inclusiv pentru securitatea prelucrarii. Aderarea de catre persoana imputernicita de operator la un cod de conduita aprobat sau la un mecanism de certificare aprobat poate fi utilizata drept element care sa demonstreze respectarea obligatiilor de catre operator . Efectuarea prelucrarii de catre o persoana imputernicita de un operator ar trebui sa fie reglementata printr-un contract sau un alt tip de act juridic, in temeiul dreptului Uniunii sau al dreptului intern, care creeaza obligatii pentru persoana imputernicita de operator in raport cu operatorul si care stabileste obiectul si durata prelucrarii, natura si scopurile prelucrarii, tipul de date cu caracter personal si categoriile de persoane vizate, si ar trebui sa tina seama de sarcinile si responsabilitatile specifice ale persoanei imputernicite de operator in contextul prelucrarii care trebuie efectuata, precum si de riscul pentru drepturile si libertatile persoanei vizate. Operatorul si persoana imputernicita de operator pot alege sa utilizeze un contract individual sau clauze contractuale standard care sunt adoptate fie direct de Comisie, fie de o autoritate de supraveghere in conformitate cu mecanismul de asigurare a coerentei si apoi adoptate de Comisie. Dupa finalizarea prelucrarii in numele operatorului, persoana imputernicita de operator ar trebui sa returneze sau sa stearga, in functie de optiunea operatorului, datele cu caracter personal, cu exceptia cazului in care exista o cerinta de stocare a datelor cu caracter personal in temeiul dreptului Uniunii sau al dreptului intern care instituie obligatii pentru persoana imputernicita de operator .
(82) In vederea demonstrarii conformitatii cu prezentul regulament, operatorul sau persoana imputernicita de operator ar trebui sa pastreze evidente ale activitatilor de prelucrare aflate in responsabilitatea sa. Fiecare operator si fiecare persoana imputernicita de operator ar trebui sa aiba obligatia de a coopera cu autoritatea de supraveghere si de a pune la dispozitia acesteia, la cerere, aceste evidente, pentru a putea fi utilizate in scopul monitorizarii operatiunilor de prelucrare respective.

(83) In vederea mentinerii securitatii si a prevenirii prelucrarilor care incalca prezentul regulament, operatorul sau persoana imputernicita de operator ar trebui sa evalueze riscurile inerente prelucrarii si sa implementeze masuri pentru atenuarea acestor riscuri, cum ar fi criptarea. Masurile respective ar trebui sa asigure un nivel corespunzator de securitate, inclusiv confidentialitatea, luand in considerare stadiul actual al dezvoltarii si costurile implementarii in raport cu riscurile si cu natura datelor cu caracter personal a caror protectie trebuie asigurata. La evaluarea riscului pentru securitatea datelor cu caracter personal, ar trebui sa se acorde atentie riscurilor pe care le prezinta prelucrarea datelor, cum ar fi distrugerea, pierderea, modificarea, divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate in alt mod, in mod accidental sau ilegal, care pot duce in special la prejudicii fizice, materiale sau morale.
(84) Pentru a favoriza respectarea dispozitiilor prezentului regulament in cazurile in care operatiunile de prelucrare sunt susceptibile sa genereze un risc ridicat pentru drepturile si libertatile persoanelor fizice, operatorul ar trebui sa fie responsabil de efectuarea unei evaluari a impactului asupra protectiei datelor, care sa estimeze, in special, originea, natura, specificitatea si gravitatea acestui risc . Rezultatul evaluarii ar trebui luat in considerare la stabilirea masurilor adecvate care trebuie luate pentru a demonstra ca prelucrarea datelor cu caracter personal respecta prezentul regulament. In cazul in care o evaluare a impactului asupra protectiei datelor arata ca operatiunile de prelucrare implica un risc ridicat, pe care operatorul nu il poate atenua prin masuri adecvate sub aspectul tehnologiei disponibile si al costurilor implementarii, ar trebui sa aiba loc o consultare a autoritatii de supraveghere inainte de prelucrare .
(85) Daca nu este solutionata la timp si intr-un mod adecvat, o incalcare a securitatii datelor cu caracter personal poate conduce la prejudicii fizice, materiale sau morale aduse persoanelor fizice, cum ar fi pierderea controlului asupra datelor lor cu caracter personal sau limitarea drepturilor lor, discriminare, furt sau frauda de identitate, pierdere financiara, inversarea neautorizata a pseudonimizarii, compromiterea reputatiei, pierderea confidentialitatii datelor cu caracter personal protejate prin secret profesional sau orice alt dezavantaj semnificativ de natura economica sau sociala adus persoanei fizice in cauza. Prin urmare, de indata ce a luat cunostinta de producerea unei incalcari a securitatii datelor cu caracter personal, operatorul ar trebui sa notifice aceasta incalcare autoritatii de supraveghere, fara intarziere nejustificata si, daca este posibil, in cel mult 72 de ore dupa ce a luat la cunostinta de existenta acesteia, cu exceptia cazului in care operatorul este in masura sa demonstreze, in conformitate cu principiul responsabilitatii, ca incalcarea securitatii datelor cu caracter personal nu este susceptibila sa genereze un risc pentru drepturile si libertatile persoanelor fizice. Atunci cand notificarea nu se poate realiza in termen de 72 de ore, aceasta ar trebui sa cuprinda motivele intarzierii, iar informatiile pot fi furnizate treptat, fara alta intarziere.
(86) Operatorul ar trebui sa comunice persoanei vizate o incalcare a securitatii datelor cu caracter personal, fara intarzieri nejustificate, atunci cand incalcarea este susceptibila sa genereze un risc ridicat pentru drepturile si libertatile persoanei fizice, pentru a-i permite sa ia masurile de precautie necesare. Comunicarea ar trebui sa descrie natura incalcarii securitatii datelor cu caracter personal si sa cuprinda recomandari pentru persoana fizica in cauza in scopul atenuarii eventualelor efecte negative. Comunicarile catre persoanele vizate ar trebui efectuate in cel mai scurt timp posibil in mod rezonabil si in stransa cooperare cu autoritatea de supraveghere, respectandu-se orientarile furnizate de aceasta sau de alte autoritati competente, cum ar fi autoritatile de aplicare a legii. De exemplu, necesitatea de a atenua un risc imediat de producere a unui prejudiciu ar presupune comunicarea cu promptitudine catre persoanele vizate, in timp ce necesitatea de a implementa masuri corespunzatoare impotriva incalcarii in continuare a securitatii datelor cu caracter personal sau impotriva unor incalcari similare ale securitatii datelor cu caracter personal ar putea justifica un termen mai indelungat pentru comunicare .
(87) Ar trebui sa se stabileasca daca au fost implementate toate masurile tehnologice de protectie si organizatorice corespunzatoare in scopul de a se stabili imediat daca s-a produs o incalcare a securitatii datelor cu caracter personal si de a se informa cu promptitudine autoritatea de supraveghere si persoana vizata. Faptul ca notificarea a fost efectuata fara intarziere nejustificata ar trebui stabilit luandu-se in considerare, in special, natura si gravitatea incalcarii securitatii datelor cu caracter personal, precum si consecintele si efectele negative ale acesteia asupra persoanei vizate. Aceasta notificare poate conduce la o interventie a autoritatii de supraveghere, in conformitate cu sarcinile si competentele specificate in prezentul regulament.
(88) La stabilirea de norme detaliate privind formatul si procedurile aplicabile notificarii referitoare la incalcarile securitatii datelor cu caracter personal, ar trebui sa se acorde atentia cuvenita circumstantelor in care a avut loc incalcarea, stabilindu-se inclusiv daca protectia datelor cu caracter personal a fost sau nu a fost asigurata prin masuri tehnice de protectie corespunzatoare, care sa limiteze efectiv probabilitatea fraudarii identitatii sau a altor forme de utilizare abuziva. In plus, astfel de norme si proceduri ar trebui sa tina cont de interesele legitime ale autoritatilor de aplicare a legii in cazurile in care divulgarea timpurie ar putea ingreuna in mod inutil investigarea circumstantelor in care a avut loc o incalcare a datelor cu caracter personal.
(89) Directiva 95/46/CE a prevazut o obligatie generala de a notifica prelucrarea datelor cu caracter personal autoritatilor de supraveghere . Cu toate ca obligatia respectiva genereaza sarcini administrative si financiare, aceasta nu a contribuit intotdeauna la imbunatatirea protectiei datelor cu caracter personal. Prin urmare, astfel de obligatii de notificare generala nediferentiata ar trebui sa fie abrogate si inlocuite cu proceduri si mecanisme eficace care sa puna accentul, in schimb, pe acele tipuri de operatiuni de prelucrare susceptibile sa genereze un risc ridicat pentru drepturile si libertatile persoanelor fizice prin insasi natura lor, prin domeniul lor de aplicare, prin contextul si prin scopurile lor. Astfel de tipuri de operatiuni de prelucrare pot fi cele care presupun, in special, utilizarea unor noi tehnologii sau care reprezinta un nou tip de operatiuni, pentru care nicio evaluare a impactului asupra protectiei datelor nu a fost efectuata anterior de catre operator ori care devin necesare data fiind perioada de timp care s-a scurs de la prelucrarea initiala.
(90) In astfel de cazuri, operatorul ar trebui sa efectueze, inainte de prelucrare, o evaluare a impactului asupra protectiei datelor, in scopul evaluarii gradului specific de probabilitate a materializarii riscului ridicat si gravitatea acestuia, avand in vedere natura, domeniul de aplicare, contextul si scopurile prelucrarii, precum si sursele riscului. Respectiva evaluare a impactului ar trebui sa includa, in special, masurile, garantiile si mecanismele avute in vedere pentru atenuarea riscului respectiv, pentru asigurarea protectiei datelor cu caracter personal si pentru demonstrarea conformitatii cu prezentul regulament.
(91) Aceasta ar trebui sa se aplice, in special, operatiunilor de prelucrare la scara larga, care au drept obiectiv prelucrarea unui volum considerabil de date cu caracter personal la nivel regional, national sau supranational, care ar putea afecta un numar mare de persoane vizate si care sunt susceptibile de a genera un risc ridicat, de exemplu, din cauza sensibilitatii lor, in cazul in care, in conformitate cu nivelul atins al cunostintelor tehnologice, se foloseste la scara larga o tehnologie noua, precum si altor operatiuni de prelucrare care genereaza un risc ridicat pentru drepturile si libertatile persoanelor vizate, in special in cazul in care operatiunile respective limiteaza capacitatea persoanelor vizate de a-si exercita drepturile . Ar trebui efectuata o evaluare a impactului asupra protectiei datelor si in situatiile in care datele cu caracter personal sunt prelucrate in scopul luarii de decizii care vizeaza anumite persoane fizice in urma unei evaluari sistematice si cuprinzatoare a aspectelor personale referitoare la persoane fizice, pe baza crearii de profiluri pentru datele respective, sau in urma prelucrarii unor categorii speciale de date cu caracter personal, a unor date biometrice sau a unor date privind condamnarile penale si infractiunile sau masurile de securitate conexe. Este la fel de necesara o evaluare a impactului asupra protectiei datelor pentru monitorizarea la scara larga a zonelor accesibile publicului, mai ales in cazul utilizarii dispozitivelor optoelectronice sau pentru orice alte operatiuni in cazul in care autoritatea de supraveghere competenta considera ca prelucrarea este susceptibila de a genera un risc ridicat pentru drepturile si libertatile persoanelor vizate, in special deoarece acestea impiedica persoanele vizate sa exercite un drept sau sa utilizeze un serviciu ori un contract, sau deoarece acestea sunt efectuate in mod sistematic la scara larga. Prelucrarea datelor cu caracter personal nu ar trebui considerata a fi la scara larga in cazul in care prelucrarea se refera la date cu caracter personal de la pacienti sau clienti de catre un anumit medic, un alt profesionist in domeniul sanatatii sau un avocat. In aceste cazuri, o evaluare a impactului asupra protectiei datelor nu ar trebui sa fie obligatorie.
(92) In unele circumstante ar putea fi rezonabil si util din punct de vedere economic ca o evaluare a impactului asupra protectiei datelor sa aiba o perspectiva mai extinsa decat cea a unui singur proiect, de exemplu in cazul in care autoritati sau organisme publice intentioneaza sa instituie o aplicatie sau o platforma de prelucrare comuna sau in cazul in care mai multi operatori preconizeaza sa introduca o aplicatie comuna sau un mediu de prelucrare comun in cadrul unui sector sau segment industrial sau pentru o activitate orizontala utilizata la scara larga.
(93) In contextul adoptarii legislatiei nationale pe care se bazeaza indeplinirea sarcinilor autoritatii publice sau ale organismului public si care reglementeaza operatiunea sau seria de operatiuni de prelucrare in cauza, statele membre pot considera ca este necesara efectuarea unei astfel de evaluari inaintea desfasurarii activitatilor de prelucrare .
(94) In cazul in care o evaluare a impactului asupra protectiei datelor arata ca prelucrarea ar genera, in absenta garantiilor, masurilor de securitate si mecanismelor de atenuare a riscului, un risc ridicat pentru drepturile si libertatile persoanelor fizice, iar operatorul considera ca riscul nu poate fi atenuat prin mijloace rezonabile sub aspectul tehnologiilor disponibile si al costurilor implementarii, autoritatea de supraveghere ar trebui sa fie consultata inainte de inceperea activitatilor de prelucrare . Un astfel de risc ridicat este susceptibil sa fie generat de anumite tipuri de prelucrare, precum si de amploarea si frecventa prelucrarii, care pot duce si la producerea unor prejudicii sau pot atinge drepturile si libertatile persoanelor fizice. Autoritatea de supraveghere ar trebui sa raspunda cererii de consultare intr-un anumit termen. Cu toate acestea, lipsa unei reactii din partea autoritatii de supraveghere in termenul respectiv ar trebui sa nu aduca atingere niciunei interventii a autoritatii de supraveghere in conformitate cu sarcinile si competentele sale prevazute in prezentul regulament, inclusiv competenta de a interzice operatiuni de prelucrare . Ca parte a acestui proces de consultare, rezultatul unei evaluari a impactului asupra protectiei datelor efectuate cu privire la prelucrarea in cauza poate fi transmis autoritatii de supraveghere, in special masurile avute in vedere pentru a atenua riscul pentru drepturile si libertatile persoanelor fizice.
(95) Persoana imputernicita de operator ar trebui sa acorde asistenta operatorului, daca este necesar si la cerere, la asigurarea respectarii obligatiilor care decurg din realizarea de evaluari ale impactului asupra protectiei datelor si din consultarea prealabila a autoritatii de supraveghere .
(96) In timpul elaborarii unei masuri legislative sau de reglementare care prevede prelucrarea unor date cu caracter personal ar trebui, de asemenea, sa aiba loc o consultare a autoritatii de supraveghere, pentru a garanta conformitatea prelucrarii avute in vedere cu prezentul regulament si, in special, pentru a atenua riscul la care este expusa persoana vizata.
(97) In cazul in care prelucrarea este efectuata de o autoritate publica, cu exceptia instantelor sau a autoritatilor judiciare independente atunci cand actioneaza in calitatea lor judiciara, in cazul in care, in sectorul privat, prelucrarea este efectuata de un operator a carui activitate principala consta in operatiuni de prelucrare care necesita o monitorizare regulata si sistematica a persoanelor vizate pe scara larga, sau in cazul in care activitatea principala a operatorului sau a persoanei imputernicite de operator consta in prelucrarea pe scara larga de categorii speciale de date cu caracter personal si de date privind condamnarile penale si infractiunile, o persoana care detine cunostinte de specialitate in materie de legislatie si practici privind protectia datelor ar trebui sa acorde asistenta operatorului sau persoanei imputernicite de operator pentru monitorizarea conformitatii, la nivel intern, cu prezentul regulament. In sectorul privat, activitatile principale ale unui operator se refera la activitatile sale de baza, si nu la prelucrarea datelor cu caracter personal drept activitati auxiliare. Nivelul necesar al cunostintelor de specialitate ar trebui sa fie stabilit in special in functie de operatiunile de prelucrare a datelor efectuate si de nivelul de protectie impus pentru datele cu caracter personal prelucrate de operator sau de persoana imputernicita de operator . Acesti responsabili cu protectia datelor, indiferent daca sunt sau nu angajati ai operatorului, ar trebui sa fie in masura sa isi indeplineasca atributiile si sarcinile in mod independent.

(98) Asociatiile sau alte organisme care reprezinta categorii de operatori sau de persoane imputernicite de operatori ar trebui incurajate sa elaboreze coduri de conduita, in limitele prezentului regulament, astfel incat sa se faciliteze aplicarea efectiva a prezentului regulament, luandu-se in considerare caracteristicile specifice ale prelucrarii efectuate in anumite sectoare si necesitatile specifice ale microintreprinderilor si ale intreprinderilor mici si mijlocii. In special, astfel de coduri de conduita ar putea sa ajusteze obligatiile operatorilor si ale persoanelor imputernicite de operatori, tinand seama de riscul aferent prelucrarii care este susceptibil de a fi generat pentru drepturile si libertatile persoanelor fizice.
(99) Atunci cand elaboreaza un cod de conduita sau cand modifica sau extind un astfel de cod, asociatiile si alte organisme care reprezinta categorii de operatori sau persoane imputernicite de operatori ar trebui sa consulte partile implicate relevante, inclusiv persoanele vizate, daca este fezabil, si sa ia in considerare contributiile transmise si opiniile exprimate in cadrul unor astfel de consultari.
(100) Pentru a se imbunatati transparenta si conformitatea cu prezentul regulament, ar trebui sa se incurajeze instituirea de mecanisme de certificare, precum si de sigilii si marci in materie de protectie a datelor, care sa permita persoanelor vizate sa evalueze rapid nivelul de protectie a datelor aferent produselor si serviciilor relevante.
(101) Fluxurile de date cu caracter personal catre si dinspre tari situate in afara Uniunii si organizatii internationale sunt necesare pentru dezvoltarea comertului international si a cooperarii internationale. Cresterea acestor fluxuri a generat noi provocari si preocupari cu privire la protectia datelor cu caracter personal. Cu toate acestea, in cazul in care se transfera date cu caracter personal din Uniune catre operatori, persoane imputernicite de operatori sau alti destinatari din tari terte sau organizatii internationale, nivelul de protectie a persoanelor fizice asigurat in Uniune prin prezentul regulament nu ar trebui sa fie diminuat, inclusiv in cazurile de transferuri ulterioare de date cu caracter personal dinspre tara terta sau organizatia internationala catre operatori, persoane imputernicite de operatori din aceeasi sau dintr-o alta tara terta sau organizatie internationala. In orice caz, transferurile catre tari terte si organizatii internationale pot fi desfasurate numai in conformitate deplina cu prezentul regulament. Un transfer ar putea avea loc numai daca, sub rezerva respectarii celorlalte dispozitii ale prezentului regulament, operatorul sau persoana imputernicita de operator indeplineste conditiile prevazute de dispozitiile prezentului regulament privind transferul de date cu caracter personal catre tari terte sau organizatii internationale.
(102) Prezentul regulament nu aduce atingere acordurilor internationale incheiate intre Uniune si tari terte in vederea reglementarii transferului de date cu caracter personal, inclusiv garantii adecvate pentru persoanele vizate. Statele membre pot incheia acorduri internationale care implica transferul de date cu caracter personal catre tari terte sau organizatii internationale, in masura in care astfel de acorduri nu afecteaza prezentul regulament si nici alte dispozitii din dreptul Uniunii si includ un nivel corespunzator de protectie a drepturilor fundamentale ale persoanelor vizate.
(103) Comisia poate decide, cu efect in intreaga Uniune, ca o tara terta, un teritoriu sau un anumit sector dintr-o tara terta sau o organizatie internationala ofera un nivel adecvat de protectie a datelor, asigurand astfel securitate juridica si uniformitate in Uniune in ceea ce priveste tara terta sau organizatia internationala care este considerata a furniza un astfel de nivel de protectie . In aceste cazuri, transferurile de date cu caracter personal catre tara terta sau organizatia internationala respectiva pot avea loc fara a fi necesar sa se obtina autorizari suplimentare. De asemenea, Comisia poate sa decida, dupa trimiterea unei notificari si a unei justificari complete tarii terte sau organizatiei internationale, sa anuleze o astfel de decizie .
(104) In conformitate cu valorile fundamentale pe care se intemeiaza Uniunea, in special protectia drepturilor omului, Comisia ar trebui, in evaluarea sa referitoare la tara terta sau la un teritoriu sau la un sector specificat dintr-o tara terta, sa ia in considerare modul in care aceasta respecta statul de drept, accesul la justitie, precum si normele si standardele internationale in materie de drepturi ale omului si legislatia sa generala si sectoriala, inclusiv legislatia privind securitatea publica, apararea si securitatea nationala, precum si ordinea publica si dreptul penal. Adoptarea unei decizii privind caracterul adecvat al nivelului de protectie pentru un teritoriu sau un sector specificat dintr-o tara terta ar trebui sa tina seama de criterii clare si obiective, cum ar fi activitatile specifice de prelucrare si domeniul de aplicare al standardelor legale aplicabile si legislatia in vigoare in tara terta respectiva. Tara terta ar trebui sa ofere garantii care sa asigure un nivel adecvat de protectie, echivalent in esenta cu cel asigurat in cadrul Uniunii, in special atunci cand datele cu caracter personal sunt prelucrate in unul sau mai multe sectoare specifice. In special, tara terta ar trebui sa asigure o supraveghere efectiva independenta in materie de protectie a datelor si sa prevada mecanisme de cooperare cu autoritatile statelor membre de protectie a datelor, iar persoanele vizate ar trebui sa beneficieze de drepturi efective si opozabile si de reparatii efective pe cale administrativa si judiciara.
(105) Pe langa angajamentele internationale asumate de tara terta sau de organizatia internationala, Comisia ar trebui sa tina seama de obligatiile care decurg din participarea tarii terte sau a organizatiei internationale la sistemele multilaterale sau regionale, in special in ceea ce priveste protectia datelor cu caracter personal, precum si de punerea in aplicare a unor astfel de obligatii . In special, ar trebui sa fie luata in considerare aderarea tarii terte la Conventia Consiliului Europei din 28 ianuarie 1981 pentru protejarea persoanelor fata de prelucrarea automatizata a datelor cu caracter personal si protocolul aditional la aceasta. Comisia ar trebui sa consulte comitetul atunci cand evalueaza nivelul de protectie din tarile terte sau din organizatiile internationale.

(106) Comisia ar trebui sa monitorizeze functionarea deciziilor privind nivelul de protectie dintr-o tara terta sau un teritoriu sau un anumit sector dintr-o tara terta sau dintr-o organizatie internationala si sa monitorizeze functionarea deciziilor adoptate in temeiul articolului 25 alineatul (6) sau al articolului 26 alineatul (4) din Directiva 95/46/CE. In deciziile sale privind caracterul adecvat al nivelului de protectie, Comisia ar trebui sa prevada un mecanism de revizuire periodica a modului lor de functionare. Aceasta revizuire periodica ar trebui sa fie efectuata in consultare cu tara terta sau organizatia internationala in cauza si ar trebui sa ia in considerare toate evolutiile relevante din tara terta sau organizatia internationala . In scopul monitorizarii si al efectuarii revizuirilor periodice, Comisia ar trebui sa ia in considerare opiniile si constatarile Parlamentului European si ale Consiliului, precum si ale altor organisme si surse relevante. Comisia ar trebui sa evalueze, intr-un termen rezonabil, functionarea deciziilor din urma si sa raporteze toate constatarile relevante comitetului, in sensul Regulamentului (UE) nr. 182/2011 al Parlamentului European si al Consiliului (12), dupa cum s-a stabilit in temeiul prezentului regulament, Parlamentului European si Consiliului.
(107) Comisia poate sa recunoasca faptul ca o tara terta,un teritoriu sau un sector specificat dintr-o tara terta sau o organizatie internationala nu mai asigura un nivel adecvat de protectie a datelor. In consecinta, transferul de date cu caracter personal catre tara terta sau organizatia internationala respectiva ar trebui sa fie interzis, cu exceptia cazului in care sunt indeplinite cerintele prevazute in prezentul regulament privind transferurile in baza unor garantii adecvate, inclusiv regulile corporatiste obligatorii si derogarile de la situatiile specifice. In acest caz, ar trebui sa se prevada dispozitii pentru consultari intre Comisie si astfel de tari terte sau organizatii internationale. Comisia ar trebui ca, in timp util, sa informeze tara terta sau organizatia internationala cu privire la aceste motive si sa initieze consultari cu aceasta pentru remedierea situatiei.
(108) In absenta unei decizii privind caracterul adecvat al nivelului de protectie, operatorul sau persoana imputernicita de operator ar trebui sa adopte masuri pentru a compensa lipsa protectiei datelor intr-o tara terta prin intermediul unor garantii adecvate pentru persoana vizata. Astfel de garantii adecvate pot consta in utilizarea regulilor corporatiste obligatorii, a clauzelor standard de protectie a datelor adoptate de Comisie, a clauzelor standard de protectie a datelor adoptate de o autoritate de supraveghere sau a clauzelor contractuale autorizate de o autoritate de supraveghere . Respectivele garantii ar trebui sa asigure respectarea cerintelor in materie de protectie a datelor si drepturi ale persoanelor vizate corespunzatoare prelucrarii in interiorul Uniunii, inclusiv disponibilitatea unor drepturi opozabile ale persoanelor vizate si a unor cai de atac eficiente, printre care dreptul de acces la reparatii efective pe cale administrativa sau judiciara si dreptul de a solicita despagubiri, in Uniune sau intr-o tara terta. Acestea ar trebui sa se refere in special la respectarea principiilor generale privind prelucrarea datelor cu caracter personal: principiul protectiei datelor incepand cu momentul conceperii si principiul protectiei implicite a datelor. Transferurile pot fi efectuate si de catre autoritatile sau organismele publice cu autoritati sau organisme publice in tari terte sau cu organizatii internationale cu atributii si functii corespunzatoare, inclusiv pe baza dispozitiilor care prevad drepturi opozabile si efective pentru persoanele vizate, care trebuie introduse in acordurile administrative, cum ar fi un memorandum de intelegere . Autorizatia din partea autoritatii de supraveghere competente ar trebui obtinuta atunci cand garantiile sunt oferite in cadrul unor acorduri administrative fara caracter juridic obligatoriu.
(109) Posibilitatea ca operatorul sau persoana imputernicita de operator sa utilizeze clauze standard in materie de protectie a datelor, adoptate de Comisie sau de o autoritate de supraveghere, nu ar trebui sa impiedice operatorii sau persoanele imputernicite de acestia sa includa clauzele standard in materie de protectie a datelor intr-un contract mai amplu, precum un contract intre persoana imputernicita de operator si o alta persoana imputernicita de operator, si nici sa adauge alte clauze sau garantii suplimentare, atat timp cat acestea nu contravin, direct sau indirect, clauzelor contractuale standard adoptate de Comisie sau de o autoritate de supraveghere sau nu prejudiciaza drepturile sau libertatile fundamentale ale persoanelor vizate. Operatorii si persoanele imputernicite de operatori ar trebui sa fie incurajati sa ofere garantii suplimentare prin intermediul unor angajamente contractuale care sa completeze clauzele standard in materie de protectie .
(110) Un grup de intreprinderi sau un grup de intreprinderi implicat intr-o activitate economica comuna ar trebui sa poata utiliza regulile corporatiste obligatorii aprobate pentru transferurile sale internationale dinspre Uniune catre organizatii din cadrul aceluiasi grup de intreprinderi sau grup de intreprinderi implicate intr-o activitate economica comuna, cu conditia ca astfel de reguli corporatiste sa includa toate principiile esentiale si drepturile opozabile in scopul asigurarii unor garantii adecvate pentru transferurile sau categoriile de transferuri de date cu caracter personal.
(111) Ar trebui sa se prevada posibilitatea de a se efectua transferuri in anumite circumstante in care persoana vizata si-a dat consimtamantul explicit, in care transferul este ocazional si necesar in legatura cu un contract sau cu o actiune in justitie, indiferent daca este in contextul unei proceduri judiciare sau in contextul unei proceduri administrative sau extrajudiciare, inclusiv in cadrul procedurilor inaintate organismelor de reglementare. De asemenea, ar trebui sa se prevada posibilitatea de a se efectua transferuri in cazul in care motive importante de interes public stabilite de dreptul Uniunii sau de dreptul intern impun acest lucru sau in cazul in care transferul se efectueaza dintr-un registru instituit prin lege si destinat sa fie consultat de catre public sau de catre persoane care au un interes legitim . In acest ultim caz, un astfel de transfer nu ar trebui sa implice totalitatea datelor cu caracter personal sau ansamblul categoriilor de date continute in registru, iar atunci cand registrul este destinat sa fie consultat de persoane care au un interes legitim, transferul ar trebui sa fie efectuat doar la cererea persoanelor respective sau daca acestea sunt destinatarii, luand pe deplin in considerare interesele si drepturile fundamentale ale persoanei vizate.
(112) Aceste derogari ar trebui sa se aplice, in special, transferurilor de date solicitate si necesare din considerente importante de interes public, de exemplu in cazul schimbului international de date intre autoritatile din domeniul concurentei, administratiile fiscale sau vamale, intre autoritatile de supraveghere financiara, intre serviciile competente in materie de securitate sociala sau de sanatate publica, de exemplu in cazul depistarii punctelor de contact pentru bolile contagioase sau pentru reducerea si/sau eliminarea dopajului in sport . Un transfer de date cu caracter personal ar trebui, de asemenea, sa fie considerat legal in cazul in care este necesar in scopul protejarii unui interes care este esential in interesele vitale ale persoanei vizate sau ale unei alte persoane, inclusiv pentru integritatea fizica sau pentru viata acesteia, in cazul in care persona vizata nu are capacitatea sa isi dea consimtamantul. In absenta unei decizii privind caracterul adecvat al nivelului de protectie, dreptul Uniunii sau dreptul intern poate, din considerente importante de interes public, stabili in mod expres limite asupra transferului unor categorii specifice de date catre o tara terta sau o organizatie internationala. Statele membre ar trebui sa notifice Comisiei aceste dispozitii. Orice transfer catre o organizatie umanitara internationala al datelor cu caracter personal ale unei persoane vizate care se afla in incapacitate fizica sau juridica de a isi da consimtamantul, in vederea indeplinirii unei sarcini care decurge din Conventiile de la Geneva sau in vederea conformarii cu dreptul international umanitar aplicabil in conflictele armate, ar putea fi considerat necesar pentru un motiv important de interes public sau pentru ca este in interesul vital al persoanei vizate.
(113) Transferurile care pot fi considerate ca nefiind repetitive si care se refera doar la un numar limitat de persoane vizate, ar putea, de asemenea, sa fie efectuate in scopul realizarii intereselor legitime urmarite de operator, atunci cand asupra respectivelor interese nu prevaleaza interesele sau drepturile si libertatile persoanei vizate si atunci cand operatorul a evaluat toate circumstantele aferente transferului de date . Operatorul ar trebui sa acorde o atentie deosebita naturii datelor cu caracter personal, scopului si duratei operatiunii sau operatiunilor propuse de prelucrare, precum si situatiei din tara de origine, din tara terta si din tara de destinatie finala si ar trebui sa ofere garantii adecvate pentru protectia drepturilor si libertatilor fundamentale ale persoanelor fizice in ceea ce priveste prelucrarea datelor lor cu caracter personal. Astfel de transferuri ar trebui sa fie posibile numai in cazurile reziduale in care nu se poate aplica niciunul dintre celelalte motive de transfer. In ceea ce priveste scopurile de cercetare stiintifica sau istorica sau scopurile statistice, ar trebui sa se ia in considerare asteptarile legitime ale societatii cu privire la cresterea nivelului de cunostinte. Operatorul ar trebui sa informeze autoritatea de supraveghere si persoana vizata cu privire la transfer.
(114) In orice caz, atunci cand Comisia nu a luat o decizie cu privire la nivelul adecvat de protectie a datelor dintr-o tara terta, operatorul sau persoana imputernicita de operator ar trebui sa utilizeze solutii care sa ofere persoanelor vizate drepturi opozabile si efective in ceea ce priveste prelucrarea datelor lor in Uniune odata ce aceste date au fost transferate, astfel incat persoanele vizate sa beneficieze in continuare de drepturi fundamentale si garantii .
(115) Unele tari terte au adoptat legi, reglementari si alte acte juridice care au drept obiectiv sa reglementeze in mod direct activitatile de prelucrare a datelor ale persoanelor fizice si juridice aflate sub jurisdictia statelor membre. Aceasta poate include hotarari ale instantelor judecatoresti sau decizii ale autoritatilor administrative din tari terte care solicita unui operator sau unei persoane imputernicite de operator sa transfere sau sa divulge date cu caracter personal si care nu se bazeaza pe un acord international, cum ar fi un tratat de asistenta juridica reciproca, in vigoare intre tara terta solicitanta si Uniune sau un stat membru. Aplicarea extrateritoriala a acestor legi, reglementari si alte acte juridice poate incalca dreptul international si poate impiedica asigurarea protectiei persoanelor fizice asigurata in Uniune prin prezentul regulament. Transferurile ar trebui sa fie permise numai in cazul indeplinirii conditiilor prevazute de prezentul regulament pentru un transfer catre tari terte. Acesta ar putea fi cazul, inter alia, atunci cand divulgarea este necesara dintr-un motiv important de interes public recunoscut in dreptul Uniunii sau in dreptul intern care se aplica operatorului.
(116) Fluxul transfrontalier de date cu caracter personal in afara Uniunii poate expune unui risc sporit capacitatea persoanelor fizice de a-si exercita drepturile in materie de protectie a datelor, in special pentru a-si asigura protectia impotriva utilizarii sau a divulgarii ilegale a acestor informatii. In acelasi timp, autoritatile de supraveghere pot constata ca se afla in imposibilitatea de a trata plangeri sau de a efectua investigatii referitoare la activitatile desfasurate in afara frontierelor lor. Eforturile acestora de a conlucra in context transfrontalier pot fi, de asemenea, ingreunate de insuficienta competentelor de prevenire sau remediere, de caracterul eterogen al regimurilor juridice si de existenta unor obstacole de ordin practic, cum ar fi constrangerile in materie de resurse . Prin urmare, este necesar sa se promoveze o cooperare mai stransa intre autoritatile de supraveghere a protectiei datelor pentru a putea face schimb de informatii si a desfasura investigatii impreuna cu omologii lor internationali. In scopul elaborarii de mecanisme de cooperare internationala pentru a facilita si a oferi asistenta internationala reciproca in asigurarea aplicarii legislatiei din domeniul protectiei datelor cu caracter personal, Comisia si autoritatile de supraveghere ar trebui sa faca schimb de informatii si sa coopereze in cadrul activitatilor legate de exercitarea competentelor lor cu autoritatile competente din tari terte, pe baza de reciprocitate si in conformitate cu prezentul regulament.
(117) Instituirea in statele membre a unor autoritati de supraveghere, imputernicite sa isi indeplineasca sarcinile si sa isi exercite competentele in deplina independenta, este un element esential al protectiei persoanelor fizice in ceea ce priveste prelucrarea datelor lor cu caracter personal. Statele membre ar trebui sa poata institui mai multe autoritati de supraveghere, pentru a reflecta structura lor constitutionala, organizatorica si administrativa.
(118) Independenta autoritatilor de supraveghere nu ar trebui sa insemne ca autoritatile de supraveghere nu pot face obiectul unor mecanisme de control sau de monitorizare in ceea ce priveste cheltuielile acestora sau unui control jurisdictional.
(119) In cazul in care un stat membru instituie mai multe autoritati de supraveghere, acesta ar trebui sa stabileasca prin lege mecanisme care sa asigure participarea efectiva a autoritatilor de supraveghere respective la mecanismul pentru asigurarea coerentei. Statul membru respectiv ar trebui, in special, sa desemneze autoritatea de supraveghere care indeplineste functia de punct unic de contact pentru participarea efectiva a acestor autoritati la mecanism, in scopul asigurarii unei cooperari rapide si armonioase cu alte autoritati de supraveghere, cu comitetul si cu Comisia .
(120) Fiecare autoritate de supraveghere ar trebui sa beneficieze de resurse financiare si umane, de spatiile si de infrastructura necesare pentru indeplinirea cu eficacitate a sarcinilor lor, inclusiv a celor legate de asistenta reciproca si cooperarea cu alte autoritati de supraveghere in intreaga Uniune. Fiecare autoritate de supraveghere ar trebui sa aiba un buget public anual separat, care poate face parte din bugetul general de stat sau national.
(121) Conditiile generale pentru membrul sau membrii autoritatii de supraveghere ar trebui stabilite de lege in fiecare stat membru si ar trebui, in special, sa prevada ca respectivii membri sunt numiti printr-o procedura transparenta fie de parlamentul, de guvernul ori seful de stat al statului membru pe baza unei propuneri din partea guvernului, a unui membru al guvernului, a parlamentului sau a unei camere a parlamentului, fie de catre un organism independent imputernicit prin dreptul intern. In vederea asigurarii independentei autoritatii de supraveghere, membrul sau membrii acesteia ar trebui sa actioneze cu integritate, sa nu intreprinda actiuni incompatibile cu indatoririle lor, iar, pe durata mandatului, ar trebui sa nu desfasoare activitati incompatibile, remunerate sau nu. Autoritatea de supraveghere ar trebui sa aiba personal propriu, ales de autoritatea de supraveghere sau de un organism independent infiintat in temeiul dreptului intern, care ar trebui sa fie subordonat exclusiv membrului sau membrilor autoritatii de supraveghere .
(122) Fiecare autoritate de supraveghere ar trebui sa aiba, pe teritoriul statului membru de care apartine, atributia de a exercita competentele si de a indeplini sarcinile cu care este investita in conformitate cu prezentul regulament. Aceasta ar trebui sa includa in special prelucrarea in contextul activitatilor unui sediu al operatorului sau al persoanei imputernicite de operator pe teritoriul propriului stat membru, prelucrarea datelor cu caracter personal efectuata de autoritatile publice sau de organisme private care actioneaza in interes public, prelucrarea care afecteaza persoanele vizate de pe teritoriul sau sau prelucrarea efectuata de catre un operator sau o persoana imputernicita de operator care nu isi are sediul in Uniune in cazul in care aceasta priveste persoane vizate care isi au resedinta pe teritoriul sau. Aceasta ar trebui sa includa tratarea plangerilor depuse de o persoana vizata, efectuarea de investigatii privind aplicarea prezentului regulament si promovarea informarii publicului cu privire la riscurile, normele, garantiile si drepturile in materie de prelucrare a datelor cu caracter personal.
(123) Autoritatile de supraveghere ar trebui sa monitorizeze aplicarea dispozitiilor prevazute de prezentul regulament si sa contribuie la aplicarea coerenta a acestuia in intreaga Uniune, in scopul asigurarii protectiei persoanelor fizice in ceea ce priveste prelucrarea datelor lor cu caracter personal si al facilitarii liberei circulatii a datelor cu caracter personal in interiorul pietei interne. In acest sens, autoritatile de supraveghere ar trebui sa coopereze reciproc, precum si cu Comisia, fara sa fie necesar niciun acord intre statele membre cu privire la acordarea de asistenta reciproca sau cu privire la respectiva cooperare.