Regulament 679 din 2016

REGULAMENT nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în
ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie
a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind
protecţia datelor)
(la data 31-oct-2018 actul a fost in legatura cu Decizia 174/2018 )
(la data 25-mai-2018 a se vedea referinte de aplicare din Decizia 743/16-mai-2018 )
(la data 06-oct-2016 actul a fost in legatura cu Directiva 1629/14-sep-2016 )
(la data 05-mai-2016 actul a fost in legatura cu Directiva 680/27-apr-2016 )
(Text cu relevanţă pentru SEE)
PARLAMENTUL EUROPEAN ŞI CONSILIUL UNIUNII EUROPENE,
având în vedere Tratatul privind funcţionarea Uniunii Europene, în special articolul 16,
având în vedere propunerea Comisiei Europene,
după transmiterea proiectului de act legislativ către parlamentele naţionale,
având în vedere avizul Comitetului Economic şi Social European (1),
(1)JO C 229, 31.7.2012, p. 90.
având în vedere avizul Comitetului Regiunilor (2),
(2)JO C 391, 18.12.2012, p. 127.
hotărând în conformitate cu procedura legislativă ordinară (3),
(3)Poziţia Parlamentului European din 12 martie 2014 (nepublicată încă în Jurnalul Oficial) şi Poziţia în
primă lectură a Consiliului din 8 aprilie 2016 (nepublicată încă în Jurnalul Oficial). Poziţia Parlamentului
European din 14 aprilie 2016.
întrucât:
(1)Protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal este un
drept fundamental. Articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii
Europene ("carta") şi articolul 16 alineatul (1) din Tratatul privind funcţionarea Uniunii
Europene (TFUE) prevăd dreptul oricărei persoane la protecţia datelor cu caracter personal care o
privesc.
(2)Principiile şi normele referitoare la protecţia persoanelor fizice în ceea ce priveşte prelucrarea
datelor lor cu caracter personal ar trebui, indiferent de cetăţenia sau de locul de reşedinţă al
persoanelor fizice, să respecte drepturile şi libertăţile fundamentale ale acestora, în special dreptul la
protecţia datelor cu caracter personal. Prezentul regulament urmăreşte să contribuie la realizarea unui
spaţiu de libertate, securitate şi justiţie şi a unei uniuni economice, la progresul economic şi social, la
consolidarea şi convergenţa economiilor în cadrul pieţei interne şi la bunăstarea persoanelor fizice.
(3)Directiva 95/46/CE a Parlamentului European şi a Consiliului (4) vizează armonizarea nivelului de
protecţie a drepturilor şi libertăţilor fundamentale ale persoanelor fizice în ceea ce priveşte activităţile
de prelucrare şi asigurarea liberei circulaţii a datelor cu caracter personal între statele membre.
(4)Directiva 95/46/CE a Parlamentului European şi a Consiliului din 24 octombrie 1995 privind
protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera
circulaţie a acestor date (JO L 281, 23.11.1995, p. 31).
(4)Prelucrarea datelor cu caracter personal ar trebui să fie în serviciul cetăţenilor. Dreptul la protecţia
datelor cu caracter personal nu este un drept absolut; acesta trebuie luat în considerare în raport cu
funcţia pe care o îndeplineşte în societate şi echilibrat cu alte drepturi fundamentale, în conformitate cu
principiul proporţionalităţii. Prezentul regulament respectă toate drepturile fundamentale şi libertăţile şi
principiile recunoscute în cartă astfel cum sunt consacrate în tratate, în special respectarea vieţii
private şi de familie, a reşedinţei şi a comunicaţiilor, a protecţiei datelor cu caracter personal, a libertăţii
de gândire, de conştiinţă şi de religie, a libertăţii de exprimare şi de informare, a libertăţii de a
desfăşura o activitate comercială, dreptul la o cale de atac eficientă şi la un proces echitabil, precum şi
diversitatea culturală, religioasă şi lingvistică.
(5)Integrarea economică şi socială care rezultă din funcţionarea pieţei interne a condus la o creştere
substanţială a fluxurilor transfrontaliere de date cu caracter personal. Schimbul de date cu caracter
personal între actori publici şi privaţi, inclusiv persoane fizice, asociaţii şi întreprinderi, s-a intensificat în
întreaga Uniune. Conform dreptului Uniunii, autorităţile naţionale din statele membre sunt chemate să
coopereze şi să facă schimb de date cu caracter personal pentru a putea să îşi îndeplinească atribuţiile
sau să execute sarcini în numele unei autorităţi dintr-un alt stat membru.
(6)Evoluţiile tehnologice rapide şi globalizarea au generat noi provocări pentru protecţia datelor cu
caracter personal. Amploarea colectării şi a schimbului de date cu caracter personal a crescut în mod
semnificativ. Tehnologia permite atât societăţilor private, cât şi autorităţilor publice să utilizeze date cu
caracter personal la un nivel fără precedent în cadrul activităţilor lor. Din ce în ce mai mult, persoanele
fizice fac publice la nivel mondial informaţii cu caracter personal. Tehnologia a transformat deopotrivă
economia şi viaţa socială şi ar trebui să faciliteze în continuare libera circulaţie a datelor cu caracter
personal în cadrul Uniunii şi transferul către ţări terţe şi organizaţii internaţionale, asigurând, totodată,
un nivel ridicat de protecţie a datelor cu caracter personal.
(7)Aceste evoluţii impun un cadru solid şi mai coerent în materie de protecţie a datelor în Uniune,
însoţit de o aplicare riguroasă a normelor, luând în considerare importanţa creării unui climat de
încredere care va permite economiei digitale să se dezvolte pe piaţa internă. Persoanele fizice ar trebui
să aibă control asupra propriilor date cu caracter personal, iar securitatea juridică şi practică pentru
persoane fizice, operatori economici şi autorităţi publice ar trebui să fie consolidată.
(8)În cazul în care prezentul regulament prevede specificări sau restricţionări ale normelor sale de
către dreptul intern, statele membre pot, în măsura în care acest lucru este necesar pentru coerenţă şi
pentru a asigura înţelegerea dispoziţiilor naţionale de către persoanele cărora li se aplică acestea, să
încorporeze elemente din prezentul regulament în dreptul lor intern.
(9)Obiectivele şi principiile Directivei 95/46/CE rămân solide, dar aceasta nu a prevenit fragmentarea
modului în care protecţia datelor este pusă în aplicare în Uniune, insecuritatea juridică sau percepţia
publică larg răspândită conform căreia există riscuri semnificative pentru protecţia persoanelor fizice, în
special în legătură cu activitatea online. Diferenţele dintre nivelurile de protecţie a drepturilor şi
libertăţilor persoanelor fizice, în special a dreptului la protecţia datelor cu caracter personal, în ceea ce
priveşte prelucrarea datelor cu caracter personal din statele membre pot împiedica libera circulaţie a
datelor cu caracter personal în întreaga Uniune. Aceste diferenţe pot constitui, prin urmare, un obstacol
în desfăşurarea de activităţi economice la nivelul Uniunii, pot denatura concurenţa şi pot împiedica
autorităţile să îndeplinească responsabilităţile care le revin în temeiul dreptului Uniunii. Această
diferenţă între nivelurile de protecţie este cauzată de existenţa unor deosebiri în ceea ce priveşte
transpunerea şi aplicarea Directivei 95/46/CE.
(10)Pentru a se asigura un nivel consecvent şi ridicat de protecţie a persoanelor fizice şi pentru a se
îndepărta obstacolele din calea circulaţiei datelor cu caracter personal în cadrul Uniunii, nivelul
protecţiei drepturilor şi libertăţilor persoanelor fizice în ceea ce priveşte prelucrarea unor astfel de date
ar trebui să fie echivalent în toate statele membre. Aplicarea consecventă şi omogenă a normelor în
materie de protecţie a drepturilor şi libertăţilor fundamentale ale persoanelor fizice în ceea ce priveşte
prelucrarea datelor cu caracter personal ar trebui să fie asigurată în întreaga Uniune. În ceea ce
priveşte prelucrarea datelor cu caracter personal în vederea respectării unei obligaţii legale, a
îndeplinirii unei sarcini care serveşte unui interes public sau care rezultă din exercitarea autorităţii
publice cu care este învestit operatorul, statelor membre ar trebui să li se permită să menţină sau să
introducă dispoziţii de drept intern care să clarifice într-o mai mare măsură aplicarea normelor
prezentului regulament. În coroborare cu legislaţia generală şi orizontală privind protecţia datelor, prin
care este pusă în aplicare Directiva 95/46/CE, statele membre au mai multe legi sectoriale specifice în
domenii care necesită dispoziţii mai precise. Prezentul regulament oferă, de asemenea, statelor
membre o marjă de manevră în specificarea normelor sale, inclusiv în ceea ce priveşte prelucrarea
categoriilor speciale de date cu caracter personal ("date sensibile"). În acest sens, prezentul
regulament nu exclude dreptul statelor membre care stabileşte circumstanţele aferente unor situaţii de
prelucrare specifice, inclusiv stabilirea cu o mai mare precizie a condiţiilor în care prelucrarea datelor cu
caracter personal este legală.
(11)Protecţia efectivă a datelor cu caracter personal în întreaga Uniune necesită nu numai
consolidarea şi stabilirea în detaliu a drepturilor persoanelor vizate şi a obligaţiilor celor care
prelucrează şi decid prelucrarea datelor cu caracter personal, ci şi competenţe echivalente pentru
monitorizarea şi asigurarea conformităţii cu normele de protecţie a datelor cu caracter personal şi
sancţiuni echivalente pentru infracţiuni în statele membre.
(12)Articolul 16 alineatul (2) din TFUE mandatează Parlamentul European şi Consiliul să stabilească
normele privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal,
precum şi normele privind libera circulaţie a acestor date.
(13)În vederea asigurării unui nivel uniform de protecţie pentru persoanele fizice în întreaga Uniune şi
a preîntâmpinării discrepanţelor care împiedică libera circulaţie a datelor în cadrul pieţei interne, este
necesar un regulament în scopul de a furniza securitate juridică şi transparenţă pentru operatorii
economici, inclusiv microîntreprinderi şi întreprinderi mici şi mijlocii, precum şi de a oferi persoanelor
fizice în toate statele membre acelaşi nivel de drepturi, obligaţii şi responsabilităţi opozabile din punct
de vedere juridic pentru operatori şi persoanele împuternicite de aceştia, pentru a se asigura o
monitorizare coerentă a prelucrării datelor cu caracter personal, sancţiuni echivalente în toate statele
membre, precum şi cooperarea eficace a autorităţilor de supraveghere ale diferitelor state membre.
Pentru buna funcţionare a pieţei interne este necesar ca libera circulaţie a datelor cu caracter personal
în cadrul Uniunii să nu fie restricţionată sau interzisă din motive legate de protecţia persoanelor fizice în
ceea ce priveşte prelucrarea datelor cu caracter personal. Pentru a se lua în considerare situaţia
specifică a microîntreprinderilor şi a întreprinderilor mici şi mijlocii, prezentul regulament include o
derogare pentru organizaţiile cu mai puţin de 250 de angajaţi în ceea ce priveşte păstrarea evidenţelor.
În plus, instituţiile şi organele Uniunii şi statele membre şi autorităţile lor de supraveghere sunt
încurajate să ia în considerare necesităţile specifice ale microîntreprinderilor şi ale întreprinderilor mici şi
mijlocii în aplicarea prezentului regulament. Noţiunea de microîntreprinderi şi de întreprinderi mici şi
mijlocii ar trebui să se bazeze pe articolul 2 din anexa la Recomandarea 2003/361/CE a Comisiei (1).
(1)Recomandarea 2003/361/CE a Comisiei din 6 mai 2003 privind definirea microîntreprinderilor şi a
întreprinderilor mici şi mijlocii [C(2003) 1422] (JO L 124, 20.5.2003, p. 36).
(14)Protecţia conferită de prezentul regulament ar trebui să vizeze persoanele fizice, indiferent de
cetăţenia sau de locul de reşedinţă al acestora, în ceea ce priveşte prelucrarea datelor cu caracter
personal ale acestora. Prezentul regulament nu se aplică prelucrării datelor cu caracter personal care
privesc persoane juridice şi, în special, întreprinderi cu personalitate juridică, inclusiv numele şi tipul de
persoană juridică şi datele de contact ale persoanei juridice.
(15)Pentru a preveni apariţia unui risc major de eludare, protecţia persoanelor fizice ar trebui să fie
neutră din punct de vedere tehnologic şi să nu depindă de tehnologiile utilizate. Protecţia persoanelor
fizice ar trebui să se aplice prelucrării datelor cu caracter personal prin mijloace automatizate, precum
şi prelucrării manuale, în cazul în care datele cu caracter personal sunt cuprinse sau destinate să fie
cuprinse într-un sistem de evidenţă. Dosarele sau seturile de dosare, precum şi copertele acestora, care
nu sunt structurate în conformitate cu criterii specifice nu ar trebui să intre în domeniul de aplicare al
prezentului regulament.
(16)Prezentul regulament nu se aplică chestiunilor de protecţie a drepturilor şi libertăţilor
fundamentale sau la libera circulaţie a datelor cu caracter personal referitoare la activităţi care nu intră
în domeniul de aplicare al dreptului Uniunii, de exemplu activităţile privind securitatea naţională.
Prezentul regulament nu se aplică prelucrării datelor cu caracter personal de către statele membre
atunci când acestea desfăşoară activităţi legate de politica externă şi de securitatea comună a Uniunii.
(17)Regulamentul (CE) nr. 45/2001 al Parlamentului European şi al Consiliului (2) se aplică prelucrării
de date cu caracter personal de către instituţiile, organele, oficiile şi agenţiile Uniunii. Regulamentul
(CE) nr. 45/2001 şi alte acte juridice ale Uniunii aplicabile unei asemenea prelucrări a datelor cu
caracter personal ar trebui adaptate la principiile şi normele stabilite în prezentul regulament şi aplicate
în conformitate cu prezentul regulament. În vederea asigurării unui cadru solid şi coerent în materie de
protecţie a datelor în Uniune, ar trebui ca după adoptarea prezentului regulament să se aducă
Regulamentului (CE) nr. 45/2001 adaptările necesare, astfel încât acestea să poată fi aplicate odată
cu prezentul regulament.
(2)Regulamentul (CE) nr. 45/2001 al Parlamentului European şi al Consiliului din 18 decembrie 2000
privind protecţia persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către
instituţiile şi organele comunitare şi privind libera circulaţie a acestor date (JO L 8, 12.1.2001, p. 1).
(18)Prezentul regulament nu se aplică prelucrării datelor cu caracter personal de către o persoană
fizică în cadrul unei activităţi exclusiv personale sau domestice şi care, prin urmare, nu are legătură cu
o activitate profesională sau comercială. Activităţile personale sau domestice ar putea include
corespondenţa şi repertoriul de adrese sau activităţile din cadrul reţelelor sociale şi activităţile online
desfăşurate în contextul respectivelor activităţi. Cu toate acestea, prezentul regulament se aplică
operatorilor sau persoanelor împuternicite de operatori care furnizează mijloacele de prelucrare a
datelor cu caracter personal pentru astfel de activităţi personale sau domestice.
(19)Protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal de către
autorităţile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracţiunilor
sau al executării pedepselor, inclusiv al protejării împotriva ameninţărilor la adresa siguranţei publice şi
al prevenirii acestora, precum şi libera circulaţie a acestor date, face obiectul unui act juridic specific al
Uniunii. Prin urmare, prezentul regulament nu ar trebui să se aplice activităţilor de prelucrare în aceste
scopuri. Cu toate acestea, datele cu caracter personal prelucrate de către autorităţile publice în temeiul
prezentului regulament, atunci când sunt utilizate în aceste scopuri, ar trebui să fie reglementate printrun
act juridic mai specific al Uniunii, şi anume Directiva (UE) 2016/680 a Parlamentului European şi a
Consiliului (1). Statele membre pot încredinţa autorităţilor competente în sensul Directivei (UE)
2016/680 sarcini care nu sunt neapărat îndeplinite în scopul prevenirii, investigării, depistării sau
urmăririi penale a infracţiunilor sau al executării pedepselor, inclusiv al protejării împotriva
ameninţărilor la adresa siguranţei publice şi al prevenirii acestora, astfel încât prelucrarea datelor cu
caracter personal pentru alte scopuri, în măsura în care se încadrează în domeniul de aplicare al
dreptului Uniunii, să intre în domeniul de aplicare al prezentului regulament.
(1)Directiva (UE) 2016/680 a Parlamentului European şi a Consiliului din 27 aprilie 2016 privind
protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile
competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracţiunilor sau al
executării pedepselor şi privind libera circulaţie a acestor date şi de abrogare a Deciziei-cadru
2008/977/JAI a Consiliului (a se vedea pagina 89 din prezentul Jurnal Oficial).
În ceea ce priveşte prelucrarea datelor cu caracter personal de către aceste autorităţi competente în
scopuri care intră în domeniul de aplicare al prezentului regulament, statele membre ar trebui să poată
menţine sau introduce dispoziţii mai detaliate pentru a adapta aplicarea normelor din prezentul
regulament. Aceste dispoziţii pot stabili mai precis cerinţe specifice pentru prelucrarea datelor cu
caracter personal de către respectivele autorităţi competente în aceste alte scopuri, ţinând seama de
structura constituţională, organizatorică şi administrativă a statului membru în cauză. Atunci când
prelucrarea de date cu caracter personal de către organisme private face obiectul prezentului
regulament, prezentul regulament ar trebui să prevadă posibilitatea ca statele membre, în anumite
condiţii, să impună prin lege restricţii asupra anumitor obligaţii şi drepturi, în cazul în care asemenea
restricţii constituie o măsură necesară şi proporţională într-o societate democratică în scopul garantării
unor interese specifice importante, printre care se numără siguranţa publică şi prevenirea, investigarea,
depistarea şi urmărirea penală a infracţiunilor sau executarea pedepselor, inclusiv protejarea împotriva
ameninţărilor la adresa siguranţei publice şi prevenirea acestora. Acest lucru este relevant, de exemplu,
în cadrul combaterii spălării de bani sau al activităţilor laboratoarelor criminalistice.
(20)Deşi prezentul regulament se aplică, inter alia, activităţilor instanţelor şi ale altor autorităţi
judiciare, dreptul Uniunii sau al statelor membre ar putea să precizeze operaţiunile şi procedurile de
prelucrare în ceea ce priveşte prelucrarea datelor cu caracter personal de către instanţe şi alte
autorităţi judiciare. Prelucrarea datelor cu caracter personal nu ar trebui să fie de competenţa
autorităţilor de supraveghere în cazul în care instanţele îşi exercită atribuţiile judiciare, în scopul
garantării independenţei sistemului judiciar în îndeplinirea sarcinilor sale judiciare, inclusiv în luarea
deciziilor. Supravegherea unor astfel de operaţiuni de prelucrare a datelor ar trebui să poată fi
încredinţată unor organisme specifice din cadrul sistemului judiciar al statului membru, care ar trebui să
asigure în special respectarea normelor prevăzute de prezentul regulament, să sensibilizeze membrii
sistemului judiciar cu privire la obligaţiile care le revin în temeiul prezentului regulament şi să trateze
plângerile în legătură cu astfel de operaţiuni de prelucrare a datelor.
(21)Prezentul regulament nu aduce atingere aplicării Directivei 2000/31/CE a Parlamentului
European şi a Consiliului (2), în special normelor privind răspunderea furnizorilor intermediari de servicii
prevăzute la articolele 12-15 din directiva menţionată. Respectiva directivă îşi propune să contribuie la
buna funcţionare a pieţei interne, prin asigurarea liberei circulaţii a serviciilor societăţii informaţionale
între statele membre.
(2)Directiva 2000/31/CE a Parlamentului European şi a Consiliului din 8 iunie 2000 privind anumite
aspecte juridice ale serviciilor societăţii informaţionale, în special ale comerţului electronic, pe piaţa
internă (directiva privind comerţul electronic) (JO L 178, 17.7.2000, p. 1).
(22)Orice prelucrare a datelor cu caracter personal în cadrul activităţilor unui sediu al unui operator
sau al unei persoane împuternicite de operator din Uniune ar trebui efectuată în conformitate cu
prezentul regulament, indiferent dacă procesul de prelucrare în sine are loc sau nu în cadrul Uniunii.
Sediul implică exercitarea efectivă şi reală a unei activităţi în cadrul unor înţelegeri stabile. Forma
juridică a unor astfel de înţelegeri, prin intermediul unei sucursale sau al unei filiale cu personalitate
juridică, nu este factorul determinant în această privinţă.
(23)Pentru a se asigura că persoanele fizice nu sunt lipsite de protecţia la care au dreptul în temeiul
prezentului regulament, prelucrarea datelor cu caracter personal ale persoanelor vizate care se află pe
teritoriul Uniunii de către un operator sau o persoană împuternicită de acesta care nu îşi are sediul în
Uniune ar trebui să facă obiectul prezentului regulament în cazul în care activităţile de prelucrare au
legătură cu oferirea de bunuri sau servicii unor astfel de persoane vizate, indiferent dacă acestea sunt
sau nu legate de o plată. Pentru a determina dacă un astfel de operator sau o astfel de persoană
împuternicită de operator oferă bunuri sau servicii unor persoane vizate care se află pe teritoriul
Uniunii, ar trebui să se stabilească dacă reiese că operatorul sau persoana împuternicită de operator
intenţionează să furnizeze servicii persoanelor vizate din unul sau mai multe state membre din Uniune.
Întrucât simplul fapt că există acces la un site al operatorului, al persoanei împuternicite de operator
sau al unui intermediar în Uniune, că este disponibilă o adresă de e-mail şi alte date de contact sau că
este utilizată o limbă folosită în general în ţara terţă în care operatorul îşi are sediul este insuficient
pentru a confirma o astfel de intenţie, factori precum utilizarea unei limbi sau a unei monede utilizate în
general în unul sau mai multe state membre cu posibilitatea de a comanda bunuri şi servicii în
respectiva limbă sau menţionarea unor clienţi sau utilizatori care se află pe teritoriul Uniunii pot
conduce la concluzia că operatorul intenţionează să ofere bunuri sau servicii unor persoane vizate în
Uniune.
(24)Prelucrarea datelor cu caracter personal ale persoanelor vizate care se află pe teritoriul Uniunii de
către un operator sau o persoană împuternicită de acesta care nu îşi are sediul în Uniune ar trebui, de
asemenea, să facă obiectul prezentului regulament în cazul în care este legată de monitorizarea
comportamentului unor astfel de persoane vizate, în măsura în care acest comportament se manifestă
pe teritoriul Uniunii. Pentru a se determina dacă o activitate de prelucrare poate fi considerată ca
"monitorizare a comportamentului" persoanelor vizate, ar trebui să se stabilească dacă persoanele
fizice sunt urmărite pe internet, inclusiv posibila utilizare ulterioară a unor tehnici de prelucrare a
datelor cu caracter personal care constau în crearea unui profil al unei persoane fizice, în special în
scopul de a lua decizii cu privire la aceasta sau de a analiza sau de a face previziuni referitoare la
preferinţele personale, comportamentele şi atitudinile acesteia.
(25)În cazul în care dreptul unui stat membru se aplică în temeiul dreptului internaţional public,
prezentul regulament ar trebui să se aplice, de asemenea, unui operator care nu este stabilit în Uniune,
ci, de exemplu, într-o misiune diplomatică sau într-un oficiu consular al unui stat membru.
(26)Principiile protecţiei datelor ar trebui să se aplice oricărei informaţii referitoare la o persoană fizică
identificată sau identificabilă. Datele cu caracter personal care au fost supuse pseudonimizării, care ar
putea fi atribuite unei persoane fizice prin utilizarea de informaţii suplimentare, ar trebui considerate
informaţii referitoare la o persoană fizică identificabilă. Pentru a se determina dacă o persoană fizică
este identificabilă, ar trebui să se ia în considerare toate mijloacele, cum ar fi individualizarea, pe care
este probabil, în mod rezonabil, să le utilizeze fie operatorul, fie o altă persoană, în scopul identificării,
în mod direct sau indirect, a persoanei fizice respective. Pentru a se determina dacă este probabil, în
mod rezonabil, să fie utilizate mijloace pentru identificarea persoanei fizice, ar trebui luaţi în
considerare toţi factorii obiectivi, precum costurile şi intervalul de timp necesare pentru identificare,
ţinându-se seama atât de tehnologia disponibilă la momentul prelucrării, cât şi de dezvoltarea
tehnologică. Principiile protecţiei datelor ar trebui, prin urmare, să nu se aplice informaţiilor anonime,
adică informaţiilor care nu sunt legate de o persoană fizică identificată sau identificabilă sau datelor cu
caracter personal care sunt anonimizate astfel încât persoana vizată nu este sau nu mai este
identificabilă. Prin urmare, prezentul regulament nu se aplică prelucrării unor astfel de informaţii
anonime, inclusiv în cazul în care acestea sunt utilizate în scopuri statistice sau de cercetare.
(27)Prezentul regulament nu se aplică datelor cu caracter personal referitoare la persoane decedate.
Statele membre pot să prevadă norme privind prelucrarea datelor cu caracter personal referitoare la
persoane decedate.
(28)Aplicarea pseudonimizării datelor cu caracter personal poate reduce riscurile pentru persoanele
vizate şi poate ajuta operatorii şi persoanele împuternicite de aceştia să îşi îndeplinească obligaţiile de
protecţie a datelor. Introducerea explicită a conceptului de "pseudonimizare" în prezentul regulament
nu este destinată să împiedice alte eventuale măsuri de protecţie a datelor.
(29)Pentru a crea stimulente pentru aplicarea pseudonimizării atunci când sunt prelucrate date cu
caracter personal, ar trebui să fie posibile măsuri de pseudonimizare, permiţând în acelaşi timp analiza
generală, în cadrul aceluiaşi operator atunci când operatorul a luat măsurile tehnice şi organizatorice
necesare pentru a se asigura că prezentul regulament este pus în aplicare în ceea ce priveşte
respectiva prelucrare a datelor şi că informaţiile suplimentare pentru atribuirea datelor cu caracter
personal unei anumite persoane vizate sunt păstrate separat. Operatorul care prelucrează datele cu
caracter personal ar trebui să indice persoanele autorizate din cadrul aceluiaşi operator.
(30)Persoanele fizice pot fi asociate cu identificatorii online furnizaţi de dispozitivele, aplicaţiile,
instrumentele şi protocoalele lor, cum ar fi adresele IP, identificatorii cookie sau alţi identificatori
precum etichetele de identificare prin frecvenţe radio. Aceştia pot lăsa urme care, în special atunci când
sunt combinate cu identificatori unici şi alte informaţii primite de servere, pot fi utilizate pentru crearea
de profiluri ale persoanelor fizice şi pentru identificarea lor.
(31)Autorităţile publice cărora le sunt divulgate date cu caracter personal în conformitate cu o obligaţie
legală în vederea exercitării funcţiei lor oficiale, cum ar fi autorităţile fiscale şi vamale, unităţile de
investigare financiară, autorităţile administrative independente sau autorităţile pieţelor financiare
responsabile de reglementarea şi supravegherea pieţelor titlurilor de valoare, nu ar trebui să fie
considerate destinatari în cazul în care primesc date cu caracter personal care sunt necesare pentru
efectuarea unei anumite anchete de interes general, în conformitate cu dreptul Uniunii sau cel al
statelor membre. Cererile de divulgare trimise de autorităţile publice ar trebui să fie întotdeauna
prezentate în scris, motivate şi ocazionale şi nu ar trebui să se refere la un sistem de evidenţă în
totalitate sau să conducă la interconectarea sistemelor de evidenţă. Prelucrarea datelor cu caracter
personal de către autorităţile publice respective ar trebui să respecte normele aplicabile în materie de
protecţie a datelor în conformitate cu scopurile prelucrării.
(32)Consimţământul ar trebui acordat printr-o acţiune neechivocă care să constituie o manifestare
liber exprimată, specifică, în cunoştinţă de cauză şi clară a acordului persoanei vizate pentru
prelucrarea datelor sale cu caracter personal, ca de exemplu o declaraţie făcută în scris, inclusiv în
format electronic, sau verbal. Acesta ar putea include bifarea unei căsuţe atunci când persoana
vizitează un site, alegerea parametrilor tehnici pentru serviciile societăţii informaţionale sau orice altă
declaraţie sau acţiune care indică în mod clar în acest context acceptarea de către persoana vizată a
prelucrării propuse a datelor sale cu caracter personal. Prin urmare, absenţa unui răspuns, căsuţele
bifate în prealabil sau absenţa unei acţiuni nu ar trebui să constituie un consimţământ. Consimţământul
ar trebui să vizeze toate activităţile de prelucrare efectuate în acelaşi scop sau în aceleaşi scopuri. Dacă
prelucrarea datelor se face în mai multe scopuri, consimţământul ar trebui dat pentru toate scopurile
prelucrării. În cazul în care consimţământul persoanei vizate trebuie acordat în urma unei cereri
transmise pe cale electronică, cererea respectivă trebuie să fie clară şi concisă şi să nu perturbe în mod
inutil utilizarea serviciului pentru care se acordă consimţământul.
(33)Adesea nu este posibil, în momentul colectării datelor cu caracter personal, să se identifice pe
deplin scopul prelucrării datelor în scopuri de cercetare ştiinţifică. Din acest motiv, persoanelor vizate ar
trebui să li se permită să îşi exprime consimţământul pentru anumite domenii ale cercetării ştiinţifice
atunci când sunt respectate standardele etice recunoscute pentru cercetarea ştiinţifică. Persoanele
vizate ar trebui să aibă posibilitatea de a-şi exprima consimţământul doar pentru anumite domenii de
cercetare sau părţi ale proiectelor de cercetare în măsura permisă de scopul preconizat.
(34)Datele genetice ar trebui definite drept date cu caracter personal referitoare la caracteristicile
genetice moştenite sau dobândite ale unei persoane fizice, care rezultă în urma unei analize a unei
mostre de material biologic al persoanei fizice în cauză, în special a unei analize cromozomiale, a unei
analize a acidului dezoxiribonucleic (ADN) sau a acidului ribonucleic (ARN) sau a unei analize a oricărui
alt element ce permite obţinerea unor informaţii echivalente.
(35)Datele cu caracter personal privind sănătatea ar trebui să includă toate datele având legătură cu
starea de sănătate a persoanei vizate care dezvăluie informaţii despre starea de sănătate fizică sau
mentală trecută, prezentă sau viitoare a persoanei vizate. Acestea includ informaţii despre persoana
fizică colectate în cadrul înscrierii acesteia la serviciile de asistenţă medicală sau în cadrul acordării
serviciilor respective persoanei fizice în cauză, astfel cum sunt menţionate în Directiva 2011/24/UE a
Parlamentului European şi a Consiliului (1); un număr, un simbol sau un semn distinctiv atribuit unei
persoane fizice pentru identificarea singulară a acesteia în scopuri medicale; informaţii rezultate din
testarea sau examinarea unei părţi a corpului sau a unei substanţe corporale, inclusiv din date genetice
şi eşantioane de material biologic; precum şi orice informaţii privind, de exemplu, o boală, un handicap,
un risc de îmbolnăvire, istoricul medical, tratamentul clinic sau starea fiziologică sau biomedicală a
persoanei vizate, indiferent de sursa acestora, ca de exemplu, un medic sau un alt cadru medical, un
spital, un dispozitiv medical sau un test de diagnostic in vitro.
(1)Directiva 2011/24/UE a Parlamentului European şi a Consiliului din 9 martie 2011 privind aplicarea
drepturilor pacienţilor în cadrul asistenţei medicale transfrontaliere (JO L 88, 4.4.2011, p. 45).
(36)Sediul principal al unui operator în Uniune ar trebui să fie locul în care se află administraţia
centrală a acestuia în Uniune, cu excepţia cazului în care deciziile privind scopurile şi mijloacele de
prelucrare a datelor cu caracter personal se iau într-un alt sediu al operatorului în Uniune. În acest caz,
acesta din urmă ar trebui considerat drept sediul principal. Sediul principal al unui operator în Uniune ar
trebui să fie determinat conform unor criterii obiective şi ar trebui să implice exercitarea efectivă şi
reală a unor activităţi de gestionare care să determine principalele decizii cu privire la scopurile şi
mijloacele de prelucrare în cadrul unor înţelegeri stabile. Acest criteriu nu ar trebui să depindă de
realizarea prelucrării datelor cu caracter personal în locul respectiv. Prezenţa şi utilizarea mijloacelor
tehnice şi a tehnologiilor de prelucrare a datelor cu caracter personal sau activităţile de prelucrare nu
constituie un sediu principal şi, prin urmare, nu sunt criteriul determinant în acest sens. Sediul principal
al persoanei împuternicite de operator ar trebui să fie locul în care se află administraţia centrală a
acestuia în Uniune sau, în cazul în care nu are o administraţie centrală în Uniune, locul în care se
desfăşoară principalele activităţi de prelucrare în Uniune. În cazurile care implică atât operatorul, cât şi
persoana împuternicită de operator, autoritatea de supraveghere principală competentă ar trebui să
rămână autoritatea de supraveghere a statului membru în care operatorul îşi are sediul principal, dar
autoritatea de supraveghere a persoanei împuternicite de operator ar trebui considerată ca fiind o
autoritate de supraveghere vizată şi acea autoritate de supraveghere ar trebui să participe la procedura
de cooperare prevăzută de prezentul regulament. În orice caz, autorităţile de supraveghere ale statului
membru sau ale statelor membre în care persoana împuternicită de operator are unul sau mai multe
sedii nu ar trebui considerate ca fiind autorităţi de supraveghere vizate în cazul în care proiectul de
decizie nu se referă decât la operator. În cazul în care prelucrarea este efectuată de un grup de
întreprinderi, sediul principal al întreprinderii care exercită controlul ar trebui considerat drept sediul
principal al grupului de întreprinderi, cu excepţia cazului în care scopurile şi mijloacele aferente
prelucrării sunt stabilite de o altă întreprindere.
(37)Un grup de întreprinderi ar trebui să cuprindă o întreprindere care exercită controlul şi
întreprinderile controlate de aceasta, în cadrul căruia întreprinderea care exercită controlul ar trebui să
fie întreprinderea care poate exercita o influenţă dominantă asupra celorlalte întreprinderi, de exemplu
în temeiul proprietăţii, al participării financiare sau al regulilor care o reglementează sau al competenţei
de a pune în aplicare norme în materie de protecţie a datelor cu caracter personal. O întreprindere care
controlează prelucrarea datelor cu caracter personal în întreprinderile sale afiliate ar trebui considerată,
împreună cu acestea din urmă, drept "grup de întreprinderi".
(38)Copiii au nevoie de o protecţie specifică a datelor lor cu caracter personal, întrucât pot fi mai puţin
conştienţi de riscurile, consecinţele, garanţiile în cauză şi drepturile lor în ceea ce priveşte prelucrarea
datelor cu caracter personal. Această protecţie specifică ar trebui să se aplice în special utilizării datelor
cu caracter personal ale copiilor în scopuri de marketing sau pentru crearea de profiluri de personalitate
sau de utilizator şi la colectarea datelor cu caracter personal privind copiii în momentul utilizării
serviciilor oferite direct copiilor. Consimţământul titularului răspunderii părinteşti nu ar trebui să fie
necesar în contextul serviciilor de prevenire sau consiliere oferite direct copiilor.
(39)Orice prelucrare de date cu caracter personal ar trebui să fie legală şi echitabilă. Ar trebui să fie
transparent pentru persoanele fizice că sunt colectate, utilizate, consultate sau prelucrate în alt mod
datele cu caracter personal care le privesc şi în ce măsură datele cu caracter personal sunt sau vor fi
prelucrate. Principiul transparenţei prevede că orice informaţii şi comunicări referitoare la prelucrarea
respectivelor date cu caracter personal sunt uşor accesibile şi uşor de înţeles şi că se utilizează un
limbaj simplu şi clar. Acest principiu se referă în special la informarea persoanelor vizate privind
identitatea operatorului şi scopurile prelucrării, precum şi la oferirea de informaţii suplimentare, pentru
a asigura o prelucrare echitabilă şi transparentă în ceea ce priveşte persoanele fizice vizate şi dreptul
acestora de a li se confirma şi comunica datele cu caracter personal care le privesc care sunt
prelucrate. Persoanele fizice ar trebui informate cu privire la riscurile, normele, garanţiile şi drepturile în
materie de prelucrare a datelor cu caracter personal şi cu privire la modul în care să îşi exercite
drepturile în legătură cu prelucrarea. În special, scopurile specifice în care datele cu caracter personal
sunt prelucrate ar trebui să fie explicite şi legitime şi să fie determinate la momentul colectării datelor
respective. Datele cu caracter personal ar trebui să fie adecvate, relevante şi limitate la ceea ce este
necesar pentru scopurile în care sunt prelucrate. Aceasta necesită, în special, asigurarea faptului că
perioada pentru care datele cu caracter personal sunt stocate este limitată strict la minimum. Datele cu
caracter personal ar trebui prelucrate doar dacă scopul prelucrării nu poate fi îndeplinit în mod
rezonabil prin alte mijloace. În vederea asigurării faptului că datele cu caracter personal nu sunt
păstrate mai mult timp decât este necesar, ar trebui să se stabilească de către operator termene
pentru ştergere sau revizuirea periodică. Ar trebui să fie luate toate măsurile rezonabile pentru a se
asigura că datele cu caracter personal care sunt inexacte sunt rectificate sau şterse. Datele cu caracter
personal ar trebui prelucrate într-un mod care să asigure în mod adecvat securitatea şi
confidenţialitatea acestora, inclusiv în scopul prevenirii accesului neautorizat la acestea sau utilizarea
neautorizată a datelor cu caracter personal şi a echipamentului utilizat pentru prelucrare.
(40)Pentru ca prelucrarea datelor cu caracter personal să fie legală, aceasta ar trebui efectuată pe
baza consimţământului persoanei vizate sau în temeiul unui alt motiv legitim, prevăzut de lege, fie în
prezentul regulament, fie în alt act din dreptul Uniunii sau din dreptul intern, după cum se prevede în
prezentul regulament, inclusiv necesitatea respectării obligaţiilor legale la care este supus operatorul
sau necesitatea de a executa un contract la care persoana vizată este parte sau pentru a parcurge
etapele premergătoare încheierii unui contract, la solicitarea persoanei vizate.
(41)Ori de câte ori prezentul regulament face trimitere la un temei juridic sau la o măsură legislativă,
aceasta nu necesită neapărat un act legislativ adoptat de către un parlament, fără a aduce atingere
cerinţelor care decurg din ordinea constituţională a statului membru în cauză. Cu toate acestea, un
astfel de temei juridic sau o astfel de măsură legislativă ar trebui să fie clară şi precisă, iar aplicarea
acesteia ar trebui să fie previzibilă pentru persoanele vizate de aceasta, în conformitate cu
jurisprudenţa Curţii de Justiţie a Uniunii Europene ("Curtea de Justiţie") şi a Curţii Europene a
Drepturilor Omului.
(42)În cazul în care prelucrarea se bazează pe consimţământul persoanei vizate, operatorul ar trebui
să fie în măsură să demonstreze faptul că persoana vizată şi-a dat consimţământul pentru operaţiunea
de prelucrare. În special, în contextul unei declaraţii scrise cu privire la un alt aspect, garanţiile ar
trebui să asigure că persoana vizată este conştientă de faptul că şi-a dat consimţământul şi în ce
măsură a făcut acest lucru. În conformitate cu Directiva 93/13/CEE a Consiliului (1), ar trebui
furnizată o declaraţie de consimţământ formulată în prealabil de către operator, într-o formă inteligibilă
şi uşor accesibilă, utilizând un limbaj clar şi simplu, iar această declaraţie nu ar trebui să conţină clauze
abuzive. Pentru ca acordarea consimţământului să fie în cunoştinţă de cauză, persoana vizată ar trebui
să fie la curent cel puţin cu identitatea operatorului şi cu scopurile prelucrării pentru care sunt destinate
datele cu caracter personal. Consimţământul nu ar trebui considerat ca fiind acordat în mod liber dacă
persoana vizată nu dispune cu adevărat de libertatea de alegere sau nu este în măsură să refuze sau
să îşi retragă consimţământul fără a fi prejudiciată.
(1)Directiva 93/13/CEE a Consiliului din 5 aprilie 1993 privind clauzele abuzive în contractele încheiate
cu consumatorii (JO L 95, 21.4.1993, p. 29).
(43)Pentru a garanta faptul că a fost acordat în mod liber, consimţământul nu ar trebui să constituie
un temei juridic valabil pentru prelucrarea datelor cu caracter personal în cazul particular în care există
un dezechilibru evident între persoana vizată şi operator, în special în cazul în care operatorul este o
autoritate publică, iar acest lucru face improbabilă acordarea consimţământului în mod liber în toate
circumstanţele aferente respectivei situaţii particulare. Consimţământul este considerat a nu fi acordat
în mod liber în cazul în care aceasta nu permite să se acorde consimţământul separat pentru diferitele
operaţiuni de prelucrare a datelor cu caracter personal, deşi acest lucru este adecvat în cazul particular,
sau dacă executarea unui contract, inclusiv furnizarea unui serviciu, este condiţionată de
consimţământ, în ciuda faptului că consimţământul în cauză nu este necesar pentru executarea
contractului.
(44)Prelucrarea ar trebui să fie considerată legală în cazul în care este necesară în cadrul unui contract
sau în vederea încheierii unui contract.
(45)În cazul în care prelucrarea este efectuată în conformitate cu o obligaţie legală a operatorului sau
în cazul în care prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes
public sau care face parte din exercitarea autorităţii publice, prelucrarea ar trebui să aibă un temei în
dreptul Uniunii sau în dreptul intern. Prezentul regulament nu impune existenţa unei legi specifice
pentru fiecare prelucrare în parte. Poate fi suficientă o singură lege drept temei pentru mai multe
operaţiuni de prelucrare efectuate în conformitate cu o obligaţie legală a operatorului sau în cazul în
care prelucrarea este necesară pentru îndeplinirea unei sarcini care serveşte unui interes public sau
care face parte din exercitarea autorităţii publice. De asemenea, ar trebui ca scopul prelucrării să fie
stabilit în dreptul Uniunii sau în dreptul intern. Mai mult decât atât, dreptul respectiv ar putea să
specifice condiţiile generale ale prezentului regulament care reglementează legalitatea prelucrării
datelor cu caracter personal, să determine specificaţiile pentru stabilirea operatorului, a tipului de date
cu caracter personal care fac obiectul prelucrării, a persoanelor vizate, a entităţilor cărora le pot fi
divulgate datele cu caracter personal, a limitărilor în funcţie de scop, a perioadei de stocare şi a altor
măsuri pentru a garanta o prelucrare legală şi echitabilă. De asemenea, ar trebui să se stabilească în
dreptul Uniunii sau în dreptul intern dacă operatorul care îndeplineşte o sarcină care serveşte unui
interes public sau care face parte din exercitarea autorităţii publice ar trebui să fie o autoritate publică
sau o altă persoană fizică sau juridică guvernată de dreptul public sau, atunci când motive de interes
public justifică acest lucru, inclusiv în scopuri medicale, precum sănătatea publică şi protecţia socială,
precum şi gestionarea serviciilor de asistenţă medicală, de dreptul privat, cum ar fi o asociaţie
profesională.
(46)Prelucrarea datelor cu caracter personal ar trebui, de asemenea, să fie considerată legală în cazul
în care este necesară în scopul asigurării protecţiei unui interes care este esenţial pentru viaţa
persoanei vizate sau pentru viaţa unei alte persoane fizice. Prelucrarea datelor cu caracter personal
care are drept temei interesele vitale ale unei alte persoane fizice ar trebui efectuată numai în cazul în
care prelucrarea nu se poate baza în mod evident pe un alt temei juridic. Unele tipuri de prelucrare pot
servi atât unor motive importante de interes public, cât şi intereselor vitale ale persoanei vizate, de
exemplu în cazul în care prelucrarea este necesară în scopuri umanitare, inclusiv în vederea
monitorizării unei epidemii şi a răspândirii acesteia sau în situaţii de urgenţe umanitare, în special în
situaţii de dezastre naturale sau provocate de om.
(47)Interesele legitime ale unui operator, inclusiv cele ale unui operator căruia îi pot fi divulgate datele
cu caracter personal sau ale unei terţe părţi, pot constitui un temei juridic pentru prelucrare, cu
condiţia să nu prevaleze interesele sau drepturile şi libertăţile fundamentale ale persoanei vizate, luând
în considerare aşteptările rezonabile ale persoanelor vizate bazate pe relaţia acestora cu operatorul.
Acest interes legitim ar putea exista, de exemplu, atunci când există o relaţie relevantă şi adecvată
între persoana vizată şi operator, cum ar fi cazul în care persoana vizată este un client al operatorului
sau se află în serviciul acestuia. În orice caz, existenţa unui interes legitim ar necesita o evaluare
atentă, care să stabilească inclusiv dacă o persoană vizată poate preconiza în mod rezonabil, în
momentul şi în contextul colectării datelor cu caracter personal, posibilitatea prelucrării în acest scop.
Interesele şi drepturile fundamentale ale persoanei vizate ar putea prevala în special în raport cu
interesul operatorului de date atunci când datele cu caracter personal sunt prelucrate în circumstanţe în
care persoanele vizate nu preconizează în mod rezonabil o prelucrare ulterioară. Întrucât legiuitorul
trebuie să furnizeze temeiul juridic pentru prelucrarea datelor cu caracter personal de către autorităţile
publice, temeiul juridic respectiv nu ar trebui să se aplice prelucrării de către autorităţile publice în
îndeplinirea sarcinilor care le revin. Prelucrarea de date cu caracter personal strict necesară în scopul
prevenirii fraudelor constituie, de asemenea, un interes legitim al operatorului de date în cauză.
Prelucrarea de date cu caracter personal care are drept scop marketingul direct poate fi considerată ca
fiind desfăşurată pentru un interes legitim.
(48)Operatorii care fac parte dintr-un grup de întreprinderi sau instituţii afiliate unui organism central
pot avea un interes legitim de a transmite date cu caracter personal în cadrul grupului de întreprinderi
în scopuri administrative interne, inclusiv în scopul prelucrării datelor cu caracter personal ale clienţilor
sau angajaţilor. Principiile generale ale transferului de date cu caracter personal, în cadrul unui grup de
întreprinderi, către o întreprindere situată într-o ţară terţă rămân neschimbate.
(49)Prelucrarea datelor cu caracter personal în măsura strict necesară şi proporţională în scopul
asigurării securităţii reţelelor şi a informaţiilor, şi anume capacitatea unei reţele sau a unui sistem de
informaţii de a face faţă, la un anumit nivel de încredere, evenimentelor accidentale sau acţiunilor
ilegale sau rău intenţionate care compromit disponibilitatea, autenticitatea, integritatea şi
confidenţialitatea datelor cu caracter personal stocate sau transmise, precum şi securitatea serviciilor
conexe oferite de aceste reţele şi sisteme, sau accesibile prin intermediul acestora, de către autorităţile
publice, echipele de intervenţie în caz de urgenţă informatică, echipele de intervenţie în cazul
producerii unor incidente care afectează securitatea informatică, furnizorii de reţele şi servicii de
comunicaţii electronice, precum şi de către furnizorii de servicii şi tehnologii de securitate, constituie un
interes legitim al operatorului de date în cauză. Acesta ar putea include, de exemplu, prevenirea
accesului neautorizat la reţelele de comunicaţii electronice şi a difuzării de coduri dăunătoare şi oprirea
atacurilor de "blocare a serviciului", precum şi prevenirea daunelor aduse calculatoarelor şi sistemelor
de comunicaţii electronice.
(50)Prelucrarea datelor cu caracter personal în alte scopuri decât scopurile pentru care datele cu
caracter personal au fost iniţial colectate ar trebui să fie permisă doar atunci când prelucrarea este
compatibilă cu scopurile respective pentru care datele cu caracter personal au fost iniţial colectate. În
acest caz nu este necesar un temei juridic separat de cel pe baza căruia a fost permisă colectarea
datelor cu caracter personal. În cazul în care prelucrarea este necesară pentru îndeplinirea unei sarcini
care serveşte unui interes public sau care rezultă din exercitarea autorităţii publice cu care este învestit
operatorul, dreptul Uniunii sau dreptul intern poate stabili şi specifica sarcinile şi scopurile pentru care
prelucrarea ulterioară ar trebui considerată a fi compatibilă şi legală. Prelucrarea ulterioară în scopuri
de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice ar
trebui considerată ca reprezentând operaţiuni de prelucrare legale compatibile. Temeiul juridic prevăzut
în dreptul Uniunii sau în dreptul intern pentru prelucrarea datelor cu caracter personal poate constitui,
de asemenea, un temei juridic pentru prelucrarea ulterioară. Pentru a stabili dacă scopul prelucrării
ulterioare este compatibil cu scopul pentru care au fost colectate iniţial datele cu caracter personal,
operatorul, după ce a îndeplinit toate cerinţele privind legalitatea prelucrării iniţiale, ar trebui să ţină
seama, printre altele, de orice legătură între respectivele scopuri şi scopurile prelucrării ulterioare
preconizate, de contextul în care au fost colectate datele cu caracter personal, în special de aşteptările
rezonabile ale persoanelor vizate, bazate pe relaţia lor cu operatorul, în ceea ce priveşte utilizarea
ulterioară a datelor, de natura datelor cu caracter personal, de consecinţele prelucrării ulterioare
preconizate asupra persoanelor vizate, precum şi de existenţa garanţiilor corespunzătoare atât în cadrul
operaţiunilor de prelucrare iniţiale, cât şi în cadrul operaţiunilor de prelucrare ulterioare preconizate.
În cazul în care persoana vizată şi-a dat consimţământul sau prelucrarea se bazează pe dreptul Uniunii
sau pe dreptul intern, care constituie o măsură necesară şi proporţională într-o societate democratică
pentru a proteja, în special, obiective importante de interes public general, operatorul ar trebui să aibă
posibilitatea de a prelucra în continuare datele cu caracter personal, indiferent de compatibilitatea
scopurilor. În orice caz, aplicarea principiilor stabilite de prezentul regulament şi, în special, informarea
persoanei vizate cu privire la aceste alte scopuri şi la drepturile sale, inclusiv dreptul la opoziţie, ar
trebui să fie garantate. Indicarea unor posibile infracţiuni sau ameninţări la adresa siguranţei publice de
către operator şi transmiterea către o autoritate competentă a datelor cu caracter personal relevante în
cazuri individuale sau în mai multe cazuri legate de aceeaşi infracţiune sau de aceleaşi ameninţări la
adresa siguranţei publice ar trebui considerată ca fiind în interesul legitim urmărit de operator. Cu toate
acestea, o astfel de transmitere în interesul legitim al operatorului sau prelucrarea ulterioară a datelor
cu caracter personal ar trebui interzisă în cazul în care prelucrarea nu este compatibilă cu o obligaţie
legală, profesională sau cu o altă obligaţie de păstrare a confidenţialităţii.
(51)Datele cu caracter personal care sunt, prin natura lor, deosebit de sensibile în ceea ce priveşte
drepturile şi libertăţile fundamentale necesită o protecţie specifică, deoarece contextul prelucrării
acestora ar putea genera riscuri considerabile la adre Înapoi