GDPR

I(Acte legislative)
REGULAMENTE
REGULAMENTUL (UE) 2016/679 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (Text cu relevanță pentru SEE) PARLAMENTUL EUROPEAN ȘI CONSILIUL UNIUNII EUROPENE, având în vedere Tratatul privind funcționarea Uniunii Europene, în special articolul 16, având în vedere propunerea Comisiei Europene, după transmiterea proiectului de act legislativ către parlamentele naționale, având în vedere avizul Comitetului Economic și Social European (1), având în vedere avizul Comitetului Regiunilor (2),hotărând în conformitate cu procedura legislativă ordinară (3),
întrucât:

(1) Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal este un drept fundamental.
Articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene („carta”) și articolul 16 alineatul (1) din Tratatul privind funcționarea Uniunii Europene (TFUE) prevăd dreptul oricărei persoane la protecția datelor cu caracter personal care o privesc.

(2) Principiile și normele referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor lor cu
caracter personal ar trebui, indiferent de cetățenia sau de locul de reședință al persoanelor fizice, să respecte
drepturile și libertățile fundamentale ale acestora, în special dreptul la protecția datelor cu caracter personal.
Prezentul regulament urmărește să contribuie la realizarea unui spațiu de libertate, securitate și justiție și a unei
uniuni economice, la progresul economic și social, la consolidarea și convergența economiilor în cadrul pieței
interne și la bunăstarea persoanelor fizice.
(3) Directiva 95/46/CE a Parlamentului European și a Consiliului (4) vizează armonizarea nivelului de protecție a drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește activitățile de prelucrare și asigurarea liberei circulații a datelor cu caracter personal între statele membre.

4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/1
(1) JO C 229, 31.7.2012, p. 90.
(2) JO C 391, 18.12.2012, p.127.
(3) Poziția Parlamentului European din 12 martie 2014 (nepublicată încă în Jurnalul Oficial) și Poziția în primă lectură a Consiliului din 8 aprilie 2016 (nepublicată încă în Jurnalul Oficial). Poziția Parlamentului European din 14 aprilie 2016.
(4) Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce
privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO L 281, 23.11.1995, p. 31).


(4) Prelucrarea datelor cu caracter personal ar trebui să fie în serviciul cetățenilor. Dreptul la protecția datelor cu
caracter personal nu este un drept absolut; acesta trebuie luat în considerare în raport cu funcția pe care o
îndeplinește în societate și echilibrat cu alte drepturi fundamentale, în conformitate cu principiul proporționalității. Prezentul regulament respectă toate drepturile fundamentale și libertățile și principiile recunoscute în cartă
astfel cum sunt consacrate în tratate, în special respectarea vieții private și de familie, a reședinței și a comunicațiilor, a protecției datelor cu caracter personal, a libertății de gândire, de conștiință și de religie, a libertății de
exprimare și de informare, a libertății de a desfășura o activitate comercială, dreptul la o cale de atac eficientă și la
un proces echitabil, precum și diversitatea culturală, religioasă și lingvistică.


(5) Integrarea economică și socială care rezultă din funcționarea pieței interne a condus la o creștere substanțială a
fluxurilor transfrontaliere de date cu caracter personal. Schimbul de date cu caracter personal între actori publici
și privați, inclusiv persoane fizice, asociații și întreprinderi, s-a intensificat în întreaga Uniune. Conform dreptului
Uniunii, autoritățile naționale din statele membre sunt chemate să coopereze și să facă schimb de date cu caracter
personal pentru a putea să își îndeplinească atribuțiile sau să execute sarcini în numele unei autorități dintr-un alt
stat membru.


(6) Evoluțiile tehnologice rapide și globalizarea au generat noi provocări pentru protecția datelor cu caracter
personal. Amploarea colectării și a schimbului de date cu caracter personal a crescut în mod semnificativ.
Tehnologia permite atât societăților private, cât și autorităților publice să utilizeze date cu caracter personal la un
nivel fără precedent în cadrul activităților lor. Din ce în ce mai mult, persoanele fizice fac publice la nivel mondial
informații cu caracter personal. Tehnologia a transformat deopotrivă economia și viața socială și ar trebui să
faciliteze în continuare libera circulație a datelor cu caracter personal în cadrul Uniunii și transferul către țări terțe
și organizații internaționale, asigurând, totodată, un nivel ridicat de protecție a datelor cu caracter personal.


(7) Aceste evoluții impun un cadru solid și mai coerent în materie de protecție a datelor în Uniune, însoțit de o
aplicare riguroasă a normelor, luând în considerare importanța creării unui climat de încredere care va permite
economiei digitale să se dezvolte pe piața internă. Persoanele fizice ar trebui să aibă control asupra propriilor date
cu caracter personal, iar securitatea juridică și practică pentru persoane fizice, operatori economici și autorități
publice ar trebui să fie consolidată.


(8) În cazul în care prezentul regulament prevede specificări sau restricționări ale normelor sale de către dreptul
intern, statele membre pot, în măsura în care acest lucru este necesar pentru coerență și pentru a asigura
înțelegerea dispozițiilor naționale de către persoanele cărora li se aplică acestea, să încorporeze elemente din
prezentul regulament în dreptul lor intern.


(9) Obiectivele și principiile Directivei 95/46/CE rămân solide, dar aceasta nu a prevenit fragmentarea modului în
care protecția datelor este pusă în aplicare în Uniune, insecuritatea juridică sau percepția publică larg răspândită
conform căreia există riscuri semnificative pentru protecția persoanelor fizice, în special în legătură cu activitatea
online. Diferențele dintre nivelurile de protecție a drepturilor și libertăților persoanelor fizice, în special a
dreptului la protecția datelor cu caracter personal, în ceea ce privește prelucrarea datelor cu caracter personal din
statele membre pot împiedica libera circulație a datelor cu caracter personal în întreaga Uniune. Aceste diferențe
pot constitui, prin urmare, un obstacol în desfășurarea de activități economice la nivelul Uniunii, pot denatura
concurența și pot împiedica autoritățile să îndeplinească responsabilitățile care le revin în temeiul dreptului
Uniunii. Această diferență între nivelurile de protecție este cauzată de existența unor deosebiri în ceea ce privește
transpunerea și aplicarea Directivei 95/46/CE.


(10) Pentru a se asigura un nivel consecvent și ridicat de protecție a persoanelor fizice și pentru a se îndepărta
obstacolele din calea circulației datelor cu caracter personal în cadrul Uniunii, nivelul protecției drepturilor și
libertăților persoanelor fizice în ceea ce privește prelucrarea unor astfel de date ar trebui să fie echivalent în toate
statele membre. Aplicarea consecventă și omogenă a normelor în materie de protecție a drepturilor și libertăților
fundamentale ale persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal ar trebui să fie
asigurată în întreaga Uniune. În ceea ce privește prelucrarea datelor cu caracter personal în vederea respectării
unei obligații legale, a îndeplinirii unei sarcini care servește unui interes public sau care rezultă din exercitarea
autorității publice cu care este învestit operatorul, statelor membre ar trebui să li se permită să mențină sau să
introducă dispoziții de drept intern care să clarifice într-o mai mare măsură aplicarea normelor prezentului
regulament. În coroborare cu legislația generală și orizontală privind protecția datelor, prin care este pusă în
aplicare Directiva 95/46/CE, statele membre au mai multe legi sectoriale specifice în domenii care necesită
dispoziții mai precise. Prezentul regulament oferă, de asemenea, statelor membre o marjă de manevră în
specificarea normelor sale, inclusiv în ceea ce privește prelucrarea categoriilor speciale de date cu caracter
personal („date sensibile”). În acest sens, prezentul regulament nu exclude dreptul statelor membre care stabilește
circumstanțele aferente unor situații de prelucrare specifice, inclusiv stabilirea cu o mai mare precizie a condițiilor
în care prelucrarea datelor cu caracter personal este legală.
L 119/2 RO Jurnalul Oficial al Uniunii Europene 4.5.2016


(11) Protecția efectivă a datelor cu caracter personal în întreaga Uniune necesită nu numai consolidarea și stabilirea în
detaliu a drepturilor persoanelor vizate și a obligațiilor celor care prelucrează și decid prelucrarea datelor cu
caracter personal, ci și competențe echivalente pentru monitorizarea și asigurarea conformității cu normele de
protecție a datelor cu caracter personal și sancțiuni echivalente pentru infracțiuni în statele membre.


(12) Articolul 16 alineatul (2) din TFUE mandatează Parlamentul European și Consiliul să stabilească normele privind
protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal, precum și normele privind libera
circulație a acestor date.


(13) În vederea asigurării unui nivel uniform de protecție pentru persoanele fizice în întreaga Uniune și a preîntâmpinării discrepanțelor care împiedică libera circulație a datelor în cadrul pieței interne, este necesar un regulament
în scopul de a furniza securitate juridică și transparență pentru operatorii economici, inclusiv microîntreprinderi
și întreprinderi mici și mijlocii, precum și de a oferi persoanelor fizice în toate statele membre același nivel de
drepturi, obligații și responsabilități opozabile din punct de vedere juridic pentru operatori și persoanele împuternicite de aceștia, pentru a se asigura o monitorizare coerentă a prelucrării datelor cu caracter personal, sancțiuni
echivalente în toate statele membre, precum și cooperarea eficace a autorităților de supraveghere ale diferitelor
state membre. Pentru buna funcționare a pieței interne este necesar ca libera circulație a datelor cu caracter
personal în cadrul Uniunii să nu fie restricționată sau interzisă din motive legate de protecția persoanelor fizice în
ceea ce privește prelucrarea datelor cu caracter personal. Pentru a se lua în considerare situația specifică a
microîntreprinderilor și a întreprinderilor mici și mijlocii, prezentul regulament include o derogare pentru organizațiile cu mai puțin de 250 de angajați în ceea ce privește păstrarea evidențelor. În plus, instituțiile și organele
Uniunii și statele membre și autoritățile lor de supraveghere sunt încurajate să ia în considerare necesitățile
specifice ale microîntreprinderilor și ale întreprinderilor mici și mijlocii în aplicarea prezentului regulament.
Noțiunea de microîntreprinderi și de întreprinderi mici și mijlocii ar trebui să se bazeze pe articolul 2 din anexa
la Recomandarea 2003/361/CE a Comisiei (1).


(14) Protecția conferită de prezentul regulament ar trebui să vizeze persoanele fizice, indiferent de cetățenia sau de
locul de reședință al acestora, în ceea ce privește prelucrarea datelor cu caracter personal ale acestora. Prezentul
regulament nu se aplică prelucrării datelor cu caracter personal care privesc persoane juridice și, în special,
întreprinderi cu personalitate juridică, inclusiv numele și tipul de persoană juridică și datele de contact ale
persoanei juridice.


(15) Pentru a preveni apariția unui risc major de eludare, protecția persoanelor fizice ar trebui să fie neutră din punct
de vedere tehnologic și să nu depindă de tehnologiile utilizate. Protecția persoanelor fizice ar trebui să se aplice
prelucrării datelor cu caracter personal prin mijloace automatizate, precum și prelucrării manuale, în cazul în care
datele cu caracter personal sunt cuprinse sau destinate să fie cuprinse într-un sistem de evidență. Dosarele sau
seturile de dosare, precum și copertele acestora, care nu sunt structurate în conformitate cu criterii specificenu ar
trebui să intre în domeniul de aplicare al prezentului regulament.


(16) Prezentul regulament nu se aplică chestiunilor de protecție a drepturilor și libertăților fundamentale sau la libera
circulație a datelor cu caracter personal referitoare la activități care nu intră în domeniul de aplicare al dreptului
Uniunii, de exemplu activitățile privind securitatea națională. Prezentul regulament nu se aplică prelucrării datelor
cu caracter personal de către statele membre atunci când acestea desfășoară activități legate de politica externă și
de securitatea comună a Uniunii.


(17) Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului (2) se aplică prelucrării de date cu
caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii. Regulamentul (CE) nr. 45/2001 și alte
acte juridice ale Uniunii aplicabile unei asemenea prelucrări a datelor cu caracter personal ar trebui adaptate la
principiile și normele stabilite în prezentul regulament și aplicate în conformitate cu prezentul regulament. În
vederea asigurării unui cadru solid și coerent în materie de protecție a datelor în Uniune, ar trebui ca după
adoptarea prezentului regulament să se aducă Regulamentului (CE) nr. 45/2001 adaptările necesare, astfel încât
acestea să poată fi aplicate odată cu prezentul regulament.


(18) Prezentul regulament nu se aplică prelucrării datelor cu caracter personal de către o persoană fizică în cadrul unei
activități exclusiv personale sau domestice și care, prin urmare, nu are legătură cu o activitate profesională sau
4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/3
(1) Recomandarea 2003/361/CE a Comisiei din 6 mai 2003 privind definirea microîntreprinderilor și a întreprinderilor mici și mijlocii
[C(2003) 1422] (JO L 124, 20.5.2003, p. 36).
(2) Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului din 18 decembrie 2000 privind protecția persoanelor fizice
cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date
(JO L 8, 12.1.2001, p. 1).
comercială. Activitățile personale sau domestice ar putea include corespondența și repertoriul de adrese sau
activitățile din cadrul rețelelor sociale și activitățile online desfășurate în contextul respectivelor activități. Cu toate
acestea, prezentul regulament se aplică operatorilor sau persoanelor împuternicite de operatori care furnizează
mijloacele de prelucrare a datelor cu caracter personal pentru astfel de activități personale sau domestice.


(19) Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către autoritățile
competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor sau al executării
pedepselor, inclusiv al protejării împotriva amenințărilor la adresa siguranței publice și al prevenirii acestora,
precum și libera circulație a acestor date, face obiectul unui act juridic specific al Uniunii. Prin urmare, prezentul
regulament nu ar trebui să se aplice activităților de prelucrare în aceste scopuri. Cu toate acestea, datele cu
caracter personal prelucrate de către autoritățile publice în temeiul prezentului regulament, atunci când sunt
utilizate în aceste scopuri, ar trebui să fie reglementate printr-un act juridic mai specific al Uniunii, și anume
Directiva (UE) 2016/680 a Parlamentului European și a Consiliului (1). Statele membre pot încredința autorităților
competente în sensul Directivei (UE) 2016/680 sarcini care nu sunt neapărat îndeplinite în scopul prevenirii,
investigării, depistării sau urmăririi penale a infracțiunilor sau al executării pedepselor, inclusiv al protejării
împotriva amenințărilor la adresa siguranței publice și al prevenirii acestora, astfel încât prelucrarea datelor cu
caracter personal pentru alte scopuri, în măsura în care se încadrează în domeniul de aplicare al dreptului
Uniunii, să intre în domeniul de aplicare al prezentului regulament.
În ceea ce privește prelucrarea datelor cu caracter personal de către aceste autorități competente în scopuri care
intră în domeniul de aplicare al prezentului regulament, statele membre ar trebui să poată menține sau introduce
dispoziții mai detaliate pentru a adapta aplicarea normelor din prezentul regulament. Aceste dispoziții pot stabili
mai precis cerințe specifice pentru prelucrarea datelor cu caracter personal de către respectivele autorități
competente în aceste alte scopuri, ținând seama de structura constituțională, organizatorică și administrativă a
statului membru în cauză. Atunci când prelucrarea de date cu caracter personal de către organisme private face
obiectul prezentului regulament, prezentul regulament ar trebui să prevadă posibilitatea ca statele membre, în
anumite condiții, să impună prin lege restricții asupra anumitor obligații și drepturi, în cazul în care asemenea
restricții constituie o măsură necesară și proporțională într-o societate democratică în scopul garantării unor
interese specifice importante, printre care se numără siguranța publică și prevenirea, investigarea, depistarea și
urmărirea penală a infracțiunilor sau executarea pedepselor, inclusiv protejarea împotriva amenințărilor la adresa
siguranței publice și prevenirea acestora. Acest lucru este relevant, de exemplu, în cadrul combaterii spălării de
bani sau al activităților laboratoarelor criminalistice.


(20) Deși prezentul regulament se aplică, inter alia, activităților instanțelor și ale altor autorități judiciare, dreptul
Uniunii sau al statelor membre ar putea să precizeze operațiunile și procedurile de prelucrare în ceea ce privește
prelucrarea datelor cu caracter personal de către instanțe și alte autorități judiciare. Prelucrarea datelor cu caracter
personal nu ar trebui să fie de competența autorităților de supraveghere în cazul în care instanțele își exercită
atribuțiile judiciare, în scopul garantării independenței sistemului judiciar în îndeplinirea sarcinilor sale judiciare,
inclusiv în luarea deciziilor. Supravegherea unor astfel de operațiuni de prelucrare a datelor ar trebui să poată fi
încredințată unor organisme specifice din cadrul sistemului judiciar al statului membru, care ar trebui să asigure
în special respectarea normelor prevăzute de prezentul regulament, să sensibilizeze membrii sistemului judiciar cu
privire la obligațiile care le revin în temeiul prezentului regulament și să trateze plângerile în legătură cu astfel de
operațiuni de prelucrare a datelor.


(21) Prezentul regulament nu aduce atingere aplicării Directivei 2000/31/CE a Parlamentului European și a
Consiliului (2), în special normelor privind răspunderea furnizorilor intermediari de servicii prevăzute la articolele 12-15 din directiva menționată. Respectiva directivă își propune să contribuie la buna funcționare a pieței
interne, prin asigurarea liberei circulații a serviciilor societății informaționale între statele membre.


(22) Orice prelucrare a datelor cu caracter personal în cadrul activităților unui sediu al unui operator sau al unei
persoane împuternicite de operator din Uniune ar trebui efectuată în conformitate cu prezentul regulament,
indiferent dacă procesul de prelucrare în sine are loc sau nu în cadrul Uniunii. Sediul implică exercitarea efectivă
și reală a unei activități în cadrul unor înțelegeri stabile. Forma juridică a unor astfel de înțelegeri, prin
intermediul unei sucursale sau al unei filiale cu personalitate juridică, nu este factorul determinant în această
privință.
L 119/4 RO Jurnalul Oficial al Uniunii Europene 4.5.2016
(1) Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la
prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a
infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a
Consiliului (a se vedea pagina 89 din prezentul Jurnal Oficial).
(2) Directiva 2000/31/CE a Parlamentului European și a Consiliului din 8 iunie 2000 privind anumite aspecte juridice ale serviciilor
societății informaționale, în special ale comerțului electronic, pe piața internă (directiva privind comerțul electronic) (JO L 178,
17.7.2000, p. 1).


(23) Pentru a se asigura că persoanele fizice nu sunt lipsite de protecția la care au dreptul în temeiul prezentului
regulament, prelucrarea datelor cu caracter personal ale persoanelor vizate care se află pe teritoriul Uniunii de
către un operator sau o persoană împuternicită de acesta care nu își are sediul în Uniune ar trebui să facă obiectul
prezentului regulament în cazul în care activitățile de prelucrare au legătură cu oferirea de bunuri sau servicii
unor astfel de persoane vizate, indiferent dacă acestea sunt sau nu legate de o plată. Pentru a determina dacă un
astfel de operator sau o astfel de persoană împuternicită de operator oferă bunuri sau servicii unor persoane
vizate care se află pe teritoriul Uniunii, ar trebui să se stabilească dacă reiese că operatorul sau persoana împuternicită de operator intenționează să furnizeze servicii persoanelor vizate din unul sau mai multe state membre din
Uniune. Întrucât simplul fapt că există acces la un site al operatorului, al persoanei împuternicite de operator sau
al unui intermediar în Uniune, că este disponibilă o adresă de e-mail și alte date de contact sau că este utilizată o
limbă folosită în general în țara terță în care operatorul își are sediul este insuficient pentru a confirma o astfel de
intenție, factori precum utilizarea unei limbi sau a unei monede utilizate în general în unul sau mai multe state
membre cu posibilitatea de a comanda bunuri și servicii în respectiva limbă sau menționarea unor clienți sau
utilizatori care se află pe teritoriul Uniunii pot conduce la concluzia că operatorul intenționează să ofere bunuri
sau servicii unor persoane vizate în Uniune.


(24) Prelucrarea datelor cu caracter personal ale persoanelor vizate care se află pe teritoriul Uniunii de către un
operator sau o persoană împuternicită de acesta care nu își are sediul în Uniune ar trebui, de asemenea, să facă
obiectul prezentului regulament în cazul în care este legată de monitorizarea comportamentului unor astfel de
persoane vizate, în măsura în care acest comportament se manifestă pe teritoriul Uniunii. Pentru a se determina
dacă o activitate de prelucrare poate fi considerată ca „monitorizare a comportamentului” persoanelor vizate, ar
trebui să se stabilească dacă persoanele fizice sunt urmărite pe internet, inclusiv posibila utilizare ulterioară a
unor tehnici de prelucrare a datelor cu caracter personal care constau în crearea unui profil al unei persoane
fizice, în special în scopul de a lua decizii cu privire la aceasta sau de a analiza sau de a face previziuni referitoare
la preferințele personale, comportamentele și atitudinile acesteia.


(25) În cazul în care dreptul unui stat membru se aplică în temeiul dreptului internațional public, prezentul
regulament ar trebui să se aplice, de asemenea, unui operator care nu este stabilit în Uniune, ci, de exemplu,
într-o misiune diplomatică sau într-un oficiu consular al unui stat membru.


(26) Principiile protecției datelor ar trebui să se aplice oricărei informații referitoare la o persoană fizică identificată
sau identificabilă. Datele cu caracter personal care au fost supuse pseudonimizării, care ar putea fi atribuite unei
persoane fizice prin utilizarea de informații suplimentare, ar trebui considerate informații referitoare la o
persoană fizică identificabilă. Pentru a se determina dacă o persoană fizică este identificabilă, ar trebui să se ia în
considerare toate mijloacele, cum ar fi individualizarea, pe care este probabil, în mod rezonabil, să le utilizeze fie
operatorul, fie o altă persoană, în scopul identificării, în mod direct sau indirect, a persoanei fizice respective.
Pentru a se determina dacă este probabil, în mod rezonabil, să fie utilizate mijloace pentru identificarea persoanei
fizice, ar trebui luați în considerare toți factorii obiectivi, precum costurile și intervalul de timp necesare pentru
identificare, ținându-se seama atât de tehnologia disponibilă la momentul prelucrării, cât și de dezvoltarea
tehnologică. Principiile protecției datelor ar trebui, prin urmare, să nu se aplice informațiilor anonime, adică
informațiilor care nu sunt legate de o persoană fizică identificată sau identificabilă sau datelor cu caracter
personal care sunt anonimizate astfel încât persoana vizată nu este sau nu mai este identificabilă. Prin urmare,
prezentul regulament nu se aplică prelucrării unor astfel de informații anonime, inclusiv în cazul în care acestea
sunt utilizate în scopuri statistice sau de cercetare.


(27) Prezentul regulament nu se aplică datelor cu caracter personal referitoare la persoane decedate. Statele membre
pot să prevadă norme privind prelucrarea datelor cu caracter personal referitoare la persoane decedate.


(28) Aplicarea pseudonimizării datelor cu caracter personal poate reduce riscurile pentru persoanele vizate și poate
ajuta operatorii și persoanele împuternicite de aceștia să își îndeplinească obligațiile de protecție a datelor.
Introducerea explicită a conceptului de „pseudonimizare” în prezentul regulament nu este destinată să împiedice
alte eventuale măsuri de protecție a datelor.


(29) Pentru a crea stimulente pentru aplicarea pseudonimizării atunci când sunt prelucrate date cu caracter personal,
ar trebui să fie posibile măsuri de pseudonimizare, permițând în același timp analiza generală, în cadrul aceluiași
operator atunci când operatorul a luat măsurile tehnice și organizatorice necesare pentru a se asigura că
prezentul regulament este pus în aplicare în ceea ce privește respectiva prelucrare a datelor și că informațiile
suplimentare pentru atribuirea datelor cu caracter personal unei anumite persoane vizate sunt păstrate separat.
Operatorul care prelucrează datele cu caracter personal ar trebui să indice persoanele autorizate din cadrul
aceluiași operator.
4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/5


(30) Persoanele fizice pot fi asociate cu identificatorii online furnizați de dispozitivele, aplicațiile, instrumentele și
protocoalele lor, cum ar fi adresele IP, identificatorii cookie sau alți identificatori precum etichetele de identificare
prin frecvențe radio. Aceștia pot lăsa urme care, în special atunci când sunt combinate cu identificatori unici și
alte informații primite de servere, pot fi utilizate pentru crearea de profiluri ale persoanelor fizice și pentru identificarea lor.


(31) Autoritățile publice cărora le sunt divulgate date cu caracter personal în conformitate cu o obligație legală în
vederea exercitării funcției lor oficiale, cum ar fi autoritățile fiscale și vamale, unitățile de investigare financiară,
autoritățile administrative independente sau autoritățile piețelor financiare responsabile de reglementarea și
supravegherea piețelor titlurilor de valoare, nu ar trebui să fie considerate destinatari în cazul în care primesc date
cu caracter personal care sunt necesare pentru efectuarea unei anumite anchete de interes general, în conformitate
cu dreptul Uniunii sau cel al statelor membre. Cererile de divulgare trimise de autoritățile publice ar trebui să fie
întotdeauna prezentate în scris, motivate și ocazionale și nu ar trebui să se refere la un sistem de evidență în
totalitate sau să conducă la interconectarea sistemelor de evidență. Prelucrarea datelor cu caracter personal de
către autoritățile publice respective ar trebui să respecte normele aplicabile în materie de protecție a datelor în
conformitate cu scopurile prelucrării.


(32) Consimțământul ar trebui acordat printr-o acțiune neechivocă care să constituie o manifestare liber exprimată,
specifică, în cunoștință de cauză și clară a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter
personal, ca de exemplu o declarație făcută în scris, inclusiv în format electronic, sau verbal. Acesta ar putea
include bifarea unei căsuțe atunci când persoana vizitează un site, alegerea parametrilor tehnici pentru serviciile
societății informaționale sau orice altă declarație sau acțiune care indică în mod clar în acest context acceptarea
de către persoana vizată a prelucrării propuse a datelor sale cu caracter personal. Prin urmare, absența unui
răspuns, căsuțele bifate în prealabil sau absența unei acțiuni nu ar trebui să constituie un consimțământ. Consimțământul ar trebui să vizeze toate activitățile de prelucrare efectuate în același scop sau în aceleași scopuri. Dacă
prelucrarea datelor se face în mai multe scopuri, consimțământul ar trebui dat pentru toate scopurile prelucrării.
În cazul în care consimțământul persoanei vizate trebuie acordat în urma unei cereri transmise pe cale
electronică, cererea respectivă trebuie să fie clară și concisă și să nu perturbe în mod inutil utilizarea serviciului
pentru care se acordă consimțământul.


(33) Adesea nu este posibil, în momentul colectării datelor cu caracter personal, să se identifice pe deplin scopul
prelucrării datelor în scopuri de cercetare științifică. Din acest motiv, persoanelor vizate ar trebui să li se permită
să își exprime consimțământul pentru anumite domenii ale cercetării științifice atunci când sunt respectate
standardele etice recunoscute pentru cercetarea științifică. Persoanele vizate ar trebui să aibă posibilitatea de a-și
exprima consimțământul doar pentru anumite domenii de cercetare sau părți ale proiectelor de cercetare în
măsura permisă de scopul preconizat.


(34) Datele genetice ar trebui definite drept date cu caracter personal referitoare la caracteristicile genetice moștenite
sau dobândite ale unei persoane fizice, care rezultă în urma unei analize a unei mostre de material biologic al
persoanei fizice în cauză, în special a unei analize cromozomiale, a unei analize a acidului dezoxiribonucleic
(ADN) sau a acidului ribonucleic (ARN) sau a unei analize a oricărui alt element ce permite obținerea unor
informații echivalente.


(35) Datele cu caracter personal privind sănătatea ar trebui să includă toate datele având legătură cu starea de sănătate
a persoanei vizate care dezvăluie informații despre starea de sănătate fizică sau mentală trecută, prezentă sau
viitoare a persoanei vizate. Acestea includ informații despre persoana fizică colectate în cadrul înscrierii acesteia la
serviciile de asistență medicală sau în cadrul acordării serviciilor respective persoanei fizice în cauză, astfel cum
sunt menționate în Directiva 2011/24/UE a Parlamentului European și a Consiliului (
1
); un număr, un simbol sau
un semn distinctiv atribuit unei persoane fizice pentru identificarea singulară a acesteia în scopuri medicale;
informații rezultate din testarea sau examinarea unei părți a corpului sau a unei substanțe corporale, inclusiv din
date genetice și eșantioane de material biologic; precum și orice informații privind, de exemplu, o boală, un
handicap, un risc de îmbolnăvire, istoricul medical, tratamentul clinic sau starea fiziologică sau biomedicală a
persoanei vizate, indiferent de sursa acestora, ca de exemplu, un medic sau un alt cadru medical, un spital, un
dispozitiv medical sau un test de diagnostic in vitro.


(36) Sediul principal al unui operator în Uniune ar trebui să fie locul în care se află administrația centrală a acestuia în
Uniune, cu excepția cazului în care deciziile privind scopurile și mijloacele de prelucrare a datelor cu caracter
personal se iau într-un alt sediu al operatorului în Uniune. În acest caz, acesta din urmă ar trebui considerat drept
L 119/6 RO Jurnalul Oficial al Uniunii Europene 4.5.2016
(
1
) Directiva 2011/24/UE a Parlamentului European și a Consiliului din 9 martie 2011 privind aplicarea drepturilor pacienților în cadrul
asistenței medicale transfrontaliere (JO L 88, 4.4.2011, p. 45).
sediul principal. Sediul principal al unui operator în Uniune ar trebui să fie determinat conform unor criterii
obiective și ar trebui să implice exercitarea efectivă și reală a unor activități de gestionare care să determine
principalele decizii cu privire la scopurile și mijloacele de prelucrare în cadrul unor înțelegeri stabile. Acest
criteriu nu ar trebui să depindă de realizarea prelucrării datelor cu caracter personal în locul respectiv. Prezența și
utilizarea mijloacelor tehnice și a tehnologiilor de prelucrare a datelor cu caracter personal sau activitățile de
prelucrare nu constituie un sediu principal și, prin urmare, nu sunt criteriul determinant în acest sens. Sediul
principal al persoanei împuternicite de operator ar trebui să fie locul în care se află administrația centrală a
acestuia în Uniune sau, în cazul în care nu are o administrație centrală în Uniune, locul în care se desfășoară
principalele activități de prelucrare în Uniune. În cazurile care implică atât operatorul, cât și persoana împuternicită de operator, autoritatea de supraveghere principală competentă ar trebui să rămână autoritatea de
supraveghere a statului membru în care operatorul își are sediul principal, dar autoritatea de supraveghere a
persoanei împuternicite de operator ar trebui considerată ca fiind o autoritate de supraveghere vizată și acea
autoritate de supraveghere ar trebui să participe la procedura de cooperare prevăzută de prezentul regulament. În
orice caz, autoritățile de supraveghere ale statului membru sau ale statelor membre în care persoana împuternicită
de operator are unul sau mai multe sedii nu ar trebui considerate ca fiind autorități de supraveghere vizate în
cazul în care proiectul de decizie nu se referă decât la operator. În cazul în care prelucrarea este efectuată de un
grup de întreprinderi, sediul principal al întreprinderii care exercită controlul ar trebui considerat drept sediul
principal al grupului de întreprinderi, cu excepția cazului în care scopurile și mijloacele aferente prelucrării sunt
stabilite de o altă întreprindere.


(37) Un grup de întreprinderi ar trebui să cuprindă o întreprindere care exercită controlul și întreprinderile controlate
de aceasta, în cadrul căruia întreprinderea care exercită controlul ar trebui să fie întreprinderea care poate exercita
o influență dominantă asupra celorlalte întreprinderi, de exemplu în temeiul proprietății, al participării financiare
sau al regulilor care o reglementează sau al competenței de a pune în aplicare norme în materie de protecție a
datelor cu caracter personal. O întreprindere care controlează prelucrarea datelor cu caracter personal în
întreprinderile sale afiliate ar trebui considerată, împreună cu acestea din urmă, drept „grup de întreprinderi”.


(38) Copiii au nevoie de o protecție specifică a datelor lor cu caracter personal, întrucât pot fi mai puțin conștienți de
riscurile, consecințele, garanțiile în cauză și drepturile lor în ceea ce privește prelucrarea datelor cu caracter
personal. Această protecție specifică ar trebui să se aplice în special utilizării datelor cu caracter personal ale
copiilor în scopuri de marketing sau pentru crearea de profiluri de personalitate sau de utilizator și la colectarea
datelor cu caracter personal privind copiii în momentul utilizării serviciilor oferite direct copiilor. Consimțământul titularului răspunderii părintești nu ar trebui să fie necesar în contextul serviciilor de prevenire sau
consiliere oferite direct copiilor.

(39) Orice prelucrare de date cu caracter personal ar trebui să fie legală și echitabilă. Ar trebui să fie transparent
pentru persoanele fizice că sunt colectate, utilizate, consultate sau prelucrate în alt mod datele cu caracter
personal care le privesc și în ce măsură datele cu caracter personal sunt sau vor fi prelucrate. Principiul transparenței prevede că orice informații și comunicări referitoare la prelucrarea respectivelor date cu caracter personal
sunt ușor accesibile și ușor de înțeles și că se utilizează un limbaj simplu și clar. Acest principiu se referă în
special la informarea persoanelor vizate privind identitatea operatorului și scopurile prelucrării, precum și la
oferirea de informații suplimentare, pentru a asigura o prelucrare echitabilă și transparentă în ceea ce privește
persoanele fizice vizate și dreptul acestora de a li se confirma și comunica datele cu caracter personal care le
privesc care sunt prelucrate. Persoanele fizice ar trebui informate cu privire la riscurile, normele, garanțiile și
drepturile în materie de prelucrare a datelor cu caracter personal și cu privire la modul în care să își exercite
drepturile în legătură cu prelucrarea. În special, scopurile specifice în care datele cu caracter personal sunt
prelucrate ar trebui să fie explicite și legitime și să fie determinate la momentul colectării datelor respective.
Datele cu caracter personal ar trebui să fie adecvate, relevante și limitate la ceea ce este necesar pentru scopurile
în care sunt prelucrate. Aceasta necesită, în special, asigurarea faptului că perioada pentru care datele cu caracter
personal sunt stocate este limitată strict la minimum. Datele cu caracter personal ar trebui prelucrate doar dacă
scopul prelucrării nu poate fi îndeplinit în mod rezonabil prin alte mijloace. În vederea asigurării faptului că
datele cu caracter personal nu sunt păstrate mai mult timp decât este necesar, ar trebui să se stabilească de către
operator termene pentru ștergere sau revizuirea periodică. Ar trebui să fie luate toate măsurile rezonabile pentru
a se asigura că datele cu caracter personal care sunt inexacte sunt rectificate sau șterse. Datele cu caracter personal
ar trebui prelucrate într-un mod care să asigure în mod adecvat securitatea și confidențialitatea acestora, inclusiv
în scopul prevenirii accesului neautorizat la acestea sau utilizarea neautorizată a datelor cu caracter personal și a
echipamentului utilizat pentru prelucrare.

(40) Pentru ca prelucrarea datelor cu caracter personal să fie legală, aceasta ar trebui efectuată pe baza consimțământului persoanei vizate sau în temeiul unui alt motiv legitim, prevăzut de lege, fie în prezentul regulament, fie
4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/7
în alt act din dreptul Uniunii sau din dreptul intern, după cum se prevede în prezentul regulament, inclusiv
necesitatea respectării obligațiilor legale la care este supus operatorul sau necesitatea de a executa un contract la
care persoana vizată este parte sau pentru a parcurge etapele premergătoare încheierii unui contract, la solicitarea
persoanei vizate.

(41) Ori de câte ori prezentul regulament face trimitere la un temei juridic sau la o măsură legislativă, aceasta nu
necesită neapărat un act legislativ adoptat de către un parlament, fără a aduce atingere cerințelor care decurg din
ordinea constituțională a statului membru în cauză. Cu toate acestea, un astfel de temei juridic sau o astfel de
măsură legislativă ar trebui să fie clară și precisă, iar aplicarea acesteia ar trebui să fie previzibilă pentru
persoanele vizate de aceasta, în conformitate cu jurisprudența Curții de Justiție a Uniunii Europene („Curtea de
Justiție”) și a Curții Europene a Drepturilor Omului.

(42) În cazul în care prelucrarea se bazează pe consimțământul persoanei vizate, operatorul ar trebui să fie în măsură
să demonstreze faptul că persoana vizată și-a dat consimțământul pentru operațiunea de prelucrare. În special, în
contextul unei declarații scrise cu privire la un alt aspect, garanțiile ar trebui să asigure că persoana vizată este
conștientă de faptul că și-a dat consimțământul și în ce măsură a făcut acest lucru. În conformitate cu Directiva
93/13/CEE a Consiliului (1), ar trebui furnizată o declarație de consimțământ formulată în prealabil de către
operator, într-o formă inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu, iar această declarație nu ar
trebui să conțină clauze abuzive. Pentru ca acordarea consimțământului să fie în cunoștință de cauză, persoana
vizată ar trebui să fie la curent cel puțin cu identitatea operatorului și cu scopurile prelucrării pentru care sunt
destinate datele cu caracter personal. Consimțământul nu ar trebui considerat ca fiind acordat în mod liber dacă
persoana vizată nu dispune cu adevărat de libertatea de alegere sau nu este în măsură să refuze sau să își retragă
consimțământul fără a fi prejudiciată.

(43) Pentru a garanta faptul că a fost acordat în mod liber, consimțământul nu ar trebui să constituie un temei juridic
valabil pentru prelucrarea datelor cu caracter personal în cazul particular în care există un dezechilibru evident
între persoana vizată și operator, în special în cazul în care operatorul este o autoritate publică, iar acest lucru
face improbabilă acordarea consimțământului în mod liber în toate circumstanțele aferente respectivei situații
particulare. Consimțământul este considerat a nu fi acordat în mod liber în cazul în care aceasta nu permite să se
acorde consimțământul separat pentru diferitele operațiuni de prelucrare a datelor cu caracter personal, deși acest
lucru este adecvat în cazul particular, sau dacă executarea unui contract, inclusiv furnizarea unui serviciu, este
condiționată de consimțământ, în ciuda faptului că consimțământul în cauză nu este necesar pentru executarea
contractului.

(44) Prelucrarea ar trebui să fie considerată legală în cazul în care este necesară în cadrul unui contract sau în vederea
încheierii unui contract.

(45) În cazul în care prelucrarea este efectuată în conformitate cu o obligație legală a operatorului sau în cazul în care
prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care face parte din
exercitarea autorității publice, prelucrarea ar trebui să aibă un temei în dreptul Uniunii sau în dreptul intern.
Prezentul regulament nu impune existența unei legi specifice pentru fiecare prelucrare în parte. Poate fi suficientă
o singură lege drept temei pentru mai multe operațiuni de prelucrare efectuate în conformitate cu o obligație
legală a operatorului sau în cazul în care prelucrarea este necesară pentru îndeplinirea unei sarcini care servește
unui interes public sau care face parte din exercitarea autorității publice. De asemenea, ar trebui ca scopul
prelucrării să fie stabilit în dreptul Uniunii sau în dreptul intern. Mai mult decât atât, dreptul respectiv ar putea să
specifice condițiile generale ale prezentului regulament care reglementează legalitatea prelucrării datelor cu
caracter personal, să determine specificațiile pentru stabilirea operatorului, a tipului de date cu caracter personal
care fac obiectul prelucrării, a persoanelor vizate, a entităților cărora le pot fi divulgate datele cu caracter
personal, a limitărilor în funcție de scop, a perioadei de stocare și a altor măsuri pentru a garanta o prelucrare
legală și echitabilă. De asemenea, ar trebui să se stabilească în dreptul Uniunii sau în dreptul intern dacă
operatorul care îndeplinește o sarcină care servește unui interes public sau care face parte din exercitarea
autorității publice ar trebui să fie o autoritate publică sau o altă persoană fizică sau juridică guvernată de dreptul
public sau, atunci când motive de interes public justifică acest lucru, inclusiv în scopuri medicale, precum
sănătatea publică și protecția socială, precum și gestionarea serviciilor de asistență medicală, de dreptul privat,
cum ar fi o asociație profesională.

(46) Prelucrarea datelor cu caracter personal ar trebui, de asemenea, să fie considerată legală în cazul în care este
necesară în scopul asigurării protecției unui interes care este esențial pentru viața persoanei vizate sau pentru
L 119/8 RO Jurnalul Oficial al Uniunii Europene 4.5.2016
(1) Directiva 93/13/CEE a Consiliului din 5 aprilie 1993 privind clauzele abuzive în contractele încheiate cu consumatorii (JO L 95,
21.4.1993, p. 29).

viața unei alte persoane fizice. Prelucrarea datelor cu caracter personal care are drept temei interesele vitale ale
unei alte persoane fizice ar trebui efectuată numai în cazul în care prelucrarea nu se poate baza în mod evident
pe un alt temei juridic. Unele tipuri de prelucrare pot servi atât unor motive importante de interes public, cât și
intereselor vitale ale persoanei vizate, de exemplu în cazul în care prelucrarea este necesară în scopuri umanitare,
inclusiv în vederea monitorizării unei epidemii și a răspândirii acesteia sau în situații de urgențe umanitare, în
special în situații de dezastre naturale sau provocate de om.

(47) Interesele legitime ale unui operator, inclusiv cele ale unui operator căruia îi pot fi divulgate datele cu caracter
personal sau ale unei terțe părți, pot constitui un temei juridic pentru prelucrare, cu condiția să nu prevaleze
interesele sau drepturile și libertățile fundamentale ale persoanei vizate, luând în considerare așteptările rezonabile
ale persoanelor vizate bazate pe relația acestora cu operatorul. Acest interes legitim ar putea exista, de exemplu,
atunci când există o relație relevantă și adecvată între persoana vizată și operator, cum ar fi cazul în care
persoana vizată este un client al operatorului sau se află în serviciul acestuia. În orice caz, existența unui interes
legitim ar necesita o evaluare atentă, care să stabilească inclusiv dacă o persoană vizată poate preconiza în mod
rezonabil, în momentul și în contextul colectării datelor cu caracter personal, posibilitatea prelucrării în acest
scop. Interesele și drepturile fundamentale ale persoanei vizate ar putea prevala în special în raport cu interesul
operatorului de date atunci când datele cu caracter personal sunt prelucrate în circumstanțe în care persoanele
vizate nu preconizează în mod rezonabil o prelucrare ulterioară. Întrucât legiuitorul trebuie să furnizeze temeiul
juridic pentru prelucrarea datelor cu caracter personal de către autoritățile publice, temeiul juridic respectiv nu ar
trebui să se aplice prelucrării de către autoritățile publice în îndeplinirea sarcinilor care le revin. Prelucrarea de
date cu caracter personal strict necesară în scopul prevenirii fraudelor constituie, de asemenea, un interes legitim
al operatorului de date în cauză. Prelucrarea de date cu caracter personal care are drept scop marketingul direct
poate fi considerată ca fiind desfășurată pentru un interes legitim.

(48) Operatorii care fac parte dintr-un grup de întreprinderi sau instituții afiliate unui organism central pot avea un
interes legitim de a transmite date cu caracter personal în cadrul grupului de întreprinderi în scopuri administrative interne, inclusiv în scopul prelucrării datelor cu caracter personal ale clienților sau angajaților. Principiile
generale ale transferului de date cu caracter personal, în cadrul unui grup de întreprinderi, către o întreprindere
situată într-o țară terță rămân neschimbate.

(49) Prelucrarea datelor cu caracter personal în măsura strict necesară și proporțională în scopul asigurării securității
rețelelor și a informațiilor, și anume capacitatea unei rețele sau a unui sistem de informații de a face față, la un
anumit nivel de încredere, evenimentelor accidentale sau acțiunilor ilegale sau rău intenționate care compromit
disponibilitatea, autenticitatea, integritatea și confidențialitatea datelor cu caracter personal stocate sau transmise,
precum și securitatea serviciilor conexe oferite de aceste rețele și sisteme, sau accesibile prin intermediul acestora,
de către autoritățile publice, echipele de intervenție în caz de urgență informatică, echipele de intervenție în cazul
producerii unor incidente care afectează securitatea informatică, furnizorii de rețele și servicii de comunicații
electronice, precum și de către furnizorii de servicii și tehnologii de securitate, constituie un interes legitim al
operatorului de date în cauză. Acesta ar putea include, de exemplu, prevenirea accesului neautorizat la rețelele de
comunicații electronice și a difuzării de coduri dăunătoare și oprirea atacurilor de „blocare a serviciului”, precum
și prevenirea daunelor aduse calculatoarelor și sistemelor de comunicații electronice.

(50) Prelucrarea datelor cu caracter personal în alte scopuri decât scopurile pentru care datele cu caracter personal au
fost inițial colectate ar trebui să fie permisă doar atunci când prelucrarea este compatibilă cu scopurile respective
pentru care datele cu caracter personal au fost inițial colectate. În acest caz nu este necesar un temei juridic
separat de cel pe baza căruia a fost permisă colectarea datelor cu caracter personal. În cazul în care prelucrarea
este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea
autorității publice cu care este învestit operatorul, dreptul Uniunii sau dreptul intern poate stabili și specifica
sarcinile și scopurile pentru care prelucrarea ulterioară ar trebui considerată a fi compatibilă și legală. Prelucrarea
ulterioară în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri
statistice ar trebui considerată ca reprezentând operațiuni de prelucrare legale compatibile. Temeiul juridic
prevăzut în dreptul Uniunii sau în dreptul intern pentru prelucrarea datelor cu caracter personal poate constitui,
de asemenea, un temei juridic pentru prelucrarea ulterioară. Pentru a stabili dacă scopul prelucrării ulterioare este
compatibil cu scopul pentru care au fost colectate inițial datele cu caracter personal, operatorul, după ce a
îndeplinit toate cerințele privind legalitatea prelucrării inițiale, ar trebui să țină seama, printre altele, de orice
legătură între respectivele scopuri și scopurile prelucrării ulterioare preconizate, de contextul în care au fost
colectate datele cu caracter personal, în special de așteptările rezonabile ale persoanelor vizate, bazate pe relația
lor cu operatorul, în ceea ce privește utilizarea ulterioară a datelor, de natura datelor cu caracter personal, de
4.5.2016 RO Jurnalul Oficial al Uniunii Europene L 119/9  consecințele prelucrării ulterioare preconizate asupra persoanelor vizate, precum și de existența garanțiilor
corespunzătoare atât în cadrul operațiunilor de prelucrare inițiale, cât și în cadrul operațiunilor de prelucrare
ulterioare preconizate.

În cazul în care persoana vizată și-a dat consimțământul sau prelucrarea se bazează pe dreptul Uniunii sau pe
dreptul intern, care constituie o măsură necesară și proporțională într-o societate democratică pentru a proteja, în
special, obiective importante de interes public general, operatorul ar trebui să aibă posibilitatea de a prelucra în
continuare datele cu caracter personal, indiferent de compatibilitatea scopurilor. În orice caz, aplicarea principiilor
stabilite de prezentul regulament și, în special, informarea persoanei vizate cu privire la aceste alte scopuri și la
drepturile sale, inclusiv dreptul la opoziție, ar trebui să fie garantate. Indicarea unor posibile infracțiuni sau
amenințări la adresa siguranței publice de către operator și transmiterea către o autoritate competentă a datelor
cu caracter personal relevante în cazuri individuale sau în mai multe cazuri legate de aceeași infracțiune sau de
aceleași amenințări la adresa siguranței publice ar trebui considerată ca fiind în interesul legitim urmărit de
operator. Cu toate acestea, o astfel de transmitere în interesul legitim al operatorului sau prelucrarea ulterioară a
datelor cu caracter personal ar trebui interzisă în cazul în care prelucrarea nu este compatibilă cu o obligație
legală, profesională sau cu o altă obligație de păstrare a confidențialității.

(51) Datele cu caracter personal care sunt, prin natura lor, deosebit de sensibile în ceea ce privește drepturile și
libertățile fundamentale necesită o protecție specifică, deoarece contextul prelucrării acestora ar putea genera
riscuri considerabile la adresa drepturilor și libertăților fundamentale. Aceste date cu caracter personal ar trebui să
includă datele cu caracter personal care dezvăluie originea rasială sau etnică, utilizarea termenului „origine rasială”
în prezentul regulament neimplicând o acceptare de către Uniune a teoriilor care urmăresc să stabilească existența
unor rase umane separate. Prelucrarea fotografiilor nu ar trebui să fie considerată în mod sistematic ca fiind o
prelucrare de categorii speciale de date cu caracter personal, întrucât fotografiile intră sub incidența definiției
datelor biometrice doar în cazurile în care sunt prelucrate prin mijloace tehnice specifice care permit identificarea
unică sau autentificarea unei persoane fizice. Asemenea date cu caracter personal nu ar trebui prelucrate, cu
excepția cazului în care prelucrarea este permisă în cazuri specifice prevăzute de prezentul regulament, ținând
seama de faptul că dreptul statelor membre poate prevedea dispoziții specifice cu privire la protecția datelor în
scopul adaptării aplicării normelor din prezentul regulament în vederea respectării unei obligații legale sau a
îndeplinirii unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care
este învestit operatorul. Pe lângă cerințele specifice pentru o astfel de prelucrare, ar trebui să se aplice principiile
generale și alte norme prevăzute de prezentul regulament, în special în ceea ce privește condițiile pentru
prelucrarea legală. Ar trebui prevăzute în mod explicit derogări de la interdicția generală de prelucrare a acestor
categorii speciale de date cu caracter personal, printre altele atunci când persoana vizată își dă consimțământul
explicit sau în ceea ce privește nevoile specifice în special atunci când prelucrarea este efectuată în cadrul unor
activități legitime de către anumite asociații sau fundații al căror scop este de a permite exercitarea libertăților
fundamentale.

(52) Derogarea de la interdicția privind prelucrarea categoriilor speciale de date cu caracter personal ar trebui să fie
permisă, de asemenea, în cazul în care dreptul Uniunii sau dreptul intern prevede acest lucru și ar trebui să facă
obiectul unor garanții adecvate, astfel încât să fie protejate datele cu caracter personal și alte drepturi
fundamentale, atunci când acest lucru se justifică din motive de interes public, în special în cazul prelucrării
datelor cu caracter personal în domeniul legislației privind ocuparea forței de muncă, protecția socială, inclusiv
pensiile, precum și în scopuri de securitate, supraveghere și alertă în materie de sănătate, pentru prevenirea sau
controlul bolilor transmisibile și a altor amenințări grave la adresa sănătății. Această derogare poate fi acordată în
scopuri medicale, inclusiv sănătatea publică și gestionarea serviciilor de asistență medicală, în special în vederea
asigurării calității și eficienței din punctul de vedere al costurilor ale procedurilor utilizate pentru soluționarea
cererilor de prestații și servicii în cadrul sistemului de asigurări de sănătate, sau în scopuri de arhivare în interes
public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice. De asemenea, prelucrarea unor
asemenea date cu caracter personal ar trebui permisă, printr-o derogare, atunci când este necesară pentru
constatarea, exercitarea sau apărarea unui drept în justiție, indiferent dacă are loc în cadrul unei proceduri în fața
unei instanțe sau în cadrul unei proceduri administrative sau a unei proceduri extrajudiciare.
(53) Categoriile speciale de date cu caracter personal care necesită un nivel mai ridicat de protecție ar trebui prelucrate
doar în scopuri legate de sănătate atunci când este necesar pentru realizarea acestor scopuri în beneficiul
persoanelor fizice și al societății în general, în special în contextul gestionării serviciilor și sistemelor de sănătate
sau de asistență socială, inclusiv prelucrarea acestor date de către autoritățile de management și de către
autoritățile centrale naționale din domeniul sănătății în scopul controlului calității, furnizării de informații de
gestiune și al supravegherii generale a sistemului de sănătate sau de asistență socială la nivel național și local,
precum și în contextul asigurării continuității asistenței medicale sau sociale și a asistenței medicale transfrontaliere ori în scopuri de securitate, supraveghere și alertă în materie de sănătate ori în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice în temeiul dreptului Uniunii sau al dreptului intern, care trebuie să urmărească un obiectiv de interes public, precum și în cazul studiilor realizate în interes public în domeniul sănătății publice. Prin urmare, prezentul regulament ar trebui să prevadă condiții armonizate pentru prelucrarea categoriilor speciale de date cu caracter personal privind sănătatea, în ceea
ce privește nevoile specifice, în special atunci când prelucrarea acestor date este efectuată în anumite scopuri
legate de sănătate de către persoane care fac obiectul unei obligații legale de a păstra sec