Cookie Consent by PrivacyPolicies.com

I

 

(Legislativo)

 

REGOLAMENTO

REGOLAMENTO (UE) 2016/679 PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 Aprile 2016

relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e che abroga la direttiva 95/46 / CE (Regolamento

 

Generale sulla protezione dei dati)

(Testo rilevante ai fini del SEE)

IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA, visto il trattato sul funzionamento dell'Unione europea, in particolare l'articolo 16, vista la Commissione europea, previa trasmissione del progetto di atto legislativo ai parlamenti nazionali, previa consultazione del Comitato economico e sociale (1), previa consultazione del Comitato delle regioni (2), deliberando secondo la procedura legislativa ordinaria (3), considerando quanto segue:

 

(1) La tutela delle persone con riguardo al trattamento dei dati personali è un diritto fondamentale. L'articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell'Unione europea (di seguito denominato "Carta") e l'articolo 16, paragrafo 1, del trattato sul funzionamento dell'Unione europea prevede che qualsiasi ha diritto alla protezione dei dati personali che lo riguardano.

 

(2) I principi e le norme che disciplinano la tutela delle persone fisiche con riguardo al trattamento dei dati personali che lo dovrebbero riguardano, qualunque sia la nazionalità o di residenza di tali persone fisiche, debbono rispettare i loro diritti e le libertà fondamentali, in in particolare il loro diritto alla protezione dei dati personali. Il presente regolamento mira a contribuire al raggiungimento di uno spazio di libertà, sicurezza e giustizia e di un'unione economica, al progresso economico e sociale, il consolidamento e la convergenza delle economie nel mercato interno, il benessere degli individui.

 

(3) La direttiva 95/46 / CE del Parlamento europeo e del Consiglio (4) ha lo scopo di armonizzare la tutela dei diritti e delle libertà fondamentali delle persone per quanto riguarda le attività di trattamento e per assicurare la libera circolazione dei dati a carattere personale tra gli Stati membri.

 

(1) GU C 229, 31.7.2012, p. 90.

 

(2) GU C 391, 2012/12/18, p. 127.

 

(3) Posizione del Parlamento europeo del 12 marzo 2014 (non ancora pubblicato nella Gazzetta ufficiale) e posizione del Consiglio in prima lettura dell'8 aprile 2016 (non ancora pubblicato nella Gazzetta ufficiale). Posizione del Parlamento europeo del 14 aprile 2016.

 

(4) La direttiva 95/46 / CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU L 281, 23.11.1995, p. 31).

 

(4) Il trattamento dei dati personali deve essere progettato per servire l'umanità. Il diritto alla protezione dei dati personali non è un diritto assoluto; esso deve essere considerato in relazione alla sua funzione nella società e essere bilanciato con altri diritti fondamentali, in conformità con il principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva i le libertà ei principi riconosciuti dalla Carta sanciti nei trattati, in particolare, il rispetto della vita privata e familiare, la casa e comunicazioni, tutela dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d'informazione, libertà di impresa, il diritto a un ricorso effettivo ea un giudice imparziale,

 

(5) L'integrazione economica e sociale derivante dal funzionamento del mercato interno ha portato ad un notevole aumento flussi transfrontalieri di dati personali. lo scambio di dati personali tra operatori pubblici e privati, tra cui gli individui, le associazioni e le imprese, intensificati in tutta l'Unione. Il diritto dell'Unione ha chiamato le autorità nazionali degli Stati membri di collaborare e scambiare dati personali, per essere in grado di assolvere i loro compiti o eseguire operazioni per conto di un'autorità in un un altro Stato membro.

 

(6) Il rapido sviluppo della tecnologia e la globalizzazione hanno creato nuove sfide per la protezione dei dati personali. L'entità della raccolta e la condivisione dei dati personali è notevolmente aumentato. Le tecnologie consentono entrambe le aziende private e autorità pubbliche di utilizzare i dati personali come mai prima nel corso della loro attività. Sempre più spesso, gli individui fanno informazioni su di loro e disponibili al pubblico a livello globale. La tecnologia ha trasformato l'economia e le relazioni sociali, e dovrebbe facilitare ulteriormente la libera circolazione dei dati personali all'interno dell'Unione e il loro trasferimento verso paesi terzi e organizzazioni internazionali,

 

(7) Questi cambiamenti richiedono forte quadro di protezione dei dati e coerente nella UE, insieme ad una rigorosa applicazione delle regole, perché è importante per costruire la fiducia che permetterà l'economia digitale per lo sviluppo nel tutto il mercato interno. Persone dovrebbero avere il controllo dei dati personali che lo riguardano. Sicurezza come una pratica legale che dovrebbe essere rafforzato per gli individui, gli operatori economici e le autorità pubbliche.

 

(8) Qualora il presente regolamento prevede che il diritto di uno Stato membro può chiarire le regole o limitazioni in esso contenute, gli Stati membri possono incorporare elementi del presente regolamento entro i loro diritti nella misura necessaria per garantire la coerenza e di rendere le disposizioni nazionali comprensibili per le persone a cui si applicano.

 

(9) Se è soddisfacente per quanto riguarda i suoi obiettivi e ai principi della direttiva 95/46 / CE è stata in grado di evitare la frammentazione della realizzazione della protezione dei dati nell'UE, un incertezza del diritto e la sensazione diffusa nel pubblico che rischi significativi per la tutela delle persone fisiche rimangono, soprattutto per quanto riguarda l'ambiente online. Le differenze nel livello di tutela dei diritti e delle libertà delle persone fisiche, in particolare il diritto alla protezione dei dati personali, con riguardo al trattamento dei dati personali negli Stati membri possono impedire il libero flusso di questi i dati in tutta l'Unione. Queste differenze possono quindi costituire un ostacolo alla esercizio di attività economiche nell'Unione, distorsioni nella concorrenza e le autorità impediscono a rispettare gli obblighi previsti dal diritto comunitario. Queste differenze nel livello di protezione risultante dalla esistenza di differenze nella attuazione e l'applicazione della direttiva 95/46 / CE.

 

(10) Per garantire un livello coerente ed elevato di protezione degli individui e per rimuovere gli ostacoli ai dati personali flussi all'interno dell'UE, il livello di tutela dei diritti e delle libertà delle persone fisiche con per quanto riguarda il trattamento di tali dati deve essere equivalente in tutti gli Stati membri. E 'pertanto necessario garantire un coerente e coerente applicazione delle regole fondamentali della tutela dei diritti e delle libertà delle persone fisiche con riguardo al trattamento dei dati personali in tutta l'Unione. Per quanto riguarda il trattamento dei dati personali necessari per adempiere un obbligo legale, l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di autorità pubblica attribuite al controllore, è necessario consentire agli Stati membri di mantenere o introdurre disposizioni nazionali destinate a chiarire ulteriormente le norme del presente regolamento. Insieme con la normativa generale e orizzontale sulla protezione dei dati di attuazione della Direttiva 95/46 / CE, v'è, negli Stati membri, diverse legislazioni specifiche di settore in ambiti che richiedono disposizioni più dettagliate. Questo regolamento consente inoltre agli Stati membri un margine di manovra per chiarire le sue regole, anche per quanto riguarda il trattamento di categorie particolari di dati personali (di seguito denominato "dati sensibili"). In questo senso, il presente regolamento

 

(11) Un'efficace protezione dei dati personali in tutta l'Unione richiede rafforzare e chiarire i diritti delle persone interessate e gli obblighi di coloro che svolgono e determinano il trattamento dei dati personali, così come fornire negli Stati membri, poteri equivalenti di sorveglianza e di controllo del rispetto delle norme in materia di protezione dei dati personali e sanzioni equivalenti per violazioni.

 

(12) L'articolo 16, paragrafo 2, del trattato sul funzionamento dell'Unione europea ha incaricato il Parlamento europeo e il Consiglio a stabilire le regole in materia di tutela delle persone fisiche con riguardo al trattamento dei dati a carattere il personale e le regole sulla libera circolazione dei dati personali.

 

una cooperazione efficace tra le autorità di vigilanza dei vari Stati membri. Per il mercato interno funziona correttamente, è necessario che la libera circolazione dei dati personali all'interno dell'Unione è limitata né proibita per motivi di protezione delle persone fisiche con riguardo al trattamento dei dati personale. Per conto della situazione specifica di micro, piccole e medie imprese, il presente regolamento prevede una deroga per le organizzazioni con meno di 250 dipendenti per quanto riguarda la tenuta dei registri. Le istituzioni e gli organi dell'Unione e degli Stati membri e le loro autorità di controllo sono anche incoraggiati a prendere in considerazione le esigenze specifiche delle micro, piccole e medie imprese nel contesto dell'applicazione del presente regolamento. Per definire il concetto di micro, piccole e medie imprese, che dovrebbe basarsi sull'articolo 2 dell'allegato alla raccomandazione 2003/361 / CE (1).

 

(14) La protezione offerta dal presente regolamento si applica agli individui, indipendentemente dalla loro nazionalità o luogo di residenza, per quanto riguarda il trattamento dei loro dati personali. Il presente regolamento non si applica al trattamento di dati personali concernenti persone giuridiche, in particolare società con personalità giuridica, compreso il nome, forma giuridica e indirizzo della società.

 

(15) Per evitare di creare un grave rischio di elusione, la protezione delle persone dovrebbe essere tecnologicamente neutrale e non dovrebbe dipendere dalle tecniche impiegate. Esso dovrebbe applicarsi ai dati personali oggetto di trattamento con processi automatizzati, nonché l'elaborazione manuale, se i dati personali contenuti o destinati ad essere contenuto in un file. I file o gruppi di file e le loro copertine, che non sono strutturati in base a criteri specifici, non dovrebbero rientrare nell'ambito di applicazione del presente regolamento.

 

(16) Il presente regolamento non si applica ai temi della tutela dei diritti e delle libertà fondamentali o la libera circolazione dei dati personali per le attività che non rientrano nel campo di applicazione del diritto comunitario, tali che le attività connesse alla sicurezza nazionale. Il presente regolamento non si applica al trattamento dei dati personali da parte degli Stati membri nel contesto delle loro attività in materia di politica estera e di sicurezza dell'Unione.

 

(17) Il regolamento (CE) n 45/2001 del Parlamento europeo e del Consiglio (2) si applica al trattamento dei dati personali da parte delle istituzioni, organi e organismi dell'Unione. Il regolamento (CE) n 45/2001 e altri atti giuridici applicabili dell'Unione ha detto che il trattamento dei dati personali devono essere adattate ai principi e alle regole di cui al presente regolamento e applicato alla luce del presente regolamento. Per creare un quadro per Proteggere Dato solidi e coerenti nell'Unione, dovrebbe, dopo l'adozione del presente regolamento per fare i necessari adattamenti del regolamento (CE) n 45/2001 in modo da -ci applicare contemporaneamente al presente regolamento.

 

(18) Il presente regolamento non si applica ai dati personali un'elaborazione effettuata da una persona fisica per attività strettamente personale o domestica e di conseguenza non correlato

 

(1) Raccomandazione della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie imprese [C (2003) 1422] (GU L 124 del 20.5.2003, pag. 36).

 

(2) Il regolamento (CE) n 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati (GU L 8, 12.1.2001, p. 1).

 

attività professionale o commerciale. L'attività personale o domestico potrebbe includere lo scambio di corrispondenza e la compilazione di una rubrica, o l'uso dei social network e attività on-line che si svolgono nel quadro di queste attività. Tuttavia, il presente regolamento si applica ai controller o subappaltatori che forniscono i mezzi per elaborare i dati personali per tale attività personale o domestico.

 

(19) La tutela delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti ai fini della prevenzione e dell'individuazione dei reati, indagare e perseguire in materia o esecuzione di sanzioni penale, compresa la protezione contro le minacce per la sicurezza pubblica e la prevenzione di tali minacce e la libera circolazione di tali dati è soggetto a specifico atto giuridico dell'Unione. Il presente regolamento non dovrebbe pertanto applicarsi alle attività di trattamento per tali scopi. Tuttavia, i dati personali trattati dalle autorità pubbliche nell'ambito del presente regolamento dovrebbero, quando viene utilizzato per questi scopi, disciplinati da un atto giuridico dell'Unione più specifica, ossia la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio (1). Gli Stati membri possono affidare alle autorità competenti ai sensi della direttiva (UE) 2016/680 missioni che non sono necessariamente fatti per fini di prevenzione e individuazione di reati, indagare e perseguire in materia o esecuzione di sanzioni penali, compresa la protezione contro le minacce alla sicurezza pubblica e la prevenzione di tali minacce, in modo che il trattamento dei dati personali per questi scopi, purché rientri nell'ambito applicazione del diritto comunitario rientra nell'ambito di applicazione del presente regolamento.

 

Per quanto riguarda il trattamento dei dati personali da parte delle autorità competenti a fini nell'ambito di applicazione del presente regolamento, gli Stati membri dovrebbero essere in grado di mantenere o introdurre disposizioni più specifiche per adattare le norme del presente regolamento . Queste disposizioni in grado di determinare con maggiore precisione le esigenze specifiche di trattamento dei dati personali da parte delle autorità competenti per questi altri scopi, tenendo conto della struttura costituzionale, l'organizzazione e l'amministrazione dello Stato membro interessato. Quando il trattamento dei dati personali da parte di soggetti privati ​​rientra nell'ambito di applicazione del presente regolamento, dovrebbe essere possibile per gli Stati membri, a determinate condizioni, limite per legge determinati obblighi e diritti in caso costituisce una condizione necessaria e proporzionata in una società democratica per importanti interessi specifici tale restrizione come la sicurezza pubblica e la prevenzione e individuazione dei reati, la ricerca e perseguimento di reati o esecuzione di sanzioni penali, compresa la protezione contro le minacce per la sicurezza pubblica e la prevenzione di tali minacce. Questo è importante, per esempio, come parte della lotta contro il riciclaggio di denaro o attività dei laboratori forensi.

 

(20) Anche se il presente regolamento si applica, tra l'altro, le attività dei tribunali e le altre autorità giudiziarie, il diritto dell'Unione o il diritto degli Stati membri potrebbero indicare le operazioni di trattamento e le procedure in materia di trattamento dati personali da parte dei tribunali e le altre autorità giudiziarie. La competenza delle autorità di controllo non dovrebbe estendersi al trattamento dei dati personali effettuato dai giudici nell'esercizio della loro funzione giurisdizionale, al fine di preservare l'indipendenza della magistratura nello svolgimento delle sue funzioni giurisdizionali, compreso quando si prendono decisioni. Dovrebbe essere possibile fornire il controllo delle operazioni di trattamento dati agli organi specifici nel

 

(21) Il presente regolamento non pregiudica l'applicazione della direttiva 2000/31 / CE del Parlamento europeo e del Consiglio (2), compresa la responsabilità dei prestatori intermediari di cui agli articoli da 12 a 15. Questa direttiva mira a garantire il corretto funzionamento del mercato interno garantendo la libera circolazione dei servizi della società dell'informazione tra gli Stati membri.

 

(22) Qualsiasi trattamento di dati personali in possesso nell'ambito delle attività di uno stabilimento di un controller o di un subappaltatore sul territorio dell'UE dovrebbe essere a norma del presente regolamento, il trattamento stesso avviene o meno nell'Unione. Lo stabilimento implica l'esercizio effettivo e reale dell'attività mediante dispositivo stabile. La forma giuridica di tale dispositivo un, se una succursale o una filiale dotata di personalità giuridica, non è determinante in questo senso.

 

(1) La direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti ai fini della prevenzione e dell'individuazione reati, indagare e perseguire in materia o l'esecuzione di sanzioni penali, e la libera circolazione di tali dati e che abroga la decisione quadro 2008/977 / GAI del Consiglio (vedi pagina 89 della presente Gazzetta ufficiale ).

 

(2) La direttiva 2000/31 / CE del Parlamento europeo e del Consiglio, dell'8 giugno 2000, relativa a taluni aspetti giuridici dei servizi della società dell'informazione, in particolare il commercio elettronico, nel mercato interno ( 'direttiva sul commercio e ") (GU L 178 del 17.7.2000, pag. 1).

 

(23) Per garantire che un individuo non è escluso dalla protezione a cui ha diritto in virtù del presente regolamento, il trattamento dei dati personali relativi alle persone interessate che si trovano nell'Unione da un controllore o un subappaltatore che non è stabilito nell'Unione dovrebbero essere soggetti a questo regolamento in cui le attività di trattamento sono legate alla fornitura di beni o servizi a queste persone, il pagamento è richiesto oppure no. Per determinare se tale controllo una o subappaltatore fornisce beni o servizi a persone interessate che si trovano nell'Unione, dovrebbe determinare se è chiaro che il controllore o subappaltatore intende fornire servizi alle persone interessate in uno o più Stati membri dell'Unione. Mentre la semplice accessibilità del sito web responsabile del trattamento, un subappaltatore o di un intermediario all'interno dell'Unione, un indirizzo email o altri dati di contatto, o l'uso di un linguaggio generalmente usato nel paese terzo in cui il controllore è stabilito, non è sufficiente a stabilire che l'intenzione, fattori come l'uso di una lingua o di una moneta comunemente usato in uno o più Stati membri, con la possibilità di beni ei servizi di ordine a che i clienti di lingua o di riferimento o gli utenti che si trovano all'interno dell'Unione, possono mettere in chiaro che il titolare del trattamento intende

 

(24) Il trattamento dei dati personali delle persone interessate che si trovano nell'Unione da un controllore o un subappaltatore che non è stabilito nell'Unione europea dovrebbero essere soggetti al presente regolamento quando detto trattamento è legato al monitoraggio del comportamento di queste persone nella misura in cui è il loro comportamento all'interno dell'Unione. Per determinare se un'attività di trasformazione può essere considerato un monitoraggio del comportamento delle persone interessate, è necessario stabilire se gli individui sono tracciati su internet, compreso il futuro utilizzo del trattamento dei dati tecniche i dati personali che consistono di un profiling di un individuo, in particolare di prendere decisioni in materia o

 

(25) Qualora la legislazione di uno Stato membro si applica in virtù del diritto internazionale, il presente regolamento dovrebbe applicarsi anche a un controller non stabilito nell'Unione, ad esempio, che è dalla rappresentanza diplomatica o consolare di uno Stato membro.

 

(26) È opportuno applicare i principi che regolano la protezione dei dati a qualsiasi informazione concernente una persona fisica identificata o identificabile. I dati personali che è stato un pseudonimi e che potrebbero essere attribuite a un individuo attraverso l'uso di informazioni supplementari dovrebbero essere considerati come informazioni su una persona identificabile. Per determinare se un individuo viene identificato, si dovrebbe prendere in considerazione tutti i mezzi ragionevolmente suscettibili di essere utilizzate dal trattamento o da altri per identificare direttamente o indirettamente l'individuo, come ad esempio il targeting. Per stabilire se i mezzi sia ragionevolmente prevedibile essere utilizzato per identificare un individuo, si deve prendere in considerazione tutti i fattori oggettivi, come il costo di identificazione e del tempo necessario per esso, tenendo conto della tecnologia disponibile al momento del trattamento e cambiarle. Non v'è quindi alcuna necessità di applicare i principi di protezione dei dati alle informazioni anonime, cioè informazioni non concernente una persona fisica identificata o identificabile, o resi anonimi i dati personali in modo che la persona interessata non o non più identificabile. Il presente regolamento si applica, pertanto, non il trattamento di tali informazioni anonime, anche a fini statistici e di ricerca. dovrebbe prendere in considerazione tutti i fattori oggettivi, come il costo di identificazione e del tempo necessario per esso, tenendo conto dei durante l'elaborazione tecnologie e l'evoluzione di questi. Non v'è quindi alcuna necessità di applicare i principi di protezione dei dati alle informazioni anonime, cioè informazioni non concernente una persona fisica identificata o identificabile, o resi anonimi i dati personali in modo che la persona interessata non o non più identificabile. Il presente regolamento si applica, pertanto, non il trattamento di tali informazioni anonime, anche a fini statistici e di ricerca. dovrebbe prendere in considerazione tutti i fattori oggettivi, come il costo di identificazione e del tempo necessario per esso, tenendo conto dei durante l'elaborazione tecnologie e l'evoluzione di questi. Non v'è quindi alcuna necessità di applicare i principi di protezione dei dati alle informazioni anonime, cioè informazioni non concernente una persona fisica identificata o identificabile, o resi anonimi i dati personali in modo che la persona interessata non o non più identificabile. Il presente regolamento si applica, pertanto, non il trattamento di tali informazioni anonime, anche a fini statistici e di ricerca. quali i costi di identificazione e il tempo necessario per esso, tenendo conto dei dati durante l'elaborazione tecnologie e l'evoluzione di questi. Non v'è quindi alcuna necessità di applicare i principi di protezione dei dati alle informazioni anonime, cioè informazioni non concernente una persona fisica identificata o identificabile, o resi anonimi i dati personali in modo che la persona interessata non o non più identificabile. Il presente regolamento si applica, pertanto, non il trattamento di tali informazioni anonime, anche a fini statistici e di ricerca. quali i costi di identificazione e il tempo necessario per esso, tenendo conto dei dati durante l'elaborazione tecnologie e l'evoluzione di questi. Non v'è quindi alcuna necessità di applicare i principi di protezione dei dati alle informazioni anonime, cioè informazioni non concernente una persona fisica identificata o identificabile, o resi anonimi i dati personali in modo che la persona interessata non o non più identificabile. Il presente regolamento si applica, pertanto, non il trattamento di tali informazioni anonime, anche a fini statistici e di ricerca. Non v'è quindi alcuna necessità di applicare i principi di protezione dei dati alle informazioni anonime, cioè informazioni non concernente una persona fisica identificata o identificabile, o resi anonimi i dati personali in modo che la persona interessata non o non più identificabile. Il presente regolamento si applica, pertanto, non il trattamento di tali informazioni anonime, anche a fini statistici e di ricerca. Non v'è quindi alcuna necessità di applicare i principi di protezione dei dati alle informazioni anonime, cioè informazioni non concernente una persona fisica identificata o identificabile, o resi anonimi i dati personali in modo che la persona interessata non o non più identificabile. Il presente regolamento si applica, pertanto, non il trattamento di tali informazioni anonime, anche a fini statistici e di ricerca.

 

(27) Il presente regolamento non si applica ai dati personali del defunto. Gli Stati membri possono adottare norme sul trattamento dei dati personali del defunto.

 

(28) pseudonimizzazione dei dati personali in grado di ridurre i rischi per le persone interessate e controller di aiuto e subappaltatori di adempiere ai loro obblighi in termini di protezione dei dati. L'introduzione di pseudonimi esplicito al presente regolamento non ha lo scopo di escludere qualsiasi altra misura di protezione dei dati.

 

(29) Per incoraggiare pseudonimi nel trattamento dei dati personali, misure pseudonimizzazione dovrebbe essere possibile in un singolo controllore, consentendo un'analisi generale, quando ha adottato misure tecniche e misure organizzative per assicurare, per il trattamento teme che questa regolazione è implementata, e che le informazioni aggiuntive per assegnare dati personali ad una determinata persona interessata sono conservati separatamente. Il 'titolare' del loro trattamento dei dati personali deve indicare le persone autorizzate a tal fine in uno stesso controller.

 

(30) Le persone fisiche possono essere associati, dai dispositivi, applicazioni, strumenti e protocolli che usano, identificatori online, come indirizzi e biscotti IP di connessione ( "cookies") o altri identificatori, per esempio di tag di identificazione a radiofrequenza. Questi identificatori possono lasciare tracce, specialmente se combinata con identificatori univoci e altre informazioni ricevute dai server possono essere utilizzati per creare i profili dei singoli e identificarli.

 

(31) Le autorità pubbliche ai quali i dati personali sono comunicati in conformità con un requisito legale per l'esercizio delle loro funzioni ufficiali, come ad esempio fiscali e doganali le autorità, le cellule di indagine finanziaria, autorità amministrative indipendenti o autorità regolamentazione dei mercati finanziari e la supervisione dei mercati dei titoli non dovrebbero essere considerati come destinatari se ricevono i dati personali che sono necessari per condurre un'indagine speciale di interesse pubblico, ai sensi di legge dell'Unione o della legge di uno Stato membro. Le richieste di comunicazione da parte delle autorità pubbliche dovrebbero sempre essere in forma scritta, Essere motivati ​​ed essere occasionali, e non dovrebbero essere su un intero file o piombo per l'interconnessione di file. Il trattamento dei dati personali da parte delle autorità pubbliche in questione deve essere condotto in conformità con le norme applicabili in materia di protezione dei dati in base alle finalità del trattamento.

 

(32) Il consenso deve essere dato un chiaro atto positivo di cui manifesti persona in un libero, specifico, informati e inequivocabili sono d'accordo al trattamento dei dati personali riguardanti, ad esempio per mezzo di una dichiarazione scritta, tra cui dichiarazione elettronica, o per via orale. Ciò potrebbe essere fatto, in particolare, selezionando una casella durante la visualizzazione di un sito web, la scelta di alcuni parametri tecnici per i servizi della società dell'informazione o di un'altra istruzione o altri comportamenti che indica chiaramente il contesto in cui la persona interessata accetta la proposta trattamento dei suoi dati personali. Non può quindi essere alcun consenso in caso di silenzio alle caselle selezionate per impostazione predefinita oppure inattività. Il consenso dato dovrebbe applicarsi a tutte le attività di trattamento o gli stessi scopi. Quando il trattamento ha diversi scopi, il consenso deve essere dato per tutti loro. Se viene dato il consenso dell'interessato a seguito di una domanda presentata per via elettronica, tale richiesta deve essere chiaro e conciso e non deve inutilmente interrompere l'utilizzo del servizio per il quale è concesso.

 

(33) Spesso, non è possibile comprendere pienamente lo scopo del trattamento dei dati personali a fini di ricerca scientifica, al momento della raccolta dei dati. Pertanto, gli individui dovrebbero essere in grado di dare il proprio consenso in merito ad alcuni settori della ricerca scientifica, pur rispettando gli standard accettati etici della ricerca scientifica. Le persone interessate devono essere in grado di dare il loro consenso solo per quanto riguarda alcuni settori della ricerca o di parti di progetti di ricerca, dal momento che il permesso di destinazione.

 

(34) I dati genetici devono essere definiti come dati sulle caratteristiche genetiche o acquisite ereditari di un individuo, risultante dall'analisi di un campione biologico dall'individuo in questione, compresa un'analisi dei cromosomi , acido deossiribonucleico (DNA) o acido ribonucleico (RNA), o un altro elemento di analisi per ottenere informazioni equivalenti.

 

(35) I dati personali relativi alla salute dovrebbero comprendere tutti i dati relativi allo stato di salute di un soggetto di dati che rivelano informazioni sulla salute fisica o mentale di passato, presente o futuro la persona interessata. Questo include informazioni sulla individuali raccolte al momento della registrazione di questo individuo per ricevere servizi di assistenza sanitaria o alla prestazione di servizi ai sensi della direttiva 2011/24 / UE del Parlamento europeo e Consiglio (1) a beneficio del singolo; un numero, simbolo o un elemento specifico assegnato ad un individuo di identificare in modo univoco a fini sanitari; informazioni ottenute durante la prova o esame di una parte del corpo o una sostanza corporea, anche da dati genetici e di campioni biologici; e le informazioni riguardanti, ad esempio, la malattia, la disabilità, il rischio di malattia, la storia medica, il trattamento clinico o stato fisiologico o biomedico dell'interessato, indipendentemente dalla sua origine, sia che provenga da esempio un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro.

 

(36) La struttura principale di un regolatore nell'Unione dovrebbe essere il luogo di amministrazione centrale nell'Unione, se non si adottano le decisioni come per le finalità ei mezzi di elaborazione dati personali un'altra stabilimento del responsabile in seno all'Unione, che

 

(1) La direttiva 2011/24 / UE del Parlamento europeo e del Consiglio, del 9 marzo 2011, concernente l'applicazione dei diritti dei pazienti relativi all'assistenza sanitaria transfrontaliera (GU L 88, 4.4.2011, p. 45).

 

Se l'altro stabilimento dovrebbe essere considerata la sede principale. La sede principale di un controller nell'Unione deve essere determinata secondo criteri oggettivi e dovrebbe assumere i criteri di efficacia ed effettivo esercizio delle attività di gestione che determinano le principali decisioni in merito alle finalità e modalità del trattamento dei nei all'interno di un dispositivo stabile. Questo criterio non dovrebbe dipendere dal fatto che la trasformazione abbia luogo. La presenza e l'uso dei dati tecnici e personali tecnologie di elaborazione o mezzi di elaborazione attività non, di per sé, una struttura principale e sono quindi senza determinare criteri per un sede principale. L' sede principale di trattare-in dovrebbe essere il luogo di amministrazione centrale nell'Unione o, se non dispone di un'amministrazione centrale nell'Unione, dove si svolge la maggior parte delle attività di trattamento in Union. Quando il controller e il subappaltatore sono entrambi interessati, l'autorità di controllo dello Stato membro in cui il controller ha la sua sede principale dovrebbe rimanere l'autorità di vigilanza competente di testa coda, ma la subappaltatore dell'autorità di vigilanza deve essere considerato un'autorità di vigilanza interessata e l'autorità di vigilanza dovrebbe partecipare alla procedura di cooperazione prevista dal presente regolamento. In ogni caso, le autorità di vigilanza degli Stati membri in cui l'imprenditore-in ha uno o più stabilimenti non devono essere considerati come autorità di vigilanza interessate, quando il progetto di decisione riguarda solo il controller. Quando il trattamento viene eseguito da un gruppo di aziende, la sede principale della società che i controlli devono essere considerati l'istituzione principale del gruppo di società, tranne quando le finalità ei mezzi del trattamento sono determinati da un'altra società.

 

(37) Un gruppo di imprese dovrebbero coprire una società che esercita il controllo e le sue società controllate, il primo ad essere uno che può esercitare un'influenza dominante su altre imprese perché, ad esempio, il possesso di capitali, di partecipazione finanziaria o delle regole che la disciplinano, o l'autorità di far rispettare le norme in materia di protezione dei dati personali. Una società che controlla il trattamento dei dati personali in società affiliate ad esso dovrebbero essere considerati come formando con loro un gruppo di società.

 

(38) I bambini meritano una protezione specifica per quanto riguarda i loro dati personali, perché essi possono essere meno consapevoli dei rischi, le conseguenze e le relative garanzie e dei diritti connessi al trattamento dei dati personali. Questa protezione specifico dovrebbe, in particolare, si applica al trattamento dei dati personali relativi a scopi di marketing carattere bambini o per la creazione di profili della personalità o utente e la raccolta di dati personali relativi ai bambini durante l'utilizzo dei servizi offerti direttamente ad un minore. Il consenso del titolare della responsabilità genitoriale non dovrebbe essere necessario nel contesto dei servizi di prevenzione e di consulenza offerti direttamente ad un minore.

 

(39) Qualsiasi trattamento di dati personali deve essere equa e legittima. Il fatto che i dati personali sui singoli raccolta, utilizzo, consultate o trattata in altro modo e la misura in cui questi dati siano o saranno trattati devono essere trasparenti per quanto riguarda le persone interessate. Il principio di trasparenza richiede che tutte le informazioni e la comunicazione sul trattamento di questi dati personali sono facilmente accessibili, facile da capire, e formulato in termini chiari e semplici. Questo vale in particolare per le informazioni fornite alle persone interessate sul estremi identificativi del titolare e le finalità del trattamento e per altre informazioni al fine di garantire correttezza e trasparenza nei confronti dei soggetti interessati e il loro diritto di ottenere la conferma e la comunicazione dei dati personali merito che sono oggetto di un trattamento. Gli individui dovrebbero essere informati dei rischi, regole, tutele e diritti per il trattamento dei dati personali e il modo di esercitare i loro diritti per quanto riguarda questo trattamento. In particolare, le finalità specifiche del trattamento dei dati personali dovrebbero essere espliciti e legittimi e determinato alla raccolta di dati personali. I dati personali devono essere adeguati, pertinenti e limitato a quanto necessario per gli scopi per cui sono trattati. Ciò richiede, in particolare, per garantire che il periodo di conservazione dei dati essere limitato al minimo indispensabile. dati personali devono essere trattati solo se lo scopo del trattamento non può essere ragionevolmente realizzato con altri mezzi. Per garantire che i dati non sono conservati più del necessario, i termini dovrebbero essere fissati dal controllore di cancellazione o per una revisione periodica. Si dovrebbero prendere tutte le misure ragionevoli per assicurare che i dati personali che sono inesatti siano rettificati o cancellati.

 

(40) Per essere lecito, il trattamento dei dati personali deve essere basata sul consenso della persona interessata o basa su qualsiasi altra base legale legittimi o nel presente regolamento

 

o in altra disposizione di legge nazionale o il diritto dell'Unione, come previsto dal presente regolamento, compresa la necessità di rispettare l'obbligo legale al quale è soggetto il responsabile, o la necessità di eseguire un contratto che l'interessato è parte o di adottare misure precontrattuali su richiesta della persona interessata.

 

(41) Qualora il presente regolamento si riferisce alla base giuridica o nella legislazione, non significa necessariamente che sia necessaria l'adozione di un atto legislativo da un parlamento, fatti salvi gli obblighi sotto l'ordine Costituzione dello Stato membro interessato. Tuttavia, questa base giuridica o la normativa sia chiara e precisa e la sua applicazione deve essere prevedibile per coloro che, in conformità con la giurisprudenza della Corte di giustizia dell'Unione europea (di seguito denominato "Corte di giustizia") e la Corte europea dei diritti umani.

 

(42) Quando l'elaborazione è basata sul consenso della persona, il regolatore deve essere in grado di dimostrare che la persona ha acconsentito alla operazione di elaborazione. In particolare, nel contesto di una dichiarazione scritta su un altro argomento, dovrebbero esistere garanzie per assicurare che la persona è consapevole del consenso e la portata. Ai sensi della direttiva 93/13 / CEE (1), una dichiarazione preliminare consenso scritto dal titolare dovrebbe essere fornite in una forma comprensibile e facilmente accessibile, e formulata in termini chiari e semplici, e non dovrebbe non contengono clausola abusiva. Per il consenso di essere informato, la persona dovrebbe conoscere almeno il estremi identificativi del titolare e le finalità del trattamento, che sono per i dati personali. Il consenso non deve essere considerato sia stato dato liberamente se la persona in questione non ha alcuna vera libertà di scelta o non è in grado di rifiutare o revocare il consenso senza sofferenza.

 

(43) Per assicurare che il consenso è dato liberamente, è che esso non costituisce una valida base giuridica per il trattamento dei dati personali in un caso particolare in cui v'è un chiaro squilibrio tra la persona e il controller, in particolare quando il controller è un ente pubblico e che è improbabile che il consenso è stato dato dato liberamente tutte le circostanze di questa particolare situazione. Consenso è considerato non sono state così libero consenso separato non può essere somministrato ai diversi trattamenti di dati personali anche se questo è appropriato in questo caso, o l'esecuzione di un contratto compresa la fornitura di un servizio,

 

(44) Il trattamento deve essere considerato legittimo se è richiesto come parte di un contratto o intento di contratto.

 

(45) Quando l'elaborazione è effettuata in conformità ad un obbligo legale al quale è soggetto il responsabile o sia necessario per l'esecuzione di una missione di interesse pubblico o connesso all'esercizio di pubblici poteri , il trattamento deve avere una base nel diritto comunitario o la legge di uno Stato membro. Il presente regolamento non richiede specifiche disposizioni di legge per ogni singolo trattamento. Una disposizione di legge può essere sufficiente a fondare diverse operazioni di trattamento sulla base di un obbligo legale al quale è soggetto il responsabile o dove è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di autorità pubblica. Dovrebbe anche appartenere al diritto dell'Unione o alla legislazione di uno Stato membro di determinare le finalità del trattamento. Inoltre, questa legge potrebbe specificare i termini del presente regolamento che disciplina la legittimità del trattamento dei dati personali, di stabilire le specifiche per determinare il controller, il tipo di dati personali oggetto di trattamento, la persone interessate, i soggetti ai quali i dati personali possono essere comunicati, limitazioni alla finalità, la durata e le altre misure per garantire trattamento legittimo e giusto. Dovrebbe anche appartenere al diritto dell'Unione o alla legislazione di uno Stato membro di determinare se il controller di eseguire una missione

 

(46) Il trattamento dei dati personali deve essere considerato legittimo se è necessario per proteggere un interesse essenziale nella vita dell'individuo o di un'altra persona

 

(1) La direttiva 93/13 / CEE del Consiglio, del 5 aprile 1993, concernente le clausole abusive nei contratti stipulati con i consumatori (GU L 95 del 21.4.1993, pag. 29).

 

fisica. Il trattamento dei dati personali in base agli interessi vitali di un altro individuo dovrebbe in linea di principio si svolgono quando il trattamento chiaramente non può essere basata su una base giuridica diversa. Alcuni tipi di trattamento può essere giustificata da entrambi importanti motivi di interesse pubblico e gli interessi vitali della persona interessata, ad esempio quando il trattamento è necessario per scopi umanitari, inclusa la focolai monitor e la diffusione, o nei casi di emergenze umanitarie, quali catastrofi naturali e artificiali.

 

(47) Gli interessi legittimi del titolare, tra cui un controller ai quali i dati personali possono essere comunicati o terzi possono fornire una base giuridica per il trattamento, a meno che interessi oi diritti fondamentali e le libertà della persona interessata prevalgono, viste le ragionevoli esigenze degli individui in base al loro rapporto con il controller. Tale legittimo interesse può, per esempio, quando esiste un rapporto rilevante e appropriato tra i dati e il responsabile per il trattamento a situazioni come quelle in cui la persona è un client del controllore o del suo servizio . In ogni caso, l'esistenza di un legittimo interesse deve essere valutata con attenzione, in particolare per determinare se una persona interessata può ragionevolmente prevedere al momento e nel contesto della raccolta dei dati personali, che fanno soggetto ad un trattamento per uno scopo particolare. Gli interessi e dei diritti fondamentali della persona interessata può, in particolare, si basano su l'interesse del titolare del trattamento quando i dati personali sono trattati in circostanze in cui le persone interessate non sono ragionevolmente aspettarsi di ulteriori elaborazioni. Dal momento che è al legislatore di prevedere nella legislazione la base giuridica per il trattamento dei dati personali da parte delle autorità pubbliche, la base giuridica non deve s' applicano al trattamento da parte delle autorità pubbliche nel compimento della loro missione. Il trattamento dei dati personali strettamente necessari ai fini della prevenzione delle frodi è anche un interesse legittimo del responsabile del trattamento. Il trattamento dei dati personali per finalità di marketing può essere considerato come riferimenti in risposta ad un interesse legittimo.

 

(48) I controllori che fanno parte di un gruppo di aziende o istituzioni affiliate ad un organismo centrale possono avere un interesse legittimo a trasmettere i dati personali all'interno del gruppo di aziende per scopi amministrativi interni incluso il trattamento dei dati personali relativi a clienti o dipendenti. I principi generali che disciplinano il trasferimento di dati personali, all'interno di un gruppo di società, una società con sede in un paese terzo non siano compromessi.

 

i fornitori di reti di comunicazione elettronica e dei servizi e tecnologie per la sicurezza e fornitori di servizi, è un interesse legittimo del responsabile del trattamento in questione. Potrebbe essere, ad esempio, per impedire l'accesso non autorizzato alle reti di comunicazione elettronica e di distribuzione codice maligno e attacchi di arresto "denial of service" e sistemi di comunicazione danni che interessano Video e computer.

 

(50) Il trattamento dei dati personali per scopi diversi da quelli per cui i dati personali sono stati raccolti inizialmente deve essere consentito solo se è compatibile con gli scopi per cui i dati sono originariamente raccolti. In questo caso, non è necessaria alcuna base giuridica separata, che ha permesso la raccolta di dati personali. Se il trattamento è necessario per l'esecuzione di una missione di interesse pubblico o connesso all'esercizio di pubblici poteri attribuite al controllore, il diritto dell'Unione o alla legislazione di uno Stato membro può determinare e precisare i compiti e gli scopi per i quali l'ulteriore elaborazione dovrebbe essere considerata compatibile e legittima. Ulteriore trattamento per scopi di archiviazione di interesse pubblico, a fini statistici la ricerca scientifica o storica o deve essere considerata un'operazione trattamento legittimo compatibile. La base giuridica prevista dal diritto dell'Unione o alla legge di uno Stato membro con riguardo al trattamento dei dati personali può anche essere la base giuridica per l'ulteriore elaborazione. Per determinare se i fini dell'ulteriore lavorazione sono compatibili con quelli per cui i dati personali sono stati originariamente raccolti, il controllore, soddisfa tutti i requisiti relativi alla legittimità del trattamento iniziale deve essere considerata comprendono: un collegamento tra tali scopi e obiettivi della ulteriore trattamento previsto; il contesto in cui sono stati raccolti i dati personali, in particolare le ragionevoli aspettative degli interessati, in base al loro rapporto con il controller, sul successivo utilizzo di detti dati; la natura del personale dei dati di carattere; le conseguenze per le persone interessate l'ulteriore trattamento previsto; e l'esistenza di adeguate garanzie sia nel trattamento iniziale e l'ulteriore trattamento previsto. successivo utilizzo di detti dati; la natura del personale dei dati di carattere; le conseguenze per le persone interessate l'ulteriore trattamento previsto; e l'esistenza di adeguate garanzie sia nel trattamento iniziale e l'ulteriore trattamento previsto. successivo utilizzo di detti dati; la natura del personale dei dati di carattere; le conseguenze per le persone interessate l'ulteriore trattamento previsto; e l'esistenza di adeguate garanzie sia nel trattamento iniziale e l'ulteriore trattamento previsto.

 

Quando il soggetto ha dato il suo consenso o che il trattamento si basa sul diritto dell'Unione europea o della legge di uno Stato membro costituisce una necessaria e proporzionata in una società democratica al fine di garantire, in particolare, gli obiettivi importanti di interesse pubblico generale, il regolatore deve poter eseguire il trattamento di dati personali indipendentemente scopi di compatibilità. In ogni caso, l'applicazione dei principi del presente regolamento e, in particolare, le informazioni della persona interessata, su questi altri scopi e diritti, compreso il diritto di opporsi al trattamento, dovrebbe essere garantita. Il fatto che il controllore, rivelano l'esistenza di eventuali reati o di minacce per la sicurezza pubblica e di trasmettere all'autorità competente i dati personali in questione nei singoli casi o in diversi casi relativi allo stesso reato o stesse minacce per la sicurezza pubblica devono essere considerati nell'interesse legittimo del controllore. Tuttavia, questa trasmissione nell'interesse legittimo del controller o l'ulteriore trattamento di dati personali deve essere vietata quando il trattamento è incompatibile con un obbligo di riservatezza legale, professionale o qualsiasi altro obbligo di riservatezza vincolante.

 

(51) Les données à caractère personnel qui sont, par nature, particulièrement sensibles du point de vue des libertés et des droits fondamentaux méritent une protection spécifique, car le contexte dans lequel elles sont traitées pourrait engendrer des risques importants pour ces libertés et droits. Ces données à caractère personnel devraient comprendre les données à caractère personnel qui révèlent l'origine raciale ou ethnique, étant entendu que l'utilisation de l'expression «origine raciale» dans le présent règlement n'implique pas que l'Union adhère à des théories tendant à établir l'existence de races humaines distinctes. Le traitement des photographies ne devrait pas systématiquement être considéré comme constituant un traitement de catégories particulières de données à caractère personnel, étant donné que celles-ci ne relèvent de la définition de données biométriques que lorsqu'elles sont traitées selon un mode technique spécifique permettant l'identification ou l'authentification unique d'une personne physique. De telles données à caractère personnel ne devraient pas faire l'objet d'un traitement, à moins que celui-ci ne soit autorisé dans des cas spécifiques prévus par le présent règlement, compte tenu du fait que le droit d'un État membre peut prévoir des dispositions spécifiques relatives à la protection des données visant à adapter l'application des règles du présent règlement en vue de respecter une obligation légale ou pour l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement. Outre les exigences spécifiques applicables à ce traitement, les principes généraux et les autres règles du présent règlement devraient s'appliquer, en particulier en ce qui concerne les conditions de licéité du traitement. Des dérogations à l'interdiction générale de traiter ces catégories particulières de données à caractère personnel devraient être explicitement prévues, entre autres lorsque la personne concernée donne son consentement explicite ou pour répondre à des besoins spécifiques, en particulier lorsque le traitement est effectué dans le cadre d'activités légitimes de certaines associations ou fondations ayant pour objet de permettre l'exercice des libertés fondamentales.

 

(52) Deroghe al divieto di trattamento di categorie particolari di dati personali dovrebbero essere consentiti quando il diritto dell'Unione o alla legislazione di uno Stato membro preveda, e soggetti a garanzie adeguate, in modo da ai dati personali proteggere e altri diritti fondamentali, quando l'interesse pubblico per includere il trattamento dei dati personali nel campo del diritto del lavoro e il diritto alla protezione sociale, comprese le pensioni, e motivi di sicurezza, di allarme monitoraggio e la salute, prevenzione e controllo delle malattie trasmissibili e altre minacce gravi per la salute. Tali esenzioni sono possibili per motivi di salute, compresa la salute e la gestione dei servizi di assistenza sanitaria pubblica, in particolare per garantire la qualità e l'efficienza delle procedure di liquidazione dei sinistri per prestazioni e servizi nell'ambito del piano di assicurazione sanitaria, o per archivistico di interesse pubblico, con lo scopo di fini statistici ricerca scientifica o storica o. Una deroga dovrebbe consentire ulteriormente il trattamento di tali dati personali, se necessario, per costituire, esercitare o difendere un diritto per via giudiziaria, sia come parte di giudiziaria, amministrativa o corte. o per scopi di archiviazione di interesse pubblico, al fine di fini statistici ricerca scientifica o storica o. Una deroga dovrebbe consentire ulteriormente il trattamento di tali dati personali, se necessario, per costituire, esercitare o difendere un diritto per via giudiziaria, sia come parte di giudiziaria, amministrativa o corte. o per scopi di archiviazione di interesse pubblico, al fine di fini statistici ricerca scientifica o storica o. Una deroga dovrebbe consentire ulteriormente il trattamento di tali dati personali, se necessario, per costituire, esercitare o difendere un diritto per via giudiziaria, sia come parte di giudiziaria, amministrativa o corte.

 

(53) Le categorie particolari di dati personali che meritano una maggiore protezione devono essere trattati per finalità attinenti alla salute qualora ciò sia necessario per raggiungere questi obiettivi a beneficio delle persone e della società nel suo complesso, in particolare nel contesto della gestione dei servizi e dei sistemi di assistenza sanitaria e di protezione sociale, compreso il trattamento da parte della direzione nazionale e autorità governative centrali di salute, questi dati per la il controllo della qualità, responsabili delle informazioni e la supervisione generale, a livello nazionale e locale, il sistema di assistenza sanitaria o alla protezione sociale e al fine digarantire la continuità dell'assistenza sanitaria o di protezione sociale e di assistenza sanitaria transfrontaliera o motivi di sicurezza, il monitoraggio e allarme sanitario, o per scopi di archiviazione di interesse pubblico, a fini di ricerca scientifica o fini storici o statistici, sulla base del diritto dell'Unione o della legge degli Stati membri, che devono soddisfare un obiettivo di interesse pubblico e per

 

études menées dans l'intérêt public dans le domaine de la santé publique. Le présent règlement devrait dès lors prévoir des conditions harmonisées pour le traitement des catégories particulières de données à caractère personnel relatives à la santé, pour répondre à des besoins spécifiques, en particulier lorsque le traitement de ces données est effectué pour certaines fins liées à la santé par des personnes soumises à une obligation légale de secret professionnel. Le droit de l'Union ou le droit des États membres devrait prévoir des mesures spécifiques et appropriées de façon à protéger les droits fondamentaux et les données à caractère personnel des personnes physiques. Les États membres devraient être autorisés à maintenir ou à introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé. Toutefois, cela ne devrait pas entraver le libre flux des données à caractère personnel au sein de l'Union lorsque ces conditions s'appliquent au traitement transfrontalier de ces données.

 

(54) Il trattamento di categorie particolari di dati personali può essere necessaria per ragioni di interesse pubblico nei settori della sanità pubblica, senza il consenso della persona interessata. Tale trattamento deve essere adeguata e specifiche misure per proteggere i diritti e le libertà delle persone fisiche. In questo contesto, la nozione di 'salute pubblica' dovrebbe essere interpretato come definite nel regolamento (CE) n 1338/2008 del Parlamento europeo e del Consiglio (1), vale a dire tutti gli elementi attinenti alla salute, vale a dire lo stato di salute, morbilità e disabilità incluse, i determinanti aventi un effetto su tale stato di salute, bisogni di assistenza sanitaria, le risorse di assistenza sanitaria, la fornitura di assistenza sanitaria, l'accesso universale alle cure sanitarie, la spesa sanitaria e di finanziamento, e le cause di morte. Tali dati relativi trattamenti per la salute, per motivi di interesse pubblico non dovrebbe risultare che i dati personali sono trattati per altri scopi da parte di terzi, come ad esempio datori di lavoro o compagnie di assicurazione e banche.

 

(55) Inoltre, il trattamento di dati personali da parte delle autorità pubbliche al fine di raggiungere gli obiettivi, in base al diritto costituzionale o diritto internazionale pubblico, le associazioni religiose ufficialmente riconosciute è fatto per motivi di interesse pubblico.

 

(56) Se, nell'ambito delle attività connesse alle elezioni, il funzionamento del sistema democratico in uno Stato membro richiede che i partiti politici di dati personali relativi alle opinioni politiche delle persone, il trattamento di tali dati possono essere ammessi per motivi di interesse pubblico, a condizione che adeguate garanzie sono forniti.

 

(57) Se il personale che tratta i dati non consentono a quest'ultimo di individuare un individuo, il regolatore dovrebbe non essere necessaria per ottenere ulteriori informazioni per identificare la persona per il solo scopo di rispetto una disposizione del presente regolamento. Tuttavia, il controller non dovrebbe rifiutare le ulteriori informazioni fornite dalla persona interessata a facilitare l'esercizio dei suoi diritti. L'identificazione deve includere il numero di identificazione di una persona interessata, ad esempio attraverso un meccanismo di autenticazione come gli stessi identificativi utilizzati dalla persona per la connessione al servizio in linea fornito dal controllore.

 

(58) Il principio di trasparenza richiede che ogni informazione indirizzata al pubblico o la persona è conciso, facilmente accessibili e di facile comprensione, e formulata in termini chiari e semplici e, inoltre, se del caso, illustrato utilizzando immagini. Tale informazione potrebbe essere fornita in forma elettronica, ad esempio attraverso un sito web quando è diretta al pubblico. Ciò è particolarmente vero in situazioni in cui la moltiplicazione degli attori e la complessità delle tecnologie utilizzate rendono difficile per l'individuo a conoscere e capire se per quanto riguarda i dati personali vengono raccolti, da chi e per quale scopo, come nel caso della pubblicità online. I bambini meritano una protezione specifica,

 

(59) Le modalità dovrebbero essere fornite per facilitare l'esercizio da parte della persona interessata dei diritti conferiti dal presente regolamento, compreso il modo di richiesta e, se necessario, per ottenere gratuitamente, in particolare, la accesso ai dati personali e di rettifica o cancellazione, e l'esercizio di un diritto di oggetto. Il controllore deve anche fornire i mezzi per presentare domande elettronicamente, specialmente quando i dati personali sono trattati elettronicamente. Il controller dovrebbe essere tenuto a rispondere alle richieste da parte della persona interessata al più presto possibile e al più tardi entro un mese e motivare la sua risposta quando al '

 

(1) Il regolamento (CE) n 1338/2008 del Parlamento europeo e del Consiglio, del 16 dicembre 2008 relativo alle statistiche comunitarie della sanità pubblica e della salute e sicurezza sul lavoro (GU L 354 del 31.12.2008, pag. 70).

 

(60) Il principio di equa e trasparente trattamento richiedono che l'interessato è informato dell'esistenza del trattamento e delle sue finalità. Il regolatore deve fornire alla persona interessata tutte le altre informazioni necessarie per assicurare un trattamento equo e trasparente, tenendo conto delle circostanze specifiche e contesto in cui i dati personali sono trattati. Inoltre, la persona interessata deve essere informato dell'esistenza di profilazione e le conseguenze di esso. Quando i dati personali sono raccolti direttamente presso l'interessato, è importante che si sa anche che si è tenuto a fornire questi dati personali e informato delle conseguenze che essa s' esposto se non fornisce. Questa informazione può essere fornita insieme con icone standardizzati per fornire una buona panoramica, facilmente visibile, comprensibile e chiaramente leggibile, il trattamento previsto. Quando le icone sono presentate per via elettronica, essi dovrebbero essere leggibile dalla macchina.

 

(61) L'informazione sul trattamento dei dati personali relativi alla persona interessata deve essere fornito al momento della raccolta dei dati da lui o, se i dati personali sono ottenuti da un'altra fonte, in un tempo ragionevole a seconda delle circostanze di ciascun caso. Qualora i dati personali possono essere legittimamente comunicati a un altro destinatario, è opportuno che l'interessato essere informato quando tali dati personali siano comunicati per la prima volta detto destinatario. Quando intende trattare dati personali per scopi diversi da quelli per cui sono stati raccolti, il controllore deve, prima di ulteriore lavorazione, fornire alla persona interessata le informazioni circa l'altro scopo e di qualsiasi altra informazione necessaria. Quando l'origine dei dati personali non possono essere comunicati alla persona interessata in quanto diverse fonti sono stati utilizzati, devono essere fornite informazioni di carattere generale.

 

(62) Tuttavia, non è necessario imporre l'obbligo di fornire informazioni in cui l'interessato ha già queste informazioni, quando la registrazione o la divulgazione di dati personali è espressamente previsti dalla legge o quando la comunicazione di informazioni alla persona interessata risulta impossibile o richieda un impegno eccessivo. Questo potrebbe essere il caso, in particolare, quando si tratta di trattamento per scopi di archiviazione nel pubblico interesse, al fine di scopi statistici ricerca scientifica o storica o. A questo proposito, dovrebbe essere considerato il numero di persone coinvolte, l'età dei dati, e le eventuali misure di salvaguardia adottate rilevanti.

 

(63) Una persona interessata deve avere il diritto di dati personali di accesso che sono stati raccolti su di lui e per esercitare questo diritto in modo semplice e ad intervalli ragionevoli, di essere a conoscenza del trattamento e al controllo liceità. Questo include il diritto degli interessati di accedere ai dati riguardanti la loro salute, per esempio, i dati nelle loro cartelle cliniche contenenti informazioni quali la diagnosi, i risultati degli esami, parere dei medici curanti ed eventuali terapie o interventi amministrati. Di conseguenza, qualsiasi persona interessata dovrebbe avere il diritto di conoscere e di essere informati, in particolare, ai fini del trattamento dei dati personali, se possibile, la durata del trattamento di tali dati personali, la identità dei destinatari dei dati personali, la logica loro eventuale trattamento automatizzato e le conseguenze che questo trattamento può avere, almeno in caso di profilatura. Ove possibile, il regolatore deve essere in grado di dare accesso remoto a un sistema sicuro che permette all'individuo di accedere direttamente i dati personali che lo riguardano. Questo diritto non dovrebbe pregiudicare i diritti o delle libertà altrui, inclusi segreti commerciali o la proprietà intellettuale, incluso il copyright protegge il software. Tuttavia, queste considerazioni non devono portare a rifiutare qualsiasi comunicazione di informazioni alla persona interessata.

 

(64) Il regolatore deve prendere tutte le misure ragionevoli per verificare l'identità di un soggetto di dati che richiede l'accesso ai dati, in particolare nel contesto dei servizi e identificatori on-line. Un controller non dovrebbe conservare i dati personali al solo scopo di essere in grado di rispondere a qualsiasi richiesta.

 

(65) Le persone interessate dovrebbero avere il diritto di rettificare i dati personali che li riguardano, e hanno un "diritto all'oblio" quando la conservazione di tali dati è una violazione del presente regolamento o la legge del dell'Unione o la legge di uno Stato membro al quale è soggetto il responsabile. In particolare, gli individui dovrebbero avere il diritto di avere i propri dati personali sono cancellati e non più elaborati, in cui tali dati personali non sono più necessari per lo scopo per il quale sono stati raccolti o elaborati per altro modo, quando gli individui hanno ritirato il loro consenso al trattamento o quando s' opporsi al trattamento di dati personali che lo riguardano o in cui il trattamento dei loro dati personali non è conforme tuttavia in questo regolamento. Questa legge è rilevante, soprattutto quando il soggetto ha dato il suo consenso a quando era un bambino e non era pienamente consapevole dei rischi inerenti al trattamento, e lei poi vuole rimuovere questi dati il personale, soprattutto su Internet. Il soggetto deve essere in grado di esercitare questo diritto nonostante il fatto che non è più un bambino. Tuttavia, la successiva conservazione dei dati personali deve essere legittimo se è necessario per l'esercizio del diritto alla libertà di espressione e di informazione,

 

(66) Per rafforzare il 'diritto di essere dimenticati "digitale, il diritto di cancellazione dovrebbe essere esteso in modo che il controllore che ha reso i dati personali del pubblico è tenuto ad informare il controllori che trattano i dati personali che dovrebbero cancellare tutti i link a questi dati, o qualsiasi copia o la riproduzione della stessa. In tal modo, questo controller dovrebbe adottare misure ragionevoli, data la tecnologia e le risorse disponibili a sua disposizione, comprese le misure tecniche per informare i titolari del trattamento che elaborano i dati personali della richiesta avanzata dal la persona interessata.

 

(67) I metodi per limitare il trattamento dei dati personali potrebbero includere, tra gli altri, per spostare temporaneamente i dati selezionati su un altro sistema di elaborazione, per rendere i dati personali selezionati inaccessibili agli utenti, o per ritirare temporaneamente dati pubblicati da un sito web. Nei file automatizzati, limitando l'elaborazione in linea di principio essere assicurato mediante tecniche in modo che i dati personali non saranno soggetti a successive operazioni di trattamento e non possono essere cambiati. Il fatto che il trattamento dei dati personali è limitato deve essere indicato chiaramente nel file.

 

(68) Pour renforcer encore le contrôle qu'elles exercent sur leurs propres données, les personnes concernées devraient aussi avoir le droit, lorsque des données à caractère personnel font l'objet d'un traitement automatisé, de recevoir les données à caractère personnel les concernant, qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé, lisible par machine et interopérable, et de les transmettre à un autre responsable du traitement. Il y a lieu d'encourager les responsables du traitement à mettre au point des formats interopérables permettant la portabilité des données. Ce droit devrait s'appliquer lorsque la personne concernée a fourni les données à caractère personnel sur la base de son consentement ou lorsque le traitement est nécessaire pour l'exécution d'un contrat. Il ne devrait pas s'appliquer lorsque le traitement est fondé sur un motif légal autre que le consentement ou l'exécution d'un contrat. De par sa nature même, ce droit ne devrait pas être exercé à l'encontre de responsables du traitement qui traitent des données à caractère personnel dans l'exercice de leurs missions publiques. Il ne devrait dès lors pas s'appliquer lorsque le traitement des données à caractère personnel est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis ou à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement. Le droit de la personne concernée de transmettre ou de recevoir des données à caractère personnel la concernant ne devrait pas créer, pour les responsables du traitement, d'obligation d'adopter ou de maintenir des systèmes de traitement qui sont techniquement compatibles. Lorsque, dans un ensemble de données à caractère personnel, plusieurs personnes sont concernées, le droit de recevoir les données à caractère personnel devrait s'entendre sans préjudice des droits et libertés des autres personnes concernées conformément au présent règlement. De plus, ce droit ne devrait pas porter atteinte au droit de la personne concernée d'obtenir l'effacement de données à caractère personnel ni aux limitations de ce droit comme le prévoit le présent règlement et il ne devrait pas, notamment, entraîner l'effacement de données à caractère personnel relatives à la personne concernée qui ont été fournies par celle-ci pour l'exécution d'un contrat, dans la mesure où et aussi longtemps que ces données à caractère personnel sont nécessaires à l'exécution de ce contrat. Lorsque c'est techniquement possible, la personne concernée devrait avoir le droit d'obtenir que les données soient transmises directement d'un responsable du traitement à un autre.

 

(69) Qualora i dati personali possono essere trattati in modo lecito, perché il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri attribuite al controllore trattamento, oppure a causa degli interessi legittimi del titolare o di terzi, gli interessati devono avere ancora il diritto di opporsi al trattamento dei dati personali relativi alla loro situazione particolare. Dovrebbe essere fino al controller per dimostrare che i suoi interessi legittimi convincenti prevalere sugli interessi o diritti e le libertà fondamentali della persona interessata.

 

(70) Qualora i dati personali sono trattati per scopi di marketing, l'individuo dovrebbe avere il diritto in qualunque momento e gratuitamente, a scopo di questo trattamento, compresi profilatura poiché è correlate a tale esplorazione, sia esso un trattamento iniziale o successivo. Questo diritto deve essere esplicitamente portato a conoscenza della persona interessata e presentato in modo chiaro e separatamente dalle altre informazioni.

 

(71) La persona interessata deve avere il diritto di non essere una decisione che può includere una misura valutare taluni aspetti personali relativi ad esso, che viene preso sulla sola base per il trattamento automatizzato e produce effetti giuridici che lo riguardano o, allo stesso modo, l'effetto in modo significativo, come ad esempio il rifiuto automatico di una richiesta di credito online o pratiche di reclutamento on-line senza alcun intervento umano. Questo tipo di trattamento comprende "profiling", che consiste di qualsiasi forma di dati personali di trattamento automatizzato di valutare gli aspetti personali relativi a persone fisiche, tra cui quello di analizzare o prevedere aspetti della prestazione lavorativa della persona interessata , condizione economica, la salute, le preferenze personali o le aree di interesse, l'affidabilità o il comportamento, o la posizione ei movimenti, in quanto produce effetti giuridici che regolano l'individuo in questione o che colpisce allo stesso modo in maniera significativa. Tuttavia, il processo decisionale basata su tale trattamento, tra cui profilazione, dovrebbe essere consentito quando espressamente autorizzato dal diritto dell'Unione o alla legislazione di uno Stato membro al quale è soggetto il responsabile, ci anche ai fini di controllo e di frodi Prevenire e l'evasione fiscale in accordo con le regole, le norme e le raccomandazioni delle istituzioni e degli organi di vigilanza nazionali e garantire la sicurezza e l'affidabilità dei un servizio fornito dal controller, o necessaria per la conclusione o l'esecuzione di un contratto tra la persona e il controller, o se la persona interessata abbia dato il proprio consenso esplicito. In ogni caso, il trattamento di questo tipo dovrebbe essere accompagnata da adeguate garanzie, che dovrebbe includere informazioni specifiche sulla persona e il diritto di ottenere l'intervento umano, per esprimere il suo punto di vista, per ottenere una spiegazione della decisione presa alla fine di questo tipo di valutazione e di sfidare la decisione. Questa misura non dovrebbe riguardare un bambino. o se la persona interessata abbia dato il proprio consenso esplicito. In ogni caso, il trattamento di questo tipo dovrebbe essere accompagnata da adeguate garanzie, che dovrebbe includere informazioni specifiche sulla persona e il diritto di ottenere l'intervento umano, per esprimere il suo punto di vista, per ottenere una spiegazione della decisione presa alla fine di questo tipo di valutazione e di sfidare la decisione. Questa misura non dovrebbe riguardare un bambino. o se la persona interessata abbia dato il proprio consenso esplicito. In ogni caso, il trattamento di questo tipo dovrebbe essere accompagnata da adeguate garanzie, che dovrebbe includere informazioni specifiche sulla persona e il diritto di ottenere l'intervento umano, per esprimere il suo punto di vista, per ottenere una spiegazione della decisione presa alla fine di questo tipo di valutazione e di sfidare la decisione. Questa misura non dovrebbe riguardare un bambino. una spiegazione per quanto riguarda la decisione presa al termine di questo tipo di valutazione e per contestare la decisione. Questa misura non dovrebbe riguardare un bambino. una spiegazione per quanto riguarda la decisione presa al termine di questo tipo di valutazione e per contestare la decisione. Questa misura non dovrebbe riguardare un bambino.

 

contro gli individui sulla base di origine razziale o etnica, le opinioni politiche, religione o convinzioni personali, l'appartenenza sindacale, lo stato di genetica o lo stato di salute, o l'orientamento sessuale, o che risultano in provvedimenti che producono un tale effetto. Processo decisionale e profilatura automatizzato in base a specifiche categorie di dati personali deve essere consentito solo in condizioni specifiche.

 

(72) Profiling è soggetto alle norme del presente regolamento che disciplina il trattamento dei dati personali, ad esempio, la base giuridica del trattamento oi principi di protezione dei dati. Il Comitato europeo per la protezione dei dati istituito dal presente regolamento (di seguito denominato "Comitato") dovrebbe essere in grado di emettere orientamenti al riguardo.

 

tra cui la protezione sociale, la salute pubblica e scopi umanitari. Deve essere che tali limitazioni sono conformi ai requisiti stabiliti nella Carta e dalla Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali.

 

(74) È necessario stabilire la responsabilità del controllore per qualsiasi trattamento di dati personali che lo o stabilito sul suo conto si fa. E 'importante, in particolare, che il titolare del trattamento è tenuto ad adottare misure appropriate ed efficaci e in grado di dimostrare la conformità delle operazioni di trattamento con il presente regolamento, compresa l'efficacia delle misure. Tali misure dovrebbero prendere in considerazione la natura, la portata, il contesto e le finalità del trattamento e il rischio che essa rappresenta per i diritti e le libertà dei singoli.

 

(75) I rischi per i diritti e le libertà delle persone fisiche, tra cui la probabilità e la gravità varia, può derivare da trattamento dei dati personali che rischia di causare danni fisici, materiali o danni morali in in particolare: quando il trattamento può comportare discriminazioni, furto o frode di identità, a perdite finanziarie, una perdita di reputazione, perdita di dati riservati protetti dal segreto professionale ad un'inversione non autorizzata pseudonimi il processo o altro danno economico o significativo sociale; quando gli individui potrebbero essere privati ​​dei loro diritti e delle libertà o impedito di esercitare il controllo sui propri dati al personale dei personaggi; quando la preoccupazione di dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, ei dati genetici, dati sanitari o dati riguardanti il ​​trattamento la vita sessuale o dati relativi alle condanne penali e violazioni, o alle misure di sicurezza correlate; quando vengono valutati aspetti personali, in particolare nel contesto delle analisi o previsione di elementi sul rendimento di lavoro, l'economia, salute, preferenze personali o aree di interesse, affidabilità o comportamento, la posizione o il movimento per creare o utilizzare profili individuali; quando il trattamento riguarda dati personali relativi alle persone vulnerabili, soprattutto i bambini; o in cui il trattamento comporta una grande quantità di dati personali e colpisce un numero significativo di persone coinvolte.

 

(76) È necessario determinare la probabilità e la gravità del rischio per i diritti e le libertà dei dati in base alla natura, portata, contesto e finalità del trattamento. Rischio dovrebbe essere una valutazione oggettiva se le operazioni di trattamento dei dati comporta rischi o ad alto rischio.

 

(77) Des directives relatives à la mise en œuvre de mesures appropriées et à la démonstration par le responsable du traitement ou le sous-traitant du respect du présent règlement, notamment en ce qui concerne l'identification du risque lié au traitement, leur évaluation en termes d'origine, de nature, de probabilité et de gravité, et l'identification des meilleures pratiques visant à atténuer le risque, pourraient être fournies notamment au moyen de codes de conduite approuvés, de certifications approuvées et de lignes directrices données par le comité ou d'indications données par un délégué à la protection des données. Le comité peut également publier des lignes directrices relatives aux opérations de traitement considérées comme étant peu susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques et indiquer les mesures qui peuvent suffire dans de tels cas pour faire face à un tel risque.

 

(78) La protezione dei diritti e delle libertà delle persone con riguardo al trattamento dei dati personali richiede l'adozione di adeguate misure tecniche e organizzative per assicurare che i requisiti del presente regolamento sono soddisfatti. Per essere in grado di dimostrare il rispetto del presente regolamento, il regolatore dovrebbe adottare politiche interne ed attuare misure che il rispetto, in particolare, dei principi di protezione dei dati di progettazione e di protezione dati di default. Tali misure potrebbero includere, tra l'altro, per ridurre al minimo il trattamento dei dati personali, ai pseudonymiser dati personali appena possibile, al fine di garantire la trasparenza per quanto riguarda le funzioni e l'elaborazione dei dati personali, per consentire alla persona di controllare il trattamento dei dati, consentendo il controller per implementare funzionalità di sicurezza o migliorare . Durante lo sviluppo, la progettazione, la selezione e l'utilizzo di applicazioni, servizi e prodotti a base di trattamento dei dati personali o di trattare i dati personali per svolgere le proprie funzioni, dovrebbe incoraggiare i produttori di prodotti, fornitori di servizi e produttori di applicazioni di prendere in considerazione il diritto alla protezione dei dati durante lo sviluppo e la progettazione di tali prodotti, servizi e applicazioni, tenendo in debito conto lo stato delle conoscenze, al fine di garantire che i controllori e subappaltatori di dati sono in grado di adempiere ai loro obblighi in termini di protezione dei dati. I principi di protezione dei dati per la progettazione e l'impostazione predefinita di protezione dei dati dovrebbero essere considerati nel contesto degli appalti pubblici.

 

(79) La protezione dei diritti e delle libertà delle persone, così come la responsabilità dei controllori e subappaltatori di dati, anche nel quadro del monitoraggio effettuato dalle autorità di controllo e le misure da essi adottate richiede una chiara divisione delle responsabilità nell'ambito del presente regolamento, anche quando il controllore determina le finalità e gli strumenti del trattamento congiuntamente con altri controllori o dove viene effettuata un'operazione di lavorazione a nome un controllore di dati.

 

mettere a rischio i diritti e le libertà delle persone fisiche, tenendo conto della natura, il contesto, la portata e finalità del trattamento, o se il controller è un ente pubblico o un ente pubblico. Il rappresentante dovrebbe agire per conto del controller o il subappaltatore e può essere contattato da qualsiasi autorità di regolamentazione. Il rappresentante deve essere specificamente indicato da un mandato scritto del controller o la frequentano, come ad agire per suo conto, con riferimento agli obblighi di cui al presente regolamento. La nomina del rappresentante non pregiudica le responsabilità del controller o il subappaltatore nell'ambito del presente regolamento. Questo rappresentante deve svolgere i propri compiti in base al mandato ricevuto dal controller o il subappaltatore, compresa la cooperazione con le autorità di vigilanza competenti in merito a qualsiasi azione intrapresa per garantire il rispetto del presente regolamento. Il rappresentante designato dovrebbe essere soggetto a procedure esecutive in caso di mancato rispetto del presente regolamento da parte del controllore o il subappaltatore.

 

(81) Affinché i requisiti del presente regolamento sono soddisfatti nell'ambito di una lavorazione effettuata da un contraente a nome del controllore, quando assegna attività di trasformazione un subappaltatore, la testa di il trattamento dovrebbe fare appello ai subappaltatori con sufficienti garanzie, soprattutto in termini di competenza, l'affidabilità e le risorse per l'attuazione delle misure tecniche e organizzative per soddisfare i requisiti del presente regolamento, tra cui sicurezza del trattamento. L'applicazione da un subappaltatore di un codice di condotta approvato o un meccanismo di certificazione attendibile può essere utilizzata per dimostrare la conformità con gli obblighi del controllore. La realizzazione di il trattamento con un subappaltatore deve essere disciplinata da un contratto o altro atto giuridico ai sensi del diritto dell'Unione o alla legislazione di uno Stato membro, il subappaltatore legante ai dati che definiscono l'oggetto e la durata del trattamento, la natura e le finalità del trattamento, il tipo di dati personali e categorie di dati, tenendo conto dei compiti specifici e le responsabilità del subappaltatore come parte del trattamento da eseguire e il rischio di i diritti e le libertà della persona interessata. Il controllore e il trattamento-under possono scegliere di utilizzare un particolare contratto o clausole contrattuali, che vengono adottati sia dalla Commissione o da un'autorità di vigilanza in conformità con il meccanismo di coerenza, poi dalla Commissione. In seguito al completamento del trattamento per conto del controller, chiamando il sottotitolo dovrebbe, a scelta del controllore, inviare o cancellare i dati personali, a meno che il diritto dell'Unione o il diritto di uno Stato membro nel quale il subfornitore è soggetto richiede la conservazione dei dati personali.

 

(82) Al fine di dimostrare il rispetto del presente regolamento, il controllore o il sottotitolo partecipare devono tenere un registro per l'elaborazione di attività sotto la sua responsabilità. Ogni controller e subappaltatori dovrebbero essere tenuti a cooperare con l'autorità di vigilanza e rendere i record a sua disposizione, su richiesta, che servono per il controllo delle operazioni di trattamento.

 

(83) Per garantire la sicurezza e prevenire eventuali trattamenti in violazione del presente regolamento, è importante che il controllore o il processore valuta i rischi di trattamento e attuare misure per mitigare come crittografia. Tali misure dovrebbero garantire un adeguato livello di sicurezza, compresa la riservatezza, dato lo stato delle conoscenze e dei costi di realizzazione ai rischi e la natura di protezione dei dati personali. Nell'ambito della sicurezza dei dati di valutazione del rischio, si dovrebbe prendere in considerazione i rischi del trattamento di dati personali, come ad esempio la distruzione, perdita o modifica, la rivelazione non autorizzata di dati personali trasmessi,

 

(84) Al fine di garantire una migliore applicazione del presente regolamento in cui le operazioni di trattamento sono in grado di generare un rischio elevato per i diritti e le libertà delle persone fisiche, il regolatore dovrebbe assumersi la responsabilità di condurre una valutazione d'impatto sulla protezione dei dati per valutare, in particolare, l'origine, la natura, la peculiarità e la gravità del rischio. Si deve tener conto dei risultati di questa analisi per determinare l'azione appropriata per dimostrare che il trattamento dei dati personali conforme con queste normative. Quando l'analisi di

 

(85) Una violazione di rischio dei dati carattere personale, se non interviene in tempo e correttamente, causando gli interessati danni fisici, danni materiali o morali come la perdita di controllo su i loro dati personali o restrizione dei loro diritti, la discriminazione, il furto di identità o di furto, perdita finanziaria, procedura di inversione pseudonimi non autorizzata, una perdita di reputazione, perdita di riservatezza dei dati dati personali protetti da segreto commerciale o di qualsiasi altro danno economico o significativo sociale. Di conseguenza, non appena le impara regolatore che si è verificata una violazione di dati personali, deve notificare alla autorità di vigilanza nel più breve tempo possibile e, ove possibile, 72 ore al più tardi dopo aver letto, a meno che non possa dimostrare, in base al principio di responsabilità, è improbabile che la violazione in questione crea un rischio per i diritti e le libertà dei singoli. Qualora tale notifica non può avvenire entro questo periodo di 72 ore, la notifica deve essere accompagnata da motivi del ritardo e le informazioni possono essere fornite a rate senza ulteriori ritardi. è improbabile che la violazione in questione crea un rischio per i diritti e le libertà dei singoli. Qualora tale notifica non può avvenire entro questo periodo di 72 ore, la notifica deve essere accompagnata da motivi del ritardo e le informazioni possono essere fornite a rate senza ulteriori ritardi. è improbabile che la violazione in questione crea un rischio per i diritti e le libertà dei singoli. Qualora tale notifica non può avvenire entro questo periodo di 72 ore, la notifica deve essere accompagnata da motivi del ritardo e le informazioni possono essere fornite a rate senza ulteriori ritardi.

 

(86) Il regolatore dovrebbe segnalare una violazione di dati personali da parte dell'interessato, non appena la violazione è in grado di generare un rischio elevato per i diritti e le libertà del modo individuale che può prendere le precauzioni. La comunicazione dovrebbe descrivere la natura della violazione di dati personali e fare raccomandazioni per l'individuo in questione per mitigare i potenziali effetti negativi. È opportuno che tali comunicazioni a coloro interessati sono effettuati nel più breve tempo ragionevolmente possibile e in stretta collaborazione con l'autorità di vigilanza, in conformità con le indicazioni date da essa o da altre autorità competenti, come ad esempio le autorità di contrasto. Ad esempio, la necessità di attenuare un rischio immediato di danni potrebbe giustificare rapidamente indirizzare una comunicazione agli interessati, mentre la necessità di attuare misure idonee a prevenire la continua violazione dei dati personali o il verificarsi violazioni simili possono giustificare più tempo per la comunicazione.

 

(87) devono essere controllati se sono state attuate tutte le misure di protezione tecniche ed organizzative adeguate per stabilire immediatamente se si è verificata una violazione dei dati personali e di informare rapidamente l'autorità di vigilanza e la persona interessata . Si dovrebbe stabilire che la notifica è stata fatta in modo tempestivo, soprattutto in considerazione della natura e della gravità della violazione dei dati personali e le sue conseguenze e gli effetti negativi per la persona interessata. Tale comunicazione può portare un'autorità di vigilanza di intervenire in conformità con i suoi obblighi e le competenze stabilite dal presente regolamento.

 

(88) Nel definire le modalità riguardanti la forma e le modalità di segnalazione delle violazioni di dati personali, si deve tenere in debita considerazione le circostanze della violazione, compreso il fatto che i dati personali o non sono stati protetti da adeguate misure tecniche di protezione, limitando efficacemente il rischio di furto d'identità o altre forme di abuso. Inoltre, tali norme e procedure devono tener conto degli interessi legittimi delle autorità di contrasto la cui divulgazione precoce potrebbe inutilmente ostacolare l'indagine sulle circostanze della violazione dei dati personali.

 

(89) La direttiva 95/46 / CE prevede un obbligo generale di comunicare i dati trattamento dei dati personali alle autorità di vigilanza. Tale obbligo crea un onere amministrativo e finanziario, senza aver contribuito in modo sistematico per migliorare la protezione dei dati personali. Questi obblighi generali di notifica indipendentemente dovrebbe pertanto essere abolito e sostituito da procedure e meccanismi piuttosto rivolti i tipi di operazioni di trattamento efficaci che possono causare un rischio elevato per i diritti e le libertà delle persone fisiche, a causa della loro la natura, la loro portata, il loro contesto e le loro finalità. Questi tipi di operazioni di trattamento possono includere quelle che includono,

 

(90) In tali casi, una valutazione di impatto sulla protezione dei dati deve essere eseguita dal controllore, prima del trattamento, per valutare la probabilità e la gravità della particolare ad alto rischio, dato la natura, la portata, il contesto e finalità del trattamento e fonti di rischio. Questa analisi impatto dovrebbe includere, in particolare, misure, meccanismi di salvaguardia e previste per ridurre questo rischio, garantire la protezione dei dati personali e dimostrare la conformità con questa regolazione.

 

(91) Ciò vale in particolare per operazioni su larga scala di trattamento che mirano ad affrontare una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale, che possono influenzare un gran numero di persone interessate e potrebbero per generare un rischio elevato, per esempio, a causa della loro natura sensibile, quando, in base allo stato delle conoscenze tecnologiche, una nuova tecnica viene applicata su larga scala, e altre operazioni di trattamento che generano un rischio elevato per i diritti e le libertà delle persone, in particolare quando, a causa di queste operazioni,

 

è più difficile per loro di esercitare i loro diritti. Una valutazione d'impatto sulla protezione dei dati dovrebbe essere eseguita anche quando i dati personali sono trattati a prendere decisioni relative a individui specifici a seguito di una valutazione sistematica e approfondita dei propri aspetti personali per gli individui sulla base di profili di tali dati o come conseguenza del trattamento di categorie particolari di dati personali, dati biometrici o dati relativi alle condanne penali e violazioni, o alle misure di sicurezza connesse . Una valutazione d'impatto sulla protezione dei dati è ancora necessaria per il monitoraggio del larga scala aree accessibili al pubblico, soprattutto quando si utilizzano dispositivi optoelettronici, o qualsiasi altra operazione per la quale l'autorità di vigilanza ritiene che il trattamento è in grado di generare un rischio elevato per i diritti e le libertà delle persone, in particolare perché " impediscono a queste persone di esercitare alcun diritto o beneficio di un servizio o di un contratto, o perché vengono effettuate sistematicamente su larga scala. Il trattamento dei dati personali non deve essere considerato su larga scala se il trattamento riguarda dati personali dei pazienti o clienti da parte di un medico, un altro professionista sanitario o un avvocato che esercita individualmente. In tali casi, un'analisi

 

(92) Ci sono casi in cui può essere ragionevole ed economico per ampliare la portata della valutazione d'impatto per la protezione dei dati al di là di un singolo progetto, come ad esempio autorità o enti pubblici governo intende introdurre un'applicazione comune o piattaforma di elaborazione o dove più regolatori prevede di creare un'applicazione o un ambiente di elaborazione condivisa di un intero settore o segmento professionale, o un ampiamente utilizzato cross-attività.

 

(93) Al momento dell'adozione della legge di uno Stato membro che stabilisce le missioni di autorità pubblica o ente pubblico in questione e regola il funzionamento o il set di operazioni di trattamento specifiche, gli Stati membri possono considerare che tale analisi è necessaria prima di attività di trasformazione.

 

(94) Se il risultato di una valutazione di impatto sulla privacy che, in assenza di garanzie, misure di sicurezza e meccanismi per mitigare il rischio, il trattamento causerebbe un alto rischio per la salute umana e libertà delle persone fisiche e che il controllore ritiene che il rischio può essere attenuato con mezzi ragionevoli, tenendo conto dei costi tecnici e di esecuzione, si devono consultare l'autorità di vigilanza prima dell'inizio delle operazioni di trattamento. Alcuni tipi di trattamento e l'entità e la frequenza dei trattamenti sono in grado di generare un rischio così alto e può anche causare danni o mettere in pericolo i diritti e le libertà di un individuo. L' autorità di controllo dovrebbe rispondere alla richiesta di consultazione entro un termine specificato. Tuttavia, la mancanza di risposta da parte dell'autorità di vigilanza entro il termine non dovrebbe pregiudicare qualsiasi azione da parte loro condotta nell'ambito dei suoi compiti e poteri ai sensi del presente regolamento, compreso il potere di operazioni di trattamento proibite. Come parte di questo processo di consultazione, i risultati di una valutazione d'impatto in materia di protezione dei dati ottenuti per quanto riguarda il trattamento in questione può essere presentata all'autorità di vigilanza, comprese le misure destinate a mitigare il rischio i diritti e le libertà delle persone fisiche. autorità di vigilanza entro il termine non dovrebbe pregiudicare qualsiasi azione da parte loro condotta nell'ambito dei suoi compiti e delle competenze di cui al presente regolamento, compreso il potere di vietare le operazioni di trattamento. Come parte di questo processo di consultazione, i risultati di una valutazione d'impatto in materia di protezione dei dati ottenuti per quanto riguarda il trattamento in questione può essere presentata all'autorità di vigilanza, comprese le misure destinate a mitigare il rischio i diritti e le libertà delle persone fisiche. autorità di vigilanza entro il termine non dovrebbe pregiudicare qualsiasi azione da parte loro condotta nell'ambito dei suoi compiti e delle competenze di cui al presente regolamento, compreso il potere di vietare le operazioni di trattamento. Come parte di questo processo di consultazione, i risultati di una valutazione d'impatto in materia di protezione dei dati ottenuti per quanto riguarda il trattamento in questione può essere presentata all'autorità di vigilanza, comprese le misure destinate a mitigare il rischio i diritti e le libertà delle persone fisiche.

 

(95) Il subappaltatore dovrebbe aiutare il controller, se necessario e su richiesta, per garantire il rispetto degli obblighi derivanti dal comportamento delle analisi d'impatto in materia di protezione dei dati e la consultazione preventiva delle autorità controllo.

 

(96) L'autorità di controllo dovrebbe anche essere consultati nella fase di preparazione di una legge o di un regolamento che prevede il trattamento dei dati personali, al fine di garantire che le è conforme trattamento pianificato con il presente regolamento e, in particolare, , mitigare il rischio che comporta per l'interessato.

 

una persona con conoscenze specialistiche della legislazione e delle prassi in materia di protezione dei dati dovrebbe aiutare il controllore o il processore per verificare il rispetto, internamente, del presente regolamento. Nel settore privato, le attività principali del controller legate al proprio core business e non riguardano solo il trattamento dei dati personali come attività ausiliaria. Il livello richiesto di competenza dovrebbe essere determinata in particolare secondo un controller legato al core business e non riguarda solo il trattamento dei dati personali come attività ausiliaria. Il livello richiesto di competenza dovrebbe essere determinata in particolare secondo un controller legato al core business e non riguarda solo il trattamento dei dati personali come attività ausiliaria. Il livello richiesto di competenza dovrebbe essere determinata in particolare secondo

 

eseguito il trattamenti di dati e la protezione richiesta per dati elaborati dal controllore o processore. Ogni delegato alla protezione dei dati, o meno dipendenti del controllore, devono essere in grado di svolgere le loro funzioni e compiti in modo indipendente.

 

(98) È necessario incoraggiare associazioni o altri organi che rappresentano categorie di controllori o subappaltatori per sviluppare codici di condotta, entro i limiti del presente regolamento, in modo da agevolare l'effettiva attuazione, dati i trattamenti specifici eseguiti in alcuni settori e delle esigenze specifiche delle micro, piccole e medie imprese. Questi codici di condotta potrebbero, in particolare, definire gli obblighi di controllori e subappaltatori, dato il rischio che il trattamento può portare i diritti e le libertà dei singoli.

 

(99) Quando si sviluppa un codice di condotta, o in sua modifica o estensione, associazioni e altri organismi che rappresentano categorie di controllori o subappaltatori consulti le parti interessate, compresi quelli in questione, quando possibile, e prendere in considerazione i contributi presentati e le opinioni espresse in risposta a tali consultazioni.

 

(100) Al fine di promuovere la trasparenza e il rispetto del presente regolamento, dovrebbe essere promosso l'istituzione di meccanismi di certificazione, etichette e marchi in termini di protezione dei dati per consentire alle persone di valutare rapidamente il livello la protezione dei dati offerto dai prodotti e servizi in questione.

 

(101) Il flusso di dati personali da e verso i paesi al di fuori dell'UE e le organizzazioni internazionali sono necessari per lo sviluppo del commercio internazionale e della cooperazione internazionale. L'aumento di questi flussi ha creato nuovi problemi e nuove preoccupazioni per quanto riguarda la protezione dei dati personali. Tuttavia, è importante che quando i dati personali vengono trasferiti dall'Unione ai controllori, subappaltatori o altri destinatari in paesi terzi o organizzazioni internazionali, il livello di tutela delle persone garantita nella Unione del presente regolamento non è compromessa, anche nel caso di successivi trasferimenti di dati personali dal paese o organizzazione internazionale ai responsabili del trattamento o subappaltatori nello stesso paese terzo o di un terzo paese differente, o un'altra organizzazione internazionale . In ogni caso, i trasferimenti verso paesi terzi e le organizzazioni internazionali possono avere luogo solo nel pieno rispetto del presente regolamento. Un trasferimento potrebbe avvenire se, fatte salve le altre disposizioni del presente regolamento, le disposizioni del presente regolamento per quanto riguarda il trasferimento di dati personali verso paesi terzi o organizzazioni internazionali sono soddisfatte dal controller o sub -traitant. organizzazione internazionale dei titolari del trattamento o subappaltatori nello stesso paese terzo o di un terzo paese differente, o di un'altra organizzazione internazionale. In ogni caso, i trasferimenti verso paesi terzi e le organizzazioni internazionali possono avere luogo solo nel pieno rispetto del presente regolamento. Un trasferimento potrebbe avvenire se, fatte salve le altre disposizioni del presente regolamento, le disposizioni del presente regolamento per quanto riguarda il trasferimento di dati personali verso paesi terzi o organizzazioni internazionali sono soddisfatte dal controller o sub -traitant. organizzazione internazionale dei titolari del trattamento o subappaltatori nello stesso paese terzo o di un terzo paese differente, o di un'altra organizzazione internazionale. In ogni caso, i trasferimenti verso paesi terzi e le organizzazioni internazionali possono avere luogo solo nel pieno rispetto del presente regolamento. Un trasferimento potrebbe avvenire se, fatte salve le altre disposizioni del presente regolamento, le disposizioni del presente regolamento per quanto riguarda il trasferimento di dati personali verso paesi terzi o organizzazioni internazionali sono soddisfatte dal controller o sub -traitant. trasferimenti verso paesi terzi e organizzazioni internazionali non possono avvenire nel pieno rispetto del presente regolamento. Un trasferimento potrebbe avvenire se, fatte salve le altre disposizioni del presente regolamento, le disposizioni del presente regolamento per quanto riguarda il trasferimento di dati personali verso paesi terzi o organizzazioni internazionali sono soddisfatte dal controller o sub -traitant. trasferimenti verso paesi terzi e organizzazioni internazionali non possono avvenire nel pieno rispetto del presente regolamento. Un trasferimento potrebbe avvenire se, fatte salve le altre disposizioni del presente regolamento, le disposizioni del presente regolamento per quanto riguarda il trasferimento di dati personali verso paesi terzi o organizzazioni internazionali sono soddisfatte dal controller o sub -traitant.

 

(102) Il presente regolamento non pregiudica accordi internazionali conclusi tra l'Unione ei paesi terzi per regolare il trasferimento di dati personali tra cui garanzie adeguate a beneficio di coloro che sono coinvolti. Gli Stati membri possono concludere accordi internazionali che comportano il trasferimento di dati personali verso paesi terzi o organizzazioni internazionali nella misura in cui tali accordi non interferire con il presente regolamento o di qualsiasi altra disposizione del diritto dell'Unione e di fornire un adeguato livello di tutela dei diritti fondamentali delle persone interessate.

 

(103) La Commissione può decidere con effetto in tutta l'Unione, di un paese terzo, territorio o del settore in un paese terzo o un'organizzazione internazionale fornisce un adeguato livello di protezione dei dati, assicurando e la certezza del diritto e uniforme in tutta l'Unione per quanto riguarda il paese terzo o l'organizzazione internazionale che si ritiene di offrire questo livello di protezione. In questo caso, i trasferimenti di dati personali verso tale paese terzo o l'organizzazione internazionale può avvenire senza la necessità di ottenere un'altra autorizzazione. La Commissione può anche decidere, dopo aver informato il paese terzo o l'organizzazione internazionale e aver fornito piena giustificazione, di revocare la decisione.

 

(104) Tenuto conto dei valori fondamentali sui quali si fonda l'Unione, in particolare la tutela dei diritti umani, la Commissione dovrebbe, in sede di valutazione di un paese terzo, territorio o in un determinato settore in un paese terzo, prendere in considerazione come un dato aspetti di paesi terzi lo stato di diritto, garantisce l'accesso alla giustizia e osserva le regole e le norme internazionali in materia di diritti umani e della sua legislazione generale e settoriale, compresa la legislazione in materia di sicurezza pubblica, la difesa e la sicurezza nazionale e l'ordine pubblico e il diritto penale. Al momento di adottare, nei confronti di un territorio o di un settore specifico in un paese terzo, una decisione sull'adeguatezza, da prendere in considerazione criteri chiari e obiettivi necessari, come ad esempio attività di trattamento specifiche e il campo di applicazione delle norme di legge vigenti e la legislazione in vigore nel paese terzo. Il paese terzo deve fornire garanzie per assicurare un adeguato livello di protezione equivalente a essenzialmente uno che è garantito nell'Unione, in particolare

 

quando i dati personali sono trattati in una o più zone specifiche. In particolare, il paese terzo deve garantire un efficace monitoraggio indipendente della protezione dei dati e prevedere meccanismi di cooperazione con le autorità per la protezione dei dati degli Stati membri e le persone interessate devono essere concessi diritti effettivi e applicabili e la effettive opportunità di ricorso amministrativo e giudiziario.

 

(105) Oltre agli impegni internazionali del paese terzo o l'organizzazione internazionale, la Commissione dovrebbe prendere in considerazione gli obblighi derivanti dalla partecipazione nel paese terzo o un'organizzazione internazionale a sistemi multilaterali o regionali, in particolare per quanto riguarda la protezione dei dati personali, nonché l'attuazione di tali obblighi. Si deve in particolare prendere in considerazione l'adesione di paesi terzi alla Convenzione del Consiglio d'Europa del 28 gennaio 1981 sulla protezione delle persone rispetto al trattamento automatizzato di dati personali e il suo protocollo. Nel valutare il livello di protezione fornito da paesi terzi o organizzazioni internazionali, la Commissione dovrebbe consultare il Comitato.

 

(106) La Commissione dovrebbe monitorare il funzionamento delle decisioni sul livello di protezione garantito da un paese terzo, suo territorio o settore determinato in un paese terzo o di un'organizzazione internazionale, e monitorare il funzionamento delle decisioni adottate sulla base di Articolo 25, paragrafo 6, o dell'articolo 26, paragrafo 4, della direttiva 95/46 / CE. Nelle sue decisioni di adeguatezza, la Commissione dovrebbe prevedere una revisione periodica del loro meccanismo di funzionamento. Questa revisione periodica dovrebbe essere condotta in consultazione con il paese terzo o l'organizzazione internazionale in questione e prendere in considerazione tutti gli sviluppi di interesse nei paesi terzi o l'organizzazione internazionale. Ai fini del controllo e l'attuazione di revisioni periodiche, la Commissione dovrebbe prendere in considerazione le osservazioni e le conclusioni del Parlamento europeo e del Consiglio e altri organismi e fonti pertinenti. La Commissione dovrebbe valutare il funzionamento di dette decisioni entro un ragionevole lasso di tempo e di fornire tutte le conclusioni pertinenti al comitato ai sensi del regolamento (UE) n 182/2011 del Parlamento europeo e del Consiglio (1) istituito ai sensi del presente regolamento, il Parlamento europeo e il Consiglio.

 

(107) La Commissione può constatare che un paese terzo, territorio o del settore in un paese terzo o un'organizzazione internazionale non garantisce un adeguato livello di protezione dei dati. Di conseguenza, il trasferimento di dati personali verso tale paese terzo o un'organizzazione internazionale dovrebbe essere vietato, a meno che i requisiti del presente regolamento ai trasferimenti fatte salve appropriate garanzie, tra cui norme vincolanti d'impresa e esenzioni per situazioni specifiche siano soddisfatte. In questo caso, sarebbe opportuno prevedere consultazioni tra la Commissione e il paese terzo o l'organizzazione internazionale in questione. La Commissione dovrebbe informare in tempo il paese terzo o

 

(108) In assenza di decisione sull'adeguatezza, il controllore o subfornitore dovrebbero adottare misure per compensare la mancanza di protezione dei dati nei paesi terzi mediante adeguate garanzie per l'individuo . Queste garanzie possono includere l'uso di norme vincolanti d'impresa, clausole standard per la protezione dei dati adottate dalle clausole standard della Commissione per la protezione dei dati adottata da un'autorità di vigilanza o di clausole contrattuali autorizzati da un'autorità di vigilanza. Tali garanzie dovrebbero garantire il rispetto dei requisiti di protezione dei dati e dei diritti delle persone interessate in modo adeguato al trattamento all'interno dell'UE, tra cui esistenza di diritti applicabili dei singoli e di efficaci rimedi, compreso il diritto a un'efficace azione amministrativa o giudiziaria e di introdurre un ricorso per risarcimento danni nell'Unione o in un paese terzo. Tali garanzie dovrebbero concentrarsi in particolare sui principi generali relativi al trattamento dei dati personali e dei principi di protezione dei dati per la progettazione e la protezione dei dati per impostazione predefinita. I trasferimenti possono essere effettuati anche da autorità pubbliche o enti pubblici con enti pubblici o organismi pubblici nei paesi terzi o organizzazioni internazionali con compiti o funzioni corrispondenti, anche sulla base delle disposizioni da inserire nelle disposizioni amministrative, come ad esempio un protocollo d'intesa che prevede vincolanti e diritti effettivi per le persone interessate. L'autorizzazione della competente autorità di vigilanza dovrebbe essere ottenuto se tali garanzie sono fornite nelle disposizioni amministrative che non sono giuridicamente vincolanti.

 

(109) La capacità dei controllori e subappaltatori di utilizzare clausole standard per la protezione dei dati, adottata dalla Commissione o da un'autorità di vigilanza non dovrebbe impedire

 

(1) Il regolamento (UE) n 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole ei principi generali relativi alle modalità di controllo da parte degli Stati membri per l'esercizio delle competenze di esecuzione (GU L 55, 28.2.2011, p. 13).

 

per includere queste clausole in un contratto più ampio, come ad esempio un contratto tra il subappaltatore e un altro subappaltatore, né di aggiungere altre clausole o ulteriori garanzie, a condizione che questi non si contraddicono non, direttamente o indirettamente, le clausole contrattuali standard adottati dalla Commissione o da un'autorità di vigilanza e non pregiudicano i diritti e le libertà fondamentali delle persone interessate. I controllori e subappaltatori dovrebbero essere incoraggiati a fornire ulteriori garanzie attraverso impegni contrattuali che integrano le clausole di protezione.

 

(110) Un gruppo di aziende o gruppi di aziende impegnato in un'attività economica comune rischia di ricorrere a norme vincolanti d'impresa approvato per i suoi trasferimenti internazionali da parte dell'Unione alle entità dello stesso gruppo di società, oppure lo stesso gruppo di aziende impegnate in un'attività economica comune, a condizione che le regole del business comprendono tutti i principi essenziali e diritti applicabili per garantire adeguate garanzie per i trasferimenti o delle categorie di trasferimenti di dati dati personali.

 

(111) dovrebbe essere possibile il trasferimento in determinate circostanze in cui la persona interessata abbia dato il proprio consenso esplicito, in cui il trasferimento è occasionale e necessaria come parte di un contratto o azione legale, che che se un giudiziaria, amministrativa o da tennis, tra cui procedimento dinanzi agenzie di regolamentazione. Dovrebbe essere fatta anche per la possibilità di trasferimenti, quando importanti motivi di interesse pubblico stabiliti dal diritto dell'Unione o alla legislazione di uno Stato membro richiedono, o in cui viene effettuato il trasferimento da un registro previsto dalla legge e destinato per la consultazione da parte del pubblico o persone aventi un interesse legittimo. In quest'ultimo caso,

 

dovrebbero applicarsi (112) Tali eccezioni, in particolare, per il trasferimento dei dati richiesti e necessari per importanti motivi di interesse pubblico, ad esempio in caso di scambio di dati tra le autorità garanti della concorrenza internazionale, le autorità fiscali o doganali tra le autorità vigilanza finanziaria tra i servizi responsabili della sicurezza sociale o per la salute pubblica, ad esempio ai fini della ricerca di contatti di persone con malattie contagiose o per ridurre e / o eliminare il doping nello sport . Il trasferimento di dati personali deve essere considerato legittimo se è necessario per proteggere un interesse essenziale per proteggere gli interessi vitali, tra cui l'integrità fisica o la vita, della persona o di un'altra persona, se la persona è in grado di dare il proprio consenso. In assenza di una decisione sull'adeguatezza, il diritto dell'Unione o alla legislazione di uno Stato membro può, per importanti motivi di interesse pubblico espressamente impostare limiti sul trasferimento di categorie particolari di dati ad un paese terzo o un'organizzazione internazionale. Gli Stati membri devono notificare tali disposizioni alla Commissione. Qualsiasi trasferimento di un'organizzazione umanitaria internazionale di dati personali di un soggetto di dati che è fisicamente o giuridica di dare il proprio consenso, al fine di

 

(113) I trasferimenti possono essere descritti come non ricorrenti e riguardano solo un numero limitato di persone colpite potrebbero essere autorizzati ai fini di interessi legittimi perseguiti dal controllore quando tali interessi prevalgano sugli interessi o diritti e le libertà della persona interessata e il controllore fondamentali quando valutate tutte le circostanze il trasferimento dei dati. Il controller dovrebbe prestare particolare attenzione alla natura dei dati personali, la finalità e la durata del trattamento o operazioni pianificate e la situazione nel paese, il paese terzo il paese di destinazione finale, e dovrebbe fornire adeguate garanzie per proteggere i diritti e le libertà fondamentali delle persone con riguardo al trattamento dei dati personali. Tali trasferimenti dovrebbero essere possibili solo in casi residui in cui altri modelli di trasferimento applicabili. Per gli scopi di fini statistici ricerca storica o scientifica o, è necessario tener conto delle legittime aspettative della società per il progresso della conoscenza. Il regolatore deve informare l'autorità di vigilanza interessata e la persona di trasferimento. Tali trasferimenti dovrebbero essere possibili solo in casi residui in cui altri modelli di trasferimento applicabili. Per gli scopi di fini statistici ricerca storica o scientifica o, è necessario tener conto delle legittime aspettative della società per il progresso della conoscenza. Il regolatore deve informare l'autorità di vigilanza interessata e la persona di trasferimento. Tali trasferimenti dovrebbero essere possibili solo in casi residui in cui altri modelli di trasferimento applicabili. Per gli scopi di fini statistici ricerca storica o scientifica o, è necessario tener conto delle legittime aspettative della società per il progresso della conoscenza. Il regolatore deve informare l'autorità di vigilanza interessata e la persona di trasferimento.

 

(114) In ogni caso, se la Commissione non si è pronunciata sulla adeguatezza del livello di protezione dei dati in un paese terzo, il controllore o il subfornitore deve adottare soluzioni che garantire alle persone interessati diritti applicabili ed efficaci rispetto al trattamento dei loro dati nell'Unione europea una volta che questi dati è stato trasferito, in modo che le persone continuano a beneficiare dei diritti e delle garanzie fondamentali.

 

(115) Alcuni paesi terzi promulgano le leggi, i regolamenti e altri atti giuridici che cercano di regolare direttamente le attività di trattamento svolte da persone fisiche e giuridiche che rientrano nella competenza degli Stati membri. Ci possono essere decisioni delle autorità giudiziarie o amministrative di paesi terzi che necessitano di un controller o un processore che trasferisce o divulga i dati personali, che non si basano su un accordo internazionale, come ad esempio un trattato di assistenza giudiziaria in vigore tra la ricorrente ed i paesi terzi dell'Unione o di uno Stato membro. L'applicazione extraterritoriale di queste leggi, regolamenti e altri atti giuridici possono essere in contrasto con il diritto internazionale e un ostacolo alla tutela delle persone fisiche garantiti nell'Unione dal presente regolamento. I trasferimenti dovrebbero essere autorizzati solo quando le condizioni stabilite dal presente regolamento ai trasferimenti verso paesi terzi siano soddisfatte. Questo può essere il caso, tra gli altri, in cui è necessaria per importanti motivi di interesse pubblico riconosciute dalla legge dell'Unione o di uno Stato membro al quale è soggetto il responsabile divulgazione.

 

(116) Qualora i dati personali che attraversano le frontiere esterne dell'Unione, che possono aumentare il rischio che gli individui non possono esercitare il loro diritto alla protezione dei dati, compresa la protezione dall'uso o divulgazione illecita di tali informazioni. Allo stesso modo, le autorità di vigilanza possono essere rivestite con l'impossibilità di esame delle denunce o di indagare sulle attività al di fuori dei loro confini. I loro sforzi per lavorare insieme sul contesto transfrontaliero possono essere ostacolati da poteri insufficienti a loro disposizione per la prevenzione o rimedio, l'eterogeneità dei regimi giuridici e gli ostacoli pratici come la mancanza di risorse. Di conseguenza, è necessario promuovere una più stretta cooperazione tra le autorità di controllo della protezione dei dati, per aiutarli a scambiare informazioni e svolgere indagini con le loro controparti internazionali. Al fine di sviluppare meccanismi di cooperazione internazionale per facilitare e sviluppare la reciproca assistenza internazionale ad attuare la normativa in materia di protezione dei dati personali, la Commissione e le autorità di vigilanza dovrebbero scambiarsi informazioni e cooperare nell'ambito delle attività legate all'esercizio delle loro competenze con le autorità competenti di paesi terzi su una base di reciprocità e in conformità del presente regolamento. Per aiutarli a scambiare informazioni e di svolgere indagini con le loro controparti internazionali. Al fine di sviluppare meccanismi di cooperazione internazionale per facilitare e sviluppare la reciproca assistenza internazionale ad attuare la normativa in materia di protezione dei dati personali, la Commissione e le autorità di vigilanza dovrebbero scambiarsi informazioni e cooperare nell'ambito delle attività legate all'esercizio delle loro competenze con le autorità competenti di paesi terzi su una base di reciprocità e in conformità del presente regolamento. Per aiutarli a scambiare informazioni e di svolgere indagini con le loro controparti internazionali. Al fine di sviluppare meccanismi di cooperazione internazionale per facilitare e sviluppare la reciproca assistenza internazionale ad attuare la normativa in materia di protezione dei dati personali, la Commissione e le autorità di vigilanza dovrebbero scambiarsi informazioni e cooperare nell'ambito delle attività legate all'esercizio delle loro competenze con le autorità competenti di paesi terzi su una base di reciprocità e in conformità del presente regolamento.

 

(117) L'istituzione di autorità di vigilanza degli Stati membri, autorizzati a svolgere i loro compiti e poteri in completa indipendenza, è una componente essenziale della protezione delle persone fisiche con riguardo al trattamento dei dati personali . Gli Stati membri dovrebbero essere in grado di impostare diverse autorità di controllo in base alla loro struttura costituzionale, organizzativo e amministrativo.

 

(118) L'indipendenza dell'autorità di vigilanza non deve significare che essi possono essere soggetti a meccanismi di controllo o il monitoraggio della loro gestione finanziaria né al controllo giurisdizionale.

 

(119) Qualora uno Stato membro stabilisce diverse autorità di vigilanza, si dovrebbe stabilire da meccanismi di legge per garantire l'effettiva partecipazione di tali autorità nel meccanismo di controllo di coerenza. Si deve in particolare designare l'autorità di controllo che funge da unico punto di contatto, consentendo la partecipazione effettiva di tali autorità nel meccanismo per garantire una cooperazione rapida e semplice con le altre autorità di vigilanza, il Comitato e la Commissione.

 

(120) È opportuno che ciascuna autorità di controllo ha le risorse umane e finanziarie, così come i locali e le infrastrutture necessarie per il corretto svolgimento dei suoi compiti, comprese quelle relative alla mutua assistenza e la cooperazione con altre autorità di vigilanza in tutta l'Unione. Ogni autorità deve disporre di un proprio bilancio pubblico annuale, che può essere parte del bilancio nazionale complessivo o di un ente federale.

 

(121) Le condizioni generali applicabili a (x) membro (s) dell'autorità di vigilanza dovrebbero essere stabilite per legge in ogni Stato membro e dovrebbero prevedere in particolare che questi componenti sono nominati attraverso una procedura trasparente da parte del Parlamento, il governo o il capo di uno Stato membro dello Stato, su proposta del governo o un membro del governo o del parlamento o casa del parlamento, o da un organismo indipendente, che è stato accusato in base alla legge di uno Stato membro,. Per garantire l'indipendenza dell'autorità di vigilanza, è opportuno che il membro oi membri di questo atto con integrità, ad astenersi da qualsiasi incompatibili azione con i loro doveri e l'esercizio fisico per tutta la durata del loro mandato , un'attività incompatibile, remunerata o meno.

 

(122) Ogni autorità di controllo dovrebbe essere competente nel territorio dello Stato membro di appartenenza per svolgere i compiti e poteri ad essa conferiti a norma del presente regolamento. Questo dovrebbe coprire in particolare il trattamento nel contesto delle attività di uno stabilimento del controllore o il subappaltatore sul territorio dello Stato membro cui appartiene, il trattamento dei dati personali effettuato dalle autorità organizzazioni pubbliche o private che agiscono nel pubblico interesse, che colpisce il trattamento delle persone interessate sul territorio dello Stato membro cui appartiene, o l'elaborazione eseguita da un controllore o un subappaltatore che non è stabilito nella Dell'Unione in cui il trattamento è persone interessate residenti nel territorio dello Stato membro al quale essa appartiene. Ciò dovrebbe includere, in particolare, al trattamento delle domande di coloro che sono colpiti, svolgimento di indagini in merito all'applicazione del presente regolamento e la consapevolezza pubblica dei rischi, regole, tutele e diritti per il trattamento dei dati personali.

 

(123) È opportuno che le autorità di vigilanza monitorare l'applicazione delle disposizioni del presente regolamento e contribuiscono a ciò che questa applicazione sia coerente in tutta l'UE, al fine di individui Protect nella riguardo al trattamento dei dati personali e per facilitare il libero flusso di dati nel mercato interno. A tal fine, le autorità di vigilanza dovrebbero cooperare tra loro e con la Commissione senza accordo dovrebbe essere concluso tra gli Stati membri a fornire assistenza reciproca o su tale cooperazione.

 

Esso dovrebbe cooperare con le altre autorità interessate se il controller o il subfornitore ha una sede operativa nel territorio dello Stato membro di appartenenza, nel caso in cui le persone interessate residenti nel territorio di appartenenza sono significativamente influenzati o se la richiesta è presentata a loro. Inoltre, quando una persona non risiedono in tale Stato membro ha presentato una denuncia con l'autorità di vigilanza del quale quest'ultimo è stato introdotto dovrebbe essere un'autorità di vigilanza interessata. Come parte dei suoi compiti relativi alla pubblicazione di linee guida su qualsiasi questione relativa all'applicazione del presente regolamento, il comitato dovrebbe essere in grado di pubblicare le linee guida riguardanti, in particolare

 

(125) L'autorità di piombo dovrebbe avere il potere di adottare decisioni vincolanti sulle misure per attuare i poteri ad essa attribuiti dal presente regolamento. Come una delle principali autorità, l'autorità di vigilanza dovrebbe coinvolgere sistematicamente le autorità di vigilanza coinvolte nel processo decisionale e assicurare uno stretto coordinamento in questo quadro. Quando si decide di respingere, in tutto o in parte, la denuncia presentata dalla persona interessata, questa decisione dovrebbe essere adottata dall'autorità di vigilanza a cui credito è stato presentato.

 

(126) La decisione dovrebbe essere presa di comune accordo dal supervisore di piombo e le autorità di vigilanza, da inviare allo stabilimento principale o esclusiva del controller o il subappaltatore e obbligatorio sulla testa di elaborazione e l'outsourcing. Il controller o il processore dovrebbero adottare misure per garantire il rispetto del presente regolamento e l'attuazione della decisione notificata dalla lead supervisor presso la sede principale del controllore o sub -traitant quanto riguarda le attività di elaborazione nell'UE.

 

(127) Ogni autorità di controllo, che non servono come autorità di vigilanza piombo dovrebbe essere competente a trattare i casi ambito locale quando il controllore o il partecipare, come è stabilito in diversi Stati membri, ma che la oggetto di trattamento specifico si riferisce solo ad una lavorazione in un unico Stato e riguarda solo le persone interessate che un membro Stato, ad esempio quando si tratta di trattare dati personali relativi alle dipendenti nel contesto delle proprie relazioni di lavoro di uno Stato membro. In questi casi, il supervisore deve informare immediatamente il lead supervisor della questione. Dopo essere stato informato, il leader autorità di vigilanza dovrebbe decidere se trattare il caso sotto la disposizione sulla cooperazione tra il lead supervisor e le altre autorità di vigilanza interessate (in seguito denominato "meccanismo di one-stop") o se il supervisore che ha informato deve gestire il caso a livello locale. Nel decidere se trattare il caso, l'autorità di vigilanza di piombo dovrebbe considerare se v'è uno stabilimento del controller o la frequentano, come nello Stato membro dell'autorità di vigilanza che la informati, al fine di garantire l'effettiva applicazione di una decisione per quanto riguarda il controller o il subappaltatore. Quando l'autorità di vigilanza decide di piombo lead supervisor e le altre autorità di vigilanza interessate (di seguito come "meccanismo di one-stop"), o se il supervisore che ha informato deve gestire il caso a livello locale. Nel decidere se trattare il caso, l'autorità di vigilanza di piombo dovrebbe considerare se v'è uno stabilimento del controller o la frequentano, come nello Stato membro dell'autorità di vigilanza che la informati, al fine di garantire l'effettiva applicazione di una decisione per quanto riguarda il controller o il subappaltatore. Quando l'autorità di vigilanza decide di piombo lead supervisor e le altre autorità di vigilanza interessate (di seguito come "meccanismo di one-stop"), o se il supervisore che ha informato deve gestire il caso a livello locale. Nel decidere se trattare il caso, l'autorità di vigilanza di piombo dovrebbe considerare se v'è uno stabilimento del controller o la frequentano, come nello Stato membro dell'autorità di vigilanza che la informati, al fine di garantire l'effettiva applicazione di una decisione per quanto riguarda il controller o il subappaltatore. Quando l'autorità di vigilanza decide di piombo decide se lei tratterà il caso, l'autorità di vigilanza di piombo dovrebbe considerare se v'è uno stabilimento del controller o la frequentano, come nello Stato membro dell'autorità di vigilanza che ha informato al fine di garantire l'effettiva applicazione di una decisione per quanto riguarda il controller o il subappaltatore. Quando l'autorità di vigilanza decide di piombo decide se lei tratterà il caso, l'autorità di vigilanza di piombo dovrebbe considerare se v'è uno stabilimento del controller o la frequentano, come nello Stato membro dell'autorità di vigilanza che ha informato al fine di garantire l'effettiva applicazione di una decisione per quanto riguarda il controller o il subappaltatore. Quando l'autorità di vigilanza decide di piombo

 

gestire il caso, il supervisore che ha informato dovrebbe avere la possibilità di presentare un progetto di decisione, compresa l'autorità di vigilanza piombo dovrebbe tener pienamente conto nel formulare la bozza di decisione in sotto questo meccanismo unico.

 

(128) Le norme in materia di lead supervisor e il meccanismo one-stop non dovrebbe valere quando il trattamento è effettuato da autorità pubbliche o organizzazioni private di pubblica utilità. In questo caso, l'autorità di controllo solo competente ad esercitare i poteri ad essa attribuiti dal presente regolamento dovrebbe essere l'autorità di vigilanza dello Stato membro in cui ha sede l'autorità organizzazione pubblica o privata.

 

(129) Al fine di assicurare il rispetto del presente regolamento e controllare la sua applicazione in modo coerente in tutta l'Unione, le autorità di vigilanza devono avere in ogni Stato membro, la stessa missione e gli stessi poteri effettivi, compresi poteri investigativi, il potere di intraprendere azioni correttive e di imporre sanzioni e di autorizzare ed emettere pareri consultivi, in particolare in caso di denuncia presentata da parte di individui e fatte salve le competenze delle autorità di perseguimento penale in base alla legge di uno Stato membro il potere di portare le violazioni del presente regolamento all'attenzione delle autorità giudiziarie e procedimenti giudiziari. Tali poteri devono includere anche quella di imporre una limitazione temporanea o trattamento definitivo, compreso un divieto. Gli Stati membri possono specificare altri compiti legati alla protezione dei dati personali in applicazione del presente regolamento. I poteri delle autorità di vigilanza devono essere esercitate in conformità con adeguate garanzie procedurali previste dal diritto dell'Unione e la legge dello Stato membro, in modo imparziale ed equo ed entro un termine ragionevole. Qualsiasi misura dovrebbe avere adeguato, necessario e proporzionato per garantire il rispetto del presente regolamento, le circostanze del caso, rispettare il diritto di ogni individuo di essere ascoltato prima di ogni decisione individuale rischia di danneggiarlo e di evitare costi inutili e disagi eccessivi per gli interessati. I poteri di indagine per quanto riguarda l'accesso alle strutture devono essere esercitate in conformità con i requisiti specifici del diritto processuale degli Stati membri, come ad esempio l'obbligo di ottenere la preventiva autorizzazione giudiziaria. Qualsiasi misura giuridicamente vincolante presa dall'autorità di vigilanza deve essere in forma scritta, essere chiare ed inequivocabili, indicano che l'autorità di vigilanza ha intrapreso l'azione e la data, essere firmato dal capo o un membro che l'autorità di vigilanza ha approvato spiegare le ragioni alla base del provvedimento e indica il diritto a un ricorso effettivo. Questo non dovrebbe escludere ulteriori requisiti previsti dalla legge processuale degli Stati membri. Se si adotta una decisione giuridicamente vincolante, può portare a controllo giudiziario nello Stato membro dell'autorità di vigilanza che l'ha adottata.

 

(130) Quando l'autorità di vigilanza con la quale è stata presentata la denuncia non è il lead supervisor, l'autorità di vigilanza di piombo dovrebbe cooperare strettamente con l'autorità di vigilanza da cui la richiesta è stata presentata in conformità con le disposizioni in materia di cooperazione e di coerenza previsti dal presente regolamento. In questi casi, il lead supervisor deve, al momento di adottare misure volte a produrre effetti giuridici, comprese le misure per imporre sanzioni amministrative a tenere nella massima considerazione il parere di autorità di controllo con cui è stata presentata la denuncia, che dovrebbe rimanere competenti per condurre le indagini sul territorio della

 

altrimenti tali situazioni dovrebbero cercare un accordo con il controller e, in caso di insuccesso, esercitare tutti i suoi poteri. Ciò dovrebbe includere: trattamenti specifici che si svolgono sul territorio dello Stato membro dell'autorità di vigilanza o che riguardano le persone interessate nel territorio di tale Stato membro; trattamenti eseguiti come parte di una fornitura di beni o servizi specificamente mirati quelli sdraiato coinvolti sul territorio dello Stato membro da cui dipende l'autorità di vigilanza; o trattamenti che devono essere valutati alla luce degli obblighi di legge in materia ai sensi della legge di uno Stato membro.

 

(132) attività di sensibilizzazione organizzate da loro per autorità di controllo pubbliche dovrebbero comprendere misure specifiche ai controllori e ai subappaltatori, tra micro, piccole e medie imprese, così come le persone fisica, in particolare nel contesto educativo.

 

(133) Le autorità di vigilanza devono aiutarsi a vicenda nel compiere le loro missioni e di aiutarsi a vicenda al fine di far rispettare il presente regolamento e controllare la sua applicazione in modo coerente nel mercato nazionale. Un supervisore che utilizza l'assistenza reciproca può adottare una misura provvisoria, se non riceve una risposta alla sua richiesta di assistenza reciproca entro un mese dal ricevimento della domanda di assistenza giudiziaria l'altra autorità di vigilanza.

 

(134) Ogni autorità di controllo deve, se necessario, partecipare ad operazioni congiunte con le autorità di vigilanza. L'autorità di controllo richiesta dovrebbe essere tenuto a rispondere alla richiesta entro un determinato termine.

 

(135) Al fine di garantire un'applicazione coerente del presente regolamento in tutta l'Unione, è necessario stabilire un meccanismo di controllo di coerenza per la cooperazione tra le autorità di vigilanza. Questo meccanismo dovrebbe applicarsi in particolare quando un'autorità di vigilanza intende adottare un provvedimento destinato a produrre effetti giuridici nei confronti di operazioni che influenzano in modo significativo un numero significativo di soggetti in vari Stati membri di elaborazione. Esso dovrebbe valere anche quando un'autorità di vigilanza in questione o la Commissione chiede che l'essere materia indirizzata come parte del meccanismo di coerenza. Questo meccanismo dovrebbe essere fatte salve le misure che la Commissione può adottare nel

 

(136) Nell'ambito dell'applicazione del meccanismo consistenza, la commissione deve emettere un parere entro un determinato periodo, se la maggioranza dei suoi membri lo decide o se non riceve una richiesta direzione da parte di un'autorità di vigilanza interessata o della Commissione. Il comitato dovrebbe anche avere il potere di adottare decisioni giuridicamente vincolanti nelle controversie tra autorità di vigilanza. A tal fine, si dovrebbe prendere in linea di principio a maggioranza dei due terzi dei suoi membri, decisioni in casi ben definiti giuridicamente vincolante, in caso di opinioni divergenti tra le autorità di vigilanza, anche attraverso il meccanismo di cooperazione tra il lead supervisor e le autorità di vigilanza, la sostanza della

 

(137) Può essere necessario intervenire con urgenza per proteggere i diritti e le libertà delle persone, in particolare quando esiste il pericolo che l'esercizio del diritto di una persona interessata potrebbe essere ostacolata in modo significativo. Pertanto, un'autorità di vigilanza dovrebbe essere in grado di adottare, sul suo territorio, debitamente giustificate misure provvisorie e un periodo di validità specifico che non deve superare i tre mesi.

 

(138) L'applicazione di tale meccanismo un dovrebbe condizionare la legittimità di un atto destinato a produrre effetti giuridici adottati da un'autorità di vigilanza nei casi in cui questo è obbligatorio. In altri casi, con una dimensione transfrontaliera, il meccanismo di cooperazione tra il supervisore piombo e le autorità di controllo deve essere applicato, e le operazioni di assistenza reciproca e comuni potrebbero essere attuate tra autorità di vigilanza interessate, su base bilaterale o multilaterale, senza il gioco del meccanismo di coerenza.

 

(139) Al fine di promuovere l'applicazione coerente del presente regolamento, il Comitato dovrebbe essere istituito come organo indipendente dell'UE. Per raggiungere i suoi obiettivi, il Comitato dovrebbe essere dotata di personalità giuridica. Dovrebbe essere rappresentato dal suo presidente. Dovrebbe sostituire il gruppo di protezione delle persone fisiche con riguardo al trattamento dei dati personali stabilite dalla direttiva 95/46 / CE. Esso dovrebbe essere costituito capo di un'autorità di controllo di ciascuno Stato membro e la protezione dei dati europea oi loro rispettivi rappresentanti. La Commissione dovrebbe partecipare al comitato senza diritto di voto e della protezione dei dati europeo dovrebbe avere il diritto di voto speciali. Il comitato dovrebbe contribuire alla l'applicazione coerente del presente regolamento in tutta l'Unione, tra cui consulenza alla Commissione, in particolare per quanto riguarda il livello di protezione nei paesi terzi o organizzazioni internazionali, e promuovere la cooperazione delle autorità di vigilanza in tutta l'Unione. Il comitato deve svolgere i propri compiti in modo indipendente.

 

(140) Il comitato dovrebbe essere assistito da una segreteria fornita dal garante europeo della protezione dei dati. Per svolgere i suoi compiti, il personale del garante europeo della protezione dei dati incaricato di missioni che il presente regolamento affida il comitato dovrebbe ricevere istruzioni in qualità di presidente della commissione e deve essere posto sotto l'autorità del celui- esso.

 

(141) Ogni individuo dovrebbe avere il diritto di presentare una denuncia presso un'unica autorità di vigilanza, in particolare nello Stato membro in cui ha la residenza abituale, e hanno il diritto a un ricorso effettivo ai sensi giudiziaria l'articolo 47 della Carta, se ritiene che i diritti di cui al presente regolamento vengono violati o se il supervisore non risponde alla sua denuncia, si rifiuta o scarti, in tutto o in parte, o se non è allora che azione sia necessaria per proteggere i diritti della persona. L'indagine a seguito di una denuncia dovrebbe essere condotta sotto controllo giudiziario nelle opportune misure richieste dal caso. L'autorità di vigilanza dovrebbe informare la persona interessata di progresso e esito della rivendicazione entro un tempo ragionevole. Se il caso lo richiede ulteriori indagini o di coordinamento con un'altra autorità di vigilanza, le informazioni intermedie dovrebbero essere fornite alla persona interessata. Per facilitare l'introduzione delle rivendicazioni da ogni autorità dovrebbero adottare misure quali la fornitura di un modulo di richiesta che può essere completato elettronicamente, senza altri mezzi di comunicazione sono esclusi.

 

(142) Quando una persona interessata ritiene che i diritti conferiti dal presente regolamento sono violati, dovrebbe avere il diritto di nominare un'associazione agenzia, organizzazione o senza scopo di lucro costituite conformemente alla legge di uno Stato membro i cui scopi statutari di interesse pubblico e che è attiva nel campo della protezione dei dati personali, per esso presenta una denuncia a suo nome con un'autorità di vigilanza, ha il diritto di appello giudiziaria in nome delle persone interessate o, se previsto dalla legge di uno Stato membro, ha il diritto di ottenere un risarcimento per le persone colpite. Uno Stato membro può prevedere che l'organizzazione, tale organizzazione o associazione ha il diritto di presentare un reclamo in tale Stato membro, a prescindere da ogni mandato conferito da un soggetto di dati, e ha il diritto ad un rimedio efficace giudiziaria, se ha motivo di ritenere che i diritti di una persona interessata sono stati violati perché il trattamento dei dati personali trattati in violazione del presente regolamento. Questa organizzazione, che l'organizzazione o associazione non può essere consentito di chiedere il risarcimento per conto di un soggetto di dati, il mandato dato dalla persona interessata. un soggetto rilevante sono stati violati in quanto il trattamento dei dati personali trattati in violazione del presente regolamento. Questa organizzazione, che l'organizzazione o associazione non può essere consentito di chiedere il risarcimento per conto di un soggetto di dati, il mandato dato dalla persona interessata. un soggetto rilevante sono stati violati in quanto il trattamento dei dati personali trattati in violazione del presente regolamento. Questa organizzazione, che l'organizzazione o associazione non può essere consentito di chiedere il risarcimento per conto di un soggetto di dati, il mandato dato dalla persona interessata.

 

(143) Ogni persona fisica o giuridica ha diritto di fare appello per l'annullamento delle decisioni del comitato dinanzi alla Corte di giustizia, a norma dell'articolo 263 del trattato sul funzionamento dell'Unione europea. Una volta che ricevono tali decisioni, le autorità di vigilanza che desiderano sfida devono farlo entro due mesi dalla notifica a loro è stato fatto a norma dell'articolo 263 del trattato sul funzionamento dell'Unione europea. Quando le decisioni del comitato riguardano direttamente e individualmente un controllore, un subappaltatore o l'autore della denuncia, possono proporre un ricorso di annullamento di tali decisioni entro due mesi dalla loro pubblicazione sul sito web del Comitato, ai sensi dell'articolo 263 del trattato sul funzionamento dell'Unione europea. Fermo restando il diritto di cui all'articolo 263 del trattato sul funzionamento dell'Unione europea, qualsiasi persona fisica o giuridica deve avere un ricorso giurisdizionale effettivo dinanzi al giudice nazionale competente contro una decisione di un'autorità controllo che produce effetti giuridici che lo riguardano. Tali decisione riguarda una, in particolare, l'esercizio, da parte dell'autorità di vigilanza, poteri di indagine, l'adozione di misure correttive e l'approvazione o il rifiuto o il rifiuto delle domande. Tuttavia, il diritto ad un ricorso giurisdizionale effettiva non copre le misure adottate dalle autorità di vigilanza che non sono giuridicamente vincolanti, come ad esempio opinione emessa o consiglio fornito da un'autorità di vigilanza. Le azioni contro un'autorità di vigilanza dovrebbero essere portati davanti ai giudici dello Stato membro nel cui territorio ha sede l'autorità di vigilanza ed è condotta in conformità con le norme processuali di tale Stato membro. Questi tribunali dovrebbero avere piena giurisdizione, tra cui quello di esaminare tutte le questioni di fatto e di diritto pertinente per la questione davanti a loro. in modo tale che il parere o la consulenza emessa forniti da un'autorità di vigilanza. Le azioni contro un'autorità di vigilanza dovrebbero essere portati davanti ai giudici dello Stato membro nel cui territorio ha sede l'autorità di vigilanza ed è condotta in conformità con le norme processuali di tale Stato membro. Questi tribunali dovrebbero avere piena giurisdizione, tra cui quello di esaminare tutte le questioni di fatto e di diritto pertinente per la questione davanti a loro. in modo tale che il parere o la consulenza emessa forniti da un'autorità di vigilanza. Le azioni contro un'autorità di vigilanza dovrebbero essere portati davanti ai giudici dello Stato membro nel cui territorio ha sede l'autorità di vigilanza ed è condotta in conformità con le norme processuali di tale Stato membro. Questi tribunali dovrebbero avere piena giurisdizione, tra cui quello di esaminare tutte le questioni di fatto e di diritto pertinente per la questione davanti a loro.

 

Quando una domanda è stata respinta o rifiutata da un'autorità di vigilanza, l'autore del reclamo può presentare un ricorso dinanzi ai giudici di tale Stato membro. Come parte dei rimedi giurisdizionali relative all'applicazione del presente regolamento, i giudici nazionali ritengono che una decisione in materia è necessario per consentire loro di dare il loro giudizio possa o, nel caso di cui all'articolo 267 del trattato sul funzionamento dell'Unione europea dovrebbe chiedere alla Corte di giustizia di pronunciarsi in via pregiudiziale sull'interpretazione del diritto dell'Unione, incluso il presente regolamento. Inoltre, quando la decisione di un'autorità di vigilanza esecuzione della decisione della commissione è contestata dinanzi al giudice nazionale e la validità della decisione del Comitato è preoccupato, detto giudice nazionale ha il potere di invalidare la decisione del Comitato e dovrebbe, in tutte le se ritiene che una decisione non è valido, rinviare la questione di validità alla Corte di giustizia, ai sensi dell'articolo 267 del trattato sul funzionamento dell'Unione europea, come è stato interpretato dalla Corte di la giustizia. Tuttavia, un giudice nazionale non può sottoporre una questione relativa alla validità di una decisione del comitato, su richiesta di una persona fisica o giuridica che ha avuto l'opportunità di proporre un ricorso di annullamento di tale decisione,

 

(144) Quando un tribunale sentendo un ricorso contro una decisione di un'autorità di vigilanza ha motivo di ritenere che le azioni relative allo stesso trattamento, ad esempio, sullo stesso oggetto, fatta dallo stesso controller o lo stesso subappaltatore, o la stessa causa, vengono portati davanti a un tribunale competente di un altro Stato membro, deve contattare l'altro giudice di confermare l'esistenza di tali azioni correlate. Se cause connesse siano pendenti dinanzi a un tribunale

 

un altro Stato membro, qualunque tribunale diverso da quello che è stato sequestrato può sospendere il procedimento o possono, su richiesta delle parti, incompetenza a favore del giudice se è competente a intrattenere azione in questione e la legge che disciplina che ti permette di raggruppare queste azioni correlate. Sono considerati correlati, azioni che sono così strettamente legati punto che è a istruirle ea giudicare contemporaneamente per evitare di essere reso decisioni inconciliabili caso di trattazione separata.

 

(145) Per quanto riguarda le azioni contro un controller o un processore, l'attore dovrebbe avere la possibilità di portare l'azione dinanzi ai giudici degli Stati membri in cui il controllore o sub-appaltatore ha uno stabilimento o nello Stato membro in cui risiede persona, a meno che il controller è un ente pubblico di uno Stato membro nell'esercizio dei suoi poteri pubblici.

 

(146) Il regolatore o sotto-trattamento dovrebbe riparare i danni di un individuo può soffrire a causa di trattamento in violazione del presente regolamento. Il controller o il subfornitore debbano essere esenti da responsabilità se dimostra che il danno non è imputabile ad esso. La nozione di danno deve essere interpretato in senso lato, alla luce della giurisprudenza della Corte di giustizia, in un modo che tenga pienamente conto degli obiettivi del presente regolamento. Questo non pregiudica alcuna azione di risarcimento danni in base a una violazione di altre norme del diritto dell'Unione o della legge di uno Stato membro. Il trattamento in violazione del presente regolamento comprende anche il trattamento in violazione degli atti delegati e attuazione adottate a norma del presente regolamento e il diritto di uno Stato membro che specifica le norme del presente regolamento. Le persone interessate devono ricevere un risarcimento pieno ed effettivo del danno subito. Quando i controllori o subappaltatori coinvolti nello stesso processo, ogni controllore o ciascun subappaltatore dovrebbero essere ritenuti responsabili per tutti i danni. Tuttavia, quando i controllori e subappaltatori sono coinvolti nello stesso procedimento giudiziario ai sensi della legislazione di uno Stato membro, la riparazione può essere distribuito in base alla quota di responsabilità di ogni controller o di ogni sub - contractor nel danno causato dal trattamento, a condizione che il danno subito dalla persona interessata sia completamente ed efficacemente riparato. Ogni controller o eventuali subappaltatori che hanno riparato completamente i danni possono successivamente ricorso contro altri controller e subappaltatori che hanno partecipato lo stesso trattamento.

 

(147) Qualora il presente regolamento prevede norme specifiche di competenza, in particolare per quanto riguarda le procedure di ricorsi giurisdizionali, comprese quelle volte a ottenere un risarcimento nei confronti di un controllore o un processore, le regole di competenza Termini come quelle previste dal regolamento (UE) n 1215/2012 del Parlamento europeo e del Consiglio (1), non dovrebbero pregiudicare l'applicazione di tali regole di competenza particolari.

 

(148) Al fine di rafforzare l'applicazione del presente regolamento, le sanzioni, tra cui sanzioni amministrative dovrebbe essere imposto per qualsiasi violazione del presente regolamento, in aggiunta o in sostituzione misure appropriate imposti dall'autorità di vigilanza in presente regolamento. In caso di violazione minore o la pena che può essere inflitta è un onere sproporzionato per un individuo, un rimprovero può essere indirizzato piuttosto che una multa. Tuttavia, si dovrebbe tenere debitamente conto della natura, gravità e la durata della violazione, il carattere intenzionale violazione e le misure adottate per mitigare il danno subito, il grado di colpa o violazione rilevante commesso in precedenza, come il supervisore è venuto a conoscenza della violazione, rispettino le misure ordinate al controller o il subappaltatore sull'applicazione di un codice di condotta e ogni altro aggravanti o attenuanti. L'applicazione di sanzioni, comprese sanzioni amministrative deve essere oggetto di adeguate garanzie procedurali nel rispetto dei principi generali del diritto dell'UE e della Carta, compreso il diritto ad una tutela giurisdizionale efficace e giusto processo.

 

(149) Gli Stati membri dovrebbero essere in grado di determinare le regole in materia di sanzioni per le violazioni del presente regolamento, comprese le violazioni delle disposizioni nazionali adottate ai sensi e nei limiti del presente regolamento. Queste sanzioni penali possono anche permettere l'ingresso di utili realizzati in violazione del presente regolamento. Tuttavia, l'applicazione di sanzioni penali per la violazione di tali disposizioni nazionali e l'applicazione di sanzioni amministrative non dovrebbe comportare la violazione del ne bis in idem, come interpretato dalla Corte di giustizia.

 

(150) Al fine di rafforzare e armonizzare le sanzioni amministrative per le violazioni del presente regolamento, ciascuna autorità di vigilanza dovrebbe avere il potere di imporre sanzioni amministrative. questo

 

(1) Il regolamento (UE) n 1215/2012 del Parlamento europeo e del Consiglio, del 12 dicembre 2012 sulla competenza giurisdizionale, il riconoscimento e l'esecuzione delle decisioni in materia civile e commerciale (GU L 351, 20.12.2012, p. 1).

 

Regolamento specifica le violazioni, la massima e sanzioni amministrative di fissaggio criteri cui sono soggetti, che dovrebbero essere fissati dalla competente autorità di vigilanza in ogni caso, tenendo conto di tutte le caratteristiche di ogni caso e tenendo debitamente conto, in particolare, la natura, la gravità e la durata della violazione e le sue conseguenze, nonché le misure adottate per garantire il rispetto degli obblighi ai sensi del regolamento e per prevenire o attenuare le conseguenze del violazione. Dove vengono inflitte ammende amministrative su una società, tale termine deve, a tal fine, essere intesa come una società ai sensi degli articoli 101 e 102 del trattato sul funzionamento dell'Unione europea. Dove siano imposte sanzioni amministrative alle persone che non sono in una società, l'autorità di vigilanza deve tener conto quando si considera quale sarebbe la giusta quantità del bene, il livello generale dei redditi nello Stato membro e che la situazione economica della persona interessata. Può anche essere fatto ricorso al meccanismo di consistenza per promuovere un'applicazione coerente delle sanzioni amministrative. Dovrebbe essere compito degli Stati membri di stabilire se e in che misura le autorità pubbliche dovrebbero essere soggetti a sanzioni amministrative. L'applicazione di una sanzione amministrativa o il fatto di dare un avvertimento non pregiudica l'esercizio di altri poteri delle autorità di controllo o l'applicazione di

 

(151) I sistemi giuridici di Danimarca e l'Estonia non riescono ad imporre sanzioni amministrative previste dal presente regolamento. Le norme relative alle sanzioni amministrative possono essere applicate in modo tale che, in Danimarca, l'ammenda inflitta dai giudici nazionali competenti come una sanzione penale e l'Estonia, l'ammenda è imposto dall'autorità di vigilanza come parte di una procedura di infrazione, a condizione che tale applicazione delle norme in questi Stati membri hanno un effetto equivalente alle sanzioni amministrative imposte dalle autorità di vigilanza. Questo è il motivo per cui i giudici nazionali competenti dovrebbero tener conto della raccomandazione dell'Autorità di vigilanza che è responsabile per l'ammenda.

 

(152) Qualora il presente regolamento non le sanzioni non armonizzare amministrative o, se necessario, in altre circostanze, ad esempio in caso di gravi violazioni del presente regolamento, gli Stati membri dovrebbero attuare un sistema che prevede efficace, proporzionate e dissuasive. La natura di queste sanzioni, penali o amministrativi, deve essere determinato dalla legislazione degli Stati membri.

 

(153) Il diritto degli Stati membri dovrebbero bilanciare le norme che disciplinano la libertà di espressione e di informazione, compresa l'espressione giornalistica, accademica, artistica o letteraria, e il diritto alla protezione dei dati personali ai sensi presente regolamento. Nel trattamento dei dati personali esclusivamente a scopi giornalistici o per scopi di espressione accademica, artistici o letterari, necessari a prevedere deroghe o esenzioni da alcune disposizioni del presente regolamento, se necessario, conciliare il diritto alla protezione dei dati personali e il diritto alla libertà di espressione e di informazione sancito dall'articolo 11 della Carta. Questo dovrebbe essere il caso di trattamento di dati personali nel settore audiovisivo e documenti d'archivio e biblioteche della stampa di notizie. Di conseguenza, gli Stati membri dovrebbero adottare una legislazione che impostare le esenzioni e le deroghe necessarie per garantire un equilibrio tra questi diritti fondamentali. Gli Stati membri dovrebbero adottare tali esenzioni e deroghe in relazione ai principi generali, i diritti della persona, il controller e il processore, il trasferimento di dati personali verso paesi terzi o le organizzazioni internazionale, indipendente di supervisione delle autorità, la cooperazione e la coerenza, così come le situazioni particolari di elaborazione dei dati. Quando queste esenzioni o eccezioni differiscono da uno Stato membro ad un altro, si dovrebbe applicare la legge dello Stato membro la cui riferisce al trattamento manager. Per riflettere l'importanza del diritto alla libertà di espressione in una società democratica, è necessario mantenere una ampia interpretazione dei concetti ad essa correlate, come il giornalismo.

 

(154) Il presente regolamento permette di prendere in considerazione, in applicazione del principio di accesso del pubblico ai documenti ufficiali. L'accesso del pubblico ai documenti ufficiali può essere considerata di interesse pubblico. I dati personali contenuti nei documenti in possesso di un'autorità pubblica o un organismo pubblico dovranno essere resi pubblici da tale autorità o quel corpo, se ciò è previsto dal diritto dell'Unione o alla legislazione dello Stato membro prende atto della pubblica autorità o ente pubblico. Queste disposizioni di legge dovrebbero bilanciare l'accesso del pubblico ai documenti ufficiali e il riutilizzo delle informazioni del settore pubblico, da un lato, e il diritto alla protezione dei dati personali, d'altra parte, e può quindi fornire la necessaria riconciliazione con il diritto alla protezione dei dati personali ai sensi del presente regolamento. In questo contesto, si intende per "autorità pubbliche e gli enti pubblici", tutte le autorità o da altri organismi di diritto di uno Stato membro in materia di accesso ai documenti. La direttiva 2003/98 / CE del Parlamento europeo e del

 

Consiglio (1) lascia intatta e in nessun modo influenza il livello di tutela delle persone fisiche con riguardo al trattamento

 

(1) La direttiva 2003/98 / CE del Parlamento europeo e del Consiglio, del 17 novembre 2003, relativa al riutilizzo dell'informazione del settore pubblico (GU L 345 del 31.12.2003, pag. 90).

 

dei dati personali ai sensi delle disposizioni del diritto dell'Unione e la legge degli Stati membri e, in particolare, non modifica i diritti e gli obblighi derivanti dal presente regolamento. In particolare, la direttiva non si applica ai documenti ai quali l'accesso è esclusa o limitata l'applicazione delle policy di accesso per motivi di protezione dei dati personali, e le parti di documenti disponibili a titolo del detto regolamento contenere dati personali il cui reimpiego è tenuto per legge a essere incompatibile con la legislazione sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali.

 

(155) Il diritto degli Stati membri o dai contratti collettivi, tra cui "accordi aziendali" può stabilire norme specifiche per il trattamento dei dati personali dei dipendenti nel contesto dei rapporti di lavoro, comprese le condizioni alle quali i dati personali nel contesto dei rapporti di lavoro possono essere trattati sulla base del consenso del lavoratore, per il reclutamento, l'esecuzione del contratto di lavoro, compreso il rispetto degli obblighi previsti dalla legge o dai contratti collettivi, gestione, pianificazione e organizzazione del lavoro, l'uguaglianza e la diversità sul posto di lavoro, salute e sicurezza, e ai fini dellaesercizio e il godimento dei diritti e dei benefici connessi con l'occupazione, singolarmente o collettivamente, così come per la cessazione del rapporto di lavoro.

 

(156) Il trattamento dei dati personali per scopi di archiviazione di interesse pubblico, al fine di scopi di ricerca o statistici scientifici o storici dovrebbero essere soggetti a garanzie adeguate per i diritti e le libertà della persona interessata, sotto questo regolamento. Tali garanzie dovrebbero consentire l'attuazione di misure tecniche e organizzative per garantire, in particolare, il principio di minimizzazione dei dati. Ulteriore trattamento di dati personali per scopi di archiviazione di interesse pubblico, con lo scopo di fini statistici ricerca scientifica o storica o deve essere eseguita quando il controllore ha valutato la fattibilità di raggiungere questi obiettivi attraverso un'elaborazione di dati che non consentono o più per identificare le persone interessate, purché adeguate garanzie esistono (per esempio i dati pseudonimi). Gli Stati membri dovrebbero fornire garanzie adeguate per il trattamento dei dati personali per scopi di archiviazione di interesse pubblico, con lo scopo di fini statistici ricerca scientifica o storica o. Gli Stati membri dovrebbero essere autorizzati a prevedere, a determinate condizioni e con le adeguate garanzie per le persone interessate, disposizioni speciali ed esenzioni relative ai requisiti per le informazioni e dei diritti di rettifica, cancellazione, a dimenticanza, limitazione dei trattamenti, per la portabilità dei dati e il diritto di opposizione quando i dati personali sono trattati a scopo di archiviazione nel pubblico interesse, al fine di scopi statistici ricerca scientifica o storica o. Le condizioni e le garanzie in questione possono includere procedure specifiche per gli interessati di esercitare questi diritti, se del caso tenendo conto delle finalità del trattamento specifico in questione, nonché le misure tecniche e organizzative per ridurre al minimo l'elaborazione dei dati dati personali in conformità con i principi di proporzionalità e necessità. Il trattamento dei dati personali per scopi scientifici dovrebbe anche rispettare altre normative pertinenti,

 

(157) Combinando le informazioni dai record, i ricercatori possono acquisire nuove conoscenze di grande interesse in termini di problemi medici diffusi come ad esempio le malattie cardiovascolari, il cancro e la depressione. Sulla base delle registrazioni, sui risultati della ricerca possono essere migliorati in quanto si basano su un campione di popolazione più ampia. Nell'ambito delle scienze sociali, la ricerca sul Registro di sistema consente ai ricercatori di acquisire le conoscenze essenziali circa le correlazioni a lungo termine tra un certo numero di condizioni sociali, come la disoccupazione e l'istruzione e le altre condizioni della vita. I risultati della ricerca ottenuti nel utilizzando registri fornire conoscenze affidabili e di alta qualità che può essere la base per lo sviluppo e l'attuazione di una politica basata sulla conoscenza, a migliorare la qualità della vita di un numero di persone e rafforzare efficacia dei servizi sociali. Per facilitare la ricerca scientifica, i dati personali possono essere trattati per fini di ricerca scientifica soggetta a condizioni e garanzie appropriate previste dalla legislazione UE o il diritto degli Stati membri.

 

(158) Qualora i dati personali sono trattati a scopo di archiviazione, il presente regolamento dovrebbe applicarsi a questo trattamento, con la consapevolezza che essa non dovrebbe applicarsi alle persone morte. Le autorità pubbliche o enti pubblici o privati ​​che mantengono gli archivi nel pubblico interesse dovrebbero essere servizi che, ai sensi del diritto dell'Unione europea o la legge di uno Stato membro, hanno l'obbligo legale di raccogliere, mantenere, valutare, organizzare, descrivere, comunicare, sviluppare, diffondere essa record sono per mantenere in modo permanente nell'interesse pubblico generale e forniscono l'accesso.

 

(159) Qualora i dati personali sono trattati per scopi di ricerca scientifica, il presente regolamento dovrebbe applicarsi a questo trattamento. Ai fini del presente regolamento, il trattamento di dati personali per scopi di ricerca scientifica deve essere interpretato in senso lato per la copertura, per esempio, lo sviluppo e la dimostrazione di tecnologie, la ricerca di base, ricerca applicata e di ricerca finanziati dal settore privato. Si deve inoltre tener conto dell'obiettivo dell'Unione menzionate all'articolo 179, paragrafo 1, del trattato sul funzionamento dell'Unione europea di realizzare uno Spazio europeo della ricerca. Con il termine "ricerca scientifica", si deve anche sentire gli studi nel interesse pubblico nel settore della sanità pubblica. Per soddisfare i dati personali specifici trattamenti per finalità di ricerca scientifica, dovrebbero essere applicate condizioni speciali, in particolare, per quanto riguarda la pubblicazione o la divulgazione meno di dati personali nel sotto fini di ricerca scientifica. Se il risultato della ricerca scientifica, in particolare nel settore della salute, per ulteriori azioni nell'interesse della persona interessata, le regole generali del presente regolamento si applica nei confronti di queste misure. in particolare per quanto riguarda la pubblicazione o la divulgazione meno di dati personali nel contesto degli obiettivi della ricerca scientifica. Se il risultato della ricerca scientifica, in particolare nel settore della salute, per ulteriori azioni nell'interesse della persona interessata, le regole generali del presente regolamento si applica nei confronti di queste misure. in particolare per quanto riguarda la pubblicazione o la divulgazione meno di dati personali nel contesto degli obiettivi della ricerca scientifica. Se il risultato della ricerca scientifica, in particolare nel settore della salute, per ulteriori azioni nell'interesse della persona interessata, le regole generali del presente regolamento si applica nei confronti di queste misure.

 

(160) Qualora i dati personali sono trattati per la ricerca storica, il presente regolamento dovrebbe applicarsi a questo trattamento. Ciò dovrebbe includere anche la ricerca storica e la ricerca per scopi genealogici, a condizione che il presente regolamento non dovrebbe applicarsi alle persone decedute.

 

(161) Ai fini del consenso di partecipazione per la ricerca scientifica negli studi clinici, devono applicare le pertinenti disposizioni del regolamento (UE) n 536/2014 del Parlamento europeo e del Consiglio (1).

 

(162) Qualora i dati personali sono trattati a fini statistici, il presente regolamento dovrebbe applicarsi a questo trattamento. Il diritto dell'Unione o il diritto degli Stati membri dovrebbero, entro i limiti del presente regolamento, determinare il contenuto statistico, il controllo di accesso ai dati e adottare disposizioni particolari per il trattamento dei dati personali a finalità statistiche e misure appropriate per proteggere i diritti e le libertà dell'individuo e di mantenere la riservatezza statistica. Da "scopi statistici": ogni transazione di raccolta e di elaborazione dati necessari per indagini statistiche o produzione di risultati statistici. Questi risultati statistici possono essere utilizzati anche per scopi diversi, tra cui la ricerca scientifica. Le statistiche implicano che scopo il risultato della trasformazione a fini statistici non costituisce dati personali ma dati aggregati, e che questo o questi dati personali non vengono utilizzati a sostegno di misure o decisioni un individuo in particolare.

 

(163) Le informazioni riservate che le autorità statistiche dell'UE e degli Stati membri si riuniscono per lo sviluppo di statistiche ufficiali nazionali europea e deve essere protetto. Le statistiche europee devono essere sviluppate, prodotte e diffuse conformemente ai principi statistici di cui all'articolo 338, paragrafo 2, del trattato sul funzionamento dell'Unione europea, e le statistiche nazionali dovrebbero anche rispettare il diritto degli Stati membri. Il regolamento (CE) n 223/2009 del Parlamento europeo e del Consiglio (2) contiene altre disposizioni speciali relative alle statistiche europee coperte dal segreto.

 

(164) Per quanto riguarda i poteri delle autorità di vigilanza di ottenere dal responsabile del trattamento o l'accesso subappaltatore ai dati personali e l'accesso ai loro locali, gli Stati membri possono adottare per la legge, entro i limiti del presente regolamento, norme specifiche per garantire l'obbligo del segreto professionale o altri obblighi equivalenti di segretezza, nella misura in cui ciò sia necessario per conciliare il diritto alla protezione dei dati personali e l'obbligo del segreto professionale. Si tratta di fatti salvi gli obblighi degli Stati membri esistenti l'adozione di norme di segreto professionale quando la legge europea richiede.

 

(165) Il presente regolamento rispetta e non pregiudica lo status goduto, in base al diritto costituzionale, le chiese e le associazioni o comunità religiose degli Stati membri, come riconosciuto dall'articolo 17 del trattato sul funzionamento dell'Unione europea.

 

(166) Al fine di conseguire gli obiettivi del presente regolamento, vale a dire la tutela dei diritti e delle libertà fondamentali delle persone fisiche, in particolare il loro diritto alla protezione dei dati personali, e garantire

 

(1) Il regolamento (UE) n 536/2014 del Parlamento europeo e del Consiglio del 16 aprile 2014 relativa alle sperimentazioni cliniche di farmaci per uso umano, e che abroga la direttiva 2001/20 / CE (GU L 158, 2014/05/27, p. 1).

 

(2) Il regolamento (CE) n 223/2009 del Parlamento europeo e del Consiglio, dell'11 marzo 2009, relativo alle statistiche europee e che abroga il regolamento (CE, Euratom) n 1101/2008 del Parlamento europeo e del Consiglio relativa alla trasmissione al Ufficio statistico delle Comunità europee di informazioni statistiche coperte dal segreto professionale, il regolamento (CE) n 322/97 del Consiglio relativo alle statistiche comunitarie, e la decisione del Consiglio 89/382 / CEE, Euratom, che istituisce un comitato del programma statistico Comunità europee (GU L 87 del 31.3.2009, pag. 164).

 

libera circolazione di tali dati all'interno dell'Unione dovrebbe essere delegato alla Commissione il potere di adottare atti ai sensi dell'articolo 290 del trattato sul funzionamento dell'Unione europea. In particolare, dovrebbero essere adottate atti delegati per quanto riguarda i criteri ei requisiti per meccanismi di certificazione, le informazioni sotto forma di icone standard e le procedure che disciplinano la fornitura di queste icone. E 'particolarmente importante che la Commissione svolga adeguate consultazioni nel corso del suo lavoro preparatorio, anche a livello di esperti. Dovrebbe Nel preparare e redigere gli atti delegati,

 

(167) Al fine di garantire condizioni uniformi per l'attuazione del presente regolamento, occorre conferire alla Commissione competenze disposto dal presente regolamento di attuazione. Tali competenze devono essere esercitate in conformità al regolamento (UE) n 182/2011. In questo contesto, la Commissione dovrebbe prendere in considerazione misure specifiche per le micro, piccole e medie imprese.

 

(168) Data la natura generale degli atti pertinenti, è opportuno utilizzare la procedura di esame per l'adozione di atti di esecuzione riguardanti le clausole contrattuali tra controllori e subappaltatori e tra subappaltatori; codici di condotta; norme e sistemi di certificazione tecnica; un adeguato livello di protezione garantito da un paese terzo, suo territorio o settore nel paese terzo o di un'organizzazione internazionale; le clausole di protezione; i formati e le procedure per lo scambio di informazioni per via elettronica tra i controllori, imprenditori e autorità di vigilanza per quanto riguarda le norme aziendali vincolanti; assistenza reciproca;

 

(169) La Commissione dovrebbe adottare atti di esecuzione immediatamente applicabili qualora le prove dimostrano disponibili che un paese terzo, territorio o del settore in tale paese terzo o un'organizzazione internazionale non offre un livello di protezione adeguata e convincente di urgenza lo richiedano.

 

(170) Poiché l'obiettivo del presente regolamento, vale a dire assicurare un livello equivalente di protezione delle persone e la libera circolazione dei dati personali in tutta l'Unione, non possono essere sufficientemente realizzati dagli Stati membri, ma possono, a causa delle dimensioni o degli effetti dell'azione in questione, essere realizzati meglio a livello di Unione, che può adottare le misure in base al principio di sussidiarietà sancito dall'articolo 5 del trattato sull'Unione europea. Conformemente al principio di proporzionalità enunciato nello stesso articolo, il presente regolamento si limita a quanto è necessario per conseguire tali obiettivi.

 

(171) La direttiva 95/46 / CE deve essere abrogata dal presente regolamento. I trattamenti già in corso alla data di applicazione del presente regolamento devono essere messi in linea con esso entro due anni dalla sua entrata in vigore. Quando il trattamento si basa su un consenso ai sensi della direttiva 95/46 / CE, non è necessario che la persona che dà ancora una volta il proprio consenso se il modo in cui è stato dato il consenso soddisfa le condizioni di cui al presente regolamento, in modo che il controller possa continuare il trattamento dopo la data di applicazione del presente regolamento.

 

(172) La protezione dei dati europeo è stato consultato in conformità all'articolo 28, paragrafo 2, del regolamento (CE) n 45/2001 e ha espresso un parere in data 7 marzo 2012 (1).

 

(173) Il presente regolamento dovrebbe applicarsi a tutti gli aspetti della tutela dei diritti e delle libertà fondamentali con riguardo al trattamento dei dati personali che non sono soggetti a obblighi specifici con lo stesso obiettivo fissato dalla direttiva 2002/58 / CE del Parlamento europeo e del Consiglio (2), compresi gli obblighi del controllore e dei diritti delle persone. Per chiarire la relazione tra il presente regolamento e la direttiva 2002/58 / CE, tale direttiva dovrebbe essere modificata di conseguenza. Dopo l'adozione del presente regolamento, si dovrebbe rivedere la direttiva 2002/58 / CE, in particolare per assicurare la coerenza con il presente regolamento

 

(1) GU C 192, 30.6.2012, p. 7.

 

(2) La direttiva 2002/58 / CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201 del 31.7.2002, pag. 37).

 

HANNO ADOTTATO IL PRESENTE REGOLAMENTO:

 

CAPITOLO I

 

disposizioni generali

articolo

 

Finalità e obiettivi

Il presente regolamento stabilisce norme relative alla tutela delle persone fisiche con riguardo al trattamento dei dati personali e norme relative alla libera circolazione di tali dati.

Il presente regolamento tutela i diritti e le libertà fondamentali delle persone fisiche, e in particolare il diritto alla protezione dei dati personali.

La libera circolazione dei dati personali all'interno dell'Unione è limitata né proibita per motivi di tutela delle persone fisiche con riguardo al trattamento dei dati personali.

Articolo 2

 

Campo d'applicazione materiale

Il presente regolamento si applica al trattamento dei dati personali, automatizzati in tutto o in parte, così come trattamento non automatizzato di dati personali contenuti o destinati ad essere inseriti in un file.

Il presente regolamento non si applica al trattamento dei dati di carattere personale:

a) nell'ambito di attività che non rientrano nel campo di applicazione del diritto dell'UE;

 

b) dagli Stati membri nel quadro delle attività che rientrano nel campo di applicazione del capitolo 2 del titolo V del trattato sull'Unione europea;

 

c) da un individuo nel contesto di un'attività strettamente personale o domestico;

 

d) da parte delle autorità competenti ai fini della prevenzione e dell'individuazione dei reati, indagare e perseguire in materia o l'esecuzione di sanzioni penali, compresa la protezione contro le minacce per la sicurezza pubblica e la prevenzione tali minacce.

 

Il regolamento (CE) n 45/2001 si applica al trattamento dei dati personali da parte delle istituzioni, organi e organismi dell'Unione. Il regolamento (CE) n 45/2001 e altri atti giuridici del diritto dell'Unione ha detto che il trattamento dei dati personali è adattato ai principi e alle norme del presente regolamento ai sensi dell'articolo 98.

Il presente regolamento si applica fatta salva la direttiva 2000/31 / CE, in particolare gli articoli da 12 a 15 per quanto riguarda la responsabilità dei prestatori intermedi.

Articolo 3

 

ambito di applicazione territoriale

Il presente regolamento si applica al trattamento dei dati personali nel quadro delle attività di uno stabilimento di un controller o di un subappaltatore nel territorio dell'Unione, che il trattamento avvenga o non nell'UE.

Il presente regolamento si applica al trattamento dei dati personali relativi a soggetti che si trovano sul territorio dell'Unione da un controllore o un subappaltatore che non è stabilito nell'Unione, quando le attività di trasformazione sono relativi:

a) la fornitura di beni o servizi a tali soggetti dei dati nell'Unione, il pagamento è richiesto o meno tali persone; o

 

b) monitoraggio del comportamento di queste persone, dal momento che è un comportamento che ha luogo all'interno dell'Unione.

 

3. Il presente regolamento si applica al trattamento dei dati personali da un controllore non stabilita nella UE, ma in un luogo dove la legge di uno Stato membro si applica in virtù del diritto internazionale pubblico.

 

Articolo 4 Definizioni

Ai fini del presente regolamento, da:

 

1) "dati personali" qualsiasi informazione concernente una persona fisica identificata o identificabile (di seguito denominato "persona interessata"); è ritenuto un "identificabile" un individuo che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un identificatore, ad esempio un nome, un numero di identificazione, dati di localizzazione, identificazione on-line o ad uno o più elementi specifici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

 

2) "trattamento", qualsiasi operazione o insieme di operazioni effettuate o non utilizzo di processi automatizzati e applicate a dati o insiemi di dati personali, come la raccolta, registrazione, organizzazione , strutturazione, memorizzazione, adattamento o modifica, estrazione, consultazione, uso, la trasmissione attraverso la comunicazione, la diffusione, o altrimenti rendere disponibile, l'allineamento o l'interconnessione, limitazione , cancellazione o la distruzione;

 

3) "limitazione del trattamento" mantenuto i dati di marcatura per limitarne il trattamento in futuro;

 

4) 'profiling', tutti i trattamenti automatizzato dei dati personali di utilizzare tali dati per valutare taluni aspetti personali relativi a persone fisiche, tra cui quello di analizzare o prevedere elementi sul rendimento di lavoro, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, la posizione o il movimento di tale individuo;

 

5) trattamento dei dati personali in tal modo un che non possono più essere attribuiti a una persona specifica interessata senza la necessità di ulteriori informazioni, purché tali informazioni aggiuntive viene mantenuta separatamente e sottoposti a "pseudonimi" tecniche e misure organizzative per garantire che i dati personali non sono attribuiti ad una persona fisica identificata o identificabile;

 

6) "file" qualsiasi insieme strutturato di dati personali accessibili secondo criteri specifici, sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;

 

7) "controllore", la persona fisica o giuridica, l'autorità pubblica, il servizio o di altro organismo che, da soli o insieme ad altri, determina le finalità e modalità del trattamento; Quando le finalità e gli strumenti del trattamento sono determinati dal diritto dell'Unione o alla legislazione di uno Stato membro, il controller può essere descritto o criteri specifici per la sua nomina può essere fornito dalla legge del dell'Unione o dalla legge di uno Stato membro;

 

8) "subappaltatore" la persona fisica o giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo che elabora dati personali per conto del responsabile del trattamento;

 

9) 'destinatario', la persona fisica o giuridica, l'autorità pubblica, il servizio o altra organizzazione che riceve comunicazione di dati personali, anche se non un terzo. Tuttavia, le autorità pubbliche

 

che sono suscettibili di ricevere la comunicazione dei dati personali nel quadro di una missione di investigazione speciale in conformità con il diritto dell'Unione o della legge di uno Stato membro non sono considerati come destinatari; Il trattamento di tali dati da parte delle autorità pubbliche in questione è conforme con le norme applicabili in materia di protezione dei dati in base alle finalità del trattamento;

 

10) significa "terzi" una persona fisica o giuridica, l'autorità pubblica, di servizio o di altro organismo che non la persona interessata, il controller, il processore e le persone che, sotto la diretta autorità del controllore o processore, sono autorizzati a trattare dati personali;

 

11) "consenso" dell'interessato, qualsiasi manifestazione di volontà, dato liberamente specifico, informato e inequivocabile in cui la persona interessata è d'accordo, da una dichiarazione o con un chiaro atto affermativo, che i dati personali che li riguardano la in lavorazione;

 

12) "violazione dei dati personali", una violazione di sicurezza che comporta accidentalmente o in modo illegale, la distruzione, la perdita, modifica, la rivelazione non autorizzata di dati personali trasmessi, memorizzati o trattati da In alternativa, o accesso non autorizzato a tali dati;

 

13) "dati genetici", i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di un individuo che danno informazioni uniche sullo stato fisiologia e la salute dell'individuo e risultanti in particolare dalla l'analisi di un campione biologico dall'individuo in questione;

 

14) "dati biometrici", i dati personali risultanti dalla trasformazione specifica tecnica relativa alle caratteristiche fisiche, fisiologico o comportamentale di un individuo che consentono o confermare l'identificazione univoco, ad esempio immagini facciali o dati le impronte digitali;

 

15) "dati sanitari", i dati personali relativi alla salute fisica o mentale di un individuo, tra cui la fornitura di servizi di assistenza sanitaria, che rivelano informazioni sullo stato di salute di questo nessuno;

 

16) "stabilimento principale"

 

a) per quanto riguarda un controller con sede in diversi Stati membri, l'ubicazione della sede sociale nell'Unione, a meno che le decisioni relative alle finalità e modalità del trattamento dei dati personali sono prese in un altro stabilimento del responsabile in seno all'Unione e che l'istituzione ha il potere di far rispettare queste decisioni, nel qual caso l'istituzione che ha preso tali decisioni è considerato il dispositivo principale;

 

b) per quanto riguarda un subappaltatore con sede in diversi Stati membri, il luogo di amministrazione centrale nell'Unione o, se il subappaltatore non dispone di un'amministrazione centrale nell'Unione, la creazione di subappaltatore nell'Unione che gestisce la maggior parte delle attività di trattamento svolte nell'ambito delle attività all'interno di un subappaltatore, dal momento che l'imprenditore-in è soggetto a obblighi specifici ai sensi del presente regolamento;

 

17) significa "rappresentativi" una persona fisica o giuridica stabilita nell'Unione designata dal controllore o il processore per iscritto, ai sensi dell'articolo 27, che rappresenta quanto riguarda i loro rispettivi obblighi sensi del presente regolamento;

 

18) "impresa", una persona fisica o giuridica che esercita un'attività economica, indipendentemente dalla sua forma giuridica, compresi i partenariati o le associazioni che esercitano un'attività economica;

 

19) "gruppo di imprese", una società che i controlli e le società da essa controllate;

 

20) "norme vincolanti d'impresa", le regole interne relative alla protezione dei dati personali applicate da un controllore o un subincaricato sede nel territorio di uno Stato membro per il trasferimento o un set il trasferimento di dati da un controllore carattere personale o di un processore stabilito in un paese terzo o di paesi all'interno di un gruppo di società o gruppi di società impegnate in un'attività economica comune;

 

21) "autorità di vigilanza", un'autorità pubblica indipendente che è stabilito da uno Stato membro ai sensi

 

sezione 51;

 

22) "autorità di vigilanza interessata," un'autorità di vigilanza che si occupa del trattamento dei dati personali in quanto:

 

a) il titolare del trattamento o sotto-treat è stabilito nel territorio dello Stato membro di detta autorità di vigilanza sopra;

 

b) le persone interessate residenti in tale autorità di controllo dello Stato membro sono significativamente influenzata dal trattamento o può essere; o

 

c) una richiesta è stata presentata al supervisore;

 

23) "trattamento transfrontaliero,"

 

a) il trattamento dei dati personali che si svolge all'interno dell'Unione nel quadro delle attività delle istituzioni in diversi Stati membri di un controller o di un subappaltatore quando il controllore o il sub- processore è stabilito in vari Stati membri; o

 

b) il trattamento dei dati personali che si svolge all'interno dell'Unione nel quadro delle attività di una singola istituzione di un controller o di un subappaltatore, ma che incide in modo significativo o possa avere ripercussioni essenzialmente degli interessati in vari Stati membri;

 

24) "obiezioni rilevanti e motivati", un'obiezione a un progetto di decisione sul fatto che v'è una violazione del presente regolamento o se l'azione proposta concernente il controllore o il subappaltatore soddisfi presente regolamento, il che dimostra chiaramente l'importanza dei rischi del progetto di decisione per i diritti e le libertà fondamentali delle persone interessate e, se necessario, la libera circolazione dei dati personali all'interno dell'Unione;

 

25) "servizio della società dell'informazione", un servizio ai sensi dell'articolo 1, comma 1, lettera b), della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio (1);

 

26) "organizzazione internazionale", un'organizzazione e gli organi di diritto internazionale pubblico in esso contenuti, o di qualsiasi altro organismo che è stato creato da un accordo tra due o più paesi internazionali, o sotto un tale accordo.

 

CAPITOLO II

 

principi

Articolo 5

 

Principi per il trattamento dei dati personali

I dati personali devono essere:

a) lecitamente, equa e trasparente rispetto alla persona interessata (liceità, correttezza, trasparenza);

 

b) rilevati per finalità determinate, esplicite e legittime e successivamente trattati in modo incompatibile con tali scopi; ulteriore elaborazione per scopi di archiviazione di interesse pubblico, con lo scopo di scopi di ricerca o statistici scientifici o storici non è considerata, ai sensi dell'articolo 89, paragrafo 1, in quanto incompatibile con le finalità originali (Restriction ai fini);

 

c) adeguati, pertinenti e limitato a quanto necessario per gli scopi per cui sono trattati (minimizzazione dei dati);

 

d) esatti e, se necessario, tenuti aggiornati; devono essere prese tutte le misure ragionevoli per garantire che i dati personali inesatti, visti gli scopi per cui sono trattati, siano cancellati o rettificati immediatamente (accuratezza);

 

(1) La direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio del 9 settembre 2015 che fornisce una procedura d'informazione nel settore delle regolamentazioni tecniche e delle regole relative ai servizi della società dell'informazione (GU L 241, 2015/09/17, p. 1).

 

e) conservati in modo da consentire l'identificazione delle persone interessate per non superiore a quello necessario per gli scopi per cui sono trattati; i dati personali possono essere conservati per periodi più lunghi nella misura in cui essi saranno trattati esclusivamente per scopi di archiviazione nel pubblico interesse, al fine di scopi statistici ricerca scientifica o storica o in conformità con l'articolo 89 , paragrafo 1, a condizione che siano applicate adeguate misure tecniche e organizzative richiesto dal presente regolamento al fine di garantire i diritti e le libertà della persona interessata (restrizione conservazione);

 

f) trattati per garantire un'adeguata sicurezza dei dati personali, compresa la protezione contro trattamento non autorizzato o illegale e contro la perdita, distruzione o danni da incidenti, utilizzando le misure tecniche o appropriarsi organizzativa (integrità e la riservatezza);

 

2. Il controllore è responsabile della conformità del paragrafo 1 ed è in grado di dimostrare che quest'ultimo è rispettato (responsabilità).

 

Articolo 6

 

Legittimità del trattamento

Il trattamento è consentito soltanto se e nella misura in cui almeno una delle seguenti condizioni:

a) la persona interessata abbia acconsentito al trattamento dei suoi dati personali per uno o più scopi specifici;

 

b) il trattamento è necessario per l'esecuzione di un contratto cui l'interessato è parte o le prestazioni di prendere provvedimenti su richiesta di quest'ultimo;

 

c) è necessario per adempiere un obbligo legale al quale è soggetto il responsabile;

 

d) il trattamento sia necessario per proteggere gli interessi vitali della persona interessata o di un altro individuo;

 

e) è necessario per l'esecuzione di una missione di interesse pubblico o connesso all'esercizio di pubblici poteri attribuite al controllore;

 

f) il trattamento è necessario per le finalità degli interessi legittimi perseguiti dal responsabile del trattamento o di un terzo, a meno che non prevalgano gli interessi oi diritti e le libertà fondamentali della persona che necessita di protezione dei dati personali, tra cui quando la persona è un bambino.

 

Punto f) del primo comma non si applica al trattamento da parte delle autorità pubbliche nello svolgimento delle loro missioni.

 

Gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adattare le disposizioni del presente regolamento in materia di trattamento al fine di conformarsi al paragrafo 1, c) ed e), determinare, con maggiore precisione i requisiti specifici per il trattamento e altre misure per garantire un trattamento lecito e secondo correttezza, anche in altri trattamenti situazioni particolari, come previsto nel capitolo IX.

La base del trattamento di cui al paragrafo 1, c) ed e) è definito da: a) il diritto dell'Unione; o

b) il diritto dello Stato membro al quale è soggetto il responsabile.

 

Gli obiettivi del trattamento sono definiti nella base giuridica o, per quanto riguarda il trattamento di cui al paragrafo 1 e) sono necessari per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di autorità pubblica attribuite al controllore. Questa base giuridica può contenere disposizioni specifiche per adattare le norme del presente regolamento, tra gli altri: le condizioni generali per la legittimità di elaborazione da parte del controllore; i tipi di dati che sono oggetto di trattamento; le persone interessate; soggetti ai quali i dati personali possono essere comunicati e gli scopi per i quali essi possono essere; limitazione delle finalità; periodi di conservazione; e le operazioni e le procedure per il trattamento, tra cui misure per garantire l'elaborazione lecito e secondo correttezza, come ad esempio quelli previsti in altri trattamenti situazioni particolari, come previsto dal capitolo IX. Il diritto dell'Unione o il diritto degli Stati membri ha un obiettivo di interesse pubblico ed è proporzionata allo scopo legittimo perseguito.

 

4. Quando il trattamento per uno scopo diverso da quello per cui i dati sono stati raccolti non si basa sul consenso della persona interessata o il diritto dell'Unione o alla legislazione di uno Stato membro che è una misura necessaria e proporzionata in una società democratica per gli obiettivi di cui all'articolo 23, paragrafo 1, il controller per determinare se il trattamento per qualsiasi altro scopo è compatibile con la finalità per cui i dati personali sono stati originariamente raccolti, tiene conto, tra gli altri:

 

a) la possibile esistenza di un legame tra gli scopi per cui sono stati raccolti i dati personali e gli scopi del successivo trattamento proposto;

 

b) il contesto in cui sono stati raccolti i dati personali, in particolare per quanto riguarda il rapporto tra le persone coinvolte e il controllore;

 

c) la natura dei dati personali, soprattutto se il trattamento prevede categorie particolari di dati personali, ai sensi dell'articolo 9, o se i dati personali relativi alle condanne penali e di reati sono trattate ai sensi dell'articolo 10;

 

d) le possibili conseguenze di ulteriori trattamenti previsti per le persone interessate;

 

e) l'esistenza di garanzie adeguate, che possono comprendere la crittografia o pseudonimi.

 

Articolo 7

 

Condizioni per il consenso

Nei casi in cui il trattamento si basa sul consenso, il controller è in grado di dimostrare che la persona interessata abbia dato il proprio consenso al trattamento dei dati personali che lo riguardano.

Se il consenso della persona interessata è data nel contesto di una dichiarazione scritta che riguarda anche altri problemi, il consenso deve essere presentata in una forma che distingue chiaramente queste altre questioni in una forma comprensibile e facilmente accessibile e formulato in termini chiari e semplici. Nessuna parte di questa affermazione è una violazione del presente regolamento è obbligatorio.

L'interessato ha il diritto di revocare il consenso in qualsiasi momento. Il ritiro non influisce sulla legittimità del trattamento basata sul consenso fatta prima del ritiro. La persona interessata deve essere informata prima di dare il consenso. E 'semplice come la rimozione di consenso.

Per determinare se il consenso è espresso liberamente, è necessario tenere in massima considerazione della questione, tra l'altro, se l'esecuzione di un contratto, compresa la fornitura di un servizio, è soggetto consenso al trattamento dei dati personali non è necessario per l'esecuzione del contratto.

Articolo 8

Condizioni applicabili al consenso dei bambini in relazione ai servizi della società dell'informazione

 

Caso di applicazione dell'articolo 6, paragrafo 1 a), si applica per quanto riguarda il servizio diretto della società dell'informazione per i bambini, il trattamento dei dati personali relativi ai minori è lecito quando il bambino è di almeno 16 anni. Quando il bambino è sotto i 16 anni, questo trattamento è consentito solo se e nella misura in cui il consenso è dato o autorizzato dal titolare della responsabilità genitoriale per il bambino.

Gli Stati membri possono prevedere nella legislazione nazionale un'età inferiore a questi fini, a condizione che in precedenza l'età non è al di sotto di 13 anni.

 

Il regolatore deve compiere sforzi ragionevoli per verificare, in questi casi, il consenso è dato o autorizzato dal titolare della responsabilità genitoriale per il bambino, visti i mezzi tecnologici a disposizione.

Il paragrafo 1 non pregiudica il diritto contrattuale generale degli Stati membri, comprese le norme sulla formazione, validità o efficacia di un contratto nei confronti di un bambino.

Articolo 9

 

Trattamento di categorie particolari di dati personali

Il trattamento di dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, religiose o filosofiche o l'appartenenza sindacale e il trattamento dei dati genetici, dati biometrici al fine di identificare un individuo in modo univoco, i dati relativi alla salute e dati riguardanti la vita sessuale o l'orientamento sessuale di un individuo sono vietati.

Il paragrafo 1 non si applica se una delle seguenti condizioni:

a) la persona interessata abbia dato consenso esplicito al trattamento di tali dati personali per uno o più specifici scopi, a meno che il diritto dell'Unione o alla legislazione dello Stato membro preveda che il divieto di cui al paragrafo 1 non può essere sollevato da parte dell'interessato;

 

b) il trattamento è necessario per l'esecuzione di obblighi ed esercitare i propri diritti ai dati o dei dati in materia di diritto del lavoro, la sicurezza sociale e la protezione sociale in dal momento che questo trattamento è consentito dal diritto dell'Unione, dal diritto di uno Stato membro o da un contratto collettivo in base alla legge di uno Stato membro che fornisce garanzie adeguate per i diritti e gli interessi dei fondamentali la persona in questione;

 

c) il trattamento sia necessario per proteggere gli interessi vitali della persona interessata o di un'altra persona, se la persona è in grado nell'incapacità fisica o giuridica di dare il consenso;

 

d) il trattamento è effettuato nel quadro delle sue legittime attività e con adeguate garanzie da una fondazione, un'associazione o qualsiasi altra organizzazione senza scopo di lucro e rivesta carattere politico, filosofico, religioso o il commercio, a condizione che il trattamento riguarda esclusivamente ai membri o ex membri di tale organismo ovvero persone con uno contatti regolari in relazione alle proprie finalità e che i dati personali non dovrebbero essere comunicati all'esterno agenzia senza il consenso delle persone interessate ;

 

e) il trattamento riguardi dati resi manifestamente pubblici dalla persona;

 

f) è necessario per costituire, esercitare o difendere un diritto o quando i giudici che agiscono nel loro funzioni giurisdizionali;

 

g) il trattamento è necessario per motivi di interesse pubblico, sulla base del diritto dell'Unione o alla legislazione di uno Stato membro che deve essere proporzionato all'obiettivo perseguito, a rispettare l'essenza del diritto di la protezione dei dati e di fornire adeguate e specifiche misure volte a garantire i diritti fondamentali e gli interessi della persona interessata;

 

h) è necessario per la medicina preventiva o medicina del lavoro, l'apprezzamento della capacità del lavoratore per il lavoro, diagnostica medica, la decisione nei sistemi di gestione della salute e assistenza sociale, o servizi e l'assistenza sanitaria e la protezione sociale sulla base del diritto comunitario, la legge di uno Stato membro o nell'ambito di un contratto con un operatore sanitario e fatte salve le condizioni e le garanzie di cui al paragrafo 3;

 

i) il trattamento è necessario per ragioni di pubblico interesse nel settore della sanità pubblica, come ad esempio la protezione contro gravi minacce transfrontaliere per la salute, o al fine di garantire elevati standard di qualità e sicurezza delle cure dispositivi di salute e medicina o medici, in base alla legge dello Stato o membro dell'Unione legge che prevede misure adeguate e specifiche per tutelare i diritti e le libertà della persona interessata, compresa la riservatezza ;

 

j) il trattamento è necessario per scopi di archiviazione di interesse pubblico, con lo scopo di scopi di ricerca o statistici scientifici o storici, ai sensi dell'articolo 89, paragrafo 1, sulla base del diritto comunitario o la legge di uno Stato membro deve essere proporzionata all'obiettivo perseguito, a rispettare l'essenza del diritto alla protezione dei dati e prevedere misure adeguate e specifiche per tutelare i diritti fondamentali e gli interessi della persona interessata.

 

Il personale di cui al paragrafo 1 i dati possono essere trattati ai sensi del comma 2, lettera h), se tali dati sono trattati da un soggetto professionista della sanità per all'obbligo del segreto professionale ai sensi della legge dell'Unione, il diritto di uno Stato membro o le regole adottate dagli organismi nazionali competenti, o il controllo, o da un'altra persona anche soggetti a un obbligo di riservatezza ai sensi della legge dell'Unione o di destra uno Stato membro o le regole adottate dagli organismi nazionali competenti.

Gli Stati membri possono mantenere o introdurre condizioni aggiuntive, comprese le limitazioni per quanto riguarda il trattamento dei dati genetici, dati biometrici o dati sanitari.

Articolo 10

 

Trattamento dei dati personali relativi a condanne penali e reati

Il trattamento dei dati personali relativi a condanne e reati penali o misure di sicurezza connesse in base all'articolo 6, paragrafo 1, può essere effettuata solo sotto il controllo dell'autorità pubblica, o se è consentito un trattamento dal diritto dell'Unione o della legge di uno Stato membro che fornisce garanzie adeguate per i diritti e le libertà delle persone. Ogni registro completo delle condanne penali può essere tenuto solo sotto il controllo dell'autorità pubblica.

 

Articolo 11

 

Trattamento non richiede identificazione

Se gli scopi per cui i dati personali sono trattati imporre o meno imporre maggiore al controllore per identificare una persona interessata, non è necessario mantenere, ottenere o processo ulteriori informazioni per identificare la persona per il solo scopo di rispetto del presente regolamento.

Quando, nei casi di cui al paragrafo 1 del presente articolo, il controller è in grado di dimostrare che non è in grado di identificare l'interessato, ne informa l'interessato, se possibile. In questi casi, non si applicano gli articoli da 15 a 20, a meno che la persona fornisce, al fine di esercitare i diritti di cui questi elementi, informazioni aggiuntive che possono identificarlo.

CAPO III

 

Diritti dell'interessato

 

sezione 1

 

Trasparenza e condizioni

Articolo 12

La trasparenza delle procedure di informazione e di comunicazione per l'esercizio dei diritti della persona

 

Il regolatore adotta le misure appropriate per fornire informazioni ai sensi degli articoli 13 e 14 e per elaborare eventuali comunicazioni di cui agli articoli da 15 a 22 e l'articolo 34 per quanto riguarda il trattamento ai dati di una concisa, trasparente, completa e facilmente accessibile in termini chiari e semplici, in particolare per le informazioni specificamente per un bambino. Le informazioni sono fornite per iscritto o con altri mezzi includendo, se del caso, per via elettronica. Quando la persona interessata ne fa richiesta, le informazioni possono essere fornite oralmente, a condizione che l'identità della persona in questione è dimostrato da altri mezzi.

Il controller facilita l'esercizio dei diritti concessi alla persona interessata ai sensi dell'articolo 15

alle 22. Nei casi di cui all'articolo 11, paragrafo 2, il controller non rifiuta di rispondere alla richiesta della persona interessata di esercitare i diritti di cui le sezioni da 15 a 22, a meno che il controllore dimostra che egli non è in grado di identificare la persona in questione.

 

Il controller fornisce i dati oggetto di informazioni sulle misure adottate in risposta ad una richiesta ai sensi degli articoli da 15 a 22, nel più breve tempo possibile e in ogni caso entro un periodo di un mese dal ricevimento della richiesta. Se necessario, questo periodo può essere esteso di due mesi, data la complessità e il numero di applicazioni. Il controller informa la persona interessata dei motivi di estensione e di rinvio entro un mese dalla ricezione della richiesta. Quando la persona interessata ha la sua applicazione in forma elettronica, le informazioni vengono fornite elettronicamente, quando possibile, a meno che la persona interessata richieste altrimenti.

Se il controller non risponde alla richiesta fatta dalla persona interessata, informa senza indugio e al più tardi entro un mese dalla ricezione della richiesta i motivi della sua inazione la possibilità di presentare una denuncia con una vigilanza procedimenti di autorità e di corte.

Nessun pagamento è tenuto a fornire informazioni ai sensi degli articoli 13 e 14 e per effettuare tutte le comunicazioni e prendere le misure ai sensi degli articoli da 15 a 22 e l'articolo 34. Quando le esigenze di un soggetto di dati sono manifestamente infondata o eccessiva, in particolare a causa del loro carattere ripetitivo, il controllore può:

a) richiedere il pagamento di una quota ragionevole che riflettono i costi amministrativi di fornire le informazioni, effettuare le dichiarazioni o prendere l'azione richiesta; o

 

b) si rifiutano di conformarsi a tali richieste.

 

Spetta al controllore di dimostrare chiaramente la natura infondata o eccessiva richiesta.

 

Fatto salvo l'articolo 11, quando il controller siano fondati dubbi circa l'identità del fare individuo la richiesta di cui agli articoli da 15 a 21, si può chiedere che gli siano fornite informazioni aggiuntive necessarie per confermare l'identità della persona interessata.

Le informazioni da comunicare agli interessati ai sensi degli articoli 13 e 14 può essere fornita insieme con icone standardizzati per fornire una panoramica buona, facilmente visibile, comprensibile e chiaramente leggibile, il trattamento previsto. Quando le icone sono presentate per via elettronica, essi sono a lettura ottica.

La Commissione ha il potere di adottare atti delegati a norma dell'articolo 92, al fine di determinare le informazioni sotto forma di icone e le procedure che disciplinano la fornitura di icone standardizzati.

sezione 2

 

Informazioni e l'accesso ai dati personali

Articolo 13

Informativa quando i dati personali sono raccolti direttamente presso l'individuo

 

1. I dati Dove personali relativi a un soggetto di dati raccolti da questa persona, il controllore fornisce, quando i dati in questione sono le seguenti informazioni ottenute,:

 

a) l'identità e le coordinate del titolare e, se del caso, il rappresentante del controllore

 

b) se del caso, il delegato di coordinate protezione dei dati;

 

c) le finalità del trattamento, che sono per i dati personali e la base giuridica per la trasformazione;

 

d) in cui il trattamento si basa sull'articolo 6, paragrafo 1, punto f) gli interessi legittimi perseguiti dal responsabile del trattamento o da parte di terzi;

 

e) dei soggetti o delle categorie di destinatari dei dati personali, se del caso; e

 

f) se del caso, il fatto che il titolare del trattamento si propone di effettuare un trasferimento di dati personali verso un paese terzo o di un'organizzazione internazionale, e l'esistenza o l'assenza di una decisione adeguatezza fatta dalla Commissione o, nel caso dei trasferimenti di cui all'articolo 46 o 47, o dell'articolo 49, paragrafo 1, secondo paragrafo, il riferimento al appropriata o garanzie adeguate e come ottenere uno copiare o dove sono stati messi a disposizione;

 

2. Oltre alle informazioni di cui al paragrafo 1, il controllore fornisce l'interessato, al momento i dati personali sono ottenuti, le seguenti informazioni aggiuntive è necessario garantire un trattamento equo e trasparente:

 

a) il periodo di conservazione dei dati personali o, se ciò non è possibile, i criteri utilizzati per determinare questo tempo;

 

b) l'esistenza del diritto di chiedere l'accesso ai dati personali controllore, rettifica o cancellazione di questi, o una limitazione del trattamento sulla persona, o il diritto di s' opporsi al trattamento e il diritto di portabilità dei dati;

 

c) l'elaborazione si basa sull'articolo 6, paragrafo 1 a), o dell'articolo 9, paragrafo 2 bis), l'esistenza del diritto di revocare il consenso in qualsiasi momento, fatto salvo la legittimità di elaborazione basata sul consenso fatta prima del ritiro di quest'ultima;

 

d) il diritto di presentare una denuncia presso l'autorità di vigilanza;

 

e) informazioni sul fatto che l'obbligo di conferimento dei dati personali è un regolamentare o contrattuale o condizioni la conclusione di un contratto e se l'interessato è tenuto a fornire i dati personali nonché le possibili conseguenze di non fornire tali dati;

 

f) l'esistenza di un processo decisionale automatizzato, compreso un profilo, di cui all'articolo 22, paragrafi 1 e 4, e, almeno in questi casi, le informazioni utili per quanto riguarda la logica sottostante e l'importanza e le conseguenze che ci si attende di questo trattamento per la persona interessata.

 

Quando si intende condurre ulteriore elaborazione dei dati personali per uno scopo diverso da quello per cui sono stati raccolti i dati personali, il controller fornisce il presupposto per la persona interessata informazioni su un altro scopo di questa e di altre informazioni pertinenti di cui al paragrafo 2.

I paragrafi 1, 2 e 3 non si applicano se e nella misura in cui l'interessato ha già tali informazioni.

Articolo 14

 

Informativa quando i dati personali non sono stati raccolti presso l'interessato

1. Qualora i dati personali non sono stati raccolti presso l'interessato, il controller fornisce ad esso le seguenti informazioni:

 

a) l'identità e le coordinate del controllore e, se del caso, il rappresentante del controllore;

 

b) se del caso, il delegato di coordinate protezione dei dati;

 

c) le finalità del trattamento, che sono per i dati personali e la base giuridica per la trasformazione;

 

d) le categorie di dati personali;

 

e) se del caso, i destinatari o le categorie di destinatari dei dati personali;

 

f) se del caso, il fatto che il titolare del trattamento si propone di effettuare un trasferimento di dati personali ad un destinatario in un paese terzo o di un'organizzazione internazionale, e l'esistenza o l'assenza di un decisione di adeguatezza effettuata dalla commissione o, nel caso dei trasferimenti di cui all'articolo 46 o 47, o dell'articolo 49, paragrafo 1, secondo paragrafo, il riferimento alla appropriato o adeguate garanzie e modi per una copia o dove sono stati messi a disposizione;

 

2. Oltre alle informazioni di cui al paragrafo 1, il controllore fornisce l'oggetto dati con le seguenti informazioni necessarie per garantire un trattamento equo e trasparente per quanto riguarda la persona interessata:

 

a) il periodo per il quale i dati personali saranno tenuti o, se ciò non è possibile, i criteri utilizzati per determinare questo tempo;

 

b) quando il trattamento si basa sull'articolo 6, paragrafo 1, punto f) gli interessi legittimi perseguiti dal responsabile del trattamento o da parte di terzi;

 

c) l'esistenza del diritto di richiedere l'accesso ai dati personali controllore, rettifica o cancellazione di questi, o una limitazione del trattamento sulla persona, e il diritto di s 'opposizione al trattamento e il diritto alla portabilità dei dati;

 

d) in cui il trattamento si basa sull'articolo 6, paragrafo 1 a), o dell'articolo 9, paragrafo 2 bis), l'esistenza del diritto di revocare il consenso in qualsiasi momento, fatto salvo la legittimità di elaborazione basata sul consenso fatta prima del ritiro di quest'ultima;

 

e) il diritto di presentare una denuncia presso l'autorità di vigilanza;

 

f) la fonte da cui i dati personali venire e, se del caso, l'indicazione che stanno venendo o meno fonti accessibili al pubblico;

 

g) l'esistenza di un processo decisionale automatizzato, compreso un profilo, di cui all'articolo 22, paragrafi 1 e 4, e, almeno in questi casi, le informazioni utili per quanto riguarda la logica sottostante e l'importanza e le conseguenze che ci si attende di questo trattamento per la persona interessata.

 

Il controllore fornisce le informazioni di cui ai paragrafi 1 e 2:

a) entro un tempo ragionevole dopo aver ricevuto i dati personali, ma non superiore a un mese, date le particolari circostanze in cui i dati personali vengono trattati;

 

b) i dati personali da utilizzare per la comunicazione con l'interessato, al più tardi al momento della prima chiamata a quella persona; o

 

c) si intende comunicare le informazioni ad un'altra persona, al più tardi quando i dati personali sono descritti per la prima volta.

 

Quando si intende condurre ulteriore elaborazione dei dati personali per uno scopo diverso da quello per cui è stato ottenuto dati personali, il controller fornisce il presupposto per l'informazione interessato circa un altro scopo di questa e di altre informazioni pertinenti di cui al paragrafo 2.

I paragrafi da 1 a 4 non si applicano se e nella misura in cui:

a) la persona interessata ha già tali informazioni;

 

b) la fornitura di tali informazioni si rivela impossibile o comporta uno sforzo sproporzionato, in particolare per il trattamento a scopo di archiviazione nel pubblico interesse, al fine di fini statistici ricerca o di argomento scientifico o storico delle condizioni e delle garanzie di cui all'articolo 89, paragrafo 1, o nella misura in cui l'obbligo di cui al paragrafo 1 del presente articolo rischia di rendere impossibile o gravemente compromettere gli obiettivi del trattamento. In questi casi, il regolatore adotta le misure adeguate per proteggere i diritti e le libertà e gli interessi legittimi delle persone interessate, tra cui la diffusione delle informazioni al pubblico;

 

c) ottenere o la comunicazione di informazioni sono espressamente previsto dal diritto dell'Unione o alla legislazione dello Stato membro al quale è soggetto il responsabile per e prevede misure appropriate per proteggere interessi legittimi della persona questione; o

 

d) i dati personali devono rimanere riservati sotto un obbligo di riservatezza regolati dal diritto comunitario o dal diritto degli Stati membri, tra cui l'obbligo legale del segreto professionale.

 

Articolo 15

 

Diritto di accesso della persona interessata

1. L'interessato ha diritto di ottenere dal titolare la conferma dell'esistenza è o dati personali che lo riguardano sono trattati e, quando sono, l'accesso a tali dati personali e seguenti informazioni:

 

a) le finalità del trattamento;

 

b) le categorie di dati personali;

 

c) dei soggetti o delle categorie di soggetti ai quali sono state saranno forniti i dati personali o, in particolare, i destinatari che sono stabilite in paesi terzi o organizzazioni internazionali;

 

d) ove possibile, i dati shelf life considerati di carattere personale o, ove ciò non sia possibile, i criteri utilizzati per determinare questa volta;

 

e) l'esistenza del diritto di chiedere la rettifica controller o la cancellazione dei dati personali, o limitazione del trattamento dei dati personali relativi alla persona interessata, o il diritto di opporsi alla trattamento;

 

f) il diritto di presentare una denuncia presso l'autorità di vigilanza;

 

g) se i dati personali non sono raccolti presso l'interessato, tutte le informazioni disponibili sulla loro origine;

 

h) l'esistenza di un processo decisionale automatizzato, compreso un profilo, di cui all'articolo 22, paragrafi 1 e 4, e, almeno in questi casi, le informazioni utili per quanto riguarda la logica sottostante e l'importanza e le conseguenze che ci si attende di questo trattamento per la persona interessata.

 

Qualora i dati personali sono trasferiti verso un paese terzo o di un'organizzazione internazionale, la persona ha il diritto di essere informato su adeguate garanzie, ai sensi dell'articolo 46 per quanto riguarda il trasferimento.

Il controller fornisce una copia dei dati personali oggetto di trattamento. L'unità di controllo può richiedere il pagamento di una quota ragionevole sulla base dei costi amministrativi per le eventuali copie supplementari richieste dalla persona interessata. Quando la persona presenta una domanda per via elettronica, le informazioni sono fornite in formato elettronico di uso comune, a meno che l'interessato richieste altrimenti.

Il diritto di ottenere una copia di cui al paragrafo 3 non pregiudica i diritti e le libertà altrui.

sezione 3

 

icazione RECTIF e cancellazione

Articolo 16

 

Diritto di rettifica

L'interessato ha diritto di ottenere dal responsabile senza ritardo, la rettifica dei dati personali che è imprecisa. Date le finalità del trattamento, l'interessato ha il diritto di avere dati incompleti personali sono stati completati, compresa la fornitura di una dichiarazione aggiuntiva.

 

Articolo 17

 

Diritto di cancellazione ( "diritto all'oblio")

1. L'interessato ha diritto di ottenere dal responsabile la cancellazione senza indugio, di dati personali che lo riguardano e il controllore è tenuto a cancellare tali dati personali presto, quando uno dei motivi seguenti condizioni:

 

a) i dati personali non sono più necessari per lo scopo per il quale sono stati raccolti o trattati in altro modo;

 

b) la persona arretra consenso su cui si basa il trattamento, ai sensi dell'articolo 6, paragrafo 1 a) o dell'articolo 9, paragrafo 2 a), e non esiste altra base giuridica per il trattamento;

 

c) l'interessato si oppone al trattamento ai sensi dell'articolo 21, paragrafo 1, e non v'è alcuna ragione legittima per il trattamento, o l'interessato si oppone al trattamento, ai sensi dell'art 21, comma 2;

 

d) i dati personali sono stati trattati in violazione di legge;

 

e) i dati personali devono essere cancellati a rispettare un obbligo di legge, che è fornito da diritto dell'Unione o alla legislazione dello Stato membro al quale è soggetto il responsabile;

 

f) i dati personali sono stati raccolti come parte della offerta di servizi della società dell'informazione di cui all'articolo 8, paragrafo 1.

 

Quando viene rilasciato i dati personali ed è necessario per la cancellazione ai sensi del paragrafo 1, il controller, data la tecnologia disponibile e il costo di realizzazione, prende misure ragionevoli, tra cui tecnici, controllori di informare che elaborano i dati personali che i dati richiesti da cancellando i responsabili del trattamento di link a tali dati personali, o di qualsiasi copia o riproduzione loro.

I paragrafi 1 e 2 non si applicano nella misura in cui ciò sia necessario:

a) l'esercizio del diritto alla libertà di espressione e di informazione;

 

b) a rispettare un obbligo di legge che richiede un trattamento ai sensi della legge dell'Unione o dalla legislazione dello Stato membro al quale è soggetto il responsabile, o di compiere una missione di interesse pubblico o in esercizio di pubblici poteri attribuite al controllore;

 

c) per motivi di pubblico interesse nel settore della sanità pubblica, ai sensi dell'articolo 9, comma 2, h) ed i), e dell'articolo 9, paragrafo 3;

 

d) per scopi di archiviazione di interesse pubblico, al fine di scopi di ricerca o statistici scientifici o storici, a norma dell'articolo 89, paragrafo 1, nella misura in cui il diritto di cui al paragrafo 1, rischia di rendere impossibile o seriamente pregiudicare gli obiettivi del trattamento; o

 

e) per costituire, esercitare o difendere un diritto legale.

 

Articolo 18

 

Diritto a una limitazione del trattamento

1. L'interessato ha diritto di ottenere dalla trasformazione limitazione controllore quando una delle seguenti condizioni:

 

a) l'esattezza dei dati personali è contestata dalla persona, per un tempo tale da consentire al controllore di verificare l'esattezza dei dati al personale di caratteri;

 

b) il trattamento è illecito e l'interessato si oppone alla loro cancellazione e ne domanda invece limitando il loro utilizzo;

 

c) il controllore non ha più bisogno dei dati personali per l'elaborazione ma sono ancora necessari per la persona per la costituzione, esercitare o difendere dei diritti legali;

 

d) la persona contestato il trattamento ai sensi dell'articolo 21, paragrafo 1, durante la verifica della questione se i motivi legittimi perseguiti dal responsabile del prevalga su quella della persona interessata.

 

Quando il trattamento è stato limitato ai sensi del paragrafo 1, tali dati personali non possono, tranne che per la conservazione, essere trattati con il consenso della persona interessata, o per la costituzione, l'esercizio fisico o diritti di difesa legale o per proteggere i diritti di un'altra persona o entità, o per importanti motivi di interesse pubblico dell'Unione o di uno Stato membro.

Una persona interessata che ha ottenuto la limitazione del trattamento ai sensi del paragrafo 1 deve essere informato dal controllore prima dell'applicazione del limite del trattamento è sollevato.

Articolo 19

Obbligo di notifica per quanto riguarda la rettifica o la cancellazione dei dati personali o la limitazione della trasformazione

 

Le notifichi controllore ciascun destinatario a cui i dati personali sono stati comunicati qualsiasi rettifica o cancellazione dei dati personali o limitazioni del trattamento eseguite in conformità dell'articolo 16, l'articolo 17, paragrafo 1, e all'articolo 18, se non si dimostra impossibile o comporta uno sforzo sproporzionato. Il controller fornisce le informazioni persona su questi destinatari, se lo richiede.

 

Articolo 20

 

Diritto di portabilità dei dati

1. L'interessato ha il diritto di ricevere il personale che i dati sono stati forniti al controllore, in un formato strutturato, comunemente usato a lettura ottica, e hanno il diritto di trasmettere i dati ad un un altro controller senza controller a cui i dati personali sono stati comunicati sono un ostacolo quando:

 

a) il trattamento si basa sul consenso ai sensi dell'articolo 6, paragrafo 1 a), o dell'articolo 9, paragrafo 2 bis), o su un contratto ai sensi dell'articolo 6 paragrafo 1 b); e

 

b) il trattamento viene eseguito utilizzando processi automatizzati.

 

Quando la persona interessata eserciti il ​​diritto alla portabilità di applicazione dei dati di cui al paragrafo 1, ha il diritto di ottenere i dati personali vengono trasmessi direttamente da un controller a un altro, ove tecnicamente possibile.

L'esercizio del diritto di cui al paragrafo 1 del presente articolo non pregiudica l'articolo 17. Questa legge non si applica al necessario trattamento per le prestazioni di una missione di interesse pubblico o di 'esercizio dei pubblici poteri attribuite al controllore.

Il diritto di cui al paragrafo 1 non pregiudica i diritti e le libertà altrui.

sezione 4

 

Diritto di opposizione e di decisione individuale automatizzata

Articolo 21

 

Diritto di opposizione

L'interessato ha diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento di dati personali che lo riguardano sulla base dell'articolo 6, paragrafo 1, lettera e) of) tra cui profilazione sulla base di queste disposizioni. Il controller non elabora i dati personali, a meno che non dimostra che ci sono motivi legittimi e imperativi per il trattamento che prevalgono sugli interessi ed i diritti e le libertà della persona interessata o per la costituire, esercitare o difendere un diritto legale.

Quando i dati personali sono trattati per scopi di marketing, l'interessato ha diritto di opporsi in qualsiasi momento al trattamento dei dati personali relativi a tali scopi prospezione, tra profilatura misura dove è collegato a tale esplorazione.

Quando la persona interessata si oppone alla trasformazione per scopi di marketing, i dati personali non sono trattati a tali fini.

Al più tardi al momento della prima comunicazione con la persona, il diritto di cui ai paragrafi 1 e 2 è esplicitamente portato a conoscenza della persona in questione e si presenta in modo chiaro e separatamente dalle altre informazioni.

Come parte l'uso dei servizi della società dell'informazione, e nonostante la direttiva 2002/58 / CE, l'interessato può esercitare il suo diritto di opporsi con processi automatizzati utilizzando le specifiche tecniche.

Quando i dati personali sono trattati per scopi di ricerca o statistici scientifici o storici, a norma dell'articolo 89, paragrafo 1, l'interessato ha diritto di opporsi, per motivi della sua situazione particolare il trattamento dei dati personali che lo riguardano, a meno che non è necessario per l'esecuzione di una missione di interesse pubblico del trattamento.

Articolo 22

 

automatizzato decisione individuale, tra cui profilazione

L'interessato ha il diritto di non essere oggetto di una decisione basata esclusivamente su un trattamento automatizzato, tra cui profilazione, che produce effetti giuridici che lo riguardano o significativamente colpisce in modo simile.

Il paragrafo 1 non si applica qualora la decisione:

a) è necessario per la conclusione o l'esecuzione di un contratto tra la persona e il controllore;

 

b) è autorizzato dal diritto dell'Unione o alla legislazione dello Stato membro al quale è soggetto il responsabile e che prevede anche misure adeguate per salvaguardare i diritti e le libertà e gli interessi legittimi delle persone interessate; o

 

c) sulla base di esplicito consenso della persona interessata.

 

Nei casi di cui al paragrafo 2, lettere a) ec), il controller membri attuano misure idonee a salvaguardare i diritti e le libertà e gli interessi legittimi della persona interessata, almeno il diritto della persona ottenere l'intervento umano da parte del regolatore, per esprimere le sue opinioni e per contestare la decisione.

Le decisioni di cui al paragrafo 2 può essere basata su specifiche categorie di dati personali di cui all'articolo 9, paragrafo 1, a meno che l'articolo 9, paragrafo 2 a) o g), non s' applica e che le misure appropriate per salvaguardare i diritti e le libertà e gli interessi legittimi della persona interessata sono a posto.

sezione 5

 

limitazioni

Articolo 23

 

limitazioni

1. diritto dell'Unione o alla legislazione dello Stato membro in cui il controllore o il subfornitore è soggetto può, attraverso misure legislative, limitando la portata degli obblighi e dei diritti previsti dagli articoli da 12 a 22 e l'articolo 34, e l'articolo 5 nella misura in cui le disposizioni di legge in questione corrispondono ai diritti e agli obblighi di cui agli articoli da 12 a 22, qualora tale restrizione rispetta l'essenza della libertà e diritti fondamentali e costituisce un necessario e proporzionato in una società democratica per a) la sicurezza nazionale;

 

b) la difesa nazionale;

 

c) la sicurezza pubblica;

 

d) prevenzione e individuazione dei reati e all'accertamento e al perseguimento della materia o l'esecuzione di sanzioni penali, compresa la protezione contro le minacce alla sicurezza pubblica e la prevenzione di tali minacce;

 

e) altri importanti obiettivi dell'Unione di interesse pubblico generale o di uno Stato membro, in particolare, un importante interessi economici o finanziari dell'Unione o di uno Stato membro, incluso monetaria, di bilancio e tassare, la salute pubblica e la sicurezza sociale;

 

f) tutela l'indipendenza del potere giudiziario e dei procedimenti giudiziari;

 

g) prevenire e individuare violazioni della professione etica regolamentate, nonché all'accertamento e al perseguimento del soggetto;

 

h) una missione legata ispezioni di controllo o regolamentazione, sia pure occasionalmente, all'esercizio dei pubblici poteri nei casi di cui alle lettere a) ad e) eg);

 

i) la protezione della persona interessata o dei diritti e delle libertà altrui;

 

j) l'esecuzione delle richieste di diritto civile.

 

2. In particolare, qualsiasi provvedimento legislativo di cui al paragrafo 1 contiene disposizioni specifiche, almeno, se applicabile:

 

a) le finalità del trattamento o il trattamento di categorie;

 

b) le categorie di dati personali;

 

c) l'entità delle limitazioni introdotte;

 

d) garanzie per prevenire abusi o l'accesso o il trasferimento illegale;

 

e) la determinazione dei dati o delle categorie di titolari del trattamento;

 

f) periodi di conservazione e garanzie applicabili, tenendo conto della natura, portata e scopo del trattamento o di trattamento categorie;

 

g) il rischio per i diritti e le libertà delle persone; e

 

h) il diritto delle persone interessate di essere informato della restrizione, a meno che interferirebbe con lo scopo di limitazione.

 

CAPO IV

 

Il controllore e subappaltatore

 

sezione 1

 

obblighi generali

Articolo 24

 

Responsabilità del controllore

Data la natura, la portata, il contesto e finalità del trattamento e del rischio, ivi compresa la probabilità e gravità varia, per i diritti e le libertà delle persone fisiche, il controllore attua misure appropriarsi tecnica e organizzativa al fine di garantire ed essere in grado di dimostrare che il trattamento viene eseguito in conformità del presente regolamento. Queste misure sono rivisti e aggiornati, se necessario.

Dove proporzionati in relazione alle attività di trattamento, le misure di cui al paragrafo 1 includono l'attuazione di politiche adeguate per la protezione dei dati dal controller.

L'applicazione di un codice di condotta approvato come previsto all'articolo 40 o approvato gli schemi di certificazione di cui all'articolo 42, può servire come un elemento per dimostrare il rispetto degli obblighi del controllore.

Articolo 25

 

La protezione dei dati per la progettazione e la protezione dei dati di default

Dato lo stato delle conoscenze, costo di realizzazione e natura, portata, contesto e finalità del trattamento e rischi, comprese le probabilità e la gravità varia, tale trattamento per i diritti e le libertà delle persone fisiche, gli attrezzi controllore sia al momento della determinazione dei mezzi di trattamento al momento del trattamento stesso, misure tecniche e organizzative adeguate, come pseudonimi, che sono destinati ad attuare i principi di protezione dei dati, come la minimizzazione dei dati, in modo efficace e per abbinare il trattamento delle garanzie necessarie per soddisfare i requisiti del presente regolamento e per proteggere i diritti della persona .

Gli strumenti di controllo appropriata misure tecniche e organizzative per garantire che, per default, solo i dati personali che sono necessari in ogni specifica finalità del trattamento vengono elaborati. Questo vale per la quantità di dati personali raccolti, nella misura del loro trattamento, il periodo di conservazione e accessibilità. In particolare, tali misure garantiscono che, per default, i dati personali non sono accessibili ad un numero indefinito di individui senza l'intervento della persona interessata.

Un programma di certificazione approvato ai sensi dell'articolo 42 può servire come un elemento per dimostrare il rispetto dei requisiti di cui ai paragrafi 1 e 2 del presente articolo.

Articolo 26

 

corresponsabili

Quando due o più controllori determinano congiuntamente le finalità ei mezzi di lavorazione, sono responsabili trattamento congiunto. I funzionari trattamento congiunto in modo trasparente definiscono le rispettive responsabilità, al fine di garantire il rispetto delle prescrizioni del presente regolamento, in particolare per quanto riguarda i diritti della persona, e dei loro rispettivi obblighi per quanto riguarda la comunicazione di informazioni ai sensi degli articoli 13 e 14, previo accordo tra di loro, a meno che e nella misura in cui i loro compiti sono definiti dal diritto dell'Unione o dal diritto dello Stato membro in cui i controllori sono sottoposti. Un punto di contatto per le persone interessate può essere designato nell'accordo.

L'accordo di cui al paragrafo 1, riflette correttamente il ruolo di manager trattamento congiunto e le loro relazioni nei confronti delle persone interessate. Lo schema del contratto sono a disposizione per la persona interessata.

A prescindere dai termini del contratto di cui al paragrafo 1, l'interessato può esercitare i diritti di cui al presente regolamento per e contro ciascuno dei controllori.

Articolo 27

 

I rappresentanti di controllori o subappaltatori che non sono stabiliti nell'Unione

Caso di applicazione dell'articolo 3, paragrafo 2, si applica, il controllore o il processore devono designare per iscritto un rappresentante in seno all'Unione.

L'obbligo di cui al paragrafo 1 del presente articolo non si applicano:

a) un trattamento che è casuale, che non comporta un grande trattamento di categorie particolari di dati di cui all'articolo 9, paragrafo 1, o di un trattamento dei dati personali relativi a condanne penali e di reati di cui all'articolo 10, e che non è probabile che a causare un rischio per i diritti e le libertà delle persone fisiche, tenendo conto della natura, il contesto, la portata e finalità del trattamento; o

 

b) un ente pubblico o di un ente pubblico;

 

Il rappresentante è stabilito in uno Stato membro in cui ci sono persone i cui dati personali sono soggetti ad un trattamento relativo alla fornitura di beni o servizi, o il cui comportamento è oggetto di monitorati.

Il rappresentante è nominato dal controllore o il processore di essere la persona a cui, in particolare le autorità, supervisione e le persone interessate devono essere affrontati, in aggiunta o al posto del controllore o sub partecipare a tutte le questioni relative al trattamento, al fine di garantire il rispetto del presente regolamento.

La designazione di un rappresentante dal controller o sub-appaltatore non pregiudica le azioni legali che potrebbero essere promosse contro il controllore o il processore stesso.

Articolo 28

 

subappaltatore

Quando il trattamento deve essere effettuato per conto del controller, utilizza solo i subappaltatori che hanno garanzie sufficienti per attuare adeguate misure tecniche e organizzative in modo che trattamento soddisfa i requisiti del presente regolamento e garantire la tutela dei diritti della persona interessata.

Il subappaltatore non recluta altro subappaltatore senza previo consenso scritto, specifica o generale, del controller. Nel caso di un consenso scritto generale, notificare al subappaltatore responsabile del trattamento eventuali modifiche previste riguardano l'aggiunta o la sostituzione di altri subappaltatori, dando il controllore la possibilità di opporsi contro questi cambiamenti.

Il trattamento con un subfornitore è regolato da un contratto o altro atto giuridico ai sensi del diritto dell'Unione o alla legislazione di uno Stato membro, che lega il contraente in relazione alle definisce regolatore lo scopo e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di persone interessate e gli obblighi ei diritti del controller. Questo contratto o altro atto giuridico prevede tra l'altro che il subappaltatore:

a) elabora solo i dati personali su istruzione documentato dal controller, anche per quanto riguarda i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, a meno che non è tenuto a 'y procedere secondo la legislazione dello Stato membro o del diritto dell'Unione, che il subfornitore è soggetto; in questo caso, ha informato il subappaltatore responsabile del trattamento questo requisito legale prima del trattamento, a meno che la legge in questione vieta tali informazioni per importanti motivi di interesse pubblico;

 

b) garantire che le persone autorizzate a trattare i dati personali si impegnano a rispettare la riservatezza o sottoposti a adeguati obbligo legale di riservatezza;

 

c) prendere tutte le misure necessarie ai sensi dell'articolo 32;

 

d) soddisfa le condizioni di cui ai punti 2 e 4 di assumere un altro subappaltatore;

 

e) tener conto della natura del trattamento, utilizzando il controller, attraverso misure tecniche ed organizzative, per quanto possibile, di adempiere al proprio obbligo di rispettare le richieste, compresi quelli coinvolti nella cattura di esercitare i propri diritti ai sensi del capitolo III;

 

f) utilizzare il controller per garantire il rispetto degli obblighi ai sensi degli articoli da 32 a 36, ​​data la natura del trattamento e delle informazioni disponibili al contraente;

 

g) a seconda della scelta del controllore, eliminare tutti i dati personali o fare riferimento ai dati dopo la prestazione di servizi relativi al trattamento, e distruggere le copie esistenti, a meno che il diritto dell'Unione o il diritto degli Stati di Stato non richiede la conservazione dei dati a carattere personale;

 

e

 

h) fornisce il controller con tutte le informazioni necessarie per dimostrare la conformità con gli obblighi di cui alla presente sezione e per consentire verifiche, comprese le ispezioni da parte del controllore o di un altro revisore mandato, e contribuire a questi controlli.

 

Per quanto riguarda il punto h) del primo comma, il contraente informa immediatamente il controller se crede un'istruzione costituisce una violazione del presente regolamento o di altre disposizioni del diritto dell'Unione o la legge di gli Stati membri in materia di protezione dei dati.

 

Quando un subappaltatore assume un altro subappaltatore per svolgere attività di trattamento specifici per conto del controller, gli stessi obblighi in materia di protezione dei dati come quelle previste nel contratto o altro atto giuridico tra la testa il trattamento e il contraente in conformità del paragrafo 3, sono immessi sul dall'altro subappaltatore per contratto o attraverso un altro atto giuridico ai sensi del diritto dell'Unione o del diritto di uno Stato membro, in particolare per quanto riguarda le garanzie sufficienti per l'attuazione di adeguate misure tecniche e organizzative in modo che il trattamento soddisfa i requisiti del presente regolamento. Quando quel altro contraente non adempia ai suoi obblighi di protezione dei dati,

L'applicazione da un subappaltatore, un codice di condotta approvati come previsto all'articolo 40 o un meccanismo di certificazione riconosciuto come previsto all'articolo 42 può servire come elemento per dimostrare l'esistenza di garanzie adeguate a norma dei paragrafi 1 e 4 del presente articolo.

Fatte salve un particolare contratto tra il controller e il contraente, il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 del presente articolo può essere basato, in tutto o in parte, sulle clausole contrattuali di cui ai paragrafi 7 e 8 del presente articolo, anche quando parte di una certificazione rilasciata al controllore o il subappaltatore ai sensi degli articoli 42 e 43.

La Commissione può stabilire clausole contrattuali per le questioni di cui ai paragrafi 3 e 4 del presente articolo e secondo la procedura d'esame di cui all'articolo 93, paragrafo 2.

Un'autorità di vigilanza possono adottare clausole contrattuali per le questioni di cui ai paragrafi 3 e 4 del presente articolo e in conformità con il meccanismo di coerenza di cui all'articolo 63.

Il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 è in forma scritta, anche in formato elettronico.

Fatti salvi gli articoli 82, 83 e 84, se in violazione del presente regolamento, un imprenditore stabilisce gli obiettivi ei mezzi di elaborazione, è considerato come un controller per quanto riguarda il trattamento.

Articolo 29

 

Il trattamento eseguito sotto l'autorità del controllore o il subappaltatore

Il contraente e qualsiasi persona che agisce sotto l'autorità del responsabile del trattamento o quello del subcontraente che ha accesso ai dati personali, non possono elaborare questi dati solo su istruzione del trattamento, Salvo quanto previsto dal diritto dell'Unione o della legge di uno Stato membro.

 

Articolo 30

 

Registro dei trattamenti

1. Ogni controller e, se del caso, il rappresentante del controllore, mantenere i record delle attività di trattamento effettuato sotto la loro responsabilità. Questo registro contiene le seguenti informazioni:

 

a) il nome e le coordinate del controllore e, se del caso, il trattamento congiunto testa, rappresentativo dei dati e protezione dei dati delegato; b) le finalità del trattamento;

 

c) una descrizione delle categorie di persone interessate e le categorie di dati personali;

 

d) le categorie di soggetti ai quali sono state o saranno forniti i dati personali, compresi i destinatari in paesi terzi o organizzazioni internazionali;

 

e) se del caso, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'individuazione di tale paese terzo o di un'organizzazione internazionale e, nel caso dei trasferimenti di cui all'articolo 49 paragrafo 1, secondo comma, i documenti che attestano l'esistenza di garanzie adeguate;

 

f) per quanto possibile, il periodo di tempo per cancellare le diverse categorie di dati;

 

g) per quanto possibile, una descrizione generale delle misure tecniche e organizzative di sicurezza di cui all'articolo 32, paragrafo 1.

 

2. Ciascun contraente e, se del caso, il rappresentante del subappaltatore deve tenere un registro di tutte le categorie di operazioni di trattamento effettuate per conto del controller, tra cui:

 

a) il nome ei recapiti dei subappaltatori e ogni controller per conto del quale il subfornitore è e, se del caso, i nomi e le informazioni di contatto del rappresentante del controllore o del sub lavorazione e quelli della protezione dei dati delegato;

 

b) l'elaborazione di categorie effettuate per conto di ciascun controller;

 

c) se del caso, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'individuazione di tale paese terzo o di un'organizzazione internazionale e, nel caso dei trasferimenti di cui all'articolo 49 paragrafo 1, secondo comma, i documenti che attestano l'esistenza di garanzie adeguate;

 

d) per quanto possibile, una descrizione generale delle misure tecniche e organizzative di sicurezza di cui all'articolo 32, paragrafo 1.

 

I registri di cui ai paragrafi 1 e 2 sono presentate in forma scritta, anche elettronica.

Il controller o il processore e, se del caso, i loro rappresentanti mettere il registro a disposizione dell'autorità di vigilanza su richiesta.

Gli obblighi di cui ai paragrafi 1 e 2 non si applicano a una società o organizzazione ad un punto meno di 250 dipendenti, a meno che il trattamento che svolgono rischia di rappresentare un rischio per i diritti e le libertà delle persone, se non è casuale o se contiene informazioni riguardanti categorie particolari di dati di cui all'articolo 9, paragrafo 1, o di dati personali relativi alle condanne penali e reati di cui agli Articolo 10.

Articolo 31

 

La cooperazione con l'autorità di vigilanza

Il controllore e il processore e, se del caso, i loro rappresentanti cooperano con l'autorità di controllo su richiesta di quest'ultimo nello svolgimento delle sue funzioni.

 

sezione 2

 

Sicurezza dei dati personali à.caractère

Articolo 32

 

Sicurezza del trattamento

1. Dato lo stato delle conoscenze, costo di realizzazione e la natura, la portata, il contesto e finalità del trattamento e del rischio, ivi compresa la probabilità e la gravità vari, per diritti e le libertà delle persone fisiche, il controller e il subappaltatore deve attuare misure tecniche ed organizzative per garantire un livello di sicurezza adeguato al rischio, inclusi tra gli altri, a seconda delle necessità:

 

a) pseudonimi e la crittografia dei dati personali;

 

b) mezzi per garantire la riservatezza, l'integrità, la disponibilità e la costante capacità di recupero dei sistemi e dei servizi di trattamento;

 

c) mezzi per il ripristino della disponibilità dei dati personali e l'accesso ad essi in modo tempestivo in caso di guasto fisico o tecnico;

 

d) una procedura per testare, analizzare e valutare regolarmente l'efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento.

 

Nel valutare il livello di sicurezza adeguato, è particolarmente dato i rischi del trattamento, in vista soprattutto dalla distruzione, perdita, modifica, la rivelazione non autorizzata di dati personali trasmessi , conservati o trattati in altro modo, oppure l'accesso non autorizzato a tali dati, accidentalmente o illecita.

L'applicazione di un codice di condotta approvato come previsto all'articolo 40 o di un meccanismo di certificazione riconosciuto come previsto all'articolo 42 può servire come un elemento per dimostrare la conformità con i requisiti di cui al paragrafo 1 del presente articolo .

Il controllore e il processore stanno prendendo provvedimenti per assicurare che qualsiasi persona che agisce sotto l'autorità del controllore o in quello della subcontraente che ha accesso ai dati personali, non trattare solo su istruzione del controllore, a meno che non essere obbligati dal diritto comunitario o dal diritto di uno Stato membro.

Articolo 33

 

La notifica all'autorità di vigilanza di una violazione dei dati personali

In caso di violazione dei dati personali, il titolare del trattamento notifica della violazione in questione all'autorità di vigilanza competente a norma dell'articolo 55, nel più breve tempo possibile e, se possibile, 72 ore al più tardi dopo in dopo aver letto, a meno che la violazione in questione non è tale da mettere a rischio i diritti e le libertà dei singoli. Nel notificare l'autorità di vigilanza non ha luogo entro 72 ore, è accompagnata da motivi del ritardo.

Il contraente comunica il controllore qualsiasi violazione di dati personali il più presto possibile dopo essere stato informato.

La notifica di cui al paragrafo 1 sono, come minimo:

a) descrivere la natura dei dati violazione compresi carattere personale, se possibile, le categorie e il numero approssimativo di persone colpite dalla violazione e le categorie e il numero approssimativo di set di dati con carattere personale interessato;

 

b) comunicano il nome e le coordinate del delegato alla protezione dei dati o altro punto di contatto dal quale ulteriori informazioni possono essere ottenute;

 

c) descrivere le probabili conseguenze della violazione dei dati personali;

 

d) descrivono le misure adottate o il titolare del trattamento intende adottare per porre rimedio alla violazione dei dati personali, tra cui, se del caso, misure volte ad attenuare le possibili conseguenze negative.

 

Se e nella misura in cui non è possibile fornire tutte le informazioni insieme, le informazioni possono essere comunicate in rate senza ulteriori ritardi.

Il documento di controllo qualsiasi violazione di dati personali, indicando i fatti della violazione dei dati personali, i suoi effetti e le misure adottate per porvi rimedio. La documentazione così costituito consente all'autorità di vigilanza per verificare il rispetto di tale sezione.

Articolo 34

 

Comunicazione all'interessato una violazione di dati personali

Quando una violazione dei dati personali è in grado di generare un rischio elevato per i diritti e le libertà di un individuo, il manager comunica violazione trattamento dei dati personali alla persona interessata.

La comunicazione alla persona di cui al paragrafo 1 del presente articolo descrive in termini semplici e chiari la natura della violazione di dati personali e deve contenere almeno le informazioni e le misure di cui all'articolo 33, paragrafo 3, b), c) ed).

La comunicazione alla persona di cui al paragrafo 1 non è necessaria se una delle seguenti condizioni:

a) il controllore ha messo in atto misure di protezione tecniche e organizzative adeguate e tali misure erano state applicate ai dati personali interessati dalla violazione, in particolare le misure che rendono incomprensibili i dati personali a chiunque non è autorizzato ad accedervi, come ad esempio la crittografia;

 

b) il titolare del trattamento ha preso ulteriori misure per garantire che il rischio per i diritti e le libertà dei dati di cui al paragrafo 1, è più probabile che concretizzarsi;

 

c) richiederebbe uno sforzo sproporzionato. In questo caso, è piuttosto fatto una comunicazione pubblica o di una misura simile per gli interessati di essere informati nel modo più efficace.

 

4. Se il controller non ha già comunicato alla persona interessata della violazione dei dati personali che lo riguardano, l'autorità di vigilanza può, dopo aver esaminato se la violazione di dati personali rischia di generare ad alto rischio, richiedono il titolare del trattamento che esegue questa comunicazione o decidere che una delle condizioni di cui al paragrafo 3 è soddisfatto.

 

sezione 3

 

Analisi d'impatto sulla protezione dato e previa consultazione

Articolo 35

 

analisi di impatto sulla protezione dei dati

Quando un tipo di trattamento, in particolare l'uso di nuove tecnologie, e considerando la natura, la portata, il contesto e finalità del trattamento, può generare un rischio elevato per i diritti e le libertà individui, i esegue controllore, prima del trattamento, un'analisi dell'impatto delle operazioni di trattamento previste sulla protezione dei dati personali. Una singola analisi può includere una serie di trattamenti simili che presenti elevata rischi simili.

Per effettuare la valutazione di impatto per la protezione dei dati, la scheda di interfaccia chiede il delegato alla protezione dei dati, se tale rappresentante un è stato nominato.

La valutazione d'impatto per la protezione dei dati di cui al paragrafo 1, sono in particolare richiesto nei seguenti casi:

a) la valutazione sistematica ed estesa degli aspetti personali degli individui, che si basa su un trattamento automatizzato, tra cui profilazione, e sulla base delle quali vengono prese le decisioni che produce effetti giuridici nei confronti un individuo o significativamente affetti simile;

 

b) il trattamento di grandi categorie particolari di dati di cui all'articolo 9, paragrafo 1, o dati personali relativi alle condanne penali e reati di cui all'articolo 10; o

 

c) su larga scala sistematico monitoraggio di una zona pubblica.

 

L'autorità di controllo istituiti e pubblica un elenco dei tipi di operazioni di trattamento per le quali è richiesta una valutazione di impatto in materia di protezione dei dati ai sensi del paragrafo 1. L'Autorità controllare questi elenchi al Comitato di cui al sezione 68.

L'autorità di vigilanza può instaurare e pubblicare un elenco dei tipi di operazioni di trattamento per le quali non è richiesta alcuna valutazione d'impatto in materia di protezione dei dati. Il supervisore lo sottopone al comitato.

Prima di adottare gli elenchi di cui ai punti 4 e 5, si applica competente autorità di vigilanza del meccanismo di coerenza di cui all'articolo 63, quando questi elenchi includono le attività di trasformazione relativi alla fornitura di beni o servizi alle persone interessate o il monitoraggio del loro comportamento in vari Stati membri, o possono incidere in modo significativo la libera circolazione dei dati personali all'interno dell'UE.

L'analisi contiene almeno:

a) una descrizione sistematica della prevista operazioni e finalità del trattamento lavorazione, compresa, se del caso, gli interessi legittimi perseguiti dal controllore;

 

b) una valutazione della necessità e proporzionalità delle operazioni di trattamento al fine;

 

c) una valutazione dei rischi per i diritti e le libertà delle persone in conformità del paragrafo 1; e

 

d) le misure previste per affrontare i rischi, comprese le garanzie, le misure di sicurezza e meccanismi per garantire la protezione dei dati personali e per dimostrare il rispetto del presente regolamento, tenendo conto dei diritti e degli interessi legittimi le persone interessate e le altre persone colpite.

 

Compliance da responsabili del trattamento o subappaltatori interessati, approvato codici di condotta di cui all'articolo 40 è correttamente preso in considerazione per valutare l'impatto delle operazioni di trattamento effettuato da responsabili del trattamento o subappaltatori, in particolare ai fini della valutazione d'impatto in materia di protezione dei dati.

Se necessario, il controllore chiede il parere degli interessati o dei loro rappresentanti sul trattamento previsto, ferma restando la tutela degli interessi generali o commerciali o di sicurezza delle operazioni di trattamento.

Quando il trattamento effettuato ai sensi dell'articolo 6, paragrafo 1, lettera c) oe), ha una base giuridica nel diritto comunitario o la legge dello Stato membro al quale è soggetto il responsabile, che regola l'operazione di elaborazione specifica di destra o tutte le operazioni di trattamento di cui trattasi e che un'analisi impatto sulla protezione dei dati è già stata eseguita come parte di un'analisi dell'impatto generale eseguito in connessione con l'adozione della base giuridica in questione, non si applicano sottosezioni da 1 a 7, a meno che gli Stati membri ritiene necessario condurre un'analisi del genere prima di elaborare le attività .

Se necessario, il regolatore effettua una revisione per valutare se il trattamento viene eseguito in conformità con la valutazione di impatto per la protezione dei dati, almeno quando c'è un cambiamento del rischio da operazioni trattamento.

Articolo 36

 

consultazione preventiva

Le consulenze controllore anticipo supervisore quando la valutazione di impatto trattamento per la protezione dei dati effettuato sotto Articolo 35 mostra che il trattamento presenterebbe un rischio elevato se il controller non prende misure per ridurre il rischio.

Lorsque l'autorité de contrôle est d'avis que le traitement envisagé visé au paragraphe 1, constituerait une violation du présent règlement, en particulier lorsque le responsable du traitement n'a pas suffisamment identifié ou atténué le risque, l'autorité de contrôle fournit par écrit, dans un délai maximum de huit semaines à compter de la réception de la demande de consultation, un avis écrit au responsable du traitement et, le cas échéant, au sous-traitant, et peut faire usage des pouvoirs visés à l'article 58. Ce délai peut être prolongé de six semaines, en fonction de la complexité du traitement envisagé. L'autorité de contrôle informe le responsable du traitement et, le cas échéant, le sous-traitant de la prolongation du délai ainsi que des motifs du retard, dans un délai d'un mois à compter de la réception de la demande de consultation. Ces délais peuvent être suspendus jusqu'à ce que l'autorité de contrôle ait obtenu les informations qu'elle a demandées pour les besoins de la consultation.

Quando il controllore consulta l'autorità di controllo applicazione del paragrafo 1, comunica:

a) se del caso, le responsabilità del titolare, dei responsabili e subappaltatori coinvolti nel trattamento, in particolare per il trattamento all'interno di un gruppo di società di capitali; b) delle finalità e modalità del trattamento previsto;

 

c) le misure e le garanzie per proteggere i diritti e le libertà delle persone di cui al presente regolamento;

 

d) se del caso, il delegato di coordinate protezione dei dati;

 

e) l'analisi di impatto sulla protezione dei dati ai sensi della sezione 35; e

 

f) ogni altra informazione che l'autorità di controllo delle applicazioni.

 

Gli Stati membri consultano l'autorità di controllo come parte dello sviluppo di una proposta normativa che dovrà essere adottato da un parlamento nazionale, o l'azione di vigilanza sulla base di tale normativa, che si riferisce al trattamento.

In deroga al paragrafo 1, il diritto degli Stati membri possono esigere che i titolari del trattamento consultare l'autorità di vigilanza e di ottenere una previa autorizzazione per quanto riguarda il trattamento effettuato da un controllore come parte di una missione di interesse pubblica esercitata da essa, compreso il trattamento nell'ambito della protezione sociale e della salute pubblica.

sezione 4

 

Delegato per la protezione dei dati

Articolo 37

 

Delegato Designazione protezione dei dati

1. Il controllore e il subappaltatore deve, in ogni caso un delegato alla protezione dei dati quando:

 

a) il trattamento sia effettuato da un'autorità pubblica o ente pubblico, tranne che i tribunali che agiscono a titolo giudiziaria;

 

b) le attività principali del regolatore o curante-sous consistere di operazioni di trattamento che, per loro natura, la portata e / o finalità, tenuti sotto controllo regolare e sistematico di persone grande scala questione; o

 

c) le attività principali del controller o il subappaltatore sono costituiti da una trasformazione su larga scala di categorie particolari di dati di cui all'articolo 9 e dati personali relativi a condanne penali e reati di cui agli Articolo 10.

 

Un gruppo di aziende può nominare un delegato alla protezione dei dati a condizione che un delegato alla protezione dei dati è facilmente raggiungibile da ogni posto di lavoro.

Quando il controller o la frequentano, come è un'autorità pubblica o un ente pubblico, un solo delegato alla protezione dei dati può essere designato per più autorità o gli organi di questo tipo, data la loro struttura e le dimensioni organizzative.

In casi diversi da quelli di cui al paragrafo 1, il controllore o il processore o di associazioni e altri organismi che rappresentano categorie di controllori o subappaltatori possono designare o, se il diritto dell'Unione o il diritto di uno Stato membro richiede, sono tenuti a nominare un delegato alla protezione dei dati. Il delegato per la protezione dei dati può agire a queste associazioni e altri organismi che rappresentano i titolari del trattamento o subappaltatori.

Il delegato alla protezione dei dati è designato sulla base delle qualità professionali e, in particolare, la sua conoscenza specifica del diritto e della prassi in materia di protezione dei dati e la capacità di svolgere i compiti di cui all'articolo 39.

Il delegato per la protezione dei dati può essere un membro del personale del controllore o il subappaltatore o svolgere le sue funzioni sulla base di un contratto di servizio.

Il controller o il processore pubblicare i dettagli del delegato alla protezione dei dati e informare l'autorità di vigilanza.

Articolo 38

 

Funzioni esecutive in protezione dei dati

Il controllore e il processore assicurano che il delegato alla protezione dei dati è associato, in modo adeguato e tempestivo a tutte le questioni relative alla protezione dei dati personali.

Il controller e il processore aiuta il delegato alla protezione dei dati per svolgere i compiti di cui all'articolo 39, fornendo le risorse necessarie per eseguire queste attività, così come l'accesso ai dati e alle operazioni personali elaborazione, e permettendo di mantenere la propria competenza.

Il controller e il processore garantiscono che il delegato alla protezione dei dati non riceve istruzioni riguardanti le missioni. Il delegato per la protezione dei dati non può essere rimosso dalla carica o penalizzato dal controllore o il subappaltatore per lo svolgimento dei suoi compiti. La protezione dei dati Capo riporta direttamente al più alto livello di gestione del controller o il subappaltatore.

Gli individui possono contattare il delegato alla protezione dei dati su tutte le questioni relative al trattamento dei propri dati personali e l'esercizio dei loro diritti ai sensi del presente regolamento.

Il delegato per la protezione dei dati è soggetta al segreto professionale o un obbligo di riservatezza per quanto riguarda l'adempimento dei suoi compiti in conformità con il diritto dell'Unione o il diritto degli Stati membri.

La protezione dei dati capo in grado di eseguire altre missioni e compiti. Il controllore o processore garantiscono che queste missioni e compiti comportano alcun conflitto di interesse.

Articolo 39

 

Delegare compiti per la protezione dei dati

Le assegnazioni di delega per la protezione dei dati sono almeno le seguenti:

a) per informare e consigliare il controllore o il subappaltatore e dipendenti che trattano i loro obblighi ai sensi del presente regolamento e altre disposizioni del diritto dell'Unione o il diritto degli Stati membri per la protezione dei dati;

 

b) il rispetto monitor con questo regolamento, le altre disposizioni del diritto dell'Unione o del diritto dello Stato membro in materia di protezione dei dati e le regole interne del controller o la frequentano-in per la protezione dei dati dati personali, anche per quanto riguarda la divisione delle responsabilità, la consapevolezza e la formazione del personale coinvolto nelle operazioni di trasformazione, e le verifiche ad essi relativi;

 

c) fornire consulenza, su richiesta, per quanto riguarda la valutazione d'impatto sulla protezione dei dati e verificare l'esecuzione di esso ai sensi dell'articolo 35;

 

d) cooperare con l'autorità di vigilanza;

 

e) fungere da punto di contatto per l'autorità di vigilanza sulle questioni relative al trattamento, compresa la consultazione preventiva di cui all'articolo 36, e consulta, se del caso, su qualsiasi altro soggetto.

 

2. Il capo della protezione dei dati tenga conto, nel compimento delle sue funzioni, il rischio associato a operazioni di perfezionamento in considerazione della natura, portata, contesto e finalità del trattamento.

 

sezione 5

 

Codici di condotta e icazione certif

Articolo 40

 

Codici di condotta

Gli Stati membri, le autorità di vigilanza, il Comitato e la Commissione incoraggia lo sviluppo di codici di condotta destinati a contribuire alla corretta applicazione del presente regolamento, data la specificità delle diverse aree di trattamento e le esigenze specifiche di micro, piccole e medie imprese.

Associazioni e altri organismi rappresentanti categorie di controllori o subappaltatori possono sviluppare codici di condotta, modificare o estendere, al fine di definire le modalità di attuazione del presente regolamento, quali:

a) il trattamento equo e trasparente;

 

b) gli interessi legittimi perseguiti dai controllori in contesti specifici; c) la raccolta dei dati personali;

 

d) pseudonimi dei dati personali;

 

e) le informazioni fornite al pubblico e le persone interessate;

 

f) i diritti delle persone interessate;

 

g) le informazioni fornite ai bambini e la protezione dei bambini e come ottenere il consenso dei titolari della responsabilità genitoriale per il bambino;

 

h) le misure e le procedure di cui agli articoli 24 e 25 e le misure per garantire la sicurezza del trattamento di cui all'articolo 32;

 

i) la notifica alle autorità di vigilanza di violazioni dei dati personali e la divulgazione di tali violazioni alle persone interessate;

 

j) il trasferimento di dati personali verso paesi terzi o organizzazioni internazionali; o

 

k) procedure e le altre procedure di risoluzione delle controversie extragiudiziali alle controversie a risolvere tra i controllori e gli interessati per quanto riguarda il trattamento, fatto salvo il diritto degli interessati di cui agli articoli 77 e 79.

 

Outre leur application par les responsables du traitement ou les sous-traitants soumis au présent règlement, les codes de conduite qui sont approuvés en vertu du paragraphe 5 du présent article et qui sont d'application générale en vertu du paragraphe 9 du présent article peuvent aussi être appliqués par des responsables du traitement ou des sous- traitants qui ne sont pas soumis au présent règlement en vertu de l'article 3, afin de fournir des garanties appropriées dans le cadre des transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale dans les conditions visées à l'article 46, paragraphe 2, point e). Ces responsables du traitement ou sous-traitants prennent l'engagement contraignant et doté de force obligatoire au moyen d'instruments contractuels ou d'autres instruments juridiquement contraignants, d'appliquer ces garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.

Il codice di condotta di cui al paragrafo 2 del presente articolo include meccanismi per l'agenzia di cui all'articolo 41, paragrafo 1, obbligatoriamente al controllo del rispetto delle sue disposizioni da controllori o subappaltatori si impegnano ad applicare fatti salvi i compiti e le competenze dell'autorità di vigilanza che è competente ai sensi dell'articolo 55 o 56.

Associazioni e altri organismi di cui al paragrafo 2 del presente articolo, che intendono sviluppare un codice di condotta o di modificare o ampliare un codice di comportamento vigente presentare il progetto di codice, le modifiche o estensione all'autorità di controllo che è competente ai sensi dell'articolo 55. l'autorità di vigilanza esprime un parere se il progetto di codice, modifica o estensione rispetta queste norme e approva il progetto di codice, modifica o questa estensione se ritiene di avere sufficienti garanzie appropriate.

Quando il progetto di codice, modifica o estensione è approvato in conformità del paragrafo 5, e quando il codice di condotta in questione non si tratta di attività di trasformazione in diversi Stati membri, i registri di controllo dell'autorità pubblica e il codice condurre.

Quando il codice di condotta del progetto prevede attività di trasformazione in diversi Stati membri, l'autorità di vigilanza che ha competenza ai sensi dell'articolo 55, presenta il progetto di codice, modifica o estensione previa autorizzazione, secondo procedura di cui all'articolo 63 del comitato, che dà un parere sulla questione se il progetto di codice, modifica o estensione conformi al presente regolamento o, nella situazione di cui al paragrafo 3 del presente articolo, l fornisce adeguate garanzie.

Quando l'avviso di cui al paragrafo 7 conferma che il progetto di codice, modifica o estensione conformi al presente regolamento o, nella situazione di cui al paragrafo 3 fornisce garanzie adeguate, il comitato sottopone il proprio parere alla Commissione.

La Commissione può, mediante atti di esecuzione, il codice di condotta, ha approvato la modifica o estensione sono stati presentati ai sensi del paragrafo 8 del presente articolo sono di portata generale all'interno dell'Unione . Tali atti sono adottati secondo la procedura d'esame di cui all'articolo 93, paragrafo 2.

La Commissione garantisce un'adeguata pubblicità per i codici approvati decise che siano di applicazione generale ai sensi del paragrafo 9.

Il comitato di tenere un registro di tutti i codici di condotta, le alterazioni e le estensioni approvati e li rende disponibili al pubblico con ogni mezzo idoneo.

Articolo 41

 

codici di monitoraggio approvato

Fatti salvi i compiti e le competenze dell'autorità di vigilanza di cui agli articoli 57 e 58, il controllo del rispetto del codice di condotta di cui all'articolo 40 può essere eseguita da un ente che ha un livello di appropriarsi di competenze alla luce del codice oggetto ed è approvato a tal fine dalla competente autorità di vigilanza.

Un'organizzazione di cui al paragrafo 1 possono essere autorizzati a controllare il rispetto di un codice di condotta, ove questa organizzazione:

a) dimostrare in modo soddisfacente per l'autorità competente per il controllo, l'indipendenza e la competenza in relazione al codice oggetto;

 

b) le procedure stabilite che permettono di valutare se i controllori e subappaltatori in questione soddisfano le condizioni di applicazione del codice al rispetto monitor con le sue disposizioni e rivedere periodicamente il suo funzionamento;

 

c) procedure e strutture stabilite per affrontare lamentele circa violazioni del codice o del modo in cui il codice è stato o è applicato da un controllore o un processore, e per rendere tali procedure trasparenti e strutture, rispetto delle persone interessate e il pubblico; e

 

d) ha dimostrato in modo soddisfacente per l'autorità di vigilanza competenti, i suoi compiti e missioni coinvolgeranno alcun conflitto di interessi.

 

L'autorità di vigilanza competente sottopone il progetto di un organismo criteri di riconoscimento di cui al paragrafo 1 del presente articolo il comitato di applicazione del meccanismo di coerenza di cui all'articolo 63.

Fatti salvi i compiti e le competenze dell'autorità di vigilanza competente e le disposizioni del capo VIII, un organismo di cui al paragrafo 1 del presente articolo, fatte salve appropriate garanzie, misure adeguate in caso di violazione del codice da un responsabile trattamento o un subappaltatore, e in particolare può sospendere o escludere il controllore o il contraente interessato per l'applicazione del codice. Essa informa l'autorità di vigilanza competente di tali misure e le ragioni per cui sono state scattate.

L'autorità di vigilanza competente revoca la certificazione di un'organizzazione di cui al paragrafo 1 se non sono le condizioni per l'approvazione o non sono più soddisfatte o se le misure adottate dal corpo è una violazione del presente regolamento.

Questa sezione non si applica al trattamento da parte delle autorità pubbliche e gli enti pubblici.

Articolo 42

 

certificazione

Gli Stati membri, le autorità di vigilanza, il Comitato e la Commissione promuovono, in particolare a livello di Unione, l'istituzione di meccanismi di certificazione in materia di protezione dei dati, nonché etichette e marchi in materia, al fine di dimostrare che le operazioni di trattamento da parte dei responsabili del trattamento e subappaltatori conformi al presente regolamento. Le esigenze specifiche delle micro, piccole e medie imprese sono considerati.

Oltre alla domanda da parte del controller o subappaltatori soggetti al presente regolamento, meccanismi di certificazione, etichette o marchi di protezione dei dati correlate approvato ai sensi del paragrafo 5 del presente articolo possono essere stabilite per dimostrare che i titolari o subappaltatori che non sono soggetti al presente regolamento ai sensi dell'articolo 3 forniscono garanzie adeguate nel contesto dei trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale le condizioni di cui all'articolo 46, paragrafo 2, lettera f). Questi controller o subappaltatori prendono l'impegno vincolante e applicabile attraverso strumenti contrattuali o altri strumenti giuridicamente vincolanti,

Certificazione è volontaria e accessibile attraverso un processo trasparente.

Un certificato ai sensi della presente sezione diminuisce la responsabilità del controllore o il subappaltatore per quanto riguarda il rispetto del presente regolamento e fatte salve i compiti ei poteri delle autorità di vigilanza competenti ai sensi dell'articolo 55, o 56.

Certificazione ai sensi del presente articolo è rilasciato da organismi di certificazione di cui all'articolo 43 o dalla competente autorità di vigilanza sulla base dei criteri approvati dalla competente Autorità di controllo ai sensi dell'articolo 58, paragrafo 3 o dal comitato ai sensi dell'articolo 63. Quando i criteri sono stati approvati dal comitato, può portare a una certificazione comune, il marchio europeo di protezione dei dati.

Il controller o imprenditore che ha presentato il suo meccanismo di certificazione trattamento prevede l'organismo di certificazione di cui all'articolo 43 o, se del caso, l'autorità di vigilanza competenti tutte le informazioni così come l'accesso alle sue attività di trasformazione, che sono necessari per completare il processo di certificazione.

La certificazione viene rilasciata a un controller o di un subappaltatore per un massimo di tre anni e può essere rinnovato alle stesse condizioni come requisiti applicabili continuano ad essere soddisfatte. La certificazione viene rimosso, se necessario, dalla certificazione degli organismi di cui all'articolo 43 o dalla competente autorità di vigilanza in cui i requisiti per la certificazione non sono o non sono più soddisfatte.

Il comitato istituito un registro di tutti i regimi di certificazione e le etichette o marchi di protezione dei dati relativi e li rende disponibili al pubblico con ogni mezzo idoneo.

Articolo 43

 

Organismi di Certificazione

1. Fatti salvi i compiti e le competenze dell'autorità di vigilanza ai sensi degli articoli 57 e 58, enti di certificazione con un adeguato livello di competenza in tema di protezione dei dati e di rinnovare la certificazione dopo averne informato l'autorità di vigilanza per poter esercitare i poteri necessari sono conferiti ai sensi dell'articolo 58, paragrafo 2 h). Gli Stati membri assicurano che tali organismi di certificazione sono accreditati da una delle seguenti o di entrambe:

 

a) l'autorità di vigilanza che è competente ai sensi dell'articolo 55 o 56;

 

b) l'organismo nazionale di accreditamento designato ai sensi del regolamento (CE) n 765/2008 del Parlamento europeo e del Consiglio (1) secondo la norma EN-ISO / IEC 17065/2012 e gli ulteriori requisiti previsti dalla dall'autorità di vigilanza che è competente ai sensi dell'articolo 55 o 56.

 

2. Gli organismi di certificazione di cui al paragrafo 1 sono autorizzati ai sensi del paragrafo che fino a quando non hanno:

 

a) dimostrare in modo soddisfacente per l'autorità competente per il controllo, l'indipendenza e la competenza per quanto riguarda lo scopo della certificazione;

 

(1) Il regolamento (CE) n 765/2008 del Parlamento europeo e del Consiglio, del 9 luglio 2008 impostazione che pone norme in materia di accreditamento e vigilanza del mercato per la commercializzazione dei prodotti e che abroga il regolamento (CEE) n 339 / 93 (GU L 218 del 13.8.2008, pag. 30).

 

b) impegnato a rispettare i criteri di cui all'articolo 42, comma 5, e approvati dall'autorità di vigilanza che ha competente ai sensi dell'articolo 55 o 56 o il Comitato, sotto la sezione 63;

 

c) istituire procedure per il rilascio del controllo periodico e il ritiro di un etichette di certificazione e marchi per la protezione dei dati;

 

d) procedure e strutture stabilite per affrontare lamentele circa violazioni di certificazione o come certificazione è stato o applicate da un controllore o un processore, e per rendere queste procedure e strutture trasparenti le persone interessate e il pubblico; e

 

e) hanno dimostrato in modo soddisfacente per l'autorità di vigilanza competenti, che i loro compiti e le missioni comportano alcun conflitto di interessi.

 

L'accreditamento degli organismi di certificazione di cui ai paragrafi 1 e 2 del presente articolo si basa su criteri approvati dall'autorità di vigilanza che ha competente ai sensi dell'articolo 55 o 56 o dal comitato in Articolo 63. in caso di approvazione di cui al paragrafo 1, punto b) del presente articolo, i requisiti complementari a quelle previste dal regolamento (CE) n 765/2008 e tecniche regole che descrivono i metodi e le procedure organismi di certificazione.

Gli organismi di certificazione di cui al paragrafo 1 sono responsabili per fare la valutazione appropriata per il conseguimento della certificazione o la revoca della certificazione, ferma restando la responsabilità del controllore o la frequentano, come per quanto riguarda la il rispetto del presente regolamento. L'approvazione è rilasciato per un massimo di cinque anni e può essere rinnovato alle stesse condizioni come l'organismo di certificazione soddisfa i requisiti di cui al presente articolo.

Gli organismi di certificazione di cui al paragrafo 1 notificano alle autorità di vigilanza competenti i motivi per il rilascio o la revoca della certificazione richiesta.

Les exigences visées au paragraphe 3 du présent article et les critères visés à l'article 42, paragraphe 5, sont publiés par les autorités de contrôle sous une forme aisément accessible. Les autorités de contrôle transmettent aussi ces exigences et ces critères au comité. Le comité consigne dans un registre tous les mécanismes de certification et les labels en matière de protection des données et les met à la disposition du public par tout moyen approprié.

Fatto salvo il capo VIII, l'autorità o il controllo competente organismo nazionale di accreditamento revocare l'approvazione di un organismo di certificazione dell'applicazione del paragrafo 1 del presente articolo, se non sono o non sono le condizioni per l'approvazione rispettati o se le misure adottate dall'ente di certificazione è una violazione del presente regolamento.

La Commissione ha il potere di adottare atti delegati a norma dell'articolo 92, al fine di specificare i requisiti per essere considerato in materia di protezione dei dati conta meccanismi di certificazione di cui all'articolo 42, paragrafo 1 .

La Commissione può adottare atti di esecuzione per stabilire norme tecniche per meccanismi di certificazione, etichette e marchi per la protezione dei dati, ed i meccanismi per la promozione e il riconoscimento di questi meccanismi certificazione, etichette e marchi. Tali atti sono adottati secondo la procedura d'esame di cui all'articolo 93, paragrafo 2.

CAPO V

 

trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali

Articolo 44

 

Principio generale applicabile ai trasferimenti

Un trasferimento verso un paese terzo o di un'organizzazione internazionale di dati personali che sono o sono destinati ad essere oggetto di trattamento dopo tale trasferimento può avvenire se, fatte salve le altre disposizioni del presente regolamento le condizioni definite in questo capitolo sono soddisfatte dal controllore e il processore, anche per in poi i trasferimenti di dati personali dal paese terzo o l'organizzazione internazionale verso un altro paese terzo o un'altra organizzazione internazionale. Tutte le disposizioni del presente capo si applicano in modo che il livello di tutela delle persone garantito dal presente regolamento non è compromessa.

 

Articolo 45

 

Trasferimenti sulla base di un accertamento di adeguatezza

Un trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale può avere luogo in cui la Commissione ha constatato con decisione che il terzo paese, territorio, o di una o più aree individuate nel paese terzo, o l'organizzazione internazionale in questione garantisce un adeguato livello di protezione. Tale trasferimento non richiede specifica autorizzazione.

Nel valutare l'adeguatezza del livello di protezione, la Commissione ritiene, in particolare, quanto segue:

a) lo stato di diritto, rispetto dei diritti umani e delle libertà fondamentali, la normativa in materia, sia generale che settoriale, anche per quanto riguarda la pubblica sicurezza, la difesa, la sicurezza nazionale e il diritto penale e l'accesso delle autorità pubbliche ai dati personali, nonché l'attuazione di tale legislazione, le norme in materia di protezione dei dati, regole professionali e le misure di sicurezza, tra cui norme sul trasferimento futuro dei dati personali in un altro paese terzo o ad un altro organismo internazionale si osservano nel paese terzo o l'organizzazione internazionale in questione, la giurisprudenza,e i diritti effettivi e applicabili di cui godono le persone interessate e dei rimedi amministrativi e giurisdizionali che possono efficacemente introdurre i soggetti cui si riferiscono i dati personali vengono trasferiti;

 

b) l'esistenza e il buon funzionamento di una o più autorità di controllo indipendenti nel paese terzo, o ai quali un'organizzazione internazionale sono soggetti, la responsabilità di garantire il rispetto delle norme sulla protezione dei dati e li hanno applicare, anche attraverso adeguata applicazione di tali regole poteri per assistere e consigliare le persone coinvolte nell'esercizio dei propri diritti e di cooperare con le autorità di vigilanza degli Stati membri; e

 

c) gli impegni internazionali del paese terzo o l'organizzazione internazionale in questione, o altri obblighi di accordi o strumenti così come la sua partecipazione ai sistemi multilaterali o regionali giuridicamente vincolante, in particolare per quanto riguarda la protezione dei dati personali.

 

La Commissione, dopo aver valutato l'adeguatezza del livello di protezione, possono, per mezzo di atti di esecuzione, un paese terzo, suo territorio, o uno o settori più specifici in un paese terzo o di un'organizzazione internazionale, garantisce un livello di protezione adeguato ai sensi del paragrafo 2 del presente articolo. L'atto di esecuzione prevede un meccanismo di revisione periodica, almeno ogni quattro anni, tenendo conto di tutti gli sviluppi importanti nei paesi terzi o nell'organizzazione internazionale. L'atto di esecuzione specifica il campo di applicazione territoriale e settoriale e, se del caso, i nomi o le autorità di controllo di cui al paragrafo 2, lettera b) del presente articolo. L'atto di esecuzione è adottato secondo la procedura

La Commissione è, in modo permanente, gli sviluppi nei paesi terzi e nelle organizzazioni internazionali che potrebbero incidere sul funzionamento delle decisioni adottate ai sensi del comma 3 del presente articolo e le decisioni adottate sulla base dell'articolo 25 paragrafo 6 della direttiva 95/46 / CE.

Quando le informazioni spettacoli disponibili, in particolare alla fine della revisione di cui al paragrafo 3 del presente articolo, che un paese terzo, suo territorio, o uno o più specifici settori in un paese terzo o un'organizzazione internazionale assicura organizzazione un più adeguato livello di protezione ai sensi del paragrafo 2 del presente articolo, la Commissione, se necessario, l'abrogazione, modificare o sospendere la decisione di cui al paragrafo 3 del presente articolo mediante atti di esecuzione senza effetto retroattivo. Tali atti sono adottati secondo la procedura d'esame di cui all'articolo 93, paragrafo 2.

Per motivi imperativi di urgenza debitamente giustificati, la Commissione adotta atti di esecuzione immediatamente applicabili in conformità della procedura di cui all'articolo 93, paragrafo 3.

 

La Commissione si consulta con il paese terzo o l'organizzazione internazionale al fine di porre rimedio alla situazione che ha dato luogo alla decisione di cui al paragrafo 5.

Una decisione adottata ai sensi del paragrafo 5 del presente articolo non pregiudica il trasferimento di dati personali verso paesi terzi, territori o una o più aree individuate in tale paese terzo o l'organizzazione internazionale in questione, effettuate in applicando le sezioni da 46 a 49.

La Commissione pubblica nella Gazzetta ufficiale dell'Unione europea e sul suo sito web un elenco di paesi terzi, territori e aree individuate nei paesi terzi e organizzazioni internazionali per i quali è stato accertato con decisione a livello protezione adeguata è o non è garantita.

Le decisioni adottate dalla Commissione sulla base dell'articolo 25, comma 6, della direttiva 95/46 / CE restano in vigore fino modificato, sostituito o abrogata da una decisione della Commissione adottata ai sensi del paragrafo 3 o 5 del presente articolo.

Articolo 46

 

Trasferimenti oggetto di adeguate garanzie

In assenza di una decisione ai sensi dell'articolo 45, paragrafo 3, del titolare o del processore possono trasferire dati personali verso un paese terzo o di un'organizzazione internazionale, se ha pianificato appropriate garanzie ea condizione che le persone interessate hanno diritti applicabili e rimedi efficaci.

Le garanzie adeguate di cui al paragrafo 1 possono essere fornite, senza di essa richiede l'autorizzazione speciale da un supervisore, da:

a) uno strumento giuridicamente vincolante ed efficace tra le autorità o enti pubblici;

 

b) norme vincolanti d'impresa ai sensi dell'articolo 47;

 

c) Protezione clausole dei dati adottato dalla Commissione secondo la procedura d'esame di cui all'articolo 93, paragrafo 2;

 

d) la protezione dei dati clausole adottata da un'autorità di vigilanza e approvato dalla Commissione secondo la procedura d'esame di cui all'articolo 93, paragrafo 2;

 

e) un codice di condotta approvato in conformità con l'articolo 40, accompagnato da un impegno vincolante e vincolanti del controllore o il processore nel paese terzo di applicare adeguate misure di salvaguardia, anche per quanto riguarda i diritti delle persone interessate; o

 

f) un sistema di certificazione riconosciuto a norma dell'articolo 42, accompagnato da un impegno vincolante e vincolanti del controllore o il processore nel paese terzo di applicare adeguate misure di salvaguardia, anche per quanto riguarda i diritti delle persone interessate.

 

Con riserva di autorizzazione da parte della competente autorità di vigilanza, adeguate garanzie di cui al paragrafo 1 possono essere fornite anche in particolare:

a) le clausole contrattuali tra il controllore o il processore e il controller, il contraente o il destinatario dei dati personali nel paese terzo o di un'organizzazione internazionale; o

 

b) le modalità di incorporare gli accordi amministrativi tra le autorità pubbliche o gli enti pubblici che forniscono diritti effettivi e applicabili per gli interessati.

 

L'autorità di vigilanza si applica alla consistenza meccanismo di cui all'articolo 63 nei casi di cui al comma 3 del presente articolo.

Le autorizzazioni concesse da uno Stato membro o di un'autorità di vigilanza sulla base dell'articolo 26, paragrafo 2, della direttiva 95/46 / CE restano valide fino modificato, sostituito o abrogata, se necessario, ha detto l'autorità di controllo. Le decisioni adottate dalla Commissione sulla base dell'articolo 26, paragrafo 4, della direttiva 95/46 / CE restano in vigore fino modificata, sostituita o abrogata, se necessario, da una decisione della Commissione adottata ai sensi del paragrafo 2 del presente articolo.

Articolo 47

 

Norme vincolanti d'impresa

1. L'autorità di vigilanza competente approva norme vincolanti d'impresa in conformità con il meccanismo di coerenza di cui all'articolo 63, a condizione che:

 

a) queste regole sono giuridicamente vincolanti, e sono attuate da tutti gli interessati il ​​gruppo di aziende o gruppi di aziende impegnate in un'attività economica comune, compresi i loro dipendenti;

 

b) hanno espressamente danno delle persone interessate diritti applicabili per quanto riguarda il trattamento dei loro dati nel personale dei personaggi; e

 

c) soddisfano i requisiti di cui al paragrafo 2.

 

Le regole societarie vincolanti di cui al paragrafo 1 sono indicati almeno:

a) la struttura e dettagli del gruppo di società o gruppi di società che svolgono un'attività economica comune e ciascuna delle loro entità;

 

b) trasferimenti o tutti i trasferimenti di dati, comprese le categorie di dati personali, il tipo di lavorazione e le sue finalità, il tipo di persone colpite in questione e il nome del paese terzo in questione;

 

c) la loro vincolante, sia internamente che esternamente;

 

d) l'applicazione dei principi generali relative alla protezione dei dati, compresa la limitazione delle finalità, minimizzazione dei dati, limitando i periodi di conservazione dei dati, qualità dei dati, la protezione dei dati relativi alla progettazione e protezione dei dati di default, la base giuridica per l'elaborazione, l'elaborazione di categorie particolari di dati personali, misure per garantire la sicurezza dei dati, nonché i requisiti di successivi trasferimenti a organizzazioni che non sono correlate da norme vincolanti d'impresa;

 

e) i diritti delle persone interessate con riguardo al trattamento ed i mezzi per esercitare questi diritti, incluso il diritto di non essere oggetto di decisioni basate unicamente su un trattamento automatizzato, tra cui profilazione, in conformità l'articolo 22, il diritto di presentare una denuncia presso l'autorità di vigilanza competente e dinanzi ai tribunali competenti degli Stati membri in conformità dell'articolo 79 e di ottenere un risarcimento e, se necessario, la compensazione per la violazione delle regole vincolanti d'impresa;

 

f) l'accettazione da parte del controllore o processore stabilito nel territorio di uno Stato membro dell'impegno di responsabilità per qualsiasi violazione delle regole aziendali vincolanti da qualsiasi entità non stabilito nello dell'Unione; il controllore o il processore non può essere esente, in tutto o in parte, da tale responsabilità se dimostra che il danno del generatore non è attribuibile all'entità;

 

g) come le informazioni sulle regole aziendali vincolanti, in particolare per quanto riguarda gli elementi di cui alla lettera d), e) ed f) del presente paragrafo sono fornite agli interessati, oltre alle informazioni ai sensi degli articoli 13 e 14;

 

h) compiti di qualsiasi delegato alla protezione dei dati, designata ai sensi dell'articolo 37, o qualsiasi altra persona o entità responsabile del controllo rispetto delle norme aziendali vincolanti all'interno del gruppo aziendale o gruppo di aziende impegnate in un'attività economica comune, e il monitoraggio della formazione e della elaborazione dei reclami;

 

i) Procedure di richiesta;

 

j) i meccanismi all'interno del gruppo di società o gruppi di società impegnata in un'attività economiche congiunte per assicurare che il controllo del rispetto BCRs. Questi meccanismi includono verifiche sulla protezione e procedure dati per garantire che saranno prese misure correttive per tutelare i diritti della persona. I risultati di tale controllo devono essere comunicati alla persona o entità di cui alla lettera h), e l'amministrazione del consiglio società che controlla il gruppo di società o di un gruppo di aziende impegnate in una l'attività economica congiunta, e dovrebbe essere messo a disposizione della competente autorità di vigilanza su richiesta;

 

k) meccanismi per comunicare e registrare le modifiche alle norme e comunicare queste modifiche vigilanza;

 

l) il meccanismo della cooperazione con l'autorità di vigilanza istituito per assicurare il rispetto da tutte le entità del gruppo di società o di un gruppo di aziende impegnate in un'attività economica comune, tra cui la messa a disposizione l'autorità di controllo dei risultati delle misure di controllo di cui al punto j);

 

m) i meccanismi per comunicare alla competente autorità di vigilanza di tutti gli obblighi di legge che un'entità del gruppo di società o gruppo di aziende impegnate in un'attività economica comune, è oggetto di un paese terzo che sono suscettibili avere un effetto negativo sulle garanzie fornite dalle regolamento aziendale vincolante; e

 

n) la formazione adeguata in materia di protezione dei dati per il personale con accesso permanente o regolare ai dati personali.

 

3. La Commissione può, per norme vincolanti d'impresa ai sensi della presente sezione, specificare la forma di scambio di informazioni tra i controllori, imprenditori e autorità di vigilanza, così come le procedure ad esso. Tali atti sono adottati secondo la procedura d'esame di cui all'articolo 93, paragrafo 2.

 

Articolo 48

 

Trasferimenti o divulgazione non autorizzata dal diritto comunitario

Qualsiasi decisione di un tribunale o un'autorità amministrativa di un paese terzo che necessita di un controller o un processore che trasferisce o divulga i dati personali non possono essere riconosciute o eseguite in qualsiasi modo solo se si basa su un accordo internazionale, come ad esempio un trattato di assistenza giudiziaria in vigore tra i paesi terzi richiedenti e l'Unione o uno Stato membro, fatte salve altri modelli di trasferimento di cui al presente capitolo.

 

Articolo 49

 

Esenzioni per situazioni specifiche

Se nessuna decisione sull'adeguatezza ai sensi dell'articolo 45, paragrafo 3, o di garanzie appropriate ai sensi dell'articolo 46, comprese le norme aziendali vincolanti, un trasferimento o una serie di trasferimenti di dati dati personali verso un paese terzo o un'organizzazione internazionale non può avvenire in una delle seguenti condizioni:

a) la persona interessata abbia dato esplicito consenso al trasferimento previsto, dopo essere stato informato dei rischi che questo trasferimento potrebbe avere per lei a causa della mancanza di decisione di adeguatezza e di garanzie adeguate;

 

b) il trasferimento sia necessario per l'esecuzione di un contratto tra la persona e il controllore o l'implementazione di adottare misure su richiesta della persona;

 

c) il trasferimento sia necessario per la conclusione o l'esecuzione di un contratto stipulato nell'interesse della persona tra il controllore e un'altra persona fisica o giuridica;

 

d) il trasferimento è necessario per importanti motivi di interesse pubblico;

 

e) il trasferimento è necessario per costituire, esercitare o difendere dei diritti legali;

 

f) il trasferimento è necessario per proteggere gli interessi vitali della persona interessata o di altre persone, quando la persona è in grado nell'incapacità fisica o giuridica di dare il consenso;

 

g) il trasferimento è fatto da un registro che secondo il diritto dell'Unione o alla legislazione di uno Stato membro, è destinato a fornire informazioni al pubblico ed è aperto alla consultazione pubblica in generale o chiunque abbia un interesse legittimo, ma solo nella misura in cui le condizioni per la consultazione nel diritto dell'Unione o alla legislazione dello Stato membro siano soddisfatte in questo caso.

 

adeguate garanzie in materia di protezione dei dati personali. Il controller informa il trasferimento di autorità di vigilanza. Oltre a fornire le informazioni di cui agli articoli 13 e 14, il controllore informa la persona interessata del trasferimento e gli interessi legittimi perseguiti da essa.

 

Un trasferimento di cui al paragrafo 1, primo comma g), non copre tutti o personali i dati su intere categorie di dati personali contenuti nel registro. Quando il registro è destinato per la consultazione da parte di persone con un interesse legittimo, il trasferimento viene effettuato su richiesta di quelle persone o se essi si rivolgono.

Punti a), b) ec) del primo comma del paragrafo 1 e il secondo comma del paragrafo 1 non si applicano alle attività delle autorità pubbliche nell'esercizio dei loro poteri pubblici.

L'interesse pubblico di cui al paragrafo 1, lettera d), è riconosciuto dal diritto dell'Unione o alla legislazione dello Stato membro al quale è soggetto il responsabile.

Se nessuna decisione sull'adeguatezza, diritto dell'Unione o alla legislazione di uno Stato membro può, per importanti motivi di interesse pubblico i limiti espressamente al trasferimento di specifiche categorie di dati personali a un paese terzo o un'organizzazione internazionale. Gli Stati membri notificano tali disposizioni alla Commissione.

Il controller o il subappaltatore documentato nei registri di cui all'articolo 30, la valutazione e le opportune garanzie di cui al paragrafo 1, secondo comma del presente articolo.

Articolo 50

 

La cooperazione internazionale in materia di protezione dei dati personali

La Commissione e le autorità di vigilanza abbiano, per quanto riguarda i paesi terzi e le organizzazioni internazionali, le misure appropriate:

 

a) sviluppare meccanismi di cooperazione internazionale per facilitare l'effettiva attuazione della normativa in materia di protezione dei dati personali;

 

b) assistenza reciproca a livello internazionale per l'attuazione della legislazione in materia di protezione dei dati personali, tra cui la notifica, la trasmissione dei crediti, l'assistenza investigativa e lo scambio di informazioni, oggetto di adeguate garanzie per la protezione dei dati personali ed altri diritti e libertà fondamentali;

 

c) il coinvolgimento delle parti interessate in discussione e attività volte a sviluppare la cooperazione internazionale nel campo di applicazione della normativa in materia di protezione dei dati a carattere personale;

 

d) promuovere lo scambio e la documentazione della legislazione e delle prassi in materia di protezione dei dati personali, anche per quanto riguarda le controversie giurisdizionali con i paesi terzi.

 

CAPITOLO VI

 

autorità di controllo indipendenti

 

sezione 1

 

status indipendente

Articolo 51

 

Autorità di controllo

Ciascuno Stato membro dispone che una o più autorità pubbliche indipendenti siano incaricate di sorvegliare l'attuazione del presente regolamento per tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento e facilitare la libera circolazione dei dati a carattere personale all'interno dell'Unione (in seguito denominato "autorità di vigilanza").

Ogni autorità contribuisce all'applicazione coerente del presente regolamento in tutta l'Unione. A tal fine, le autorità di vigilanza devono collaborare con la Commissione conformemente al capo VII.

Qualora uno Stato membro stabilisce diverse autorità di vigilanza, vuol dire che rappresentano tali autorità della commissione e definisce il meccanismo per garantire il rispetto da parte delle altre autorità, le norme relative al meccanismo di coerenza di cui al Articolo 63.

Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del presente capitolo, al più tardi il 25 maggio 2018 e, senza indugio, tutte le successive modifiche che li riguardano.

Articolo 52

 

indipendenza

Ogni autorità esercita in modo indipendente i compiti e poteri ad essa conferiti a norma del presente regolamento.

Nell'esercizio delle loro funzioni e dei poteri di cui al presente regolamento, oi membri di ciascuna autorità di controllo rimanere liberi da qualsiasi influenza esterna, direttamente o indirettamente, e non sollecitano né accettano istruzioni nessuno.

Il membro oi membri di ciascuna autorità di vigilanza si astengono da ogni incompatibili azione con le loro funzioni e durante il loro mandato, non esercitare alcuna attività professionale incompatibile, remunerata o meno.

Ciascuno Stato membro deve garantire che ciascun supervisore ha l'umane, tecniche e finanziarie, nonché locali e infrastrutture necessarie per l'efficace svolgimento delle proprie funzioni e competenze, anche quando si deve agire nell'ambito della mutua assistenza, la cooperazione e la partecipazione in sede di commissione.

Ciascuno Stato membro deve garantire che ciascun supervisore sceglie e ha le proprie agenti, che sono sotto gli ordini esclusive degli Stati dell'autorità di vigilanza interessata.

Ogni Stato membro garantisce che ogni autorità di controllo è soggetta a controllo finanziario, che non minaccia la sua indipendenza e ha un proprio bilancio pubblico annuale, che può essere parte del bilancio nazionale complessivo o di un ente federale .

Articolo 53

 

condizioni generali applicabili ai membri dell'autorità di controllo

Gli Stati membri prevedono che ogni membro della loro autorità di vigilanza nominato attraverso una procedura trasparente per: - la loro parlamento;

- il loro governo;

 

- il loro capo di Stato; o

 

- un organismo indipendente per rendere l'appuntamento in base alla legge dello Stato membro

 

Ogni membro ha le qualifiche, l'esperienza e le competenze, in particolare nel campo della protezione dei dati personali, di esercitare le sue funzioni e poteri.

Le funzioni di membro cessano alla scadenza del suo mandato, in caso di dimissioni o di fare del pensionamento obbligatorio secondo la legge dello Stato membro interessato.

Un membro può essere rimosso solo dall'incarico solo se ha commesso colpa grave o se non soddisfa più le condizioni richieste per l'espletamento delle sue funzioni.

Articolo 54

 

Norme relative alla formazione della autorità di vigilanza

Ogni Stato membro designa, per legge, tutti i seguenti:

a) la creazione di ciascuna autorità di controllo;

 

b) qualifica e requisiti di ammissibilità per essere nominato un membro di ciascuna autorità di controllo;

 

c) le norme e le procedure per la nomina dei membri di ciascuna autorità di controllo;

 

d) la durata del mandato dei membri di ciascuna autorità di controllo, che non può essere inferiore a quattro anni, tranne che per il primo mandato dopo il 24 maggio 2016, parte della quale può essere di durata più breve in cui necessario per tutelare l'indipendenza dell'autorità di controllo per mezzo di una procedura di nomina sfalsati;

 

e) rinnovabile o non del mandato dei membri di ogni supervisore e, se del caso, il numero di termini;

 

f) le condizioni e gli obblighi dei membri e funzionari di ciascuna autorità di controllo, divieti di attività di lavoro incompatibili e benefici con loro, anche dopo la fine del loro mandato, e norme che disciplinano il rapporto di lavoro.

 

2. Il membro oi membri e gli agenti di ciascuna autorità di controllo sono soggetti, in conformità con il diritto dell'Unione o della legge degli Stati membri, il segreto professionale per quanto riguarda le informazioni riservate che ottengono nell'espletamento delle loro funzioni o dei loro poteri, anche dopo la fine del loro mandato. Per tutta la durata del loro mandato, la riservatezza vale in particolare per la segnalazione da parte di individui per le violazioni del presente regolamento.

 

sezione 2

 

Competenza, funzioni e poteri

Articolo 55

 

competenza

Ogni autorità di vigilanza è competente per svolgere i compiti e poteri conferiti in virtù del presente regolamento nel territorio dello Stato membro a cui appartiene.

Quando il trattamento è effettuato da organizzazioni pubbliche o private autorità che agiscono sulla base dell'articolo 6, paragrafo 1, lettera c) oe), autorità di vigilanza dello Stato membro in questione è competente. In questo caso, l'articolo 56 non è applicabile.

Le autorità di vigilanza non sono competenti per il controllo delle operazioni di trattamento effettuate dai giudici nell'esercizio delle loro funzioni giurisdizionali.

Articolo 56

 

Competenza del lead supervisor

Fatto salvo l'articolo 55, il principale il controllo istituzione dell'autorità o la proprietà unica del controller o la frequentano, come è competente ad agire come autorità di vigilanza di piombo per quanto riguarda il trattamento frontiera fatta dal controllore o subappaltatore, secondo la procedura di cui all'articolo 60.

In deroga al paragrafo 1, ciascuna autorità di vigilanza è competente a gestire una denuncia presentata con esso o qualsiasi violazione del presente regolamento, se il suo oggetto riguarda solo uno stabilimento nello Stato membro cui appartiene o significativamente influenzare le persone interessate in tale Stato membro.

Nei casi di cui al paragrafo 2 del presente articolo, informare l'autorità di controllo senza indugio il lead supervisor della questione. Entro tre settimane di quando è stato informato, il lead supervisor decide se trattare o meno il caso secondo la procedura di cui all'articolo 60, tenendo conto o meno uno stabilimento del controller o il subappaltatore nel autorità di controllo dello Stato membro che ha notificato.

Se l'autorità di vigilanza piombo decide di gestire il caso, la procedura di cui all'articolo 60 si applica. Il supervisore che ha informato l'autorità di vigilanza di piombo può presentare a lui un progetto di decisione. Il lead supervisor tiene pienamente conto di questo quando il progetto si sviluppa il progetto di decisione di cui all'articolo 60, paragrafo 3.

Quando l'autorità di vigilanza piombo decide di non gestire il caso, il supervisore che ha informato il secondo con le sezioni 61 e 62.

Il supervisore piombo è l'unico rappresentante del controllore o il subappaltatore per il trattamento transfrontaliero eseguita dal controllore o subappaltatore.

Articolo 57

 

missioni

1. Fatte salve le altre missioni previste nell'ambito del presente regolamento, ciascuna autorità di vigilanza nel suo territorio:

 

a) controlla l'attuazione del presente regolamento e garantisce rispetto;

 

b) promuovere la consapevolezza e la comprensione dei rischi, regole, tutele e diritti per il trattamento. Le attività specificamente per i bambini sono oggetto di particolare attenzione;

 

c) consiglia, in base alla legge dello Stato membro, il parlamento nazionale, il governo e le altre agenzie e organi di misure legislative e amministrative per la tutela dei diritti e delle libertà delle persone fisiche con riguardo al trattamento ;

 

d) promuovere la consapevolezza dei responsabili del trattamento e subappaltatori per quanto riguarda i loro obblighi ai sensi del presente regolamento;

 

e) fornisce, su richiesta, a tutte le informazioni sulla persona interessata l'esercizio dei diritti previsti dal presente regolamento e, se necessario, collaborare in questo senso, con le altre autorità di vigilanza degli Stati membri;

 

f) si occupa di denunce presentate da un soggetto di dati o da un'agenzia, organizzazione o associazione, a norma dell'articolo 80 discute l'oggetto del reclamo, nella misura necessaria, e avvisare l'autore del reclamo svolgimento e dei risultati delle indagini entro un termine ragionevole, in particolare se sono necessari ulteriori indagini o di coordinamento con un'altra autorità di vigilanza;

 

g) cooperare con altre autorità di vigilanza, anche attraverso la condivisione delle informazioni, e fornisce assistenza reciproca in questo contesto per garantire l'applicazione coerente del presente regolamento e le misure adottate per garantire la conformità;

 

h) conduce indagini sulla applicazione del presente regolamento, anche sulla base delle informazioni ricevute da un altro supervisore o di un altro ente pubblico;

 

i) dopo il relativo, gli sviluppi nella misura in cui influenzano la protezione dei dati personali, in particolare nel campo delle tecnologie dell'informazione e pratiche di comunicazione e di business;

 

j) adotta disposizioni del contratto standard di cui all'articolo 28, paragrafo 8, e l'articolo 46, comma 2 d);

 

k) stabilisce e mantiene una lista in connessione con l'obbligo di effettuare una valutazione d'impatto sulla protezione dei dati ai sensi dell'articolo 35, paragrafo 4;

 

l) fornisce una guida per le operazioni di trasformazione di cui all'articolo 36, paragrafo 2;

 

m) incoraggia lo sviluppo di codici di condotta ai sensi dell'articolo 40, paragrafo 1, esprimere un parere e approvare codici di condotta che forniscono garanzie adeguate, ai sensi dell'articolo 40, paragrafo 5;

 

n) promuovere l'istituzione di meccanismi di certificazione, etichette e marchi per la protezione dei dati ai sensi dell'articolo 42, paragrafo 1, e approva i criteri di certificazione di applicazione dell'articolo 42, paragrafo 5;

 

o), se del caso, la revisione periodica delle certificazioni ai sensi dell'articolo 42, paragrafo 7;

 

p) preparare e pubblicare criteri di riconoscimento di un'organizzazione per il follow-up di codici di condotta ai sensi dell'articolo 41 e una sezione di organismo di certificazione applicazione 43;

 

q) omologa di un organo di controllo codici ai sensi della sezione 41 ed una sezione di corpo di certificazione applicazione 43;

 

r) permette clausole contrattuali e le disposizioni di cui all'articolo 46, paragrafo 3;

 

s) approva norme vincolanti d'impresa ai sensi dell'articolo 47;

 

t) contribuire alle attività del Comitato;

 

u) tenere registri interni di violazioni del presente regolamento e le misure adottate ai sensi dell'articolo 58, comma 2; e

 

v) svolgere ogni altro compito in materia di protezione dei dati personali.

 

Ciascuna autorità facilita l'introduzione dei reclami di cui al punto 1 f), con misure quali la fornitura di un modulo di richiesta che può essere riempito elettronicamente, senza altri mezzi di comunicazione sono esclusi.

L'adempimento delle missioni di ogni autorità di vigilanza è gratuito per la persona interessata e, se del caso, per il delegato alla protezione dei dati.

Quando le richieste sono manifestamente infondata o eccessiva, in particolare a causa del loro carattere ripetitivo, l'autorità di vigilanza può richiedere il pagamento di una tassa ragionevole basato sui costi amministrativi o rifiutano di ottemperare alla richiesta. Spetta al supervisore per dimostrare la natura manifestamente infondata o richiesta eccessiva.

Articolo 58

 

potenze

Ciascuna autorità ha tutti i seguenti poteri di indagine:

a) ordinare il controllore e il subappaltatore, e, se del caso, il rappresentante del controllore o il subappaltatore, di fornire tutte le informazioni necessarie per poter svolgere la propria funzione;

 

b) condurre indagini come controlli sulla protezione dei dati;

 

c) effettuare una revisione delle certificazioni emesse ai sensi dell'articolo 42, paragrafo 7;

 

d) comunicare al controller o il subappaltatore una presunta violazione del presente regolamento;

 

e) ottenere dal responsabile e l'accesso subappaltatore a tutti i dati personali ea tutte le informazioni necessarie per svolgere i propri compiti;

 

f) avere accesso a tutti i locali del controllore e il sub-appaltatore, tra cui qualsiasi installazione e qualsiasi mezzo di elaborazione, conformemente al diritto dell'Unione e diritto processuale degli Stati membri.

 

Ciascuna autorità ha il potere di adottare tutte le seguenti misure correttive:

a) notificare a un controller o un subappaltatore del fatto che le operazioni di trattamento previste sono suscettibili di violare le disposizioni del presente regolamento;

 

b) chiamata per ordinare un controllore o un processore quando le operazioni di lavorazione hanno portato ad una violazione delle disposizioni del presente regolamento;

 

c) ordinare il controller o il subappaltatore per soddisfare le richieste fatte dalla persona interessata di esercitare i propri diritti ai sensi del presente regolamento;

 

d) ordine controller o il subappaltatore le operazioni di trattamento secondo le disposizioni del presente regolamento, se esiste, e precisamente entro un determinato periodo;

 

e) dirigere il controller di comunicare alla persona interessata una violazione dei dati del personale della natura;

 

f) imporre a restrizioni temporanee o permanenti, inclusi il divieto del trattamento;

 

g) ordinare la rettifica o la cancellazione dei dati personali o limitazione dei trattamenti sulla base degli articoli 16, 17 e 18 e la notifica di tali azioni ai destinatari ai quali i dati personali sono stati esposti sotto la L'articolo 17, paragrafo 2, e l'articolo 19;

 

h) ritirare certificazione o ordinare l'organismo di certificazione di ritirare una certificazione rilasciata nelle sezioni 42 e 43, o ordinare il corpo di certificazione non concedere certificazione se i requisiti per la certificazione non sono o più soddisfatte;

 

i) una sanzione ai sensi amministrativa dell'articolo 83, in aggiunta o in sostituzione delle misure di cui al presente paragrafo, sulla base delle caratteristiche di ciascun caso;

 

j) ordinare la sospensione dei flussi di dati inviato ad un ricevitore situato in un paese terzo o un'organizzazione internazionale.

 

3. Ciascuna autorità ha tutti i poteri autorizzativi e di tutte le successive poteri consultivi:

 

a) informare il controllore secondo la consultazione preliminare di cui all'articolo 36;

 

b) rilascia, di propria iniziativa o su richiesta, la consulenza all'attenzione del parlamento nazionale, il governo dello Stato membro o in base alla legislazione dello Stato membro, le altre istituzioni e agenzie e il pubblico su ogni questione in materia di protezione dei dati personali;

 

c) autorizzare il trattamento di cui all'articolo 36, paragrafo 5, se la legislazione dello Stato membro che richiede tale autorizzazione preventiva;

 

d) esprimere un parere sui codici di condotta e approvare progetti che ai sensi dell'articolo 40, paragrafo 5;

 

e) la certificazione accredito corpi applicazione dell'articolo 43;

 

f) l'emissione di certificazioni e approvare requisiti di certificazione ai sensi dell'articolo 42, paragrafo 5;

 

g) adottare clausole di protezione dei dati ai sensi dell'articolo 28, paragrafo 8, e l'articolo 46, paragrafo 2, lettera d);

 

h) di autorizzare clausole contrattuali di cui all'articolo 46, paragrafo 3 bis);

 

i) autorizzare le disposizioni amministrative di cui all'articolo 46, paragrafo 3, b);

 

j) approvano norme vincolanti d'impresa ai sensi dell'articolo 47.

 

L'esercizio dei poteri in applicazione del presente articolo autorità di controllo è soggetto ad adeguate garanzie, tra cui il diritto a un ricorso giurisdizionale effettivo e un giusto processo ai sensi della legge dell'Unione e il diritto gli Stati membri in base alla Carta.

Ciascuno Stato membro, per legge, che il suo supervisore ha il potere di portare le violazioni del presente regolamento all'attenzione delle autorità giudiziarie e, se necessario, intraprendere azioni legali in un modo o l'altro, a far rispettare le disposizioni del presente regolamento.

Ciascuno Stato membro può, per legge, che il suo supervisore ha poteri aggiuntivi rispetto a quelli di cui ai paragrafi 1, 2 e 3. L'esercizio di tali poteri non ostacola il funzionamento del capitolo VII.

Articolo 59

 

relazioni di attività

Ogni autorità redige una relazione annuale sulle sue attività, che può includere un elenco dei tipi di violazioni segnalate e le tipologie di misure adottate a norma dell'articolo 58, paragrafo 2. Questi rapporti sono trasmessi al parlamento nazionale, il governo e altre autorità designate dalla legislazione dello Stato membro. Sono messe a disposizione del pubblico, la Commissione e il Comitato.

 

CAPO VII

 

Cooperazione e coerenza

 

sezione 1

 

cooperazione

Articolo 60

 

La cooperazione tra il supervisore piombo e le altre autorità di vigilanza interessate

Il lead supervisor coopera con le altre autorità di vigilanza interessate ai sensi della presente sezione per cercare di raggiungere un consenso. Il supervisore di piombo e le autorità di vigilanza interessate si scambiano tutte le informazioni utili.

Il lead supervisor può in qualsiasi momento chiedere di altre autorità di vigilanza interessate di fornire assistenza reciproca ai sensi dell'articolo 61 e in grado di condurre operazioni congiunte ai sensi dell'articolo 62, in particolare per il make indagini o applicare una misura su un controller o un subincaricato stabilita in un altro Stato membro.

Il lead supervisor senza indugio, le informazioni sulla questione ad altre autorità di vigilanza interessate. Esso presenta senza indugio un progetto di decisione alle altre autorità di vigilanza interessate per ottenere il loro parere e tiene debitamente conto delle loro opinioni.

Quando altre autorità di vigilanza rilevanti formula entro quattro settimane dopo essere stato consultato in conformità del paragrafo 3 del presente articolo, un'obiezione rilevante e motivato per quanto riguarda il progetto di decisione, l'autorità di controllo della testa file, se non segue le obiezioni rilevanti e motivati ​​o se ritiene che questa obiezione è irrilevante o motivato, adire il meccanismo di controllo di coerenza di cui all'articolo 63.

Quando la leadership dell'autorità intende seguire di controllo pertinente e motivato obiezione formulata, sottopone alle altre autorità di vigilanza interessate un progetto di decisione rivisto al fine di ottenere il loro parere. Questo progetto riveduto di decisione è soggetta alla procedura di cui al paragrafo 4 entro due settimane.

Quando non le altre autorità di vigilanza interessate hanno sollevato obiezioni per quanto riguarda il progetto di decisione presentato dal lead supervisor nel termine di cui ai paragrafi 4 e 5, il supervisore capo leader e autorità di vigilanza interessate devono essere considerati per l'approvazione del progetto di decisione e sono vincolati da essa.

Il supervisore di piombo prende la decisione, il preside comunica l'istituzione o la proprietà unica del controller o il subappaltatore, a seconda dei casi, e informa le altre autorità di vigilanza interessate e il comitato della decisione, anche fornendo una sintesi dei fatti ed i motivi. L'autorità di vigilanza a cui una denuncia è stata presentata informa la decisione l'autore della denuncia.

In deroga al paragrafo 7, quando la richiesta è negato o rifiutato, l'autorità di vigilanza con la quale è stata presentata la denuncia adotta la decisione, informa l'autore della denuncia e informare il controllore.

Lorsque l'autorité de contrôle chef de file et les autorités de contrôle concernées sont d'accord pour refuser ou rejeter certaines parties d'une réclamation et donner suite à d'autres parties de cette réclamation, une décision distincte est adoptée pour chacune des parties. L'autorité de contrôle chef de file adopte la décision pour la partie relative aux actions concernant le responsable du traitement, la notifie à l'établissement principal ou à l'établissement unique du responsable du traitement ou du sous-traitant sur le territoire de l'État membre dont elle relève et en informe l'auteur de la réclamation, tandis que l'autorité de contrôle de l'auteur de la réclamation adopte la décision pour la partie concernant le refus ou le rejet de cette réclamation, la notifie à cette personne et en informe le responsable du traitement ou le sous- traitant.

Dopo essere stato informato della decisione del piombo Autorità di vigilanza ai sensi dei commi 7 e 9, il controllore o il processore prende le misure necessarie per garantire il rispetto della decisione per quanto riguarda le attività trattamento condotta nel contesto di tutte le istituzioni dell'Unione. Le misure subappaltatore del controller o notificare adottate per garantire il rispetto della decisione del lead supervisor, che informa le altre autorità di vigilanza interessate.

Quando, in casi eccezionali, le autorità di vigilanza interessate ha motivo di ritenere che sia urgente intervenire per tutelare gli interessi di coloro che sono colpiti, la procedura di emergenza di cui all'articolo 66 si applica.

Il supervisore di piombo e le altre autorità di vigilanza interessate comunicare elettronicamente, utilizzando un modulo standard, le informazioni richieste ai sensi del presente articolo.

Articolo 61

 

assistenza reciproca

Le autorità di vigilanza devono fornire informazioni appropriate e si assistono reciprocamente ordine di attuare e applicare queste norme in modo coerente, e mettere in atto misure per collaborare efficacemente. Assistenza reciproca per quanto riguarda la loro richiesta di azioni di informazione e di controllo, come le richieste di autorizzazione e di consultazione preventiva, ispezioni e indagini.

Ogni autorità adotta tutte le misure appropriate per rispondere a una richiesta di un'altra autorità di vigilanza non appena possibile e non più tardi di un mese dal ricevimento della richiesta. Tali misure possono includere, in particolare, la trasmissione di informazioni utili sul comportamento di un'indagine.

Le richieste di assistenza contengono tutte le informazioni necessarie, compreso lo scopo e le motivazioni per la richiesta. Le informazioni scambiate sono utilizzate per gli scopi per cui è stato richiesto.

Un'autorità di controllo richiesta non può rifiutarsi di dar seguito a una richiesta di assistenza a meno che:

a) non è competente a trattare il tema della richiesta o di adottare i provvedimenti che è chiamato a svolgere; o

 

b) soddisfare la domanda sarebbe una violazione del presente regolamento o della legge del diritto dell'Unione o dello Stato membro al quale viene presentata l'autorità di vigilanza, che ha ricevuto la domanda.

 

L'autorità di vigilanza adita informa autorità di vigilanza richiedente dei risultati o, a seconda dei casi, dello stato di avanzamento delle misure adottate in risposta alla richiesta. L'autorità di vigilanza interpellata spiegare le ragioni per qualsiasi rifiuto di rispettare una richiesta ai sensi del paragrafo 4.

In generale, le autorità di controllo richiesti comunicare elettronicamente, utilizzando un modulo standard, le informazioni richieste dalle altre autorità di vigilanza.

Le autorità di vigilanza non ricevono richieste senza alcun costo per le azioni che intraprendono in risposta ad una domanda di assistenza giudiziaria. Le autorità di vigilanza possono accettare le regole per la concessione di una compensazione a loro per spese specifiche derivanti dalla fornitura di assistenza reciproca in circostanze eccezionali.

Quando un supervisore non fornisce le informazioni di cui al paragrafo 5 del presente articolo entro un mese dal ricevimento della richiesta di un'altra autorità di vigilanza, chiedendo autorità di controllo può adottare una provvedimento provvisorio sul territorio dello Stato membro cui si riferisce ai sensi dell'articolo 55, paragrafo 1. in questo caso, le circostanze per considerare l'urgenza di intervenire ai sensi dell'articolo 66, paragrafo 1 sono considerati di esistere e richiedono una decisione vincolante del comitato di emergenza ai sensi dell'articolo 66, paragrafo 2.

La Commissione può, mediante atti di esecuzione, specificare il formato e le procedure di mutua assistenza in questa sezione, e le condizioni di scambio di informazioni per via elettronica tra le autorità di vigilanza e tra supervisori e il comitato, in particolare per quanto riguarda la forma di cui al paragrafo 6 del presente articolo. Tali atti sono adottati secondo la procedura d'esame di cui all'articolo 93, paragrafo 2.

Articolo 62

 

Le operazioni congiunte di autorità di vigilanza

supervisori di piombo, se necessario, operazioni congiunte, tra cui conducendo indagini congiunte e adottando misure repressive comuni, coinvolgendo i membri o altri agenti autorità di controllo degli Stati membri.

Quando il controllore o il subappaltatore è stabilito in più Stati membri o di un numero significativo di persone interessate in vari Stati membri sono suscettibili di essere significativamente influenzato dalla operazioni di trattamento, ciascuna autorità di vigilanza di tali Stati i membri hanno il diritto di partecipare alle operazioni congiunte. L'autorità di vigilanza che ha giurisdizione ai sensi dell'articolo 56, paragrafo 1 o 4, invita ciascuna autorità di vigilanza degli Stati membri interessati a partecipare a operazioni congiunte e risponde prontamente a qualsiasi richiesta di un'autorità di vigilanza che desiderano partecipare.

Un'autorità di vigilanza in base alla legge di uno Stato membro, e con il permesso dell'autorità di controllo originale, poteri conferire, tra cui poteri di indagine, membri o agenti di autorità di controllo originale partecipano alle operazioni congiunte o accettare, a condizione che la legislazione dello Stato membro al quale i permessi casa di autorità di vigilanza che i membri o agenti dell'autorità di controllo di originariamente esercitare i loro poteri investigativi sotto la legislazione dello Stato membro dell'autorità di controllo originale. Questi sondaggio poteri può essere esercitata solo sotto l'autorità e in presenza di membri o agenti dell'autorità di controllo host. I membri o agenti della

Quando, ai sensi del comma 1, gli agenti della operativo autorità di controllo originale in un altro Stato membro, lo Stato membro in cui l'autorità del paese ospitante si assume la responsabilità delle proprie azioni, compresa la responsabilità il danno che provoca durante le operazioni di cui sono responsabili ai sensi della legge dello Stato membro nel cui territorio operano.

Lo Stato membro nel cui territorio il danno è stato causato riparare questi danni alle condizioni applicabili ai danni causati dai propri funzionari. Lo Stato membro dell'autorità di controllo originale i cui agenti hanno causato danni a persone sul territorio di un altro Stato membro rimborsa allo Stato membro le somme versate ai beneficiari .

Fatto salvo l'esercizio dei suoi diritti nei confronti di terzi e fatto salvo il paragrafo 5, ciascuno Stato membro rinuncia, nel caso di cui al paragrafo 1, a chiedere un altro Stato membro di rimborso relative a danni coperti al paragrafo 4.

Quando si prevede un'operazione congiunta e un'autorità di vigilanza non si conformi entro un mese, con l'obbligo di cui al paragrafo 2, secondo periodo del presente articolo, le altre autorità di vigilanza possono adottare un provvedimento provvisorio sul territorio dello Stato membro in cui si osserva che, ai sensi dell'articolo 55. in questo caso, le circostanze per considerare l'urgenza di intervenire a norma dell'articolo 66, paragrafo 1 si presume essere soddisfatte e richiedono un parere o una decisione vincolante del comitato di emergenza ai sensi dell'articolo 66, paragrafo 2.

sezione 2

 

coerenza

Articolo 63

 

Meccanismo per controllare la coerenza

Per contribuire all'applicazione coerente del presente regolamento in tutta l'Unione, le autorità di vigilanza cooperano e, se del caso, con la Commissione, nell'ambito del meccanismo di consistenza stabilita in questo sezione.

 

Articolo 64

 

Parere del Comitato

1. Il Comitato formula un parere ogni volta che un'autorità di vigilanza competente che intenda adottare una delle seguenti misure. A tal fine, l'autorità di vigilanza competente comunica il progetto di decisione al comitato, quando questo progetto:

 

a) è quello di adottare un elenco di operazioni per le quali deve essere effettuata una valutazione di impatto in materia di protezione dei dati a norma dell'articolo 35 di elaborazione, comma 4;

 

b) se riguarda, ai sensi dell'articolo 40, paragrafo 7, se un codice di progetto condotta o una modifica o estensione di un codice di comportamento conforme con questi regolamenti;

 

c) obiettivi per approvare criteri di riconoscimento di un'organizzazione ai sensi dell'articolo 41, paragrafo 3, o di un organismo di certificazione ai sensi dell'articolo 43, paragrafo 3;

 

d) mira a clausole impostati per la protezione dei dati ai sensi dell'articolo 46, comma 2 d), e l'articolo 28, paragrafo 8;

 

e) si propone di autorizzare clausole contrattuali di cui all'articolo 46, paragrafo 3 bis); o

 

f) si propone di approvare norme vincolanti d'impresa ai sensi dell'articolo 47.

 

Qualsiasi autorità di vigilanza, il presidente della commissione o la Commissione può chiedere che ogni questione di portata generale o effetti che producono in diversi Stati membri per essere considerato dal comitato al fine di ottenere un parere, in particolare quando un'autorità di vigilanza giurisdizione non è conforme agli obblighi in materia di mutua assistenza ai sensi dell'articolo 61 o gli obblighi relativi alle operazioni congiunte in conformità dell'articolo 62.

Nei casi di cui ai paragrafi 1 e 2, i problemi della commissione un parere sulla questione ad essa sottoposta, a condizione che non ha già emesso un parere sulla stessa questione. Questo parere è stato adottato entro otto settimane a maggioranza semplice dei membri del comitato. Questo periodo può essere prorogato di sei settimane a seconda della complessità della questione. Per quanto riguarda il progetto di decisione di cui al paragrafo 1 inoltrato al comitato ai sensi del paragrafo 5, un membro che non si oppone entro un insieme termine ragionevole da parte del Presidente è ritenuto di approvare il progetto di decisione.

Le autorità di vigilanza e la Commissione, non appena il comitato elettronicamente, utilizzando un modulo standard, tutte le informazioni pertinenti, tra cui, a seconda dei casi, una sintesi dei fatti, il progetto di decisione , le ragioni che richiedono l'adozione di questa misura e le opinioni di altre autorità di vigilanza interessate.

Il presidente della commissione trasmette prontamente elettronicamente:

a) tutte le informazioni pertinenti messe a disposizione ai membri e la Commissione, utilizzando un modulo standard. La segreteria della commissione, se del caso, relative traduzioni di informazione; e

 

b) l'avviso di cui al l'autorità di vigilanza, a seconda dei casi, ai paragrafi 1 e 2, e la Commissione, e pubblicati.

 

L'autorità di vigilanza competente non adotta il progetto di decisione di cui al paragrafo 1 quando il periodo di cui al paragrafo 3 breve.

Il paragrafo 1 sotto l'autorità di controllo tiene nella massima considerazione il parere del comitato e ha informato il presidente del Comitato per via elettronica utilizzando un modulo standard, entro due settimane dal ricevimento della parere se manterrà o se modificherà il suo progetto di decisione e, se del caso, il suo progetto di decisione modificata.

Quando l'autorità di vigilanza interessata ne informa il Presidente del Comitato, entro il termine di cui al paragrafo 7 del presente articolo che non intende seguire in tutto o in parte, il parere del comitato, che fornisce il , si applica motivi pertinenti, l'articolo 65 paragrafo 1.

Articolo 65

 

Risoluzione delle controversie da parte del comitato

1. Al fine di garantire l'applicazione corretta e coerente del presente regolamento, nel caso, il comitato adotta una decisione vincolante nei seguenti casi:

 

a) quando, nel caso di cui all'articolo 60, paragrafo 4, l'autorità di vigilanza interessata ha fatto un'obiezione rilevante e motivato nei confronti di un progetto di decisione del leader o supervisore il lead supervisor respinto l'eccezione per il fatto che non è pertinente o motivata. La decisione vincolante su tutte le questioni che sono oggetto di obiezioni rilevanti e motivati ​​come ad esempio se c'è una violazione del presente regolamento;

 

b) quando non vi sono opinioni divergenti per quanto riguarda l'autorità di vigilanza competente competenti per la struttura principale;

 

c) se un'autorità di vigilanza non richiede il parere del comitato nei casi di cui all'articolo 64, paragrafo 1, o non seguire il parere del Comitato formulata ai sensi dell'articolo 64 . in questo caso, una delle autorità di vigilanza o la Commissione può sottoporre la questione al comitato.

 

La decisione di cui al paragrafo 1 è adottato da una maggioranza di due terzi dei membri del comitato entro un mese dopo la trasmissione della questione. Questo periodo può essere prorogato di un mese a seconda della complessità della questione. La decisione di cui al paragrafo 1 deve essere motivata e inviato al regolatore di piombo e di tutte le autorità di vigilanza interessate ed è vincolante per loro.

Quando il comitato non è stato in grado di adottare una decisione entro il termine di cui al paragrafo 2, adotta una decisione, a maggioranza semplice dei suoi membri, entro due settimane dopo la scadenza di due mesi di cui al paragrafo 2. in caso di parità di voti in seno al comitato, la voce del presidente è dominante.

Le autorità di vigilanza interessate non adottare una decisione sulla questione al comitato di cui al paragrafo 1 in cui i termini di cui ai paragrafi 2 e 3 run.

Il presidente della commissione, non appena la decisione di cui al paragrafo 1 alle autorità di vigilanza competenti. Esso ne informa la Commissione. La decisione è pubblicato sul sito Internet del Comitato subito dopo che l'autorità di vigilanza ha notificato la decisione finale di cui al paragrafo 6.

Il supervisore piombo o, a seconda dei casi, l'autorità di vigilanza da cui è stata presentata la denuncia adotta la decisione finale sulla base della decisione di cui al paragrafo 1 del presente articolo, il più presto possibile e non più tardi di un mese dopo che il comitato ha notificato la sua decisione. Il supervisore piombo o, a seconda dei casi, l'autorità di vigilanza con cui la denuncia è stata presentata informa la data del Comitato in cui la decisione finale è stato notificato, rispettivamente al controller o sub -traitant e la persona interessata. La decisione finale delle autorità di vigilanza interessate accettato le condizioni di cui all'articolo 60, commi 7, 8 e 9. La decisione finale si riferisce alla decisione di cui al paragrafo 1 del presente articolo e ha detto che sarà pubblicato sul sito Internet del Comitato a norma del paragrafo 5 del presente articolo. La decisione di cui al paragrafo 1 del presente articolo è attaccato alla decisione finale.

Articolo 66

 

procedura di emergenza

In casi eccezionali, quando un'autorità di vigilanza interessata ritenga urgente intervenire per proteggere i diritti e le libertà di dati, esso può, nonostante il meccanismo di controllo di coerenza di cui agli articoli 63, 64 e 65 o con la procedura di cui all'articolo 60, adottare immediatamente misure provvisorie a produrre effetti giuridici sul proprio territorio e con un periodo di validità specificato non superiore a tre mesi. L'autorità di vigilanza comunicare tempestivamente tali misure e le ragioni della loro adozione ad altre autorità di vigilanza interessate, il Comitato e la Commissione.

Se un'autorità di vigilanza è intervenuta ai sensi del paragrafo 1 e ritiene che sono urgentemente misure finali, può chiedere un parere urgente o una decisione vincolante del comitato di emergenza, motivando la sua richiesta parere o alla decisione.

Qualsiasi autorità di vigilanza una richiesta motivata di un parere o decisione e, in particolare, l'urgenza di intervenire, chiedendo al comitato un avviso di emergenza o di una decisione vincolante di una situazione di emergenza, a seconda dei casi, quando l'autorità di controllo competente non ha dato seguito appropriato in una situazione in cui è urgente intervenire per proteggere i diritti e le libertà delle persone.

In deroga all'articolo 64, paragrafo 3, e l'articolo 65, paragrafo 2, l'avviso di emergenza o la decisione vincolante di urgenza di cui ai paragrafi 2 e 3 del presente articolo sono adottate entro due settimane a maggioranza semplice dei membri del comitato.

Articolo 67

 

Scambio di informazioni

La Commissione può adottare atti di esecuzione in generale vincolante per definire i termini dello scambio di informazioni elettroniche tra autorità di vigilanza e tra queste e il comitato, tra cui la forma standard di cui all'articolo 64.

 

Tali atti sono adottati secondo la procedura d'esame di cui all'articolo 93, paragrafo 2.

 

sezione 3

 

Comitato europeo per la protezione dei dati

Articolo 68

 

Comitato europeo per la protezione dei dati

Il Comitato europeo per la protezione dei dati (in seguito denominato "Comitato") viene stabilito come un organismo dell'Unione ed è dotata di personalità giuridica.

Il comitato è rappresentato dal suo presidente.

Il comitato è composto da testa di ogni autorità di controllo degli Stati membri e il garante europeo della protezione dei dati, oi loro rispettivi rappresentanti.

Quando in uno Stato membro, diversi supervisori sono responsabili del controllo dell'applicazione del presente regolamento, un rappresentante comune è nominato in conformità alla legislazione di detto Stato membro.

La Commissione ha il diritto di partecipare alle attività e riunioni del comitato senza diritto di voto. La Commissione designa un rappresentante. Il Presidente del Comitato informa la Commissione delle attività del comitato.

Nei casi di cui all'articolo 65, il garante europeo della protezione dei dati non ha diritto di voto per le decisioni riguardanti i principi e le regole applicabili alle istituzioni e agli organi dell'Unione corrispondente nella sostanza a quelle di cui al presente regolamento.

Articolo 69

 

indipendenza

Il comitato svolge i compiti ei poteri che gli sono conferiti ai sensi degli articoli 70 e 71 in modo indipendente.

Fatte salve le richieste della Commissione di cui all'articolo 70, paragrafo 1, lettera b), e dell'articolo 70, paragrafo 2, il comitato non sollecitano né accettano istruzioni da nessuno nello svolgimento della sua compiti e poteri.

Articolo 70

 

Comitato missioni

1. Il Comitato garantisce l'applicazione coerente del presente regolamento. A tal fine, il Comitato, di propria iniziativa o, se del caso, su richiesta della Commissione, ha le seguenti missioni:

 

a) per monitorare e garantire la corretta applicazione del presente regolamento, come previsto dagli articoli 64 e 65, fatte salve le autorità missioni di vigilanza nazionali;

 

b) consigliare la Commissione su qualsiasi questione relativa alla protezione dei dati personali nell'Unione, tra cui su ogni proposta di modifica del presente regolamento;

 

c) consiglia la Commissione per quanto riguarda le norme aziendali vincolanti, sotto forma di scambio di informazioni tra controllori, imprenditori e autorità di vigilanza, nonché le procedure che s ad essi relativi;

 

d) emana orientamenti, consigli e best practice in materia di procedure per la rimozione di collegamenti a dati personali, copie o riproduzioni di loro esistenti nei servizi di comunicazione a disposizione del pubblico e la di cui all'articolo 17, paragrafo 2;

 

e) esamina, di propria iniziativa, su richiesta di uno dei suoi membri o su richiesta della Commissione qualsiasi questione relativa all'applicazione del presente regolamento linee guida e di emissione, consigli e buone pratiche per promuovere l'applicazione coerente del presente regolamento;

 

f) emana orientamenti, consigli e best practice in conformità al punto e) del presente paragrafo, per specificare ulteriormente i criteri e le condizioni applicabili alle decisioni sulla base di profiling ai sensi dell'articolo 22, comma 2;

 

g) emana orientamenti, consigli e best practice in conformità al punto e) del presente paragrafo, per stabilire le violazioni di dati personali, per determinare il momento migliore di cui all'articolo 33, commi 1 e 2, e specificare le circostanze particolari in cui è richiesto un controller o di un subappaltatore di notificare alla violazione dei dati al personale della natura;

 

h) emana orientamenti, consigli e best practice in conformità al punto e) del presente paragrafo, relativa le circostanze in cui una violazione dei dati personali è in grado di generare un rischio elevato per i diritti e le libertà delle persone fisiche come previsto dall'articolo 34, comma 1;

 

i) emana orientamenti, consigli e best practice in conformità al punto e) del presente paragrafo, al fine di specificare ulteriormente i criteri ei requisiti per i trasferimenti di dati personali in base alla norme vincolanti d'impresa applicate da controllori e su norme vincolanti d'impresa applicate da subappaltatori e per altri requisiti necessari per garantire la protezione dei dati di carattere personale degli interessati ai sensi dell'articolo 47;

 

j) emana orientamenti, raccomandazioni e le migliori pratiche in conformità al punto e) del presente paragrafo, per specificare ulteriormente i criteri ei requisiti per i trasferimenti di dati personali sulla base dell'articolo 49, paragrafo 1;

 

k) per sviluppare, a beneficio delle autorità di vigilanza, le linee guida per l'applicazione delle misure di cui all'articolo 58, commi 1, 2 e 3, così come delle ammende amministrative sotto la sezione 83;

 

l) per fare il punto l'applicazione pratica delle linee guida, raccomandazioni e le migliori pratiche di cui alle lettere e) ed f);

 

m) per emana orientamenti, consigli e best practice in conformità al punto e) del presente paragrafo, per stabilire procedure comuni per la segnalazione da parte di individui per le violazioni del presente regolamento ai sensi dell'articolo 54 , comma 2;

 

n) incoraggiare lo sviluppo di codici di condotta e la creazione di schemi di certificazione ed etichette e marchi per la protezione dei dati ai sensi degli articoli 40 e 42;

 

o) per condurre l'accreditamento degli organismi di certificazione e revisione periodica che l'approvazione ai sensi della sezione 43 e di tenere un registro pubblico degli istituti autorizzati ai sensi dell'articolo 43, comma 6, e i titolari del trattamento o subappaltatori stabilito nei paesi terzi ai sensi dell'articolo 42, paragrafo 7;

 

p) definiscono i requisiti di cui all'articolo 43, paragrafo 3, ai fini di accreditamento degli organismi di certificazione di cui all'articolo 42;

 

q) per dare alla Commissione un parere in merito alla certificazione requisiti di cui all'articolo 43, paragrafo 8;

 

r) per rendere alla Commissione un parere sulle icone di cui all'articolo 12, paragrafo 7;

 

s) de rendre à la Commission un avis en ce qui concerne l'évaluation du caractère adéquat du niveau de protection assuré par un pays tiers ou une organisation internationale, y compris concernant l'évaluation visant à déterminer si un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou une organisation internationale n'assurent plus un niveau adéquat de protection. À cette fin, la Commission fournit au comité tous les documents nécessaires, y compris la correspondance avec le gouvernement du pays tiers, en ce qui concerne ledit pays tiers, territoire ou secteur déterminé ou avec l'organisation internationale;

 

t) per emettere pareri sulle autorità di vigilanza dei progetti di decisione in conformità con il meccanismo di coerenza di cui all'articolo 64, paragrafo 1, sulle questioni presentate ai sensi dell'articolo 64, paragrafo 2, e a decisioni vincolanti ai sensi dell'articolo 65, anche nei casi di cui all'articolo 66 emissione;

 

u) la promozione della cooperazione e l'effettiva scambio bilaterale e multilaterale di informazioni e di buone pratiche tra le autorità di vigilanza;

 

v) promuovere lo sviluppo di programmi comuni di formazione e facilitare lo scambio di personale tra le autorità di vigilanza e, se del caso, con le autorità di vigilanza di paesi terzi e le organizzazioni internazionali;

 

w) per promuovere lo scambio con le autorità per la protezione di vigilanza di dati provenienti da tutti i paesi, la conoscenza e la documentazione sulla legislazione e le pratiche in materia di protezione dei dati;

 

x) di emettere pareri su codici di condotta elaborati a livello comunitario ai sensi dell'articolo 40, paragrafo 9; e

 

y) di un registro elettronico, le decisioni accessibili al pubblico adottate dalle autorità di vigilanza e tribunali nei settori definiti nel contesto del meccanismo di coerenza.

 

Quando la Commissione chiede il parere al comitato, può essere menzionato un momento, in funzione dell'urgenza della questione.

Il Comitato trasmette i suoi pareri, linee guida, consigli e best practice per la Commissione e il comitato di cui all'articolo 93, e pubblicate.

Il comitato consulta, se del caso, le parti interessate e permettere loro di formulare osservazioni entro un termine ragionevole. Si mette i risultati della procedura di consultazione a disposizione del pubblico, fatto salvo l'articolo 76.

Articolo 71

 

relazioni

Il Comitato produce una relazione annuale sulla protezione delle persone fisiche con riguardo al trattamento nell'UE e, se del caso, nei paesi terzi e organizzazioni internazionali. Il rapporto è reso pubblico e trasmesso al Parlamento europeo, al Consiglio e alla Commissione.

La presente relazione annuale compresa la valutazione della applicazione pratica delle linee guida, raccomandazioni e le migliori pratiche di cui all'articolo 70, paragrafo 1, lettera l) e le decisioni vincolanti di cui all'articolo 65.

Articolo 72

 

procedura

Il Comitato prende le sue decisioni a maggioranza semplice dei suoi membri, salvo diversa disposizione del presente regolamento.

Il comitato adotta il proprio regolamento interno a maggioranza dei due terzi dei suoi membri e determina le modalità di funzionamento.

Articolo 73

 

presidente

Il comitato elegge il proprio presidente e due vicepresidenti tra i suoi membri, a maggioranza semplice.

I presidenti presidente e vice sono eletti per un periodo di cinque anni, rinnovabile una volta.

Il presidente è responsabile di:

Articolo 74 Compiti del Presidente

a) convoca le riunioni del comitato e l'ordine del giorno;

 

b) notifica le decisioni adottate dal Comitato di cui all'articolo 65 al supervisore di piombo e le autorità di vigilanza interessate;

 

c) garantire l'adempimento, nei tempi previsti, delle attività della commissione, soprattutto per quanto riguarda il meccanismo di coerenza di cui all'articolo 63.

 

Il comitato nel suo regolamento la ripartizione dei compiti tra il presidente ei vicepresidenti.

Articolo 75

 

segreteria

La commissione dispone di una segreteria, che è fornito dal garante europeo della protezione dei dati.

Il segretariato svolgere i propri compiti sotto la sola autorità della sedia.

Il personale della protezione dei dati europea che partecipa alle missioni che il regolamento affida la commissione è soggetta ad una struttura gerarchica separata dal personale coinvolto nello svolgimento dei compiti affidati al Garante europeo la protezione dei dati.

Se necessario, il comitato e della protezione dei dati europea stabilisce e pubblicare un progetto di accordo applicazione del presente articolo, che stabilisce le modalità della loro cooperazione e l'applicazione per la protezione dei dati personale della protezione dei dati europea coinvolti nello svolgimento dei compiti che il presente regolamento ha affidato al comitato.

Il Segretariato fornisce supporto analitico, amministrativo e logistico al comitato.

Segreteria è particolarmente responsabile di:

a) il comitato di gestione corrente;

 

b) la comunicazione tra i membri del comitato, del suo Presidente e la Commissione;

 

c) la comunicazione con le altre istituzioni e l'opinione pubblica;

 

d) l'uso di mezzi elettronici per la comunicazione interna ed esterna;

 

e) la traduzione di informazioni rilevanti;

 

f) le riunioni di preparazione e comitato di sorveglianza;

 

g) la preparazione, redazione e pubblicazione dei pareri, decisioni sulla composizione delle controversie tra autorità di vigilanza e gli altri testi adottati dal comitato.

 

Articolo 76

 

riservatezza

Quando ritenuto necessario da parte del Comitato, le sue deliberazioni sono riservate, come previsto i suoi regolamenti interni.

L'accesso ai documenti presentati al comitato, esperti e rappresentanti di terzi è disciplinato dal regolamento (CE) n 1049/2001 del Parlamento europeo e del Consiglio (1).

CAPO VIII

 

Rimedi, responsabilità e sanzioni

Articolo 77

 

Diritto di presentare una denuncia presso l'autorità di vigilanza

Fatto salvo qualsiasi altro rimedio amministrativo o giudiziario, ogni persona ha il diritto di presentare una denuncia presso l'autorità di vigilanza, in particolare nello Stato membro in cui è residenza abituale, luogo di lavoro o in cui la violazione è stata commessa, se ritiene che il trattamento dei dati personali che lo riguardano una violazione del presente regolamento.

L'autorità di vigilanza da cui è stata presentata la denuncia informa l'autore della pretesa di svolgimento e dei risultati del credito, compresa la possibilità di un ricorso giurisdizionale di Articolo 78.

Articolo 78

 

Diritto ad un ricorso effettivo contro un'autorità di vigilanza

Fatte salve qualsiasi altro tribunale amministrativo o, qualsiasi persona fisica o giuridica ha il diritto di cercare efficace rimedio giurisdizionale contro una decisione giuridicamente vincolante di un'autorità di vigilanza è interessato.

Fatte salve qualsiasi altro tribunale amministrativo o, qualsiasi persona ha il diritto di formare un ricorso giurisdizionale effettivo quando l'autorità di vigilanza che è competente ai sensi degli articoli 55 e 56 non elabora un reclamo o di non informare la persona interessato, entro tre mesi dello stato o il risultato della sua denuncia ai sensi dell'articolo 77.

Qualsiasi azione nei confronti di un'autorità di vigilanza è presente davanti ai giudici dello Stato membro nel cui territorio ha sede l'autorità di vigilanza.

Nel caso di un ricorso contro una decisione di un'autorità di vigilanza che è stata preceduta da un parere o una decisione del comitato, come parte del meccanismo di coerenza, le trasmette supervisore parere o alla decisione in questione giurisdizione interessata.

Articolo 79

 

Diritto ad un ricorso effettivo contro un controllore o un subappaltatore

Fatte salve eventuali ricorsi amministrativi o giurisdizionali ad esso, compreso il diritto di presentare una denuncia presso l'autorità di vigilanza di cui all'articolo 77, ogni persona ha diritto ad un ricorso giurisdizionale effettivo, se ritiene che i diritti conferiti dal presente regolamento sono stati violati da un trattamento dei propri dati personali in violazione del presente regolamento.

Qualsiasi azione nei confronti di un controllore o un subappaltatore è portato dinanzi ai giudici dello Stato membro in cui il controllore o il subfornitore ha una stabile organizzazione. Tale azione può essere proposta anche davanti ai giudici dello Stato membro in cui l'interessato ha la residenza abituale, a meno che il controller o la frequentano, come è uno Stato membro di un'autorità pubblica nell'esercizio dei suoi poteri pubblici.

(1) Il regolamento (CE) n 1049/2001 del Parlamento europeo e del Consiglio, del 30 maggio 2001 relativo all'accesso del pubblico ai documenti del Parlamento europeo, del Consiglio e della Commissione (GU L 145 del 31.5.2001, pag . 43).

 

Articolo 80

 

Rappresentazione delle persone interessate

L'interessato ha il diritto di nominare un'associazione agenzia, organizzazione o senza scopo di lucro, che è stato validamente costituita secondo la legislazione di uno Stato membro la cui finalità di interesse pubblico per legge ed è attivo nel campo la tutela dei diritti e delle libertà delle persone sotto la protezione dei dati personali che lo riguardano, per esso presenta una denuncia a suo nome, esercitato in nome dei diritti di cui agli articoli 77, 78 e 79 e si impegna per il diritto di ottenere il risarcimento di cui all'articolo 82, dove la legge di uno Stato membro prevede.

Gli Stati membri possono prevedere che qualsiasi organismo, organizzazione o associazione di cui al paragrafo 1 del presente articolo, a prescindere da qualsiasi mandato una persona è, nello Stato membro in questione, il diritto di presentare un reclamo alla dall'autorità di vigilanza che è competente ai sensi dell'articolo 77 e esercitare i diritti previsti agli articoli 78 e 79 se ritiene che i diritti di una persona interessata di cui al presente regolamento sono stati violati dal trattamento.

Articolo 81

 

Sospensione dell'azione

Quando un giudice competente di uno Stato membro disponga di informazioni che un'azione relative allo stesso soggetto è stato portato nei confronti di un'elaborazione eseguita dallo stesso controller e lo stesso subappaltatore e è in attesa davanti a un tribunale altro Stato membro, lei contatti tribunale di un altro Stato membro per confermare l'esistenza di tale azione.

Quando un'azione concernente lo stesso soggetto è stato portato nei confronti di un'elaborazione eseguita dallo stesso controller e lo stesso subappaltatore ed è in attesa davanti a un giudice di un altro Stato membro, qualunque giurisdizione diversa da quella il primo giudice adito può sospendere la sua azione.

Quando questa azione è in corso dinanzi ai giudici di prima istanza, un tribunale diverso da quello del giudice successivamente adito può inoltre dichiarare la propria incompetenza, su richiesta di una delle parti, a condizione che il giudice preventivamente adito è competente a conoscere le azioni in questione e che la legge permette il consolidamento.

Articolo 82

 

Diritto al risarcimento e la responsabilità

Chiunque abbia subito danni materiali o morali a causa di una violazione di queste norme ha il diritto di ottenere dal responsabile o il subappaltatore riparazione del danno subito.

Ogni responsabile del trattamento che ha partecipato a un trattamento è responsabile del danno causato da un trattamento in violazione del presente regolamento. Un imprenditore è responsabile per i danni causati dal trattamento se non ha adempiuto agli obblighi di cui al presente regolamento che cadono su di subappaltatori o lui agito istruzioni esterne lecita del controllore o contrario a loro.

Un controller o un subappaltatore è esente da responsabilità ai sensi del paragrafo 2, se prova che l'evento che ha causato il danno non è imputabile ad esso.

Quando più controllori o subappaltatori o quando, contemporaneamente, un controllore e un subcontraente coinvolti nel trattamento e anche quando, ai punti 2 e 3, sono responsabili dei danni causati da trattamento, ciascuno dei controllori o subappaltatori è responsabile del danno integralmente a garantire l'interessato un rimedio efficace.

Quando un controller o di un subappaltatore, a norma del paragrafo 4, del tutto riparato il danno subito, essa ha il diritto di esigere dal altri controller o subappaltatori coinvolti per lo stesso trattamento dalla riparazione corrispondente alla loro parte di responsabilità per i danni, in conformità con i requisiti di cui al paragrafo 2.

L'azione giudiziaria intrapresa per esercitare il diritto di ricorso è presente davanti al giudice competente secondo la legge dello Stato membro ai sensi dell'articolo 79, paragrafo 2.

Articolo 83

 

Condizioni per sanzioni amministrative imponenti

Ogni supervisore orologio che le sanzioni amministrative inflitte ai sensi di questa sezione per le violazioni del presente regolamento di cui ai paragrafi 4, 5 e 6, in ogni caso efficaci, proporzionate e dissuasive.

In base alle caratteristiche specifiche del caso, sanzioni amministrative sono imposte in aggiunta o in sostituzione delle misure di cui all'articolo 58, paragrafo 2 a) ah) e j). Nel decidere se deve infliggere una sanzione amministrativa e di decidere l'importo della sanzione amministrativa tengono in debito conto, in ogni caso, quanto segue:

a) la natura, gravità e durata dell'infrazione, data la natura, la portata o lo scopo del trattamento in questione e il numero di persone colpite interessati e il livello di danno subito;

 

b) il fatto che l'infrazione sia stata commessa intenzionalmente o per negligenza;

 

c) eventuali azioni intraprese dal controllore o il processore di mitigare i danni subiti dagli interessati;

 

d) il grado di responsabilità del controllore o il subappaltatore, date le misure tecniche e organizzative che hanno attuato ai sensi degli articoli 25 e 32;

 

e) ogni violazione rilevante commessa precedentemente dal controllore o processore;

 

f) il grado di cooperazione instaurato con l'autorità di vigilanza per porre rimedio alla violazione e di mitigare gli effetti negativi;

 

g) le categorie di dati personali interessati dalla violazione;

 

h) il modo in cui il supervisore è consapevole della violazione, compreso se e in che misura, il controllore o il processore ha riportato la violazione;

 

i) in cui le misure di cui all'articolo 58, paragrafo 2, sono stati previamente ordinato contro il controllore o il contraente interessato per lo stesso scopo, rispettare di tali misure;

 

j) l'applicazione di codici approvati a norma dell'articolo 40 o di certificazione meccanismi approvati a norma dell'articolo 42; e

 

k) tutte le circostanze aggravanti o attenuanti applicabili alle circostanze del caso di specie, come ad esempio i benefici finanziari ottenuti o delle perdite evitate, direttamente o indirettamente, a causa della violazione.

 

Se un controller o deliberatamente subappaltatore viola o per negligenza diverse disposizioni del presente regolamento, come parte della stessa elaborazione delle transazioni o operazioni di elaborazione correlate, l'importo totale della sanzione amministrativa non può superare l'importo fisso per le violazioni più gravi.

Le violazioni delle seguenti disposizioni sono conformi al paragrafo 2 del sanzioni amministrative fino a 10 milioni di euro o, nel caso di un'impresa fino al 2% del fatturato totale annuo in tutto il mondo l'anno scorso, il più alto importo è trattenuto:

a) gli obblighi del controllore e subfornitore sezioni 8, 11, da 25 a 39, 42 e 43;

 

b) gli obblighi degli organismo di certificazione ai sensi degli articoli 42 e 43;

 

c) gli obblighi del organo responsabile del controllo dei codici di condotta ai sensi dell'articolo 41, paragrafo 4.

 

5. La violazione delle seguenti disposizioni sono conformi al paragrafo 2 del sanzioni amministrative fino a 20 milioni di euro o, nel caso di una società, fino al 4% del fatturato totale mondiale vendite annuali dello scorso anno, il più alto importo è trattenuto:

 

a) i principi di base del trattamento, comprese le condizioni per il consenso ai sensi degli articoli 5, 6, 7 e 9;

 

b) i diritti che gli interessati abbiano nei Capitoli da 12 a 22

 

c) trasferimenti di dati personali verso un ricevitore situato in un paese terzo o un'organizzazione internazionale sotto articoli 44 a 49;

 

d) tutti gli obblighi previsti dalla legge degli Stati membri adottati ai sensi del capitolo IX;

 

e) il mancato rispetto di un'ingiunzione, limitazione temporanea o permanente del trattamento, oppure ordinato la sospensione dei flussi di dati dall'autorità di vigilanza ai sensi dell'articolo 58, paragrafo 2, o il fatto di non concedere l'accesso fornito in violazione dell'articolo 58, paragrafo 1.

 

Il mancato rispetto di un decreto ingiuntivo emesso dall'autorità di vigilanza ai sensi dell'articolo 58, paragrafo 2, il soggetto, a norma del paragrafo 2 del presente articolo, una sanzione amministrativa fino a 20 milioni di euro o, nel caso di una società, fino al 4% del totale delle vendite globali annuali dello scorso anno, la più alta quantità di essere trattenuto.

Fatte salve le competenze delle autorità di vigilanza hanno in adozione di misure correttive ai sensi dell'articolo 58, paragrafo 2, ciascuno Stato membro può stabilire norme di determinare se e in quale misura sanzioni amministrative possono essere imposte le autorità pubbliche e gli enti pubblici istituiti sul proprio territorio.

L'esercizio da parte dell'autorità di vigilanza dei suoi poteri di cui al presente articolo è oggetto di adeguate garanzie procedurali conformemente al diritto dell'Unione e il diritto degli Stati membri, compresa la protezione giurisdizionale effettiva e un giusto processo .

Se il sistema giuridico di uno Stato membro non prevede sanzioni amministrative, questo articolo può essere applicato in modo che l'ammenda è determinata dalla competente autorità di vigilanza e imposta dai tribunali nazionali competenti, garantendo al tempo stesso che questi rimedi efficaci e hanno un effetto equivalente alle sanzioni amministrative imposte dalle autorità di vigilanza. In ogni caso, le ammende inflitte siano efficaci, proporzionate e dissuasive. Gli Stati membri interessati comunicano alla Commissione il testo delle disposizioni di legge adottate sensi del presente comma entro il 25 maggio 2018 e, senza indugio, qualsiasi disposizione legale o successiva modifica ogni successiva modifica delle stesse.

Articolo 84

 

sanzioni

Gli Stati membri determinano le altre sanzioni applicabili in caso di violazione del presente regolamento, in particolare per le violazioni che non sono oggetto di sanzioni amministrative di cui all'articolo 83, e adottano tutte le misure necessarie per assicurare la loro attuazione implementato. Tali sanzioni sono efficaci, proporzionate e dissuasive.

Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 1 al più tardi 25 maggio 2018 e, immediatamente ogni successiva modifica.

CAPITOLO IX

 

Disposizioni per situazioni particolari di trattamento

Articolo 85

 

Elaborazione e la libertà di espressione e di informazione

Gli Stati membri conciliare, per legge, il diritto alla protezione dei dati personali ai sensi del presente regolamento e il diritto alla libertà di espressione e di informazione, incluso il trattamento per scopi giornalistici e per scopi espressione accademica, artistica o letteraria.

Come parte del trattamento effettuato per scopi giornalistici o per scopi di espressione accademica, artistica o letteraria, gli Stati membri prevedono esenzioni o le deroghe di cui al capitolo II (principi), capitolo III (diritti dell'interessato) capitolo IV (il controller e subappaltatore), capo V (trasferimento di dati personali verso paesi terzi o organizzazioni internazionali), capitolo VI (autorità di controllo indipendenti), capitolo VII (cooperazione e consistenza) e il capitolo IX (speciale trattamento situazioni) se sono necessarie per conciliare il diritto alla protezione dei dati personali e la libertà di espressione e di informazione.

Ogni Stato membro notifica alla Commissione le norme di legge da esso adottate conformemente al paragrafo 2 e senza indugio qualsiasi disposizione di legge o di qualunque modificazione successiva modifica delle stesse.

Articolo 86

 

Trattamento e di accesso del pubblico ai documenti ufficiali

I dati personali contenuti nei documenti ufficiali detenuti da un'autorità pubblica o da un organismo pubblico o di un organismo privato per l'esecuzione di uno scopo pubblico possono essere comunicati da tale autorità o organismo sotto la legge del dell'Unione o la legge dello Stato membro che è soggetta alle autorità pubblica o ente pubblico, al fine di conciliare il diritto di accesso del pubblico ai documenti ufficiali e il diritto alla protezione dei dati personali in presente regolamento.

 

Articolo 87

 

Il trattamento del numero di identificazione nazionale

Gli Stati membri possono precisare le condizioni specifiche del trattamento di un numero nazionale di identificazione o un altro identificativo di portata generale. In questo caso, il numero di identificazione nazionale o altro mezzo identificativo di portata generale sono utilizzati al solo sotto garanzie adeguate per i diritti e le libertà della persona interessata adottato a norma del presente regolamento.

 

Articolo 88

 

Il trattamento dei dati nel contesto dei rapporti di lavoro

Gli Stati membri possono, per legge o dai contratti collettivi, più regole specifiche per la tutela dei diritti e delle libertà in materia di trattamento dei dati personali dei dipendenti nel contesto dei rapporti di lavoro, scopi, tra cui, il reclutamento, l'esecuzione del contratto di lavoro, compreso il rispetto degli obblighi stabiliti dalla legge o dai contratti collettivi, gestione, pianificazione e organizzazione del lavoro, la l'uguaglianza e la diversità sul posto di lavoro, la salute e la sicurezza, la protezione dei beni appartenenti al datore di lavoro o cliente ai fini del l'esercizio e il godimento dei diritti e benefici relative al lavoro, singolarmente o collettivamente, e cheper la cessazione del rapporto di lavoro.

Tali norme comprendono misure adeguate e specifiche per proteggere la dignità umana, i legittimi interessi e dei diritti fondamentali delle persone interessate, con particolare attenzione alla trasparenza del processo, il trasferimento di dati personali all'interno di un gruppo 'imprese o gruppi di imprese impegnate in un'attività economica comune e di controllo nei luoghi di lavoro.

Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 1 al più tardi 25 maggio 2018 e, immediatamente ogni successiva modifica.

Articolo 89

Garanties et dérogations applicables au traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques

 

Trattamento per scopi di archiviazione di interesse pubblico, a fini di ricerca scientifica o storica, o per scopi statistici è presentata a norma del presente regolamento, adeguate garanzie per i diritti e le libertà della persona interessata. Tali garanzie assicurano l'attuazione di misure tecniche e organizzative, in particolare per assicurare il principio di minimizzazione dei dati. Tali misure possono includere pseudonimi, dal momento che questi obiettivi possono essere raggiunti in questo modo. Ogni volta che questi obiettivi possono essere raggiunti tramite ulteriore lavorazione non consente più o identificazione delle persone interessate, occorre procedere in questo modo.

Qualora i dati personali sono trattati al fine di fini di ricerca o statistici scientifici o storici, il diritto dell'Unione o alla legislazione di uno Stato membro possono prevedere deroghe ai diritti ai sensi degli articoli 15, 16, 18 e 21, fatte salve le condizioni e le garanzie di cui al paragrafo 1 del presente articolo, nella misura in cui questi diritti potrebbero rendere impossibile o gravemente ostacolano il raggiungimento degli scopi specifici e che tali esenzioni sono necessarie per raggiungere questi obiettivi.

Quando i dati personali sono trattati a scopo di archiviazione di interesse pubblico, il diritto dell'Unione o alla legislazione di uno Stato membro possono prevedere deroghe ai diritti ai sensi degli articoli 15, 16, 18, 19, 20 e 21, fatte salve le condizioni e le garanzie di cui al paragrafo 1 del presente articolo, nella misura in cui questi diritti potrebbero rendere impossibile o gravemente ostacolano il raggiungimento degli scopi specifici e che tali esenzioni sono necessarie per raggiungere questi obiettivi.

Quando il trattamento di cui ai punti 2 e 3 è allo stesso tempo un altro scopo, esenzione si applica solo trattamento effettuato per le finalità di cui ai suddetti paragrafi.

Articolo 90

 

obblighi di segreto

Gli Stati membri possono adottare norme specifiche per definire i poteri delle autorità di controllo di cui all'articolo 58, paragrafo 1, e) ed f) per quanto riguarda i titolari del trattamento o subappaltatori presentati, ai sensi del diritto dell'Unione o la legge di uno Stato membro o delle norme adottate dagli organismi nazionali competenti, con l'obbligo del segreto professionale o altri obblighi equivalenti di riservatezza, ove necessario e proporzionato per conciliare il diritto alla protezione dei dati personali e l'obbligo del segreto. Queste regole si applicano solo in relazione ai dati personali che il controllore o sub-contraente ha ricevuto o ottenuti nel corso di

Ogni Stato membro notifica alla Commissione le norme adottate ai sensi del paragrafo 1, entro e non oltre 25 maggio 2018, e senza indugio ogni successiva modifica che li riguardano.

Articolo 91

 

regole di chiese e associazioni religiose esistenti nel campo della protezione dei dati

Quando in uno Stato membro, le chiese e le associazioni o comunità religiose si applicano, alla data di efficacia del presente regolamento, una serie completa di norme in materia di tutela delle persone fisiche con riguardo al trattamento, possono continuare ad applicare tali norme, tali misure conformi al presente regolamento.

Chiese e associazioni religiose che si applicano serie completa di norme in conformità del paragrafo 1 del presente articolo sono soggette al controllo di un'autorità di vigilanza indipendente, che può essere specifico, a condizione che soddisfi i requisiti di cui al capo VI del presente regolamento.

CAPITOLO X

 

atti delegati e atti di esecuzione

Articolo 92

 

Esercizio della delega

Il potere di adottare atti delegati conferito alla Commissione alle condizioni di cui al presente articolo.

La delega di potere di cui all'articolo 12, paragrafo 8, e l'articolo 43, paragrafo 8 è conferita alla Commissione per un periodo indeterminato dal 24 maggio 2016.

La delega di potere di cui all'articolo 12, paragrafo 8, e l'articolo 43, paragrafo 8 può essere revocata in qualsiasi momento dal Parlamento europeo o del Consiglio. La decisione di revoca pone fine alla delega di potere ivi specificata. Essa entra in vigore il giorno successivo alla pubblicazione della decisione sulla Gazzetta ufficiale dell'Unione europea o da una data successiva ivi precisata. Essa non pregiudica la validità degli atti delegati già in vigore.

Non appena adotta un atto delegato, la Commissione lo notifica simultaneamente al Parlamento europeo e al Consiglio.

L'atto delegato adottato ai sensi dell'articolo 12, paragrafo 8, e l'articolo 43, comma 8, entra in vigore se il Parlamento europeo o il Consiglio hanno espresso obiezioni entro tre mesi dalla notifica dell'atto stesso al Parlamento europeo e al Consiglio o se, prima della scadenza di tale termine, il Parlamento europeo e il Consiglio hanno entrambi informato la Commissione della loro intenzione di non obiezioni rilanciare. Questo periodo è prorogato di tre mesi su iniziativa del Parlamento europeo o del Consiglio.

Articolo 93

 

comitato

La Commissione è assistita da un comitato. Tale comitato è un comitato ai sensi del regolamento (UE) n 182/2011.

Quando è fatto riferimento al presente paragrafo, l'articolo 5 del regolamento (UE) n 182/2011 si applica.

Quando è fatto riferimento al presente paragrafo, l'articolo 8 del regolamento (UE) n 182/2011 in combinato disposto con l'articolo 5 si applica.

CAPITOLO XI

 

disposizioni finali

Articolo 94

 

Abrogazione della direttiva 95/46 / CE

Direttiva 95/46 / CE è abrogata con effetto dal 25 maggio 2018.

I riferimenti alla direttiva devono intendersi come riferimenti al presente regolamento. I riferimenti al gruppo di protezione individuale con riguardo al trattamento dei dati personali istituito dall'articolo 29 della direttiva 95/46 / CE devono intendersi come riferimenti al Comitato europeo per la protezione dei dati stabiliti dalla presente regolamento.

Articolo 95

 

Relazione con la direttiva 2002/58 / CE

Il presente regolamento non impone obblighi aggiuntivi relativi a persone fisiche o giuridiche in trattamento con la fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazioni all'interno dell'Unione per quanto riguarda gli aspetti dove sono soggetti a obblighi specifici con lo stesso obiettivo fissato dalla direttiva 2002/58 / CE.

 

Articolo 96

 

Relazione con gli accordi conclusi in precedenza

Gli accordi internazionali che comportano il trasferimento di dati personali verso paesi terzi o organizzazioni internazionali che sono stati conclusi dagli Stati membri prima del 24 maggio 2016 e che rispettano la legge UE applicabile prima che data restano in vigore fino modificato, sostituito o revocato.

 

Articolo 97

 

Relazioni del

Entro il 25 maggio 2020 e successivamente ogni quattro anni, la Commissione presenta al Parlamento europeo e al Consiglio una relazione sulla valutazione e la revisione del presente regolamento. Questi rapporti sono pubblicati.

Nelle valutazioni e recensioni di cui al paragrafo 1, la Commissione, in particolare, la realizzazione e la gestione di:

a) capitolo V sul trasferimento di dati personali verso paesi terzi o organizzazioni internazionali, in particolare per quanto riguarda le decisioni adottate ai sensi dell'articolo 45, paragrafo 3 del presente regolamento, e le decisioni su in base all'articolo 25, comma 6, della direttiva 95/46 / CE;

 

b) il capitolo VII sulla cooperazione e la coerenza.

 

Ai fini del paragrafo 1, la Commissione può chiedere informazioni agli Stati membri e alle autorità di vigilanza.

Quando si effettuano le valutazioni e le recensioni di cui ai paragrafi 1 e 2, la Commissione tiene conto delle posizioni e delle conclusioni del Parlamento europeo, il Consiglio e le altre agenzie competenti o fonti.

La Commissione, se necessario, adeguate proposte di modifica del presente regolamento, in particolare tenendo conto dell'evoluzione delle tecnologie dell'informazione e alla luce dello stato di avanzamento dello stato di società dell'informazione.

Articolo 98

 

Commenta altri atti giuridici dell'Unione in materia di protezione dei dati

La Commissione, se necessario, proposte legislative volte a modificare altri atti giuridici dell'Unione in materia di protezione dei dati personali, al fine di garantire un'uniforme e coerente di protezione delle persone fisiche con riguardo al trattamento. Ciò riguarda in particolare le norme relative alla tutela delle persone fisiche con riguardo al trattamento da istituzioni, organi e organismi dell'Unione, nonché alla libera circolazione di tali dati.

 

Articolo 99

 

Entrata in vigore e applicazione

Il presente regolamento entra in vigore il ventesimo giorno successivo a quello della sua pubblicazione nella Gazzetta ufficiale dell'Unione europea.

È applicabile a partire dal 25 Maggio 2018.

Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.

 

Fatto a Bruxelles, il 27 Aprile 2016.

 

Per il Parlamento europeo

 

il Presidente

 

Schulz

 

Per il Consiglio

 

il Presidente

 

JA Hennis-Plasschaert


Non ci sono prodotti

Per essere determinato Spedizione
0,00 € Di cui tasse di
0,00 € Totale con tasse

I prezzi sono iva inclusa

Check out