About Intellectual Property IP Training Respect for IP IP Outreach IP for… IP and... IP in... Patent & Technology Information Trademark Information Industrial Design Information Geographical Indication Information Plant Variety Information (UPOV) IP Laws, Treaties & Judgements IP Resources IP Reports Patent Protection Trademark Protection Industrial Design Protection Geographical Indication Protection Plant Variety Protection (UPOV) IP Dispute Resolution IP Office Business Solutions Paying for IP Services Negotiation & Decision-Making Development Cooperation Innovation Support Public-Private Partnerships AI Tools & Services The Organization Working with WIPO Accountability Patents Trademarks Industrial Designs Geographical Indications Copyright Trade Secrets WIPO Academy Workshops & Seminars IP Enforcement WIPO ALERT Raising Awareness World IP Day WIPO Magazine Case Studies & Success Stories IP News WIPO Awards Business Universities Indigenous Peoples Judiciaries Genetic Resources, Traditional Knowledge and Traditional Cultural Expressions Economics Finance Intangible Assets Gender Equality Global Health Climate Change Competition Policy Sustainable Development Goals Frontier Technologies Mobile Applications Sports Tourism PATENTSCOPE Patent Analytics International Patent Classification ARDI – Research for Innovation ASPI – Specialized Patent Information Global Brand Database Madrid Monitor Article 6ter Express Database Nice Classification Vienna Classification Global Design Database International Designs Bulletin Hague Express Database Locarno Classification Lisbon Express Database Global Brand Database for GIs PLUTO Plant Variety Database GENIE Database WIPO-Administered Treaties WIPO Lex - IP Laws, Treaties & Judgments WIPO Standards IP Statistics WIPO Pearl (Terminology) WIPO Publications Country IP Profiles WIPO Knowledge Center WIPO Technology Trends Global Innovation Index World Intellectual Property Report PCT – The International Patent System ePCT Budapest – The International Microorganism Deposit System Madrid – The International Trademark System eMadrid Article 6ter (armorial bearings, flags, state emblems) Hague – The International Design System eHague Lisbon – The International System of Appellations of Origin and Geographical Indications eLisbon UPOV PRISMA UPOV e-PVP Administration UPOV e-PVP DUS Exchange Mediation Arbitration Expert Determination Domain Name Disputes Centralized Access to Search and Examination (CASE) Digital Access Service (DAS) WIPO Pay Current Account at WIPO WIPO Assemblies Standing Committees Calendar of Meetings WIPO Webcast WIPO Official Documents Development Agenda Technical Assistance IP Training Institutions COVID-19 Support National IP Strategies Policy & Legislative Advice Cooperation Hub Technology and Innovation Support Centers (TISC) Technology Transfer Inventor Assistance Program WIPO GREEN WIPO's Pat-INFORMED Accessible Books Consortium WIPO for Creators WIPO Translate Speech-to-Text Classification Assistant Member States Observers Director General Activities by Unit External Offices Job Vacancies Procurement Results & Budget Financial Reporting Oversight
Arabic English Spanish French Russian Chinese
Laws Treaties Judgments Browse By Jurisdiction

Regulation (EU) No. 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No. 45/2001 and Decision No. 1247/2002/EC, European Union (EU)

Back
Latest Version in WIPO Lex
Details Details Year of Version 2018 Dates Adopted: October 23, 2018 Type of Text Other Texts Subject Matter Copyright and Related Rights (Neighboring Rights), Undisclosed Information (Trade Secrets) Subject Matter (secondary) Other

Available Materials

Main Text(s) Related Text(s)
Main text(s) Main text(s) French Règlement (UE) n° 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n° 45/2001 et la décision n° 1247/2002/CE          English Regulation (EU) No. 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No. 45/2001 and Decision No. 1247/2002/EC         Spanish Reglamento (UE) N° 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) N° 45/2001 y la Decisión N° 1247/2002/CE         
 Regulation (EU) No. 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No. 45/2001 and Decision No. 1247/2002/EC

REGULATION (EU) 2018/1725 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL

of 23 October 2018

on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing

Regulation (EC) No 45/2001 and Decision No 1247/2002/EC

(Text with EEA relevance)

THE EUROPEAN PARLIAMENT AND THE COUNCIL OF THE EUROPEAN UNION,

Having regard to the Treaty on the Functioning of the European Union, and in particular Article 16(2) thereof,

Having regard to the proposal from the European Commission,

After transmission of the draft legislative act to the national parliaments,

Having regard to the opinion of the European Economic and Social Committee (1),

Acting in accordance with the ordinary legislative procedure (2),

Whereas:

(1) The protection of natural persons in relation to the processing of personal data is a fundamental right. Article 8(1) of the Charter of Fundamental Rights of the European Union (the ‘Charter’) and Article 16(1) of the Treaty on the Functioning of the European Union (TFEU) provide that everyone has the right to the protection of personal data concerning him or her. This right is also guaranteed under Article 8 of the European Convention for the Protection of Human Rights and Fundamental Freedoms.

(2) Regulation (EC) No 45/2001 of the European Parliament and of the Council (3) provides natural persons with legally enforceable rights, specifies the data processing obligations of controllers within the Community institutions and bodies, and creates an independent supervisory authority, the European Data Protection Supervisor, responsible for monitoring the processing of personal data by the Union institutions and bodies. However, it does not apply to the processing of personal data in the course of an activity of Union institutions and bodies which fall outside the scope of Union law.

(3) Regulation (EU) 2016/679 of the European Parliament and of the Council (4) and Directive (EU) 2016/680 of the European Parliament and of the Council (5) were adopted on 27 April 2016. While the Regulation lays down general rules to protect natural persons with regard to the processing of personal data and to ensure the free movement of personal data within the Union, the Directive lays down the specific rules to protect natural persons with regard to the processing of personal data and to ensure the free movement of personal data within the Union in the fields of judicial cooperation in criminal matters and police cooperation.

(4) Regulation (EU) 2016/679 provides for the adaptation of Regulation (EC) No 45/2001 in order to ensure a strong and coherent data protection framework in the Union and to allow its application in parallel with Regulation (EU) 2016/679.

(5) It is in the interest of a coherent approach to personal data protection throughout the Union, and of the free movement of personal data within the Union, to align as far as possible the data protection rules for Union institutions, bodies, offices and agencies with the data protection rules adopted for the public sector in the Member States. Whenever the provisions of this Regulation follow the same principles as the provisions of Regulation (EU)

21.11.2018 EN Official Journal of the European Union L 295/39

(1) OJ C 288, 31.8.2017, p. 107. (2) Position of the European Parliament of 13 September 2018 (not yet published in the Official Journal) and decision of the Council of

11 October 2018. (3) Regulation (EC) No 45/2001 of the European Parliament and the Council of 18 December 2000 on the protection of individuals

with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data (OJ L 8, 12.1.2001, p. 1).

(4) Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (OJ L 119, 4.5.2016, p. 1).

(5) Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA (OJ L 119, 4.5.2016, p. 89).

CJ

2016/679, those two sets of provisions should, under the case law of the Court of Justice of the European Union (the ‘Court of Justice’), be interpreted homogeneously, in particular because the scheme of this Regulation should be understood as equivalent to the scheme of Regulation (EU) 2016/679.

(6) Persons whose personal data are processed by Union institutions and bodies in any context whatsoever, for example, because they are employed by those institutions and bodies, should be protected. This Regulation should not apply to the processing of personal data of deceased persons. This Regulation does not cover the processing of personal data which concerns legal persons and in particular undertakings established as legal persons, including the name and the form of the legal person and the contact details of the legal person.

(7) In order to prevent creating a serious risk of circumvention, the protection of natural persons should be technologically neutral and should not depend on the techniques used.

(8) This Regulation should apply to the processing of personal data by all Union institutions, bodies, offices and agencies. It should apply to the processing of personal data wholly or partly by automated means and to the processing other than by automated means of personal data which form part of a filing system or are intended to form part of a filing system. Files or sets of files, as well as their cover pages, which are not structured according to specific criteria should not fall within the scope of this Regulation.

(9) In Declaration No 21 on the protection of personal data in the fields of judicial cooperation in criminal matters and police cooperation, annexed to the final act of the intergovernmental conference which adopted the Treaty of Lisbon, the conference acknowledged that specific rules on the protection of personal data and on the free movement of personal data in the fields of judicial cooperation in criminal matters and police cooperation based on Article 16 TFEU could prove necessary because of the specific nature of those fields. A distinct Chapter of this Regulation containing general rules should therefore apply to the processing of operational personal data, such as personal data processed for the purposes of a criminal investigation by Union bodies, offices or agencies when carrying out activities in the fields of judicial cooperation in criminal matters and police cooperation.

(10) Directive (EU) 2016/680 sets out harmonised rules for the protection and the free movement of personal data processed for the purposes of the prevention, investigation, detection or prosecution of criminal offences or execution of criminal penalties, including the safeguarding against and the prevention of threats to public security. In order to ensure the same level of protection for natural persons through legally enforceable rights throughout the Union and to prevent divergences hampering the exchange of personal data between Union bodies, offices or agencies when carrying out activities which fall within the scope of Chapter 4 or Chapter 5 of Title V of Part Three TFEU and competent authorities, the rules for the protection and the free movement of operational personal data processed by such Union bodies, offices or agencies should be consistent with Directive (EU) 2016/680.

(11) The general rules of the Chapter of this Regulation on the processing of operational personal data should apply without prejudice to the specific rules applicable to the processing of operational personal data by Union bodies, offices and agencies when carrying out activities falling within the scope of Chapter 4 or Chapter 5 of Title V of Part Three TFEU. Such specific rules should be regarded as lex specialis to the provisions in the Chapter of this Regulation on the processing of operational personal data (lex specialis derogat legi generali). In order to reduce legal fragmentation, specific data protection rules applicable to the processing of operational personal data by Union bodies, offices or agencies when carrying out activities falling within the scope of Chapter 4 or Chapter 5 of Title V of Part Three TFEU should be consistent with the principles underpinning the Chapter of this Regulation on the processing of operational personal data, as well as with the provisions of this Regulation relating to independent supervision, remedies, liability and penalties.

(12) The Chapter of this Regulation on the processing of operational personal data should apply to Union bodies, offices and agencies when carrying out activities which fall within the scope of Chapter 4 or Chapter 5 of Title V of Part Three TFEU, whether they exercise such activities as their main or ancillary tasks, for the purposes of the prevention, detection, investigation or prosecution of criminal offences. However, it should not apply to Europol or to the European Public Prosecutor’s Office until the legal acts establishing Europol and the European Public Prosecutor’s Office are amended with a view to rendering the Chapter of this Regulation on the processing of operational personal data, as adapted, applicable to them.

(13) The Commission should conduct a review of this Regulation, in particular the Chapter of this Regulation on the processing of operational personal data. The Commission should also conduct a review of other legal acts adopted on the basis of the Treaties which regulate the processing of operational personal data by Union bodies, offices or

L 295/40 EN Official Journal of the European Union 21.11.2018CJ

agencies when carrying out activities which fall within the scope of Chapter 4 or Chapter 5 of Title V of Part Three TFEU. After such a review, in order to ensure uniform and consistent protection of natural persons with regard to the processing of personal data, the Commission should be able to make any appropriate legislative proposals, including any necessary adaptations of the Chapter of this Regulation on the processing of operational personal data, with a view to applying it to Europol and to the European Public Prosecutor’s Office. The adaptations should take into account provisions relating to independent supervision, remedies, liability and penalties.

(14) The processing of administrative personal data, such as staff data, by Union bodies, offices or agencies carrying out activities which fall within the scope of Chapter 4 or Chapter 5 of Title V of Part Three TFEU should be covered by this Regulation.

(15) This Regulation should apply to the processing of personal data by Union institutions, bodies, offices or agencies carrying out activities which fall within the scope of Chapter 2 of Title V of the Treaty on European Union (TEU). This Regulation should not apply to the processing of personal data by missions referred to in Articles 42(1), 43 and 44 TEU, which implement the common security and defence policy. Where appropriate, relevant proposals should be put forward to further regulate the processing of personal data in the field of the common security and defence policy.

(16) The principles of data protection should apply to any information concerning an identified or identifiable natural person. Personal data which have undergone pseudonymisation, which could be attributed to a natural person by the use of additional information, should be considered to be information on an identifiable natural person. To determine whether a natural person is identifiable, account should be taken of all the means reasonably likely to be used, such as singling out, either by the controller or by another person, to identify the natural person directly or indirectly. To ascertain whether means are reasonably likely to be used to identify the natural person, account should be taken of all objective factors, such as the costs of and the amount of time required for identification, taking into consideration the available technology at the time of the processing and technological developments. The principles of data protection should therefore not apply to anonymous information, namely information which does not relate to an identified or identifiable natural person or to personal data rendered anonymous in such a manner that the data subject is not or no longer identifiable. This Regulation does not therefore concern the processing of such anonymous information, including for statistical or research purposes.

(17) The application of pseudonymisation to personal data can reduce the risks to the data subjects concerned and help controllers and processors to meet their data protection obligations. The explicit introduction of ‘pseudonymisation’ in this Regulation is not intended to preclude any other measures of data protection.

(18) Natural persons may be associated with online identifiers provided by their devices, applications, tools and protocols, such as internet protocol addresses, cookie identifiers or other identifiers such as radio frequency identification tags. This may leave traces which, in particular when combined with unique identifiers and other information received by the servers, may be used to create profiles of the natural persons and identify them.

(19) Consent should be given by a clear affirmative act establishing a freely given, specific, informed and unambiguous indication of the data subject’s agreement to the processing of personal data relating to him or her, such as by a written statement, including by electronic means, or an oral statement. This could include ticking a box when visiting an internet website, choosing technical settings for information society services or another statement or conduct which clearly indicates in this context the data subject’s acceptance of the proposed processing of his or her personal data. Silence, pre-ticked boxes or inactivity should not therefore constitute consent. Consent should cover all processing activities carried out for the same purpose or purposes. When the processing has multiple purposes, consent should be given for all of them. If the data subject’s consent is to be given following a request by electronic means, the request must be clear, concise and not unnecessarily disruptive to the use of the service for which it is provided. At the same time, the data subject should have the right to withdraw consent at any time without affecting the lawfulness of processing based on consent before its withdrawal. In order to ensure that consent is freely given, consent should not provide a valid legal ground for the processing of personal data in a specific case where there is a clear imbalance between the data subject and the controller and it is therefore unlikely that consent was freely given

21.11.2018 EN Official Journal of the European Union L 295/41CJ

in all the circumstances of that specific situation. It is often not possible to fully identify the purpose of personal data processing for scientific research purposes at the time of data collection. Therefore, data subjects should be allowed to give their consent to certain areas of scientific research when in keeping with recognised ethical standards for scientific research. Data subjects should have an opportunity to give their consent only to certain areas of research or parts of research projects to the extent allowed by the intended purpose.

(20) Any processing of personal data should be lawful and fair. It should be transparent to natural persons that personal data concerning them are collected, used, consulted or otherwise processed and to what extent the personal data are or will be processed. The principle of transparency requires that any information and communication relating to the processing of those personal data be easily accessible and easy to understand, and that clear and plain language be used. That principle concerns, in particular, information to the data subjects on the identity of the controller and the purposes of the processing and further information to ensure fair and transparent processing in respect of the natural persons concerned and their right to obtain confirmation and communication of personal data concerning them which are being processed. Natural persons should be made aware of risks, rules, safeguards and rights in relation to the processing of personal data and how to exercise their rights in relation to such processing. In particular, the specific purposes for which personal data are processed should be explicit and legitimate and determined at the time of the collection of the personal data. The personal data should be adequate, relevant and limited to what is necessary for the purposes for which they are processed. This requires, in particular, ensuring that the period for which the personal data are stored is limited to a strict minimum. Personal data should be processed only if the purpose of the processing could not reasonably be fulfilled by other means. In order to ensure that the personal data are not kept longer than necessary, time limits should be established by the controller for erasure or for a periodic review. Every reasonable step should be taken to ensure that personal data which are inaccurate are rectified or deleted. Personal data should be processed in a manner that ensures appropriate security and confidentiality of the personal data, including for preventing unauthorised access to or use of personal data and the equipment used for the processing and for preventing its unauthorised disclosure when it is transmitted.

(21) In accordance with the principle of accountability, where Union institutions and bodies transmit personal data within the same Union institution or body and the recipient is not part of the controller, or to other Union institutions or bodies, they should verify whether such personal data are required for the legitimate performance of tasks within the competence of the recipient. In particular, following a recipient’s request for transmission of personal data, the controller should verify the existence of a relevant ground for lawfully processing personal data and the competence of the recipient. The controller should also make a provisional evaluation of the necessity of the transmission of the data. If doubts arise as to this necessity, the controller should seek further information from the recipient. The recipient should ensure that the necessity of the transmission of the data can be subsequently verified.

(22) In order for processing to be lawful, personal data should be processed on the basis of the necessity for the performance of a task carried out in the public interest by Union institutions and bodies or in the exercise of their official authority, the necessity for compliance with a legal obligation to which the controller is subject or some other legitimate basis under this Regulation, including the consent of the data subject concerned, the necessity for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract. Processing of personal data for the performance of tasks carried out in the public interest by the Union institutions and bodies includes the processing of personal data necessary for the management and functioning of those institutions and bodies. The processing of personal data should also be regarded to be lawful where it is necessary to protect an interest which is essential for the life of the data subject or that of another natural person. Processing of personal data based on the vital interest of another natural person should in principle take place only where the processing cannot be manifestly based on another legal basis. Some types of processing may serve both important grounds of public interest and the vital interests of the data subject, as for instance when processing is necessary for humanitarian purposes, including for monitoring epidemics and their spread, or in situations of humanitarian emergencies, in particular in situations of natural and man-made disasters.

L 295/42 EN Official Journal of the European Union 21.11.2018CJ

(23) The Union law referred to in this Regulation should be clear and precise and its application should be foreseeable to persons subject to it, in accordance with the requirements set out in the Charter and the European Convention for the Protection of Human Rights and Fundamental Freedoms.

(24) The internal rules referred to in this Regulation should be clear and precise acts of general application intended to produce legal effects vis-à-vis data subjects. They should be adopted at the highest level of management of the Union institutions and bodies, within their competencies and in matters relating to their operation. They should be published in the Official Journal of the European Union. The application of those rules should be foreseeable to persons subject to them in accordance with the requirements set out in the Charter and the European Convention for the Protection of Human Rights and Freedoms. Internal rules may take the form of decisions, in particular when adopted by Union institutions.

(25) The processing of personal data for purposes other than those for which the personal data were initially collected should be allowed only where the processing is compatible with the purposes for which the personal data were initially collected. In such a case, no legal basis separate from that which allowed the collection of the personal data is required. If the processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller, Union law may determine and specify the tasks and purposes for which the further processing should be regarded as compatible and lawful. Further processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes should be considered to be compatible lawful processing operations. The legal basis provided by Union law for the processing of personal data may also provide a legal basis for further processing. In order to ascertain whether a purpose of further processing is compatible with the purpose for which the personal data are initially collected, the controller, after having met all the requirements for the lawfulness of the original processing, should take into account, inter alia: any link between those purposes and the purposes of the intended further processing; the context in which the personal data have been collected, in particular the reasonable expectations of data subjects based on their relationship with the controller as to their further use; the nature of the personal data; the consequences of the intended further processing for data subjects; and the existence of appropriate safeguards in both the original and intended further processing operations.

(26) Where processing is based on the data subject’s consent, the controller should be able to demonstrate that the data subject has given consent to the processing operation. In particular in the context of a written declaration on another matter, safeguards should ensure that the data subject is aware of the fact that and the extent to which consent is given. In accordance with Council Directive 93/13/EEC (1), a declaration of consent pre-formulated by the controller should be provided in an intelligible and easily accessible form, using clear and plain language and it should not contain unfair terms. For consent to be informed, the data subject should be aware at least of the identity of the controller and the purposes of the processing for which the personal data are intended. Consent should not be regarded as freely given if the data subject has no genuine or free choice or is unable to refuse or withdraw consent without detriment.

(27) Children merit specific protection with regard to their personal data, as they may be less aware of the risks, consequences and safeguards concerned and their rights in relation to the processing of personal data. Such specific protection should, in particular, apply to creating personality profiles and to the collection of personal data with regard to children when services are offered directly to a child on websites of Union institutions and bodies, such as interpersonal communication services or online selling of tickets, and the processing of personal data is based on consent.

(28) When recipients established in the Union other than Union institutions and bodies would like to have personal data transmitted to them by Union institutions and bodies, those recipients should demonstrate that it is necessary to have the data transmitted to these recipients either for the performance of their task carried out in the public interest or in the exercise of official authority vested in them. Alternatively, those recipients should demonstrate that the transmission is necessary for a specific purpose in the public interest and the controller should establish whether there is any reason to assume that the data subject’s legitimate interests might be prejudiced. In such cases, the controller should demonstrably weigh the various competing interests in order to assess the proportionality of the

21.11.2018 EN Official Journal of the European Union L 295/43

(1) Council Directive 93/13/EEC of 5 April 1993 on unfair terms in consumer contracts (OJ L 95, 21.4.1993, p. 29).

CJ

requested transmission of personal data. The specific purpose in the public interest could relate to the transparency of Union institutions and bodies. Furthermore, Union institutions and bodies should demonstrate such necessity when they themselves initiate a transmission, in compliance with the principle of transparency and good administration. The requirements laid down in this Regulation for transmissions to recipients established in the Union other than Union institutions and bodies should be understood as supplementary to the conditions for lawful processing.

(29) Personal data which are, by their nature, particularly sensitive in relation to fundamental rights and freedoms merit specific protection, as the context of their processing could create significant risks to the fundamental rights and freedoms. Such personal data should not be processed unless the specific conditions set out in this Regulation are met. Those personal data should include personal data revealing racial or ethnic origin, whereby the use of the term ‘racial origin’ in this Regulation does not imply an acceptance by the Union of theories which attempt to determine the existence of separate human races. The processing of photographs should not systematically be considered to be processing of special categories of personal data as they are covered by the definition of biometric data only when processed through a specific technical means allowing the unique identification or authentication of a natural person. In addition to the specific requirements for processing of sensitive data, the general principles and other rules of this Regulation should apply, in particular as regards the conditions for lawful processing. Derogations from the general prohibition for processing such special categories of personal data should be explicitly provided, inter alia, where the data subject gives his or her explicit consent or in respect of specific needs, in particular where the processing is carried out in the course of legitimate activities by certain associations or foundations the purpose of which is to permit the exercise of fundamental freedoms.

(30) Special categories of personal data which merit higher protection should be processed for health-related purposes only where necessary to achieve those purposes for the benefit of natural persons and society as a whole, in particular in the context of the management of health or social care services and systems. Therefore, this Regulation should provide for harmonised conditions for the processing of special categories of personal data concerning health, in respect of specific needs, in particular where the processing of such data is carried out for certain health- related purposes by persons subject to a legal obligation of professional secrecy. Union law should provide for specific and suitable measures so as to protect fundamental rights and the personal data of natural persons.

(31) The processing of special categories of personal data may be necessary for reasons of public interest in the areas of public health without consent of the data subject. Such processing should be subject to suitable and specific measures so as to protect the rights and freedoms of natural persons. In that context, ‘public health’ should be interpreted as defined in Regulation (EC) No 1338/2008 of the European Parliament and of the Council (1), namely all elements related to health, namely health status, including morbidity and disability, the determinants having an effect on that health status, healthcare needs, resources allocated to healthcare, the provision of, and universal access to, healthcare as well as healthcare expenditure and financing, and the causes of mortality. Such processing of data concerning health for reasons of public interest should not result in personal data being processed for other purposes.

(32) If the personal data processed by a controller do not permit the controller to identify a natural person, the data controller should not be obliged to acquire additional information in order to identify the data subject for the sole purpose of complying with any provision of this Regulation. However, the controller should not refuse to take additional information provided by the data subject in order to support the exercise of his or her rights. Identification should include the digital identification of a data subject, for example through an authentication mechanism such as the same credentials, used by the data subject to log in to the online service offered by the data controller.

(33) The processing of personal data for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes should be subject to appropriate safeguards for the rights and freedoms of the data subject pursuant to this Regulation. Those safeguards should ensure that technical and organisational measures are in place in order to ensure, in particular, the principle of data minimisation. The further processing of personal data for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes is to be

L 295/44 EN Official Journal of the European Union 21.11.2018

(1) Regulation (EC) No 1338/2008 of the European Parliament and of the Council of 16 December 2008 on Community statistics on public health and health and safety at work (OJ L 354, 31.12.2008, p. 70).

CJ

carried out when the controller has assessed the feasibility to fulfil those purposes by processing data which do not permit or no longer permit the identification of data subjects, provided that appropriate safeguards exist (such as, for instance, pseudonymisation of the data). Union institutions and bodies should provide for appropriate safeguards for the processing of personal data for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in Union law, which may include internal rules adopted by Union institutions and bodies in matters relating to their operation.

(34) Modalities should be provided for facilitating the exercise of the data subject’s rights under this Regulation, including mechanisms to request and, if applicable, obtain, free of charge, in particular, access to and rectification or erasure of personal data and the exercise of the right to object. The controller should also provide means for requests to be made electronically, especially where personal data are processed by electronic means. The controller should be obliged to respond to requests from the data subject without undue delay and at the latest within one month and to give reasons where the controller does not intend to comply with any such requests.

(35) The principles of fair and transparent processing require that the data subject be informed of the existence of the processing operation and its purposes. The controller should provide the data subject with any further information necessary to ensure fair and transparent processing taking into account the specific circumstances and context in which the personal data are processed. Furthermore, the data subject should be informed of the existence of profiling and the consequences of such profiling. Where the personal data are collected from the data subject, the data subject should also be informed whether he or she is obliged to provide the personal data and of the consequences, where he or she does not provide such data. That information may be provided in combination with standardised icons in order to give in an easily visible, intelligible and clearly legible manner, a meaningful overview of the intended processing. Where the icons are presented electronically, they should be machine-readable.

(36) The information in relation to the processing of personal data relating to the data subject should be given to him or her at the time of collection from the data subject, or, where the personal data are obtained from another source, within a reasonable period, depending on the circumstances of the case. Where personal data can be legitimately disclosed to another recipient, the data subject should be informed when the personal data are first disclosed to the recipient. Where the controller intends to process the personal data for a purpose other than that for which they were collected, the controller should provide the data subject prior to that further processing with information on that other purpose and other necessary information. Where the origin of the personal data cannot be provided to the data subject because various sources have been used, general information should be provided.

(37) A data subject should have the right of access to personal data which have been collected concerning him or her, and to exercise that right easily and at reasonable intervals, in order to be aware of, and verify, the lawfulness of the processing. This includes the right for data subjects to have access to data concerning their health, for example the data in their medical records containing information such as diagnoses, examination results, assessments by treating physicians and any treatment or interventions provided. Every data subject should therefore have the right to know and obtain communication in particular with regard to the purposes for which the personal data are processed, where possible the period for which the personal data are processed, the recipients of the personal data, the logic involved in any automatic personal data processing and, at least when based on profiling, the consequences of such processing. That right should not adversely affect the rights or freedoms of others, including trade secrets or intellectual property and in particular the copyright protecting the software. However, the result of those considerations should not be a refusal to provide all information to the data subject. Where the controller processes a large quantity of information concerning the data subject, the controller should be able to request that, before the information is delivered, the data subject specify the information or processing activities to which the request relates.

(38) A data subject should have the right to have personal data concerning him or her rectified and a ‘right to be forgotten’ where the retention of such data infringes this Regulation or Union law to which the controller is subject. A data subject should have the right to have his or her personal data erased and no longer processed where the personal data are no longer necessary in relation to the purposes for which they are collected or otherwise processed, where a data subject has withdrawn his or her consent or objects to the processing of personal data concerning him or her, or where the processing of his or her personal data does not otherwise comply with this Regulation. That right is relevant in particular where the data subject has given his or her consent as a child and is

21.11.2018 EN Official Journal of the European Union L 295/45CJ

not fully aware of the risks involved by the processing, and later wants to remove such personal data, especially on the internet. The data subject should be able to exercise that right notwithstanding the fact that he or she is no longer a child. However, the further retention of the personal data should be lawful where it is necessary, for exercising the right of freedom of expression and information, for compliance with a legal obligation, for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller, on the grounds of public interest in the area of public health, for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, or for the establishment, exercise or defence of legal claims.

(39) To strengthen the right to be forgotten in the online environment, the right to erasure should also be extended in such a way that a controller who has made the personal data public should be obliged to inform the controllers which are processing such personal data to erase any links to, or copies or replications of those personal data. In doing so, that controller should take reasonable steps, taking into account available technology and the means available to the controller, including technical measures, to inform the controllers which are processing the personal data of the data subject’s request.

(40) Methods by which to restrict the processing of personal data could include, inter alia, temporarily moving the selected data to another processing system, making the selected personal data unavailable to users, or temporarily removing published data from a website. In automated filing systems, the restriction of processing should in principle be ensured by technical means in such a manner that the personal data are not subject to further processing operations and cannot be changed. The fact that the processing of personal data is restricted should be clearly indicated in the system.

(41) To further strengthen the control over his or her own data, where the processing of personal data is carried out by automated means, the data subject should also be allowed to receive personal data concerning him or her which he or she has provided to a controller in a structured, commonly used, machine-readable and interoperable format, and to transmit it to another controller. Data controllers should be encouraged to develop interoperable formats that enable data portability. That right should apply where the data subject provided the personal data on the basis of his or her consent or the processing is necessary for the performance of a contract. It should therefore not apply where the processing of the personal data is necessary for compliance with a legal obligation to which the controller is subject or for the performance of a task carried out in the public interest or in the exercise of an official authority vested in the controller. The data subject’s right to transmit or receive personal data concerning him or her should not create an obligation for the controllers to adopt or maintain processing systems which are technically compatible. Where, in a certain set of personal data, more than one data subject is concerned, the right to receive the personal data should be without prejudice to the rights and freedoms of other data subjects in accordance with this Regulation. Furthermore, that right should not prejudice the right of the data subject to obtain the erasure of personal data and the limitations of that right as set out in this Regulation and should, in particular, not imply the erasure of personal data concerning the data subject which have been provided by him or her for the performance of a contract to the extent that and for as long as the personal data are necessary for the performance of that contract. Where technically feasible, the data subject should have the right to have the personal data transmitted directly from one controller to another.

(42) Where personal data might lawfully be processed because processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller, a data subject should, nevertheless, be entitled to object to the processing of any personal data relating to his or her particular situation. It should be for the controller to demonstrate that its compelling legitimate interest overrides the interests or the fundamental rights and freedoms of the data subject.

(43) The data subject should have the right not to be subject to a decision, which may include a measure, evaluating personal aspects relating to him or her which is based solely on automated processing and which produces legal effects concerning him or her or similarly significantly affects him or her, such as e-recruiting practices without any human intervention. Such processing includes ‘profiling’ that consists of any form of automated processing of personal data evaluating the personal aspects relating to a natural person, in particular to analyse or predict aspects

L 295/46 EN Official Journal of the European Union 21.11.2018CJ

concerning the data subject’s performance at work, economic situation, health, personal preferences or interests, reliability or behaviour, location or movements, where it produces legal effects concerning him or her or similarly significantly affects him or her.

However, decision-making based on such processing, including profiling, should be allowed where expressly authorised by Union law. In any case, such processing should be subject to suitable safeguards, which should include specific information to the data subject and the right to obtain human intervention, to express his or her point of view, to obtain an explanation of the decision reached after such assessment and to challenge the decision. Such measure should not concern a child. In order to ensure fair and transparent processing in respect of the data subject, taking into account the specific circumstances and context in which the personal data are processed, the controller should use appropriate mathematical or statistical procedures for the profiling, implement technical and organisational measures appropriate to ensure, in particular, that factors which result in inaccuracies in personal data are corrected and the risk of errors is minimised, secure personal data in a manner that takes account of the potential risks involved for the interests and rights of the data subject. and prevent, inter alia, discriminatory effects on natural persons on the basis of racial or ethnic origin, political opinion, religion or beliefs, trade union membership, genetic or health status or sexual orientation, or processing that results in measures having such an effect. Automated decision-making and profiling based on special categories of personal data should be allowed only under specific conditions.

(44) Legal acts adopted on the basis of the Treaties or internal rules adopted by Union institutions and bodies in matters relating to their operation may impose restrictions concerning specific principles and the rights of information, access to and rectification or erasure of personal data, the right to data portability, confidentiality of electronic communications data as well as the communication of a personal data breach to a data subject and certain related obligations of the controllers, as far as necessary and proportionate in a democratic society to safeguard public security and for the prevention, investigation and prosecution of criminal offences or the execution of criminal penalties. This includes safeguarding against and the prevention of threats to public security, protection of human life especially in response to natural or manmade disasters, internal security of Union institutions and bodies, other important objectives of general public interest of the Union or of a Member State, in particular the objectives of the Common Foreign and Security Policy of the Union or an important economic or financial interest of the Union or of a Member State, and keeping of public registers for reasons of general public interest or the protection of the data subject or the rights and freedoms of others, including social protection, public health and humanitarian purposes.

(45) The responsibility and liability of the controller for any processing of personal data carried out by the controller or on the controller’s behalf should be established. In particular, the controller should be obliged to implement appropriate and effective measures and be able to demonstrate the compliance of processing activities with this Regulation, including the effectiveness of the measures. Those measures should take into account the nature, scope, context and purposes of the processing and the risk to the rights and freedoms of natural persons.

(46) The risk to the rights and freedoms of natural persons, of varying likelihood and severity, may result from personal data processing which could lead to physical, material or non-material damage, in particular: where the processing may give rise to discrimination, identity theft or fraud, financial loss, damage to the reputation, loss of confidentiality of personal data protected by professional secrecy, unauthorised reversal of pseudonymisation, or any other significant economic or social disadvantage; where data subjects might be deprived of their rights and freedoms or prevented from exercising control over their personal data; where personal data are processed which reveal racial or ethnic origin, political opinions, religion or philosophical beliefs, trade union membership, and the processing of genetic data, data concerning health or data concerning sex life or criminal convictions and offences or related security measures; where personal aspects are evaluated, in particular analysing or predicting aspects concerning performance at work, economic situation, health, personal preferences or interests, reliability or behaviour, location or movements, in order to create or use personal profiles; where personal data of vulnerable natural persons, in particular of children, are processed; or where processing involves a large amount of personal data and affects a large number of data subjects.

(47) The likelihood and severity of the risk to the rights and freedoms of the data subject should be determined by reference to the nature, scope, context and purposes of the processing. Risk should be evaluated on the basis of an objective assessment, by which it is established whether data processing operations involve a risk or a high risk.

21.11.2018 EN Official Journal of the European Union L 295/47CJ

(48) The protection of the rights and freedoms of natural persons with regard to the processing of personal data require that appropriate technical and organisational measures be taken to ensure that the requirements of this Regulation are met. In order to be able to demonstrate compliance with this Regulation, the controller should adopt internal policies and implement measures which meet in particular the principles of data protection by design and data protection by default. Such measures could consist, inter alia, of minimising the processing of personal data, pseudonymising personal data as soon as possible, transparency with regard to the functions and processing of personal data, enabling the data subject to monitor the data processing, enabling the controller to create and improve security features. The principles of data protection by design and by default should also be taken into consideration in the context of public tenders.

(49) Regulation (EU) 2016/679 provides for controllers to demonstrate compliance by adherence to approved certification mechanisms. Likewise, Union institutions and bodies should be able to demonstrate compliance with this Regulation by obtaining certification in accordance with Article 42 of Regulation (EU) 2016/679.

(50) The protection of the rights and freedoms of data subjects as well as the responsibility and liability of controllers and processors requires a clear allocation of the responsibilities under this Regulation, including where a controller determines the purposes and means of the processing jointly with other controllers or where a processing operation is carried out on behalf of a controller.

(51) To ensure compliance with the requirements of this Regulation in respect of the processing to be carried out by the processor on behalf of the controller, when entrusting a processor with processing activities, the controller should use only processors providing sufficient guarantees, in particular in terms of expert knowledge, reliability and resources, to implement technical and organisational measures which meet the requirements of this Regulation, including for the security of processing. The adherence of processors other than Union institutions and bodies to an approved code of conduct or an approved certification mechanism can be used as an element to demonstrate compliance with the obligations of the controller. The carrying-out of processing by a processor other than a Union institution or body should be governed by a contract, or, in case of Union institutions and bodies acting as processors, by a contract or other legal act under Union law, binding the processor to the controller, setting out the subject matter and duration of the processing, the nature and purposes of the processing, the type of personal data and categories of data subjects, taking into account the specific tasks and responsibilities of the processor in the context of the processing to be carried out and the risk to the rights and freedoms of the data subject. The controller and processor should be able to choose to use an individual contract or standard contractual clauses which are adopted either directly by the Commission or by the European Data Protection Supervisor and then adopted by the Commission. After the completion of the processing on behalf of the controller, the processor should, at the choice of the controller, return or delete the personal data, unless there is a requirement to store that personal data under Union or Member State law to which the processor is subject.

(52) In order to demonstrate compliance with this Regulation, controllers should maintain records of processing activities under their responsibility and processors should maintain records of categories of processing activities under their responsibility. Union institutions and bodies should be obliged to cooperate with the European Data Protection Supervisor and make their records available to it on request, so that they might serve for monitoring those processing operations. Unless it is not appropriate taking into account the size of a Union institution or body, Union institutions and bodies should be able to establish a central register of records of their processing activities. For reasons of transparency, they should also be able to make such a register public.

(53) In order to maintain security and to prevent processing in infringement of this Regulation, the controller or processor should evaluate the risks inherent in the processing and implement measures to mitigate those risks, such as encryption. Those measures should ensure an appropriate level of security, including confidentiality, taking into account the state of the art and the costs of implementation in relation to the risks and the nature of the personal

L 295/48 EN Official Journal of the European Union 21.11.2018CJ

data to be protected. In assessing data security risk, consideration should be given to the risks that are presented by personal data processing, such as accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed which may in particular lead to physical, material or non-material damage.

(54) Union institutions and bodies should ensure the confidentiality of electronic communications provided for by Article 7 of the Charter. In particular, Union institutions and bodies should ensure the security of their electronic communications networks. They should protect the information related to the terminal equipment of users accessing their publicly available websites and mobile applications, in accordance with the Directive 2002/58/EC of the European Parliament and of the Council (1). They should also protect the personal data stored in directories of users.

(55) A personal data breach could, if not addressed in an appropriate and timely manner, result in physical, material or non-material damage to natural persons. Therefore, as soon as the controller becomes aware that a personal data breach has occurred, the controller should notify that personal data breach to the European Data Protection Supervisor without undue delay and, where feasible, not later than 72 hours after having become aware of it, unless the controller is able to demonstrate, in accordance with the accountability principle, that the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons. Where such notification cannot be achieved within 72 hours, it should be accompanied by the reasons for the delay and information can be provided in phases without further undue delay. Where such delay is justified, less sensitive or less specific information on the breach should be released as early as possible, rather than fully resolving the underlying incident before notifying.

(56) The controller should communicate to the data subject a personal data breach, without undue delay, where that personal data breach is likely to result in a high risk to the rights and freedoms of the natural person in order to allow him or her to take the necessary precautions. The communication should describe the nature of the personal data breach as well as recommendations for the natural person concerned to mitigate potential adverse effects. Such communications to data subjects should be made as soon as reasonably feasible and in close cooperation with the European Data Protection Supervisor, respecting guidance provided by it or by other relevant authorities such as law-enforcement authorities.

(57) Regulation (EC) No 45/2001 provides for a general obligation on a controller to notify the processing of personal data to the data protection officer. Unless it is not appropriate taking into account the size of the Union institution or body, the data protection officer is to keep a register of notified processing operations. Besides this general obligation, effective procedures and mechanisms should be put in place to monitor processing operations that are likely to result in a high risk to the rights and freedoms of natural persons by virtue of their nature, scope, context and purposes. Such procedures should, in particular, also be in place where types of processing operations involve using new technologies, or are of a new kind in relation to which no data protection impact assessment has been carried out before by the controller, or where they become necessary in the light of the time that has elapsed since the initial processing. In such cases, a data protection impact assessment should be carried out by the controller prior to the processing in order to assess the particular likelihood and severity of the high risk, taking into account the nature, scope, context and purposes of the processing and the sources of the risk. That impact assessment should include, in particular, the measures, safeguards and mechanisms envisaged for mitigating that risk, ensuring the protection of personal data and demonstrating compliance with this Regulation.

(58) Where a data protection impact assessment indicates that the processing would, in the absence of safeguards, security measures and mechanisms to mitigate the risk, result in a high risk to the rights and freedoms of natural persons and the controller is of the opinion that the risk cannot be mitigated by reasonable means in terms of available technologies and costs of implementation, the European Data Protection Supervisor should be consulted prior to the start of processing activities. Such high risk is likely to result from certain types of processing and the extent and frequency of processing, which could result also in a realisation of damage or interference with the rights and freedoms of the natural person. The European Data Protection Supervisor should respond to the request for consultation within a specified period. However, the absence of a reaction of the European Data Protection

21.11.2018 EN Official Journal of the European Union L 295/49

(1) Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications) (OJ L 201, 31.7.2002, p. 37).

CJ

Supervisor within that period should be without prejudice to any intervention of the European Data Protection Supervisor in accordance with his or her tasks and powers laid down in this Regulation, including the power to prohibit processing operations. As part of that consultation process, it should be possible to submit the outcome of a data protection impact assessment carried out with regard to the processing at issue to the European Data Protection Supervisor, in particular the measures envisaged to mitigate the risk to the rights and freedoms of natural persons.

(59) The European Data Protection Supervisor should be informed of administrative measures and consulted on internal rules adopted by Union institutions and bodies in matters relating to their operation when they provide for the processing of personal data, lay down conditions for restricting the rights of data subjects or provide appropriate safeguards for data subject rights, in order to ensure that the intended processing complies with this Regulation, in particular as regards mitigating the risks involved for the data subject.

(60) Regulation (EU) 2016/679 established the European Data Protection Board as an independent body of the Union with legal personality. The Board should contribute to the consistent application of Regulation (EU) 2016/679 and Directive (EU) 2016/680 throughout the Union, including by advising the Commission. At the same time, the European Data Protection Supervisor should continue to exercise his or her supervisory and advisory functions in respect of all Union institutions and bodies, on his or her own initiative or upon request. In order to ensure consistency of data protection rules throughout the Union, when preparing proposals or recommendations, the Commission should endeavour to consult the European Data Protection Supervisor. A consultation by the Commission should be obligatory following the adoption of legislative acts or during the preparation of delegated acts and implementing acts as defined in Article 289, 290 and 291 TFEU and following the adoption of recommendations and proposals relating to agreements with third countries and international organisations as provided for in Article 218 TFEU which have an impact on the right to protection of personal data. In such cases, the Commission should be obliged to consult the European Data Protection Supervisor, except where the Regulation (EU) 2016/679 provides for mandatory consultation of the European Data Protection Board, for example on adequacy decisions or delegated acts on standardised icons and requirements for certification mechanisms. Where the act in question is of particular importance for the protection of rights and freedoms of natural persons with regard to the processing of personal data, the Commission should be able, in addition, to consult the European Data Protection Board. In those cases, the European Data Protection Supervisor should, as a member of the European Data Protection Board, coordinate his or her work with the latter with a view to issuing a joint opinion. The European Data Protection Supervisor, and where applicable, the European Data Protection Board should provide their written advice within eight weeks. That time-frame should be shorter in urgent cases or where otherwise appropriate, for example when the Commission is preparing delegated and implementing acts.

(61) In accordance with Article 75 of Regulation (EU) 2016/679, the European Data Protection Supervisor should provide the secretariat of the European Data Protection Board.

(62) In all Union institutions and bodies a data protection officer should ensure that the provisions of this Regulation are applied and should advise controllers and processors on fulfilling their obligations. That officer should be a person with expert knowledge of data protection law and practices, which should be determined in particular according to the data processing operations carried out by the controller or the processor and the protection required for the personal data involved. Such data protection officers should be in a position to perform their duties and tasks in an independent manner.

(63) When personal data are transferred from the Union institutions and bodies to controllers, processors or other recipients in third countries or to international organisations, the level of protection of natural persons ensured in the Union by this Regulation should be guaranteed. The same guarantees should apply in cases of onward transfers of personal data from the third country or international organisation to controllers, processors in the same or another third country or international organisation. In any event, transfers to third countries and international organisations may only be carried out in full compliance with this Regulation and respecting the fundamental rights and freedoms enshrined in the Charter. A transfer could take place only if, subject to the other provisions of this Regulation, the conditions laid down in the provisions of this Regulation relating to the transfer of personal data to third countries or international organisations are complied with by the controller or processor.

L 295/50 EN Official Journal of the European Union 21.11.2018CJ

(64) The Commission can decide, under Article 45 of Regulation (EU) 2016/679 or under Article 36 of Directive (EU) 2016/680, that a third country, a territory or specified sector within a third country or an international organisation offers an adequate level of data protection. In such cases, transfers of personal data to that third country or international organisation by a Union institution or body can take place without the need to obtain any further authorisation.

(65) In the absence of an adequacy decision, the controller or processor should take measures to compensate for the lack of data protection in a third country by way of appropriate safeguards for the data subject. Such appropriate safeguards can consist of making use of standard data protection clauses adopted by the Commission, standard data protection clauses adopted by the European Data Protection Supervisor or contractual clauses authorised by the European Data Protection Supervisor. Where the processor is not a Union institution or body those appropriate safeguards can also consist of binding corporate rules, codes of conduct and certification mechanisms used for international transfers under Regulation (EU) 2016/679. Those safeguards should ensure compliance with data protection requirements and the rights of the data subjects appropriate to processing within the Union, including the availability of enforceable data subject rights and of effective legal remedies, including to obtain effective administrative or judicial redress and to claim compensation, in the Union or in a third country. They should relate in particular to compliance with the general principles relating to personal data processing, the principles of data protection by design and by default. Transfers may also be carried out by Union institutions and bodies to public authorities or bodies in third countries or to international organisations with corresponding duties or functions, including on the basis of provisions to be inserted into administrative arrangements, such as a memorandum of understanding, providing for enforceable and effective rights for data subjects. Authorisation by the European Data Protection Supervisor should be obtained when the safeguards are provided for in administrative arrangements that are not legally binding.

(66) The possibility for the controller or processor to use standard data-protection clauses adopted by the Commission or by the European Data Protection Supervisor should prevent controllers or processors neither from including the standard data-protection clauses in a wider contract, such as a contract between the processor and another processor, nor from adding other clauses or additional safeguards provided that they do not contradict, directly or indirectly, the standard contractual clauses adopted by the Commission or by the European Data Protection Supervisor or prejudice the fundamental rights or freedoms of the data subjects. Controllers and processors should be encouraged to provide additional safeguards via contractual commitments that supplement standard data- protection clauses.

(67) Some third countries adopt laws, regulations and other legal acts which purport to directly regulate the processing activities of Union institutions and bodies. This may include judgments of courts or tribunals or decisions of administrative authorities in third countries requiring a controller or processor to transfer or disclose personal data, and which are not based on an international agreement in force between the requesting third country and the Union. The extraterritorial application of those laws, regulations and other legal acts may be in breach of international law and may impede the attainment of the protection of natural persons ensured in the Union by this Regulation. Transfers should only be allowed where the conditions of this Regulation for a transfer to third countries are met. This may be the case, inter alia, where disclosure is necessary for an important ground of public interest recognised in Union law.

(68) Provision should be made in specific situations for the possibility for transfers in certain circumstances where the data subject has given his or her explicit consent, where the transfer is occasional and necessary in relation to a contract or a legal claim, regardless of whether in a judicial procedure or whether in an administrative or any out-of- court procedure, including procedures before regulatory bodies. Provision should also be made for the possibility for transfers where important grounds of public interest laid down by Union law so require or where the transfer is made from a register established by law and intended for consultation by the public or persons having a legitimate interest. In the latter case, such a transfer should not involve the entirety of the personal data or entire categories of the data contained in the register, unless authorised by Union law, and, when the register is intended for consultation by persons having a legitimate interest, the transfer should be made only at the request of those persons or, if they are to be the recipients, taking into full account the interests and fundamental rights of the data subject.

(69) Those derogations should in particular apply to data transfers required and necessary for important reasons of public interest, for example in cases of international data exchange between Union institutions and bodies and competition authorities, tax or customs administrations, financial supervisory authorities and services competent for social security matters or for public health, for example in the case of contact tracing for contagious diseases or in order to reduce and/or eliminate doping in sport. A transfer of personal data should also be regarded as lawful where it is

21.11.2018 EN Official Journal of the European Union L 295/51CJ

necessary to protect an interest which is essential for the data subject’s or another person’s vital interests, including physical integrity or life, if the data subject is incapable of giving consent. In the absence of an adequacy decision, Union law may, for important reasons of public interest, expressly set limits to the transfer of specific categories of data to a third country or an international organisation. Any transfer to an international humanitarian organisation of personal data of a data subject who is physically or legally incapable of giving consent, with a view to accomplishing a task incumbent under the Geneva Conventions or to complying with international humanitarian law applicable in armed conflicts, could be considered to be necessary for an important reason of public interest or because it is in the vital interest of the data subject.

(70) In any case, where the Commission has taken no decision on the adequate level of data protection in a third country, the controller or processor should make use of solutions that provide data subjects with enforceable and effective rights as regards the processing of their data in the Union once those data have been transferred so that that they will continue to benefit from fundamental rights and safeguards.

(71) When personal data moves across borders outside the Union it may put at increased risk the ability of natural persons to exercise data protection rights, in particular to protect themselves from the unlawful use or disclosure of that information. At the same time, national supervisory authorities and the European Data Protection Supervisor can be unable to pursue complaints or conduct investigations relating to the activities outside their jurisdiction. Their efforts to work together in the cross-border context can also be hampered by insufficient preventive or remedial powers, inconsistent legal regimes, and practical obstacles like resource constraints. Therefore, closer cooperation between the European Data Protection Supervisor and national supervisory authorities should be promoted to help the exchange of information with their international counterparts.

(72) The establishment in Regulation (EC) No 45/2001 of the European Data Protection Supervisor, who is empowered to perform his or her tasks and exercise his or her powers with complete independence, is an essential component of the protection of natural persons with regard to the processing of their personal data. This Regulation should further strengthen and clarify his or her role and independence. The European Data Protection Supervisor should be a person whose independence is beyond doubt and who is acknowledged as having the experience and skills required to perform the duties of European Data Protection Supervisor, for example because he or she has belonged to one of the supervisory authorities established under Article 51 of Regulation (EU) 2016/679.

(73) In order to ensure consistent monitoring and enforcement of data protection rules throughout the Union, the European Data Protection Supervisor should have the same tasks and effective powers as the national supervisory authorities, including powers of investigation, corrective powers and sanctions, and authorisation and advisory powers, in particular in cases of complaints from natural persons, powers to bring infringements of this Regulation to the attention of the Court of Justice and powers to engage in legal proceedings in accordance with the primary law. Such powers should also include the power to impose a temporary or definitive limitation, including a ban, on processing. In order to avoid superfluous costs and excessive inconveniencies for the persons concerned who might be adversely affected, each measure of the European Data Protection Supervisor should be appropriate, necessary and proportionate in view of ensuring compliance with this Regulation, should take into account the circumstances of each individual case and respect the right of every person to be heard before any individual measure concerned is taken. Each legally binding measure of the European Data Protection Supervisor should be in writing, be clear and unambiguous, indicate the date of issue of the measure, bear the signature of the European Data Protection Supervisor, give the reasons for the measure, and refer to the right to an effective remedy.

(74) The supervisory competence of the European Data Protection Supervisor should not cover the processing of personal data by the Court of Justice when acting in its judicial capacity, in order to safeguard the independence of the Court in the performance of its judicial tasks, including decision-making. For such processing operations, the Court should establish independent supervision, in accordance with Article 8(3) of the Charter, for example through an internal mechanism.

(75) The decisions of the European Data Protection Supervisor regarding exemptions, guarantees, authorisations and conditions relating to data processing operations, as defined in this Regulation, should be published in the activities report. Independently of the publication of an annual activities report, the European Data Protection Supervisor can publish reports on specific subjects.

L 295/52 EN Official Journal of the European Union 21.11.2018CJ

(76) The European Data Protection Supervisor should comply with Regulation (EC) No 1049/2001 of the European Parliament and of the Council (1).

(77) The national supervisory authorities monitor the application of Regulation (EU) 2016/679 and contribute to its consistent application throughout the Union, in order to protect natural persons in relation to the processing of their personal data and to facilitate the free flow of personal data within the internal market. In order to increase consistency in the application of data protection rules applicable in Member States and of data protection rules applicable to Union institutions and bodies, the European Data Protection Supervisor should cooperate effectively with the national supervisory authorities.

(78) In certain instances, Union law provides for a model of coordinated supervision, shared between the European Data Protection Supervisor and the national supervisory authorities. The European Data Protection Supervisor is also the supervisory authority of Europol and for these purposes, a specific model of cooperation with the national supervisory authorities has been established through a cooperation board with an advisory function. In order to improve the effective supervision and enforcement of substantive data protection rules, a single, coherent model of coordinated supervision should be introduced in the Union. The Commission should therefore make legislative proposals where appropriate with a view to amending Union legal acts providing for a model of coordinated supervision, in order to align them with the coordinated supervision model of this Regulation. The European Data Protection Board should serve as a single forum for ensuring effective coordinated supervision in all areas.

(79) Every data subject should have the right to lodge a complaint with the European Data Protection Supervisor, and the right to an effective judicial remedy before the Court of Justice in accordance with the Treaties, if the data subject considers that his or her rights under this Regulation are infringed or where the European Data Protection Supervisor does not act on a complaint, partially or wholly rejects or dismisses a complaint or does not act where such action is necessary to protect the rights of the data subject. The investigation following a complaint should be carried out, subject to judicial review, to the extent that is appropriate in the specific case. The European Data Protection Supervisor should inform the data subject of the progress and the outcome of the complaint within a reasonable period. If the case requires further coordination with a national supervisory authority, intermediate information should be given to the data subject. In order to facilitate the submission of complaints, the European Data Protection Supervisor should take measures such as providing a complaint submission form which can also be completed electronically, without excluding other means of communication.

(80) Any person who has suffered material or non-material damage as a result of an infringement of this Regulation should have the right to receive compensation from the controller or processor for the damage suffered, subject to the conditions provided for in the Treaties.

(81) In order to strengthen the supervisory role of the European Data Protection Supervisor and the effective enforcement of this Regulation, the European Data Protection Supervisor should, as a sanction of last resort, have the power to impose administrative fines. The fines should aim at sanctioning the Union institution or body — rather than individuals — for non-compliance with this Regulation, to deter future violations of this Regulation and to foster a culture of personal data protection within the Union institutions and bodies. This Regulation should indicate the infringements subject to administrative fines and the upper limits and criteria for setting the associated fines. The European Data Protection Supervisor should determine the amount of the fine in each individual case, by taking into account all relevant circumstances of the specific situation, with due regard to the nature, gravity and duration of the infringement, its consequences and the measures taken to ensure compliance with the obligations under this Regulation and to prevent or mitigate the consequences of the infringement. When imposing an administrative fine on a Union institution or body, the European Data Protection Supervisor should consider the proportionality of amount of the fine. The administrative procedure for the imposition of fines on Union institutions and bodies should respect the general principles of Union law as interpreted by the Court of Justice.

(82) Where a data subject considers that his or her rights under this Regulation are infringed, he or she should have the right to mandate a not-for-profit body, organisation or association which is constituted in accordance with Union law or the law of a Member State, has statutory objectives which are in the public interest and is active in the field of

21.11.2018 EN Official Journal of the European Union L 295/53

(1) Regulation (EC) No 1049/2001 of the European Parliament and of the Council of 30 May 2001 regarding public access to European Parliament, Council and Commission documents (OJ L 145, 31.5.2001, p. 43).

CJ

the protection of personal data to lodge a complaint on his or her behalf with the European Data Protection Supervisor. Such a body, organisation or association should also be able to exercise the right to a judicial remedy on behalf of data subjects or exercise the right to receive compensation on behalf of data subjects.

(83) An official or other servant of the Union who fails to comply with the obligations in this Regulation should be liable to disciplinary or other action, in accordance with the rules and procedures laid down in the Staff Regulations of Officials of the European Union and the Conditions of Employment of Other Servants of the Union, laid down in Council Regulation (EEC, Euratom, ECSC) No 259/68 (1) (‘Staff Regulations’).

(84) In order to ensure uniform conditions for the implementation of this Regulation, implementing powers should be conferred on the Commission. Those powers should be exercised in accordance with Regulation (EU) No 182/2011 of the European Parliament and the Council (2). The examination procedure should be used for the adoption of standard contractual clauses between controllers and processors and between processors, for the adoption of a list of processing operations requiring prior consultation of the European Data Protection Supervisor by controllers processing personal data for the performance of a task carried out in the public interest, and for the adoption of standard contractual clauses providing appropriate safeguards for international transfers.

(85) The confidential information which the Union and national statistical authorities collect for the production of official European and official national statistics should be protected. European statistics should be developed, produced and disseminated in accordance with the statistical principles set out in Article 338(2) TFEU. Regulation (EC) No 223/2009 of the European Parliament and of the Council (3) provides further specifications on statistical confidentiality for European statistics.

(86) Regulation (EC) No 45/2001 and Decision No 1247/2002/EC of the European Parliament, of the Council and of the Commission (4) should be repealed. The references to the repealed Regulation and Decision should be construed as references to this Regulation.

(87) In order to safeguard the full independence of the members of the independent supervisory authority, the terms of office of the current European Data Protection Supervisor and the current Assistant Supervisor should not be affected by this Regulation. The current Assistant Supervisor should remain in place until the end of his term of office, unless one of the conditions for the premature end of term of the European Data Protection Supervisor laid down in this Regulation is met. The relevant provisions of this Regulation should apply to the Assistant Supervisor until the end of his term of office.

(88) In accordance with the principle of proportionality, it is necessary and appropriate for the achievement of the basic objective of ensuring an equivalent level of protection of natural persons with regard to the processing of personal data and the free flow of personal data throughout the Union to lay down rules on processing of personal data in Union institutions and bodies. This Regulation does not go beyond what is necessary in order to achieve the objectives pursued in accordance with Article 5(4) of the TEU.

(89) The European Data Protection Supervisor was consulted in accordance with Article 28(2) of Regulation (EC) No 45/ 2001 and delivered an opinion on 15 March 2017 (5),

L 295/54 EN Official Journal of the European Union 21.11.2018

(1) OJ L 56, 4.3.1968, p. 1. (2) Regulation (EU) No 182/2011 of the European Parliament and of the Council of 16 February 2011 laying down the rules and

general principles concerning mechanisms for control by Member States of the Commission’s exercise of implementing powers (OJ L 55, 28.2.2011, p. 13).

(3) Regulation (EC) No 223/2009 of the European Parliament and of the Council of 11 March 2009 on European statistics and repealing Regulation (EC, Euratom) No 1101/2008 of the European Parliament and of the Council on the transmission of data subject to statistical confidentiality to the Statistical Office of the European Communities, Council Regulation (EC) No 322/97 on Community Statistics, and Council Decision 89/382/EEC, Euratom establishing a Committee on the Statistical Programmes of the European Communities (OJ L 87, 31.3.2009, p. 164).

(4) Decision No 1247/2002/EC of the European Parliament, of the Council and of the Commission of 1 July 2002 on the regulations and general conditions governing the performance of the European Data protection Supervisor’s duties (OJ L 183, 12.7.2002, p. 1).

(5) OJ C 164, 24.5.2017, p. 2.

CJ

HAVE ADOPTED THIS REGULATION:

CHAPTER I

GENERAL PROVISIONS

Article 1

Subject matter and objectives

1. This Regulation lays down rules relating to the protection of natural persons with regard to the processing of personal data by the Union institutions and bodies and rules relating to the free movement of personal data between them or to other recipients established in the Union.

2. This Regulation protects fundamental rights and freedoms of natural persons and in particular their right to the protection of personal data.

3. The European Data Protection Supervisor shall monitor the application of the provisions of this Regulation to all processing operations carried out by a Union institution or body.

Article 2

Scope

1. This Regulation applies to the processing of personal data by all Union institutions and bodies.

2. Only Article 3 and Chapter IX of this Regulation shall apply to the processing of operational personal data by Union bodies, offices and agencies when carrying out activities which fall within the scope of Chapter 4 or Chapter 5 of Title V of Part Three TFEU.

3. This Regulation shall not apply to the processing of operational personal data by Europol and the European Public Prosecutor’s Office, until Regulation (EU) 2016/794 of the European Parliament and of the Council (1) and Council Regulation (EU) 2017/1939 (2) are adapted in accordance with Article 98 of this Regulation.

4. This Regulation shall not apply to the processing of personal data by missions referred to in Articles 42(1), 43 and 44 TEU.

5. This Regulation applies to the processing of personal data wholly or partly by automated means and to the processing other than by automated means of personal data which form part of a filing system or are intended to form part of a filing system.

Article 3

Definitions

For the purposes of this Regulation, the following definitions apply:

(1) ‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;

(2) ‘operational personal data’ means all personal data processed by Union bodies, offices or agencies when carrying out activities which fall within the scope of Chapter 4 or Chapter 5 of Title V of Part Three TFEU to meet the objectives and tasks laid down in the legal acts establishing those bodies, offices or agencies;

21.11.2018 EN Official Journal of the European Union L 295/55

(1) Regulation (EU) 2016/794 of the European Parliament and of the Council of 11 May 2016 on the European Union Agency for Law Enforcement Cooperation (Europol) and replacing and repealing Council Decisions 2009/371/JHA, 2009/934/JHA, 2009/935/JHA, 2009/936/JHA and 2009/968/JHA (OJ L 135, 24.5.2016, p. 53).

(2) Council Regulation (EU) 2017/1939 of 12 October 2017 implementing enhanced cooperation on the establishment of the European Public Prosecutor’s Office (‘the EPPO’) (OJ L 283, 31.10.2017, p. 1).

CJ

(3) ‘processing’ means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction;

(4) ‘restriction of processing’ means the marking of stored personal data with the aim of limiting their processing in the future;

(5) ‘profiling’ means any form of automated processing of personal data consisting of the use of personal data to evaluate certain personal aspects relating to a natural person, in particular to analyse or predict aspects concerning that natural person’s performance at work, economic situation, health, personal preferences, interests, reliability, behaviour, location or movements;

(6) ‘pseudonymisation’ means the processing of personal data in such a manner that the personal data can no longer be attributed to a specific data subject without the use of additional information, provided that such additional information is kept separately and is subject to technical and organisational measures to ensure that the personal data are not attributed to an identified or identifiable natural person;

(7) ‘filing system’ means any structured set of personal data which are accessible according to specific criteria, whether centralised, decentralised or dispersed on a functional or geographical basis;

(8) ‘controller’ means the Union institution or body or the directorate-general or any other organisational entity which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by a specific Union act, the controller or the specific criteria for its nomination can be provided for by Union law;

(9) ‘controllers other than Union institutions and bodies’ means controllers within the meaning of point (7) of Article 4 of Regulation (EU) 2016/679 and controllers within the meaning of point (8) of Article 3 of Directive (EU) 2016/680;

(10) ‘Union institutions and bodies’ means the Union institutions, bodies, offices and agencies set up by, or on the basis of, the TEU, the TFEU or the Euratom Treaty;

(11) ‘competent authority’ means any public authority in a Member State competent for the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security;

(12) ‘processor’ means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller;

(13) ‘recipient’ means a natural or legal person, public authority, agency or another body, to which the personal data are disclosed, whether a third party or not. However, public authorities which may receive personal data in the framework of a particular inquiry in accordance with Union or Member State law shall not be regarded as recipients; the processing of those data by those public authorities shall be in compliance with the applicable data protection rules according to the purposes of the processing;

(14) ‘third party’ means a natural or legal person, public authority, agency or body other than the data subject, controller, processor and persons who, under the direct authority of the controller or processor, are authorised to process personal data;

(15) ‘consent’ of the data subject means any freely given, specific, informed and unambiguous indication of the data subject’s wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her;

(16) ‘personal data breach’ means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed;

(17) ‘genetic data’ means personal data relating to the inherited or acquired genetic characteristics of a natural person which give unique information about the physiology or the health of that natural person and which result, in particular, from an analysis of a biological sample from the natural person in question;

L 295/56 EN Official Journal of the European Union 21.11.2018CJ

(18) ‘biometric data’ means personal data resulting from specific technical processing relating to the physical, physiological or behavioural characteristics of a natural person, which allow or confirm the unique identification of that natural person, such as facial images or dactyloscopic data;

(19) ‘data concerning health’ means personal data related to the physical or mental health of a natural person, including the provision of healthcare services, which reveal information about his or her health status;

(20) ‘information society service’ means a service as defined in point (b) of Article 1(1) of Directive (EU) 2015/1535 of the European Parliament and of the Council (1);

(21) ‘international organisation’ means an organisation and its subordinate bodies governed by public international law, or any other body which is set up by, or on the basis of, an agreement between two or more countries;

(22) ‘national supervisory authority’ means an independent public authority which is established by a Member State pursuant to Article 51 of Regulation (EU) 2016/679 or pursuant to Article 41 of Directive (EU) 2016/680;

(23) ‘user’ means any natural person using a network or terminal equipment operated under the control of a Union institution or body;

(24) ‘directory’ means a publicly available directory of users or an internal directory of users available within a Union institution or body or shared between Union institutions and bodies, whether in printed or electronic form;

(25) ‘electronic communications network’ means a transmission system, whether or not based on a permanent infrastructure or centralised administration capacity, and, where applicable, switching or routing equipment and other resources, including network elements which are not active, which permit the conveyance of signals by wire, radio, optical or other electromagnetic means, including satellite networks, fixed (circuit- and packet-switched including internet) and mobile terrestrial networks, electricity cable systems, to the extent that they are used for the purpose of transmitting signals, networks used for radio and television broadcasting, and cable television networks, irrespective of the type of information conveyed;

(26) ‘terminal equipment’ means terminal equipment as defined in point (1) of Article 1 of Commission Directive 2008/63/ EC (2).

CHAPTER II

GENERAL PRINCIPLES

Article 4

Principles relating to processing of personal data

1. Personal data shall be:

(a) processed lawfully, fairly and in a transparent manner in relation to the data subject (‘lawfulness, fairness and transparency’);

(b) collected for specified, explicit and legitimate purposes and not further processed in a manner that is incompatible with those purposes; further processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes shall, in accordance with Article 13, not be considered to be incompatible with the initial purposes (‘purpose limitation’);

(c) adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed (‘data minimisation’);

(d) accurate and, where necessary, kept up to date; every reasonable step must be taken to ensure that personal data that are inaccurate, having regard to the purposes for which they are processed, are erased or rectified without delay (‘accuracy’);

21.11.2018 EN Official Journal of the European Union L 295/57

(1) Directive (EU) 2015/1535 of the European Parliament and of the Council of 9 September 2015 laying down a procedure for the provision of information in the field of technical regulations and of rules on Information Society services (OJ L 241, 17.9.2015, p. 1).

(2) Commission Directive 2008/63/EC of 20 June 2008 on competition in the markets in telecommunications terminal equipment (OJ L 162, 21.6.2008, p. 20).

CJ

(e) kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the personal data are processed; personal data may be stored for longer periods insofar as the personal data will be processed solely for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article 13 subject to implementation of the appropriate technical and organisational measures required by this Regulation in order to safeguard the rights and freedoms of the data subject (‘storage limitation’);

(f) processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures (‘integrity and confidentiality’).

2. The controller shall be responsible for, and be able to demonstrate compliance with, paragraph 1 (‘accountability’).

Article 5

Lawfulness of processing

1. Processing shall be lawful only if and to the extent that at least one of the following applies:

(a) processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the Union institution or body;

(b) processing is necessary for compliance with a legal obligation to which the controller is subject;

(c) processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract;

(d) the data subject has given consent to the processing of his or her personal data for one or more specific purposes;

(e) processing is necessary in order to protect the vital interests of the data subject or of another natural person.

2. The basis for the processing referred to in points (a) and (b) of paragraph 1 shall be laid down in Union law.

Article 6

Processing for another compatible purpose

Where the processing for a purpose other than that for which the personal data have been collected is not based on the data subject’s consent or on Union law which constitutes a necessary and proportionate measure in a democratic society to safeguard the objectives referred to in Article 25(1), the controller shall, in order to ascertain whether processing for another purpose is compatible with the purpose for which the personal data are initially collected, take into account, inter alia:

(a) any link between the purposes for which the personal data have been collected and the purposes of the intended further processing;

(b) the context in which the personal data have been collected, in particular regarding the relationship between data subjects and the controller;

(c) the nature of the personal data, in particular whether special categories of personal data are processed, pursuant to Article 10, or whether personal data related to criminal convictions and offences are processed, pursuant to Article 11;

(d) the possible consequences of the intended further processing for data subjects;

(e) the existence of appropriate safeguards, which may include encryption or pseudonymisation.

Article 7

Conditions for consent

1. Where processing is based on consent, the controller shall be able to demonstrate that the data subject has consented to processing of his or her personal data.

2. If the data subject’s consent is given in the context of a written declaration which also concerns other matters, the request for consent shall be presented in a manner which is clearly distinguishable from the other matters, in an intelligible and easily accessible form, using clear and plain language. Any part of such a declaration which constitutes an infringement of this Regulation shall not be binding.

L 295/58 EN Official Journal of the European Union 21.11.2018CJ

3. The data subject shall have the right to withdraw his or her consent at any time. The withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal. Prior to giving consent, the data subject shall be informed thereof. It shall be as easy to withdraw as to give consent.

4. When assessing whether consent is freely given, utmost account shall be taken of whether, inter alia, the performance of a contract, including the provision of a service, is conditional on consent to the processing of personal data that is not necessary for the performance of that contract.

Article 8

Conditions applicable to a child’s consent in relation to information society services

1. Where point (d) of Article 5(1) applies, in relation to the offer of information society services directly to a child, the processing of the personal data of a child shall be lawful where the child is at least 13 years old. Where the child is below the age of 13 years, such processing shall be lawful only if and to the extent that consent is given or authorised by the holder of parental responsibility over the child.

2. The controller shall make reasonable efforts to verify in such cases that consent is given or authorised by the holder of parental responsibility over the child, taking into consideration available technology.

3. Paragraph 1 shall not affect the general contract law of Member States such as the rules on the validity, formation or effect of a contract in relation to a child.

Article 9

Transmissions of personal data to recipients established in the Union other than Union institutions and bodies

1. Without prejudice to Articles 4 to 6 and 10, personal data shall only be transmitted to recipients established in the Union other than Union institutions and bodies if:

(a) the recipient establishes that the data are necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the recipient; or

(b) the recipient establishes that it is necessary to have the data transmitted for a specific purpose in the public interest and the controller, where there is any reason to assume that the data subject’s legitimate interests might be prejudiced, establishes that it is proportionate to transmit the personal data for that specific purpose after having demonstrably weighed the various competing interests.

2. Where the controller initiates the transmission under this Article, it shall demonstrate that the transmission of personal data is necessary for and proportionate to the purposes of the transmission by applying the criteria laid down in points (a) or (b) of paragraph 1.

3. Union institutions and bodies shall reconcile the right to the protection of personal data with the right of access to documents in accordance with Union law.

Article 10

Processing of special categories of personal data

1. Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation shall be prohibited.

2. Paragraph 1 shall not apply if one of the following applies:

(a) the data subject has given explicit consent to the processing of those personal data for one or more specified purposes, except where Union law provides that the prohibition referred to in paragraph 1 may not be lifted by the data subject;

(b) the processing is necessary for the purposes of carrying out the obligations and exercising specific rights of the controller or of the data subject in the field of employment and social security and social protection law insofar as it is authorised by Union law providing for appropriate safeguards for the fundamental rights and the interests of the data subject;

(c) the processing is necessary to protect the vital interests of the data subject or of another person where the data subject is physically or legally incapable of giving consent;

21.11.2018 EN Official Journal of the European Union L 295/59CJ

(d) the processing is carried out in the course of its legitimate activities with appropriate safeguards by a non-profit-seeking body which constitutes an entity integrated in a Union institution or body and with a political, philosophical, religious or trade union aim and on condition that the processing relates solely to the members or to former members of this body or to persons who have regular contact with it in connection with its purposes and that the data are not disclosed outside that body without the consent of the data subjects;

(e) the processing relates to personal data which are manifestly made public by the data subject;

(f) the processing is necessary for the establishment, exercise or defence of legal claims or whenever the Court of Justice is acting in its judicial capacity;

(g) the processing is necessary for reasons of substantial public interest, on the basis of Union law which shall be proportionate to the aim pursued, respect the essence of the right to data protection and provide for suitable and specific measures to safeguard the fundamental rights and the interests of the data subject;

(h) the processing is necessary for the purposes of preventive or occupational medicine, for the assessment of the working capacity of the employee, medical diagnosis, the provision of health or social care or treatment or the management of health or social care systems and services on the basis of Union law or pursuant to contract with a health professional and subject to the conditions and safeguards referred to in paragraph 3;

(i) the processing is necessary for reasons of public interest in the area of public health, such as protecting against serious cross-border threats to health or ensuring high standards of quality and safety of healthcare and of medicinal products or medical devices, on the basis of Union law which provides for suitable and specific measures to safeguard the rights and freedoms of the data subject, in particular professional secrecy; or

(j) the processing is necessary for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes based on Union law which shall be proportionate to the aim pursued, respect the essence of the right to data protection and provide for suitable and specific measures to safeguard the fundamental rights and the interests of the data subject.

3. Personal data referred to in paragraph 1 may be processed for the purposes referred to in point (h) of paragraph 2 when those data are processed by, or under the responsibility of, a professional subject to the obligation of professional secrecy under Union or Member State law or rules established by national competent bodies, or by another person also subject to an obligation of secrecy under Union or Member State law or rules established by national competent bodies.

Article 11

Processing of personal data relating to criminal convictions and offences

Processing of personal data relating to criminal convictions and offences or related security measures based on Article 5(1) shall be carried out only under control of official authority or when the processing is authorised by Union law providing for appropriate safeguards for the rights and freedoms of data subjects.

Article 12

Processing which does not require identification

1. If the purposes for which a controller processes personal data do not or do no longer require the identification of a data subject by the controller, the controller shall not be obliged to maintain, acquire or process additional information in order to identify the data subject for the sole purpose of complying with this Regulation.

2. Where, in cases referred to in paragraph 1 of this Article, the controller is able to demonstrate that it is not in a position to identify the data subject, the controller shall inform the data subject accordingly, if possible. In such cases, Articles 17 to 22 shall not apply except where the data subject, for the purpose of exercising his or her rights under those articles, provides additional information enabling his or her identification.

L 295/60 EN Official Journal of the European Union 21.11.2018CJ

Article 13

Safeguards relating to processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes

Processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, shall be subject to appropriate safeguards, in accordance with this Regulation, for the rights and freedoms of the data subject. Those safeguards shall ensure that technical and organisational measures are in place in particular in order to ensure respect for the principle of data minimisation. Those measures may include pseudonymisation provided that those purposes can be fulfilled in that manner. Where those purposes can be fulfilled by further processing which does not permit or no longer permits the identification of data subjects, those purposes shall be fulfilled in that manner.

CHAPTER III

RIGHTS OF THE DATA SUBJECT

SECTION 1

Transparency and modalities

Article 14

Transparent information, communication and modalities for the exercise of the rights of the data subject

1. The controller shall take appropriate measures to provide any information referred to in Articles 15 and 16 and any communication under Articles 17 to 24 and 35 relating to processing to the data subject in a concise, transparent, intelligible and easily accessible form, using clear and plain language, in particular for any information addressed specifically to a child. The information shall be provided in writing, or by other means, including, where appropriate, by electronic means. When requested by the data subject, the information may be provided orally, provided that the identity of the data subject is proven by other means.

2. The controller shall facilitate the exercise of data subject rights under Articles 17 to 24. In the cases referred to in Article 12(2), the controller shall not refuse to act on the request of the data subject for exercising his or her rights under Articles 17 to 24, unless the controller demonstrates that it is not in a position to identify the data subject.

3. The controller shall provide information on action taken on a request under Articles 17 to 24 to the data subject without undue delay and in any event within one month of receipt of the request. That period may be extended by two further months where necessary, taking into account the complexity and number of the requests. The controller shall inform the data subject of any such extension within one month of receipt of the request, together with the reasons for the delay. Where the data subject makes the request by electronic form means, the information shall be provided by electronic means where possible, unless otherwise requested by the data subject.

4. If the controller does not take action on the request of the data subject, the controller shall inform the data subject without delay and at the latest within one month of receipt of the request of the reasons for not taking action and on the possibility of lodging a complaint with the European Data Protection Supervisor and seeking a judicial remedy.

5. Information provided under Articles 15 and 16 and any communication and any actions taken under Articles 17 to 24 and 35 shall be provided free of charge. Where requests from a data subject are manifestly unfounded or excessive, in particular because of their repetitive character, the controller may refuse to act on the request. The controller shall bear the burden of demonstrating the manifestly unfounded or excessive character of the request.

6. Without prejudice to Article 12, where the controller has reasonable doubts concerning the identity of the natural person making the request referred to in Articles 17 to 23, the controller may request the provision of additional information necessary to confirm the identity of the data subject.

7. The information to be provided to data subjects pursuant to Articles 15 and 16 may be provided in combination with standardised icons in order to give in an easily visible, intelligible and clearly legible manner a meaningful overview of the intended processing. Where the icons are presented electronically they shall be machine-readable.

21.11.2018 EN Official Journal of the European Union L 295/61CJ

8. Where the Commission adopts delegated acts pursuant to Article 12(8) of Regulation (EU) 2016/679 determining the information to be presented by the icons and the procedures for providing standardised icons, Union institutions and bodies shall, where appropriate, provide the information pursuant to Articles 15 and 16 of this Regulation in combination with such standardised icons.

SECTION 2

Information and access to personal data

Article 15

Information to be provided where personal data are collected from the data subject

1. Where personal data relating to a data subject are collected from the data subject, the controller shall, at the time when personal data are obtained, provide the data subject with all of the following information:

(a) the identity and the contact details of the controller;

(b) the contact details of the data protection officer;

(c) the purposes of the processing for which the personal data are intended as well as the legal basis for the processing;

(d) the recipients or categories of recipients of the personal data, if any;

(e) where applicable, the fact that the controller intends to transfer personal data to a third country or international organisation and the existence or absence of an adequacy decision by the Commission, or in the case of transfers referred to in Article 48, reference to the appropriate or suitable safeguards and the means by which to obtain a copy of them or where they have been made available.

2. In addition to the information referred to in paragraph 1, the controller shall, at the time when personal data are obtained, provide the data subject with the following further information necessary to ensure fair and transparent processing:

(a) the period for which the personal data will be stored, or if that is not possible, the criteria used to determine that period;

(b) the existence of the right to request from the controller access to and rectification or erasure of personal data or restriction of processing concerning the data subject or, where applicable, the right to object to processing or the right to data portability;

(c) where the processing is based on point (d) of Article 5(1) or point (a) of Article 10(2), the existence of the right to withdraw consent at any time, without affecting the lawfulness of processing based on consent before its withdrawal;

(d) the right to lodge a complaint with the European Data Protection Supervisor;

(e) whether the provision of personal data is a statutory or contractual requirement, or a requirement necessary to enter into a contract, as well as whether the data subject is obliged to provide the personal data and of the possible consequences of failure to provide such data;

(f) the existence of automated decision-making, including profiling, referred to in Article 24(1) and (4) and, at least in those cases, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for the data subject.

3. Where the controller intends to further process the personal data for a purpose other than that for which the personal data were collected, the controller shall provide the data subject prior to that further processing with information on that other purpose and with any relevant further information as referred to in paragraph 2.

4. Paragraphs 1, 2 and 3 shall not apply where and insofar as the data subject already has the information.

L 295/62 EN Official Journal of the European Union 21.11.2018CJ

Article 16

Information to be provided where personal data have not been obtained from the data subject

1. Where personal data have not been obtained from the data subject, the controller shall provide the data subject with the following information:

(a) the identity and the contact details of the controller;

(b) the contact details of the data protection officer;

(c) the purposes of the processing for which the personal data are intended as well as the legal basis for the processing;

(d) the categories of personal data concerned;

(e) the recipients or categories of recipients of the personal data, if any;

(f) where applicable, that the controller intends to transfer personal data to a recipient in a third country or international organisation and the existence or absence of an adequacy decision by the Commission, or in the case of transfers referred to in Article 48, reference to the appropriate or suitable safeguards and the means to obtain a copy of them or where they have been made available.

2. In addition to the information referred to in paragraph 1, the controller shall provide the data subject with the following further information necessary to ensure fair and transparent processing in respect of the data subject:

(a) the period for which the personal data will be stored, or if that is not possible, the criteria used to determine that period;

(b) the existence of the right to request from the controller access to and rectification or erasure of personal data or restriction of processing concerning the data subject or, where applicable, the right to object to processing or the right to data portability;

(c) where the processing is based on point (d) of Article 5(1) or point (a) of Article 10(2), the existence of the right to withdraw consent at any time, without affecting the lawfulness of processing based on consent before its withdrawal;

(d) the right to lodge a complaint with the European Data Protection Supervisor;

(e) from which source the personal data originate, and if applicable, whether it came from publicly accessible sources;

(f) the existence of automated decision-making, including profiling, referred to in Article 24(1) and (4) and, at least in those cases, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for the data subject.

3. The controller shall provide the information referred to in paragraphs 1 and 2:

(a) within a reasonable period after obtaining the personal data, but at the latest within one month, having regard to the specific circumstances in which the personal data are processed;

(b) if the personal data are to be used for communication with the data subject, at the latest at the time of the first communication to that data subject; or

(c) if a disclosure to another recipient is envisaged, at the latest when the personal data are first disclosed.

4. Where the controller intends to further process the personal data for a purpose other than that for which the personal data were obtained, the controller shall provide the data subject prior to that further processing with information on that other purpose and with any relevant further information as referred to in paragraph 2.

5. Paragraphs 1 to 4 shall not apply where and insofar as:

(a) the data subject already has the information;

21.11.2018 EN Official Journal of the European Union L 295/63CJ

(b) the provision of such information proves impossible or would involve a disproportionate effort, in particular for processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes or in so far as the obligation referred to in paragraph 1 of this Article is likely to render impossible or seriously impair the achievement of the objectives of that processing;

(c) obtaining or disclosure is expressly laid down by Union law, which provides appropriate measures to protect the data subject’s legitimate interests; or

(d) where the personal data must remain confidential subject to an obligation of professional secrecy regulated by Union law, including a statutory obligation of secrecy.

6. In the cases referred to in point (b) of paragraph 5 the controller shall take appropriate measures to protect the data subject’s rights and freedoms and legitimate interests, including making the information publicly available.

Article 17

Right of access by the data subject

1. The data subject shall have the right to obtain from the controller confirmation as to whether or not personal data concerning him or her are being processed, and, where that is the case, access to the personal data and the following information:

(a) the purposes of the processing;

(b) the categories of personal data concerned;

(c) the recipients or categories of recipient to whom the personal data have been or will be disclosed, in particular recipients in third countries or international organisations;

(d) where possible, the envisaged period for which the personal data will be stored, or, if not possible, the criteria used to determine that period;

(e) the existence of the right to request from the controller rectification or erasure of personal data or restriction of processing of personal data concerning the data subject or to object to such processing;

(f) the right to lodge a complaint with the European Data Protection Supervisor;

(g) where the personal data are not collected from the data subject, any available information as to their source;

(h) the existence of automated decision-making, including profiling, referred to in Article 24(1) and (4) and, at least in those cases, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for the data subject.

2. Where personal data are transferred to a third country or to an international organisation, the data subject shall have the right to be informed of the appropriate safeguards pursuant to Article 48 relating to the transfer.

3. The controller shall provide a copy of the personal data undergoing processing. Where the data subject makes the request by electronic means, and unless otherwise requested by the data subject, the information shall be provided in a commonly used electronic form.

4. The right to obtain a copy referred to in paragraph 3 shall not adversely affect the rights and freedoms of others.

SECTION 3

Rectification and erasure

Article 18

Right to rectification

The data subject shall have the right to obtain from the controller without undue delay the rectification of inaccurate personal data concerning him or her. Taking into account the purposes of the processing, the data subject shall have the right to have incomplete personal data completed, including by means of providing a supplementary statement.

L 295/64 EN Official Journal of the European Union 21.11.2018CJ

Article 19

Right to erasure (‘right to be forgotten’)

1. The data subject shall have the right to obtain from the controller the erasure of personal data concerning him or her without undue delay and the controller shall have the obligation to erase personal data without undue delay where one of the following grounds applies:

(a) the personal data are no longer necessary in relation to the purposes for which they were collected or otherwise processed;

(b) the data subject withdraws consent on which the processing is based according to point (d) of Article 5(1), or point (a) of Article 10(2), and where there is no other legal ground for the processing;

(c) the data subject objects to the processing pursuant to Article 23(1) and there are no overriding legitimate grounds for the processing;

(d) the personal data have been unlawfully processed;

(e) the personal data have to be erased for compliance with a legal obligation to which the controller is subject;

(f) the personal data have been collected in relation to the offer of information society services referred to in Article 8(1).

2. Where the controller has made the personal data public and is obliged pursuant to paragraph 1 to erase the personal data, the controller, taking account of available technology and the cost of implementation, shall take reasonable steps, including technical measures, to inform controllers, or controllers other than Union institutions and bodies, which are processing the personal data that the data subject has requested the erasure by such controllers of any links to, or copy or replication of, those personal data.

3. Paragraphs 1 and 2 shall not apply to the extent that processing is necessary:

(a) for exercising the right of freedom of expression and information;

(b) for compliance with a legal obligation to which the controller is subject or for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller;

(c) for reasons of public interest in the area of public health in accordance with points (h) and (i) of Article 10(2) as well as Article 10(3);

(d) for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, in so far as the right referred to in paragraph 1 is likely to render impossible or seriously impair the achievement of the objectives of that processing; or

(e) for the establishment, exercise or defence of legal claims.

Article 20

Right to restriction of processing

1. The data subject shall have the right to obtain from the controller restriction of processing where one of the following applies:

(a) the accuracy of the personal data is contested by the data subject, for a period enabling the controller to verify the accuracy, including the completeness, of the personal data;

(b) the processing is unlawful and the data subject opposes the erasure of the personal data and requests the restriction of their use instead;

(c) the controller no longer needs the personal data for the purposes of the processing, but they are required by the data subject for the establishment, exercise or defence of legal claims;

(d) the data subject has objected to processing pursuant to Article 23(1) pending the verification whether the legitimate grounds of the controller override those of the data subject.

21.11.2018 EN Official Journal of the European Union L 295/65CJ

2. Where processing has been restricted under paragraph 1, such personal data shall, with the exception of storage, only be processed with the data subject’s consent or for the establishment, exercise or defence of legal claims or for the protection of the rights of another natural or legal person or for reasons of important public interest of the Union or of a Member State.

3. A data subject who has obtained restriction of processing pursuant to paragraph 1 shall be informed by the controller before the restriction of processing is lifted.

4. In automated filing systems restriction of processing shall in principle be ensured by technical means. The fact that the personal data are restricted shall be indicated in the system in such a way that it becomes clear that the personal data may not be used.

Article 21

Notification obligation regarding rectification or erasure of personal data or restriction of processing

The controller shall communicate any rectification or erasure of personal data or restriction of processing carried out in accordance with Article 18, Article 19(1) and Article 20 to each recipient to whom the personal data have been disclosed, unless this proves impossible or involves disproportionate effort. The controller shall inform the data subject about those recipients if the data subject requests it.

Article 22

Right to data portability

1. The data subject shall have the right to receive the personal data concerning him or her, which he or she has provided to a controller, in a structured, commonly used and machine-readable format and have the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided, where:

(a) the processing is based on consent pursuant to point (d) of Article 5(1) or point (a) of Article 10(2) or on a contract pursuant to point (c) of Article 5(1); and

(b) the processing is carried out by automated means.

2. In exercising his or her right to data portability pursuant to paragraph 1, the data subject shall have the right to have the personal data transmitted directly from one controller to another or to controllers other than Union institutions and bodies, where technically feasible.

3. The exercise of the right referred to in paragraph 1 of this Article shall be without prejudice to Article 19. That right shall not apply to processing necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller.

4. The right referred to in paragraph 1 shall not adversely affect the rights and freedoms of others.

SECTION 4

Right to object and automated individual decision-making

Article 23

Right to object

1. The data subject shall have the right to object, on grounds relating to his or her particular situation, at any time to processing of personal data concerning him or her which is based on point (a) of Article 5(1), including profiling based on that provision. The controller shall no longer process the personal data unless the controller demonstrates compelling legitimate grounds for the processing which override the interests, rights and freedoms of the data subject or for the establishment, exercise or defence of legal claims.

2. At the latest at the time of the first communication with the data subject, the right referred to in paragraph 1 shall be explicitly brought to the attention of the data subject and shall be presented clearly and separately from any other information.

3. Without prejudice to Articles 36 and 37, in the context of the use of information society services the data subject may exercise his or her right to object by automated means using technical specifications.

L 295/66 EN Official Journal of the European Union 21.11.2018CJ

4. Where personal data are processed for scientific or historical research purposes or statistical purposes, the data subject, on grounds relating to his or her particular situation, shall have the right to object to processing of personal data concerning him or her, unless the processing is necessary for the performance of a task carried out for reasons of public interest.

Article 24

Automated individual decision-making, including profiling

1. The data subject shall have the right not to be subject to a decision based solely on automated processing, including profiling, which produces legal effects concerning him or her or similarly significantly affects him or her.

2. Paragraph 1 shall not apply if the decision:

(a) is necessary for entering into, or performance of, a contract between the data subject and the controller;

(b) is authorised by Union law, which also lays down suitable measures to safeguard the data subject’s rights and freedoms and legitimate interests; or

(c) is based on the data subject’s explicit consent.

3. In the cases referred to in points (a) and (c) of paragraph 2, the controller shall implement suitable measures to safeguard the data subject’s rights and freedoms and legitimate interests, at least the right to obtain human intervention on the part of the controller, to express his or her point of view and to contest the decision.

4. Decisions referred to in paragraph 2 of this Article shall not be based on special categories of personal data referred to in Article 10(1), unless point (a) or (g) of Article 10(2) applies and suitable measures to safeguard the data subject’s rights and freedoms and legitimate interests are in place.

SECTION 5

Restrictions

Article 25

Restrictions

1. Legal acts adopted on the basis of the Treaties or, in matters relating to the operation of the Union institutions and bodies, internal rules laid down by the latter may restrict the application of Articles 14 to 22, 35, and 36, as well as Article 4 in so far as its provisions correspond to the rights and obligations provided for in Articles 14 to 22, when such a restriction respects the essence of the fundamental rights and freedoms and is a necessary and proportionate measure in a democratic society to safeguard:

(a) the national security, public security or defence of the Member States;

(b) the prevention, investigation, detection and prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security;

(c) other important objectives of general public interest of the Union or of a Member State, in particular the objectives of the common foreign and security policy of the Union or an important economic or financial interest of the Union or of a Member State, including monetary, budgetary and taxation matters, public health and social security;

(d) the internal security of Union institutions and bodies, including of their electronic communications networks;

(e) the protection of judicial independence and judicial proceedings;

(f) the prevention, investigation, detection and prosecution of breaches of ethics for regulated professions;

(g) a monitoring, inspection or regulatory function connected, even occasionally, to the exercise of official authority in the cases referred to in points (a) to (c);

(h) the protection of the data subject or the rights and freedoms of others;

21.11.2018 EN Official Journal of the European Union L 295/67CJ

(i) the enforcement of civil law claims.

2. In particular, any legal act or internal rule referred to in paragraph 1 shall contain specific provisions, where relevant, as to:

(a) the purposes of the processing or categories of processing;

(b) the categories of personal data;

(c) the scope of the restrictions introduced;

(d) the safeguards to prevent abuse or unlawful access or transfer;

(e) the specification of the controller or categories of controllers;

(f) the storage periods and the applicable safeguards taking into account the nature, scope and purposes of the processing or categories of processing; and

(g) the risks to the rights and freedoms of data subjects.

3. Where personal data are processed for scientific or historical research purposes or statistical purposes, Union law, which may include internal rules adopted by Union institutions and bodies in matters relating to their operation, may provide for derogations from the rights referred to in Articles 17, 18, 20 and 23 subject to the conditions and safeguards referred to in Article 13 in so far as such rights are likely to render impossible or seriously impair the achievement of the specific purposes, and such derogations are necessary for the fulfilment of those purposes.

4. Where personal data are processed for archiving purposes in the public interest, Union law, which may include internal rules adopted by Union institutions and bodies in matters relating to their operation, may provide for derogations from the rights referred to in Articles 17, 18, 20, 21, 22 and 23 subject to the conditions and safeguards referred to in Article 13 in so far as such rights are likely to render impossible or seriously impair the achievement of the specific purposes, and such derogations are necessary for the fulfilment of those purposes.

5. Internal rules referred to in paragraphs 1, 3 and 4 shall be clear and precise acts of general application, intended to produce legal effects vis-à-vis data subjects, adopted at the highest level of management of the Union institutions and bodies and subject to publication in the Official Journal of the European Union.

6. If a restriction is imposed pursuant to paragraph 1, the data subject shall be informed in accordance with Union law of the principal reasons on which the application of the restriction is based and of his or her right to lodge a complaint with the European Data Protection Supervisor.

7. If a restriction imposed pursuant to paragraph 1 is relied upon to deny access to the data subject, the European Data Protection Supervisor shall, when investigating the complaint, only inform him or her of whether the data have been processed correctly and, if not, whether any necessary corrections have been made.

8. Provision of the information referred to in paragraphs 6 and 7 of this Article and in Article 45(2) may be deferred, omitted or denied if it would cancel the effect of the restriction imposed pursuant to paragraph 1 of this Article.

CHAPTER IV

CONTROLLER AND PROCESSOR

SECTION 1

General obligations

Article 26

Responsibility of the controller

1. Taking into account the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for the rights and freedoms of natural persons, the controller shall implement appropriate technical and organisational measures to ensure and to be able to demonstrate that processing is performed in accordance with this Regulation. Those measures shall be reviewed and updated where necessary.

L 295/68 EN Official Journal of the European Union 21.11.2018CJ

2. Where proportionate in relation to processing activities, the measures referred to in paragraph 1 shall include the implementation of appropriate data protection policies by the controller.

3. Adherence to approved certification mechanisms as referred to in Article 42 of Regulation (EU) 2016/679 may be used as an element by which to demonstrate compliance with the obligations of the controller.

Article 27

Data protection by design and by default

1. Taking into account the state of the art, the cost of implementation and the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for rights and freedoms of natural persons posed by the processing, the controller shall, both at the time of the determination of the means for processing and at the time of the processing itself, implement appropriate technical and organisational measures, such as pseudonymisation, which are designed to implement data protection principles, such as data minimisation, in an effective manner and to integrate the necessary safeguards into the processing in order to meet the requirements of this Regulation and protect the rights of data subjects.

2. The controller shall implement appropriate technical and organisational measures for ensuring that, by default, only personal data which are necessary for each specific purpose of the processing are processed. That obligation applies to the amount of personal data collected, the extent of their processing, the period of their storage and their accessibility. In particular, such measures shall ensure that by default personal data are not made accessible without the individual’s intervention to an indefinite number of natural persons.

3. An approved certification mechanism pursuant to Article 42 of Regulation (EU) 2016/679 may be used as an element to demonstrate compliance with the requirements set out in paragraphs 1 and 2 of this Article.

Article 28

Joint controllers

1. Where two or more controllers or one or more controllers together with one or more controllers other than Union institutions and bodies jointly determine the purposes and means of processing, they shall be joint controllers. They shall in a transparent manner determine their respective responsibilities for compliance with their data protection obligations, in particular as regards the exercising of the rights of the data subject and their respective duties to provide the information referred to in Articles 15 and 16, by means of an arrangement between them unless, and in so far as, the respective responsibilities of the joint controllers are determined by Union or Member State law to which the joint controllers are subject. The arrangement may designate a contact point for data subjects.

2. The arrangement referred to in paragraph 1 shall duly reflect the respective roles and relationships of the joint controllers vis-à-vis the data subjects. The essence of the arrangement shall be made available to the data subject.

3. Irrespective of the terms of the arrangement referred to in paragraph 1, the data subject may exercise his or her rights under this Regulation in respect of and against each of the controllers.

Article 29

Processor

1. Where processing is to be carried out on behalf of a controller, the controller shall use only processors providing sufficient guarantees to implement appropriate technical and organisational measures in such a manner that processing will meet the requirements of this Regulation and ensure the protection of the rights of the data subject.

2. The processor shall not engage another processor without prior specific or general written authorisation of the controller. In the case of general written authorisation, the processor shall inform the controller of any intended changes concerning the addition or replacement of other processors, thereby giving the controller the opportunity to object to such changes.

3. Processing by a processor shall be governed by a contract or other legal act under Union or Member State law, that is binding on the processor with regard to the controller and that sets out the subject matter and duration of the processing, the nature and purpose of the processing, the type of personal data and categories of data subjects and the obligations and rights of the controller. That contract or other legal act shall stipulate, in particular, that the processor:

21.11.2018 EN Official Journal of the European Union L 295/69CJ

(a) processes the personal data only on documented instructions from the controller, including with regard to transfers of personal data to a third country or an international organisation, unless required to do so by Union or Member State law to which the processor is subject; in such a case, the processor shall inform the controller of that legal requirement before processing, unless that law prohibits such information on important grounds of public interest;

(b) ensures that persons authorised to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality;

(c) takes all measures required pursuant to Article 33;

(d) respects the conditions referred to in paragraphs 2 and 4 for engaging another processor;

(e) taking into account the nature of the processing, assists the controller by appropriate technical and organisational measures, insofar as this is possible, for the fulfilment of the controller’s obligation to respond to requests for exercising the data subject’s rights laid down in Chapter III;

(f) assists the controller in ensuring compliance with the obligations pursuant to Articles 33 to 41 taking into account the nature of processing and the information available to the processor;

(g) at the choice of the controller, deletes or returns all the personal data to the controller after the end of the provision of services relating to processing, and deletes existing copies unless Union or Member State law requires storage of the personal data;

(h) makes available to the controller all information necessary to demonstrate compliance with the obligations laid down in this Article and allow for and contribute to audits, including inspections, conducted by the controller or another auditor mandated by the controller.

With regard to point (h) of the first subparagraph, the processor shall immediately inform the controller if, in its opinion, an instruction infringes this Regulation or other Union or Member State data protection provisions.

4. Where a processor engages another processor for carrying out specific processing activities on behalf of the controller, the same data protection obligations as set out in the contract or other legal act between the controller and the processor as referred to in paragraph 3 shall be imposed on that other processor by way of a contract or other legal act under Union or Member State law, in particular providing sufficient guarantees to implement appropriate technical and organisational measures in such a manner that the processing will meet the requirements of this Regulation. Where that other processor fails to fulfil its data protection obligations, the initial processor shall remain fully liable to the controller for the performance of that other processor’s obligations.

5. When a processor is not a Union institution or body, its adherence to an approved code of conduct referred to in Article 40(5) of Regulation (EU) 2016/679 or an approved certification mechanism referred to in Article 42 of Regulation (EU) 2016/679 may be used as an element by which to demonstrate sufficient guarantees as referred to in paragraphs 1 and 4 of this Article.

6. Without prejudice to any individual contract between the controller and the processor, the contract or the other legal act referred to in paragraphs 3 and 4 of this Article may be based, in whole or in part, on standard contractual clauses referred to in paragraphs 7 and 8 of this Article, including when they are part of a certification granted to the processor other than a Union institution or body pursuant to Article 42 of Regulation (EU) 2016/679.

7. The Commission may lay down standard contractual clauses for the matters referred to in paragraph 3 and 4 of this Article and in accordance with the examination procedure referred to in Article 96(2).

8. The European Data Protection Supervisor may adopt standard contractual clauses for the matters referred to in paragraphs 3 and 4.

9. The contract or the other legal act referred to in paragraphs 3 and 4 shall be in writing, including in electronic form.

L 295/70 EN Official Journal of the European Union 21.11.2018CJ

10. Without prejudice to Articles 65 and 66, if a processor infringes this Regulation by determining the purposes and means of processing, the processor shall be considered to be a controller in respect of that processing.

Article 30

Processing under the authority of the controller or processor

The processor and any person acting under the authority of the controller or of the processor, who has access to personal data, shall not process those data except on instructions from the controller, unless required to do so by Union or Member State law.

Article 31

Records of processing activities

1. Each controller shall maintain a record of processing activities under its responsibility. That record shall contain all of the following information:

(a) the name and contact details of the controller, the data protection officer and, where applicable, the processor and the joint controller;

(b) the purposes of the processing;

(c) a description of the categories of data subjects and of the categories of personal data;

(d) the categories of recipients to whom the personal data have been or will be disclosed including recipients in Member States, third countries or international organisations;

(e) where applicable, transfers of personal data to a third country or an international organisation, including the identification of that third country or international organisation and the documentation of suitable safeguards;

(f) where possible, the envisaged time limits for erasure of the different categories of data;

(g) where possible, a general description of the technical and organisational security measures referred to in Article 33.

2. Each processor shall maintain a record of all categories of processing activities carried out on behalf of a controller, containing:

(a) the name and contact details of the processor or processors and of each controller on behalf of which the processor is acting, and of the data protection officer;

(b) the categories of processing carried out on behalf of each controller;

(c) where applicable, transfers of personal data to a third country or an international organisation, including the identification of that third country or international organisation and the documentation of suitable safeguards;

(d) where possible, a general description of the technical and organisational security measures referred to in Article 33.

3. The records referred to in paragraphs 1 and 2 shall be in writing, including in electronic form.

4. Union institutions and bodies shall make the record available to the European Data Protection Supervisor on request.

5. Unless it is not appropriate taking into account the size of the Union institution or body, Union institutions and bodies shall keep their records of processing activities in a central register. They shall make the register publicly accessible.

21.11.2018 EN Official Journal of the European Union L 295/71CJ

Article 32

Cooperation with the European Data Protection Supervisor

Union institutions and bodies shall cooperate, on request, with the European Data Protection Supervisor in the performance of his or her tasks.

SECTION 2

Security of personal data

Article 33

Security of processing

1. Taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for the rights and freedoms of natural persons, the controller and the processor shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk, including, inter alia, as appropriate:

(a) the pseudonymisation and encryption of personal data;

(b) the ability to ensure the ongoing confidentiality, integrity, availability and resilience of processing systems and services;

(c) the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident;

(d) a process for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures for ensuring the security of the processing.

2. In assessing the appropriate level of security account shall be taken in particular of the risks that are presented by processing, in particular from accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to personal data transmitted, stored or otherwise processed.

3. The controller and processor shall take steps to ensure that any natural person acting under the authority of the controller or the processor who has access to personal data does not process them except on instructions from the controller, unless he or she is required to do so by Union law.

4. Adherence to an approved certification mechanism as referred to in Article 42 of Regulation (EU) 2016/679 may be used as an element by which to demonstrate compliance with the requirements set out in paragraph 1 of this Article.

Article 34

Notification of a personal data breach to the European Data Protection Supervisor

1. In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the European Data Protection Supervisor, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons. Where the notification to the European Data Protection Supervisor is not made within 72 hours, it shall be accompanied by reasons for the delay.

2. The processor shall notify the controller without undue delay after becoming aware of a personal data breach.

3. The notification referred to in paragraph 1 shall at least:

(a) describe the nature of the personal data breach including where possible, the categories and approximate number of data subjects concerned and the categories and approximate number of personal data records concerned;

(b) communicate the name and contact details of the data protection officer;

(c) describe the likely consequences of the personal data breach;

(d) describe the measures taken or proposed to be taken by the controller to address the personal data breach, including, where appropriate, measures to mitigate its possible adverse effects.

L 295/72 EN Official Journal of the European Union 21.11.2018CJ

4. Where, and in so far as, it is not possible to provide the information at the same time, the information may be provided in phases without undue further delay.

5. The controller shall inform the data protection officer about the personal data breach.

6. The controller shall document any personal data breaches, comprising the facts relating to the personal data breach, its effects and the remedial action taken. That documentation shall enable the European Data Protection Supervisor to verify compliance with this Article.

Article 35

Communication of a personal data breach to the data subject

1. When the personal data breach is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall communicate the personal data breach to the data subject without undue delay.

2. The communication to the data subject referred to in paragraph 1 of this Article shall describe in clear and plain language the nature of the personal data breach and contain at least the information and measures referred to in points (b), (c) and (d) of Article 34(3).

3. The communication to the data subject referred to in paragraph 1 shall not be required if any of the following conditions are met:

(a) the controller has implemented appropriate technical and organisational protection measures, and those measures were applied to the personal data affected by the personal data breach, in particular those that render the personal data unintelligible to any person who is not authorised to access it, such as encryption;

(b) the controller has taken subsequent measures which ensure that the high risk to the rights and freedoms of data subjects referred to in paragraph 1 is no longer likely to materialise;

(c) it would involve disproportionate effort. In such a case, there shall instead be a public communication or similar measure whereby the data subjects are informed in an equally effective manner.

4. If the controller has not already communicated the personal data breach to the data subject, the European Data Protection Supervisor, having considered the likelihood of the personal data breach resulting in a high risk, may require it to do so or may decide that any of the conditions referred to in paragraph 3 are met.

SECTION 3

Confidentiality of electronic communications

Article 36

Confidentiality of electronic communications

Union institutions and bodies shall ensure the confidentiality of electronic communications, in particular by securing their electronic communications networks.

Article 37

Protection of information transmitted to, stored in, related to, processed by and collected from users’ terminal equipment

Union institutions and bodies shall protect the information transmitted to, stored in, related to, processed by and collected from the terminal equipment of users accessing their publicly available websites and mobile applications, in accordance with Article 5(3) of Directive 2002/58/EC.

21.11.2018 EN Official Journal of the European Union L 295/73CJ

Article 38

Directories of users

1. Personal data contained in directories of users and access to such directories shall be limited to what is strictly necessary for the specific purposes of the directory.

2. Union institutions and bodies shall take all the necessary measures to prevent personal data contained in those directories from being used for direct marketing purposes regardless of whether they are accessible to the public or not.

SECTION 4

Data protection impact assessment and prior consultation

Article 39

Data protection impact assessment

1. Where a type of processing in particular using new technologies, and taking into account the nature, scope, context and purposes of the processing, is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall, prior to the processing, carry out an assessment of the impact of the envisaged processing operations on the protection of personal data. A single assessment may address a set of similar processing operations that present similar high risks.

2. The controller shall seek the advice of the data protection officer when carrying out a data protection impact assessment.

3. A data protection impact assessment referred to in paragraph 1 shall in particular be required in the case of:

(a) a systematic and extensive evaluation of personal aspects relating to natural persons which is based on automated processing, including profiling, and on which decisions are based that produce legal effects concerning the natural person or similarly significantly affect the natural person;

(b) processing on a large scale of special categories of data referred to in Article 10, or of personal data relating to criminal convictions and offences referred to in Article 11; or

(c) a systematic monitoring of a publicly accessible area on a large scale.

4. The European Data Protection Supervisor shall establish and make public a list of the kind of processing operations which are subject to the requirement for a data protection impact assessment pursuant to paragraph 1.

5. The European Data Protection Supervisor may also establish and make public a list of the kind of processing operations for which no data protection impact assessment is required.

6. Prior to the adoption of the lists referred to in paragraphs 4 and 5 of this Article, the European Data Protection Supervisor shall request that the European Data Protection Board set up by Article 68 of Regulation (EU) 2016/679 examine such lists in accordance with point (e) of Article 70(1) of that Regulation where they refer to processing operations by a controller acting jointly with one or more controllers other than Union institutions and bodies.

7. The assessment shall contain at least:

(a) a systematic description of the envisaged processing operations and the purposes of the processing;

(b) an assessment of the necessity and proportionality of the processing operations in relation to the purposes;

(c) an assessment of the risks to the rights and freedoms of data subjects referred to in paragraph 1; and

(d) the measures envisaged to address the risks, including safeguards, security measures and mechanisms to ensure the protection of personal data and to demonstrate compliance with this Regulation taking into account the rights and legitimate interests of data subjects and other persons concerned.

L 295/74 EN Official Journal of the European Union 21.11.2018CJ

8. Compliance with approved codes of conduct referred to in Article 40 of the Regulation (EU) 2016/679 by the relevant processors other than Union institutions and bodies shall be taken into due account in assessing the impact of the processing operations performed by such processors, in particular for the purposes of a data protection impact assessment.

9. Where appropriate, the controller shall seek the views of data subjects or their representatives on the intended processing, without prejudice to the protection of public interests or the security of processing operations.

10. Where processing pursuant to point (a) or (b) of Article 5(1) has a legal basis in a legal act adopted on the basis of the Treaties, which regulates the specific processing operation or set of operations in question, and where a data protection impact assessment has already been carried out as part of a general impact assessment preceding the adoption of that legal act, paragraphs 1 to 6 of this Article shall not apply unless that legal act provides otherwise.

11. Where necessary, the controller shall carry out a review to assess if processing is performed in accordance with the data protection impact assessment at least when there is a change of the risk represented by processing operations.

Article 40

Prior consultation

1. The controller shall consult the European Data Protection Supervisor prior to processing where a data protection impact assessment under Article 39 indicates that the processing would, in the absence of safeguards, security measures and mechanisms to mitigate the risk, result in a high risk to the rights and freedoms of natural persons and the controller is of the opinion that the risk cannot be mitigated by reasonable means in view of the available technologies and costs of implementation. The controller shall seek the advice of the data protection officer on the need for prior consultation.

2. Where the European Data Protection Supervisor is of the opinion that the intended processing referred to in paragraph 1 would infringe this Regulation, in particular where the controller has insufficiently identified or mitigated the risk, the European Data Protection Supervisor shall, within period of up to eight weeks of receipt of the request for consultation, provide written advice to the controller and, where applicable to the processor, and may use any of his or her powers referred to in Article 58. That period may be extended by six weeks, taking into account the complexity of the intended processing. The European Data Protection Supervisor shall inform the controller and, where applicable, the processor, of any such extension within one month of receipt of the request for consultation together with the reasons for the delay. Those periods may be suspended until the European Data Protection Supervisor has obtained information it has requested for the purposes of the consultation.

3. When consulting the European Data Protection Supervisor pursuant to paragraph 1, the controller shall provide the European Data Protection Supervisor with:

(a) where applicable, the respective responsibilities of the controller, joint controllers and processors involved in the processing;

(b) the purposes and means of the intended processing;

(c) the measures and safeguards provided to protect the rights and freedoms of data subjects pursuant to this Regulation;

(d) the contact details of the data protection officer;

(e) the data protection impact assessment provided for in Article 39; and

(f) any other information requested by the European Data Protection Supervisor.

4. The Commission may, by means of an implementing act, determine a list of cases in which the controllers shall consult with, and obtain prior authorisation from, the European Data Protection Supervisor in relation to processing of personal data for the performance of a task carried out by the controller in the public interest, including the processing of such data in relation to social protection and public health.

21.11.2018 EN Official Journal of the European Union L 295/75CJ

SECTION 5

Information and legislative consultation

Article 41

Information and consultation

1. The Union institutions and bodies shall inform the European Data Protection Supervisor when drawing up administrative measures and internal rules relating to the processing of personal data by a Union institution or body, whether alone or jointly with others.

2. The Union institutions and bodies shall consult the European Data Protection Supervisor when drawing up the internal rules referred to in Article 25.

Article 42

Legislative consultation

1. The Commission shall, following the adoption of proposals for a legislative act, of recommendations or of proposals to the Council pursuant to Article 218 TFEU or when preparing delegated acts or implementing acts, consult the European Data Protection Supervisor where there is an impact on the protection of individuals’ rights and freedoms with regard to the processing of personal data.

2. Where an act referred to in paragraph 1 is of particular importance for the protection of individuals’ rights and freedoms with regard to the processing of personal data, the Commission may also consult the European Data Protection Board. In such cases the European Data Protection Supervisor and the European Data Protection Board shall coordinate their work with a view to issuing a joint opinion.

3. The advice referred to in paragraphs 1 and 2 shall be provided in writing within a period of up to eight weeks of receipt of the request for consultation referred to in paragraphs 1 and 2. In urgent cases, or if otherwise appropriate, the Commission may shorten the deadline.

4. This Article shall not apply where the Commission is required, pursuant to Regulation (EU) 2016/679, to consult the European Data Protection Board.

SECTION 6

Data protection officer

Article 43

Designation of the data protection officer

1. Each Union institution or body shall designate a data protection officer.

2. Union institutions and bodies may designate a single data protection officer for several of them, taking into account their organisational structure and size.

3. The data protection officer shall be designated on the basis of professional qualities and, in particular, expert knowledge of data protection law and practices and the ability to fulfil the tasks referred to in Article 45.

4. The data protection officer shall be a staff member of the Union institution or body. Taking into account their size and if the option under paragraph 2 is not exercised, Union institutions and bodies may designate a data protection officer who fulfils his or her tasks on the basis of a service contract.

5. The Union institutions and bodies shall publish the contact details of the data protection officer and communicate them to the European Data Protection Supervisor.

Article 44

Position of the data protection officer

1. The Union institutions and bodies shall ensure that the data protection officer is involved, properly and in a timely manner, in all issues which relate to the protection of personal data.

2. The Union institutions and bodies shall support the data protection officer in performing the tasks referred to in Article 45 by providing resources necessary to carry out those tasks and access to personal data and processing operations, and to maintain his or her expert knowledge.

L 295/76 EN Official Journal of the European Union 21.11.2018CJ

3. The Union institutions and bodies shall ensure that the data protection officer does not receive any instructions regarding the exercise of those tasks. He or she shall not be dismissed or penalised by the controller or the processor for performing his or her tasks. The data protection officer shall directly report to the highest management level of the controller or the processor.

4. Data subjects may contact the data protection officer with regard to all issues related to processing of their personal data and to the exercise of their rights under this Regulation.

5. The data protection officer and his or her staff shall be bound by secrecy or confidentiality concerning the performance of their tasks, in accordance with Union law.

6. The data protection officer may fulfil other tasks and duties. The controller or processor shall ensure that any such tasks and duties do not result in a conflict of interests.

7. The data protection officer may be consulted by the controller and the processor, by the staff committee concerned and by any individual on any matter concerning the interpretation or application of this Regulation, without them going through the official channels. No one shall suffer prejudice on account of a matter brought to the attention of the competent data protection officer alleging that a breach of the provisions of this Regulation has taken place.

8. The data protection officer shall be designated for a term of three to five years and shall be eligible for reappointment. The data protection officer may be dismissed from the post by the Union institution or body which designated him or her if he or she no longer fulfils the conditions required for the performance of his or her duties and only with the consent of the European Data Protection Supervisor.

9. After his or her designation the data protection officer shall be registered with the European Data Protection Supervisor by the Union institution or body which designated him or her.

Article 45

Tasks of the data protection officer

1. The data protection officer shall have the following tasks:

(a) to inform and advise the controller or the processor and the employees who carry out processing of their obligations pursuant to this Regulation and to other Union data protection provisions;

(b) to ensure in an independent manner the internal application of this Regulation; to monitor compliance with this Regulation, with other applicable Union law containing data protection provisions and with the policies of the controller or processor in relation to the protection of personal data, including the assignment of responsibilities, the raising of awareness and training of staff involved in processing operations, and the related audits;

(c) to ensure that data subjects are informed of their rights and obligations pursuant to this Regulation;

(d) to provide advice where requested as regards the necessity for a notification or a communication of a personal data breach pursuant to Articles 34 and 35;

(e) to provide advice where requested as regards the data protection impact assessment and monitor its performance pursuant to Article 39 and to consult the European Data Protection Supervisor in case of doubt as to the need for a data protection impact assessment;

(f) to provide advice where requested as regards the need for prior consultation of the European Data Protection Supervisor pursuant to Article 40; to consult the European Data Protection Supervisor in case of doubt as to the need for a prior consultation;

(g) to respond to requests from the European Data Protection Supervisor; within the sphere of his or her competence, to cooperate and consult with the European Data Protection Supervisor at the latter’s request or on his or her own initiative;

(h) to ensure that the rights and freedoms of data subjects are not adversely affected by processing operations.

21.11.2018 EN Official Journal of the European Union L 295/77CJ

2. The data protection officer may make recommendations to the controller and the processor for the practical improvement of data protection and advise them on matters concerning the application of data protection provisions. Furthermore he or she may, on his or her own initiative or at the request of the controller or the processor, the staff committee concerned or any individual, investigate matters and occurrences directly relating to his or her tasks which come to his or her notice, and report back to the person who commissioned the investigation or to the controller or the processor.

3. Further implementing rules concerning the data protection officer shall be adopted by each Union institution or body. The implementing rules shall in particular concern the tasks, duties and powers of the data protection officer.

CHAPTER V

TRANSFERS OF PERSONAL DATA TO THIRD COUNTRIES OR INTERNATIONAL ORGANISATIONS

Article 46

General principle for transfers

Any transfer of personal data which are undergoing processing or are intended for processing after transfer to a third country or to an international organisation shall take place only if, subject to the other provisions of this Regulation, the conditions laid down in this Chapter are complied with by the controller and processor, including for onward transfers of personal data from the third country or an international organisation to another third country or to another international organisation. All provisions in this Chapter shall be applied in order to ensure that the level of protection of natural persons guaranteed by this Regulation is not undermined.

Article 47

Transfers on the basis of an adequacy decision

1. A transfer of personal data to a third country or international organisation may take place where the Commission has decided pursuant to Article 45(3) of Regulation (EU) 2016/679 or to Article 36(3) of Directive (EU) 2016/680 that the third country, a territory or one or more specified sectors within that third country, or the international organisation in question ensures an adequate level of protection and where the personal data are transferred solely to allow tasks within the competence of the controller to be carried out.

2. The Union institutions and bodies shall inform the Commission and the European Data Protection Supervisor of cases where they consider that a third country, a territory or one or more specified sectors within a third country, or an international organisation in question does not ensure an adequate level of protection within the meaning of paragraph 1.

3. The Union institutions and bodies shall take the necessary measures to comply with decisions taken by the Commission where it establishes, pursuant to Article 45(3) or (5) of Regulation (EU) 2016/679 or to Article 36(3) or (5) of Directive (EU) 2016/680, that a third country, a territory or one or more specified sectors within a third country, or an international organisation ensures or no longer ensures an adequate level of protection.

Article 48

Transfers subject to appropriate safeguards

1. In the absence of a decision pursuant to Article 45(3) of Regulation (EU) 2016/679 or to Article 36(3) of Directive (EU) 2016/680, a controller or processor may transfer personal data to a third country or to an international organisation only if the controller or processor has provided appropriate safeguards, and on condition that enforceable data subject rights and effective legal remedies for data subjects are available.

2. The appropriate safeguards referred to in paragraph 1 may be provided for, without requiring any specific authorisation from the European Data Protection Supervisor, by:

(a) a legally binding and enforceable instrument between public authorities or bodies;

(b) standard data protection clauses adopted by the Commission in accordance with the examination procedure referred to in Article 96(2);

(c) standard data protection clauses adopted by the European Data Protection Supervisor and approved by the Commission pursuant to the examination procedure referred to in Article 96(2);

L 295/78 EN Official Journal of the European Union 21.11.2018CJ

(d) where the processor is not a Union institution or body, binding corporate rules, codes of conduct or certification mechanisms pursuant to points (b), (e) and (f) of Article 46(2) of Regulation (EU) 2016/679.

3. Subject to the authorisation from the European Data Protection Supervisor, the appropriate safeguards referred to in paragraph 1 may also be provided for, in particular, by:

(a) contractual clauses between the controller or processor and the controller, processor or the recipient of the personal data in the third country or international organisation; or

(b) provisions to be inserted into administrative arrangements between public authorities or bodies which include enforceable and effective data subject rights.

4. Authorisations by the European Data Protection Supervisor on the basis of Article 9(7) of Regulation (EC) No 45/ 2001 shall remain valid until amended, replaced or repealed, if necessary, by the European Data Protection Supervisor.

5. The Union institutions and bodies shall inform the European Data Protection Supervisor of the categories of cases in which this Article has been applied.

Article 49

Transfers or disclosures not authorised by Union law

Any judgment of a court or tribunal and any decision of an administrative authority of a third country requiring a controller or processor to transfer or disclose personal data may only be recognised or enforceable in any manner if based on an international agreement, such as a mutual legal assistance treaty, in force between the requesting third country and the Union, without prejudice to other grounds for transfer pursuant to this Chapter.

Article 50

Derogations for specific situations

1. In the absence of an adequacy decision pursuant to Article 45(3) of Regulation (EU) 2016/679 or to Article 36(3) of Directive (EU) 2016/680, or of appropriate safeguards pursuant to Article 48 of this Regulation, a transfer or a set of transfers of personal data to a third country or an international organisation shall take place only on one of the following conditions:

(a) the data subject has explicitly consented to the proposed transfer, after having been informed of the possible risks of such transfers for the data subject due to the absence of an adequacy decision and appropriate safeguards;

(b) the transfer is necessary for the performance of a contract between the data subject and the controller or the implementation of pre-contractual measures taken at the data subject’s request;

(c) the transfer is necessary for the conclusion or performance of a contract concluded in the interest of the data subject between the controller and another natural or legal person;

(d) the transfer is necessary for important reasons of public interest;

(e) the transfer is necessary for the establishment, exercise or defence of legal claims;

(f) the transfer is necessary in order to protect the vital interests of the data subject or of other persons, where the data subject is physically or legally incapable of giving consent; or

(g) the transfer is made from a register which, according to Union law, is intended to provide information to the public and which is open to consultation either by the public in general or by any person who can demonstrate a legitimate interest, but only to the extent that the conditions laid down in Union law for consultation are fulfilled in the particular case.

2. Points (a), (b) and (c) of paragraph 1 shall not apply to activities carried out by Union institutions and bodies in the exercise of their public powers.

3. The public interest referred to in point (d) of paragraph 1 shall be recognised in Union law.

4. A transfer pursuant to point (g) of paragraph 1 shall not involve the entirety of the personal data or entire categories of the personal data contained in the register, unless authorised by Union law. Where the register is intended for consultation by persons having a legitimate interest, the transfer shall be made only at the request of those persons or if they are to be the recipients.

21.11.2018 EN Official Journal of the European Union L 295/79CJ

5. In the absence of an adequacy decision, Union law may, for important reasons of public interest, expressly set limits to the transfer of specific categories of personal data to a third country or an international organisation.

6. The Union institutions and bodies shall inform the European Data Protection Supervisor of the categories of cases in which this Article has been applied.

Article 51

International cooperation for the protection of personal data

In relation to third countries and international organisations, the European Data Protection Supervisor, in cooperation with the Commission and the European Data Protection Board, shall take appropriate steps to:

(a) develop international cooperation mechanisms to facilitate the effective enforcement of legislation for the protection of personal data;

(b) provide international mutual assistance in the enforcement of legislation for the protection of personal data, including through notification, complaint referral, investigative assistance and information exchange, subject to appropriate safeguards for the protection of personal data and other fundamental rights and freedoms;

(c) engage relevant stakeholders in discussion and activities aimed at furthering international cooperation in the enforcement of legislation for the protection of personal data;

(d) promote the exchange and documentation of personal data protection legislation and practice, including on jurisdictional conflicts with third countries.

CHAPTER VI

EUROPEAN DATA PROTECTION SUPERVISOR

Article 52

European Data Protection Supervisor

1. The European Data Protection Supervisor is hereby established.

2. With respect to the processing of personal data, the European Data Protection Supervisor shall be responsible for ensuring that the fundamental rights and freedoms of natural persons, and in particular their right to data protection, are respected by Union institutions and bodies.

3. The European Data Protection Supervisor shall be responsible for monitoring and ensuring the application of the provisions of this Regulation and of any other Union act relating to the protection of the fundamental rights and freedoms of natural persons with regard to the processing of personal data by a Union institution or body, and for advising Union institutions and bodies and data subjects on all matters concerning the processing of personal data. To those ends, the European Data Protection Supervisor shall fulfil the tasks set out in Article 57 and exercise the powers granted in Article 58.

4. Regulation (EC) No 1049/2001 shall apply to documents held by the European Data Protection Supervisor. The European Data Protection Supervisor shall adopt detailed rules for applying Regulation (EC) No 1049/2001 with regard to those documents.

Article 53

Appointment of the European Data Protection Supervisor

1. The European Parliament and the Council shall appoint the European Data Protection Supervisor by common accord for a term of five years, on the basis of a list drawn up by the Commission following a public call for candidates. The call for candidates shall enable all interested parties throughout the Union to submit their applications. The list of candidates drawn up by the Commission shall be public and shall consist of at least three candidates. On the basis of the list drawn up by the Commission, the competent committee of the European Parliament may decide to hold a hearing in order to enable it to express a preference.

2. The list of candidates referred to in paragraph 1 shall be made up of persons whose independence is beyond doubt and who are acknowledged as having expert knowledge in data protection as well as the experience and skills required to perform the duties of European Data Protection Supervisor.

L 295/80 EN Official Journal of the European Union 21.11.2018CJ

3. The term of office of the European Data Protection Supervisor shall be renewable once.

4. The duties of the European Data Protection Supervisor shall cease in the following circumstances:

(a) if the European Data Protection Supervisor is replaced;

(b) if the European Data Protection Supervisor resigns;

(c) if the European Data Protection Supervisor is dismissed or required to take compulsory retirement.

5. The European Data Protection Supervisor may be dismissed or deprived of his or her right to a pension or other benefits in his or her stead by the Court of Justice at the request of the European Parliament, the Council or the Commission, if he or she no longer fulfils the conditions required for the performance of his or her duties or if he or she is guilty of serious misconduct.

6. In the event of normal replacement or voluntary resignation, the European Data Protection Supervisor shall nevertheless remain in office until he or she has been replaced.

7. Articles 11 to 14 and 17 of the Protocol on the Privileges and Immunities of the European Union shall apply to the European Data Protection Supervisor.

Article 54

Regulations and general conditions governing the performance of the European Data Protection Supervisor’s duties, staff and financial resources

1. The European Data Protection Supervisor shall be considered equivalent to a judge of the Court of Justice as regards the determination of remuneration, allowances, retirement pension and any other benefit in lieu of remuneration.

2. The budgetary authority shall ensure that the European Data Protection Supervisor is provided with the human and financial resources necessary for the performance of his or her tasks.

3. The budget of the European Data Protection Supervisor shall be shown in a separate budgetary heading in the section related to administrative expenditure of the general budget of the Union.

4. The European Data Protection Supervisor shall be assisted by a secretariat. The officials and other staff members of the secretariat shall be appointed by the European Data Protection Supervisor and their superior shall be the European Data Protection Supervisor. They shall be subject exclusively to his or her direction. Their numbers shall be decided each year as part of the budgetary procedure. Article 75(2) of Regulation (EU) 2016/679 shall apply to the staff of the European Data Protection Supervisor involved in carrying out the tasks conferred on the European Data Protection Board by Union law.

5. The officials and the other staff members of the secretariat of the European Data Protection Supervisor shall be subject to the rules and regulations applicable to officials and other servants of the Union.

6. The seat of the European Data Protection Supervisor shall be in Brussels.

Article 55

Independence

1. The European Data Protection Supervisor shall act with complete independence in performing his or her tasks and exercising his or her powers in accordance with this Regulation.

2. The European Data Protection Supervisor shall, in the performance of his or her tasks and exercise of his or her powers in accordance with this Regulation, remain free from external influence, whether direct or indirect, and shall neither seek nor take instructions from anybody.

3. The European Data Protection Supervisor shall refrain from any action incompatible with his or her duties and shall not, during his or her term of office, engage in any other occupation, whether gainful or not.

4. After his or her term of office, the European Data Protection Supervisor shall behave with integrity and discretion as regards the acceptance of appointments and benefits.

Article 56

Professional secrecy

The European Data Protection Supervisor and his or her staff shall, both during and after their term of office, be subject to a duty of professional secrecy with regard to any confidential information which has come to their knowledge in the course of the performance of their official duties.

21.11.2018 EN Official Journal of the European Union L 295/81CJ

Article 57

Tasks

1. Without prejudice to other tasks set out under this Regulation, the European Data Protection Supervisor shall:

(a) monitor and enforce the application of this Regulation by Union institutions and bodies, with the exception of the processing of personal data by the Court of Justice acting in its judicial capacity;

(b) promote public awareness and understanding of the risks, rules, safeguards and rights in relation to processing. Activities addressed specifically to children shall receive specific attention;

(c) promote the awareness of controllers and processors of their obligations under this Regulation;

(d) upon request, provide information to any data subject concerning the exercise of their rights under this Regulation and, if appropriate, cooperate with the national supervisory authorities to that end;

(e) handle complaints lodged by a data subject, or by a body, organisation or association in accordance with Article 67, and investigate, to the extent appropriate, the subject matter of the complaint and inform the complainant of the progress and the outcome of the investigation within a reasonable period, in particular if further investigation or coordination with another supervisory authority is necessary;

(f) conduct investigations on the application of this Regulation, including on the basis of information received from another supervisory authority or other public authority;

(g) advise, on his or her own initiative or on request, all Union institutions and bodies on legislative and administrative measures relating to the protection of natural persons’ rights and freedoms with regard to the processing of personal data;

(h) monitor relevant developments, insofar as they have an impact on the protection of personal data, in particular the development of information and communication technologies;

(i) adopt standard contractual clauses referred to in Article 29(8) and in point (c) of Article 48(2);

(j) establish and maintain a list in relation to the requirement for data protection impact assessment pursuant to Article 39 (4);

(k) participate in the activities of the European Data Protection Board;

(l) provide the secretariat for the European Data Protection Board, in accordance with Article 75 of Regulation (EU) 2016/ 679;

(m) give advice on the processing referred to in Article 40(2);

(n) authorise contractual clauses and provisions referred to in Article 48(3);

(o) keep internal records of infringements of this Regulation and of measures taken in accordance with Article 58(2);

(p) fulfil any other tasks related to the protection of personal data; and

(q) establish his or her Rules of Procedure.

2. The European Data Protection Supervisor shall facilitate the submission of complaints referred to in point (e) of paragraph 1 by a complaint submission form which can also be completed electronically, without excluding other means of communication.

3. The performance of the tasks of the European Data Protection Supervisor shall be free of charge for the data subject.

4. Where requests are manifestly unfounded or excessive, in particular because of their repetitive character, the European Data Protection Supervisor may refuse to act on the request. The European Data Protection Supervisor shall bear the burden of demonstrating the manifestly unfounded or excessive character of the request.

L 295/82 EN Official Journal of the European Union 21.11.2018CJ

Article 58

Powers

1. The European Data Protection Supervisor shall have the following investigative powers:

(a) to order the controller and the processor to provide any information it requires for the performance of his or her tasks;

(b) to carry out investigations in the form of data protection audits;

(c) to notify the controller or the processor of an alleged infringement of this Regulation;

(d) to obtain, from the controller and the processor, access to all personal data and to all information necessary for the performance of his or her tasks;

(e) to obtain access to any premises of the controller and the processor, including to any data processing equipment and means, in accordance with Union law.

2. The European Data Protection Supervisor shall have the following corrective powers:

(a) to issue warnings to a controller or processor that intended processing operations are likely to infringe provisions of this Regulation;

(b) to issue reprimands to a controller or a processor where processing operations have infringed provisions of this Regulation;

(c) to refer matters to the controller or processor concerned and, if necessary, to the European Parliament, the Council and the Commission;

(d) to order the controller or the processor to comply with the data subject’s requests to exercise his or her rights pursuant to this Regulation;

(e) to order the controller or processor to bring processing operations into compliance with the provisions of this Regulation, where appropriate, in a specified manner and within a specified period;

(f) to order the controller to communicate a personal data breach to the data subject;

(g) to impose a temporary or definitive limitation including a ban on processing;

(h) to order the rectification or erasure of personal data or restriction of processing pursuant to Articles 18, 19 and 20 and the notification of such actions to recipients to whom the personal data have been disclosed pursuant to Article 19(2) and Article 21;

(i) to impose an administrative fine pursuant to Article 66 in the case of non-compliance by a Union institution or body with one of the measures referred to in points (d) to (h) and (j) of this paragraph, depending on the circumstances of each individual case;

(j) to order the suspension of data flows to a recipient in a Member State, a third country or to an international organisation.

3. The European Data Protection Supervisor shall have the following authorisation and advisory powers:

(a) to advise data subjects in the exercise of their rights;

(b) to advise the controller in accordance with the prior consultation procedure referred to in Article 40, and in accordance with Article 41(2);

(c) to issue, on his or her own initiative or on request, opinions to Union institutions and bodies and to the public on any issue related to the protection of personal data;

(d) to adopt standard data protection clauses referred to in Article 29(8) and in point (c) of Article 48(2);

(e) to authorise contractual clauses referred to in point (a) of Article 48(3);

(f) to authorise administrative arrangements referred to in point (b) of Article 48(3);

(g) to authorise processing operations pursuant to implementing acts adopted under Article 40(4).

21.11.2018 EN Official Journal of the European Union L 295/83CJ

4. The European Data Protection Supervisor shall have the power to refer the matter to the Court of Justice under the conditions provided for in the Treaties and to intervene in actions brought before the Court of Justice.

5. The exercise of the powers conferred on the European Data Protection Supervisor pursuant to this Article shall be subject to appropriate safeguards, including effective judicial remedies and due process, set out in Union law.

Article 59

Obligation of controllers and processors to react to allegations

Where the European Data Protection Supervisor exercises the powers provided for in points (a), (b) and (c) of Article 58(2), the controller or processor concerned shall inform the European Data Protection Supervisor of its views within a reasonable period to be specified by the European Data Protection Supervisor, taking into account the circumstances of each case. The reply shall also include a description of the measures taken, if any, in response to the remarks of the European Data Protection Supervisor.

Article 60

Activities report

1. The European Data Protection Supervisor shall submit an annual report on his or her activities to the European Parliament, to the Council and to the Commission and at the same time make it public.

2. The European Data Protection Supervisor shall forward the report referred to in paragraph 1 to the other Union institutions and bodies, which may submit comments with a view to possible examination of the report by the European Parliament.

CHAPTER VII

COOPERATION AND CONSISTENCY

Article 61

Cooperation between the European Data Protection Supervisor and national supervisory authorities

The European Data Protection Supervisor shall cooperate with national supervisory authorities and with the joint supervisory authority established under Article 25 of Council Decision 2009/917/JHA (1) to the extent necessary for the performance of their respective duties, in particular by providing each other with relevant information, asking each other to exercise their powers and responding to each other’s requests.

Article 62

Coordinated supervision by the European Data Protection Supervisor and national supervisory authorities

1. Where a Union act refers to this Article, the European Data Protection Supervisor and the national supervisory authorities, each acting within the scope of their respective competences, shall cooperate actively within the framework of their responsibilities to ensure effective supervision of large-scale IT systems and of Union bodies, offices and agencies.

2. They shall, as necessary, each acting within the scope of their respective competences and within the framework of their responsibilities, exchange relevant information, assist each other in carrying out audits and inspections, examine difficulties of interpretation or application of this Regulation and other applicable Union acts, study problems with the exercise of independent supervision or with the exercise of the rights of data subjects, draw up harmonised proposals for solutions to any problems and promote awareness of data protection rights.

3. For the purposes laid down in paragraph 2, the European Data Protection Supervisor and the national supervisory authorities shall meet at least twice a year within the framework of the European Data Protection Board. For these purposes, the European Data Protection Board may develop further working methods as necessary.

4. The European Data Protection Board shall submit a joint report of coordinated supervision activities to the European Parliament, to the Council, and to the Commission every two years.

L 295/84 EN Official Journal of the European Union 21.11.2018

(1) Council Decision 2009/917/JHA of 30 November 2009 on the use of information technology for customs purposes (OJ L 323, 10.12.2009, p. 20).

CJ

CHAPTER VIII

REMEDIES, LIABILITY AND PENALTIES

Article 63

Right to lodge a complaint with the European Data Protection Supervisor

1. Without prejudice to any judicial, administrative or non-judicial remedy, every data subject shall have the right to lodge a complaint with the European Data Protection Supervisor if the data subject considers that the processing of personal data relating to him or her infringes this Regulation.

2. The European Data Protection Supervisor shall inform the complainant of the progress and the outcome of the complaint, including of the possibility of a judicial remedy pursuant to Article 64.

3. If the European Data Protection Supervisor does not handle the complaint or does not inform the data subject within three months on the progress or outcome of the complaint, the European Data Protection Supervisor shall be deemed to have adopted a negative decision.

Article 64

Right to an effective judicial remedy

1. The Court of Justice shall have jurisdiction to hear all disputes relating to the provisions of this Regulation, including claims for damages.

2. Actions against decisions of the European Data Protection Supervisor, including decisions under Article 63(3), shall be brought before the Court of Justice.

3. The Court of Justice shall have unlimited jurisdiction to review administrative fines referred to in Article 66. It may cancel, reduce or increase those fines within the limits of Article 66.

Article 65

Right to compensation

Any person who has suffered material or non-material damage as a result of an infringement of this Regulation shall have the right to receive compensation from the Union institution or body for the damage suffered, subject to the conditions provided for in the Treaties.

Article 66

Administrative fines

1. The European Data Protection Supervisor may impose administrative fines on Union institutions and bodies, depending on the circumstances of each individual case, where a Union institution or body fails to comply with an order by the European Data Protection Supervisor pursuant to points (d) to (h) and (j) of Article 58(2). When deciding whether to impose an administrative fine and deciding on the amount of the administrative fine in each individual case, due regard shall be given to the following:

(a) the nature, gravity and duration of the infringement, taking into account the nature, scope or purpose of the processing concerned as well as the number of data subjects affected and the level of damage suffered by them;

(b) any action taken by the Union institution or body to mitigate the damage suffered by data subjects;

(c) the degree of responsibility of the Union institution or body, taking into account technical and organisational measures implemented by them pursuant to Articles 27 and 33;

(d) any similar previous infringements by the Union institution or body;

(e) the degree of cooperation with the European Data Protection Supervisor in order to remedy the infringement and mitigate the possible adverse effects of the infringement;

(f) the categories of personal data affected by the infringement;

(g) the manner in which the infringement became known to the European Data Protection Supervisor, in particular whether, and if so to what extent, the Union institution or body notified the infringement;

21.11.2018 EN Official Journal of the European Union L 295/85CJ

(h) compliance with any of the measures referred to in Article 58 previously ordered against the Union institution or body concerned with regard to the same subject matter. The proceedings leading to the imposition of those fines shall be carried out in a reasonable timeframe according to the circumstances of the case and taking into account the relevant actions and proceedings referred to in Article 69.

2. Infringements of the obligations of the Union institution or body pursuant to Articles 8, 12, 27 to 35, 39, 40, 43, 44 and 45 shall, in accordance with paragraph 1 of this Article, be subject to administrative fines of up to 25 000 EUR per infringement and up to a total of 250 000 EUR per year.

3. Infringements of the following provisions by the Union institution or body shall, in accordance with paragraph 1, be subject to administrative fines of up to 50 000 EUR per infringement and up to a total of 500 000 EUR per year:

(a) the basic principles for processing, including conditions for consent, pursuant to Articles 4, 5, 7 and 10;

(b) the data subjects’ rights pursuant to Articles 14 to 24;

(c) the transfers of personal data to a recipient in a third country or an international organisation pursuant to Articles 46 to 50.

4. If a Union institution or body, for the same or linked or continuous processing operations, infringes several provisions of this Regulation or the same provision of this Regulation several times, the total amount of the administrative fine shall not exceed the amount specified for the gravest infringement.

5. Before taking decisions pursuant to this Article, the European Data Protection Supervisor shall give the Union institution or body which is the subject of the proceedings conducted by the European Data Protection Supervisor the opportunity of being heard on the matters to which the European Data Protection Supervisor has taken objection. The European Data Protection Supervisor shall base his or her decisions only on objections on which the parties concerned have been able to comment. Complainants shall be associated closely with the proceedings.

6. The rights of defence of the parties concerned shall be fully respected in the proceedings. They shall be entitled to have access to the European Data Protection Supervisor’s file, subject to the legitimate interest of individuals or undertakings in the protection of their personal data or business secrets.

7. Funds collected by imposition of fines in this Article shall be the income of the general budget of the Union.

Article 67

Representation of data subjects

The data subject shall have the right to mandate a not-for-profit body, organisation or association which has been properly constituted in accordance with Union law or the law of a Member State, has statutory objectives which are in the public interest, and is active in the field of the protection of data subjects’ rights and freedoms with regard to the protection of their personal data to lodge the complaint with the European Data Protection Supervisor on his or her behalf, to exercise the rights referred to in Articles 63 and 64 on his or her behalf, and to exercise the right to receive compensation referred to in Article 65 on his or her behalf.

Article 68

Complaints by Union staff

Any person employed by a Union institution or body may lodge a complaint with the European Data Protection Supervisor regarding an alleged infringement of the provisions of this Regulation, including without acting through official channels. No one shall suffer prejudice by reason of having submitted a complaint with the European Data Protection Supervisor alleging such an infringement.

Article 69

Sanctions

Where an official or other servant of the Union fails to comply with the obligations laid down in this Regulation, whether intentionally or through negligence on his or her part, the official or other servant concerned shall be liable to disciplinary or other action, in accordance with the rules and procedures laid down in the Staff Regulations.

L 295/86 EN Official Journal of the European Union 21.11.2018CJ

CHAPTER IX

PROCESSING OF OPERATIONAL PERSONAL DATA BY UNION BODIES, OFFICES AND AGENCIES WHEN CARRYING OUT ACTIVITIES WHICH FALL WITHIN THE SCOPE OF CHAPTER 4 OR CHAPTER 5 OF TITLE V OF PART THREE TFEU

Article 70

Scope of the Chapter

This Chapter applies only to the processing of operational personal data by Union bodies, offices and agencies when carrying out activities which fall within the scope of Chapter 4 or Chapter 5 of Title V of Part Three TFEU, without prejudice to specific data protection rules applicable to such a Union body, office or agency.

Article 71

Principles relating to processing of operational personal data

1. Operational personal data shall be:

(a) processed lawfully and fairly (‘lawfulness and fairness’);

(b) collected for specified, explicit and legitimate purposes and not processed in a manner that is incompatible with those purposes (‘purpose limitation’);

(c) adequate, relevant, and not excessive in relation to the purposes for which they are processed (‘data minimisation’);

(d) accurate and, where necessary, kept up to date; every reasonable step must be taken to ensure that operational personal data that are inaccurate, having regard to the purposes for which they are processed, are erased or rectified without delay (‘accuracy’);

(e) kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the operational personal data are processed (‘storage limitation’);

(f) processed in a manner that ensures appropriate security of the operational personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures (‘integrity and confidentiality’).

2. Processing by the same or another controller for any of the purposes set out in the legal act establishing the Union body, office or agency other than that for which the operational personal data are collected shall be permitted in so far as:

(a) the controller is authorised to process such operational personal data for such a purpose in accordance with Union law; and

(b) processing is necessary and proportionate to that other purpose in accordance with Union law.

3. Processing by the same or another controller may include archiving in the public interest, scientific, statistical or historical use, for the purposes set out in the legal act establishing the Union body, office or agency, subject to appropriate safeguards for the rights and freedoms of data subjects.

4. The controller shall be responsible for, and be able to demonstrate compliance with, paragraphs 1, 2 and 3.

Article 72

Lawfulness of processing of operational personal data

1. Processing of operational personal data shall be lawful only if and to the extent that processing is necessary for the performance of a task carried out by Union bodies, offices and agencies when carrying out activities which fall within the scope of Chapter 4 or Chapter 5 of Title V of Part Three TFEU and that it is based on Union law.

21.11.2018 EN Official Journal of the European Union L 295/87CJ

2. Specific Union legal acts regulating processing within the scope of this Chapter shall specify at least the objectives of processing, the operational personal data to be processed, the purposes of the processing and the time limits for storage of the operational personal data or for periodic review of the need for further storage of the operational personal data.

Article 73

Distinction between different categories of data subjects

The controller shall, where applicable and as far as possible, make a clear distinction between the operational personal data of different categories of data subjects, such as the categories listed in the legal acts establishing Union bodies, offices and agencies.

Article 74

Distinction between operational personal data and verification of the quality of operational personal data

1. The controller shall distinguish, as far as possible, operational personal data based on facts from operational personal data based on personal assessments.

2. The controller shall take all reasonable steps to ensure that operational personal data which are inaccurate, incomplete or no longer up to date are not transmitted or made available. To that end, the controller shall, as far as practicable and where relevant, verify the quality of operational personal data before they are transmitted or made available, for example by consulting the competent authority from which the data originates. As far as possible, in all transmissions of operational personal data, the controller shall add the necessary information enabling the recipient to assess the degree to which the operational personal data are accurate, complete and reliable, and the extent to which they are up to date.

3. If it emerges that incorrect operational personal data have been transmitted or that operational personal data have been unlawfully transmitted, the recipient shall be notified without delay. In such a case, the operational personal data concerned shall be rectified or erased or their processing shall be restricted in accordance with Article 82.

Article 75

Specific processing conditions

1. When Union law applicable to the transmitting controller provides for specific conditions for processing, the controller shall inform the recipient of the operational personal data of those conditions and the requirement to comply with them.

2. The controller shall comply with specific processing conditions for processing provided by a transmitting competent authority in accordance with Article 9(3) and (4) of Directive (EU) 2016/680.

Article 76

Processing of special categories of operational personal data

1. Processing of operational personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, operational personal data concerning health or concerning a natural person’s sex life or sexual orientation shall be allowed only where strictly necessary for operational purposes, within the mandate of the Union body, office or agency concerned and subject to appropriate safeguards for the rights and freedoms of the data subject. Discrimination against natural persons on the basis of such personal data shall be prohibited.

2. The data protection officer shall be informed without undue delay of recourse to this Article.

Article 77

Automated individual decision-making, including profiling

1. A decision based solely on automated processing, including profiling, which produces an adverse legal effect concerning the data subject or significantly affects him or her shall be prohibited unless authorised by Union law to which the controller is subject and which provides appropriate safeguards for the rights and freedoms of the data subject, at least the right to obtain human intervention on the part of the controller.

L 295/88 EN Official Journal of the European Union 21.11.2018CJ

2. Decisions referred to in paragraph 1 of this Article shall not be based on the special categories of personal data referred to in Article 76 unless suitable measures to safeguard the data subject’s rights, freedoms and legitimate interests are in place.

3. Profiling that results in discrimination against natural persons on the basis of special categories of personal data referred to in Article 76 shall be prohibited, in accordance with Union law.

Article 78

Communication and modalities for exercising the rights of the data subject

1. The controller shall take reasonable steps to provide any information referred to in Article 79 and make any communication with regard to Articles 80 to 84 and 92 relating to processing to the data subject in a concise, intelligible and easily accessible form, using clear and plain language. The information shall be provided by any appropriate means, including by electronic means. As a general rule, the controller shall provide the information in the same form as the request.

2. The controller shall facilitate the exercise of the rights of the data subject under Articles 79 to 84.

3. The controller shall inform the data subject in writing about the follow-up to his or her request without undue delay and in any case at the latest within three months after receipt of the request by the data subject.

4. The controller shall provide the information under Article 79 and any communication made or action taken pursuant to Articles 80 to 84 and 92 free of charge. Where requests from a data subject are manifestly unfounded or excessive, in particular because of their repetitive character, the controller may refuse to act on the request. The controller shall bear the burden of demonstrating the manifestly unfounded or excessive character of the request.

5. Where the controller has reasonable doubts concerning the identity of the natural person making a request referred to in Article 80 or 82, the controller may request the provision of additional information necessary to confirm the identity of the data subject.

Article 79

Information to be made available or given to the data subject

1. The controller shall make available to the data subject at least the following information:

(a) the identity and the contact details of the Union body, office or agency;

(b) the contact details of the data protection officer;

(c) the purposes of the processing for which the operational personal data are intended;

(d) the right to lodge a complaint with the European Data Protection Supervisor and his or her contact details;

(e) the existence of the right to request from the controller access to and rectification or erasure of operational personal data and restriction of processing of the operational personal data concerning the data subject.

2. In addition to the information referred to in paragraph 1, the controller shall give to the data subject, in the specific cases foreseen by Union law, the following further information to enable the exercise of his or her rights:

(a) the legal basis for the processing;

(b) the period for which the operational personal data will be stored, or, where that is not possible, the criteria used to determine that period;

(c) where applicable, the categories of recipients of the operational personal data, including in third countries or international organisations;

(d) where necessary, further information, in particular where the operational personal data are collected without the knowledge of the data subject.

21.11.2018 EN Official Journal of the European Union L 295/89CJ

3. The controller may delay, restrict or omit the provision of the information to the data subject pursuant to paragraph 2 to the extent that, and for as long as, such a measure constitutes a necessary and proportionate measure in a democratic society with due regard for the fundamental rights and the legitimate interests of the natural person concerned, in order to:

(a) avoid obstructing official or legal inquiries, investigations or procedures;

(b) avoid prejudicing the prevention, detection, investigation or prosecution of criminal offences or the execution of criminal penalties;

(c) protect the public security of Member States;

(d) protect the national security of Member States;

(e) protect the rights and freedoms of others, such as victims and witnesses.

Article 80

Right of access by the data subject

The data subject shall have the right to obtain from the controller confirmation as to whether or not operational personal data concerning him or her are processed, and where that is the case, have the right to access operational personal data and the following information:

(a) the purposes of and legal basis for the processing;

(b) the categories of operational personal data concerned;

(c) the recipients or categories of recipients to whom the operational personal data have been disclosed, in particular recipients in third countries or international organisations;

(d) where possible, the envisaged period for which the operational personal data will be stored, or, if not possible, the criteria used to determine that period;

(e) the existence of the right to request from the controller rectification or erasure of operational personal data or restriction of processing of operational personal data concerning the data subject;

(f) the right to lodge a complaint with the European Data Protection Supervisor and his or her contact details;

(g) communication of the operational personal data undergoing processing and of any available information as to their origin.

Article 81

Limitations to the right of access

1. The controller may restrict, wholly or partly, the data subject’s right of access to the extent that, and for as long as, such a partial or complete restriction constitutes a necessary and proportionate measure in a democratic society with due regard for the fundamental rights and legitimate interests of the natural person concerned, in order to:

(a) avoid obstructing official or legal inquiries, investigations or procedures;

(b) avoid prejudicing the prevention, detection, investigation or prosecution of criminal offences or the execution of criminal penalties;

(c) protect the public security of Member States;

(d) protect the national security of Member States;

(e) protect the rights and freedoms of others, such as victims and witnesses.

2. In the cases referred to in paragraph 1, the controller shall inform the data subject, without undue delay, in writing of any refusal or restriction of access and of the reasons for the refusal or the restriction. Such information may be omitted where the provision thereof would undermine a purpose under paragraph 1. The controller shall inform the data subject of the possibility of lodging a complaint with the European Data Protection Supervisor or of seeking a judicial remedy before the Court of Justice. The controller shall document the factual or legal reasons on which the decision is based. That information shall be made available to the European Data Protection Supervisor on request.

L 295/90 EN Official Journal of the European Union 21.11.2018CJ

Article 82

Right to rectification or erasure of operational personal data and restriction of processing

1. Any data subject shall have the right to obtain from the controller without undue delay the rectification of inaccurate operational personal data relating to him or her. Taking into account the purposes of the processing, the data subject shall have the right to have incomplete operational personal data completed, including by means of providing a supplementary statement.

2. The controller shall erase operational personal data without undue delay and the data subject shall have the right to obtain from the controller the erasure of operational personal data concerning him or her without undue delay where processing infringes Articles 71, 72(1) or 76, or where operational personal data must be erased in order to comply with a legal obligation to which the controller is subject.

3. Instead of erasure, the controller shall restrict processing where:

(a) the accuracy of the personal data is contested by the data subject and their accuracy or inaccuracy cannot be ascertained; or

(b) the personal data must be maintained for the purposes of evidence.

Where processing is restricted pursuant to point (a) of the first subparagraph, the controller shall inform the data subject before lifting the restriction of processing.

Restricted data shall be processed only for the purpose that prevented their erasure.

4. The controller shall inform the data subject in writing of any refusal of rectification or erasure of operational personal data or restrict processing and of the reasons for the refusal. The controller may restrict, wholly or partly, the provision of such information to the extent that such a restriction constitutes a necessary and proportionate measure in a democratic society with due regard for the fundamental rights and legitimate interests of the natural person concerned in order to:

(a) avoid obstructing official or legal inquiries, investigations or procedures;

(b) avoid prejudicing the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties;

(c) protect the public security of Member States;

(d) protect the national security of Member States;

(e) protect the rights and freedoms of others, such as victims and witnesses.

The controller shall inform the data subject of the possibility of lodging a complaint with the European Data Protection Supervisor or seeking a judicial remedy from the Court of Justice.

5. The controller shall communicate the rectification of inaccurate operational personal data to the competent authority from which the inaccurate operational personal data originate.

6. The controller shall, where operational personal data has been rectified or erased or processing has been restricted pursuant to paragraphs 1, 2 or 3, notify the recipients and inform them that they have to rectify or erase the operational personal data or restrict processing of the operational personal data under their responsibility.

Article 83

Right of access in criminal investigations and proceedings

Where operational personal data originates from a competent authority, Union bodies, offices and agencies shall, prior to deciding on a data subject’s right of access, verify with the competent authority concerned whether such personal data are contained in a judicial decision or record or a case file processed in the course of criminal investigations and proceedings in the Member State of that competent authority. Where this is the case, a decision on the right of access shall be taken in consultation and in close cooperation with the competent authority concerned.

21.11.2018 EN Official Journal of the European Union L 295/91CJ

Article 84

Exercise of rights by the data subject and verification by the European Data Protection Supervisor

1. In the cases referred to in Articles 79(3), 81 and 82(4), the rights of the data subject may also be exercised through the European Data Protection Supervisor.

2. The controller shall inform the data subject of the possibility of exercising his or her rights through the European Data Protection Supervisor pursuant to paragraph 1.

3. Where the right referred to in paragraph 1 is exercised, the European Data Protection Supervisor shall at least inform the data subject that all necessary verifications or a review by him or her have taken place. The European Data Protection Supervisor shall also inform the data subject of his or her right to seek a judicial remedy before the Court of Justice.

Article 85

Data protection by design and by default

1. Taking into account the state of the art, the cost of implementation and the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for rights and freedoms of natural persons posed by the processing, the controller shall, both at the time of the determination of the means for processing and at the time of the processing itself, implement appropriate technical and organisational measures, such as pseudonymisation, which are designed to implement data protection principles, such as data minimisation, in an effective manner and to integrate the necessary safeguards into the processing, in order to meet the requirements of this Regulation and the legal act establishing it, and protect the rights of the data subjects.

2. The controller shall implement appropriate technical and organisational measures ensuring that, by default, only operational personal data which are adequate, relevant and not excessive in relation to the purpose of the processing are processed. That obligation applies to the amount of operational personal data collected, the extent of their processing, the period of their storage and their accessibility. In particular, such measures shall ensure that by default operational personal data are not made accessible without the individual’s intervention to an indefinite number of natural persons.

Article 86

Joint controllers

1. Where two or more controllers or one or more controllers together with one or more controllers other than Union institutions and bodies jointly determine the purposes and means of processing, they shall be joint controllers. They shall in a transparent manner determine their respective responsibilities for compliance with their data protection obligations, in particular as regards the exercise of the rights of the data subject and their respective duties to provide the information referred to in Article 79, by means of an arrangement between them, unless and in so far as the respective responsibilities of the joint controllers are determined by Union or Member State law to which the joint controllers are subject. The arrangement may designate a contact point for data subjects.

2. The arrangement referred to in paragraph 1 shall duly reflect the respective roles and relationships of the joint controllers vis-à-vis the data subject. The essence of the arrangement shall be made available to the data subject.

3. Irrespective of the terms of the arrangement referred to in paragraph 1, the data subject may exercise his or her rights under this Regulation in respect of and against each of the controllers.

Article 87

Processor

1. Where processing is to be carried out on behalf of a controller, the controller shall use only processors providing sufficient guarantees to implement appropriate technical and organisational measures in such a manner that processing will meet the requirements of this Regulation and the legal act establishing the controller and ensure the protection of the rights of the data subject.

2. The processor shall not engage another processor without prior specific or general written authorisation by the controller. In the case of general written authorisation, the processor shall inform the controller of any intended changes concerning the addition or replacement of other processors, thereby giving the controller the opportunity to object to such changes.

L 295/92 EN Official Journal of the European Union 21.11.2018CJ

3. Processing by a processor shall be governed by a contract or other legal act under Union or Member State law, that is binding on the processor with regard to the controller and that sets out the subject matter and duration of the processing, the nature and purpose of the processing, the type of operational personal data and categories of data subjects and the obligations and rights of the controller. That contract or other legal act shall stipulate, in particular, that the processor:

(a) acts only on instructions from the controller;

(b) ensures that persons authorised to process the operational personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality;

(c) assists the controller by any appropriate means to ensure compliance with the provisions on the data subject’s rights;

(d) at the choice of the controller, deletes or returns all the operational personal data to the controller after the end of the provision of services relating to processing, and deletes existing copies unless Union law or Member State law requires storage of the operational personal data;

(e) makes available to the controller all information necessary to demonstrate compliance with the obligations laid down in this Article;

(f) complies with the conditions referred to in paragraph 2 and in this paragraph for engaging another processor.

4. The contract or the other legal act referred to in paragraph 3 shall be in writing, including in electronic form.

5. If a processor infringes this Regulation or the legal act establishing the controller by determining the purposes and means of processing, the processor shall be considered to be a controller in respect of that processing.

Article 88

Logging

1. The controller shall keep logs for any of the following processing operations in automated processing systems: the collection, alteration, access, consultation, disclosure, including transfers, combination and erasure of operational personal data. The logs of consultation and disclosure shall make it possible to establish the justification for, and the date and time of, such operations, the identification of the person who consulted or disclosed operational personal data, and, as far as possible, the identity of the recipients of such operational personal data.

2. The logs shall be used solely for verification of the lawfulness of processing, self-monitoring, ensuring the integrity and security of the operational personal data, and for criminal proceedings. Such logs shall be deleted after three years, unless they are required for ongoing control.

3. The controller shall make the logs available to its data protection officer and to the European Data Protection Supervisor on request.

Article 89

Data protection impact assessment

1. Where a type of processing, in particular using new technologies, and taking into account the nature, scope, context and purposes of the processing, is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall carry out, prior to the processing, an assessment of the impact of the envisaged processing operations on the protection of operational personal data.

2. The assessment referred to in paragraph 1 shall contain at least a general description of the envisaged processing operations, an assessment of the risks to the rights and freedoms of data subjects, the measures envisaged to address those risks, safeguards, security measures and mechanisms to ensure the protection of operational personal data and to demonstrate compliance with data protection rules, taking into account the rights and legitimate interests of the data subjects and other persons concerned.

21.11.2018 EN Official Journal of the European Union L 295/93CJ

Article 90

Prior consultation of the European Data Protection Supervisor

1. The controller shall consult the European Data Protection Supervisor prior to processing which will form part of a new filing system to be created, where:

(a) a data protection impact assessment under Article 89 indicates that the processing would result in a high risk in the absence of measures taken by the controller to mitigate the risk; or

(b) the type of processing, in particular, where using new technologies, mechanisms or procedures, involves a high risk to the rights and freedoms of data subjects.

2. The European Data Protection Supervisor may establish a list of the processing operations which are subject to prior consultation pursuant to paragraph 1.

3. The controller shall provide the European Data Protection Supervisor with the data protection impact assessment referred to Article 89 and, on request, with any other information to allow the European Data Protection Supervisor to make an assessment of the compliance of the processing and in particular of the risks for the protection of operational personal data of the data subject and of the related safeguards.

4. Where the European Data Protection Supervisor is of the opinion that the intended processing referred to in paragraph 1 would infringe this Regulation or the legal act establishing the Union body, office or agency, in particular where the controller has insufficiently identified or mitigated the risk, the European Data Protection Supervisor shall provide written advice to the controller within a period of up to six weeks of receipt of the request for consultation. That period may be extended by a month, taking into account the complexity of the intended processing. The European Data Protection Supervisor shall inform the controller of any such extension within one month of receipt of the request for consultation, together with the reasons for the delay.

Article 91

Security of processing of operational personal data

1. The controller and the processor shall, taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of the processing as well as the risks of varying likelihood and severity for the rights and freedoms of natural persons, implement appropriate technical and organisational measures to ensure a level of security appropriate to the risks, in particular as regards the processing of special categories of operational personal data.

2. In respect of automated processing, the controller and the processor shall, following an evaluation of the risks, implement measures designed to:

(a) deny unauthorised persons access to data processing equipment used for processing (‘equipment access control’);

(b) prevent the unauthorised reading, copying, modification or removal of data media (‘data media control’);

(c) prevent the unauthorised input of operational personal data and the unauthorised inspection, modification or deletion of stored operational personal data (‘storage control’);

(d) prevent the use of automated processing systems by unauthorised persons using data communication equipment (‘user control’);

(e) ensure that persons authorised to use an automated processing system have access only to the operational personal data covered by their access authorisation (‘data access control’);

(f) ensure that it is possible to verify and establish the bodies to which operational personal data have been or may be transmitted or made available using data communication (‘communication control’);

(g) ensure that it is subsequently possible to verify and establish which operational personal data have been input into automated data processing systems, and when and by whom the operational personal data were input (‘input control’);

L 295/94 EN Official Journal of the European Union 21.11.2018CJ

(h) prevent unauthorised reading, copying, modification or deletion of operational personal data during transfers of operational personal data or during transportation of data media (‘transport control’);

(i) ensure that installed systems may, in the case of interruption, be restored (‘recovery’);

(j) ensure that the functions of the system perform, that the appearance of faults in the functions is reported (‘reliability’) and that stored operational personal data cannot be corrupted by means of a malfunctioning of the system (‘integrity’).

Article 92

Notification of a personal data breach to the European Data Protection Supervisor

1. In the case of a personal data breach, the controller shall notify without undue delay and, where feasible, not later than 72 hours after having become aware of it, the personal data breach to the European Data Protection Supervisor, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons. Where the notification to the European Data Protection Supervisor is not made within 72 hours, it shall be accompanied by reasons for the delay.

2. The notification referred to in paragraph 1 shall at least:

(a) describe the nature of the personal data breach including, where possible, the categories and approximate number of data subjects concerned and the categories and approximate number of operational personal data records concerned;

(b) communicate the name and contact details of the Data Protection Officer;

(c) describe the likely consequences of the personal data breach;

(d) describe the measures taken or proposed to be taken by the controller to address the personal data breach, including, where appropriate, measures to mitigate its possible adverse effects.

3. Where, and in so far as, it is not possible to provide the information referred to in paragraph 2 at the same time, the information may be provided in phases without undue further delay.

4. The controller shall document any personal data breaches referred to in paragraph 1, comprising the facts relating to the personal data breach, its effects and the remedial action taken. That documentation shall enable the European Data Protection Supervisor to verify compliance with this Article.

5. Where the personal data breach involves operational personal data that have been transmitted by or to the competent authorities, the controller shall communicate the information referred to in paragraph 2 to the competent authorities concerned without undue delay.

Article 93

Communication of a personal data breach to the data subject

1. Where the personal data breach is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall communicate the personal data breach to the data subject without undue delay.

2. The communication to the data subject referred to in paragraph 1 of this Article shall describe in clear and plain language the nature of the personal data breach and shall contain at least the information and the recommendations provided for in points (b), (c) and (d) of Article 92(2).

3. The communication to the data subject referred to in paragraph 1 shall not be required if any of the following conditions are met:

(a) the controller has implemented appropriate technological and organisational protection measures, and those measures were applied to the operational personal data affected by the personal data breach, in particular those that render the operational personal data unintelligible to any person who is not authorised to access it, such as encryption;

21.11.2018 EN Official Journal of the European Union L 295/95CJ

(b) the controller has taken subsequent measures which ensure that the high risk to the rights and freedoms of data subjects referred to in paragraph 1 is no longer likely to materialise;

(c) it would involve a disproportionate effort. In such a case, there shall instead be a public communication or a similar measure whereby the data subjects are informed in an equally effective manner.

4. If the controller has not already communicated the personal data breach to the data subject, the European Data Protection Supervisor, having considered the likelihood of the personal data breach resulting in a high risk, may require it to do so, or may decide that any of the conditions referred to in paragraph 3 are met.

5. The communication to the data subject referred to in paragraph 1 of this Article may be delayed, restricted or omitted subject to the conditions and on the grounds referred to in Article 79(3).

Article 94

Transfer of operational personal data to third countries and international organisations

1. Subject to restrictions and conditions laid down in the legal acts establishing the Union body, office or agency, the controller may transfer operational personal data to an authority of a third country or to an international organisation insofar as such transfer is necessary for the performance of controller’s tasks and only where the conditions laid down in this Article are met, namely:

(a) the Commission has adopted an adequacy decision in accordance with Article 36(3) of Directive (EU) 2016/680, finding that the third country or a territory or a processing sector within that third country or the international organisation in question ensures an adequate level of protection;

(b) in the absence of a Commission adequacy decision under point (a), an international agreement has been concluded between the Union and that third country or international organisation pursuant to Article 218 TFEU adducing adequate safeguards with respect to the protection of privacy and fundamental rights and freedoms of individuals;

(c) in the absence of a Commission adequacy decision under point (a) or an international agreement under point (b), a cooperation agreement has been concluded allowing for the exchange of operational personal data before the date of application of the legal act establishing the Union body, office or agency concerned, between that Union body, office or agency and the third country in question.

2. The legal acts establishing the Union bodies, offices and agencies may maintain or introduce more specific provisions on the conditions for international transfers of operational personal data, in particular on the transfers by way of appropriate safeguards and derogations for specific situations..

3. The controller shall publish on its website and keep up to date a list of adequacy decisions referred to in point (a) of paragraph 1, agreements, administrative arrangements and other instruments relating to the transfer of operational personal data in accordance with paragraph 1.

4. The controller shall keep detailed records of all transfers made pursuant to this Article.

Article 95

Secrecy of judicial inquiries and criminal proceedings

The legal acts establishing the Union bodies, offices or agencies carrying out the activities which fall within the scope of Chapter 4 or Chapter 5 of Title V of Part Three TFEU may oblige the European Data Protection Supervisor, in the exercise of his or her supervision powers, to take utmost account of the secrecy of judicial inquiries and criminal proceedings, in accordance with Union or Member State law.

L 295/96 EN Official Journal of the European Union 21.11.2018CJ

CHAPTER X

IMPLEMENTING ACTS

Article 96

Committee procedure

1. The Commission shall be assisted by the committee established by Article 93 of Regulation (EU) 2016/679. That committee shall be a committee within the meaning of Regulation (EU) No 182/2011.

2. Where reference is made to this paragraph, Article 5 of Regulation (EU) No 182/2011 shall apply.

CHAPTER XI

REVIEW

Article 97

Review clause

No later than 30 April 2022, and every five years thereafter, the Commission shall present to the European Parliament and to the Council a report on the application of this Regulation, accompanied, if necessary, by appropriate legislative proposals.

Article 98

Review of Union legal acts

1. By 30 April 2022, the Commission shall review legal acts adopted on the basis of the Treaties which regulate the processing of operational personal data by Union bodies, offices or agencies when carrying out activities which fall within the scope of Chapter 4 or Chapter 5 of Title V of Part Three TFEU, in order to:

(a) assess their consistency with Directive (EU) 2016/680 and Chapter IX of this Regulation;

(b) identify any divergences that may hamper the exchange of operational personal data between Union bodies, offices or agencies when carrying out activities in those fields and competent authorities; and

(c) identify any divergences that may create legal fragmentation of the data protection legislation in the Union.

2. On the basis of the review, in order to ensure uniform and consistent protection of natural persons with regard to processing, the Commission may submit appropriate legislative proposals, in particular with a view to applying Chapter IX of this Regulation to Europol and the European Public Prosecutor’s Office and including adaptations of Chapter IX of this Regulation, if necessary.

CHAPTER XII

FINAL PROVISIONS

Article 99

Repeal of Regulation (EC) No 45/2001 and of Decision No 1247/2002/EC

Regulation (EC) No 45/2001 and Decision No 1247/2002/EC are repealed with effect from 11 December 2018. References to the repealed Regulation and Decision shall be construed as references to this Regulation.

Article 100

Transitional measures

1. The Decision 2014/886/EU of the European Parliament and of the Council (1) and the current terms of office of the European Data Protection Supervisor and the Assistant Supervisor shall not be affected by this Regulation.

21.11.2018 EN Official Journal of the European Union L 295/97

(1) Decision 2014/886/EU of the European Parliament and of the Council of 4 December 2014 appointing the European Data Protection Supervisor and the Assistant Supervisor (OJ L 351, 9.12.2014, p. 9).

CJ

2. The Assistant Supervisor shall be considered equivalent to the Registrar of the Court of Justice as regards the determination of remuneration, allowances, retirement pension and any other benefit in lieu of remuneration.

3. Article 53(4), (5) and (7), and Articles 55 and 56 of this Regulation shall apply to the current Assistant Supervisor until the end of his term of office.

4. The Assistant Supervisor shall assist the European Data Protection Supervisor in fulfilling the latter’s duties and act as a replacement when the European Data Protection Supervisor is absent or prevented from attending to those duties until the end of the current Assistant Supervisor’s term of office.

Article 101

Entry into force and application

1. This Regulation shall enter into force on the twentieth day following that of its publication in the Official Journal of the European Union.

2. However, this Regulation shall apply to processing of personal data by Eurojust from 12 December 2019.

This Regulation shall be binding in its entirety and directly applicable in all Member States.

Done at Strasbourg, 23 October 2018.

For the European Parliament

The President

A. TAJANI

For the Council

The President

K. EDTSTADLER

L 295/98 EN Official Journal of the European Union 21.11.2018CJ

 Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.° 45/2001 y la Decisión n.° 1247/2002/CETexto pertinente a efectos del EEE.

REGLAMENTO (UE) 2018/1725 DEL PARLAMENTO EUROPEO Y DEL CONSEJO

de 23 de octubre de 2018

relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el

que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE

(Texto pertinente a efectos del EEE)

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 16, apartado 2,

Vista la propuesta de la Comisión Europea,

Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,

Visto el dictamen del Comité Económico y Social Europeo (1),

De conformidad con el procedimiento legislativo ordinario (2),

Considerando lo siguiente:

(1) La protección de las personas físicas en lo que respecta al tratamiento de los datos de carácter personal (datos personales) es un derecho fundamental. El artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta») y el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea (TFUE) disponen que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan. También el artículo 8 del Convenio para la Protección de los Derechos Humanos y de las Libertades Fundamentales garantiza ese derecho.

(2) El Reglamento (CE) n.o 45/2001 del Parlamento Europeo y del Consejo (3) proporciona a las personas físicas unos derechos protegidos jurídicamente, especifica las obligaciones de los responsables del tratamiento dentro de las instituciones y los organismos de la Unión en materia de tratamiento de datos y crea una autoridad de control independiente, el Supervisor Europeo de Protección de Datos, responsable de la vigilancia de los tratamientos de datos personales efectuados por las instituciones y los organismos de la Unión. Sin embargo, no se aplica al tratamiento de datos personales en el ejercicio de una actividad de las instituciones y los organismos de la Unión no comprendida en el ámbito de aplicación del Derecho de la Unión.

(3) El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (4) y la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo (5) fueron adoptados el 27 de abril de 2016. Mientras que el Reglamento establece normas generales para proteger a las personas físicas en lo que respecta al tratamiento de los datos personales y para facilitar la libre circulación de datos personales en la Unión, la Directiva establece normas específicas para proteger a las personas físicas en lo que respecta al tratamiento de los datos personales y para garantizar la libre circulación de datos personales en la Unión en el ámbito de la cooperación judicial en materia penal y en el de la cooperación policial.

(4) El Reglamento (UE) 2016/679 dispone que se adapte el Reglamento (CE) n.o 45/2001 a fin de garantizar un marco sólido y coherente en materia de protección de datos en la Unión y permitir que pueda aplicarse al mismo tiempo que el Reglamento (UE) 2016/679.

(5) Redunda en interés de un enfoque coherente de la protección de datos personales en la Unión y de la libre circulación de datos personales en la Unión, armonizar, en la medida de lo posible, las normas de protección de datos de las instituciones, órganos y organismos de la Unión con las adoptadas para el sector público en los Estados miembros. Cuando las disposiciones del presente Reglamento apliquen los mismos principios que las disposiciones

21.11.2018 ES Diario Oficial de la Unión Europea L 295/39

(1) DO C 288 de 31.8.2017, p. 107. (2) Posición del Parlamento Europeo de 13 de septiembre de 2018 (pendiente de publicación en el Diario Oficial) y Decisión del

Consejo de 11 de octubre de 2018. (3) Reglamento (CE) n.o 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las

personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO L 8 de 12.1.2001, p. 1).

(4) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).

(5) Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión 2008/977/JAI (DO L 119 de 4.5.2016, p. 89).

CJ

del Reglamento (UE) 2016/679, según la jurisprudencia del Tribunal de Justicia de la Unión Europea (en lo sucesivo, «Tribunal de Justicia»), ambas deben interpretarse de manera homogénea, en particular porque debe entenderse que la estructura del presente Reglamento es equivalente a la del Reglamento (UE) 2016/679.

(6) Se debe proteger a las personas cuyos datos personales son tratados por las instituciones y organismos de la Unión en cualquier contexto, por ejemplo, porque estas personas estén empleadas por dichas instituciones y organismos. El presente Reglamento no se aplica al tratamiento de datos personales de personas fallecidas. El presente Reglamento no regula el tratamiento de datos personales relativos a personas jurídicas y, en particular, a empresas constituidas como personas jurídicas, incluido el nombre y la forma de la persona jurídica y sus datos de contacto.

(7) A fin de evitar que haya un grave riesgo de elusión, la protección de las personas físicas debe ser tecnológicamente neutra y no debe depender de las técnicas utilizadas.

(8) El presente Reglamento se aplica al tratamiento de datos personales por parte de todas las instituciones, órganos y organismos de la Unión. Se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero. Los ficheros o conjuntos de ficheros, así como sus portadas, que no estén estructurados con arreglo a criterios específicos, no deben entrar en el ámbito de aplicación del presente Reglamento.

(9) En la Declaración n.o 21 relativa a la protección de datos de carácter personal en el ámbito de la cooperación judicial en materia penal y de la cooperación policial, anexa al acta final de la Conferencia Intergubernamental que adoptó el Tratado de Lisboa, la Conferencia reconoció que podrían requerirse normas específicas para la protección de datos de carácter personal y la libre circulación de dichos datos en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial que se basen en el artículo 16 del TFUE, en razón de la naturaleza específica de dichos ámbitos. Por ello, debe dedicarse un capítulo específico del presente Reglamento de normas generales al tratamiento de datos personales de carácter operativo (datos personales operativos), tales como los datos personales que, en el marco de investigaciones de infracciones, sean tratados por órganos u organismos de la Unión cuando lleven a cabo actividades en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial.

(10) La Directiva (UE) 2016/680 establece normas armonizadas para la protección y libre circulación de los datos personales tratados con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluida la protección frente a amenazas a la seguridad pública y su prevención. A fin de garantizar el mismo nivel de protección de las personas físicas mediante derechos protegidos jurídicamente en toda la Unión y evitar divergencias que dificulten el intercambio de datos personales entre los órganos u organismos de la Unión cuando lleven a cabo actividades comprendidas en el ámbito de aplicación de los capítulos 4 o 5 del título V de la tercera parte del TFUE y las autoridades competentes, las normas para la protección y la libre circulación de los datos personales operativos tratados por dichos órganos u organismos de la Unión deben ser coherentes con la Directiva (UE) 2016/680.

(11) Las normas generales del capítulo del presente Reglamento sobre el tratamiento de datos personales operativos deben aplicarse sin perjuicio de las normas especiales aplicables al tratamiento de datos personales operativos por parte de los órganos y organismos de la Unión cuando lleven a cabo actividades comprendidas en el ámbito de aplicación de los capítulos 4 o 5 del título V de la tercera parte del TFUE. Dichas normas especiales deben considerarse como lex specialis en relación con las disposiciones del capítulo del presente Reglamento relativo al tratamiento de datos personales operativos (lex specialis derogat legi generali). A fin de reducir la fragmentación jurídica, las normas especiales en materia de protección de datos aplicables al tratamiento de datos personales operativos por parte de los órganos y organismos de la Unión cuando lleven a cabo actividades comprendidas en el ámbito de aplicación de los capítulos 4 o 5 del título V de la tercera parte del TFUE deben ser coherentes con los principios en que se basa el capítulo del presente Reglamento sobre el tratamiento de datos personales operativos y con las disposiciones del presente Reglamento relativas a la supervisión independiente, los recursos, la responsabilidad y las sanciones.

(12) El capítulo del presente Reglamento sobre el tratamiento de datos personales operativos debe aplicarse a los órganos y organismos de la Unión cuando lleven a cabo actividades comprendidas en el ámbito de aplicación de los capítulos 4 o 5 del título V de la tercera parte del TFUE, si ejercen tales actividades ya sea como tarea principal o accesoria, con fines de prevención, detección, investigación o enjuiciamiento de infracciones penales. No obstante, no debe aplicarse a Europol ni a la Fiscalía Europea hasta que se modifiquen los actos jurídicos que los establecen, a fin de que les sea aplicable, con sus adaptaciones, el capítulo del presente Reglamento sobre el tratamiento de datos personales operativos.

(13) La Comisión debe llevar a cabo una revisión del presente Reglamento, en especial del capítulo sobre el tratamiento de datos personales operativos. Asimismo, la Comisión debe revisar otros actos jurídicos adoptados sobre la base de los Tratados que regulen el tratamiento de datos personales operativos por los órganos y organismos de la Unión

L 295/40 ES Diario Oficial de la Unión Europea 21.11.2018CJ

cuando llevan a cabo actividades comprendidas en el ámbito de aplicación de los capítulos 4 o 5 del título V de la tercera parte del TFUE. Tras dicha revisión, a fin de garantizar la protección uniforme y coherente de las personas físicas en lo que respecta al tratamiento de los datos personales, la Comisión debe poder presentar las propuestas legislativas oportunas, en especial las adaptaciones que sean necesarias del capítulo del presente Reglamento sobre el tratamiento de datos personales operativos, a efectos de su aplicación a Europol y a la Fiscalía Europea,. Las adaptaciones deben tener en cuenta las disposiciones relativas a la supervisión independiente, los recursos, la responsabilidad y las sanciones.

(14) El presente Reglamento debe incluir en su ámbito de aplicación el tratamiento de datos personales de carácter administrativo, por ejemplo los datos relativos al personal, por los órganos u organismos de la Unión que lleven a cabo actividades comprendidas en el ámbito de aplicación de los capítulos 4 o 5 del título V de la tercera parte del TFUE.

(15) El presente Reglamento debe incluir en su ámbito de aplicación el tratamiento de datos personales por parte de las instituciones, órganos y organismos de la Unión que lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2 del título V del Tratado de la Unión Europea (TUE). El presente Reglamento no debe incluir en su ámbito de aplicación el tratamiento de datos personales por parte de las misiones mencionadas en el artículo 42, apartado 1, y en los artículos 43 y 44 del TUE, que aplican la política común de seguridad y defensa. En su caso, se presentarán propuestas pertinentes para regular más el tratamiento de datos personales en el ámbito de la política común de seguridad y defensa.

(16) Los principios de la protección de datos deben aplicarse a toda la información relativa a una persona física identificada o identificable. Los datos personales seudonimizados, que cabría atribuir a una persona física mediante la utilización de información adicional, deben considerarse información sobre una persona física identificable. Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física. Para determinar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona física, deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos. Por lo tanto, los principios de protección de datos no deben aplicarse a la información anónima, es decir, información que no guarda relación con una persona física identificada o identificable o datos convertidos en anónimos de forma que el interesado no sea identificable o deje de serlo. En consecuencia, el presente Reglamento no afecta al tratamiento de dicha información anónima, ni siquiera con fines estadísticos o de investigación.

(17) La aplicación de la seudonimización a los datos personales puede reducir los riesgos para los interesados afectados y ayudar a los responsables y a los encargados del tratamiento a cumplir sus obligaciones de protección de los datos. Así pues, la introducción explícita de la «seudonimización» en el presente Reglamento no pretende excluir ninguna otra medida relativa a la protección de los datos.

(18) Las personas físicas pueden ser asociadas a identificadores en línea facilitados por sus dispositivos, aplicaciones, herramientas y protocolos, como direcciones de los protocolos de internet, identificadores de sesión en forma de «cookies» u otros identificadores, como etiquetas de identificación por radiofrecuencia. Esto puede dejar huellas que, en particular, al ser combinadas con identificadores únicos y otros datos recibidos por los servidores, pueden ser utilizadas para elaborar perfiles de las personas físicas e identificarlas.

(19) El consentimiento debe prestarse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado de aceptar el tratamiento de datos personales que le conciernen, como una declaración por escrito, también por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe prestarse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe prestarse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de prestar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta. Al mismo tiempo, el interesado debe tener derecho a revocar su consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su revocación. Para garantizar que el consentimiento se haya prestado libremente, este no debe constituir un fundamento jurídico válido para el tratamiento de datos personales en un caso concreto en el que exista un desequilibro claro entre el interesado y el responsable del tratamiento y sea por lo tanto improbable que el consentimiento se hubiese prestado libremente

21.11.2018 ES Diario Oficial de la Unión Europea L 295/41CJ

en todas las circunstancias de dicha situación particular. Con frecuencia no es posible determinar totalmente en el momento de su recogida la finalidad del tratamiento de los datos personales con fines de investigación científica. Por consiguiente, debe permitirse a los interesados prestar su consentimiento para determinados ámbitos de investigación científica que respeten las normas éticas reconocidas para la investigación científica. Los interesados deben tener la oportunidad de prestar su consentimiento solamente para determinados ámbitos de investigación o partes de proyectos de investigación, en la medida en que lo permita la finalidad perseguida.

(20) Todo tratamiento de datos personales debe ser lícito y leal. Para las personas físicas debe quedar totalmente claro que se están recogiendo, utilizando, consultando o tratando de otra manera datos personales que les conciernen, así como la medida en que dichos datos son o serán tratados. El principio de transparencia exige que toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro. Dicho principio se refiere en particular a la información de los interesados sobre la identidad del responsable del tratamiento y sobre los fines del tratamiento y a la información adicional para garantizar un tratamiento leal y transparente con respecto a las personas físicas afectadas y a su derecho a obtener confirmación y comunicación de los datos personales que les conciernan que sean objeto de tratamiento. Debe ponerse en conocimiento de las personas físicas los riesgos, las normas, las salvaguardias y los derechos relativos al tratamiento de datos personales así como el modo de hacer valer sus derechos en relación con el tratamiento. En particular, los fines específicos del tratamiento de los datos personales deben ser explícitos y legítimos, y deben determinarse en el momento de su recogida. Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados. Ello requiere, en particular, garantizar que se limite a un mínimo estricto su plazo de conservación. Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios. Para garantizar que los datos personales no se conservan más tiempo del necesario, el responsable del tratamiento ha de establecer plazos para su supresión o revisión periódica. Deben tomarse todas las medidas razonables para garantizar que se rectifiquen o supriman los datos personales que sean inexactos. Los datos personales deben tratarse de un modo que garantice una seguridad y confidencialidad adecuadas de los datos personales, también para impedir el acceso o uso no autorizados de dichos datos y del equipo utilizado en su tratamiento, e impedir la revelación no autorizada de los datos durante su transmisión.

(21) De conformidad con el principio de responsabilidad proactiva, cuando las instituciones y organismos de la Unión transmitan datos personales en el seno de la misma institución u organismo de la Unión y el destinatario no forme parte del responsable del tratamiento, o los transmitan a otras instituciones u organismos de la Unión, deben verificar si dichos datos personales son necesarios para el ejercicio legítimo de las funciones comprendidas en el ámbito de competencias del destinatario. En particular, tras la petición de transmisión de datos personales por parte de un destinatario, el responsable debe verificar la existencia de un motivo pertinente para el tratamiento lícito de los datos personales por su parte así como la competencia del destinatario. El responsable también debe efectuar una evaluación provisional de la necesidad de la transmisión de dichos datos. En caso de albergar dudas sobre tal necesidad, el responsable del tratamiento debe pedir al destinatario que aporte información complementaria. El destinatario debe garantizar la posibilidad de verificar posteriormente la necesidad de la transmisión de los datos.

(22) Para que el tratamiento sea lícito, los datos personales deben ser tratados sobre la base de la necesidad del desempeño de una función realizada en interés público por parte de las instituciones y organismos de la Unión o en el ejercicio de sus potestades públicas, la necesidad de cumplir una obligación legal del responsable del tratamiento o sobre alguna otra base legítima con arreglo al presente Reglamento, incluido el consentimiento del interesado, la necesidad para el cumplimiento de un contrato en el que sea parte el interesado o con objeto de tomar medidas a instancia del interesado con anterioridad a la conclusión de un contrato. El tratamiento de datos personales efectuado a cargo de las instituciones y organismos de la Unión para el desempeño de funciones de interés público incluye el tratamiento de datos personales necesarios para la gestión y el funcionamiento de dichas instituciones y organismos. El tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. En principio, los datos personales únicamente deben tratarse sobre la base del interés vital de otra persona física cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano.

L 295/42 ES Diario Oficial de la Unión Europea 21.11.2018CJ

(23) La normativa de la Unión a la que se refiere el presente Reglamento debe ser clara y precisa y su aplicación previsible para quienes estén sujetos a ella, de conformidad con los requisitos establecidos en la Carta y en el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales.

(24) Las normas internas a las que se refiere el presente Reglamento deben constituir actos de aplicación general claros y precisos destinados a producir efectos jurídicos frente a los interesados. Deben adoptarse al nivel de gestión más elevado de las instituciones y organismos de la Unión, dentro de sus competencias y respecto de materias relacionadas con su funcionamiento. Deben publicarse en el Diario Oficial de la Unión Europea. La aplicación de dichas normas debe ser previsible para quienes estén sujetos a ellas, de conformidad con lo dispuesto en la Carta y en el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales. Las normas internas pueden adoptar la forma de decisiones, en particular cuando sean adoptadas por instituciones de la Unión.

(25) El tratamiento de datos personales con fines distintos de aquellos para los que hayan sido recogidos inicialmente solo debe permitirse cuando sea compatible con los fines de su recogida inicial. En tal caso, no se requiere una base jurídica aparte, distinta de la que permitió la obtención de los datos personales. Si el tratamiento es necesario para el cumplimiento de una función realizada en interés público o en el ejercicio de potestades públicas conferidas al responsable del tratamiento, los cometidos y los fines para los cuales se debe considerar compatible y lícito el tratamiento ulterior se pueden determinar y especificar de acuerdo con el Derecho de la Unión. Las operaciones de tratamiento ulterior con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos deben considerarse operaciones de tratamiento lícitas compatibles. La base jurídica establecida en el Derecho de la Unión para el tratamiento de datos personales también puede servir de base jurídica para el tratamiento ulterior. Con objeto de determinar si el fin del tratamiento ulterior es compatible con el fin de la recogida inicial de los datos personales, el responsable del tratamiento, tras haber cumplido todos los requisitos para la licitud del tratamiento original, debe tener en cuenta, entre otras cosas: cualquier relación entre estos fines y los fines del tratamiento ulterior previsto; el contexto en el que se recogieron los datos, en particular, las expectativas razonables del interesado basadas en su relación con el responsable en cuanto a su uso posterior; la naturaleza de los datos personales; las consecuencias para los interesados del tratamiento ulterior previsto; y la existencia de garantías adecuadas tanto en la operación de tratamiento original como en la operación de tratamiento ulterior prevista.

(26) Cuando el tratamiento se lleva a cabo con el consentimiento del interesado, el responsable del tratamiento debe ser capaz de demostrar que aquel ha prestado su consentimiento a la operación de tratamiento. En particular en el contexto de una declaración por escrito efectuada sobre otro asunto, debe haber garantías de que el interesado es consciente del hecho de que presta su consentimiento y de la medida en que lo hace. De acuerdo con la Directiva 93/ 13/CEE del Consejo (1), debe proporcionarse un modelo de declaración de consentimiento elaborado previamente por el responsable del tratamiento con una formulación inteligible y de fácil acceso que emplee un lenguaje claro y sencillo, y que no contenga cláusulas abusivas. Para que el consentimiento sea informado, el interesado debe conocer como mínimo la identidad del responsable del tratamiento y los fines del tratamiento a los cuales están destinados los datos personales. El consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o revocar su consentimiento sin sufrir perjuicio alguno.

(27) Los niños merecen una protección específica de sus datos personales, ya que pueden ser menos conscientes de los riesgos, consecuencias, garantías y derechos concernientes al tratamiento de datos personales. Dicha protección específica debe aplicarse, en particular, a la elaboración de perfiles de personalidad y a la obtención de datos personales relativos a niños cuando se ofrezcan servicios directamente a un niño en los sitios web de las instituciones y organismos de la Unión, tales como los servicios de comunicación interpersonal o la venta por internet de entradas, y el tratamiento de los datos personales se base en el consentimiento.

(28) Cuando los destinatarios establecidos en la Unión distintos de las instituciones y organismos de la Unión quieran que las instituciones y organismos de la Unión les transmitan datos personales, dichos destinatarios deben demostrar que la transmisión es necesaria para el ejercicio de sus funciones llevadas a cabo en interés público o bien para el ejercicio de las potestades públicas que tienen conferidas. Alternativamente, dichos destinatarios deberán demostrar que la transmisión es necesaria para una finalidad específica de interés público y el responsable del tratamiento debe determinar si existe alguna razón que permita suponer que se perjudicarán los intereses legítimos del interesado. En tales casos, el responsable del tratamiento debe ponderar de manera demostrable los diferentes intereses a fin de calcular la proporcionalidad de la transmisión de datos personales solicitada. Esa finalidad específica de interés

21.11.2018 ES Diario Oficial de la Unión Europea L 295/43

(1) Directiva 93/13/CEE del Consejo, de 5 de abril de 1993, sobre las cláusulas abusivas en los contratos celebrados con consumidores (DO L 95 de 21.4.1993, p. 29).

CJ

público puede guardar relación con la transparencia de las instituciones y organismos de la Unión. Además, las instituciones y organismos de la Unión deben demostrar esta necesidad en el momento en que ellos mismos inicien la transmisión, con arreglo al principio de transparencia y buena administración. Debe entenderse que los requisitos establecidos en el presente Reglamento para las transmisiones a destinatarios establecidos en la Unión distintos de las instituciones y organismos de la Unión son complementarios a las condiciones para un tratamiento lícito.

(29) Especial protección merecen los datos personales que, por su naturaleza, son particularmente sensibles en relación con los derechos y las libertades fundamentales, ya que el contexto de su tratamiento podría entrañar importantes riesgos para los derechos y las libertades fundamentales. Tales datos personales no deben ser objeto de tratamiento, salvo que se cumplan las condiciones específicas definidas en el presente Reglamento. Debe incluirse entre tales datos personales los datos de carácter personal que revelen el origen racial o étnico, entendiéndose que el uso del término «origen racial» en el presente Reglamento no implica la aceptación por parte de la Unión de teorías que traten de determinar la existencia de razas humanas separadas. El tratamiento de fotografías no debe considerarse sistemáticamente tratamiento de categorías especiales de datos personales, pues únicamente se encuentran comprendidas en la definición de datos biométricos cuando el hecho de ser tratadas con medios técnicos específicos permita la identificación o la autenticación unívocas de una persona física. Además de los requisitos específicos para el tratamiento de datos sensibles, deben aplicarse los principios generales y otras normas del presente Reglamento, sobre todo en lo que se refiere a las condiciones de licitud del tratamiento. Se deben establecer de forma explícita excepciones a la prohibición general de tratamiento de esas categorías especiales de datos personales, entre otras cosas cuando el interesado preste su consentimiento explícito o tratándose de necesidades específicas, en particular cuando el tratamiento sea realizado en el marco de actividades legítimas por determinadas asociaciones o fundaciones cuyo objetivo sea permitir el ejercicio de las libertades fundamentales.

(30) Las categorías especiales de datos personales que merecen mayor protección deben tratarse con fines relacionados con la salud únicamente cuando sea necesario para lograr dichos fines en beneficio de las personas físicas y de la sociedad en su conjunto, en particular en el contexto de la gestión de los servicios y sistemas de asistencia social y sanitaria. Por tanto, el presente Reglamento debe establecer condiciones armonizadas para el tratamiento de categorías especiales de datos personales relativos a la salud, en relación con necesidades específicas, en particular si el tratamiento de esos datos lo realizan, con fines relacionados con la salud, personas sujetas a la obligación legal de secreto profesional. El Derecho de la Unión debe establecer medidas específicas y adecuadas para proteger los derechos fundamentales y los datos personales de las personas físicas.

(31) El tratamiento de categorías especiales de datos personales, sin el consentimiento del interesado, puede ser necesario por razones de interés público en el ámbito de la salud pública. Ese tratamiento debe estar sujeto a medidas adecuadas y específicas a fin de proteger los derechos y libertades de las personas físicas. En ese contexto, «salud pública» debe interpretarse según se define en el Reglamento (CE) n.o 1338/2008 del Parlamento Europeo y del Consejo (1), es decir, todos los elementos relacionados con la salud, concretamente el estado de salud, con inclusión de la morbilidad y la discapacidad, los determinantes que influyen en dicho estado de salud, las necesidades de asistencia sanitaria, los recursos asignados a la asistencia sanitaria, la puesta a disposición de asistencia sanitaria y el acceso universal a ella, así como los gastos y la financiación de la asistencia sanitaria, y las causas de mortalidad. Este tratamiento de datos relativos a la salud por razones de interés público no debe dar lugar a que se traten los datos personales con otros fines.

(32) Si los datos personales tratados por un responsable no le permiten identificar a una persona física, el responsable no debe estar obligado a obtener información adicional para identificar al interesado con la única finalidad de cumplir cualquier disposición del presente Reglamento. No obstante, el responsable del tratamiento no debe negarse a recibir información adicional facilitada por el interesado a fin de respaldarle en el ejercicio de sus derechos. La identificación debe incluir la identificación digital de un interesado, por ejemplo mediante un mecanismo de autenticación, como las mismas credenciales, empleadas por el interesado para abrir una sesión en el servicio en línea ofrecido por el responsable.

(33) El tratamiento de datos personales con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos debe estar supeditado a unas garantías adecuadas para los derechos y las libertades del interesado de conformidad con el presente Reglamento. Esas garantías deben asegurar que se aplican medidas técnicas y organizativas para que se observe, en particular, el principio de minimización de los datos. El tratamiento ulterior de datos personales con fines de archivo en interés público, fines de investigación científica o histórica o fines

L 295/44 ES Diario Oficial de la Unión Europea 21.11.2018

(1) Reglamento (CE) n.o 1338/2008 del Parlamento Europeo y del Consejo, de 16 de diciembre de 2008, sobre estadísticas comunitarias de salud pública y de salud y seguridad en el trabajo (DO L 354 de 31.12.2008, p. 70).

CJ

estadísticos ha de efectuarse cuando el responsable del tratamiento haya evaluado la viabilidad de cumplir esos fines mediante un tratamiento de datos que no permita identificar a los interesados, o que ya no lo permita, siempre que existan las garantías adecuadas (como, por ejemplo, la seudonimización de datos). Las instituciones y organismos de la Unión deben establecer garantías adecuadas para el tratamiento de datos personales con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos en el Derecho de la Unión, garantías que pueden incluir normas internas adoptadas por las instituciones y organismos de la Unión en cuestiones relacionadas con su funcionamiento.

(34) Deben arbitrarse fórmulas para facilitar al interesado el ejercicio de sus derechos en virtud del presente Reglamento, incluidos los mecanismos para solicitar y, en su caso, obtener de forma gratuita, en particular, el acceso a los datos personales y su rectificación o supresión, así como el ejercicio del derecho de oposición. El responsable del tratamiento también debe proporcionar medios para que las solicitudes se presenten por medios electrónicos, en particular cuando los datos personales se tratan por medios electrónicos. El responsable del tratamiento debe estar obligado a responder a las solicitudes del interesado sin dilación indebida y a más tardar en el plazo de un mes, y a explicar sus motivos en caso de que no fuera a atenderlas.

(35) Los principios de tratamiento leal y transparente exigen que se informe al interesado de la existencia de la operación de tratamiento y sus fines. El responsable del tratamiento debe facilitar al interesado cuanta información complementaria sea necesaria para garantizar un tratamiento leal y transparente, habida cuenta de las circunstancias y del contexto específicos en que se traten los datos personales. Se debe además informar al interesado de la existencia de la elaboración de perfiles y de las consecuencias de dicha elaboración. Si los datos personales se obtienen de los interesados, también se les debe informar de si están obligados a proporcionarlos y de las consecuencias en caso de que no lo hicieran. Dicha información puede proporcionarse en combinación con unos iconos normalizados que ofrezcan, de forma fácilmente visible, inteligible y claramente legible, una adecuada visión de conjunto del tratamiento previsto. Los iconos que se presentan en formato electrónico deben ser legibles mecánicamente.

(36) Se debe facilitar a los interesados la información sobre el tratamiento de sus datos personales en el momento en que se obtengan de ellos o, si se obtienen de otra fuente, en un plazo razonable, dependiendo de las circunstancias del caso. Si los datos personales pueden ser comunicados legítimamente a otro destinatario, se debe informar al interesado en el momento en que se comunican al destinatario por primera vez. El responsable del tratamiento que proyecte tratar los datos para un fin que no sea aquel para el que se recogieron debe proporcionar al interesado, antes de dicho tratamiento ulterior, información sobre ese otro fin y otra información necesaria. Cuando el origen de los datos personales no pueda facilitarse al interesado por haberse utilizado varias fuentes, debe facilitarse información general.

(37) Los interesados deben tener derecho a acceder a los datos personales recogidos que les conciernan y a ejercer dicho derecho con facilidad y a intervalos razonables, con el fin de conocer y verificar la licitud del tratamiento. Ello incluye el derecho de los interesados a acceder a datos relativos a la salud, por ejemplo los datos de sus historias clínicas que contengan información como diagnósticos, resultados de exámenes, evaluaciones de facultativos y cualesquiera tratamientos o intervenciones practicadas. Todo interesado debe, por tanto, tener el derecho a conocer y a que se le comuniquen, en particular, los fines para los que se tratan los datos personales, su plazo de tratamiento, sus destinatarios, la lógica implícita en todo tratamiento automático de datos personales y, por lo menos cuando se base en la elaboración de perfiles, las consecuencias de dicho tratamiento. Este derecho no debe afectar negativamente a los derechos y libertades de terceros, incluidos los secretos comerciales o la propiedad intelectual y, en particular, los derechos de propiedad intelectual que protegen programas informáticos. No obstante, estas consideraciones no deben tener como resultado la negativa a prestar toda la información al interesado. Si trata una gran cantidad de información relativa al interesado, el responsable del tratamiento debe estar facultado para solicitar que, antes de facilitarse la información, el interesado especifique la información o actividades de tratamiento a que se refiere la solicitud.

(38) Los interesados deben tener derecho a que se rectifiquen los datos personales que le conciernen y un «derecho al olvido» si la retención de tales datos infringe el presente Reglamento o el Derecho de la Unión aplicable al responsable del tratamiento. Los interesados deben tener derecho a que sus datos personales se supriman y dejen de tratarse si ya no son necesarios para los fines para los que fueron recogidos o tratados de otro modo, si los interesados han revocado su consentimiento para el tratamiento o se oponen al tratamiento de datos personales que les conciernen, o si el tratamiento de sus datos personales incumple de otro modo el presente Reglamento. Este

21.11.2018 ES Diario Oficial de la Unión Europea L 295/45CJ

derecho es importante en particular si el interesado prestó su consentimiento siendo niño y no se es plenamente consciente de los riesgos que implica el tratamiento, y más tarde quiere suprimir tales datos personales, especialmente en internet. El interesado debe poder ejercer este derecho aunque ya no sea un niño. Sin embargo, la retención ulterior de los datos personales debe ser lícita cuando sea necesaria para el ejercicio de la libertad de expresión e información, para el cumplimiento de una obligación legal, para el cumplimiento de una función realizada en interés público o en el ejercicio de potestades públicas conferidas al responsable del tratamiento, por razones de interés público en el ámbito de la salud pública, con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, o para la formulación, el ejercicio o la defensa de reclamaciones.

(39) A fin de reforzar el «derecho al olvido» en el entorno en línea, el derecho de supresión debe ampliarse de tal forma que el responsable del tratamiento que haya hecho públicos datos personales esté obligado a indicar a los responsables del tratamiento que estén tratando tales datos personales que supriman todo enlace a ellos, o las copias o réplicas de tales datos. Al proceder así, dicho responsable debe tomar medidas razonables, teniendo en cuenta la tecnología y los medios a su disposición, incluidas las medidas técnicas, para informar de la solicitud del interesado a los responsables que estén tratando los datos personales.

(40) Entre los métodos para limitar el tratamiento de datos personales cabría incluir los consistentes en trasladar temporalmente los datos seleccionados a otro sistema de tratamiento, en impedir el acceso de usuarios a los datos personales seleccionados o en retirar temporalmente los datos publicados de un sitio internet. En los ficheros automatizados la limitación del tratamiento debe realizarse, en principio, por medios técnicos, de forma que los datos personales no sean objeto de operaciones de tratamiento ulterior ni puedan modificarse. El hecho de que el tratamiento de los datos personales esté limitado debe indicarse claramente en el sistema.

(41) Para reforzar aún más el control sobre sus propios datos, cuando el tratamiento de los datos personales se efectúe por medios automatizados, debe permitirse asimismo que los interesados que hubieran facilitado datos personales que les conciernan a un responsable del tratamiento los reciban en un formato estructurado, de uso común, de lectura mecánica e interoperable, y los transmitan a otro responsable del tratamiento. Debe alentarse a los responsables a crear formatos interoperables que permitan la portabilidad de datos. Dicho derecho debe aplicarse cuando el interesado haya facilitado los datos personales prestando su consentimiento o cuando el tratamiento sea necesario para el cumplimiento de un contrato. Por lo tanto, no debe aplicarse, cuando el tratamiento de los datos personales sea necesario para cumplir una obligación legal aplicable al responsable o para el cumplimiento de una función realizada en interés público o en el ejercicio de potestades públicas conferidas al responsable. El derecho del interesado a transmitir o recibir datos personales que lo conciernan no debe obligar al responsable a adoptar o mantener sistemas de tratamiento que sean técnicamente compatibles. Cuando un conjunto de datos personales determinado concierna a más de un interesado, el derecho a recibir tales datos se debe entender sin menoscabo de los derechos y libertades de otros interesados de conformidad con el presente Reglamento. Por otra parte, ese derecho no debe menoscabar el derecho del interesado a obtener la supresión de los datos personales y las limitaciones de ese derecho recogidas en el presente Reglamento, y en particular no debe implicar la supresión de los datos personales concernientes al interesado que este haya facilitado para el cumplimiento de un contrato, en la medida y durante el tiempo en que los datos personales sean necesarios para el cumplimiento de dicho contrato. El interesado debe tener derecho a que los datos personales se transmitan directamente de un responsable del tratamiento a otro, cuando sea técnicamente posible.

(42) En los casos en que los datos personales puedan ser tratados lícitamente porque el tratamiento es necesario para el cumplimiento de una función realizada en interés público o en el ejercicio de potestades públicas conferidas al responsable del tratamiento, el interesado debe, sin embargo, tener derecho a oponerse al tratamiento de cualquier dato personal relativo a su situación particular. Debe ser el responsable el que demuestre que sus intereses legítimos imperiosos prevalecen sobre los intereses o los derechos y las libertades fundamentales del interesado.

(43) El interesado debe tener derecho a no ser objeto de una decisión, que puede incluir una medida, que evalúe aspectos personales relativos a él, y que se base únicamente en el tratamiento automatizado y produzca efectos jurídicos en él o le afecte significativamente de modo similar, como los servicios de contratación en red en los que no medie intervención humana alguna. Este tipo de tratamiento incluye la elaboración de perfiles consistente en cualquier forma de tratamiento automatizado de los datos personales que evalúe aspectos personales relativos a una persona física, en particular para analizar o predecir aspectos relacionados con el rendimiento en el trabajo, la situación

L 295/46 ES Diario Oficial de la Unión Europea 21.11.2018CJ

económica, la salud, las preferencias o intereses personales, la fiabilidad o el comportamiento, la situación o los movimientos del interesado, en la medida en que produzca efectos jurídicos en él o le afecte significativamente de modo similar.

Sin embargo, se deben permitir las decisiones basadas en tal tratamiento, incluida la elaboración de perfiles, si lo autoriza expresamente el Derecho de la Unión. En cualquier caso, dicho tratamiento debe estar sujeto a las garantías apropiadas, entre las que se deben incluir la información específica al interesado y el derecho a obtener intervención humana, a expresar su punto de vista, a recibir una explicación de la decisión tomada después de tal evaluación y a impugnar la decisión. Tal medida no debe afectar a un menor. A fin de garantizar un tratamiento leal y transparente respecto del interesado, teniendo en cuenta las circunstancias y el contexto específicos en los que se tratan los datos personales, el responsable del tratamiento debe utilizar procedimientos matemáticos o estadísticos adecuados para la elaboración de perfiles, aplicar medidas técnicas y organizativas apropiadas para garantizar, en particular, que se corrigen los factores que introducen inexactitudes en los datos personales y se reduce al máximo el riesgo de error, asegurar los datos personales de forma que se tengan en cuenta los posibles riesgos para los intereses y derechos del interesado e impedir, entre otras cosas, efectos discriminatorios en las personas físicas por motivos de raza u origen étnico, opiniones políticas, religión o creencias, afiliación sindical, condición genética o estado de salud u orientación sexual, o tratamiento que dé lugar a medidas que produzcan tal efecto. Las decisiones automatizadas y la elaboración de perfiles sobre la base de categorías particulares de datos personales únicamente deben permitirse en condiciones específicas.

(44) Los actos jurídicos adoptados con arreglo a los Tratados o las normas internas adoptadas por las instituciones y organismos de la Unión en cuestiones relacionadas con su funcionamiento pueden imponer limitaciones a determinados principios y a los derechos de información, acceso, rectificación o supresión de datos personales, al derecho a la portabilidad de los datos, a la confidencialidad de las comunicaciones electrónicas así como a la comunicación de una violación de la seguridad de los datos personales a un interesado y a determinadas obligaciones conexas de los responsables del tratamiento, en la medida en que sea necesario y proporcionado en una sociedad democrática para salvaguardar la seguridad pública y para la prevención, investigación y enjuiciamiento de infracciones penales o la ejecución de sanciones penales. Se incluye en lo anterior la protección frente a las amenazas contra la seguridad pública, la protección de la vida humana, especialmente en respuesta a catástrofes naturales o de origen humano, la seguridad interna de las instituciones y organismos de la Unión, otros objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular los objetivos de la política exterior y de seguridad común de la Unión o un importante interés económico o financiero de la Unión o de un Estado miembro, y el mantenimiento de registros públicos por razones de interés público general o la protección del interesado o de los derechos y libertades de terceros, incluida la protección social, la salud pública y los fines humanitarios.

(45) Debe quedar establecida la responsabilidad del responsable del tratamiento por cualquier tratamiento de datos personales realizado por él mismo o por su cuenta. En particular, el responsable debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el presente Reglamento, incluida la eficacia de las medidas. Dichas medidas deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas físicas.

(46) Los riesgos para los derechos y libertades de las personas físicas, de gravedad y probabilidad variables, pueden deberse al tratamiento de datos que pudieran provocar daños y perjuicios físicos, materiales o inmateriales, en particular: en los casos en los que el tratamiento pueda dar lugar a problemas de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo; en los casos en los que se prive a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales; en los casos en los que los datos personales tratados revelen el origen étnico o racial, las opiniones políticas, la religión o creencias filosóficas, la militancia en sindicatos y el tratamiento de datos genéticos, datos relativos a la salud o datos sobre la vida sexual, o las condenas e infracciones penales o medidas de seguridad conexas; en los casos en los que se evalúen aspectos personales, en particular el análisis o la predicción de aspectos referidos al rendimiento en el trabajo, situación económica, salud, preferencias o intereses personales, fiabilidad o comportamiento, situación o movimientos, con el fin de crear o utilizar perfiles personales; en los casos en los que se traten datos personales de personas vulnerables, en particular niños; o en los casos en los que el tratamiento implique una gran cantidad de datos personales y afecte a un gran número de interesados.

(47) La probabilidad y la gravedad del riesgo para los derechos y las libertades del interesado debe determinarse con referencia a la naturaleza, el alcance, el contexto y los fines del tratamiento de datos. El riesgo debe ponderarse sobre la base de una evaluación objetiva mediante la cual se determine si las operaciones de tratamiento de datos suponen un riesgo o si el riesgo es alto.

21.11.2018 ES Diario Oficial de la Unión Europea L 295/47CJ

(48) La protección de los derechos y las libertades de las personas físicas con respecto al tratamiento de datos personales exige la adopción de medidas técnicas y organizativas apropiadas con el fin de garantizar el cumplimiento de los requisitos del presente Reglamento. A fin de poder demostrar la conformidad con este, el responsable del tratamiento debe adoptar políticas internas y aplicar medidas que cumplan, en particular, los principios de protección de datos desde el diseño y por defecto. Dichas medidas podrían consistir, entre otras, en reducir al máximo el tratamiento de datos personales, seudonimizar lo antes posible los datos personales, dar transparencia a las funciones y el tratamiento de datos personales, permitiendo a los interesados supervisar el tratamiento de datos y al responsable del tratamiento crear y mejorar elementos de seguridad. Los principios de la protección de datos desde el diseño y por defecto también deben tenerse en cuenta en el contexto de los contratos públicos.

(49) El Reglamento (UE) 2016/679 establece que los responsables del tratamiento de datos demuestren el cumplimiento mediante la adhesión a mecanismos de certificación aprobados. Del mismo modo, las instituciones y organismos de la Unión deben poder demostrar el cumplimiento de lo dispuesto en el presente Reglamento mediante la obtención de una certificación de conformidad con el artículo 42 del Reglamento (UE) 2016/679.

(50) La protección de los derechos y las libertades de los interesados, así como la responsabilidad de los responsables y encargados del tratamiento, requieren una atribución clara de las responsabilidades en virtud del presente Reglamento, incluidos los casos en los que un responsable determine los fines y medios del tratamiento de forma conjunta con otros responsables, o en los que el tratamiento se lleve a cabo por cuenta de un responsable.

(51) Para garantizar el cumplimiento de las disposiciones del presente Reglamento respecto del tratamiento que lleve a cabo el encargado por cuenta del responsable, este, al encomendar actividades de tratamiento a un encargado, debe recurrir únicamente a encargados que ofrezcan suficientes garantías, en particular en lo que respecta a conocimientos especializados, fiabilidad y recursos, de cara a la aplicación de medidas técnicas y organizativas que cumplan los requisitos del presente Reglamento, incluida la seguridad del tratamiento. La adhesión de encargados distintos de las instituciones y organismos de la Unión a un código de conducta aprobado o a un mecanismo de certificación aprobado puede servir de elemento para demostrar el cumplimiento de las obligaciones por parte del responsable. El tratamiento por un encargado distinto de las instituciones y organismos de la Unión debe regirse por un contrato o, en caso de que el encargado sea una institución u organismo de la Unión, otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros que vincule al encargado con el responsable, que fije el objeto y la duración del tratamiento, la naturaleza y fines del tratamiento, el tipo de datos personales y las categorías de interesados, habida cuenta de las funciones y responsabilidades específicas del encargado en el contexto del tratamiento que ha de llevarse a cabo y del riesgo para los derechos y las libertades del interesado. El responsable y el encargado deben tener la posibilidad de optar por basarse en un contrato individual o en cláusulas contractuales tipo que adopte directamente la Comisión o el Supervisor Europeo de Protección de Datos y posteriormente la Comisión. Una vez finalizado el tratamiento por cuenta del responsable, el encargado debe, a elección de aquel, devolver o suprimir los datos personales, salvo que el Derecho de la Unión o de los Estados miembros aplicable al encargado del tratamiento obligue a conservar dichos datos.

(52) Para demostrar la conformidad con el presente Reglamento, los responsables del tratamiento deben mantener registros de las actividades de tratamiento bajo su responsabilidad y los encargados del tratamiento deben mantener registros de las categorías de actividades de tratamiento bajo su responsabilidad. Las instituciones y organismos de la Unión están obligados a cooperar con el Supervisor Europeo de Protección de Datos y a poner a su disposición, previa solicitud, dichos registros, de modo que puedan servir para supervisar las operaciones de tratamiento. Salvo que no sea adecuado habida cuenta del tamaño de una institución u organismo de la Unión, las instituciones y organismos de la Unión deben tener la posibilidad de establecer un archivo central de información de sus actividades de tratamiento. Por razones de transparencia, deben tener la posibilidad de hacerlo público.

(53) A fin de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el presente Reglamento, el responsable o el encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos, como el cifrado. Estas medidas deben garantizar un nivel de seguridad adecuado, incluida la confidencialidad, teniendo en cuenta el estado de la técnica y el coste de su aplicación con respecto a los riesgos y la naturaleza de los

L 295/48 ES Diario Oficial de la Unión Europea 21.11.2018CJ

datos personales que deban protegerse. Al evaluar el riesgo en relación con la seguridad de los datos, se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos personales, como la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos, susceptibles en particular de ocasionar daños y perjuicios físicos, materiales o inmateriales.

(54) Las instituciones y organismos de la Unión deben garantizar la confidencialidad de las comunicaciones electrónicas con arreglo al artículo 7 de la Carta. En particular, las instituciones y organismos de la Unión deben garantizar la seguridad de sus redes de comunicación electrónica. Deben proteger la información relativa a los equipos terminales de los usuarios que acceden a los contenidos públicos de sus sitios web y a sus aplicaciones para móviles disponibles al público, de conformidad con la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (1). También deben proteger los datos personales almacenados en las guías de usuarios.

(55) Si no se toman a tiempo medidas adecuadas, las violaciones de la seguridad de los datos personales podrían entrañar daños y perjuicios físicos, materiales o inmateriales para las personas físicas. Por consiguiente, tan pronto como el responsable del tratamiento tenga conocimiento de que se ha producido una violación de la seguridad de los datos personales, debe, sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, notificar dicha violación de la seguridad de los datos personales al Supervisor Europeo de Protección de Datos, a menos que el responsable pueda demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de que la violación de la seguridad de los datos personales entrañe un riesgo para los derechos y las libertades de las personas físicas. Si dicha notificación no es posible en el plazo de 72 horas, debe acompañarse de una indicación de los motivos de la dilación, pudiendo facilitarse información por fases sin más dilación indebida. Si dicha dilación está justificada, se debe dar a conocer, tan pronto como sea posible, información menos sensible o menos específica acerca de la violación, en lugar de solucionar totalmente el incidente subyacente antes de notificarlo.

(56) El responsable del tratamiento debe comunicar al interesado sin dilación indebida la violación de la seguridad de los datos personales en caso de que pueda entrañar un alto riesgo para sus derechos y libertades, y permitirle tomar las precauciones necesarias. La comunicación debe describir la naturaleza de la violación de la seguridad de los datos personales y las recomendaciones para que la persona física afectada mitigue los potenciales efectos adversos resultantes de la violación. Dichas comunicaciones a los interesados deben realizarse tan pronto como sea razonablemente posible y en estrecha cooperación con el Supervisor Europeo de Protección de Datos, siguiendo sus orientaciones o las de otras autoridades competentes, como las autoridades policiales.

(57) El Reglamento (CE) n.o 45/2001 establece la obligación general del responsable del tratamiento de notificar el tratamiento de datos personales al delegado de protección de datos. Salvo que no sea adecuado habida cuenta del tamaño de la institución u organismo de la Unión, el delegado de protección de datos debe mantener un registro de las operaciones de tratamiento que se le notifiquen. Además de esta obligación general, deben establecerse procedimientos y mecanismos eficaces para efectuar un seguimiento de las operaciones de tratamiento que, por su naturaleza, alcance, contexto y fines, entrañen probablemente un alto riesgo para los derechos y libertades de las personas físicas. Estos procedimientos deben establecerse también, en particular, cuando los tipos de operaciones de tratamiento impliquen el uso de nuevas tecnologías o sean de una nueva clase en relación con la cual el responsable del tratamiento no haya realizado previamente una evaluación de impacto relativa a la protección de datos o si resultan necesarias habida cuenta del tiempo transcurrido desde el tratamiento inicial. En tales casos, el responsable debe llevar a cabo, antes del tratamiento, una evaluación de impacto relativa a la protección de datos con el fin de valorar la gravedad y probabilidad concretas del alto riesgo, teniendo en cuenta la naturaleza, ámbito, contexto y fines del tratamiento y los orígenes del riesgo. Dicha evaluación de impacto debe incluir, en particular, las medidas, garantías y mecanismos previstos para mitigar el riesgo, garantizar la protección de los datos personales y demostrar la conformidad con el presente Reglamento.

(58) Debe consultarse al Supervisor Europeo de Protección de Datos antes de iniciar las actividades de tratamiento si una evaluación de impacto relativa a la protección de datos muestra que, en ausencia de garantías, medidas y mecanismos de seguridad destinados a mitigar los riesgos, el tratamiento entrañaría un alto riesgo para los derechos y libertades de las personas físicas, y el responsable del tratamiento considera que el riesgo no puede mitigarse con medidas razonables en términos de tecnología disponible y costes de aplicación. Existe la probabilidad de que ese alto riesgo se deba a determinados tipos de tratamiento y al alcance y frecuencia de este, lo que también podría ocasionar daños y perjuicios o una injerencia en los derechos y libertades de la persona física. El Supervisor Europeo de Protección de Datos debe responder a la solicitud de consulta dentro de un plazo determinado. Sin embargo, la

21.11.2018 ES Diario Oficial de la Unión Europea L 295/49

(1) Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).

CJ

ausencia de respuesta del Supervisor Europeo de Protección de Datos dentro de dicho plazo no debe obstar a cualquier intervención de dicho Supervisor basada en las funciones y potestades que le atribuye el presente Reglamento, incluido el poder de prohibir operaciones de tratamiento. Como parte de dicho proceso de consulta, debería poder presentarse al Supervisor Europeo de Protección de Datos el resultado de una evaluación de impacto relativa a la protección de datos efectuada en relación con el tratamiento en cuestión, en particular las medidas previstas para mitigar los riesgos para los derechos y las libertades de las personas físicas.

(59) El Supervisor Europeo de Protección de Datos debe ser informado acerca de las medidas administrativas y consultado sobre las normas internas adoptadas por las instituciones y organismos de la Unión en cuestiones relacionadas con el funcionamiento de estos cuando dispongan el tratamiento de datos personales, establezcan condiciones para limitar los derechos de los interesados u ofrezcan garantías para los derechos de este, a fin de garantizar que el tratamiento previsto sea conforme con el presente Reglamento, en particular, en lo relativo a mitigar los riesgos que implique para el interesado.

(60) El Reglamento (UE) 2016/679 estableció el Comité Europeo de Protección de Datos como organismo independiente de la Unión dotado de personalidad jurídica. El Comité debe contribuir a la aplicación coherente del Reglamento (UE) 2016/679 y la Directiva (UE) 2016/680 en toda la Unión, entre otras cosas, asesorando a la Comisión. Al mismo tiempo, el Supervisor Europeo de Protección de Datos seguirá ejerciendo sus funciones supervisoras y consultivas respecto a todas las instituciones y organismos de la Unión, por iniciativa propia o a petición. A fin de garantizar la coherencia de las normas de protección de datos en toda la Unión, al elaborar propuestas o recomendaciones, la Comisión debe esforzarse por consultar con el Supervisor Europeo de Protección de Datos. La Comisión debe llevar a cabo consultas de manera obligatoria tras la adopción de actos legislativos o durante la preparación de actos delegados y actos de ejecución, tal como se define en los artículos 289, 290 y 291 del TFUE, y tras la adopción de recomendaciones y propuestas relativas a acuerdos con terceros países y organizaciones internacionales, con arreglo al artículo 218 del TFUE que repercutan en el derecho a la protección de los datos personales. En estos casos, la Comisión debe estar obligada a consultar al Supervisor Europeo de Protección de Datos, excepto cuando el Reglamento (UE) 2016/679 prevea una consulta obligatoria del Comité Europeo de Protección de Datos, por ejemplo, sobre decisiones de adecuación o actos delegados relativos a iconos normalizados y requisitos para los mecanismos de certificación. Cuando dicho acto sea de especial importancia para la protección de los derechos y libertades de las personas físicas en relación con el tratamiento de datos personales, la Comisión debe tener la posibilidad de consultar, además, al Comité Europeo de Protección de Datos. En estos casos, el Supervisor Europeo de Protección de Datos debe, como miembro del Comité Europeo de Protección de Datos, coordinar su trabajo con este último a fin de emitir un dictamen conjunto. El Supervisor Europeo de Protección de Datos y, si procede, el Comité Europeo de Protección de Datos deben ofrecer su asesoramiento escrito en un plazo de ocho semanas. El plazo debe ser más corto en casos de urgencia o cuando se considere conveniente por otro motivo, por ejemplo, cuando la Comisión esté preparando actos delegados y de ejecución.

(61) De conformidad con el artículo 75 del Reglamento (UE) 2016/679, el Supervisor Europeo de Protección de Datos debe hacerse cargo de la secretaría del Comité Europeo de Protección de Datos.

(62) En todas las instituciones y organismos de la Unión, el delegado de protección de datos debe velar por que se aplique lo dispuesto en el presente Reglamento y asesorar a los responsables y encargados del tratamiento en el ejercicio de sus obligaciones. El delegado debe ser una persona con conocimientos especializados de la normativa y práctica en materia de protección de datos, que se deben determinar, en particular, en función de las operaciones de tratamiento de datos que lleven a cabo el responsable o el encargado y de la protección exigida para los datos personales tratados. Los delegados de protección de datos deben estar en condiciones de desempeñar sus funciones y tareas con independencia.

(63) Si los datos personales se transfieren de las instituciones y organismos de la Unión a responsables, encargados u otros destinatarios en terceros países o a organizaciones internacionales, debe respetarse el nivel de protección de las personas físicas garantizado en la Unión por el presente Reglamento. Se deben aplicar las mismas garantías en caso de transferencias ulteriores de datos personales desde el tercer país u organización internacional a responsables y encargados en el mismo u otro tercer país u organización internacional. En todo caso, las transferencias a terceros países y organizaciones internacionales solo pueden llevarse a cabo de plena conformidad con el presente Reglamento y respetando los derechos y las libertades fundamentales establecidos en la Carta. Una transferencia solo podría tener lugar si, a reserva de las demás disposiciones del presente Reglamento, el responsable o encargado cumple las disposiciones del presente Reglamento relativas a la transferencia de datos personales a terceros países u organizaciones internacionales.

L 295/50 ES Diario Oficial de la Unión Europea 21.11.2018CJ

(64) La Comisión puede decidir, con arreglo al artículo 45 del Reglamento (UE) 2016/679 o al artículo 36 de la Directiva (UE) 2016/680, que un tercer país, un territorio o sector específico en un tercer país o una organización internacional ofrece un nivel de protección de datos adecuado. En estos casos, las instituciones y organismos de la Unión pueden realizar transferencias de datos personales a estos países u organizaciones internacionales sin que se requiera obtener otro tipo de autorización.

(65) En ausencia de una decisión por la que se constate la adecuación de la protección de los datos, el responsable o el encargado del tratamiento deben tomar medidas para compensar la falta de protección de datos en un tercer país mediante garantías adecuadas para el interesado. Tales garantías adecuadas pueden consistir en el recurso a cláusulas tipo de protección de datos adoptadas por la Comisión o por el Supervisor Europeo de Protección de Datos, o a cláusulas contractuales autorizadas por este último. Cuando el encargado del tratamiento no es una institución u organismo de la Unión, dichas garantías adecuadas pueden consistir en normas corporativas vinculantes, códigos de conducta y mecanismos de certificación utilizados para realizar transferencias internacionales de conformidad con el Reglamento (UE) 2016/679. Esas garantías deben asegurar la observancia de requisitos de protección de datos y derechos de los interesados adecuados al tratamiento dentro de la Unión, incluida la disponibilidad por parte de los interesados de derechos exigibles y de acciones legales efectivas, lo que incluye el derecho a obtener una reparación administrativa o judicial efectiva y a reclamar una indemnización, en la Unión o en un tercer país. En particular, deben referirse al cumplimiento de los principios generales relativos al tratamiento de los datos personales y los principios de la protección de datos desde el diseño y por defecto. Las transferencias también pueden realizarlas instituciones y organismos de la Unión a entidades o autoridades públicas de terceros países o a organizaciones internacionales con competencias o funciones correspondientes, igualmente sobre la base de disposiciones incorporadas a acuerdos administrativos, como un memorando de entendimiento, que reconozcan derechos exigibles y efectivos a los interesados. Si las garantías figuran en acuerdos administrativos que no sean jurídicamente vinculantes se debe recabar la autorización del Supervisor Europeo de Protección de Datos.

(66) La posibilidad de que el responsable o el encargado del tratamiento recurran a cláusulas tipo de protección de datos adoptadas por la Comisión o el Supervisor Europeo de Protección de Datos no debe obstar a que los responsables o encargados incluyan las cláusulas tipo de protección de datos en un contrato más amplio, como un contrato entre dos encargados, o a que añadan otras cláusulas o garantías adicionales, siempre que no contradigan, directa o indirectamente, las cláusulas contractuales tipo adoptadas por la Comisión o por el Supervisor Europeo de Protección de Datos, ni mermen los derechos o las libertades fundamentales de los interesados. Se debe alentar a los responsables y encargados del tratamiento a ofrecer garantías adicionales mediante compromisos contractuales que complementen las cláusulas tipo de protección de datos.

(67) Algunos terceros países adoptan leyes, reglamentaciones y otros actos jurídicos con los que se pretende regular directamente las actividades de tratamiento de las instituciones y organismos de la Unión. Esto puede incluir sentencias de órganos jurisdiccionales o decisiones de autoridades administrativas de terceros países que obliguen a un responsable o un encargado del tratamiento a transferir o comunicar datos personales, y que no se basen en un acuerdo internacional en vigor entre el tercer país requirente y la Unión. La aplicación extraterritorial de dichas leyes, reglamentaciones y otros actos jurídicos puede ser contraria al Derecho internacional e impedir la protección de las personas físicas garantizada en la Unión en virtud del presente Reglamento. Las transferencias solo deben autorizarse cuando se cumplan las condiciones del presente Reglamento relativas a las transferencias a terceros países. Tal puede ser el caso, entre otros, cuando la comunicación sea necesaria por una razón importante de interés público reconocida por el Derecho de la Unión.

(68) Se debe establecer la posibilidad en situaciones concretas de realizar transferencias en determinadas circunstancias, de mediar el consentimiento explícito del interesado, si la transferencia es ocasional y necesaria en relación con un contrato o una reclamación, independientemente de tratarse de un procedimiento judicial o un procedimiento administrativo o extrajudicial, incluidos los procedimientos ante organismos reguladores. También se debe establecer la posibilidad de realizar transferencias cuando así lo requieran razones importantes de interés público establecidas por el Derecho de la Unión, o cuando la transferencia se haga a partir de un registro establecido por ley y se destine a consulta por el público o por personas que tengan un interés legítimo. En este último caso la transferencia no debe afectar a la totalidad de los datos personales o de las categorías de datos incluidos en el registro, a menos que lo autorice el Derecho de la Unión, y, cuando el registro esté destinado a su consulta por personas que tengan un interés legítimo, la transferencia solo debe efectuarse a petición de dichas personas o, si estas van a ser las destinatarias, teniendo plenamente en cuenta los intereses y los derechos fundamentales del interesado.

(69) Dichas excepciones deben aplicarse en particular a las transferencias de datos requeridas y necesarias por razones importantes de interés público, por ejemplo en caso de intercambios internacionales de datos entre las instituciones y organismos de la Unión y autoridades en el ámbito de la competencia, administraciones fiscales o aduaneras, autoridades de supervisión financiera y servicios competentes en materia de seguridad social o de sanidad pública, por ejemplo en caso de contactos destinados a localizar enfermedades contagiosas o para reducir y/o eliminar el

21.11.2018 ES Diario Oficial de la Unión Europea L 295/51CJ

dopaje en el deporte. La transferencia de datos personales también debe considerarse lícita en caso de que sea necesaria para proteger un interés esencial para los intereses vitales del interesado o de otra persona, incluida la integridad física o la vida, si el interesado no está en condiciones de prestar su consentimiento. En ausencia de una decisión de adecuación, el Derecho de la Unión puede limitar expresamente, por razones importantes de interés público, la transferencia de categorías específicas de datos a un tercer país o a una organización internacional. Puede considerarse necesaria, por una razón importante de interés público o por ser de interés vital para el interesado, toda transferencia a una organización internacional humanitaria de datos personales de un interesado que no tenga capacidad física o jurídica para prestar su consentimiento, con el fin de desempeñar un cometido basado en las Convenciones de Ginebra o de conformarse al Derecho internacional humanitario aplicable en caso de conflictos armados.

(70) En cualquier caso, cuando la Comisión no haya tomado ninguna decisión sobre el nivel adecuado de la protección de datos en un tercer país, el responsable o el encargado del tratamiento deben arbitrar soluciones que garanticen a los interesados derechos exigibles y efectivos con respecto al tratamiento de sus datos en la Unión, una vez transferidos estos, de forma que sigan beneficiándose de derechos fundamentales y garantías.

(71) Cuando los datos personales circulan a través de las fronteras hacia el exterior de la Unión se puede poner en mayor riesgo la capacidad de las personas físicas para ejercer los derechos de protección de datos, en particular con el fin de protegerse contra la utilización o comunicación ilícitas de dicha información. Al mismo tiempo, es posible que las autoridades de control nacionales y el Supervisor Europeo de Protección de Datos se vean en la imposibilidad de tramitar reclamaciones o realizar investigaciones relativas a actividades desarrolladas fuera de su jurisdicción. Sus esfuerzos por colaborar en el contexto transfronterizo también pueden verse obstaculizados por potestades preventivas o correctivas insuficientes, regímenes jurídicos incoherentes y obstáculos prácticos, como la escasez de recursos. Por consiguiente, es necesario fomentar una cooperación más estrecha entre el Supervisor Europeo de Protección de Datos y las autoridades de control nacionales para contribuir al intercambio de información con sus homólogos internacionales.

(72) El establecimiento del Supervisor Europeo de Protección de Datos en el Reglamento (CE) n.o 45/2001, al que se ha facultado para desempeñar sus funciones y ejercer sus competencias con plena independencia, constituye un elemento esencial de la protección de las personas físicas con respecto al tratamiento de datos personales. El presente Reglamento debe reforzar y aclarar aún más su función e independencia. El Supervisor Europeo de Protección de Datos será una persona cuya independencia esté fuera de toda duda y que posea una experiencia y competencia notorias para el desempeño de las funciones de Supervisor Europeo de Protección de Datos, como pertenecer o haber pertenecido a una de las autoridades de control establecidas con arreglo al artículo 51 del Reglamento (UE) 2016/679.

(73) Para garantizar la supervisión y ejecución coherentes de las normas de protección de datos en toda la Unión, el Supervisor Europeo de Protección de Datos debe tener las mismas funciones y potestades efectivas que las autoridades de control nacionales, incluidas potestades de investigación, potestades correctivas y de sanción y potestades de autorización y de consulta, especialmente en casos de reclamaciones de personas físicas, facultad para poner en conocimiento del Tribunal de Justicia las infracciones del presente Reglamento y capacidad para ejercitar acciones judiciales conforme a las disposiciones de Derecho primario. Dichas potestades deben incluir también la de imponer una limitación temporal o definitiva al tratamiento, incluida su prohibición. Para evitar costes superfluos y molestias excesivas para las personas afectadas, toda medida del Supervisor Europeo de Protección de Datos debe ser adecuada, necesaria y proporcionada con vistas a garantizar el cumplimiento del presente Reglamento, debe tener en cuenta las circunstancias de cada caso concreto y respetar el derecho de todas las personas a ser oídas antes de que se adopte cualquier medida. Toda medida jurídicamente vinculante del Supervisor Europeo de Protección de Datos debe constar por escrito, ser clara e inequívoca, indicar la fecha en que se dictó, llevar la firma del Supervisor Europeo de Protección de Datos, especificar los motivos de la misma y mencionar el derecho a la tutela judicial efectiva.

(74) A fin de preservar la independencia del Tribunal de Justicia en el desempeño de sus funciones judiciales, incluida la toma de decisiones, la competencia en materia de supervisión del Supervisor Europeo de Protección de Datos no debe abarcar el tratamiento de datos personales por parte del Tribunal de Justicia cuando actúe en ejercicio de su función judicial. Para dichas operaciones de tratamiento, el Tribunal de Justicia debe establecer una supervisión independiente, de conformidad con el artículo 8, apartado 3, de la Carta, por ejemplo a través de un mecanismo interno.

(75) Las decisiones del Supervisor Europeo de Protección de Datos relacionadas con excepciones, garantías, autorizaciones y condiciones relativas a los tratamientos de datos, según se definen en el presente Reglamento, serán publicadas en el informe de actividad. Con independencia de la publicación anual del informe de actividad, el Supervisor Europeo de Protección de Datos podrá publicar informes sobre temas específicos.

L 295/52 ES Diario Oficial de la Unión Europea 21.11.2018CJ

(76) El Supervisor Europeo de Protección de Datos deberá cumplir lo dispuesto en el Reglamento (CE) n.o 1049/2001 del Parlamento Europeo y del Consejo (1).

(77) A fin de proteger a las personas físicas con respecto al tratamiento de sus datos personales y de facilitar la libre circulación de los datos personales en el mercado interior, las autoridades de control nacionales supervisan la aplicación del Reglamento (UE) 2016/679 y contribuyen a que esta sea coherente en toda la Unión. Para aumentar la coherencia en la aplicación de las normas de protección de datos aplicables en los Estados miembros y de las aplicables a las instituciones y organismos de la Unión, el Supervisor Europeo de Protección de Datos debe cooperar de manera efectiva con las autoridades de control nacionales.

(78) En algunos casos, el Derecho de la Unión prevé un modelo de supervisión coordinada, compartido por el Supervisor Europeo de Protección de Datos y las autoridades de control nacionales. El Supervisor Europeo de Protección de Datos es además la autoridad de control de Europol y, a esos fines, se ha establecido un modelo específico de cooperación con las autoridades de control nacionales mediante un consejo de cooperación con funciones consultivas. Para mejorar la supervisión efectiva y el cumplimiento de las normas sustantivas de protección de datos, debe introducirse en la Unión un modelo único y coherente de supervisión coordinada. Por ello, la Comisión debe presentar, en su caso, propuestas legislativas para modificar actos jurídicos de la Unión que establezcan un modelo de supervisión coordinada, a fin de armonizarlos con el modelo de supervisión coordinada del presente Reglamento. El Comité Europeo de Protección de Datos debe servir de foro único para garantizar una supervisión eficaz y coordinada en todos los ámbitos.

(79) Todo interesado debe tener derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos, y derecho a la tutela judicial efectiva ante el Tribunal de Justicia de conformidad con los Tratados, si considera que se vulneran sus derechos con arreglo al presente Reglamento o en caso de que el Supervisor Europeo de Protección de Datos no responda a una reclamación, rechace o desestime total o parcialmente una reclamación o no actúe cuando sea necesario para proteger los derechos del interesado. La investigación abierta a raíz de una queja debe llevarse a cabo, bajo control judicial, en la medida en que sea adecuada en el caso específico. El Supervisor Europeo de Protección de Datos debe informar al interesado de la evolución y el resultado de la reclamación en un plazo razonable. Si el asunto requiere una mayor coordinación con una autoridad de control nacional, se debe facilitar información intermedia al interesado. Para facilitar la presentación de reclamaciones, el Supervisor Europeo de Protección de Datos debe adoptar medidas como el suministro de un formulario de reclamaciones, que pueda cumplimentarse también por medios electrónicos, sin excluir otros medios de comunicación.

(80) Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento debe tener derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos, con arreglo a las condiciones previstas en los Tratados.

(81) Para fortalecer la función supervisora del Supervisor Europeo de Protección de Datos y la aplicación eficaz del presente Reglamento, el primero debe estar facultado para imponer multas administrativas, como sanción de último recurso. Las multas deben aspirar a sancionar a las instituciones u organismos de la Unión, más que a los individuos, que incumplan el presente Reglamento, impedir futuras violaciones del mismo y fomentar una cultura de protección de los datos personales dentro de las instituciones y organismos de la Unión. El presente Reglamento debe indicar las infracciones objeto de multas administrativas, así como los límites máximos y los criterios para fijar las correspondientes multas. El Supervisor Europeo de Protección de Datos debe determinar la cuantía de la multa en cada caso individual, teniendo en cuenta todas las circunstancias concurrentes en él, atendiendo a la naturaleza, gravedad y duración de la infracción, sus consecuencias y las medidas tomadas para garantizar el cumplimiento de las obligaciones impuestas por el presente Reglamento e impedir o mitigar las consecuencias de la infracción. Al imponer una multa administrativa a una institución u organismo de la Unión, el Supervisor Europeo de Protección de Datos debe considerar la proporcionalidad de su cuantía. El procedimiento administrativo para la imposición de multas a instituciones y organismos de la Unión debe respetar los principios generales del Derecho de esta, según la interpretación del Tribunal de Justicia.

(82) El interesado que considere vulnerados los derechos reconocidos por el presente Reglamento debe tener derecho a conferir mandato a una entidad, organización o asociación sin ánimo de lucro que esté constituida con arreglo al Derecho de la Unión o de un Estado miembro, tenga objetivos legales que sean de interés público y actúe en el

21.11.2018 ES Diario Oficial de la Unión Europea L 295/53

(1) Reglamento (CE) n.o 1049/2001 del Parlamento Europeo y del Consejo, de 30 de mayo de 2001, relativo al acceso del público a los documentos del Parlamento Europeo, del Consejo y de la Comisión (DO L 145 de 31.5.2001, p. 43).

CJ

ámbito de la protección de los datos personales, para que presente en su nombre una reclamación ante el Supervisor Europeo de Protección de Datos. Dicha entidad, organización o asociación debe tener la posibilidad de ejercer el derecho a la tutela judicial en nombre de los interesados o el derecho a recibir una indemnización en nombre de estos.

(83) El incumplimiento por parte de un funcionario u otro agente de la Unión de las obligaciones del presente Reglamento dará lugar a la apertura de un expediente disciplinario u otro tipo de acción, de conformidad con las disposiciones fijadas en el Estatuto de los funcionarios de la Unión Europea o en el régimen aplicable a los otros agentes de la Unión, establecido en el Reglamento (CEE, Euratom, CECA) n.o 259/68 del Consejo (1) (en lo sucesivo, «Estatuto de los funcionarios»).

(84) A fin de garantizar condiciones uniformes de ejecución del presente Reglamento, deben conferirse a la Comisión competencias de ejecución. Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) n.o 182/ 2011 del Parlamento Europeo y del Consejo (2). El procedimiento de examen debe seguirse para la adopción de cláusulas contractuales tipo entre responsables del tratamiento y encargados del tratamiento y entre encargados del tratamiento, para la adopción de una lista de operaciones de tratamiento que exigen la consulta previa del Supervisor Europeo de Protección de Datos por parte de los responsables del tratamiento de los datos personales para el cumplimiento de una función realizada en interés público, y para la adopción de cláusulas contractuales tipo que ofrezcan unas garantías adecuadas para las transferencias internacionales.

(85) Debe protegerse la información confidencial que las autoridades estadísticas de la Unión y nacionales recojan para la elaboración de las estadísticas oficiales europeas y nacionales. Las estadísticas europeas deben desarrollarse, elaborarse y difundirse con arreglo a los principios estadísticos enunciados en el artículo 338, apartado 2, del TFUE. El Reglamento (CE) n.o 223/2009 del Parlamento Europeo y del Consejo (3) facilita especificaciones adicionales sobre la confidencialidad estadística aplicada a las estadísticas europeas.

(86) Procede derogar el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE del Parlamento Europeo, del Consejo y de la Comisión (4). Las referencias al Reglamento y a la Decisión derogados deben entenderse hechas al presente Reglamento.

(87) Para garantizar la independencia plena de los miembros de la autoridad de control independiente, el mandato del actual Supervisor Europeo de Protección de Datos y del actual Supervisor Adjunto no debe verse afectado por el presente Reglamento. El actual Supervisor Adjunto debe permanecer en su puesto hasta el final de su mandato, a menos que se dé alguna de las condiciones para la finalización prematura del mandato del Supervisor Europeo de Protección de Datos establecidas en el presente Reglamento. Las disposiciones pertinentes del presente Reglamento deben aplicarse al Supervisor Adjunto hasta el final de su mandato.

(88) De acuerdo con el principio de proporcionalidad, es necesario y conveniente para alcanzar el objetivo fundamental de garantizar un nivel equivalente de protección de las personas físicas por lo que respecta al tratamiento de datos personales y la libre circulación de datos personales en la Unión establecer normas sobre el tratamiento de datos personales en las instituciones y organismos de la Unión. El presente Reglamento no excede de lo necesario para alcanzar los objetivos perseguidos, de conformidad con lo dispuesto en el artículo 5, apartado 4, del TUE.

(89) El Supervisor Europeo de Protección de Datos fue consultado de conformidad con el artículo 28, apartado 2, del Reglamento (CE) n.o 45/2001 y emitió su dictamen el 15 de marzo de 2017 (5).

L 295/54 ES Diario Oficial de la Unión Europea 21.11.2018

(1) DO L 56 de 4.3.1968, p. 1. (2) Reglamento (UE) n.o 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas

y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por la Comisión (DO L 55 de 28.2.2011, p. 13).

(3) Reglamento (CE) n.o 223/2009 del Parlamento Europeo y del Consejo, de 11 de marzo de 2009, relativo a la estadística europea y por el que se deroga el Reglamento (CE, Euratom) n.o 1101/2008 relativo a la transmisión a la Oficina Estadística de las Comunidades Europeas de las informaciones amparadas por el secreto estadístico, el Reglamento (CE) n.o 322/97 del Consejo sobre la estadística comunitaria y la Decisión 89/382/CEE, Euratom del Consejo por la que se crea un Comité del programa estadístico de las Comunidades Europeas (DO L 87 de 31.3.2009, p. 164).

(4) Decisión n.o 1247/2002/CE del Parlamento Europeo, del Consejo y de la Comisión, de 1 de julio de 2002, relativa al estatuto y a las condiciones generales de ejercicio de las funciones de Supervisor Europeo de Protección de Datos (DO L 183 de 12.7.2002, p. 1).

(5) DO C 164 de 24.5.2017, p. 2.

CJ

HAN ADOPTADO EL PRESENTE REGLAMENTO:

CAPÍTULO I

DISPOSICIONES GENERALES

Artículo 1

Objeto y objetivos

1. El presente Reglamento establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales por las instituciones y organismos de la Unión y las normas relativas a la libre circulación de dichos datos entre ellos o entre ellos y destinatarios establecidos en la Unión.

2. El presente Reglamento protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales.

3. El Supervisor Europeo de Protección de Datos supervisará la aplicación de las disposiciones del presente Reglamento a todas las operaciones de tratamiento realizadas por las instituciones y organismos de la Unión.

Artículo 2

Ámbito de aplicación

1. El presente Reglamento se aplica al tratamiento de datos personales por parte de todas las instituciones y organismos de la Unión.

2. Solo el artículo 3 y el capítulo IX del presente Reglamento serán aplicables al tratamiento de datos personales operativos por los órganos y organismos de la Unión cuando lleven a cabo actividades comprendidas en el ámbito de aplicación de los capítulos 4 o 5 del título V de la tercera parte del TFUE.

3. El presente Reglamento no se aplicará al tratamiento de datos personales operativos por parte de Europol y de la Fiscalía Europea hasta que el Reglamento (UE) 2016/794 del Parlamento Europeo y del Consejo (1), y el Reglamento (UE) 2017/1939 del Consejo (2) se adapten con arreglo al artículo 98 del presente Reglamento.

4. El presente Reglamento no se aplicará al tratamiento de datos personales por parte de las misiones mencionadas en el artículo 42, apartado 1, y en los artículos 43 y 44 del TUE.

5. El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

Artículo 3

Definiciones

A efectos del presente Reglamento, se entenderá por:

1) «datos personales»: toda información sobre una persona física identificada o identificable (en lo sucesivo, «interesado»); se considerará persona física identificable a toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, unos datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

2) «datos personales operativos»: todos los datos personales tratados por los órganos u organismos de la Unión cuando lleven a cabo actividades comprendidas en el ámbito de aplicación de los capítulos 4 o 5 del título V de la tercera parte del TFUE a fin de realizar los objetivos y funciones establecidos en los actos jurídicos por los que se crean dichos órganos u organismos;

21.11.2018 ES Diario Oficial de la Unión Europea L 295/55

(1) Reglamento (UE) 2016/794 del Parlamento Europeo y del Consejo, de 11 de mayo de 2016, relativo a la Agencia de la Unión Europea para la Cooperación Policial (Europol) y por el que se sustituyen y derogan las Decisiones 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI y 2009/968/JAI del Consejo (DO L 135 de 24.5.2016, p. 53).

(2) Reglamento (UE) 2017/1939 del Consejo, de 12 de octubre de 2017, por el que se establece una cooperación reforzada para la creación de la Fiscalía Europea (DO L 283 de 31.10.2017, p. 1).

CJ

3) «tratamiento»: cualquier operación o conjunto de operaciones realizadas en datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;

4) «limitación del tratamiento»: el marcado de los datos personales conservados con el fin de limitar su tratamiento en el futuro;

5) «elaboración de perfiles»: toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física;

6) «seudonimización»: el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado concreto sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable;

7) «fichero»: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica;

8) «responsable del tratamiento» o «responsable»: la institución o el organismo o la dirección general u otra entidad organizativa de la Unión que, por sí sola o conjuntamente con otros, determine los fines y medios del tratamiento de datos personales; cuando los fines y medios de ese tratamiento se determinen en un acto específico de la Unión, el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser establecidos por el Derecho de la Unión;

9) «responsables del tratamiento distintos de las instituciones y organismos de la Unión»: los responsables del tratamiento en el sentido del artículo 4, punto 7, del Reglamento (UE) 2016/679 y los responsables del tratamiento en el sentido del artículo 3, punto 8, de la Directiva (UE) 2016/680;

10) «instituciones y organismos de la Unión»: las instituciones, los órganos y los organismos de la Unión establecidos por el TUE, el TFUE o el Tratado Euratom o sobre la base de cualquiera de ellos;

11) «autoridad competente»: cualquier autoridad pública de un Estado miembro competente para la prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluidas la protección y prevención frente a amenazas para la seguridad pública;

12) «encargado del tratamiento» o «encargado»: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento;

13) «destinatario»: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo al que se comuniquen datos personales, se trate o no de un tercero. No obstante, no se considerarán destinatarios las autoridades públicas que puedan recibir datos personales en el marco de una investigación concreta de conformidad con el Derecho de la Unión o de los Estados miembros; el tratamiento de tales datos por las citadas autoridades públicas será conforme con las normas en materia de protección de datos aplicables a los fines del tratamiento;

14) «tercero»: la persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar datos personales bajo la autoridad directa del responsable o del encargado;

15) «consentimiento»: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen;

16) «violación de la seguridad de los datos personales»: toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidentales o ilícitas de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o el acceso no autorizados a dichos datos;

17) «datos genéticos»: datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona;

L 295/56 ES Diario Oficial de la Unión Europea 21.11.2018CJ

18) «datos biométricos»: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos;

19) «datos relativos a la salud»: datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud;

20) «servicio de la sociedad de la información»: todo servicio conforme a la definición del artículo 1, apartado 1, letra b), de la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo (1);

21) «organización internacional»: una organización y sus entes subordinados de Derecho internacional público, o cualquier otro organismo creado mediante un acuerdo entre dos o más países o en virtud de tal acuerdo;

22) «autoridad de control nacional»: una autoridad pública independiente establecida por un Estado miembro con arreglo al artículo 51 del Reglamento (UE) 2016/679 o al artículo 41 de la Directiva (UE) 2016/680;

23) «usuario»: cualquier persona física que use una red o un equipo terminal que funcionen bajo el control de las instituciones y organismos de la Unión;

24) «guía»: guía de usuarios disponible para el público o guía interna de usuarios disponible dentro de las instituciones y organismos de la Unión o compartida entre estos, ya sea en formato impreso o electrónico;

25) «red de comunicaciones electrónicas»: un sistema de transmisión, basado o no en una infraestructura permanente o en una capacidad de administración centralizada, y, cuando proceda, los equipos de conmutación o enrutamiento y otros recursos, incluidos los elementos de red que no son activos, que permitan la transmisión de señales mediante cables, ondas hertzianas, medios ópticos u otros medios electromagnéticos con inclusión de las redes de satélites, las redes terrestres fijas (de conmutación de circuitos y de paquetes, incluida internet) y móviles, sistemas de tendido eléctrico, en la medida en que se utilicen para la transmisión de señales, redes utilizadas para la radiodifusión sonora y televisiva y redes de televisión por cable, con independencia del tipo de información transmitida;

26) «equipo terminal»: un equipo terminal tal como se define en el artículo 1, punto 1, de la Directiva 2008/63/CE de la Comisión (2).

CAPÍTULO II

PRINCIPIOS GENERALES

Artículo 4

Principios relativos al tratamiento de datos personales

1. Los datos personales serán:

a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»);

b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 13, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la finalidad»);

c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);

d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan («exactitud»);

21.11.2018 ES Diario Oficial de la Unión Europea L 295/57

(1) Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo, de 9 de septiembre de 2015, por la que se establece un procedimiento de información en materia de reglamentaciones técnicas y de reglas relativas a los servicios de la sociedad de la información (DO L 241 de 17.9.2015, p. 1).

(2) Directiva 2008/63/CE de la Comisión, de 20 de junio de 2008, relativa a la competencia de los mercados de equipos terminales de telecomunicaciones (DO L 162 de 21.6.2008, p. 20).

CJ

e) mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 13, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado («limitación del plazo de conservación»);

f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).

2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»).

Artículo 5

Licitud del tratamiento

1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

a) el tratamiento es necesario para el cumplimiento de una función realizada en interés público o en el ejercicio de potestades públicas conferidas a las instituciones y organismos de la Unión;

b) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

c) el tratamiento es necesario para el cumplimiento de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;

d) el interesado ha prestado su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

e) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física.

2. La base del tratamiento indicado en el apartado 1, letras a) y b), se establecerá en el Derecho de la Unión.

Artículo 6

Tratamiento para otro fin compatible

Cuando el tratamiento para un fin distinto de aquel para el que se recogieron los datos personales no esté basado en el consentimiento del interesado o en una norma de la Unión que constituya una medida necesaria y proporcionada en una sociedad democrática para salvaguardar los objetivos indicados en el artículo 25, apartado 1, el responsable del tratamiento, con objeto de determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los datos personales, tendrá en cuenta, entre otras cosas:

a) cualquier relación entre los fines para los cuales se hayan recogido los datos personales y los fines del tratamiento ulterior previsto;

b) el contexto en que se hayan recogido los datos personales, en particular por lo que respecta a la relación entre los interesados y el responsable del tratamiento;

c) la naturaleza de los datos personales, en concreto si se tratan categorías especiales de datos personales, de conformidad con el artículo 10, o datos personales relativos a condenas e infracciones penales, de conformidad con el artículo 11;

d) las posibles consecuencias para los interesados del tratamiento ulterior previsto;

e) la existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización.

Artículo 7

Condiciones para el consentimiento

1. Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.

2. Si el consentimiento del interesado se presta en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte de la declaración que constituya infracción del presente Reglamento.

L 295/58 ES Diario Oficial de la Unión Europea 21.11.2018CJ

3. El interesado tendrá derecho a revocar su consentimiento en cualquier momento. La revocación del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su revocación. Antes de prestar su consentimiento, el interesado será informado de ello. Será tan fácil revocar el consentimiento como prestarlo.

4. Al evaluar si el consentimiento se ha prestado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, el cumplimiento de un contrato, incluida la prestación de un servicio, se supedita a consentir el tratamiento de datos personales que son innecesarios para el cumplimiento de dicho contrato.

Artículo 8

Condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la información

1. Cuando se aplique el artículo 5, apartado 1, letra d), en relación con la oferta directa a niños de servicios de la sociedad de la información, el tratamiento de los datos personales de un niño se considerará lícito cuando tenga como mínimo 13 años. Si el niño es menor de 13 años, tal tratamiento únicamente se considerará lícito si el consentimiento lo prestó o autorizó el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se prestó o autorizó.

2. El responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue prestado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible.

3. El apartado 1 no afectará a las disposiciones generales del Derecho contractual de los Estados miembros, como las normas relativas a la validez, formación o efectos de un contrato en relación con un niño.

Artículo 9

Transmisiones de datos personales a destinatarios establecidos en la Unión distintos de las instituciones y organismos de la Unión

1. Sin perjuicio de lo dispuesto en los artículos 4 a 6 y 10, los datos personales solo se transmitirán a destinatarios establecidos en la Unión distintos de las instituciones y organismos de la Unión, cuando:

a) el destinatario demuestre que los datos son necesarios para el cumplimiento de una función de interés público o en el ejercicio de las potestades públicas conferidas al destinatario, o

b) el destinatario demuestre que es necesario que le transmitan los datos para una finalidad específica de interés público y el responsable del tratamiento, si existe alguna razón para suponer que se podrían perjudicar los intereses legítimos del interesado, demuestre que es proporcionado transmitir los datos personales para dicha finalidad específica, una vez sopesados, de modo verificable, los diversos intereses concurrentes.

2. Cuando la transmisión según el presente artículo se produzca por iniciativa del responsable del tratamiento, este deberá demostrar que la transmisión de datos personales es necesaria y proporcionada respecto de los fines de la transmisión, mediante la aplicación de los criterios establecidos en el apartado 1, letras a) o b).

3. Las instituciones y organismos de la Unión conciliarán el derecho a la protección de los datos personales con el derecho de acceso a los documentos, de conformidad con el Derecho de la Unión.

Artículo 10

Tratamiento de categorías especiales de datos personales

1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.

2. El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes:

a) el interesado ha prestado su consentimiento expreso para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado,

b) el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice una normativa de la Unión que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado,

c) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para prestar su consentimiento,

21.11.2018 ES Diario Oficial de la Unión Europea L 295/59CJ

d) el tratamiento lo lleva a cabo, en el ejercicio de sus actividades legítimas y con las garantías apropiadas, un organismo sin ánimo de lucro que constituya una entidad integrada en una institución u organismo de la Unión y cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a sus miembros, a antiguos miembros del organismo o a personas que mantengan contactos regulares con este en relación con sus fines y siempre que los datos no se comuniquen fuera del organismo sin el consentimiento de los interesados;

e) el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos;

f) el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando el Tribunal de Justicia actúe en ejercicio de su función judicial,

g) el tratamiento es necesario por razones de un interés público esencial, sobre la base de una normativa de la Unión que debe ser proporcionada respecto del objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado;

h) el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías mencionadas en el apartado 3;

i) el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base de una normativa de la Unión que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional; o

j) el tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos sobre la base de una normativa de la Unión que debe ser proporcionada respecto del objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.

3. Los datos personales a que se refiere el apartado 1 podrán tratarse para los fines expresados en el apartado 2, letra h), cuando su tratamiento sea realizado por un profesional sujeto al deber de secreto profesional, o bajo su responsabilidad, de acuerdo con el Derecho de la Unión o de los Estados miembros o con las normas establecidas por los organismos nacionales competentes, o por cualquier otra persona sujeta también al deber de secreto de acuerdo con el Derecho de la Unión o de los Estados miembros o de las normas establecidas por los organismos nacionales competentes.

Artículo 11

Tratamiento de datos personales relativos a condenas e infracciones penales

El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas basadas en el artículo 5, apartado 1, solo podrá llevarse a cabo bajo la supervisión de las autoridades públicas o cuando lo autorice una normativa de la Unión que establezca garantías adecuadas para los derechos y libertades de los interesados.

Artículo 12

Tratamiento que no requiere identificación

1. Si los fines para los cuales un responsable trata datos personales no requieren o ya no requieren la identificación de un interesado por el responsable, este no estará obligado a mantener, obtener o tratar información adicional para identificar al interesado con la única finalidad de cumplir el presente Reglamento.

2. Cuando, en los casos a que se refiere el apartado 1 del presente artículo, el responsable sea capaz de demostrar que no está en condiciones de identificar al interesado, le informará en consecuencia, de ser posible. En tales casos no se aplicarán los artículos 17 a 22, excepto cuando el interesado, a efectos del ejercicio de sus derechos en virtud de dichos artículos, facilite información adicional que permita su identificación.

L 295/60 ES Diario Oficial de la Unión Europea 21.11.2018CJ

Artículo 13

Garantías aplicables al tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos

El tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos estará sujeto a las garantías adecuadas, con arreglo al presente Reglamento, para los derechos y las libertades de los interesados. Dichas garantías harán que se disponga de medidas técnicas y organizativas, en particular para garantizar el respeto del principio de minimización de los datos personales. Tales medidas podrán incluir la seudonimización, siempre que de esa forma puedan alcanzarse dichos fines. Siempre que esos fines pueden alcanzarse mediante un tratamiento ulterior que no permita o ya no permita la identificación de los interesados, esos fines se alcanzarán de ese modo.

CAPÍTULO III

DERECHOS DEL INTERESADO

SECCIÓN 1

transparencia y modalidades

Artículo 14

Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado

1. El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información indicada en los artículos 15 y 16, así como cualquier comunicación con arreglo a los artículos 17 a 24 y 35 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño. La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos. Cuando lo solicite el interesado, la información podrá facilitarse verbalmente siempre que se demuestre la identidad del interesado por otros medios.

2. El responsable del tratamiento facilitará al interesado el ejercicio de sus derechos en virtud de los artículos 17 a 24. En los casos a que se refiere el artículo 12, apartado 2, el responsable no se negará a actuar a petición del interesado con el fin de ejercer sus derechos en virtud de los artículos 17 a 24, salvo que pueda demostrar que no está en condiciones de identificar al interesado.

3. El responsable del tratamiento facilitará al interesado, sin dilaciones indebidas y, en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud, información relativa a sus actuaciones sobre la base de una solicitud con arreglo a los artículos 17 a 24. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. El responsable informará al interesado de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación. Cuando el interesado presente la solicitud por medios electrónicos, la información se facilitará por medios electrónicos cuando sea posible, a menos que el interesado solicite que se facilite de otro modo.

4. Si el responsable del tratamiento no atiende a la solicitud del interesado, le informará sin dilación, y a más tardar transcurrido un mes a partir de la recepción de la solicitud, de las razones de su no actuación y de la posibilidad de presentar una reclamación ante el Supervisor Europeo de Protección de Datos y de interponer un recurso judicial.

5. La información facilitada en virtud de los artículos 15 y 16 así como toda comunicación y cualquier actuación realizada en virtud de los artículos 17 a 24 y 35 serán proporcionadas gratuitamente. Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable del tratamiento podrá negarse a actuar respecto de la solicitud. El responsable del tratamiento soportará la carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud.

6. Sin perjuicio de lo dispuesto en el artículo 12, cuando el responsable del tratamiento tenga dudas razonables en relación con la identidad de la persona física que efectúa la solicitud a que se refieren los artículos 17 a 23, podrá solicitar que se facilite la información adicional necesaria para confirmar la identidad del interesado.

7. La información que debe facilitarse a los interesados en virtud de los artículos 15 y 16 podrá transmitirse en combinación con iconos normalizados, para proporcionar de forma fácilmente visible, inteligible y claramente legible una adecuada visión de conjunto del tratamiento previsto. Los iconos que se presenten en formato electrónico serán legibles mecánicamente.

21.11.2018 ES Diario Oficial de la Unión Europea L 295/61CJ

8. Si la Comisión adopta actos delegados en virtud del artículo 12, apartado 8, del Reglamento (UE) 2016/679 por los que se especifique la información que se ha de presentar a través de los iconos y los procedimientos para proporcionar iconos normalizados, las instituciones y organismos de la Unión facilitarán, en su caso, la información en virtud de los artículos 15 y 16 del presente Reglamento junto con dichos iconos normalizados.

SECCIÓN 2

información y acceso a los datos personales

Artículo 15

Información que debe facilitarse cuando los datos personales se obtengan del interesado

1. Cuando se obtengan de un interesado sus datos personales, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación:

a) la identidad y los datos de contacto del responsable del tratamiento;

b) los datos de contacto del delegado de protección de datos;

c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;

d) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;

e) en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en el artículo 48, referencia a las garantías adecuadas o idóneas y a los medios para obtener una copia de estas o al lugar en el que estén disponibles.

2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales, la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:

a) el plazo durante el cual se almacenarán los datos personales o, cuando eso no sea posible, los criterios utilizados para determinar este plazo;

b) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o, en su caso, el derecho a oponerse al tratamiento o el derecho a la portabilidad de los datos;

c) cuando el tratamiento esté basado en el artículo 5, apartado 1, letra d), o el artículo 10, apartado 2, letra a), la existencia del derecho a revocar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su revocación;

d) el derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos;

e) si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de no facilitar tales datos;

f) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 24, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

3. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos personales para un fin que no sea aquel para el que se recogieron, proporcionará al interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin y cualquier otra información pertinente indicada en el apartado 2.

4. Los apartados 1, 2 y 3 no serán aplicables cuando y en la medida en que el interesado ya disponga de la información.

L 295/62 ES Diario Oficial de la Unión Europea 21.11.2018CJ

Artículo 16

Información que debe facilitarse cuando los datos personales no se hayan obtenido del interesado

1. Cuando los datos personales no se hayan obtenido del interesado, el responsable del tratamiento le facilitará la siguiente información:

a) la identidad y los datos de contacto del responsable del tratamiento;

b) los datos de contacto del delegado de protección de datos;

c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;

d) las categorías de datos personales de que se trate;

e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;

f) en su caso, la intención del responsable de transferir datos personales a un destinatario en un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en el artículo 48, referencia a las garantías adecuadas o idóneas y a los medios para obtener una copia de ellas o al lugar en el que estén disponibles.

2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente respecto del interesado:

a) el plazo durante el cual se almacenarán los datos personales o, cuando eso no sea posible, los criterios utilizados para determinar este plazo;

b) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o, en su caso, el derecho a oponerse al tratamiento o el derecho a la portabilidad de los datos;

c) cuando el tratamiento esté basado en el artículo 5, apartado 1, letra d), o el artículo 10, apartado 2, letra a), la existencia del derecho a revocar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su revocación;

d) el derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos;

e) la fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso público;

f) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 24, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

3. El responsable del tratamiento facilitará la información indicada en los apartados 1 y 2:

a) dentro de un plazo razonable, una vez obtenidos los datos personales, y a más tardar dentro de un mes, habida cuenta de las circunstancias específicas en las que se traten dichos datos;

b) si los datos personales han de utilizarse para comunicación con el interesado, a más tardar en el momento de la primera comunicación a dicho interesado, o

c) si está previsto comunicarlos a otro destinatario, a más tardar en el momento en que los datos personales sean comunicados por primera vez.

4. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de los datos personales para un fin que no sea aquel para el que se obtuvieron, proporcionará al interesado, antes de dicho tratamiento ulterior, información sobre ese otro fin y cualquier otra información pertinente indicada en el apartado 2.

5. Los apartados 1 a 4 no serán aplicables cuando y en la medida en que:

a) el interesado ya disponga de la información;

21.11.2018 ES Diario Oficial de la Unión Europea L 295/63CJ

b) la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado, en particular para el tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, o en la medida en que la obligación mencionada en el apartado 1 del presente artículo pueda imposibilitar u obstaculizar gravemente el logro de los objetivos de tal tratamiento;

c) la obtención o la comunicación esté expresamente establecida por una normativa de la Unión que establezca medidas adecuadas para proteger los intereses legítimos del interesado; o

d) cuando los datos personales deban seguir teniendo carácter confidencial sobre la base de un deber de secreto profesional regulado por el Derecho de la Unión, incluida una obligación legal de secreto.

6. En los casos mencionados en el apartado 5, letra b), el responsable del tratamiento adoptará medidas adecuadas para proteger los derechos, las libertades y los intereses legítimos del interesado, también haciendo pública la información.

Artículo 17

Derecho de acceso del interesado

1. El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la siguiente información:

a) los fines del tratamiento;

b) las categorías de datos personales de que se trate;

c) los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros países u organizaciones internacionales;

d) de ser posible, el plazo previsto de almacenamiento de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo;

e) la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento;

f) el derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos;

g) cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen;

h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 24, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

2. Cuando se transfieran datos personales a un tercer país o a una organización internacional, el interesado tendrá derecho a ser informado de las garantías adecuadas en virtud del artículo 48 relativas a la transferencia.

3. El responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento. Cuando el interesado presente la solicitud por medios electrónicos, y a menos que este solicite que se facilite de otro modo, la información se facilitará en un formato electrónico de uso común.

4. El derecho a obtener copia mencionado en el apartado 3 no afectará negativamente a los derechos y libertades de otros.

SECCIÓN 3

rectificación y supresión

Artículo 18

Derecho de rectificación

El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan. Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional.

L 295/64 ES Diario Oficial de la Unión Europea 21.11.2018CJ

Artículo 19

Derecho de supresión («derecho al olvido»)

1. El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan y el responsable estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes:

a) los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo;

b) el interesado revoque el consentimiento en que se basa el tratamiento de conformidad con el artículo 5, apartado 1, letra d), o el artículo 10, apartado 2, letra a), y este no tenga ninguna otra base jurídica;

c) el interesado se oponga al tratamiento con arreglo al artículo 23, apartado 1, y no prevalezcan otros motivos legítimos para el tratamiento;

d) los datos personales hayan sido tratados ilícitamente;

e) los datos personales deban suprimirse para el cumplimiento de una obligación legal que se aplique al responsable del tratamiento;

f) los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8, apartado 1.

2. Cuando haya hecho públicos los datos personales y esté obligado, en virtud de lo dispuesto en el apartado 1, a suprimir dichos datos, el responsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará medidas razonables, incluidas medidas técnicas, para informar a los responsables del tratamiento, o responsables del tratamiento distintos de las instituciones y organismos de la Unión, que estén tratando los datos personales, de que el interesado ha solicitado de dichos responsables la supresión de cualquier enlace a esos datos personales o de cualquier copia o réplica de estos.

3. Los apartados 1 y 2 no serán aplicables el tratamiento sea necesario:

a) para ejercer el derecho a la libertad de expresión e información;

b) para el cumplimiento de una obligación legal que se aplique al responsable del tratamiento, o para el cumplimiento de una función realizada en interés público o en el ejercicio de potestades públicas conferidas al responsable;

c) por razones de interés público en el ámbito de la salud pública de conformidad con el artículo 10, apartado 2, letras h) e i), y apartado 3;

d) con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, en la medida en que el derecho indicado en el apartado 1 pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento; o

e) para la formulación, el ejercicio o la defensa de reclamaciones.

Artículo 20

Derecho a la limitación del tratamiento

1. El interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos cuando se cumpla alguna de las condiciones siguientes:

a) el interesado impugne la exactitud de los datos personales, en un plazo que permita al responsable verificar que son exactos y que están completos;

b) el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso;

c) el responsable del tratamiento ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones;

d) el interesado se haya opuesto al tratamiento en virtud del artículo 23, apartado 1, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.

21.11.2018 ES Diario Oficial de la Unión Europea L 295/65CJ

2. Cuando el tratamiento se haya limitado en virtud del apartado 1, dichos datos personales solo podrán ser objeto de tratamiento, con excepción de su almacenamiento, con el consentimiento del interesado o para la formulación, el ejercicio o la defensa de reclamaciones, o para la protección de los derechos de otra persona física o jurídica o por razones de importante interés público de la Unión o de un Estado miembro.

3. Todo interesado que haya obtenido la limitación del tratamiento con arreglo al apartado 1 será informado por el responsable antes de poner fin a dicha limitación.

4. En los ficheros automatizados, la limitación del tratamiento deberá realizarse, en principio, por medios técnicos. El hecho de que los datos personales están limitados se indicará en el sistema de tal modo que quede claro que no se pueden utilizar.

Artículo 21

Obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento

El responsable del tratamiento comunicará cualquier rectificación o supresión de datos personales o limitación del tratamiento efectuada con arreglo al artículo 18, al artículo 19, apartado 1, y al artículo 20 a cada uno de los destinatarios a los que se hayan comunicado los datos personales, salvo que sea imposible o exija un esfuerzo desproporcionado. El responsable informará al interesado acerca de dichos destinatarios, si el interesado así lo solicita.

Artículo 22

Derecho a la portabilidad de los datos

1. El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando:

a) el tratamiento esté basado en el consentimiento con arreglo al artículo 5, apartado 1, letra d), o el artículo 10, apartado 2, letra a), o en un contrato con arreglo al artículo 5, apartado 1, letra c); y

b) el tratamiento se efectúe por medios automatizados.

2. Al ejercer su derecho a la portabilidad de los datos de acuerdo con el apartado 1, el interesado tendrá derecho a que los datos personales se transmitan directamente de un responsable del tratamiento a otro, o a responsables del tratamiento distintos de las instituciones y organismos de la Unión, cuando sea técnicamente posible.

3. El ejercicio del derecho mencionado en el apartado 1 del presente artículo se entenderá sin perjuicio del artículo 19. Tal derecho no se aplicará al tratamiento que sea necesario para el cumplimiento de una función realizada en interés público o en el ejercicio de potestades públicas conferidas al responsable del tratamiento.

4. El derecho mencionado en el apartado 1 no afectará negativamente a los derechos y libertades de otros.

SECCIÓN 4

derecho de oposición y decisiones individuales automatizadas

Artículo 23

Derecho de oposición

1. El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento basado en lo dispuesto en el artículo 5, apartado 1, letra a), incluida la elaboración de perfiles sobre la base de dicha disposición. El responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones.

2. A más tardar en el momento de la primera comunicación con el interesado, el derecho indicado en el apartado 1 será mencionado explícitamente al interesado y será presentado claramente y al margen de cualquier otra información.

3. Sin perjuicio de lo dispuesto en los artículos 36 y 37, en el contexto de la utilización de servicios de la sociedad de la información, el interesado podrá ejercer su derecho a oponerse por medios automatizados que apliquen especificaciones técnicas.

L 295/66 ES Diario Oficial de la Unión Europea 21.11.2018CJ

4. Cuando los datos personales se traten con fines de investigación científica o histórica o fines estadísticos, el interesado tendrá derecho, por motivos relacionados con su situación particular, a oponerse al tratamiento de datos personales que le conciernan, salvo que sea necesario para el cumplimiento de una función realizada por razones de interés público.

Artículo 24

Decisiones individuales automatizadas, incluida la elaboración de perfiles

1. Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.

2. El apartado 1 no se aplicará si la decisión:

a) es necesaria para la celebración o el cumplimiento de un contrato entre el interesado y el responsable del tratamiento;

b) está autorizada por una normativa de la Unión que establezca asimismo medidas adecuadas para salvaguardar los derechos y las libertades y los intereses legítimos del interesado; o

c) se basa en el consentimiento expreso del interesado.

3. En los casos a que se refiere el apartado 2, letras a) y c), el responsable del tratamiento adoptará las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como mínimo el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión.

4. Las decisiones a que se refiere el apartado 2 del presente artículo no se basarán en las categorías especiales de datos personales mencionadas en el artículo 10, apartado 1, salvo que se aplique el artículo 10, apartado 2, letras a) o g), y se hayan tomado medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.

SECCIÓN 5

limitaciones

Artículo 25

Limitaciones

1. Los actos jurídicos adoptados con arreglo a los Tratados o, en cuestiones relacionadas con el funcionamiento de las instituciones y organismos de la Unión, las normas internas establecidas por estos últimos podrán limitar la aplicación de los artículos 14 a 22, 35 y 36, y también del artículo 4 en la medida en que sus disposiciones se correspondan con los derechos y obligaciones que disponen los artículos 14 a 22, cuando tal limitación respete en lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar:

a) la seguridad nacional, el orden público o la defensa de los Estados miembros;

b) la prevención, investigación, detección y enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluida la protección frente a amenazas a la seguridad pública y su prevención;

c) otros objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular los objetivos de la política exterior y de seguridad común de la Unión o un interés económico o financiero importante de la Unión o de un Estado miembro, inclusive en los ámbitos fiscal, presupuestario y monetario, la sanidad pública y la seguridad social;

d) la seguridad interna de las instituciones y organismos de la Unión, incluida la de sus redes de comunicación electrónica;

e) la protección de la independencia judicial y de los procedimientos judiciales;

f) la prevención, la investigación, la detección y el enjuiciamiento de infracciones de normas deontológicas en las profesiones reguladas;

g) una función de supervisión, inspección o reglamentación vinculada, incluso ocasionalmente, con el ejercicio de la autoridad pública en los casos enunciados en las letras a) a c);

h) la protección del interesado o de los derechos y libertades de otros;

21.11.2018 ES Diario Oficial de la Unión Europea L 295/67CJ

i) la ejecución de demandas civiles.

2. En particular, cualquier acto jurídico o norma interna indicados en el apartado 1 contendrá, en su caso, disposiciones específicas relativas a:

a) las finalidades del tratamiento o de las categorías de tratamiento;

b) las categorías de datos personales;

c) el alcance de las limitaciones establecidas;

d) las garantías para evitar accesos o transferencias ilícitos o abusivos;

e) la determinación del responsable o de categorías de responsables;

f) los plazos de conservación y las garantías aplicables habida cuenta de la naturaleza, alcance y objetivos del tratamiento o las categorías de tratamiento; y

g) los riesgos para los derechos y las libertades de los interesados.

3. Cuando se traten datos personales con fines de investigación científica o histórica o estadísticos, el Derecho de la Unión, que puede incluir normas internas adoptadas por las instituciones y organismos de la Unión en cuestiones relacionadas con su funcionamiento, podrá establecer excepciones a los derechos reconocidos en los artículos 17, 18, 20 y 23, sujetas a las condiciones y garantías indicadas en el artículo 13, siempre que sea probable que esos derechos imposibiliten u obstaculicen gravemente el logro de los fines específicos, y que esas excepciones sean necesarias para alcanzar esos fines.

4. Cuando se traten datos personales con fines de archivo en interés público, el Derecho de la Unión, que puede incluir normas internas adoptadas por las instituciones y organismos de la Unión en cuestiones relacionadas con su funcionamiento, podrá establecer excepciones a los derechos reconocidos en los artículos 17, 18, 20, 21, 22 y 23, sujetas a las condiciones y garantías indicadas en el artículo 13, siempre que sea probable que esos derechos imposibiliten u obstaculicen gravemente el logro de los fines específicos, y que esas excepciones sean necesarias para alcanzar esos fines.

5. Las normas internas mencionadas en los apartados 1, 3 y 4 serán actos de aplicación general claros y precisos, destinados a producir efectos jurídicos respecto de los interesados, adoptados al nivel de gestión más elevado de las instituciones y organismos de la Unión y deben ser objeto de su publicación en el Diario Oficial de la Unión Europea.

6. En caso de que se imponga una limitación en virtud del apartado 1, se informará al interesado, de conformidad con el Derecho de la Unión, de las razones principales que justifican la limitación, así como de su derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos.

7. En caso de que se invoque una limitación aplicada en virtud del apartado 1 para denegar al interesado el acceso a los datos, el Supervisor Europeo de Protección de Datos, durante la investigación de la reclamación, solo le comunicará si los datos se trataron correctamente y, de no ser así, si se han efectuado las correcciones necesarias.

8. Podrá aplazarse, omitirse o denegarse la comunicación de la información a la que se refieren los apartados 6 y 7 del presente artículo y el artículo 45, apartado 2, si dicha comunicación dejase sin efecto la limitación impuesta sobre la base del apartado 1 del presente artículo.

CAPÍTULO IV

RESPONSABLE DEL TRATAMIENTO Y ENCARGADO DEL TRATAMIENTO

SECCIÓN 1

obligaciones generales

Artículo 26

Responsabilidad del responsable del tratamiento

1. Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.

L 295/68 ES Diario Oficial de la Unión Europea 21.11.2018CJ

2. Cuando sean proporcionadas en relación con las actividades de tratamiento, entre las medidas mencionadas en el apartado 1 se incluirá la aplicación, por parte del responsable del tratamiento, de las oportunas políticas de protección de datos.

3. Podrá utilizarse la adhesión a mecanismos de certificación aprobados como menciona el artículo 42 del Reglamento (UE) 2016/679 como elemento para acreditar el cumplimiento de las obligaciones que incumben al responsable del tratamiento.

Artículo 27

Protección de datos desde el diseño y por defecto

1. Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.

2. El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de almacenamiento y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.

3. Podrá utilizarse un mecanismo de certificación aprobado como menciona el artículo 42 del Reglamento (UE) 2016/ 679 como elemento para acreditar el cumplimiento de las obligaciones establecidas en los apartados 1 y 2 del presente artículo.

Artículo 28

Corresponsables del tratamiento

1. Cuando dos o más responsables del tratamiento o uno o más responsables junto con otro u otros responsables del tratamiento distintos de las instituciones y organismos de la Unión, determinen conjuntamente los objetivos y medios del tratamiento, serán considerados corresponsables del tratamiento. Los corresponsables del tratamiento determinarán de modo transparente sus responsabilidades respectivas en el cumplimiento de sus obligaciones en materia de protección de datos, en particular en cuanto al ejercicio de los derechos del interesado y a sus respectivas obligaciones de facilitar la información a que se refieren los artículos 15 y 16, mediante un acuerdo entre ellos, salvo que, y en la medida en que, sus responsabilidades respectivas se rijan por el Derecho de la Unión o de los Estados miembros que les sea aplicable. Dicho acuerdo podrá designar un punto de contacto para los interesados.

2. El acuerdo mencionado en el apartado 1 reflejará debidamente las funciones y relaciones respectivas que los corresponsables del tratamiento tengan respecto de los interesados. Se pondrán a disposición del interesado los aspectos esenciales del acuerdo.

3. Independientemente de los términos del acuerdo mencionado en el apartado 1, los interesados podrán ejercer los derechos que les reconoce el presente Reglamento frente a cada uno de los responsables del tratamiento.

Artículo 29

Encargado del tratamiento

1. Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.

2. El encargado del tratamiento no recurrirá a otro encargado sin la autorización previa por escrito, específica o general, del responsable del tratamiento. En el caso de autorización escrita general, el encargado informará al responsable de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dando así al responsable la oportunidad de oponerse a dichos cambios.

3. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:

21.11.2018 ES Diario Oficial de la Unión Europea L 295/69CJ

a) trate los datos personales únicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud de normas de la Unión o de los Estados miembros aplicables al encargado; en tal caso, el encargado informará al responsable de esa exigencia legal antes del tratamiento, salvo que esas normas lo prohíban por razones importantes de interés público;

b) garantice que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación legal de confidencialidad;

c) tome todas las medidas necesarias de conformidad con el artículo 33;

d) respete las condiciones indicadas en los apartados 2 y 4 para recurrir a otro encargado del tratamiento;

e) asista al responsable, teniendo en cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en el capítulo III;

f) ayude al responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 33 a 41, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado;

g) a elección del responsable, suprima o devuelva todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de un Estados miembro;

h) ponga a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable.

En relación con lo dispuesto en la letra h) del párrafo primero, el encargado informará inmediatamente al responsable si, en su opinión, una instrucción infringe el presente Reglamento u otras disposiciones en materia de protección de datos de la Unión o de los Estados miembros.

4. Cuando un encargado del tratamiento recurra a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del responsable, se impondrán a este otro encargado, mediante contrato u otro acto jurídico establecido con arreglo al Derecho de la Unión o de los Estados miembros, las mismas obligaciones de protección de datos que las estipuladas en el contrato u otro acto jurídico entre el responsable y el encargado a que se refiere el apartado 3, en particular la prestación de garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas de manera que el tratamiento sea conforme con las disposiciones del presente Reglamento. Si ese otro encargado incumple sus obligaciones de protección de datos, el encargado inicial seguirá siendo plenamente responsable ante el responsable del tratamiento por lo que respecta al cumplimiento de las obligaciones del otro encargado.

5. Cuando el encargado del tratamiento no sea una institución u organismo de la Unión, su adhesión a un código de conducta aprobado a que se refiere el artículo 40, apartado 5, del Reglamento (UE) 2016/679 o a un mecanismo de certificación aprobado a que se refiere el artículo 42 de dicho Reglamento podrá utilizarse como elemento para demostrar la existencia de garantías suficientes como disponen los apartados 1 y 4 del presente artículo.

6. Sin perjuicio de que el responsable del tratamiento y el encargado del tratamiento celebren un contrato individual, el contrato u otro acto jurídico a que se refieren los apartados 3 y 4 del presente artículo podrá basarse, total o parcialmente, en las cláusulas contractuales tipo a que se refieren los apartados 7 y 8 del presente artículo, inclusive cuando formen parte de una certificación concedida al encargado que no sea una institución u organismo de la Unión de conformidad con el artículo 42 del Reglamento (UE) 2016/679.

7. La Comisión podrá fijar cláusulas contractuales tipo para las cuestiones a que se refieren los apartados 3 y 4 del presente artículo, de acuerdo con el procedimiento de examen a que se refiere el artículo 96, apartado 2.

8. El Supervisor Europeo de Protección de Datos podrá adoptar cláusulas contractuales tipo para las cuestiones a que se refieren los apartados 3 y 4.

9. El contrato u otro acto jurídico a que se refieren los apartados 3 y 4 constará por escrito, valiendo también el formato electrónico.

L 295/70 ES Diario Oficial de la Unión Europea 21.11.2018CJ

10. Sin perjuicio de lo dispuesto en los artículos 65 y 66, si un encargado del tratamiento infringe el presente Reglamento por determinar los fines y medios del tratamiento, será considerado responsable del tratamiento con respecto a dicho tratamiento.

Artículo 30

Tratamiento bajo la autoridad del responsable del tratamiento o del encargado del tratamiento

El encargado del tratamiento y cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo podrán tratar dichos datos siguiendo instrucciones del responsable, a no ser que estén obligados a ello en virtud del Derecho de la Unión o de los Estados miembros.

Artículo 31

Registro de las actividades de tratamiento

1. Cada responsable llevará un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener toda la información indicada a continuación:

a) el nombre y los datos de contacto del responsable del tratamiento, del delegado de protección de datos y, en su caso, del encargado del tratamiento y del corresponsable del tratamiento;

b) los fines del tratamiento;

c) una descripción de las categorías de interesados y de las categorías de datos personales;

d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en Estados miembros, terceros países u organizaciones internacionales;

e) en su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y la documentación de garantías adecuadas;

f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;

g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 33.

2. Cada encargado llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable que contenga:

a) el nombre y los datos de contacto del encargado o encargados del tratamiento y de cada responsable del tratamiento en cuyo nombre actúe el encargado, y del delegado de protección de datos;

b) las categorías de tratamientos efectuados por cuenta de cada responsable;

c) en su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y la documentación de garantías adecuadas;

d) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 33.

3. Los registros a que se refieren los apartados 1 y 2 constarán por escrito, valiendo también el formato electrónico.

4. Las instituciones y organismos de la Unión pondrán el registro a disposición del Supervisor Europeo de Protección de Datos cuando este lo solicite.

5. Salvo que no sea adecuado habida cuenta del tamaño de la institución u organismo de la Unión, las instituciones y organismos de la Unión mantendrán sus registros de actividades de tratamiento en un registro central. Harán que el registro sea de acceso público.

21.11.2018 ES Diario Oficial de la Unión Europea L 295/71CJ

Artículo 32

Cooperación con el Supervisor Europeo de Protección de Datos

Las instituciones y organismos de la Unión cooperarán con el Supervisor Europeo de Protección de Datos en el desempeño de sus funciones cuando este lo solicite.

SECCIÓN 2

seguridad de los datos personales

Artículo 33

Seguridad del tratamiento

1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

a) la seudonimización y el cifrado de datos personales;

b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;

c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;

d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

3. El responsable del tratamiento y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión.

4. Podrá utilizarse la adhesión a un mecanismo de certificación aprobado como menciona el artículo 42 del Reglamento (UE) 2016/679 como elemento para acreditar el cumplimiento de las obligaciones establecidas en el apartado 1 del presente artículo.

Artículo 34

Notificación de una violación de la seguridad de los datos personales al Supervisor Europeo de Protección de Datos

1. En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará al Supervisor Europeo de Protección de Datos sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación al Supervisor Europeo de Protección de Datos no tiene lugar en el plazo de 72 horas, deberá ir acompañada de los motivos de la dilación.

2. El encargado del tratamiento notificará sin dilación indebida al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento.

3. La notificación mencionada en el apartado 1 deberá, como mínimo:

a) describir la naturaleza de la violación de la seguridad de los datos personales, incluidos, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;

b) comunicar el nombre y los datos de contacto del delegado de protección de datos;

c) describir las posibles consecuencias de la violación de la seguridad de los datos personales;

d) describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

L 295/72 ES Diario Oficial de la Unión Europea 21.11.2018CJ

4. Si no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

5. El responsable del tratamiento informará al delegado de protección de datos acerca de la violación de la seguridad de los datos.

6. El responsable del tratamiento documentará cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. Dicha documentación permitirá al Supervisor Europeo de Protección de Datos verificar el cumplimiento de lo dispuesto en el presente artículo.

Artículo 35

Comunicación de una violación de la seguridad de los datos personales al interesado

1. Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida.

2. La comunicación al interesado a que se refiere el apartado 1 del presente artículo describirá en un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y contendrá como mínimo la información y las medidas a que se refiere el artículo 34, apartado 3, letras b), c) y d).

3. La comunicación al interesado a que se refiere el apartado 1 no será necesaria si se cumple alguna de las condiciones siguientes:

a) el responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado;

b) el responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado a que se refiere el apartado 1;

c) suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados.

4. Cuando el responsable todavía no haya comunicado al interesado la violación de la seguridad de los datos personales, el Supervisor Europeo de Protección de Datos, una vez considerada la probabilidad de que tal violación entrañe un alto riesgo, podrá exigirle que lo haga o podrá decidir que se cumple alguna de las condiciones mencionadas en el apartado 3.

SECCIÓN 3

confidencialidad de las comunicaciones electrónicas

Artículo 36

Confidencialidad de las comunicaciones electrónicas

Las instituciones y organismos de la Unión garantizarán la confidencialidad de las comunicaciones electrónicas, en particular protegiendo sus redes de comunicación electrónica.

Artículo 37

Protección de la información transmitida a los equipos terminales de los usuarios, almacenada en dichos equipos, relativa a ellos, tratada por ellos y recopilada de ellos

Respecto de los usuarios que accedan a los sitios web de acceso público y aplicaciones para móviles de las instituciones y organismos de la Unión, estas instituciones y organismos protegerán la información transmitida a los equipos terminales de dichos usuarios, la información almacenada en esos equipos, relacionada con ellos, tratada por ellos y recogida de ellos, de conformidad con el artículo 5, apartado 3, de la Directiva 2002/58/CE.

21.11.2018 ES Diario Oficial de la Unión Europea L 295/73CJ

Artículo 38

Guías de usuarios

1. Los datos personales contenidos en las guías de usuarios y el acceso a dichas guías quedarán limitados a lo necesario para los fines específicos de la guía.

2. Las instituciones y organismos de la Unión adoptarán las medidas necesarias para evitar que los datos personales contenidos en estas guías, independientemente de si resultan accesibles al público o no, sean utilizados para fines de venta directa.

SECCIÓN 4

evaluación de impacto relativa a la protección de datos y consulta previa

Artículo 39

Evaluación de impacto relativa a la protección de datos

1. Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.

2. El responsable del tratamiento recabará el asesoramiento del delegado de protección de datos al realizar la evaluación de impacto relativa a la protección de datos.

3. La evaluación de impacto relativa a la protección de los datos a que se refiere el apartado 1 se requerirá en particular en caso de:

a) evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;

b) tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 10 o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 11; o

c) observación sistemática a gran escala de una zona de acceso público.

4. El Supervisor Europeo de Protección de Datos establecerá y publicará una lista de los tipos de operaciones de tratamiento que requieran una evaluación de impacto relativa a la protección de datos de conformidad con el apartado 1.

5. El Supervisor Europeo de Protección de Datos podrá asimismo establecer y publicar una lista de los tipos de tratamiento que no requieren evaluaciones de impacto relativas a la protección de datos.

6. Antes de adoptar las listas a que se refieren los apartados 4 y 5 del presente artículo, el Supervisor Europeo de Protección de Datos solicitará que el Comité Europeo de Protección de Datos establecido por el artículo 68 del Reglamento (UE) 2016/679 examine dichas listas de conformidad con el artículo 70, apartado 1, letra e), de dicho Reglamento cuando se refieran a las operaciones de tratamiento por parte de un responsable del tratamiento que actúe conjuntamente con uno o más responsables del tratamiento distintos de las instituciones y organismos de la Unión.

7. La evaluación deberá incluir como mínimo:

a) una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento;

b) una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad;

c) una evaluación de los riesgos para los derechos y libertades de los interesados a que se refiere el apartado 1; y

d) las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.

L 295/74 ES Diario Oficial de la Unión Europea 21.11.2018CJ

8. El cumplimiento de los códigos de conducta aprobados a que se refiere el artículo 40 del Reglamento (UE) 2016/679 por los encargados correspondientes que no sean instituciones u organismos de la Unión se tendrá debidamente en cuenta al evaluar las repercusiones de las operaciones de tratamiento realizadas por dichos encargados, en particular a efectos de la evaluación de impacto relativa a la protección de datos.

9. Cuando proceda, el responsable recabará la opinión de los interesados o de sus representantes en relación con el tratamiento previsto, sin perjuicio de la protección de intereses públicos o de la seguridad de las operaciones de tratamiento.

10. Cuando el tratamiento de conformidad con el artículo 5, apartado 1, letras a) o b), tenga su base jurídica en un acto jurídico adoptado sobre la base de los Tratados, que regule la operación específica de tratamiento o conjunto de operaciones en cuestión, y cuando ya se haya realizado una evaluación de impacto relativa a la protección de datos como parte de una evaluación de impacto general anterior a la adopción de dicho acto jurídico, los apartados 1 a 6 del presente artículo no serán de aplicación salvo que se establezca de otro modo en dicho acto jurídico.

11. En caso necesario, el responsable examinará si el tratamiento es conforme con la evaluación de impacto relativa a la protección de datos, al menos cuando exista un cambio del riesgo que representen las operaciones de tratamiento.

Artículo 40

Consulta previa

1. El responsable consultará al Supervisor Europeo de Protección de Datos antes de proceder al tratamiento si una evaluación de impacto relativa a la protección de datos en virtud del artículo 39 muestra que, en ausencia de garantías, medidas de seguridad y mecanismos destinados a mitigar los riesgos, el tratamiento entrañaría un alto riesgo para los derechos y libertades de las personas físicas y el responsable del tratamiento considera que el riesgo no puede mitigarse por medios razonables teniendo en cuenta la tecnología disponible y los costes de aplicación. El responsable del tratamiento recabará el asesoramiento del delegado de protección de datos acerca de la necesidad de una consulta previa.

2. Cuando el Supervisor Europeo de Protección de Datos considere que el tratamiento previsto a que se refiere el apartado 1 podría infringir el presente Reglamento, en particular cuando el responsable no haya identificado o mitigado suficientemente el riesgo, el Supervisor Europeo de Protección de Datos deberá, en un plazo de ocho semanas desde la solicitud de la consulta, asesorar por escrito al responsable, y en su caso al encargado, y podrá utilizar cualquiera de las potestades que le confiere el artículo 58. Dicho plazo podrá prorrogarse seis semanas, en función de la complejidad del tratamiento previsto. El Supervisor Europeo de Protección de Datos informará de tal prórroga al responsable y, en su caso, al encargado en el plazo de un mes a partir de la recepción de la solicitud de consulta, indicando los motivos de la dilación. Estos plazos podrán suspenderse hasta que el Supervisor Europeo de Protección de Datos haya obtenido la información solicitada a los fines de la consulta.

3. Cuando consulte al Supervisor Europeo de Protección de Datos con arreglo al apartado 1, el responsable del tratamiento le facilitará la información siguiente:

a) en su caso, las responsabilidades respectivas del responsable, los corresponsables y los encargados implicados en el tratamiento;

b) los fines y medios del tratamiento previsto;

c) las medidas y garantías establecidas para proteger los derechos y libertades de los interesados de conformidad con el presente Reglamento;

d) los datos de contacto del delegado de protección de datos;

e) la evaluación de impacto relativa a la protección de datos establecida en el artículo 39; y

f) cualquier otra información que solicite el Supervisor Europeo de Protección de Datos.

4. La Comisión podrá determinar, mediante un acto de ejecución, una lista de los casos en los que los responsables del tratamiento consultarán al Supervisor Europeo de Protección de Datos y recabarán su autorización previa en relación con el tratamiento de datos personales por un responsable en el ejercicio de una función realizada en interés público, en particular el tratamiento de dichos datos en relación con la protección social y la salud pública.

21.11.2018 ES Diario Oficial de la Unión Europea L 295/75CJ

SECCIÓN 5

información y consulta legislativa

Artículo 41

Información y consulta

1. Las instituciones y organismos de la Unión informarán al Supervisor Europeo de Protección de Datos cuando elaboren medidas administrativas y normas internas relacionadas con el tratamiento de datos personales por parte de una institución u organismo de la Unión, ya sea aisladamente o junto con otros.

2. Las instituciones y organismos de la Unión consultarán al Supervisor Europeo de Protección de Datos cuando elaboren las normas internas a que se refiere el artículo 25.

Artículo 42

Consulta legislativa

1. Tras la adopción de propuestas de actos legislativos, de recomendaciones o de propuestas al Consejo en virtud del artículo 218 del TFUE, o cuando prepare actos delegados o actos de ejecución, la Comisión consultará al Supervisor Europeo de Protección de Datos cuando tengan repercusiones sobre la protección de los derechos y libertades de las personas en relación con el tratamiento de datos personales.

2. Cuando uno de los actos mencionados en el apartado 1 sea de especial importancia para la protección de los derechos y libertades de las personas en relación con el tratamiento de datos personales, la Comisión podrá consultar al Comité Europeo de Protección de Datos. En estos casos, el Supervisor Europeo de Protección de Datos y el Comité Europeo de Protección de Datos coordinarán su trabajo a fin de emitir un dictamen conjunto.

3. El asesoramiento mencionado en los apartados 1 y 2 será facilitado por escrito en un plazo de hasta ocho semanas desde la solicitud de la consulta mencionada en los apartados 1 y 2. En casos urgentes, o cuando se considere conveniente, la Comisión podrá acortar este plazo.

4. El presente artículo no será aplicable cuando la Comisión, de conformidad con el Reglamento (UE) 2016/679, deba consultar al Comité Europeo de Protección de Datos.

SECCIÓN 6

delegado de protección de datos

Artículo 43

Designación del delegado de protección de datos

1. Cada institución u organismo de la Unión designará un delegado de protección de datos.

2. Las instituciones y organismos de la Unión pueden designar a un único delegado de protección de datos para varias de ellas, teniendo en cuenta su estructura organizativa y tamaño.

3. El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 45.

4. El delegado de protección de datos formará parte de la plantilla de la institución u organismo de la Unión. Teniendo en cuenta su tamaño y si no se ejerce la facultad que dispone el apartado 2, las instituciones y organismos de la Unión podrán designar un delegado de protección de datos que desempeñe sus funciones en el marco de un contrato de servicios.

5. Las instituciones y organismos de la Unión publicarán los datos de contacto del delegado de protección de datos y los comunicarán al Supervisor Europeo de Protección de Datos.

Artículo 44

Posición del delegado de protección de datos

1. Las instituciones y organismos de la Unión garantizarán que el delegado de protección de datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.

2. Las instituciones y organismos de la Unión respaldarán al delegado de protección de datos en el desempeño de las funciones mencionadas en el artículo 45, facilitando los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados.

L 295/76 ES Diario Oficial de la Unión Europea 21.11.2018CJ

3. Las instituciones y organismos de la Unión garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.

4. Los interesados podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento.

5. El delegado de protección de datos y su personal estarán obligados a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión.

6. El delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses.

7. El delegado de protección de datos podrá ser consultado por el responsable del tratamiento y el encargado del tratamiento, por el comité de personal afectado y por cualquier persona, sobre cualquier cuestión que se refiera a la interpretación o aplicación del presente Reglamento, sin necesidad de seguir los conductos oficiales. Nadie deberá sufrir perjuicio alguno por informar al delegado competente de protección de datos de que se ha cometido una infracción de lo dispuesto en el presente Reglamento.

8. El delegado de protección de datos será designado por un mandato de entre tres y cinco años y este podrá ser renovado. En caso de que deje de cumplir las condiciones requeridas para el ejercicio de sus funciones, el delegado de protección de datos podrá ser destituido de su cargo por la institución u organismo de la Unión que le haya designado solo previo consentimiento del Supervisor Europeo de Protección de Datos.

9. Tras haber designado al delegado de protección de datos, la institución u organismo de la Unión que le haya designado comunicará su nombre al Supervisor Europeo de Protección de Datos.

Artículo 45

Funciones del delegado de protección de datos

1. El delegado de protección de datos tendrá las siguientes funciones:

a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión;

b) garantizar de forma independiente la aplicación interna del presente Reglamento y supervisar el cumplimiento del presente Reglamento, de otras normas aplicables de la Unión que contengan disposiciones de protección de datos y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;

c) velar por que los interesados sean informados de sus derechos y obligaciones con arreglo al presente Reglamento;

d) ofrecer el asesoramiento que se le solicite acerca de la necesidad de notificar o comunicar una violación de la seguridad de los datos personales con arreglo a los artículos 34 y 35;

e) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 39 y consultar al Supervisor Europeo de Protección de Datos en caso de duda sobre la necesidad de una evaluación de impacto relativa a la protección de datos;

f) ofrecer el asesoramiento que se le solicite acerca de la necesidad de una consulta previa del Supervisor Europeo de Protección de Datos de conformidad con el artículo 40; consultar a este en caso de duda sobre la necesidad de una consulta previa;

g) responder a las solicitudes del Supervisor Europeo de Protección de Datos; en el marco de sus competencias, cooperar y consultar con el Supervisor Europeo de Protección de Datos a petición de este o por iniciativa propia;

h) velar por que las operaciones de tratamiento no tengan efectos adversos sobre los derechos y las libertades de los interesados.

21.11.2018 ES Diario Oficial de la Unión Europea L 295/77CJ

2. El delegado de protección de datos podrá formular recomendaciones al responsable del tratamiento y al encargado del tratamiento, para la mejora práctica de la protección de datos y aconsejarles sobre cuestiones relativas a la puesta en práctica de las disposiciones sobre protección de datos. Por otra parte, por iniciativa propia o a petición del responsable o del encargado del tratamiento, del comité de personal afectado o de cualquier persona física, podrá investigar las cuestiones y los incidentes directamente relacionados con sus funciones que lleguen a su conocimiento e informar de ello a la persona que solicitó la investigación o al responsable o al encargado del tratamiento.

3. Cada institución u organismo de la Unión adoptará normas complementarias respecto al delegado de protección de datos. Las normas de aplicación se referirán en especial a las tareas, funciones y competencias del delegado de protección de datos.

CAPÍTULO V

TRANSFERENCIAS DE DATOS PERSONALES A TERCEROS PAÍSES U ORGANIZACIONES INTERNACIONALES

Artículo 46

Principio general de las transferencias

Solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del presente Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional. Todas las disposiciones del presente capítulo se aplicarán a fin de asegurar que el nivel de protección de las personas físicas garantizado por el presente Reglamento no se vea menoscabado.

Artículo 47

Transferencias basadas en una decisión de adecuación

1. Podrá realizarse una transferencia de datos personales a un tercer país u organización internacional cuando la Comisión haya decidido, en virtud del artículo 45, apartado 3, del Reglamento (UE) 2016/679, o del artículo 36, apartado 3, de la Directiva (UE) 2016/680, que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado y cuando los datos se transfieran exclusivamente para permitir el ejercicio de funciones que sean competencia del responsable del tratamiento.

2. Las instituciones y organismos de la Unión informarán a la Comisión y al Supervisor Europeo de Protección de Datos de los casos en los que consideren que un tercer país, territorio o uno o varios sectores específicos de un tercer país, o una organización internacional de que se trate no garantizan un nivel de protección adecuado de acuerdo con el apartado 1.

3. Las instituciones y organismos de la Unión tomarán las medidas necesarias para cumplir las decisiones adoptadas por la Comisión cuando esta determine, en aplicación del artículo 45, apartados 3 o 5, del Reglamento (UE) 2016/679 o del artículo 36, apartados 3 o 5, de la Directiva (UE) 2016/680, que un tercer país, territorio o uno o varios sectores específicos de un tercer país, o una organización internacional garantizan o ya no garantizan un nivel de protección adecuado.

Artículo 48

Transferencias mediante garantías adecuadas

1. A falta de una decisión con arreglo al artículo 45, apartado 3, del Reglamento (UE) 2016/679, o al artículo 36, apartado 3, de la Directiva (UE) 2016/680, el responsable del tratamiento o el encargado del tratamiento solo podrá transferir datos personales a un tercer país o a una organización internacional si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas.

2. Las garantías adecuadas con arreglo al apartado 1 podrán ser aportadas, sin que se requiera ninguna autorización expresa del Supervisor Europeo de Protección de Datos, por los medios siguientes:

a) un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos;

b) cláusulas tipo de protección de datos adoptadas por la Comisión de conformidad con el procedimiento de examen a que se refiere el artículo 96, apartado 2;

c) cláusulas tipo de protección de datos adoptadas por el Supervisor Europeo de Protección de Datos y aprobadas por la Comisión con arreglo al procedimiento de examen a que se refiere en el artículo 96, apartado 2;

L 295/78 ES Diario Oficial de la Unión Europea 21.11.2018CJ

d) cuando el encargado del tratamiento no sea una institución u organismo de la Unión, normas corporativas vinculantes, códigos de conducta o mecanismos de certificación con arreglo al artículo 46, apartado 2, letras b), e) y f), del Reglamento (UE) 2016/679.

3. Siempre que exista autorización del Supervisor Europeo de Protección de Datos, las garantías adecuadas referidas en el apartado 1 también podrán ser aportadas, en particular, mediante:

a) cláusulas contractuales entre el responsable o el encargado y el responsable, encargado o destinatario de los datos personales en el tercer país u organización internacional, o

b) disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.

4. Las autorizaciones concedidas por el Supervisor Europeo de Protección de Datos de conformidad con el artículo 9, apartado 7, del Reglamento (CE) n.o 45/2001 seguirán siendo válidas hasta que hayan sido modificadas, sustituidas o derogadas, en caso necesario, por este.

5. Las instituciones y organismos de la Unión informarán al Supervisor Europeo de Protección de Datos de las categorías de casos en que el presente artículo haya sido aplicado.

Artículo 49

Transferencias o comunicaciones no autorizadas por el Derecho de la Unión

Cualquier sentencia de un órgano jurisdiccional o decisión de una autoridad administrativa de un tercer país que exijan que un responsable o encargado del tratamiento transfiera o comunique datos personales únicamente será reconocida o ejecutable en cualquier modo si se basa en un acuerdo internacional, como un tratado de asistencia jurídica mutua, vigente entre el tercer país requirente y la Unión, sin perjuicio de otros motivos para la transferencia al amparo del presente capítulo.

Artículo 50

Excepciones para situaciones específicas

1. A falta de una decisión de adecuación de conformidad con el artículo 45, apartado 3, del Reglamento (UE) 2016/679, o el artículo 36, apartado 3, de la Directiva (UE) 2016/680, o de garantías adecuadas de conformidad con el artículo 48 del presente Reglamento, solo podrá realizarse una transferencia o una serie de transferencias de datos personales a un tercer país o una organización internacional si se cumple alguna de las condiciones siguientes:

a) el interesado haya prestado explícitamente su consentimiento a la transferencia propuesta, tras haber sido informado de los posibles riesgos para él de dichas transferencias debido a la ausencia de una decisión de adecuación y de garantías adecuadas;

b) la transferencia sea necesaria para el cumplimiento de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado;

c) la transferencia sea necesaria para la celebración o el cumplimiento de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica;

d) la transferencia sea necesaria por razones importantes de interés público;

e) la transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones; o

f) la transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para prestar su consentimiento; o

g) la transferencia se realice desde un registro que, con arreglo al Derecho de la Unión, tenga por objeto proporcionar información al público y que esté disponible para consulta del público en general o de cualquier persona que pueda demostrar un interés legítimo, pero solo en la medida en que en ese caso particular se cumplan las condiciones que establece el Derecho de la Unión para la consulta.

2. Las letras a), b) y c) del apartado 1 no serán aplicables a las actividades llevadas a cabo por las instituciones y organismos de la Unión en el ejercicio de sus potestades públicas.

3. El interés público indicado en el apartado 1, letra d), será reconocido por el Derecho de la Unión.

4. Una transferencia efectuada de conformidad con el apartado 1, letra g), no abarcará la totalidad de los datos personales ni categorías enteras de datos personales contenidos en el registro, a menos que así lo autorice el Derecho de la Unión. Si la finalidad del registro es la consulta por parte de personas que tengan un interés legítimo, la transferencia solo se efectuará a solicitud de dichas personas o si estas han de ser las destinatarias.

21.11.2018 ES Diario Oficial de la Unión Europea L 295/79CJ

5. En ausencia de una decisión por la que se constate la adecuación de la protección de los datos, el Derecho de la Unión podrá, por razones importantes de interés público, establecer expresamente límites a la transferencia de categorías específicas de datos personales a un tercer país u organización internacional.

6. Las instituciones y organismos de la Unión informarán al Supervisor Europeo de Protección de Datos de las categorías de casos en que el presente artículo haya sido aplicado.

Artículo 51

Cooperación internacional en el ámbito de la protección de datos personales

En relación con los terceros países y las organizaciones internacionales, el Supervisor Europeo de Protección de Datos, en cooperación con la Comisión y el Comité Europeo de Protección de Datos, tomará medidas apropiadas para:

a) crear mecanismos de cooperación internacional que faciliten la aplicación eficaz de la legislación relativa a la protección de datos personales;

b) prestarse mutuamente asistencia a escala internacional en la aplicación de la legislación relativa a la protección de datos personales, en particular mediante la notificación, la remisión de reclamaciones, la asistencia en las investigaciones y el intercambio de información, a reserva de las garantías adecuadas para la protección de los datos personales y otros derechos y libertades fundamentales;

c) asociar a partes interesadas en la materia a los debates y actividades destinados a reforzar la cooperación internacional en la aplicación de la legislación relativa a la protección de datos personales;

d) promover el intercambio y la documentación de la legislación y las prácticas en materia de protección de datos personales, inclusive en materia de conflictos de jurisdicción con terceros países.

CAPÍTULO VI

SUPERVISOR EUROPEO DE PROTECCIÓN DE DATOS

Artículo 52

Supervisor Europeo de Protección de Datos

1. Se crea el Supervisor Europeo de Protección de Datos.

2. Por lo que respecta al tratamiento de los datos personales, el Supervisor Europeo de Protección de Datos velará por que los derechos y libertades fundamentales de las personas físicas, en particular el derecho de las mismas a la protección de datos, sean respetados por las instituciones y organismos de la Unión.

3. El Supervisor Europeo de Protección de Datos garantizará y supervisará la aplicación de las disposiciones del presente Reglamento y de cualquier otro acto de la Unión relacionado con la protección de los derechos y libertades fundamentales de las personas físicas en lo que respecta al tratamiento de datos personales por parte de una institución u organismo de la Unión, y asesorará a las instituciones y organismos de la Unión, así como a los interesados, en todas las cuestiones relacionadas con el tratamiento de datos personales. Con este fin, el Supervisor Europeo de Protección de Datos ejercerá las funciones establecidas en el artículo 57 y las competencias que le confiere el artículo 58.

4. El Reglamento (CE) n.o 1049/2001 se aplicará a los documentos que estén en poder del Supervisor Europeo de Protección de Datos. El Supervisor Europeo de Protección de Datos adoptará las normas de aplicación del Reglamento (CE) n.o 1049/2001 con respecto a dichos documentos.

Artículo 53

Nombramiento del Supervisor Europeo de Protección de Datos

1. El Parlamento Europeo y el Consejo nombrarán de común acuerdo al Supervisor Europeo de Protección de Datos por un mandato de cinco años, sobre la base de una lista elaborada por la Comisión como resultado de una convocatoria pública de candidaturas. La convocatoria de candidaturas permitirá a las partes interesadas de toda la Unión presentar sus candidaturas. La lista de candidatos será pública y constará como mínimo de tres candidatos. Sobre la base de la lista elaborada por la Comisión, la comisión competente del Parlamento Europeo podrá decidir la celebración de una audiencia con objeto de definir una preferencia.

2. La lista de candidatos a que se refiere el apartado 1 estará compuesta por personas cuya independencia esté fuera de toda duda y que posean un conocimiento especializado en protección de datos, así como de la experiencia y competencia necesarias para el cumplimiento de las funciones de Supervisor Europeo de Protección de Datos.

L 295/80 ES Diario Oficial de la Unión Europea 21.11.2018CJ

3. El mandato del Supervisor Europeo de Protección de Datos será renovable una sola vez.

4. El mandato del Supervisor Europeo de Protección de Datos llegará a su fin en las siguientes circunstancias:

a) si el Supervisor Europeo de Protección de Datos es sustituido;

b) si el Supervisor Europeo de Protección de Datos dimite;

c) si el Supervisor Europeo de Protección de Datos es despedido u obligado a jubilarse.

5. El Supervisor Europeo de Protección de Datos podrá ser destituido o desposeído de su derecho de pensión u otros privilegios equivalentes por el Tribunal de Justicia a petición del Parlamento Europeo, el Consejo o la Comisión si dejare de cumplir las condiciones necesarias para el ejercicio de sus funciones o hubiere cometido una falta grave.

6. En los casos de renovación periódica y dimisión voluntaria, el Supervisor Europeo de Protección de Datos permanecerá en funciones hasta su sustitución.

7. Los artículos 11 a 14 y 17 del Protocolo sobre los privilegios y las inmunidades de la Unión Europea serán aplicables al Supervisor Europeo de Protección de Datos.

Artículo 54

Estatuto y condiciones generales de ejercicio de las funciones de Supervisor Europeo de Protección de Datos, personal y recursos financieros

1. El Supervisor Europeo de Protección de Datos recibirá la misma consideración que un juez del Tribunal de Justicia en cuanto a la determinación de su salario, asignaciones, pensión de jubilación y demás ventajas de carácter retributivo.

2. La autoridad presupuestaria garantizará que el Supervisor Europeo de Protección de Datos disponga de los recursos humanos y financieros necesarios para el ejercicio de sus funciones.

3. El presupuesto del Supervisor Europeo de Protección de Datos figurará en una línea propia de la sección del presupuesto general de la Unión dedicada a los gastos administrativos.

4. El Supervisor Europeo de Protección de Datos estará asistido por una secretaría. Los funcionarios y otros miembros del personal de la secretaría serán nombrados por el Supervisor Europeo de Protección de Datos, que será su superior jerárquico. Estarán sometidos exclusivamente a su dirección. El número de puestos se decidirá anualmente en el marco del procedimiento presupuestario. Al personal del Supervisor Europeo de Protección de Datos que participe en la realización de las funciones atribuidas al Comité Europeo de Protección de Datos por el Derecho de la Unión se le aplicará el artículo 75, apartado 2, del Reglamento (UE) 2016/679.

5. Los funcionarios y otros miembros del personal de la secretaría del Supervisor Europeo de Protección de Datos estarán sujetos a los reglamentos y normas aplicables a los funcionarios y otros agentes de la Unión.

6. El Supervisor Europeo de Protección de Datos tendrá su sede en Bruselas.

Artículo 55

Independencia

1. El Supervisor Europeo de Protección de Datos actuará con total independencia en el desempeño de sus funciones y en el ejercicio de sus competencias de conformidad con el presente Reglamento.

2. El Supervisor Europeo de Protección de Datos será ajeno, en el desempeño de sus funciones y en el ejercicio de sus potestades de conformidad con el presente Reglamento, a toda influencia externa, ya sea directa o indirecta, y no solicitará ni admitirá ninguna instrucción.

3. El Supervisor Europeo de Protección de Datos se abstendrá de cualquier acción incompatible con sus funciones y de desempeñar, durante su mandato, ninguna otra actividad profesional, sea o no retribuida.

4. Tras la finalización de su mandato, el Supervisor Europeo de Protección de Datos actuará con integridad y discreción en lo que respecta a la aceptación de nombramientos y privilegios.

Artículo 56

Secreto profesional

El Supervisor Europeo de Protección de Datos y su personal estarán sujetos, incluso después de haber cesado en sus funciones, al deber de secreto profesional sobre las informaciones confidenciales a las que hayan tenido acceso durante el ejercicio de sus funciones.

21.11.2018 ES Diario Oficial de la Unión Europea L 295/81CJ

Artículo 57

Funciones

1. Sin perjuicio de otras funciones en virtud del presente Reglamento, incumbirá al Supervisor Europeo de Protección de Datos:

a) supervisar y garantizar la aplicación del presente Reglamento por parte de las instituciones y organismos de la Unión, con excepción del tratamiento de datos personales por el Tribunal de Justicia cuando actúe en el ejercicio de sus funciones jurisdiccionales;

b) promover la sensibilización del público y su comprensión de los riesgos, normas, garantías y derechos en relación con el tratamiento. Las actividades dirigidas específicamente a los niños deberán ser objeto de especial atención;

c) promover la sensibilización de los responsables y encargados del tratamiento acerca de las obligaciones que les incumben en virtud del presente Reglamento;

d) previa solicitud, facilitar información a cualquier interesado en relación con el ejercicio de sus derechos en virtud del presente Reglamento y, en su caso, cooperar a tal fin con las autoridades de control nacionales;

e) tratar las reclamaciones presentadas por un interesado o por un organismo, organización o asociación de conformidad con el artículo 67, e investigar, en la medida oportuna, el motivo de la reclamación e informar al reclamante sobre el curso y el resultado de la investigación en un plazo razonable, en particular si fueran necesarias nuevas investigaciones o una coordinación más estrecha con otra autoridad de control;

f) llevar a cabo investigaciones sobre la aplicación del presente Reglamento, en particular basándose en información recibida de otra autoridad de control u otra autoridad pública;

g) asesorar, por iniciativa propia o previa solicitud, a todas las instituciones y organismos de la Unión sobre las medidas legislativas y administrativas relativas a la protección de los derechos y libertades de las personas físicas en lo que respecta al tratamiento de datos personales;

h) hacer un seguimiento de cambios que sean de interés, en la medida en que tengan incidencia en la protección de datos personales, en particular el desarrollo de las tecnologías de la información y la comunicación;

i) adoptar las cláusulas contractuales tipo a que se refieren el artículo 29, apartado 8, y el artículo 48, apartado 2, letra c);

j) elaborar y mantener una lista relativa al requisito de la evaluación de impacto relativa a la protección de datos, en virtud del artículo 39, apartado 4;

k) participar en las actividades del Comité Europeo de Protección de Datos;

l) facilitar una secretaría al Comité Europeo de Protección de Datos, de conformidad con el artículo 75 del Reglamento (UE) 2016/679;

m) ofrecer asesoramiento sobre el tratamiento contemplado en el artículo 40, apartado 2;

n) autorizar las cláusulas contractuales y disposiciones a que se refiere el artículo 48, apartado 3;

o) llevar registros internos de las infracciones del presente Reglamento y de las medidas adoptadas de conformidad con el artículo 58, apartado 2,

p) desempeñar cualquier otra función relacionada con la protección de los datos personales; y

q) adoptar su reglamento interno.

2. El Supervisor Europeo de Protección de Datos facilitará la presentación de las reclamaciones contempladas en el apartado 1, letra e), mediante un formulario de presentación de reclamaciones que pueda cumplimentarse también por medios electrónicos, sin excluir otros medios de comunicación.

3. El desempeño de las funciones del Supervisor Europeo de Protección de Datos será gratuito para el interesado.

4. Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el Supervisor Europeo de Protección de Datos podrá negarse a actuar respecto de la solicitud. La carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud recaerá en el Supervisor Europeo de Protección de Datos.

L 295/82 ES Diario Oficial de la Unión Europea 21.11.2018CJ

Artículo 58

Potestades

1. El Supervisor Europeo de Protección de Datos dispondrá de las potestades de investigación indicados a continuación:

a) ordenar al responsable y al encargado del tratamiento que faciliten cualquier información que requiera para el desempeño de sus funciones;

b) llevar a cabo investigaciones en forma de auditorías de protección de datos;

c) notificar al responsable o al encargado del tratamiento las presuntas infracciones del presente Reglamento;

d) obtener del responsable y del encargado del tratamiento el acceso a todos los datos personales y a toda la información necesaria para el ejercicio de sus funciones;

e) obtener el acceso a todos los locales del responsable y del encargado del tratamiento, incluidos cualesquiera equipos y medios de tratamiento de datos, de conformidad con el Derecho de la Unión.

2. El Supervisor Europeo de Protección de Datos dispondrá de las potestades correctivas indicadas a continuación:

a) dirigir a todo responsable o encargado del tratamiento una advertencia cuando las operaciones de tratamiento previstas puedan infringir lo dispuesto en el presente Reglamento;

b) dirigir a todo responsable o encargado del tratamiento un apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento;

c) someter asuntos al responsable o encargado del tratamiento de que se trate y, en su caso, al Parlamento Europeo, al Consejo y a la Comisión;

d) ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del interesado en virtud del presente Reglamento;

e) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado;

f) ordenar al responsable del tratamiento que comunique al interesado las violaciones de la seguridad de los datos personales;

g) imponer una limitación temporal o definitiva del tratamiento, incluida su prohibición;

h) ordenar la rectificación o supresión de datos personales o la limitación de tratamiento con arreglo a los artículos 18, 19 y 20 y la notificación de dichas medidas a los destinatarios a quienes se hayan comunicado datos personales con arreglo al artículo 19, apartado 2, y al artículo 21;

i) imponer una multa administrativa con arreglo al artículo 66, en caso de incumplimiento por parte de una institución u organismo de la Unión de alguna de las medidas mencionadas en las letras (d) a (h) y (j) del presente apartado, en función de las circunstancias de cada caso particular;

j) ordenar la suspensión de los flujos de datos hacia un destinatario situado en un Estado miembro o un tercer país o hacia una organización internacional.

3. El Supervisor Europeo de Protección de Datos dispondrá de las potestades de autorización y consultivos indicados a continuación:

a) asesorar a los interesados en el ejercicio de sus derechos;

b) asesorar al responsable del tratamiento conforme al procedimiento de consulta previa que menciona el artículo 40, y de acuerdo con el artículo 41, apartado 2;

c) emitir, por iniciativa propia o previa solicitud, dictámenes destinados a las instituciones y organismos de la Unión y al público, sobre cualquier asunto relacionado con la protección de los datos personales;

d) adoptar las cláusulas tipo de protección de datos contempladas en el artículo 29, apartado 8, y el artículo 48, apartado 2, letra c);

e) autorizar las cláusulas contractuales indicadas en el artículo 48, apartado 3, letra a);

f) autorizar los acuerdos administrativos contemplados en el artículo 48, apartado 3, letra b);

g) autorizar las operaciones de tratamiento con arreglo a actos de ejecución adoptados de conformidad con el artículo 40, apartado 4.

21.11.2018 ES Diario Oficial de la Unión Europea L 295/83CJ

4. El Supervisor Europeo de Protección de Datos estará facultado para someter un asunto al Tribunal de Justicia en las condiciones previstas en los Tratados e intervenir en los asuntos presentados ante dicho Tribunal.

5. El ejercicio de las potestades conferidas al Supervisor Europeo de Protección de Datos en virtud del presente artículo estará sujeto a las garantías adecuadas, incluida la tutela judicial efectiva y el respeto de las garantías procesales, establecidas en el Derecho de la Unión.

Artículo 59

Obligación de los responsables y encargados del tratamiento de responder a las alegaciones

Cuando el Supervisor Europeo de Protección de Datos ejerza las facultades establecidas en el artículo 58, apartado 2, letras a), b) y c), el responsable del tratamiento o encargado del tratamiento en cuestión le comunicará su opinión en un plazo razonable fijado por el Supervisor Europeo de Protección de Datos, teniendo en cuenta las circunstancias de cada caso. La respuesta comprenderá asimismo una descripción de las medidas adoptadas, en su caso, a raíz de las observaciones del Supervisor Europeo de Protección de Datos.

Artículo 60

Informe de actividad

1. El Supervisor Europeo de Protección de Datos presentará anualmente al Parlamento Europeo, al Consejo y a la Comisión un informe sobre sus actividades, que paralelamente hará público.

2. El Supervisor Europeo de Protección de Datos transmitirá el informe al que se refiere el apartado 1 a las demás instituciones y organismos de la Unión, los cuales podrán presentar comentarios con vistas a un posible examen del informe por parte del Parlamento Europeo.

CAPÍTULO VII

COOPERACIÓN Y COHERENCIA

Artículo 61

Cooperación entre el Supervisor Europeo de Protección de Datos y las autoridades de control nacionales

El Supervisor Europeo de Protección de Datos cooperará con las autoridades de control nacionales y con la Autoridad de Supervisión Común creada por el artículo 25 de la Decisión 2009/917/JAI del Consejo (1) en la medida necesaria para el ejercicio de sus respectivas funciones, en particular intercambiando entre sí información pertinente, se instarán mutuamente a ejercer sus potestades y responderán a las solicitudes del otro.

Artículo 62

Supervisión coordinada del Supervisor Europeo de Protección de Datos y las autoridades de control nacionales

1. Cuando un acto de la Unión haga referencia al presente artículo, el Supervisor Europeo de Protección de Datos y las autoridades de control nacionales, cada uno en el ámbito de sus competencias respectivas, cooperarán de forma activa en el marco de sus responsabilidades a fin de garantizar una supervisión efectiva de los sistemas informáticos a gran escala y de los órganos y organismos de la Unión.

2. En sus respectivos ámbitos de competencia y, en la medida necesaria, actuando cada uno en el marco de sus responsabilidades, intercambiarán la información oportuna, se prestarán mutuamente ayuda en el desarrollo de las auditorías e inspecciones, examinarán las dificultades de interpretación o aplicación del presente Reglamento y de otros actos de la Unión aplicables, estudiarán los problemas que plantee el ejercicio de una supervisión independiente o que surjan en el ejercicio de los derechos de los interesados, elaborarán propuestas armonizadas para aportar soluciones a cualquier problema existente y fomentarán el conocimiento de los derechos relacionados con la protección de dato.

3. A los fines establecidos en el apartado 2, el Supervisor Europeo de Protección de Datos y las autoridades de control nacionales se reunirán al menos dos veces al año en el marco del Comité Europeo de Protección de Datos. A tal fin, el Comité Europeo de Protección de Datos podrá desarrollar nuevos métodos de trabajo en función de las necesidades.

4. Cada dos años el Comité Europeo de Protección de Datos remitirá al Parlamento Europeo, al Consejo y a la Comisión un informe conjunto sobre las actividades relativas a la supervisión coordinada.

L 295/84 ES Diario Oficial de la Unión Europea 21.11.2018

(1) Decisión 2009/917/JAI del Consejo, de 30 de noviembre de 2009, sobre la utilización de la tecnología de la información a efectos aduaneros (DO L 323 de 10.12.2009, p. 20).

CJ

CAPÍTULO VIII

RECURSOS, RESPONSABILIDAD Y SANCIONES

Artículo 63

Derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos

1. Sin perjuicio de los recursos judiciales, administrativos o extrajudiciales, todo interesado tendrá derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos si considera que el tratamiento de sus datos personales infringe el presente Reglamento.

2. El Supervisor Europeo de Protección de Datos informará al reclamante del curso y el resultado de la reclamación, inclusive sobre la posibilidad de acceder a la tutela judicial en virtud del artículo 64.

3. Si el Supervisor Europeo de Protección de Datos no da curso a la reclamación o no informa al interesado en el plazo de tres meses sobre el curso o el resultado de la reclamación, se entenderá que el Supervisor Europeo de Protección de Datos ha adoptado una decisión negativa.

Artículo 64

Derecho a la tutela judicial efectiva

1. El Tribunal de Justicia será competente en todos los litigios relativos a las disposiciones del presente Reglamento, incluidas las acciones de indemnización por daños y perjuicios.

2. Las decisiones del Supervisor Europeo de Protección de Datos, incluidas las decisiones a que se refiere el artículo 63, apartado 3, podrán recurrirse ante el Tribunal de Justicia.

3. El Tribunal de Justicia gozará de competencia jurisdiccional plena para revisar las multas administrativas a que se hace referencia en el artículo 66. Podrá anular, reducir o incrementar el importe de dichas multas, dentro de los límites del artículo 66.

Artículo 65

Derecho a indemnización

Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir de la institución u organismo de la Unión responsable una indemnización por los daños y perjuicios sufridos, con arreglo a las condiciones previstas en los Tratados.

Artículo 66

Multas administrativas

1. El Supervisor Europeo de Protección de Datos podrá imponer multas administrativas a las instituciones y organismos de la Unión, según las circunstancias de cada caso particular, cuando estas incumplan una de sus resoluciones con arreglo a lo dispuesto en el artículo 58, apartado 2, letras d) a h) y j). Al decidir la imposición de una multa administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:

a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido;

b) cualquier medida tomada por la institución u organismo de la Unión para paliar los daños y perjuicios sufridos por los interesados;

c) el grado de responsabilidad de la institución u organismo de la Unión, habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de los artículos 27 y 33;

d) toda infracción anterior similar cometida por la institución u organismo de la Unión;

e) el grado de cooperación con el Supervisor Europeo de Protección de Datos con el fin de poner remedio a la infracción y mitigar sus posibles efectos adversos;

f) las categorías de los datos de carácter personal afectados por la infracción;

g) la forma en que el Supervisor Europeo de Protección de Datos tuvo conocimiento de la infracción, en particular si la institución u organismo de la Unión la notificó y, en tal caso, en qué medida;

21.11.2018 ES Diario Oficial de la Unión Europea L 295/85CJ

h) el cumplimiento de cualquiera de las medidas indicadas en el artículo 58 que hayan sido ordenadas previamente contra la institución u organismo de la Unión de que se trate en relación con el mismo asunto. Los procedimientos que llevan a la imposición de dichas multas se llevarán a cabo en un plazo razonable según las circunstancias de cada caso y teniendo en cuenta las acciones pertinentes y los procedimientos mencionados en el artículo 69.

2. Las infracciones de las obligaciones de la institución u organismo de la Unión en virtud de los artículos 8, 12, 27 a 35, 39, 40, 43, 44 y 45 se sancionarán, de acuerdo con el apartado 1, con multas administrativas de hasta 25 000 EUR como máximo por cada infracción, hasta un total de 250 000 EUR al año.

3. Las infracciones de las disposiciones siguientes por parte de la institución u organismo de la Unión se sancionarán, de acuerdo con el apartado 1, con multas administrativas de hasta 50 000 EUR como máximo por cada infracción, hasta un total de 500 000 EUR al año:

a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 4, 5, 7 y 10;

b) los derechos de los interesados a tenor de los artículos 14 a 24;

c) las transferencias de datos personales a un destinatario en un tercer país o una organización internacional a tenor de los artículos 46 a 50.

4. Si una institución u organismo de la Unión incumpliera, para las mismas operaciones de tratamiento, operaciones vinculadas u operaciones continuas, diversas disposiciones del presente Reglamento o la misma disposición en varias ocasiones, la cuantía total de la multa administrativa no será superior a la cuantía prevista para las infracciones más graves.

5. Antes de tomar ninguna decisión en virtud de este artículo, el Supervisor Europeo de Protección de Datos ofrecerá a la institución u organismo de la Unión sometida al procedimiento instruido por el Supervisor Europeo de Protección de Datos la oportunidad de manifestar su opinión con respecto a los cargos que le sean imputados por este. El Supervisor Europeo de Protección de Datos basará sus decisiones únicamente en las objeciones sobre las que las partes afectadas hayan podido manifestarse. Los denunciantes participarán estrechamente en el procedimiento.

6. Los derechos de defensa de las partes estarán garantizados plenamente en el curso del procedimiento. Tendrán derecho a acceder al expediente del Supervisor Europeo de Protección de Datos, sin perjuicio del interés legítimo de las personas físicas y las empresas en la protección de sus datos personales o secretos comerciales.

7. La recaudación proveniente de la imposición de multas con arreglo al presente artículo pasará a engrosar los ingresos del presupuesto general de la Unión.

Artículo 67

Representación de los interesados

El interesado tendrá derecho a dar mandato a una entidad, organización o asociación sin ánimo de lucro que haya sido correctamente constituida con arreglo al Derecho de la Unión o de un Estado miembro, cuyos objetivos legales sean de interés público y que actúe en el ámbito de la protección de los derechos y libertades de los interesados en materia de protección de sus datos personales, para que presente en su nombre la reclamación ante el Supervisor Europeo de Protección de Datos, y ejerza en su nombre los derechos recogidos en los artículos 63 y 64, y el derecho a ser indemnizado mencionado en el artículo 65.

Artículo 68

Reclamaciones del personal de la Unión

Toda persona empleada por una institución u organismo de la Unión podrá presentar una reclamación ante el Supervisor Europeo de Protección de Datos en caso de presunta infracción de las disposiciones del presente Reglamento, incluso sin necesidad de seguir los conductos oficiales. Nadie habrá de sufrir perjuicio alguno por haber presentado una reclamación ante el Supervisor Europeo de Protección de Datos en la que se denuncie tal infracción.

Artículo 69

Sanciones

En el supuesto de que un funcionario u otro agente de la Unión incumpla, ya sea intencionadamente o por negligencia, las obligaciones establecidas en el presente Reglamento, dicho funcionario u otro agente quedará sujeto a medidas disciplinarias o de otro tipo, de conformidad con las normas y procedimientos establecidos en el Estatuto de los funcionarios.

L 295/86 ES Diario Oficial de la Unión Europea 21.11.2018CJ

CAPÍTULO IX

TRATAMIENTO DE DATOS PERSONALES OPERATIVOS POR LOS ÓRGANOS Y ORGANISMOS DE LA UNIÓN CUANDO LLEVAN A CABO ACTIVIDADES COMPRENDIDAS EN EL ÁMBITO DE APLICACIÓN DE LOS CAPÍTULOS 4 O 5 DEL

TÍTULO V DE LA TERCERA PARTE DEL TFUE

Artículo 70

Ámbito de aplicación del capítulo

El presente capítulo se aplicará exclusivamente al tratamiento de datos personales operativos por los órganos y organismos de la Unión cuando llevan a cabo actividades comprendidas en el ámbito de aplicación de los capítulos 4 o 5 del título V de la tercera parte del TFUE, sin perjuicio de las normas específicas en materia de protección de datos aplicables a dichos órganos u organismos de la Unión.

Artículo 71

Principios relativos al tratamiento de datos personales operativos

1. Los datos personales operativos serán:

a) tratados de manera lícita y leal («licitud y lealtad»);

b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados de forma incompatible con esos fines («limitación de la finalidad»);

c) adecuados, pertinentes y no excesivos en relación con los fines para los que se traten («minimización de los datos»);

d) exactos y, si fuera necesario, actualizados; se tomarán todas las medidas razonables para la supresión o rectificación sin dilación de los datos personales que sean inexactos en relación con los fines para los que son tratados («exactitud»);

e) conservados de una forma que permita la identificación de los interesados durante un período no superior al necesario para los fines para los que son tratados («limitación de la conservación»);

f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).

2. Se permitirá el tratamiento de los datos personales operativos por el mismo responsable del tratamiento o por otro para cualquier fin establecido en el acto jurídico que establezca el órgano u organismo de la Unión, distinto del fin para el que se recojan dichos datos en la medida en que:

a) el responsable del tratamiento esté autorizado a tratar dichos datos personales operativos para ese fin de conformidad con el Derecho de la Unión; y

b) el tratamiento sea necesario y proporcionado para ese otro fin de conformidad con el Derecho de la Unión.

3. El tratamiento por el mismo responsable del tratamiento o por otro podrá incluir el archivo en el interés público, el uso científico, estadístico o histórico para los fines establecidos en el acto jurídico por el que se establezca el órgano u organismo de la Unión, con sujeción a las salvaguardias adecuadas para los derechos y libertades de los interesados.

4. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en los apartados 1, 2 y 3, y capaz de demostrarlo.

Artículo 72

Licitud del tratamiento de datos personales operativos

1. El tratamiento de datos personales operativos será lícito únicamente cuando, y en la medida en que, dicho tratamiento sea necesario para el ejercicio de una función efectuada por órganos y organismos de la Unión cuando llevan a cabo actividades comprendidas en el ámbito de aplicación de los capítulos 4 o 5 del título V de la tercera parte del TFUE y esté basado en el Derecho de la Unión.

21.11.2018 ES Diario Oficial de la Unión Europea L 295/87CJ

2. Los actos jurídicos específicos de la Unión que regulen el tratamiento dentro del ámbito de aplicación del presente capítulo especificarán, como mínimo, los fines del tratamiento y los plazos de conservación de los datos personales operativos o para la revisión periódica de la necesidad de un nuevo almacenamiento de los datos personales operativos.

Artículo 73

Distinción entre diferentes categorías de interesados

Cuando corresponda, y en la medida de lo posible, el responsable del tratamiento hará una distinción clara entre los datos personales operativos de las distintas categorías de interesados, como por ejemplo las categorías mencionadas en los actos jurídicos por los que se establecen los órganos y organismos de la Unión.

Artículo 74

Distinción entre datos personales operativos y verificación de la calidad de los datos personales operativos

1. El responsable del tratamiento distinguirá, en la medida de lo posible, los datos personales operativos basados en hechos de los datos personales operativos basados en evaluaciones personales.

2. El responsable del tratamiento tomará todas las medidas razonables para garantizar que los datos personales operativos que sean inexactos, incompletos o que no estén actualizados no se transmitan ni se pongan a disposición. Para ello, el responsable del tratamiento verificará, en la medida en que sea factible y cuando sea pertinente, la calidad de los datos personales operativos antes de transmitirlos o ponerlos a disposición de terceros, por ejemplo consultando a la autoridad competente de la que proceden los datos. En la medida de lo posible, en todas las transmisiones de datos personales operativos, el responsable del tratamiento añadirá la información necesaria para que el destinatario pueda valorar en qué medida los datos personales operativos son exactos, completos y fiables, y en qué medida están actualizados.

3. Si se observara que se han transmitido datos personales operativos incorrectos o se han transmitido datos personales operativos ilícitamente, el hecho deberá ponerse en conocimiento del destinatario sin dilación. En tal caso, los datos personales operativos de que se trate deberán rectificarse o suprimirse, o su tratamiento deberá limitarse de conformidad con el artículo 82.

Artículo 75

Condiciones específicas de tratamiento

1. Cuando el Derecho de la Unión aplicable al responsable del tratamiento encargado de la transmisión establezca condiciones específicas para el tratamiento, el responsable del tratamiento informará de dichas condiciones y de la exigencia de cumplirlas al destinatario de dichos datos personales operativos.

2. El responsable del tratamiento cumplirá las condiciones específicas de tratamiento establecidas por la autoridad competente para la transmisión de conformidad con el artículo 9, apartados 3 y 4, de la Directiva (UE) 2016/680.

Artículo 76

Tratamiento de categorías especiales de datos personales operativos

1. El tratamiento de datos personales operativos que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, así como el tratamiento de datos genéticos, datos biométricos destinados a identificar de manera unívoca a una persona física, datos personales operativos relativos a la salud o a la vida sexual o las orientaciones sexuales de una persona física solo se permitirá cuando sea estrictamente necesario por razones operativas, dentro del mandato del órgano u organismo de la Unión de que se trate y con sujeción a las salvaguardias adecuadas para los derechos y libertades del interesado. Estará prohibida la discriminación de personas físicas sobre la base de dichos datos.

2. Cuando se invoque el presente artículo se informará sin demora al delegado de protección de datos.

Artículo 77

Mecanismo de decisión individual automatizado, incluida la elaboración de perfiles

1. Estarán prohibidas las decisiones basadas únicamente en un tratamiento automatizado, incluida la elaboración de perfiles, que produzcan efectos jurídicos negativos para el interesado o le afecten significativamente, salvo que estén autorizadas por el Derecho de la Unión a la que esté sujeto el responsable del tratamiento y que establezca medidas adecuadas para salvaguardar los derechos y libertades del interesado, al menos el derecho a obtener la intervención humana por parte del responsable del tratamiento.

L 295/88 ES Diario Oficial de la Unión Europea 21.11.2018CJ

2. Las decisiones a que se refiere el apartado 1 del presente artículo no se basarán en las categorías especiales de datos personales contempladas en el artículo 76, salvo que se hayan tomado las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.

3. La elaboración de perfiles que dé lugar a una discriminación de las personas físicas basándose en las categorías especiales de datos personales establecidas en el artículo 76 quedará prohibida, de conformidad con el Derecho de la Unión.

Artículo 78

Comunicación y modalidades de ejercicio de los derechos de los interesados

1. El responsable del tratamiento adoptará medidas razonables para facilitar al interesado toda la información a que se refiere el artículo 79, así como cualquier comunicación a que se refieren los artículos 80 a 84 y 92 relativa al tratamiento, de forma concisa, inteligible y de fácil acceso, con un lenguaje claro y sencillo. La información será facilitada por cualquier medio adecuado, inclusive por medios electrónicos. Como norma general, el responsable del tratamiento facilitará la información por un medio idéntico al utilizado para la solicitud.

2. El responsable del tratamiento deberá facilitar el ejercicio de los derechos de los interesados con arreglo a lo dispuesto en los artículos 79 a 84.

3. El responsable del tratamiento informará por escrito al interesado, sin dilación indebida, sobre el curso dado a su solicitud y en cualquier caso en un plazo de tres meses a partir de la recepción de la solicitud por el interesado.

4. El responsable del tratamiento dispondrá que la información facilitada con arreglo al artículo 79 y cualquier comunicación efectuada y acción realizada en virtud de los artículos 80 a 84 y 92 a título gratuito. Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable del tratamiento podrá negarse a actuar respecto de la solicitud. El responsable del tratamiento soportará la carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud.

5. Cuando el responsable del tratamiento tenga dudas razonables en relación con la identidad de la persona física que curse la solicitud a que se refieren los artículos 80 u 82 podrá solicitar que se facilite la información complementaria necesaria para confirmar la identidad del interesado.

Artículo 79

Información que debe ponerse a disposición del interesado o que se le debe proporcionar

1. El responsable del tratamiento pondrá a disposición del interesado al menos la siguiente información:

a) la identidad y los datos de contacto del órgano u organismo de la Unión;

b) los datos de contacto del delegado de protección de datos;

c) los fines del tratamiento a que se destinen los datos personales operativos;

d) el derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos y los datos de contacto de este;

e) la existencia del derecho a solicitar del responsable el acceso a los datos personales operativos relativos al interesado, y su rectificación o su supresión, o la limitación de su tratamiento.

2. Además de la información indicada en el apartado 1, el responsable del tratamiento proporcionará al interesado, en los casos específicos previstos en el Derecho de la Unión, la siguiente información adicional, a fin de permitir el ejercicio de sus derechos:

a) la base jurídica del tratamiento;

b) el plazo durante el cual se conservarán los datos personales operativos o, cuando esto no sea posible, los criterios utilizados para determinar ese plazo;

c) cuando corresponda, las categorías de destinatarios de los datos personales operativos, en particular en terceros países u organizaciones internacionales;

d) cuando sea necesario, más información, en particular cuando los datos personales operativos se hayan recogido sin conocimiento del interesado.

21.11.2018 ES Diario Oficial de la Unión Europea L 295/89CJ

3. El responsable del tratamiento podrá retrasar, limitar u omitir la puesta a disposición del interesado de la información en virtud del apartado 2 siempre y cuando una medida de esa naturaleza constituya una medida necesaria y proporcionada en una sociedad democrática, teniendo debidamente en cuenta los derechos fundamentales y los intereses legítimos de la persona física afectada, para:

a) evitar que se obstaculicen indagaciones, investigaciones o procedimientos de índole oficial o legal;

b) evitar que se cause perjuicio a la prevención, detección, investigación o enjuiciamiento de infracciones penales o a la ejecución de sanciones penales;

c) proteger la seguridad pública de los Estados miembros;

d) proteger la seguridad nacional de los Estados miembros;

e) proteger los derechos y libertades de otras personas, como las víctimas o los testigos.

Artículo 80

Derecho de acceso del interesado

El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, tendrá derecho a acceder a los datos personales operativos y a la información siguiente:

a) los fines y la base jurídica del tratamiento;

b) las categorías de datos personales operativos de que se trate;

c) los destinatarios o las categorías de destinatarios a quienes hayan sido comunicados los datos personales operativos, en particular los destinatarios de terceros países u organizaciones internacionales;

d) de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo;

e) la existencia del derecho a solicitar del responsable del tratamiento la rectificación o supresión de los datos personales operativos relativos al interesado, o la limitación de su tratamiento;

f) el derecho a presentar una reclamación ante el Supervisor Europeo de Protección de Datos y sus datos de contacto;

g) la comunicación de los datos personales operativos objeto de tratamiento, así como cualquier información disponible sobre su origen.

Artículo 81

Limitaciones al derecho de acceso

1. El responsable del tratamiento podrá restringir, total o parcialmente, el derecho de acceso del interesado siempre y cuando dicha restricción parcial o completa constituya una medida necesaria y proporcionada en una sociedad democrática, teniendo debidamente en cuenta los derechos fundamentales y los intereses legítimos de la persona física afectada, para:

a) evitar que se obstaculicen indagaciones, investigaciones o procedimientos de índole oficial o legal;

b) evitar que se cause perjuicio a la prevención, detección, investigación o enjuiciamiento de infracciones penales o a la ejecución de sanciones penales;

c) proteger la seguridad pública de los Estados miembros;

d) proteger la seguridad nacional de los Estados miembros;

e) proteger los derechos y libertades de otras personas, como por ejemplo víctimas y testigos.

2. En los casos contemplados en el apartado 1, el responsable del tratamiento informará por escrito al interesado, sin demora injustificada, de cualquier denegación o limitación de acceso, y de las razones de la denegación o de la limitación. Esta información podrá omitirse cuando el suministro de dicha información pueda comprometer uno de los fines contemplados en el apartado 1. El responsable del tratamiento informará al interesado de la posibilidad de presentar una reclamación ante el Supervisor Europeo de Protección de Datos o de interponer recurso judicial ante el Tribunal de Justicia. El responsable del tratamiento documentará los fundamentos de hecho o de Derecho en los que se basa la decisión. Esta información se pondrá a disposición del Supervisor Europeo de Protección de Datos previa solicitud.

L 295/90 ES Diario Oficial de la Unión Europea 21.11.2018CJ

Artículo 82

Derecho de rectificación o supresión de datos personales operativos y limitación de su tratamiento

1. El interesado tendrá derecho a obtener del responsable del tratamiento, sin dilación indebida, la rectificación de los datos personales operativos inexactos que le conciernan. Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional.

2. El responsable del tratamiento suprimirá los datos personales operativos sin dilación indebida, y el interesado tendrá derecho a obtener de él, sin dilación indebida, la supresión de los datos personales operativos que le conciernan cuando el tratamiento infrinja el artículo 71, el artículo 72, apartado 1, o el artículo 76, o cuando los datos personales operativos se supriman para dar cumplimiento a una obligación legal a la que esté sujeta al responsable del tratamiento.

3. En lugar de proceder a la supresión, el responsable del tratamiento limitará el tratamiento de los datos personales cuando:

a) el interesado ponga en duda la exactitud de los datos personales y no pueda determinarse su exactitud o inexactitud; o

b) los datos personales hayan de conservarse a efectos probatorios.

Cuando el tratamiento esté limitado en virtud del párrafo primero, letra a), el responsable del tratamiento informará al interesado antes de levantar la limitación del tratamiento.

Los datos objeto de una limitación solo se tratarán para los fines que impidieron su supresión.

4. El responsable del tratamiento informará al interesado por escrito de cualquier denegación de rectificación o supresión de los datos personales operativos o de la limitación de su tratamiento, y de los motivos de la denegación. El responsable del tratamiento podrá limitar, total o parcialmente, la comunicación de tal información, siempre y cuando dicha limitación constituya una medida necesaria y proporcionada en una sociedad democrática, teniendo debidamente en cuenta los derechos fundamentales y los intereses legítimos de la persona física afectada, para:

a) evitar que se obstaculicen indagaciones, investigaciones o procedimientos de índole oficial o legal;

b) evitar que se cause perjuicio a la prevención, investigación, detección o enjuiciamiento de infracciones penales o a la ejecución de sanciones penales;

c) proteger la seguridad pública de los Estados miembros;

d) proteger la seguridad nacional de los Estados miembros;

e) proteger los derechos y libertades de otras personas, como las víctimas o los testigos.

El responsable del tratamiento informará al interesado de la posibilidad de presentar una reclamación ante el Supervisor Europeo de Protección de Datos o de interponer recurso judicial ante el Tribunal de Justicia.

5. El responsable del tratamiento comunicará la rectificación de los datos personales operativos inexactos a la autoridad competente de la que procedan los datos personales operativos inexactos.

6. Cuando los datos personales operativos hayan sido rectificados o suprimidos o el tratamiento haya sido limitado en virtud de los apartados 1, 2 o 3, el responsable del tratamiento lo notificará a los destinatarios y les informará de su obligación de rectificar o suprimir los datos personales operativos que estén bajo su responsabilidad o de limitar su tratamiento.

Artículo 83

Derecho de acceso en las investigaciones y los procesos penales

Cuando los datos personales operativos procedan de una autoridad competente, los órganos y organismos de la Unión, antes de decidir sobre el derecho de acceso del interesado verificarán, junto con la autoridad competente interesada, si dichos datos personales figuran en una resolución judicial o en un registro o expediente tramitado en el curso de investigaciones y procesos penales en el Estado miembro de dicha autoridad competente. De ser el caso, se tomará una decisión sobre el derecho de acceso en consulta y estrecha cooperación con la autoridad competente de que se trate.

21.11.2018 ES Diario Oficial de la Unión Europea L 295/91CJ

Artículo 84

Ejercicio de los derechos del interesado y comprobación por el Supervisor Europeo de Protección de Datos

1. En los casos a que se refieren el artículo 79, apartado 3, el artículo 81 y el artículo 82, apartado 4, los derechos del interesado también podrán ejercerse a través del Supervisor Europeo de Protección de Datos.

2. El responsable del tratamiento informará al interesado de la posibilidad de ejercer sus derechos a través del Supervisor Europeo de Protección de Datos con arreglo al apartado 1.

3. Cuando se ejerza el derecho a que se refiere el apartado 1, el Supervisor Europeo de Protección de Datos informará al interesado, al menos, de que ha efectuado todas las verificaciones necesarias o la revisión correspondiente. El Supervisor Europeo de Protección de Datos también informará al interesado de su derecho a interponer recurso ante el Tribunal de Justicia.

Artículo 85

Protección de datos desde el diseño y por defecto

1. El responsable del tratamiento, teniendo en cuenta los últimos adelantos de la técnica, el coste de la aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas planteados por el tratamiento, aplicará tanto en el momento de determinar los medios para el tratamiento como en el momento del propio tratamiento, las medidas técnicas y organizativas apropiadas, como por ejemplo la seudonimización, concebidas para aplicar los principios de protección de datos, como por ejemplo la minimización de datos, de forma efectiva y para integrar las garantías necesarias en el tratamiento, de tal manera que este cumpla los requisitos del presente Reglamento y del acto jurídico que lo establece, y se protejan los derechos de los interesados.

2. El responsable del tratamiento aplicará las medidas técnicas y organizativas adecuadas para garantizar que, por defecto, solo sean objeto de tratamiento los datos personales operativos que sean adecuados, pertinentes y no excesivos en relación con los fines de su tratamiento. Esta obligación se aplicará a la cantidad de datos personales operativos recogidos, a la extensión de su tratamiento, a su período de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.

Artículo 86

Corresponsables del tratamiento

1. Cuando dos o más responsables del tratamiento o uno o más responsables junto con otro u otros responsables distintos de las instituciones y organismos de la Unión determinen conjuntamente los objetivos y medios del tratamiento, serán considerados corresponsables del tratamiento. Los corresponsables del tratamiento determinarán de modo transparente sus responsabilidades respectivas en el cumplimiento de sus obligaciones en materia de protección de datos, en particular en cuanto al ejercicio de los derechos del interesado y a sus respectivas obligaciones de facilitar la información a que se refiere el artículo 79, mediante un acuerdo entre ellos, salvo que, y en la medida en que, sus responsabilidades respectivas se rijan por el Derecho de la Unión o de los Estados miembros que les sea aplicable. Dicho acuerdo podrá designar un punto de contacto para los interesados.

2. El acuerdo mencionado en el apartado 1 reflejará debidamente las funciones y relaciones respectivas que los corresponsables del tratamiento tengan respecto del interesado. Se pondrán a disposición del interesado los aspectos esenciales del acuerdo.

3. Independientemente de los términos del acuerdo mencionado en el apartado 1, los interesados podrán ejercer los derechos que les reconoce el presente Reglamento con respecto a cada uno de los responsables del tratamiento y frente a ellos.

Artículo 87

Encargado del tratamiento

1. Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y el acto jurídico por el que se establece el responsable del tratamiento y garantice la protección de los derechos del interesado.

2. El encargado del tratamiento no recurrirá a otro encargado sin la autorización previa por escrito, específica o general, del responsable del tratamiento. En el caso de autorización escrita general, el encargado informará al responsable de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dando así al responsable la oportunidad de oponerse a dichos cambios.

L 295/92 ES Diario Oficial de la Unión Europea 21.11.2018CJ

3. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o con arreglo al Derecho de un Estado miembro que vincule al encargado respecto del responsable y fije el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales operativos y las categorías de interesados, y las obligaciones y derechos del responsable. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:

a) actúe únicamente siguiendo las instrucciones del responsable;

b) garantice que las personas autorizadas para tratar datos personales operativos se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación legal de confidencialidad;

c) asista al responsable por cualquier medio adecuado para garantizar el cumplimiento de las disposiciones sobre los derechos del interesado;

d) a elección del responsable, suprima o devuelva a este todos los datos personales operativos una vez finalice la prestación de los servicios de tratamiento, y suprima las copias existentes a menos que se requiera la conservación de los datos personales operativos en virtud del Derecho de la Unión o de un Estado miembro;

e) ponga a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo;

f) respete los requisitos exigidos en el apartado 2 y en el presente apartado para contratar a otro encargado del tratamiento;

4. El contrato u otro acto jurídico a que se refiere el apartado 3 se establecerá por escrito, inclusive en formato electrónico.

5. Si, al determinar los fines y medios del tratamiento, un encargado del tratamiento infringe el presente Reglamento o el acto jurídico por el que se establece el responsable del tratamiento, el encargado será considerado responsable del tratamiento con respecto a ese tratamiento.

Artículo 88

Registro de operaciones

1. El responsable del tratamiento conservará registros de cada una de las operaciones de tratamiento siguientes en sistemas de tratamiento automatizados: recogida, alteración, acceso, consulta, comunicación, incluidas las transferencias, combinación y supresión de datos personales operativos. Los registros de operaciones de consulta y comunicación harán posible determinar la justificación, así como la fecha y la hora, de tales operaciones y el nombre de la persona que consultó o comunicó datos personales operativos, así como, en la medida de lo posible, la identidad de los destinatarios de dichos datos personales operativos.

2. Dichos registros se utilizarán únicamente a efectos de verificar la licitud del tratamiento, de autocontrol, de garantizar la integridad y la seguridad de los datos personales operativos y en el ámbito de los procesos penales. Los registros se eliminarán transcurridos tres años, a menos que sean necesarios para efectuar un control continuo.

3. El responsable del tratamiento pondrá los registros a disposición del correspondiente delegado de protección de datos y del Supervisor Europeo de Protección de Datos previa petición.

Artículo 89

Evaluación de impacto relativa a la protección de datos

1. Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, suponga un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento llevará a cabo, de forma previa, una evaluación de impacto de las operaciones de tratamiento previstas en la protección de datos personales operativos.

2. La evaluación mencionada en el apartado 1 incluirá, como mínimo, una descripción general de las operaciones de tratamiento previstas, una evaluación de los riesgos para los derechos y libertades de los interesados, las medidas contempladas para hacer frente a estos riesgos, y las garantías, medidas de seguridad y mecanismos destinados a garantizar la protección de los datos personales operativos y a demostrar la conformidad con las normas en materia de protección de datos, teniendo en cuenta los derechos e intereses legítimos de los interesados y las demás personas afectadas.

21.11.2018 ES Diario Oficial de la Unión Europea L 295/93CJ

Artículo 90

Consulta previa al Supervisor Europeo de Protección de Datos

1. El responsable del tratamiento consultará al Supervisor Europeo de Protección de Datos antes de un tratamiento que vaya a formar parte de un nuevo sistema de archivo que haya de crearse, cuando:

a) la evaluación del impacto en la protección de los datos que dispone el artículo 89 indique que el tratamiento entrañaría un alto riesgo a falta de medidas adoptadas por el responsable del tratamiento para mitigar el riesgo; o

b) el tipo de tratamiento, en particular cuando se usen tecnologías, mecanismos o procedimientos nuevos, constituya un alto riesgo para los derechos y las libertades de los interesados.

2. El Supervisor Europeo de Protección de Datos podrá establecer una lista de las operaciones de tratamiento que están sujetas a consulta previa con arreglo a lo dispuesto en el apartado 1.

3. El responsable del tratamiento facilitará al Supervisor Europeo de Protección de Datos la evaluación de impacto relativa a la protección de datos a que se refiere el artículo 89 y, previa solicitud, cualquier información adicional que permita al Supervisor Europeo de Protección de Datos evaluar la conformidad del tratamiento y, en particular, los riesgos para la protección de los datos personales operativos del interesado y las garantías correspondientes.

4. En los casos en que el Supervisor Europeo de Protección de Datos considere que el tratamiento previsto a que se refiere el apartado 1 contraviene lo dispuesto en el presente Reglamento o el acto jurídico por el que se establece el órgano u organismo de la Unión, especialmente en caso de que la este último tenga insuficientemente identificados o atenuados los riesgos, el Supervisor Europeo de Protección de Datos deberá proporcionar asesoramiento escrito al responsable del tratamiento, en un plazo máximo de seis semanas a partir de la recepción de la solicitud de consulta. Este plazo podrá prorrogarse un mes, en función de la complejidad del tratamiento previsto. El Supervisor Europeo de Protección de Datos informará al responsable del tratamiento de tal prórroga en el plazo de un mes a partir de la recepción de la solicitud de consulta, junto con los motivos de la dilación.

Artículo 91

Seguridad del tratamiento de datos personales operativos

1. El responsable del tratamiento y el encargado del tratamiento, teniendo en cuenta los últimos adelantos de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como la probabilidad y gravedad de los distintos riesgos que plantee el tratamiento para los derechos y libertades de las personas físicas, aplicarán las medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad que corresponda según los riesgos, en particular en lo que se refiere al tratamiento de categorías especiales de datos personales operativos.

2. En relación con el tratamiento automatizado, el responsable del tratamiento y el encargado del tratamiento, tras una evaluación de los riesgos, aplicarán medidas destinadas a:

a) denegar a personas no autorizadas el acceso a los equipamientos utilizados para el tratamiento de los datos («control de acceso a los equipamientos»);

b) impedir que los soportes de datos puedan ser leídos, copiados, modificados o cancelados sin autorización («control de los soportes de datos»);

c) impedir la introducción no autorizada de datos personales operativos y la inspección, modificación o supresión no autorizadas de datos personales operativos conservados («control de la conservación»);

d) impedir que los sistemas de tratamiento automatizado puedan ser utilizados por personas no autorizadas por medio de instalaciones de comunicación de datos («control de los usuarios»);

e) garantizar que las personas autorizadas a utilizar un sistema de tratamiento automatizado solo puedan tener acceso a los datos personales operativos para los que han sido autorizadas («control del acceso a los datos»);

f) garantizar que sea posible verificar y establecer a qué organismos se han transmitido o pueden transmitirse o a disposición de qué organismos pueden ponerse los datos personales operativos mediante la comunicación de datos («control de la transmisión»);

g) garantizar que pueda verificarse y comprobarse a posteriori qué datos personales operativos se han introducido en los sistemas de tratamiento automatizado de datos y en qué momento y por qué persona han sido introducidos («control de la introducción»);

L 295/94 ES Diario Oficial de la Unión Europea 21.11.2018CJ

h) impedir que, en el momento de la transmisión de datos personales operativos o durante el transporte de soportes de datos, los datos personales operativos puedan ser leídos, copiados, modificados o suprimidos sin autorización («control del transporte»);

i) garantizar que los sistemas instalados puedan restablecerse en caso de interrupción («restablecimiento»);

j) garantizar que las funciones del sistema no presenten defectos, que los errores de funcionamiento sean señalados («fiabilidad») y que los datos personales operativos almacenados no se degraden por fallos de funcionamiento del sistema («integridad»).

Artículo 92

Notificación al Supervisor Europeo de Protección de Datos de una violación de la seguridad de datos personales

1. En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará al Supervisor Europeo de Protección de Datos sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación al Supervisor Europeo de Protección de Datos no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.

2. La notificación del apartado 1 deberá, como mínimo:

a) describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales operativos afectados;

b) comunicar el nombre y los datos de contacto del delegado de protección de datos;

c) describir las posibles consecuencias de la violación de la seguridad de los datos personales;

d) describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

3. Si no fuera posible, o en la medida en que no sea posible, facilitar simultáneamente la información mencionada en el apartado 2, se podrá facilitar la información por etapas sin otra dilación indebida.

4. El responsable del tratamiento documentará cualquier violación de la seguridad de datos personales a que se hace referencia en el apartado 1, incluidos los hechos relativos a dicha violación, sus efectos y las medidas correctivas adoptadas. Dicha documentación permitirá al Supervisor Europeo de Protección de Datos verificar el cumplimiento de lo dispuesto en el presente artículo.

5. Cuando la violación de los datos personales operativos tenga que ver con datos que hayan sido transmitidos por o a las autoridades competentes, el responsable del tratamiento comunicará la información a que se refiere el apartado 2 a las autoridades competentes de que se trate sin dilación indebida.

Artículo 93

Comunicación de una violación de la seguridad de los datos personales al interesado

1. Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida.

2. La comunicación al interesado indicada en el apartado 1 del presente artículo describirá con un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y contendrá, al menos, la información y las recomendaciones a que se hace referencia en el artículo 92, apartado 2, letras b), c) y d).

3. La comunicación al interesado a que se refiere el apartado 1 no será necesaria si se cumple alguna de las condiciones siguientes:

a) el responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales operativos afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales operativos para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado;

21.11.2018 ES Diario Oficial de la Unión Europea L 295/95CJ

b) el responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado a que se refiere el apartado 1;

c) suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados.

4. Cuando el responsable del tratamiento todavía no haya comunicado al interesado la violación de la seguridad de los datos personales, el Supervisor Europeo de Protección de Datos, una vez considerada la probabilidad de que tal violación entrañe un alto riesgo, podrá exigirle que lo haga o podrá decidir que se cumple alguna de las condiciones mencionadas en el apartado 3.

5. La comunicación al interesado a que se hace referencia en el apartado 1 del presente artículo podrá aplazarse, limitarse u omitirse con sujeción a las condiciones y por los motivos que se indican en el artículo 79, apartado 3.

Artículo 94

Transferencia de datos personales operativos a terceros países y organizaciones internacionales

1. Conforme a las limitaciones y condiciones establecidas en los actos jurídicos por los que se establecen los órganos u organismos de la Unión, el responsable del tratamiento podrá transferir datos personales operativos a una autoridad de un tercer país o a una organización internacional en la medida en que esa transferencia sea necesaria para el desempeño de las tareas del responsable del tratamiento, y únicamente cuando se cumplan las condiciones establecidas en el presente artículo, en particular:

a) la Comisión haya adoptado una decisión de adecuación con arreglo al artículo 36, apartado 3, de la Directiva (UE) 2016/ 680, que acredite que el tercer país o un territorio o un sector de tratamiento de datos de ese tercer país, o la organización internacional de que se trate, garantizan un nivel de protección adecuado;

b) a falta de una decisión de la Comisión sobre la adecuación con arreglo a la letra a), la Comisión haya celebrado un acuerdo internacional entre la Unión y ese tercer país u organización internacional con arreglo al artículo 218 del TFUE que ofrezca garantías adecuadas con respecto a la protección de la intimidad y los derechos y libertades fundamentales de las personas físicas;

c) a falta de una decisión de la Comisión sobre la adecuación con arreglo a la letra a), o de un acuerdo internacional con arreglo a la letra b), se haya celebrado un acuerdo de cooperación que permita el intercambio de datos personales operativos antes de la fecha de aplicación del respectivo acto jurídico por el que se establece el órgano u organismo de la Unión de que se trate, entre ese órgano u organismo de la Unión y el tercer país en cuestión.

2. Los actos jurídicos por los que se establecen los órganos y organismos de la Unión podrán mantener o introducir disposiciones más específicas sobre las condiciones para las transferencias internacionales de datos personales operativos, en particular sobre las transferencias mediante salvaguardias y excepciones adecuadas para situaciones específicas.

3. El responsable del tratamiento publicará en su sitio web y mantendrá al día la lista de decisiones de adecuación a que se refiere el apartado 1, letra a), y de acuerdos, convenios administrativos y otros instrumentos relacionados con la transferencia de datos personales operativos de conformidad con el apartado 1.

4. El responsable del tratamiento llevará un registro pormenorizado de todas las transferencias realizadas de conformidad con el presente artículo.

Artículo 95

Confidencialidad de las medidas de investigación judicial y del proceso penal

Los actos jurídicos por los que se establecen los órganos u organismos de la Unión que lleven a cabo actividades comprendidas en el ámbito de aplicación de los capítulos 4 o 5 del título V de la tercera parte del TFUE podrán obligar al Supervisor Europeo de Protección de Datos, en el ejercicio de sus competencias de control, a tener lo más en cuenta posible la confidencialidad de las medidas de investigación judicial y del proceso penal, de conformidad con el Derecho de la Unión o de los Estados miembros.

L 295/96 ES Diario Oficial de la Unión Europea 21.11.2018CJ

CAPÍTULO X

ACTOS DE EJECUCIÓN

Artículo 96

Procedimiento de comité

1. La Comisión estará asistida por el comité establecido por el artículo 93 del Reglamento (UE) 2016/679. Dicho comité será un comité en el sentido del Reglamento (UE) n.o 182/2011.

2. En los casos en que se haga referencia al presente apartado, se aplicará el artículo 5 del Reglamento (UE) n.o 182/ 2011.

CAPÍTULO XI

REVISIÓN

Artículo 97

Cláusula de revisión

A más tardar el 30 de abril de 2022, y posteriormente cada cinco años, la Comisión presentará al Parlamento Europeo y al Consejo un informe sobre la aplicación del presente Reglamento, acompañado, en su caso, de las propuestas legislativas oportunas.

Artículo 98

Revisión de actos jurídicos de la Unión

1. A más tardar el 30 de abril de 2022, la Comisión revisará los actos jurídicos adoptados sobre la base de los Tratados que regulan el tratamiento de datos personales operativos por parte de órganos u organismos de la Unión cuando llevan a cabo actividades comprendidas en el ámbito de aplicación de los capítulos 4 o 5 del título V de la tercera parte del TFUE, con el fin de:

a) evaluar su coherencia con la Directiva (UE) 2016/680 y el capítulo IX del presente Reglamento;

b) detectar las divergencias que puedan dificultar el intercambio de datos personales operativos entre los órganos u organismos de la Unión cuando llevan a cabo actividades en esos ámbitos y las autoridades competentes; y

c) detectar las divergencias que puedan dar lugar a una fragmentación jurídica de la legislación en materia de protección de datos en la Unión.

2. Sobre la base de la revisión, y a fin de garantizar la protección uniforme y coherente de las personas físicas en relación con el tratamiento, la Comisión podrá presentar propuestas legislativas oportunas, en particular a efectos la aplicación del capítulo IX del presente Reglamento a Europol y a la Fiscalía Europea, incluyendo adaptaciones del capítulo IX del presente Reglamento, de ser necesario.

CAPÍTULO XII

DISPOSICIONES FINALES

Artículo 99

Derogación del Reglamento (CE) n.o 45/2001 y de la Decisión n.o 1247/2002/CE

Quedan derogados, con efectos a partir del 11 de diciembre de 2018, el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE. Las referencias al Reglamento y a la Decisión derogados se entenderán hechas al presente Reglamento.

Artículo 100

Medidas transitorias

1. La Decisión 2014/886/UE del Parlamento Europeo y del Consejo (1) y los actuales mandatos del Supervisor Europeo de Protección de Datos y el Supervisor Adjunto no se verán afectados por el presente Reglamento.

21.11.2018 ES Diario Oficial de la Unión Europea L 295/97

(1) Decisión 2014/886/UE del Parlamento Europeo y del Consejo, de 4 de diciembre de 2014, por la que se nombra al Supervisor Europeo de Protección de Datos y al Supervisor Adjunto (DO L 351 de 9.12.2014, p. 9).

CJ

2. El Supervisor Adjunto recibirá la misma consideración que el secretario del Tribunal de Justicia en cuanto a la determinación de su salario, asignaciones, pensión de jubilación y demás ventajas de carácter retributivo.

3. El artículo 53, apartados 4, 5 y 7, y los artículos 55 y 56 del presente Reglamento se aplicarán al actual Supervisor Adjunto hasta el final de su mandato.

4. El Supervisor Adjunto asistirá al Supervisor Europeo de Protección de Datos en el cumplimiento de las funciones de este último y le sustituirá en caso de ausencia o impedimento hasta el final del mandato del actual Supervisor Adjunto.

Artículo 101

Entrada en vigor y aplicación

1. El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

2. No obstante, el presente Reglamento se aplicará al tratamiento de datos personales por parte de Eurojust a partir del 12 de diciembre de 2019.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Estrasburgo, el 23 de octubre de 2018.

Por el Parlamento Europeo

El Presidente

A. TAJANI

Por el Consejo

La Presidenta

K. EDTSTADLER

L 295/98 ES Diario Oficial de la Unión Europea 21.11.2018CJ

 Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n° 45/2001 et la décision n° 1247/2002/CETexte présentant de l'intérêt pour l'EEE.

RÈGLEMENT (UE) 2018/1725 DU PARLEMENT EUROPÉEN ET DU CONSEIL

du 23 octobre 2018

relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces

données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE

(Texte présentant de l’intérêt pour l’EEE)

LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L’UNION EUROPÉENNE,

vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 16, paragraphe 2,

vu la proposition de la Commission européenne,

après transmission du projet d’acte législatif aux parlements nationaux,

vu l’avis du Comité économique et social européen (1),

statuant conformément à la procédure législative ordinaire (2),

considérant ce qui suit:

(1) La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental. L’article 8, paragraphe 1, de la Charte des droits fondamentaux de l’Union européenne (ci-après dénommée «Charte») et l’article 16, paragraphe 1, du traité sur le fonctionnement de l’Union européenne disposent que toute personne a droit à la protection des données à caractère personnel la concernant. Ce droit est également garanti par l’article 8 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales.

(2) Le règlement (CE) no 45/2001 du Parlement européen et du Conseil (3) donne aux personnes physiques des droits juridiquement protégés, définit les obligations des responsables du traitement au sein des institutions et organes communautaires en matière de traitement des données et crée une autorité de contrôle indépendante, le Contrôleur européen de la protection des données, responsable de la surveillance des traitements de données à caractère personnel effectués par les institutions et organes de l’Union. Il ne s’applique toutefois pas au traitement des données à caractère personnel dans le cadre des activités des institutions et organes de l’Union qui ne relèvent pas du droit de l’Union.

(3) Le règlement (UE) 2016/679 du Parlement européen et du Conseil (4) et la directive (UE) 2016/680 du Parlement européen et du Conseil (5) ont été adoptés le 27 avril 2016. Alors que le règlement définit des règles générales visant à protéger les personnes physiques à l’égard du traitement des données à caractère personnel et à garantir la libre circulation de ces données dans l’Union, la directive définit les règles spécifiques visant à protéger les personnes physiques à l’égard du traitement des données à caractère personnel et à garantir la libre circulation de ces données dans l’Union dans le domaine de la coopération judiciaire en matière pénale et de la coopération policière.

(4) Le règlement (UE) 2016/679 apporte les adaptations nécessaires au règlement (CE) no 45/2001 en vue de garantir un cadre de protection des données solide et cohérent dans l’Union et permettre que celui-ci s’applique en parallèle avec le règlement (UE) 2016/679.

(5) Il est dans l’intérêt d’une approche cohérente de la protection des données à caractère personnel dans l’ensemble de l’Union, et de la libre circulation des données à caractère personnel au sein de l’Union, d’aligner autant que possible les règles en matière de protection des données pour les institutions, organes et organismes de l’Union sur les règles en matière de protection des données adoptées pour le secteur public dans les États membres. Chaque fois que les dispositions du présent règlement suivent les mêmes principes que les dispositions du règlement (UE) 2016/679, ces

21.11.2018 FR Journal officiel de l'Union européenne L 295/39

(1) JO C 288 du 31.8.2017, p. 107. (2) Position du Parlement européen du 13 septembre 2018 (non encore parue au Journal officiel) et décision du Conseil du 11 octobre

2018. (3) Règlement (CE) no 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes

physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO L 8 du 12.1.2001, p. 1).

(4) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).

(5) Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO L 119 du 4.5.2016, p. 89).

deux ensembles de dispositions devraient, conformément à la jurisprudence de la Cour de justice de l’Union européenne (ci-après dénommée «Cour»), être interprétées de manière homogène, notamment en raison du fait que le régime du présent règlement devrait être compris comme étant équivalent au régime du règlement (UE) 2016/679.

(6) Les personnes dont les données à caractère personnel sont traitées par les institutions et organes de l’Union dans quelque contexte que ce soit, par exemple parce qu’elles sont employées par ces institutions et organes, devraient être protégées. Le présent règlement ne devrait pas s’appliquer au traitement des données à caractère personnel des personnes décédées. Le présent règlement ne couvre pas le traitement des données à caractère personnel qui concerne les personnes morales, et en particulier les entreprises dotées de la personnalité juridique, y compris le nom, la forme juridique et les coordonnées de la personne morale.

(7) Afin d’éviter de créer un risque grave de contournement, la protection des personnes physiques devrait être neutre sur le plan technologique et ne devrait pas dépendre des techniques utilisées.

(8) Le présent règlement devrait s’appliquer au traitement des données à caractère personnel par l’ensemble des institutions, organes et organismes de l’Union. Il devrait s’appliquer au traitement des données à caractère personnel automatisé en tout ou en partie et au traitement non automatisé des données à caractère personnel contenues ou appelées à figurer dans un fichier. Les dossiers ou ensembles de dossiers, de même que leurs couvertures, qui ne sont pas structurés selon des critères déterminés ne devraient pas relever du champ d’application du présent règlement.

(9) Dans la déclaration no 21 sur la protection des données à caractère personnel dans le domaine de la coopération judiciaire en matière pénale et de la coopération policière, annexée à l’acte final de la Conférence intergouvernementale qui a adopté le traité de Lisbonne, la conférence a reconnu que des règles spécifiques sur la protection des données à caractère personnel et sur la libre circulation des données à caractère personnel dans les domaines de la coopération judiciaire en matière pénale et de la coopération policière se basant sur l’article 16 du traité sur le fonctionnement de l’Union européenne pourraient s’avérer nécessaires en raison de la nature spécifique de ces domaines. Un chapitre distinct du présent règlement, contenant des règles générales, devrait donc s’appliquer au traitement des données opérationnelles à caractère personnel, telles que les données à caractère personnel traitées à des fins d’enquête pénale par les organes ou organismes de l’Union lorsqu’ils exercent des activités dans les domaines de la coopération judiciaire en matière pénale et de la coopération policière.

(10) La directive (UE) 2016/680 fixe des règles harmonisées pour la protection et la libre circulation des données à caractère personnel traitées à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. Afin d’assurer le même niveau de protection pour les personnes physiques à l’aide de droits opposables dans l’ensemble de l’Union et d’éviter que des divergences n’entravent les échanges de données à caractère personnel entre les organes ou organismes de l’Union lorsqu’ils exercent des activités relevant du champ d’application de la troisième partie, titre V, chapitre 4 ou 5, du traité sur le fonctionnement de l’Union européenne et les autorités compétentes, les règles pour la protection et la libre circulation des données opérationnelles à caractère personnel traitées par lesdits organes ou organismes de l’Union devraient être conformes à la directive (UE) 2016/680.

(11) Les règles générales du chapitre du présent règlement sur le traitement des données opérationnelles à caractère personnel devraient s’appliquer sans préjudice des règles spécifiques applicables au traitement des données opérationnelles à caractère personnel par les organes et organismes de l’Union lorsqu’ils exercent des activités relevant du champ d’application de la troisième partie, titre V, chapitre 4 ou 5, du traité sur le fonctionnement de l’Union européenne. Ces règles spécifiques devraient être considérées comme une lex specialis par rapport aux dispositions du chapitre du présent règlement sur le traitement des données opérationnelles à caractère personnel (lex specialis derogat legi generali). Afin de réduire la fragmentation juridique, les règles spécifiques en matière de protection des données applicables au traitement des données opérationnelles à caractère personnel par les organes ou organismes de l’Union lorsqu’ils exercent des activités relevant du champ d’application de la troisième partie, titre V, chapitre 4 ou 5, du traité sur le fonctionnement de l’Union européenne devraient être conformes aux principes qui sous-tendent le chapitre du présent règlement sur le traitement des données opérationnelles à caractère personnel, ainsi qu’aux dispositions du présent règlement relatives à un contrôle indépendant, aux voies de recours, à la responsabilité et aux sanctions.

(12) Le chapitre du présent règlement sur le traitement des données opérationnelles à caractère personnel devrait s’appliquer aux organes et organismes de l’Union lorsqu’ils exercent, que ce soit à titre principal ou accessoire, des activités relevant du champ d’application de la troisième partie, titre V, chapitre 4 ou 5, du traité sur le fonctionnement de l’Union européenne, à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière. Cependant, il ne devrait s’appliquer à Europol ou au Parquet européen qu’une fois que les actes juridiques instituant Europol et le Parquet européen auront été modifiés de manière que le chapitre du présent règlement sur le traitement des données opérationnelles à caractère personnel, tel qu’adapté, leur soit applicable.

(13) La Commission devrait procéder à un réexamen du présent règlement, en particulier du chapitre du présent règlement sur le traitement des données opérationnelles à caractère personnel. La Commission devrait également procéder à un réexamen des autres actes juridiques adoptés sur la base des traités qui régissent le traitement des données opérationnelles à caractère personnel par les organes ou organismes de l’Union lorsqu’ils exercent des

L 295/40 FR Journal officiel de l'Union européenne 21.11.2018

activités relevant du champ d’application de la troisième partie, titre V, chapitre 4 ou 5, du traité sur le fonctionnement de l’Union européenne. Au terme de ce réexamen, pour assurer une protection uniforme et cohérente des personnes physiques à l’égard du traitement des données à caractère personnel, la Commission devrait pouvoir présenter des propositions législatives appropriées, y compris des adaptations du chapitre du présent règlement sur le traitement des données opérationnelles à caractère personnel nécessaires en vue de l’appliquer à Europol et au Parquet européen. Les adaptations devraient tenir compte des dispositions relatives à un contrôle indépendant, aux voies de recours, à la responsabilité et aux sanctions.

(14) Le traitement des données administratives à caractère personnel, telles que les données relatives au personnel, par les organes ou organismes de l’Union lorsqu’ils exercent des activités relevant du champ d’application de la troisième partie, titre V, chapitre 4 ou 5, du traité sur le fonctionnement de l’Union européenne devrait être couvert par le présent règlement.

(15) Il convient que le présent règlement s’applique au traitement des données à caractère personnel par les institutions, organes ou organismes de l’Union lorsqu’ils exercent des activités relevant du champ d’application du titre V, chapitre 2, du traité sur l’Union européenne. Le présent règlement ne devrait pas s’appliquer au traitement des données à caractère personnel par des missions visées à l’article 42, paragraphe 1, et aux articles 43 et 44 du traité sur l’Union européenne, qui mettent en œuvre la politique de sécurité et de défense commune. Le cas échéant, des propositions pertinentes devraient être présentées pour réglementer davantage le traitement des données à caractère personnel dans le domaine de la politique de sécurité et de défense commune.

(16) Il y a lieu d’appliquer les principes relatifs à la protection des données à toute information concernant une personne physique identifiée ou identifiable. Les données à caractère personnel qui ont fait l’objet d’une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable. Pour déterminer si une personne physique est identifiable, il convient de prendre en considération l’ensemble des moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement, tels que le ciblage. Pour établir si des moyens sont raisonnablement susceptibles d’être utilisés pour identifier une personne physique, il convient de prendre en considération l’ensemble des facteurs objectifs, tels que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l’évolution de celles-ci. Il n’y a dès lors pas lieu d’appliquer les principes relatifs à la protection des données aux informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de telle manière que la personne concernée n’est pas ou n’est plus identifiable. Le présent règlement ne s’applique, par conséquent, pas au traitement de telles informations anonymes, y compris à des fins statistiques ou de recherche.

(17) La pseudonymisation des données à caractère personnel peut réduire les risques pour les personnes concernées et aider les responsables du traitement et les sous-traitants à remplir leurs obligations en matière de protection des données. L’introduction explicite de la pseudonymisation dans le présent règlement ne vise pas à exclure toute autre mesure de protection des données.

(18) Les personnes physiques peuvent se voir associer, par les appareils, applications, outils et protocoles qu’elles utilisent, des identifiants en ligne tels que des adresses IP et des témoins de connexion («cookies») ou d’autres identifiants, par exemple des étiquettes d’identification par radiofréquence. Ces identifiants peuvent laisser des traces qui, notamment lorsqu’elles sont combinées aux identifiants uniques et à d’autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes.

(19) Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale. Cela pourrait se faire notamment en cochant une case lors de la consultation d’un site internet, en optant pour certains paramètres techniques pour des services de la société de l’information ou au moyen d’une autre déclaration ou d’un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité. Le consentement donné devrait valoir pour toutes les activités de traitement ayant la ou les mêmes finalités. Lorsque le traitement a plusieurs finalités, le consentement devrait être donné pour l’ensemble d’entre elles. Si le consentement de la personne concernée est donné à la suite d’une demande introduite par voie électronique, cette demande doit être claire et concise et ne doit pas inutilement perturber l’utilisation du service pour lequel le consentement est accordé. Dans le même temps, la personne concernée devrait avoir le droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci. Pour garantir que le consentement est donné librement, il convient que celui-ci ne constitue pas un fondement juridique valable pour le traitement des données à caractère personnel dans un cas particulier lorsqu’il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement et

21.11.2018 FR Journal officiel de l'Union européenne L 295/41

qu’il est dès lors improbable que le consentement ait été donné librement au vu de toutes les circonstances de cette situation particulière. Souvent, il n’est pas possible de cerner entièrement la finalité du traitement des données à caractère personnel à des fins de recherche scientifique au moment de la collecte des données. Par conséquent, les personnes concernées devraient pouvoir donner leur consentement en ce qui concerne certains domaines de la recherche scientifique, dans le respect des normes éthiques reconnues en matière de recherche scientifique. Les personnes concernées devraient pouvoir donner leur consentement uniquement pour ce qui est de certains domaines de la recherche ou de certaines parties de projets de recherche, dans la mesure où la finalité visée le permet.

(20) Tout traitement de données à caractère personnel devrait être licite et loyal. Le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d’une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l’égard des personnes physiques concernées. Le principe de transparence exige que toute information et toute communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples. Ce principe vaut, notamment, pour les informations communiquées aux personnes concernées sur l’identité du responsable du traitement et sur les finalités du traitement ainsi que pour les autres informations visant à assurer un traitement loyal et transparent à l’égard des personnes physiques concernées et leur droit d’obtenir la confirmation et la communication des données à caractère personnel les concernant qui font l’objet d’un traitement. Les personnes physiques devraient être informées des risques, des règles, des garanties et des droits liés au traitement des données à caractère personnel et des modalités d’exercice de leurs droits en ce qui concerne ce traitement. En particulier, les finalités spécifiques du traitement des données à caractère personnel devraient être explicites et légitimes, et déterminées lors de la collecte des données à caractère personnel. Les données à caractère personnel devraient être adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées. Cela exige, notamment, de garantir que la durée de conservation des données est limitée au strict minimum. Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d’autres moyens. Afin de garantir que les données à caractère personnel ne sont pas conservées plus longtemps que nécessaire, des délais devraient être fixés par le responsable du traitement pour leur effacement ou pour un examen périodique. Il y a lieu de prendre toutes les mesures raisonnables afin de garantir que les données à caractère personnel qui sont inexactes sont rectifiées ou supprimées. Les données à caractère personnel devraient être traitées de manière à garantir une sécurité et une confidentialité appropriées en ce qui les concerne, y compris pour prévenir l’accès non autorisé à ces données et à l’équipement utilisé pour leur traitement, l’utilisation non autorisée de ces données et de cet équipement ainsi que la divulgation non autorisée de ces données lors de leur transmission.

(21) Conformément au principe de responsabilité, lorsque des institutions et organes de l’Union transmettent des données à caractère personnel en interne et que le destinataire n’est pas un responsable du traitement ou les transmettent à d’autres institutions ou organes, ils devraient vérifier si ces données à caractère personnel sont nécessaires à l’exécution légitime de missions relevant de la compétence du destinataire. En particulier, à la suite d’une demande de transmission de données à caractère personnel par le destinataire, le responsable du traitement devrait vérifier l’existence d’un motif valable justifiant le traitement licite des données à caractère personnel ainsi que la compétence du destinataire. Le responsable du traitement devrait également procéder à une évaluation provisoire de la nécessité de la transmission des données. Si des doutes se font jour quant à la nécessité de cette transmission, le responsable du traitement devrait demander au destinataire un complément d’informations. Le destinataire devrait veiller à ce que la nécessité de la transmission des données puisse être vérifiée ultérieurement.

(22) Pour être licite, le traitement de données à caractère personnel devrait être fondé sur la nécessité pour les institutions et organes de l’Union d’exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont ils sont investis, sur la nécessité de respecter une obligation légale à laquelle le responsable du traitement est soumis ou sur tout autre fondement légitime prévu par le présent règlement, y compris le consentement de la personne concernée, la nécessité d’exécuter un contrat auquel la personne concernée est partie ou pour prendre des mesures précontractuelles à la demande de la personne concernée. Le traitement de données à caractère personnel effectué pour l’exécution de missions d’intérêt public par les institutions et organes de l’Union comprend le traitement de données à caractère personnel nécessaire pour la gestion et le fonctionnement de ces institutions et organes. Le traitement de données à caractère personnel devrait être également considéré comme licite lorsqu’il est nécessaire pour protéger un intérêt essentiel à la vie de la personne concernée ou à celle d’une autre personne physique. Le traitement de données à caractère personnel fondé sur l’intérêt vital d’une autre personne physique ne devrait en principe avoir lieu que lorsque le traitement ne peut manifestement pas être fondé sur une autre base juridique. Certains types de traitement peuvent être justifiés à la fois par des motifs importants d’intérêt public et par les intérêts vitaux de la personne concernée, par exemple lorsque le traitement est nécessaire à des fins humanitaires, y compris pour suivre des épidémies et leur propagation, ou dans les cas d’urgence humanitaire, notamment les situations de catastrophe naturelle et d’origine humaine.

L 295/42 FR Journal officiel de l'Union européenne 21.11.2018

(23) Le droit de l’Union visé dans le présent règlement devrait être clair et précis et son application devrait être prévisible pour les personnes qui y sont soumises, conformément aux exigences énoncées dans la Charte et dans la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales.

(24) Les règles internes visées dans le présent règlement devraient être des actes de portée générale clairs et précis destinés à produire des effets juridiques vis-à-vis des personnes concernées. Elles devraient être adoptées au niveau le plus élevé de la hiérarchie des institutions et organes de l’Union, dans la limite de leurs compétences et pour ce qui concerne des questions liées à leur fonctionnement. Elles devraient faire l’objet d’une publication au Journal officiel de l’Union européenne. Il convient que l’application de ces règles soit prévisible pour les personnes qui y sont soumises, conformément aux exigences énoncées dans la Charte et dans la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales. Les règles internes peuvent prendre la forme de décisions, en particulier lorsqu’elles sont adoptées par les institutions de l’Union.

(25) Le traitement de données à caractère personnel pour d’autres finalités que celles pour lesquelles les données à caractère personnel ont été collectées initialement ne devrait être autorisé que s’il est compatible avec les finalités pour lesquelles les données à caractère personnel ont été collectées initialement. Dans ce cas, aucune base juridique distincte de celle qui a permis la collecte des données à caractère personnel n’est requise. Si le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement, le droit de l’Union peut déterminer et préciser les missions et les finalités pour lesquelles le traitement ultérieur devrait être considéré comme compatible et licite. Le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques devrait être considéré comme une opération de traitement licite compatible. La base juridique prévue par le droit de l’Union en ce qui concerne le traitement de données à caractère personnel peut également constituer la base juridique pour un traitement ultérieur. Afin d’établir si les finalités d’un traitement ultérieur sont compatibles avec celles pour lesquelles les données à caractère personnel ont été collectées initialement, le responsable du traitement, après avoir respecté toutes les exigences liées à la licéité du traitement initial, devrait tenir compte, entre autres: de tout lien entre ces finalités et les finalités du traitement ultérieur prévu; du contexte dans lequel les données à caractère personnel ont été collectées, en particulier les attentes raisonnables des personnes concernées, en fonction de leur relation avec le responsable du traitement, quant à l’utilisation ultérieure desdites données; de la nature des données à caractère personnel; des conséquences pour les personnes concernées du traitement ultérieur prévu; et de l’existence de garanties appropriées à la fois dans le cadre du traitement initial et du traitement ultérieur prévu.

(26) Lorsque le traitement est fondé sur le consentement de la personne concernée, le responsable du traitement devrait être en mesure de prouver que ladite personne a consenti à l’opération de traitement. En particulier, dans le cadre d’une déclaration écrite relative à une autre question, des garanties devraient exister afin de garantir que la personne concernée est consciente du consentement donné et de sa portée. Conformément à la directive 93/13/CEE du Conseil (1), une déclaration de consentement rédigée préalablement par le responsable du traitement devrait être fournie sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples, et elle ne devrait contenir aucune clause abusive. Pour que le consentement soit éclairé, la personne concernée devrait connaître au moins l’identité du responsable du traitement et les finalités du traitement auquel sont destinées les données à caractère personnel. Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice.

(27) Les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu’ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel. Cette protection spécifique devrait, notamment, s’appliquer à la création de profils de personnalité et à la collecte de données à caractère personnel relatives aux enfants lorsque des services sont proposés directement à un enfant sur des sites internet d’institutions et d’organes de l’Union, tels que des services de communication interpersonnels ou la vente en ligne de tickets, et que le traitement des données à caractère personnel repose sur le consentement.

(28) Lorsque des destinataires établis dans l’Union autres que les institutions et organes de l’Union souhaitent que des données à caractère personnel leur soient transmises par les institutions et organes de l’Union, ils devraient démontrer qu’il leur est nécessaire d’obtenir la transmission des données pour l’exécution de leur mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont ils sont investis. Une autre possibilité consisterait pour ces destinataires à démontrer qu’il est nécessaire que ces données soient transmises dans un but spécifique d’intérêt public et le responsable du traitement devrait déterminer s’il existe des raisons de penser que cette transmission pourrait porter atteinte aux intérêts légitimes de la personne concernée. En pareils cas, le responsable du traitement devrait mettre en balance, d’une manière vérifiable, les divers intérêts concurrents en vue d’évaluer la

21.11.2018 FR Journal officiel de l'Union européenne L 295/43

(1) Directive 93/13/CEE du Conseil du 5 avril 1993 concernant les clauses abusives dans les contrats conclus avec les consommateurs (JO L 95 du 21.4.1993, p. 29).

proportionnalité de la transmission de données à caractère personnel requise. Le but spécifique d’intérêt public pourrait avoir trait à la transparence des institutions et organes de l’Union. En outre, les institutions et organes de l’Union devraient démontrer une telle nécessité lorsqu’ils sont eux-mêmes à l’origine d’une transmission, conformément aux principes de transparence et de bonne administration. Les exigences prévues dans le présent règlement pour les transmissions à des destinataires établis dans l’Union autres que les institutions et organes de l’Union devraient s’entendre comme étant complémentaires aux conditions de licéité du traitement.

(29) Les données à caractère personnel qui sont, par nature, particulièrement sensibles du point de vue des libertés et des droits fondamentaux méritent une protection spécifique, car le contexte dans lequel elles sont traitées pourrait engendrer des risques importants pour ces libertés et droits fondamentaux. De telles données à caractère personnel ne devraient être traitées que si les conditions spécifiques énoncées dans le présent règlement sont réunies. Ces données à caractère personnel devraient comprendre les données à caractère personnel qui révèlent l’origine raciale ou ethnique, étant entendu que l’utilisation de l’expression «origine raciale» dans le présent règlement n’implique pas que l’Union adhère à des théories tendant à établir l’existence de races humaines distinctes. Le traitement des photographies ne devrait pas systématiquement être considéré comme constituant un traitement de catégories particulières de données à caractère personnel, étant donné que celles-ci ne relèvent de la définition de données biométriques que lorsqu’elles sont traitées selon un mode technique spécifique permettant l’identification ou l’authentification unique d’une personne physique. Outre les exigences spécifiques applicables au traitement des données sensibles, les principes généraux et les autres règles du présent règlement devraient s’appliquer, en particulier en ce qui concerne les conditions de licéité du traitement. Des dérogations à l’interdiction générale de traiter ces catégories particulières de données à caractère personnel devraient être explicitement prévues, entre autres lorsque la personne concernée donne son consentement explicite ou pour répondre à des besoins spécifiques, en particulier lorsque le traitement est effectué dans le cadre d’activités légitimes de certaines associations ou fondations ayant pour finalité de permettre l’exercice des libertés fondamentales.

(30) Les catégories particulières de données à caractère personnel qui méritent une protection plus élevée ne devraient être traitées à des fins liées à la santé que lorsque cela est nécessaire pour atteindre ces finalités dans l’intérêt des personnes physiques et de la société dans son ensemble, notamment dans le cadre de la gestion des services et des systèmes de soins de santé ou de protection sociale. Le présent règlement devrait dès lors prévoir des conditions harmonisées pour le traitement des catégories particulières de données à caractère personnel relatives à la santé, pour répondre à des besoins spécifiques, en particulier lorsque le traitement de ces données est effectué pour certaines fins liées à la santé par des personnes soumises à une obligation légale de secret professionnel. Le droit de l’Union devrait prévoir des mesures spécifiques et appropriées de façon à protéger les droits fondamentaux et les données à caractère personnel des personnes physiques.

(31) Le traitement des catégories particulières de données à caractère personnel peut être nécessaire pour des motifs d’intérêt public dans les domaines de la santé publique, sans le consentement de la personne concernée. Un tel traitement devrait faire l’objet de mesures appropriées et spécifiques de façon à protéger les droits et libertés des personnes physiques. Dans ce contexte, la notion de «santé publique» devrait s’interpréter selon la définition contenue dans le règlement (CE) no 1338/2008 du Parlement européen et du Conseil (1), à savoir tous les éléments relatifs à la santé, c’est-à-dire l’état de santé, morbidité et handicap inclus, les déterminants ayant un effet sur cet état de santé, les besoins en matière de soins de santé, les ressources consacrées aux soins de santé, la fourniture de soins de santé, l’accès universel à ces soins, les dépenses de santé et leur financement, ainsi que les causes de mortalité. De tels traitements de données concernant la santé pour des motifs d’intérêt public ne devraient pas aboutir à ce que des données à caractère personnel soient traitées à d’autres fins.

(32) Si les données à caractère personnel qu’il traite ne lui permettent pas d’identifier une personne physique, le responsable du traitement ne devrait pas être tenu d’obtenir des informations supplémentaires pour identifier la personne concernée à la seule fin de respecter une disposition du présent règlement. Toutefois, le responsable du traitement ne devrait pas refuser des informations supplémentaires fournies par la personne concernée afin de faciliter l’exercice de ses droits. L’identification devrait comprendre l’identification numérique d’une personne concernée, par exemple au moyen d’un mécanisme d’authentification tel que les mêmes identifiants, utilisé par la personne concernée pour se connecter au service en ligne proposé par le responsable du traitement.

(33) Le traitement des données à caractère personnel à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques devrait être soumis à des garanties appropriées pour les droits et libertés de la personne concernée, en vertu du présent règlement. Ces garanties devraient permettre la mise en place de mesures techniques et organisationnelles pour assurer, en particulier, le respect du principe de minimisation des données. Le traitement ultérieur de données à caractère personnel à des fins archivistiques dans l’intérêt public, à des

L 295/44 FR Journal officiel de l'Union européenne 21.11.2018

(1) Règlement (CE) no 1338/2008 du Parlement européen et du Conseil du 16 décembre 2008 relatif aux statistiques communautaires de la santé publique et de la santé et de la sécurité au travail (JO L 354 du 31.12.2008, p. 70).

fins de recherche scientifique ou historique ou à des fins statistiques doit être effectué lorsque le responsable du traitement a évalué s’il est possible d’atteindre ces finalités grâce à un traitement de données qui ne permettent pas ou plus d’identifier les personnes concernées, pour autant que des garanties appropriées existent (comme, par exemple, la pseudonymisation des données). Les institutions et organes de l’Union devraient prévoir dans le droit de l’Union des garanties appropriées pour le traitement de données à caractère personnel à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, ce qui peut inclure des règles internes adoptées par les institutions et organes de l’Union pour ce qui concerne des questions liées à leur fonctionnement.

(34) Des modalités devraient être prévues pour faciliter l’exercice par la personne concernée des droits qui lui sont conférés par le présent règlement, y compris les moyens de demander et, le cas échéant, d’obtenir sans frais, notamment, l’accès aux données à caractère personnel, et leur rectification ou leur effacement, et l’exercice d’un droit d’opposition. Le responsable du traitement devrait également fournir les moyens de présenter des demandes par voie électronique, en particulier lorsque les données à caractère personnel font l’objet d’un traitement électronique. Le responsable du traitement devrait être tenu de répondre aux demandes émanant de la personne concernée dans les meilleurs délais et au plus tard dans un délai d’un mois et de motiver sa réponse lorsqu’il a l’intention de ne pas donner suite à de telles demandes.

(35) Le principe de traitement loyal et transparent exige que la personne concernée soit informée de l’existence de l’opération de traitement et de ses finalités. Le responsable du traitement devrait fournir à la personne concernée toute autre information nécessaire pour garantir un traitement équitable et transparent, compte tenu des circonstances particulières et du contexte dans lesquels les données à caractère personnel sont traitées. En outre, la personne concernée devrait être informée de l’existence d’un profilage et des conséquences de celui-ci. Lorsque les données à caractère personnel sont collectées auprès de la personne concernée, il importe que celle-ci sache également si elle est obligée de fournir ces données à caractère personnel et qu’elle soit informée des conséquences auxquelles elle s’expose si elle ne les fournit pas. Ces informations peuvent être fournies accompagnées d’icônes normalisées afin d’offrir une bonne vue d’ensemble, facilement visible, compréhensible et clairement lisible, du traitement prévu. Lorsque les icônes sont présentées par voie électronique, elles devraient être lisibles par machine.

(36) Les informations sur le traitement des données à caractère personnel relatives à la personne concernée devraient lui être fournies au moment où ces données sont collectées auprès d’elle ou, si les données à caractère personnel sont obtenues d’une autre source, dans un délai raisonnable en fonction des circonstances propres à chaque cas. Lorsque des données à caractère personnel peuvent être légitimement communiquées à un autre destinataire, il convient que la personne concernée soit informée du moment auquel ces données à caractère personnel sont communiquées pour la première fois audit destinataire. Lorsqu’il a l’intention de traiter les données à caractère personnel à des fins autres que celles pour lesquelles elles ont été collectées, le responsable du traitement devrait, avant de procéder à ce traitement ultérieur, fournir à la personne concernée des informations au sujet de cette autre finalité et toute autre information nécessaire. Lorsque l’origine des données à caractère personnel n’a pas pu être communiquée à la personne concernée parce que plusieurs sources ont été utilisées, des informations générales devraient être fournies.

(37) Une personne concernée devrait avoir le droit d’accéder aux données à caractère personnel qui ont été collectées à son sujet et d’exercer ce droit facilement et à des intervalles raisonnables, afin de prendre connaissance du traitement et d’en vérifier la licéité. Cela inclut le droit des personnes concernées d’accéder aux données concernant leur santé, par exemple les données de leurs dossiers médicaux contenant des informations telles que des diagnostics, des résultats d’examens, des avis de médecins traitants et tout traitement administré ou toute intervention pratiquée. En conséquence, toute personne concernée devrait avoir le droit de connaître et de se faire communiquer, en particulier, les finalités du traitement des données à caractère personnel, si possible la durée du traitement de ces données à caractère personnel, l’identité des destinataires de ces données à caractère personnel, la logique qui sous-tend leur éventuel traitement automatisé et les conséquences que ce traitement pourrait avoir, au moins en cas de profilage. Ce droit ne devrait pas porter atteinte aux droits ou libertés d’autrui, y compris au secret des affaires ou à la propriété intellectuelle, notamment au droit d’auteur protégeant le logiciel. Cependant, ces considérations ne devraient pas aboutir à refuser toute communication d’informations à la personne concernée. Lorsque le responsable du traitement traite une grande quantité de données relatives à la personne concernée, il devrait pouvoir demander à celle-ci de préciser, avant de lui fournir les informations, sur quelles données ou quelles opérations de traitement sa demande porte.

(38) Les personnes concernées devraient avoir le droit de faire rectifier des données à caractère personnel les concernant, et disposer d’un «droit à l’oubli» lorsque la conservation de ces données constitue une violation du présent règlement ou du droit de l’Union auquel le responsable du traitement est soumis. Les personnes concernées devraient avoir le droit d’obtenir que leurs données à caractère personnel soient effacées et ne soient plus traitées, lorsque ces données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière, lorsque les personnes concernées ont retiré leur consentement au traitement ou lorsqu’elles s’opposent au traitement de données à caractère personnel les concernant, ou encore lorsque le traitement de leurs données à caractère personnel ne respecte pas d’une autre manière le présent règlement. Ce droit est pertinent, en

21.11.2018 FR Journal officiel de l'Union européenne L 295/45

particulier, lorsque la personne concernée a donné son consentement à l’époque où elle était enfant et n’était pas pleinement consciente des risques inhérents au traitement, et qu’elle souhaite par la suite supprimer ces données à caractère personnel, en particulier sur l’internet. La personne concernée devrait pouvoir exercer ce droit nonobstant le fait qu’elle n’est plus un enfant. Toutefois, la conservation ultérieure des données à caractère personnel devrait être licite lorsqu’elle est nécessaire à l’exercice du droit à la liberté d’expression et d’information, au respect d’une obligation légale, à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement, pour des motifs d’intérêt public dans le domaine de la santé publique, à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, ou à la constatation, à l’exercice ou à la défense de droits en justice.

(39) Afin de renforcer le «droit à l’oubli» numérique, le droit à l’effacement devrait également être étendu de façon que le responsable du traitement qui a rendu les données à caractère personnel publiques soit tenu d’informer les responsables du traitement qui traitent ces données à caractère personnel qu’il convient d’effacer tout lien vers ces données, ou toute copie ou reproduction de celles-ci. Ce faisant, ce responsable du traitement devrait prendre des mesures raisonnables, compte tenu des technologies disponibles et des moyens dont il dispose, y compris des mesures techniques, afin d’informer les responsables du traitement qui traitent les données à caractère personnel de la demande formulée par la personne concernée.

(40) Les méthodes visant à limiter le traitement de données à caractère personnel pourraient consister, entre autres, à déplacer temporairement les données sélectionnées vers un autre système de traitement, à rendre les données à caractère personnel sélectionnées inaccessibles aux utilisateurs, ou à retirer temporairement les données publiées d’un site internet. Dans les fichiers automatisés, la limitation du traitement devrait en principe être assurée par des moyens techniques de façon que les données à caractère personnel ne fassent pas l’objet d’opérations de traitement ultérieures et ne puissent pas être modifiées. Le fait que le traitement des données à caractère personnel est limité devrait être indiqué de manière claire dans le fichier.

(41) Pour renforcer encore le contrôle qu’elles exercent sur leurs propres données, les personnes concernées devraient aussi avoir le droit, lorsque des données à caractère personnel font l’objet d’un traitement automatisé, de recevoir les données à caractère personnel les concernant, qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé, lisible par machine et interopérable, et de les transmettre à un autre responsable du traitement. Il y a lieu d’encourager les responsables du traitement à mettre au point des formats interopérables permettant la portabilité des données. Ce droit devrait s’appliquer lorsque la personne concernée a fourni les données à caractère personnel sur la base de son consentement ou lorsque le traitement est nécessaire pour l’exécution d’un contrat. Il ne devrait dès lors pas s’appliquer lorsque le traitement des données à caractère personnel est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ou à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. Le droit de la personne concernée de transmettre ou de recevoir des données à caractère personnel la concernant ne devrait pas créer, pour les responsables du traitement, une obligation d’adopter ou de maintenir des systèmes de traitement qui sont techniquement compatibles. Lorsque, dans un ensemble de données à caractère personnel, plusieurs personnes sont concernées, le droit de recevoir les données à caractère personnel devrait s’entendre sans préjudice des droits et libertés des autres personnes concernées conformément au présent règlement. De plus, ce droit ne devrait pas porter atteinte au droit de la personne concernée d’obtenir l’effacement de données à caractère personnel ni aux limitations de ce droit comme le prévoit le présent règlement et il ne devrait pas, notamment, entraîner l’effacement de données à caractère personnel relatives à la personne concernée qui ont été fournies par celle-ci pour l’exécution d’un contrat, dans la mesure où et aussi longtemps que ces données à caractère personnel sont nécessaires à l’exécution de ce contrat. Lorsque c’est techniquement possible, la personne concernée devrait avoir le droit d’obtenir que les données soient transmises directement d’un responsable du traitement à un autre.

(42) Lorsque des données à caractère personnel pourraient être traitées de manière licite parce que le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement, la personne concernée devrait néanmoins avoir le droit de s’opposer au traitement de toute donnée à caractère personnel en rapport avec sa situation particulière. Il devrait incomber au responsable du traitement de prouver que ses intérêts légitimes impérieux prévalent sur les intérêts ou les libertés et droits fondamentaux de la personne concernée.

(43) La personne concernée devrait avoir le droit de ne pas faire l’objet d’une décision, qui peut comprendre une mesure, impliquant l’évaluation de certains aspects personnels la concernant, qui est prise sur le seul fondement d’un traitement automatisé et qui produit des effets juridiques la concernant ou qui, de façon similaire, l’affecte de manière significative, tels que des pratiques de recrutement en ligne sans aucune intervention humaine. Ce type de traitement inclut le «profilage» qui consiste en toute forme de traitement automatisé de données à caractère personnel visant à évaluer les aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des aspects concernant le rendement au travail de la personne concernée, sa situation économique, sa santé, ses préférences ou

L 295/46 FR Journal officiel de l'Union européenne 21.11.2018

centres d’intérêt personnels, sa fiabilité ou son comportement, ou sa localisation et ses déplacements, dès lors qu’il produit des effets juridiques concernant la personne en question ou qu’il l’affecte de façon similaire de manière significative.

Toutefois, la prise de décision fondée sur un tel traitement, y compris le profilage, devrait être permise lorsqu’elle est expressément autorisée par le droit de l’Union. En tout état de cause, un traitement de ce type devrait être assorti de garanties appropriées, qui devraient comprendre une information spécifique de la personne concernée ainsi que le droit d’obtenir une intervention humaine, d’exprimer son point de vue, d’obtenir une explication quant à la décision prise à l’issue de ce type d’évaluation et de contester la décision. Cette mesure ne devrait pas concerner un enfant. Afin d’assurer un traitement équitable et transparent à l’égard de la personne concernée, compte tenu des circonstances particulières et du contexte dans lesquels les données à caractère personnel sont traitées, le responsable du traitement devrait utiliser des procédures mathématiques ou statistiques adéquates aux fins du profilage, appliquer les mesures techniques et organisationnelles appropriées pour faire en sorte, en particulier, que les facteurs qui entraînent des erreurs dans les données à caractère personnel soient corrigés et que le risque d’erreur soit réduit au minimum, sécuriser les données à caractère personnel d’une manière qui tienne compte des risques susceptibles de peser sur les intérêts et les droits de la personne concernée, et prévenir, entre autres, les effets discriminatoires à l’égard des personnes physiques fondées sur l’origine raciale ou ethnique, les opinions politiques, la religion ou les convictions, l’appartenance syndicale, le statut génétique ou l’état de santé, ou l’orientation sexuelle, ou tout traitement qui se traduit par des mesures produisant un tel effet. La prise de décision et le profilage automatisés fondés sur des catégories particulières de données à caractère personnel ne devraient être autorisés qu’à des conditions spécifiques.

(44) Des limitations à certains principes spécifiques ainsi qu’au droit à l’information, au droit d’accès aux données à caractère personnel, au droit de rectification ou d’effacement de ces données, au droit à la portabilité des données, au droit à la confidentialité des données de communications électroniques ainsi qu’à la communication d’une violation de données à caractère personnel à une personne concernée et à certaines obligations connexes des responsables du traitement peuvent être imposées par des actes juridiques adoptés sur la base des traités ou des règles internes adoptées par les institutions et organes de l’Union pour ce qui concerne des questions liées à leur fonctionnement, dans la mesure nécessaire et proportionnée dans une société démocratique pour garantir la sécurité publique et pour la prévention des infractions pénales, les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales. Cela comprend la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, la protection de la vie humaine, particulièrement en réponse à des catastrophes d’origine naturelle ou humaine, la protection de la sécurité intérieure des institutions et organes de l’Union et d’autres objectifs d’intérêt public importants de l’Union ou d’un État membre, en particulier les objectifs de la politique étrangère et de sécurité commune de l’Union ou un intérêt économique ou financier important de l’Union ou d’un État membre, ainsi que la tenue de registres publics pour des motifs d’intérêt public général ou la protection de la personne concernée ou des droits et libertés d’autrui, y compris la protection sociale, la santé publique et les finalités humanitaires.

(45) Il y a lieu d’instaurer la responsabilité du responsable du traitement pour tout traitement de données à caractère personnel qu’il effectue lui-même ou qui est réalisé pour son compte. Il importe, en particulier, que le responsable du traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l’efficacité des mesures. Ces mesures devraient tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques.

(46) Des risques pour les droits et libertés des personnes physiques, dont le degré de probabilité et de gravité varie, peuvent résulter du traitement de données à caractère personnel qui est susceptible d’entraîner des dommages physiques, matériels ou un préjudice moral, en particulier: lorsque le traitement peut donner lieu à une discrimination, à un vol ou une usurpation d’identité, à une perte financière, à une atteinte à la réputation, à une perte de confidentialité de données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation ou à tout autre dommage économique ou social important; lorsque les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d’exercer le contrôle sur leurs données à caractère personnel; lorsque le traitement concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, la religion ou les convictions philosophiques, l’appartenance syndicale, ainsi que des données génétiques, des données concernant la santé ou des données concernant la vie sexuelle ou des données relatives à des condamnations pénales et à des infractions, ou encore à des mesures de sûreté connexes; lorsque des aspects personnels sont évalués, notamment dans le cadre de l’analyse ou de la prédiction d’éléments concernant le rendement au travail, la situation économique, la santé, les préférences ou centres d’intérêt personnels, la fiabilité ou le comportement, la localisation ou les déplacements, en vue de créer ou d’utiliser des profils individuels; lorsque le traitement porte sur des données à caractère personnel relatives à des personnes physiques vulnérables, en particulier les enfants; ou lorsque le traitement porte sur un volume important de données à caractère personnel et touche un nombre important de personnes concernées.

(47) Il convient de déterminer la probabilité et la gravité du risque pour les droits et libertés de la personne concernée en fonction de la nature, de la portée, du contexte et des finalités du traitement. Le risque devrait faire l’objet d’une évaluation objective permettant de déterminer si les opérations de traitement des données comportent un risque ou un risque élevé.

21.11.2018 FR Journal officiel de l'Union européenne L 295/47

(48) La protection des droits et libertés des personnes physiques à l’égard du traitement des données à caractère personnel exige l’adoption de mesures techniques et organisationnelles appropriées pour garantir que les exigences du présent règlement sont respectées. Afin d’être en mesure de démontrer qu’il respecte le présent règlement, le responsable du traitement devrait adopter des règles internes et mettre en œuvre des mesures qui respectent, en particulier, les principes de protection des données dès la conception et de protection des données par défaut. Ces mesures pourraient consister, entre autres, à réduire à un minimum le traitement des données à caractère personnel, à pseudonymiser les données à caractère personnel dès que possible, à garantir la transparence en ce qui concerne les fonctions et le traitement des données à caractère personnel, à permettre à la personne concernée de contrôler le traitement des données, à permettre au responsable du traitement de mettre en place des dispositifs de sécurité ou de les améliorer. Les principes de protection des données dès la conception et de protection des données par défaut devraient également être pris en considération dans le cadre des marchés publics.

(49) Le règlement (UE) 2016/679 prévoit que les responsables du traitement démontrent qu’ils respectent les obligations qui leur incombent par l’application de mécanismes de certification approuvés. De même, les institutions et organes de l’Union devraient être en mesure de démontrer qu’ils respectent le présent règlement par l’obtention d’une certification, conformément à l’article 42 du règlement (UE) 2016/679.

(50) La protection des droits et libertés des personnes concernées, de même que la responsabilité des responsables du traitement et des sous-traitants, exige une répartition claire des responsabilités au titre du présent règlement, y compris lorsque le responsable du traitement détermine les finalités et les moyens du traitement conjointement avec d’autres responsables du traitement, ou lorsqu’une opération de traitement est effectuée pour le compte d’un responsable du traitement.

(51) Afin que les exigences du présent règlement soient respectées dans le cadre d’un traitement réalisé par un sous- traitant pour le compte du responsable du traitement, lorsque ce dernier confie des activités de traitement à un sous- traitant, le responsable du traitement ne devrait faire appel qu’à des sous-traitants présentant des garanties suffisantes, notamment en termes de connaissances spécialisées, de fiabilité et de ressources, pour la mise en œuvre de mesures techniques et organisationnelles qui satisfont aux exigences du présent règlement, y compris en matière de sécurité du traitement. L’application par des sous-traitants autres que les institutions et organes de l’Union d’un code de conduite approuvé ou d’un mécanisme de certification approuvé peut servir à démontrer le respect des obligations incombant au responsable du traitement. La réalisation d’un traitement par un sous-traitant autre qu’une institution ou un organe de l’Union devrait être régie par un contrat ou, dans le cas d’une institution ou d’un organe de l’Union agissant en tant que sous-traitant, par un contrat ou un autre acte juridique établi au titre du droit de l’Union, liant le sous-traitant au responsable du traitement, définissant l’objet et la durée du traitement, la nature et les finalités du traitement, le type de données à caractère personnel et les catégories de personnes concernées, en tenant compte des tâches et responsabilités spécifiques du sous-traitant dans le cadre du traitement à effectuer et du risque pour les droits et libertés de la personne concernée. Le responsable du traitement et le sous-traitant devraient pouvoir choisir de recourir à un contrat particulier ou à des clauses contractuelles types, qui sont adoptées soit directement par la Commission soit par le Contrôleur européen de la protection des données puis par la Commission. Après la réalisation du traitement pour le compte du responsable du traitement, le sous-traitant devrait, selon le choix du responsable du traitement, renvoyer ou supprimer les données à caractère personnel, à moins que le droit de l’Union ou le droit d’un État membre auquel le sous-traitant est soumis n’exige la conservation de ces données à caractère personnel.

(52) Afin de démontrer qu’ils respectent le présent règlement, les responsables du traitement devraient tenir des registres pour les activités de traitement relevant de leur responsabilité et les sous-traitants devraient tenir des registres pour les catégories d’activités de traitement relevant de leur responsabilité. Les institutions et organes de l’Union devraient être tenus de coopérer avec le Contrôleur européen de la protection des données et de mettre ces registres à la disposition de celui-ci, sur demande, pour qu’ils servent au contrôle des opérations de traitement. Pour autant que ce soit approprié compte tenu de la taille de l’institution ou de l’organe de l’Union, les institutions et organes de l’Union devraient pouvoir établir un registre central dans lequel sont consignées leurs activités de traitement. Pour des raisons de transparence, ils devraient aussi pouvoir rendre ce registre public.

(53) Afin de garantir la sécurité et de prévenir tout traitement effectué en violation du présent règlement, il importe que le responsable du traitement ou le sous-traitant évalue les risques inhérents au traitement et mette en œuvre des mesures pour les atténuer, telles que le chiffrement. Ces mesures devraient assurer un niveau de sécurité approprié, y compris la confidentialité, compte tenu de l’état des connaissances et des coûts de mise en œuvre par rapport aux

L 295/48 FR Journal officiel de l'Union européenne 21.11.2018

risques et à la nature des données à caractère personnel à protéger. Dans le cadre de l’évaluation des risques pour la sécurité des données, il convient de prendre en compte les risques que présente le traitement de données à caractère personnel, tels que la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données, de manière accidentelle ou illicite, qui sont susceptibles d’entraîner des dommages physiques, matériels, ou un préjudice moral.

(54) Les institutions et organes de l’Union devraient garantir la confidentialité des communications électroniques comme le prévoit l’article 7 de la Charte. Les institutions et organes de l’Union devraient, en particulier, garantir la sécurité de leurs réseaux de communications électroniques. Ils devraient protéger les informations liées à l’équipement terminal des utilisateurs ayant accès à leurs sites internet et applications mobiles accessibles au public conformément à la directive 2002/58/CE du Parlement européen et du Conseil (1). Ils devraient également protéger les données à caractère personnel conservées dans les annuaires d’utilisateurs.

(55) Une violation de données à caractère personnel risquerait, si l’on n’intervient pas à temps et de manière appropriée, de causer aux personnes physiques concernées des dommages physiques, matériels ou un préjudice moral. En conséquence, dès que le responsable du traitement apprend qu’une violation de données à caractère personnel s’est produite, il convient qu’il notifie cette violation de données à caractère personnel au Contrôleur européen de la protection des données dans les meilleurs délais et, lorsque c’est possible, 72 heures au plus tard après en avoir pris connaissance, à moins qu’il ne puisse démontrer, conformément au principe de responsabilité, qu’il est peu probable que la violation en question engendre un risque pour les droits et libertés des personnes physiques. Si une telle notification ne peut avoir lieu dans ce délai de 72 heures, elle devrait être assortie des motifs du retard et des informations peuvent être fournies de manière échelonnée sans autre retard indu. Si ce retard est justifié, il convient de publier dès que possible les informations moins sensibles ou moins spécifiques relatives à la violation plutôt que de résoudre entièrement l’incident qui en est à l’origine avant la notification.

(56) Le responsable du traitement devrait communiquer une violation de données à caractère personnel à la personne concernée dans les meilleurs délais lorsque cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés de la personne physique afin qu’elle puisse prendre les précautions qui s’imposent. La communication devrait décrire la nature de la violation des données à caractère personnel et formuler des recommandations à la personne physique concernée pour atténuer les effets négatifs potentiels. Il convient que de telles communications aux personnes concernées soient effectuées aussi rapidement qu’il est raisonnablement possible et en coopération étroite avec le Contrôleur européen de la protection des données, dans le respect des directives données par celui-ci ou par d’autres autorités compétentes, telles que les autorités répressives.

(57) Le règlement (CE) no 45/2001 prévoit une obligation générale pour le responsable du traitement de notifier les opérations de traitement de données à caractère personnel au délégué à la protection des données. Pour autant que ce soit approprié compte tenu de la taille de l’institution ou de l’organe de l’Union, le délégué à la protection des données doit tenir un registre des opérations de traitement notifiées. Outre cette obligation générale, des procédures et des mécanismes efficaces devraient être en mis en place pour suivre les opérations de traitement susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques, du fait de leur nature, de leur étendue, de leur contexte et de leurs finalités. De telles procédures devraient également être en place, notamment, lorsqu’il s’agit de types d’opérations de traitement qui impliquent le recours à de nouvelles technologies ou qui sont nouveaux et pour lesquels aucune analyse d’impact relative à la protection des données n’a été effectuée au préalable par le responsable du traitement, ou qui deviennent nécessaires compte tenu du temps écoulé depuis le traitement initial. Dans de tels cas, une analyse d’impact relative à la protection des données devrait être effectuée par le responsable du traitement, préalablement au traitement, en vue d’évaluer la probabilité et la gravité particulières du risque élevé, compte tenu de la nature, de l’étendue, du contexte et des finalités du traitement et des sources du risque. Cette analyse d’impact devrait comprendre, notamment, les mesures, garanties et mécanismes envisagés pour atténuer ce risque, assurer la protection des données à caractère personnel et démontrer le respect du présent règlement.

(58) Lorsqu’il ressort d’une analyse d’impact relative à la protection des données qu’en l’absence de garanties, de mesures de sécurité et de mécanismes pour atténuer le risque, le traitement engendrerait un risque élevé pour les droits et libertés des personnes physiques et que le responsable du traitement est d’avis que le risque ne peut être atténué par des moyens raisonnables compte tenu des techniques disponibles et des coûts de mise en œuvre, il y a lieu de consulter le Contrôleur européen de la protection des données avant le début des activités de traitement. Certains types de traitements, de même que l’ampleur et la fréquence des traitements, sont susceptibles d’engendrer un tel risque élevé et pourraient également causer un dommage ou porter atteinte aux droits et libertés d’une personne physique. Le Contrôleur européen de la protection des données devrait répondre à la demande de consultation dans

21.11.2018 FR Journal officiel de l'Union européenne L 295/49

(1) Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201 du 31.7.2002, p. 37).

un délai déterminé. Toutefois, l’absence de réaction du Contrôleur européen de la protection des données dans ce délai devrait être sans préjudice de toute intervention de sa part effectuée dans le cadre de ses missions et de ses pouvoirs prévus par le présent règlement, y compris le pouvoir d’interdire des opérations de traitement. Dans le cadre de ce processus de consultation, il devrait être possible de soumettre au Contrôleur européen de la protection des données les résultats d’une analyse d’impact relative à la protection des données réalisée en ce qui concerne le traitement en question, en particulier les mesures envisagées pour atténuer le risque pour les droits et libertés des personnes physiques.

(59) Le Contrôleur européen de la protection des données devrait être informé des mesures administratives et consulté au sujet des règles internes adoptées par les institutions et organes de l’Union pour ce qui concerne des questions liées à leur fonctionnement lorsqu’elles prévoient le traitement de données à caractère personnel, fixent des conditions aux restrictions des droits des personnes concernées ou fournissent des garanties adéquates en ce qui concerne les droits des personnes concernées, afin d’assurer la conformité du traitement visé avec le présent règlement, en particulier, en ce qui concerne l’atténuation des risques encourus par la personne concernée.

(60) Le règlement (UE) 2016/679 a institué le comité européen de la protection des données en tant qu’organe indépendant de l’Union doté de la personnalité juridique. Le comité devrait contribuer à l’application cohérente du règlement (UE) 2016/679 et de la directive (UE) 2016/680 dans l’ensemble de l’Union, notamment en conseillant la Commission. Parallèlement, le Contrôleur européen de la protection des données devrait continuer d’exercer ses fonctions de contrôle et de conseil pour toutes les institutions et tous les organes de l’Union, que ce soit de sa propre initiative ou sur demande. Afin de garantir la cohérence des règles applicables en matière de protection des données dans l’ensemble de l’Union, la Commission, lorsqu’elle prépare des propositions ou des recommandations, devrait s’efforcer de consulter le Contrôleur européen de la protection des données. La Commission devrait être tenue de procéder à une consultation après l’adoption d’actes législatifs ou pendant l’élaboration d’actes délégués et d’actes d’exécution tels que définis aux articles 289, 290 et 291 du traité sur le fonctionnement de l’Union européenne, ainsi qu’après l’adoption de recommandations et de propositions relatives à des accords conclus avec des pays tiers et des organisations internationales visés à l’article 218 du traité sur le fonctionnement de l’Union européenne, lorsque ces actes, recommandations ou propositions ont une incidence sur le droit à la protection des données à caractère personnel. Dans de tels cas, la Commission devrait être obligée de consulter le Contrôleur européen de la protection des données, sauf lorsque le règlement (UE) 2016/679 prévoit la consultation obligatoire du comité européen de la protection des données, par exemple au sujet de décisions d’adéquation ou d’actes délégués concernant les icônes normalisées et les exigences applicables aux mécanismes de certification. Lorsque l’acte en question revêt une importance particulière pour la protection des droits et libertés des personnes physiques à l’égard du traitement de leurs données à caractère personnel, la Commission devrait pouvoir, en outre, consulter le comité européen de la protection des données. Dans de tels cas, le Contrôleur européen de la protection des données devrait, en tant que membre du comité européen de la protection des données, coordonner ses travaux avec ce dernier en vue de remettre un avis conjoint. Le Contrôleur européen de la protection des données et, le cas échéant, le comité européen de la protection des données devraient fournir leurs conseils par écrit dans un délai de huit semaines. Ce délai devrait être raccourci en cas d’urgence ou dans d’autres cas jugés appropriés, par exemple lorsque la Commission élabore des actes délégués et des actes d’exécution.

(61) Conformément à l’article 75 du règlement (UE) 2016/679, le secrétariat du comité européen de la protection des données devrait être assuré par le Contrôleur européen de la protection des données.

(62) Dans l’ensemble des institutions et organes de l’Union, un délégué à la protection des données devrait veiller à l’application des dispositions du présent règlement et conseiller les responsables du traitement et les sous-traitants au sujet du respect de leurs obligations. Ce délégué devrait être une personne possédant des connaissances spécialisées dans le domaine du droit et des pratiques en matière de protection des données, qui devrait être désigné notamment en fonction des opérations de traitement de données effectuées par le responsable du traitement ou le sous-traitant et de la protection exigée pour les données à caractère personnel concernées. Ces délégués à la protection des données devraient être en mesure d’exercer leurs fonctions et missions en toute indépendance.

(63) Lorsque des données à caractère personnel sont transférées au départ des institutions et organes de l’Union à des responsables du traitement, sous-traitants ou autres destinataires dans des pays tiers ou à des organisations internationales, le niveau de protection des personnes physiques garanti dans l’Union par le présent règlement devrait être préservé. Il y a lieu d’appliquer les mêmes garanties en cas de transferts ultérieurs de données à caractère personnel au départ du pays tiers ou de l’organisation internationale à des responsables du traitement ou sous- traitants dans le même pays tiers ou dans un pays tiers différent, ou à une autre organisation internationale. En tout état de cause, les transferts vers des pays tiers et des organisations internationales ne peuvent avoir lieu que dans le plein respect du présent règlement ainsi que des libertés et droits fondamentaux inscrits dans la Charte. Un transfert ne pourrait avoir lieu que si, sous réserve des autres dispositions du présent règlement, les conditions énoncées dans les dispositions du présent règlement relatives au transfert de données à caractère personnel vers des pays tiers ou des organisations internationales sont respectées par le responsable du traitement ou le sous-traitant.

L 295/50 FR Journal officiel de l'Union européenne 21.11.2018

(64) La Commission peut décider, en vertu de l’article 45 du règlement (UE) 2016/679 ou de l’article 36 de la directive (UE) 2016/680, qu’un pays tiers, un territoire ou un secteur déterminé dans un pays tiers, ou une organisation internationale offre un niveau adéquat de protection des données. Dans ce cas, les transferts de données à caractère personnel vers ce pays tiers ou cette organisation internationale par une institution ou un organe de l’Union peuvent avoir lieu sans qu’il soit nécessaire d’obtenir une autre autorisation.

(65) En l’absence de décision d’adéquation, le responsable du traitement ou le sous-traitant devrait prendre des mesures pour compenser l’insuffisance de la protection des données dans un pays tiers par des garanties appropriées en faveur de la personne concernée. Ces garanties appropriées peuvent consister à recourir à des clauses types de protection des données adoptées par la Commission, à des clauses types de protection des données adoptées par le Contrôleur européen de la protection des données ou à des clauses contractuelles autorisées par le Contrôleur européen de la protection des données. Lorsque le sous-traitant n’est ni une institution ni un organe de l’Union, lesdites garanties appropriées peuvent également consister en des règles d’entreprise contraignantes, des codes de conduite et des mécanismes de certification utilisés pour les transferts internationaux en vertu du règlement (UE) 2016/679. Ces garanties devraient assurer le respect des exigences en matière de protection des données et des droits des personnes concernées d’une manière appropriée pour le traitement au sein de l’Union, y compris l’existence de droits opposables pour la personne concernée et de voies de droit effectives, ce qui comprend le droit d’engager un recours administratif ou juridictionnel effectif et d’introduire une action en réparation, dans l’Union ou dans un pays tiers. Ces garanties devraient porter, en particulier, sur le respect des principes généraux concernant le traitement des données à caractère personnel et des principes de protection des données dès la conception et par défaut. Des transferts peuvent également être effectués par des institutions et organes de l’Union vers des autorités publiques ou des organismes publics dans des pays tiers ou vers des organisations internationales exerçant des missions ou fonctions correspondantes, y compris sur la base de dispositions à intégrer dans des arrangements administratifs, tels qu’un protocole d’accord, prévoyant des droits opposables et effectifs pour les personnes concernées. L’autorisation du Contrôleur européen de la protection des données devrait être obtenue lorsque ces garanties sont prévues dans des arrangements administratifs qui ne sont pas juridiquement contraignants.

(66) La possibilité qu’ont les responsables du traitement ou les sous-traitants de recourir à des clauses types de protection des données adoptées par la Commission ou par le Contrôleur européen de la protection des données ne devrait pas les empêcher d’inclure ces clauses dans un contrat plus large, tel qu’un contrat entre le sous-traitant et un autre sous- traitant, ni d’y ajouter d’autres clauses ou des garanties supplémentaires, à condition que celles-ci ne contredisent pas, directement ou indirectement, les clauses contractuelles types adoptées par la Commission ou par le Contrôleur européen de la protection des données et qu’elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées. Les responsables du traitement et les sous-traitants devraient être encouragés à fournir des garanties supplémentaires par l’intermédiaire d’engagements contractuels qui viendraient compléter les clauses types de protection des données.

(67) Certains pays tiers adoptent des lois, des règlements et d’autres actes juridiques qui visent à réglementer directement les activités de traitement effectuées par les institutions et organes de l’Union. Il peut s’agir de décisions de juridictions ou d’autorités administratives de pays tiers qui exigent d’un responsable du traitement ou d’un sous- traitant qu’il transfère ou divulgue des données à caractère personnel, et qui ne sont pas fondées sur un accord international en vigueur entre le pays tiers demandeur et l’Union. L’application extraterritoriale de ces lois, règlements et autres actes juridiques peut être contraire au droit international et faire obstacle à la protection des personnes physiques garantie dans l’Union par le présent règlement. Les transferts ne devraient être autorisés que lorsque les conditions fixées par le présent règlement pour les transferts vers les pays tiers sont remplies. Ce peut être le cas, entre autres, lorsque la divulgation est nécessaire pour un motif important d’intérêt public reconnu par le droit de l’Union.

(68) Il y a lieu de prévoir, dans des situations spécifiques, la possibilité de transferts dans certains cas où la personne concernée a donné son consentement explicite, lorsque le transfert est occasionnel et nécessaire dans le cadre d’un contrat ou d’une action en justice, qu’il s’agisse d’une procédure judiciaire, administrative ou extrajudiciaire, y compris de procédures devant des organismes de régulation. Il convient également de prévoir la possibilité de transferts lorsque des motifs importants d’intérêt public établis par le droit de l’Union l’exigent, ou lorsque le transfert intervient au départ d’un registre établi par la loi et destiné à être consulté par le public ou par des personnes ayant un intérêt légitime. Dans ce dernier cas, ce transfert ne devrait pas porter sur la totalité des données à caractère personnel ni sur des catégories entières de données contenues dans le registre, à moins que le droit de l’Union ne l’autorise, et, lorsque ledit registre est destiné à être consulté par des personnes ayant un intérêt légitime, le transfert ne devrait être effectué qu’à la demande de ces personnes ou lorsqu’elles doivent en être les destinataires, compte dûment tenu des intérêts et des droits fondamentaux de la personne concernée.

(69) Ces dérogations devraient s’appliquer en particulier aux transferts de données requis et nécessaires pour des motifs importants d’intérêt public, par exemple en cas d’échange international de données entre institutions et organes de l’Union et autorités de la concurrence, administrations fiscales ou douanières, autorités de surveillance financière, services chargés des questions de sécurité sociale ou relatives à la santé publique, par exemple aux fins de la recherche des contacts des personnes atteintes de maladies contagieuses ou en vue de réduire et/ou d’éliminer le dopage dans le sport. Le transfert de données à caractère personnel devrait également être considéré comme licite

21.11.2018 FR Journal officiel de l'Union européenne L 295/51

lorsqu’il est nécessaire pour protéger un intérêt essentiel pour la sauvegarde des intérêts vitaux, y compris l’intégrité physique ou la vie, de la personne concernée ou d’une autre personne, si la personne concernée se trouve dans l’incapacité de donner son consentement. En l’absence de décision d’adéquation, le droit de l’Union peut, pour des motifs importants d’intérêt public, fixer expressément des limites au transfert de catégories spécifiques de données vers un pays tiers ou une organisation internationale. Tout transfert vers une organisation humanitaire internationale de données à caractère personnel d’une personne concernée qui se trouve dans l’incapacité physique ou juridique de donner son consentement, en vue d’accomplir une mission relevant des conventions de Genève ou de respecter le droit humanitaire international applicable dans les conflits armés, pourrait être considéré comme nécessaire pour des motifs importants d’intérêt public ou parce que ce transfert est dans l’intérêt vital de la personne concernée.

(70) En tout état de cause, lorsque la Commission ne s’est pas prononcée sur le caractère adéquat du niveau de protection des données dans un pays tiers, le responsable du traitement ou le sous-traitant devrait adopter des solutions qui garantissent aux personnes concernées des droits opposables et effectifs en ce qui concerne le traitement de leurs données dans l’Union une fois que ces données ont été transférées, de façon que lesdites personnes continuent de bénéficier des droits fondamentaux et des garanties.

(71) Lorsque des données à caractère personnel franchissent les frontières extérieures de l’Union, cela peut accroître le risque que les personnes physiques ne puissent exercer leurs droits liés à la protection des données, notamment pour se protéger de l’utilisation ou de la divulgation illicite de ces informations. De même, les autorités de contrôle nationales et le Contrôleur européen de la protection des données peuvent être confrontés à l’impossibilité d’examiner des réclamations ou de mener des enquêtes sur les activités échappant à leur compétence territoriale. Leurs efforts pour collaborer dans un contexte transfrontière peuvent également être freinés par les pouvoirs insuffisants dont ils disposent en matière de prévention ou de recours, par l’hétérogénéité des régimes juridiques et par des obstacles pratiques tels que le manque de ressources. Par conséquent, une coopération plus étroite entre le Contrôleur européen de la protection des données et les autorités de contrôle nationales devrait être encouragée afin de favoriser l’échange d’informations avec leurs homologues internationaux.

(72) La mise en place, dans le règlement (CE) no 45/2001, du Contrôleur européen de la protection des données, qui est habilité à exercer ses missions et ses pouvoirs en toute indépendance, est un élément essentiel de la protection des personnes physiques à l’égard du traitement de leurs données à caractère personnel. Le présent règlement devrait davantage renforcer et préciser son rôle et son indépendance. Il convient que le Contrôleur européen de la protection des données soit une personne offrant toutes les garanties d’indépendance et qui possède, de manière notoire, l’expérience et les compétences requises pour l’exercice des fonctions de Contrôleur européen de la protection des données, par exemple parce qu’elle fait partie ou a fait partie d’une des autorités de contrôle instituées en vertu de l’article 51 du règlement (UE) 2016/679.

(73) Afin de garantir la cohérence dans l’ensemble de l’Union en ce qui concerne l’application des règles en matière de protection des données et le contrôle de leur respect, il convient que le Contrôleur de la protection des données ait les mêmes missions et les mêmes pouvoirs effectifs que les autorités de contrôle nationales, y compris des pouvoirs d’enquête, le pouvoir d’adopter des mesures correctrices et d’infliger des sanctions, ainsi que des pouvoirs d’autorisation et des pouvoirs consultatifs, notamment en cas de réclamation introduite par des personnes physiques, et le pouvoir de porter les violations du présent règlement à l’attention de la Cour et d’ester en justice conformément au droit primaire. Ces pouvoirs devraient également inclure celui d’imposer une limitation temporaire ou définitive au traitement, y compris une interdiction. Afin d’éviter les coûts superflus ainsi que les désagréments excessifs pour les personnes concernées qui pourraient être affectées, chaque mesure prise par le Contrôleur européen de la protection des données devrait être appropriée, nécessaire et proportionnée en vue de garantir le respect du présent règlement, devrait tenir compte des circonstances de chaque cas et respecter le droit de chacun d’être entendu avant l’adoption d’une mesure le concernant. Toute mesure juridiquement contraignante prise par le Contrôleur européen de la protection des données devrait être présentée par écrit, être claire et dénuée d’ambiguïté, indiquer la date à laquelle la mesure a été prise, porter la signature du Contrôleur européen de la protection des données, exposer les motifs justifiant la mesure et mentionner le droit à un recours effectif.

(74) La compétence en matière de contrôle dont est investi le Contrôleur européen de la protection des données ne devrait pas concerner le traitement des données à caractère personnel effectué par la Cour dans l’exercice de ses fonctions juridictionnelles, afin de préserver l’indépendance de la Cour dans l’accomplissement de ses missions judiciaires, y compris lorsqu’elle prend des décisions. Pour ce type d’opérations de traitement, la Cour devrait mettre en place un contrôle indépendant, conformément à l’article 8, paragraphe 3, de la Charte, par exemple au moyen d’un mécanisme interne.

(75) Les décisions du Contrôleur européen de la protection des données ayant trait aux exceptions, garanties, autorisations et conditions relatives aux opérations de traitement de données, telles que définies dans le présent règlement, devraient être publiées dans le rapport d’activité. Indépendamment de la publication annuelle du rapport d’activité, le Contrôleur européen de la protection des données peut publier des rapports sur des sujets spécifiques.

L 295/52 FR Journal officiel de l'Union européenne 21.11.2018

(76) Il convient que le Contrôleur européen de la protection des données agisse dans le respect du règlement (CE) no 1049/2001 du Parlement européen et du Conseil (1).

(77) Les autorités de contrôle nationales surveillent l’application du règlement (UE) 2016/679 et contribuent à ce que cette application soit cohérente dans l’ensemble de l’Union, afin de protéger les personnes physiques à l’égard du traitement de leurs données à caractère personnel et de faciliter la libre circulation des données à caractère personnel dans le marché intérieur. Afin de rendre plus cohérente l’application des règles en matière de protection des données applicables dans les États membres et l’application des règles en matière de protection des données applicables aux institutions et organes de l’Union, le Contrôleur européen de la protection des données devrait coopérer efficacement avec les autorités de contrôle nationales.

(78) Dans certains cas, le droit de l’Union prévoit un modèle de contrôle coordonné, partagé entre le Contrôleur européen de la protection des données et les autorités de contrôle nationales. Le Contrôleur européen de la protection des données est également l’autorité de contrôle d’Europol et à ces fins, un modèle spécifique de coopération avec les autorités de contrôle nationales a été mis en place dans le cadre d’un comité de coopération exerçant une fonction consultative. Afin d’améliorer l’efficacité de la surveillance et du contrôle de l’application des règles matérielles relatives à la protection des données, un modèle unique et cohérent de contrôle coordonné devrait être introduit dans l’Union. La Commission devrait donc, s’il y a lieu, soumettre des propositions législatives visant à modifier les actes juridiques de l’Union qui organisent un modèle de contrôle coordonné afin de les aligner sur le modèle de contrôle coordonné prévu par le présent règlement. Le comité européen de la protection des données devrait servir de forum unique pour garantir un contrôle coordonné efficace dans tous les domaines.

(79) Toute personne concernée devrait avoir le droit d’introduire une réclamation auprès du Contrôleur européen de la protection des données et disposer du droit à un recours juridictionnel effectif devant la Cour conformément aux traités si elle estime que les droits que lui confère le présent règlement sont violés ou si le Contrôleur européen de la protection des données ne donne pas à la suite de sa réclamation, la refuse ou la rejette, en tout ou en partie, ou s’il n’agit pas alors qu’une action est nécessaire pour protéger les droits de la personne concernée. L’enquête faisant suite à une réclamation devrait être menée, sous réserve d’un contrôle juridictionnel, dans la mesure appropriée au cas d’espèce. Le Contrôleur européen de la protection des données devrait informer la personne concernée de l’état d’avancement et du résultat de la réclamation dans un délai raisonnable. Si l’affaire exige de se coordonner davantage avec une autorité de contrôle nationale, des informations intermédiaires devraient être fournies à la personne concernée. Afin de faciliter l’introduction des réclamations, le Contrôleur européen de la protection des données devrait prendre des mesures telles que la mise à disposition d’un formulaire de réclamation qui peut être également rempli par voie électronique, sans que d’autres moyens de communication ne soient exclus.

(80) Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement devrait avoir le droit d’obtenir la réparation du dommage subi auprès du responsable du traitement ou du sous-traitant, sous réserve des conditions prévues par les traités.

(81) Afin de renforcer le rôle de contrôle du Contrôleur européen de la protection des données et la mise en œuvre effective du présent règlement, le Contrôleur européen de la protection des données devrait être habilité à imposer des amendes administratives en tant que sanction de dernier recours. Ces amendes devraient avoir pour objectif de sanctionner l’institution ou l’organe de l’Union — plutôt que des personnes — qui ne respecte pas le présent règlement, afin de dissuader toute violation future du présent règlement et de promouvoir une culture de la protection des données à caractère personnel au sein des institutions et organes de l’Union. Le présent règlement devrait indiquer les infractions soumises à des amendes administratives ainsi que les plafonds et critères pour fixer les amendes correspondantes. Le Contrôleur européen de la protection des données devrait déterminer le montant des amendes dans chaque cas d’espèce, en prenant en considération toutes les caractéristiques propres à chaque cas et compte dûment tenu de la nature, de la gravité et de la durée de la violation et de ses conséquences, ainsi que des mesures prises pour garantir le respect des obligations découlant du présent règlement et pour prévenir ou atténuer les conséquences de la violation. Lorsqu’il impose une amende administrative à une institution ou un organe de l’Union, le Contrôleur européen de la protection des données devrait veiller à la proportionnalité du montant de cette amende. La procédure administrative pour imposer des amendes aux institutions et organes de l’Union devrait respecter les principes généraux du droit de l’Union tels qu’ils sont interprétés par la Cour.

(82) Lorsqu’une personne concernée estime que les droits que lui confère le présent règlement sont violés, elle devrait avoir le droit de mandater un organisme, une organisation ou une association à but non lucratif, constitué conformément au droit de l’Union ou au droit d’un État membre, dont les objectifs statutaires sont d’intérêt public et qui est actif dans le domaine de la protection des données à caractère personnel, pour qu’il introduise une

21.11.2018 FR Journal officiel de l'Union européenne L 295/53

(1) Règlement (CE) no 1049/2001 du Parlement européen et du Conseil du 30 mai 2001 relatif à l’accès du public aux documents du Parlement européen, du Conseil et de la Commission (JO L 145 du 31.5.2001, p. 43).

réclamation en son nom auprès du Contrôleur européen de la protection des données. L’organisme, l’organisation ou l’association en question devrait également pouvoir exercer le droit à un recours juridictionnel au nom de personnes concernées ou exercer le droit d’obtenir réparation au nom de personnes concernées.

(83) Un fonctionnaire ou autre agent de l’Union qui ne respecte pas les obligations lui incombant en vertu du présent règlement devrait être passible d’une action disciplinaire ou d’une autre action, conformément aux règles et procédures prévues dans le statut des fonctionnaires de l’Union européenne et dans le régime applicable aux autres agents de l’Union, fixés par le règlement (CEE, Euratom, CECA) no 259/68 du Conseil (1) (ci-après dénommé «statut»).

(84) Afin d’assurer des conditions uniformes d’exécution du présent règlement, il convient de conférer des compétences d’exécution à la Commission. Ces compétences devraient être exercées en conformité avec le règlement (UE) no 182/ 2011 du Parlement européen et du Conseil (2). Il y a lieu d’avoir recours à la procédure d’examen pour l’adoption de clauses contractuelles types entre les responsables du traitement et les sous-traitants ainsi qu’entre les sous-traitants, pour l’adoption d’une liste d’opérations de traitement qui requièrent la consultation préalable du Contrôleur européen de la protection des données par les responsables du traitement procédant à un traitement de données à caractère personnel dans le cadre de l’exécution d’une mission d’intérêt public, et pour l’adoption de clauses contractuelles types mettant en place des garanties appropriées pour les transferts internationaux.

(85) Les informations confidentielles que les autorités statistiques de l’Union et des États membres recueillent pour élaborer des statistiques officielles européennes et nationales devraient être protégées. Les statistiques européennes devraient être mises au point, élaborées et diffusées conformément aux principes statistiques énoncés à l’article 338, paragraphe 2, du traité sur le fonctionnement de l’Union européenne. Le règlement (CE) no 223/2009 du Parlement européen et du Conseil (3) contient d’autres dispositions particulières relatives aux statistiques européennes couvertes par le secret.

(86) Il convient d’abroger le règlement (CE) no 45/2001 et la décision no 1247/2002/CE du Parlement européen, du Conseil et de la Commission (4). Les références faites au règlement et à la décision abrogés devraient s’entendre comme faites au présent règlement.

(87) Afin de garantir la parfaite indépendance des membres de l’autorité de contrôle indépendante, le présent règlement devrait rester sans effet sur le mandat de l’actuel Contrôleur européen de la protection des données et de l’actuel Contrôleur adjoint. Le Contrôleur adjoint actuel devrait exercer ses fonctions jusqu’à la fin de son mandat, à moins que l’une des conditions justifiant qu’il soit mis fin prématurément au mandat du Contrôleur européen de la protection des données, énoncées dans le présent règlement, ne soit remplie. Les dispositions pertinentes du présent règlement devraient s’appliquer au Contrôleur adjoint jusqu’à la fin de son mandat.

(88) Conformément au principe de proportionnalité, il est nécessaire et approprié, afin de mettre en œuvre l’objectif fondamental consistant à garantir un niveau de protection des personnes physiques équivalent en ce qui concerne le traitement des données à caractère personnel et la libre circulation des données à caractère personnel dans l’ensemble de l’Union, de définir des règles relatives au traitement des données à caractère personnel dans les institutions et organes de l’Union. Le présent règlement n’excède pas ce qui est nécessaire pour atteindre les objectifs poursuivis, conformément à l’article 5, paragraphe 4, du traité sur l’Union européenne.

(89) Le Contrôleur européen de la protection des données a été consulté conformément à l’article 28, paragraphe 2, du règlement (CE) no 45/2001, et a rendu son avis le 15 mars 2017 (5),

L 295/54 FR Journal officiel de l'Union européenne 21.11.2018

(1) JO L 56 du 4.3.1968, p. 1. (2) Règlement (UE) no 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux

relatifs aux modalités de contrôle par les États membres de l’exercice des compétences d’exécution par la Commission (JO L 55 du 28.2.2011, p. 13).

(3) Règlement (CE) no 223/2009 du Parlement européen et du Conseil du 11 mars 2009 relatif aux statistiques européennes et abrogeant le règlement (CE, Euratom) no 1101/2008 du Parlement européen et du Conseil relatif à la transmission à l’Office statistique des Communautés européennes d’informations statistiques couvertes par le secret, le règlement (CE) no 322/97 du Conseil relatif à la statistique communautaire et la décision 89/382/CEE, Euratom du Conseil instituant un comité du programme statistique des Communautés européennes (JO L 87 du 31.3.2009, p. 164).

(4) Décision no 1247/2002/CE du Parlement européen, du Conseil et de la Commission du 1er juillet 2002 relative au statut et aux conditions générales d’exercice des fonctions de contrôleur européen de la protection des données (JO L 183 du 12.7.2002, p. 1).

(5) JO C 164 du 24.5.2017, p. 2.

ONT ADOPTÉ LE PRÉSENT RÈGLEMENT:

CHAPITRE I

DISPOSITIONS GÉNÉRALES

Article premier

Objet et objectifs

1. Le présent règlement établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes de l’Union et des règles relatives à la libre circulation des données à caractère personnel entre ces institutions et organes ou vers d’autres destinataires établis dans l’Union.

2. Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel.

3. Le Contrôleur européen de la protection des données contrôle l’application des dispositions du présent règlement à tous les traitements effectués par une institution ou un organe de l’Union.

Article 2

Champ d’application

1. Le présent règlement s’applique au traitement de données à caractère personnel par toutes les institutions et tous les organes de l’Union.

2. Seuls l’article 3 et le chapitre IX du présent règlement s’appliquent au traitement des données opérationnelles à caractère personnel par les organes et organismes de l’Union lorsqu’ils exercent des activités relevant du champ d’application de la troisième partie, titre V, chapitre 4 ou 5, du traité sur le fonctionnement de l’Union européenne.

3. Le présent règlement ne s’applique au traitement des données opérationnelles à caractère personnel par Europol et le Parquet européen qu’une fois que le règlement (UE) 2016/794 du Parlement européen et du Conseil (1) et le règlement (UE) 2017/1939 du Conseil (2) ont été adaptés conformément à l’article 98 du présent règlement.

4. Le présent règlement ne s’applique pas au traitement des données à caractère personnel par les missions visées à l’article 42, paragraphe 1, et aux articles 43 et 44 du traité sur l’Union européenne.

5. Le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

Article 3

Définitions

Aux fins du présent règlement, on entend par:

1) «données à caractère personnel»: toute information se rapportant à une personne physique identifiée ou identifiable (ci- après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;

2) «données opérationnelles à caractère personnel»: toutes les données à caractère personnel traitées par les organes ou organismes de l’Union lorsqu’ils exercent des activités relevant du champ d’application de la troisième partie, titre V, chapitre 4 ou 5, du traité sur le fonctionnement de l’Union européenne pour réaliser les objectifs et missions fixés dans les actes juridiques portant création desdits organes ou organismes;

21.11.2018 FR Journal officiel de l'Union européenne L 295/55

(1) Règlement (UE) 2016/794 du Parlement européen et du Conseil du 11 mai 2016 relatif à l’Agence de l’Union européenne pour la coopération des services répressifs (Europol) et remplaçant et abrogeant les décisions du Conseil 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI et 2009/968/JAI (JO L 135 du 24.5.2016, p. 53).

(2) Règlement (UE) 2017/1939 du Conseil du 12 octobre 2017 mettant en œuvre une coopération renforcée concernant la création du Parquet européen (JO L 283 du 31.10.2017, p. 1).

3) «traitement»: toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction;

4) «limitation du traitement»: le marquage de données à caractère personnel conservées, en vue de limiter leur traitement futur;

5) «profilage»: toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique;

6) «pseudonymisation»: le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable;

7) «fichier»: tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique;

8) «responsable du traitement»: l’institution ou l’organe de l’Union ou la direction générale ou toute autre entité organisationnelle qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel; lorsque les finalités et les moyens dudit traitement sont déterminés par un acte spécifique de l’Union, le responsable du traitement ou les critères spécifiques applicables pour le désigner peuvent être prévus par le droit de l’Union;

9) «responsables du traitement autres que les institutions et organes de l’Union»: les responsables du traitement au sens de l’article 4, point 7), du règlement (UE) 2016/679 et les responsables du traitement au sens de l’article 3, point 8), de la directive (UE) 2016/680;

10) «institutions et organes de l’Union»: les institutions, organes et organismes de l’Union créés par le traité sur l’Union européenne, le traité sur le fonctionnement de l’Union européenne ou le traité Euratom, ou en vertu de ces traités;

11) «autorité compétente»: toute autorité publique d’un État membre compétente pour la prévention et la détection des infractions pénales, les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces;

12) «sous-traitant»: la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement;

13) «destinataire»: la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication des données à caractère personnel, qu’il s’agisse ou non d’un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d’une mission d’enquête particulière conformément au droit de l’Union ou au droit d’un État membre ne sont pas considérées comme des destinataires; le traitement de ces données par les autorités publiques en question est conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement;

14) «tiers»: une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel;

15) «consentement» de la personne concernée: toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement;

16) «violation de données à caractère personnel»: une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données;

17) «données génétiques»: les données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d’une personne physique qui donnent des informations uniques sur la physiologie ou l’état de santé de cette personne physique et qui résultent, notamment, d’une analyse d’un échantillon biologique de la personne physique en question;

L 295/56 FR Journal officiel de l'Union européenne 21.11.2018

18) «données biométriques»: les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques;

19) «données concernant la santé»: les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne;

20) «service de la société de l’information»: un service au sens de l’article 1er, paragraphe 1, point b), de la directive (UE) 2015/1535 du Parlement européen et du Conseil (1);

21) «organisation internationale»: une organisation internationale et les organismes de droit public international qui en relèvent, ou tout autre organisme qui est créé par un accord entre deux pays ou plus, ou en vertu d’un tel accord;

22) «autorité de contrôle nationale»: une autorité publique indépendante instituée par un État membre en vertu de l’article 51 du règlement (UE) 2016/679 ou de l’article 41 de la directive (UE) 2016/680;

23) «utilisateur»: toute personne physique utilisant un réseau ou un équipement terminal fonctionnant sous le contrôle d’une institution ou d’un organe de l’Union;

24) «annuaire»: un annuaire des utilisateurs accessible au public ou un annuaire interne des utilisateurs disponible dans une institution ou un organe de l’Union ou partagé entre des institutions et organes de l’Union, que ce soit sous forme imprimée ou électronique;

25) «réseau de communications électroniques»: les systèmes de transmission, qu’ils soient ou non fondés sur une infrastructure permanente ou une capacité d’administration centralisée et, le cas échéant, les équipements de commutation ou de routage et les autres ressources, y compris les éléments de réseau qui ne sont pas actifs, qui permettent l’acheminement de signaux par câble, par voie hertzienne, par moyen optique ou par d’autres moyens électromagnétiques, comprenant les réseaux satellitaires, les réseaux de Terre fixes (avec commutation de circuits ou de paquets, y compris l’internet) et mobiles, les systèmes utilisant le réseau électrique, pour autant qu’ils servent à la transmission de signaux, les réseaux utilisés pour la radiodiffusion sonore et télévisuelle et les réseaux câblés de télévision, quel que soit le type d’information transmise;

26) «équipement terminal»: l’équipement terminal au sens de l’article 1er, point 1), de la directive 2008/63/CE de la Commission (2).

CHAPITRE II

PRINCIPES GÉNÉRAUX

Article 4

Principes relatifs au traitement des données à caractère personnel

1. Les données à caractère personnel doivent être:

a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence);

b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités; le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré, conformément à l’article 13, comme incompatible avec les finalités initiales (limitation des finalités);

c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données);

d) exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude);

21.11.2018 FR Journal officiel de l'Union européenne L 295/57

(1) Directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015 prévoyant une procédure d’information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l’information (JO L 241 du 17.9.2015, p. 1).

(2) Directive 2008/63/CE de la Commission du 20 juin 2008 relative à la concurrence dans les marchés des équipements terminaux de télécommunications (JO L 162 du 21.6.2008, p. 20).

e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 13, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation);

f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité).

2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité).

Article 5

Licéité du traitement

1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie:

a) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi l’institution ou l’organe de l’Union;

b) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis;

c) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci;

d) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;

e) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique.

2. Le fondement du traitement visé au paragraphe 1, points a) et b), est inscrit dans le droit de l’Union.

Article 6

Le traitement à une autre fin compatible

Lorsque le traitement à une fin autre que celle pour laquelle les données ont été collectées n’est pas fondé sur le consentement de la personne concernée ou sur le droit de l’Union qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir les objectifs visés à l’article 25, paragraphe 1, le responsable du traitement, afin de déterminer si le traitement à une autre fin est compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées, tient compte, entre autres:

a) de l’existence éventuelle d’un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé;

b) du contexte dans lequel les données à caractère personnel ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement;

c) de la nature des données à caractère personnel, en particulier si le traitement porte sur des catégories particulières de données à caractère personnel, en vertu de l’article 10, ou si des données à caractère personnel relatives à des condamnations pénales et à des infractions sont traitées, en vertu de l’article 11;

d) des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées;

e) de l’existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation.

Article 7

Conditions applicables au consentement

1. Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant.

2. Si le consentement de la personne concernée est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples. Aucune partie de cette déclaration qui constitue une violation du présent règlement n’est contraignante.

L 295/58 FR Journal officiel de l'Union européenne 21.11.2018

3. La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La personne concernée en est informée avant de donner son consentement. Il est aussi simple de retirer que de donner son consentement.

4. Au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat.

Article 8

Conditions applicables au consentement de l’enfant en ce qui concerne les services de la société de l’information

1. Lorsque l’article 5, paragraphe 1, point d), s’applique, en ce qui concerne l’offre directe de services de la société de l’information aux enfants, le traitement des données à caractère personnel relatives à un enfant est licite lorsque l’enfant est âgé d’au moins treize ans. Lorsque l’enfant est âgé de moins de treize ans, ce traitement n’est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant.

2. Le responsable du traitement s’efforce raisonnablement de vérifier, en pareil cas, que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant, compte tenu des moyens technologiques disponibles.

3. Le paragraphe 1 ne porte pas atteinte au droit général des contrats des États membres, notamment aux règles concernant la validité, la formation ou les effets d’un contrat à l’égard d’un enfant.

Article 9

Transmission de données à caractère personnel à des destinataires établis dans l’Union autres que les institutions et organes de l’Union

1. Sans préjudice des articles 4 à 6 et de l’article 10, des données à caractère personnel ne sont transmises à des destinataires établis dans l’Union autres que les institutions et organes de l’Union que si:

a) le destinataire établit que les données sont nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le destinataire; ou

b) le destinataire établit qu’il est nécessaire que ces données soient transmises dans un but spécifique d’intérêt public et le responsable du traitement établit, s’il existe des raisons de penser que cette transmission pourrait porter atteinte aux intérêts légitimes de la personne concernée, qu’il est proportionné de transmettre les données à caractère personnel à cette fin précise, après avoir mis en balance, d’une manière vérifiable, les divers intérêts concurrents.

2. Lorsque la transmission au titre du présent article a lieu sur l’initiative du responsable du traitement, celui-ci démontre que la transmission de données à caractère personnel est nécessaire et proportionnée à ses finalités, en appliquant les critères énoncés au paragraphe 1, point a) ou b).

3. Les institutions et organes de l’Union concilient le droit à la protection des données à caractère personnel avec le droit d’accès aux documents conformément au droit de l’Union.

Article 10

Traitement portant sur des catégories particulières de données à caractère personnel

1. Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits.

2. Le paragraphe 1 ne s’applique pas si l’une des conditions suivantes est remplie:

a) la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l’Union prévoit que l’interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée;

b) le traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où ce traitement est autorisé par le droit de l’Union qui prévoit des garanties appropriées pour les droits fondamentaux et les intérêts de la personne concernée;

c) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne dans le cas où la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement;

21.11.2018 FR Journal officiel de l'Union européenne L 295/59

d) le traitement est effectué, dans le cadre de ses activités légitimes et moyennant les garanties appropriées, par un organisme à but non lucratif constituant une entité intégrée dans une institution ou un organe de l’Union et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres de cet organisme ou aux personnes entretenant avec celui-ci des contacts réguliers en liaison avec ses finalités et que les données ne soient pas communiquées en dehors de cet organisme sans le consentement des personnes concernées;

e) le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée;

f) le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice ou chaque fois que la Cour agit dans le cadre de ses fonctions juridictionnelles;

g) le traitement est nécessaire pour des motifs d’intérêt public important, sur la base du droit de l’Union qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée;

h) le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale sur la base du droit de l’Union ou en vertu d’un contrat conclu avec un professionnel de la santé et soumis aux conditions et garanties visées au paragraphe 3;

i) le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux, sur la base du droit de l’Union qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée, notamment le secret professionnel; ou

j) le traitement est nécessaire à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, sur la base du droit de l’Union qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée.

3. Les données à caractère personnel visées au paragraphe 1 peuvent faire l’objet d’un traitement aux fins prévues au paragraphe 2, point h), si ces données sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel conformément au droit de l’Union ou au droit d’un État membre, ou aux règles arrêtées par les organismes nationaux compétents, ou sous la responsabilité d’un tel professionnel, ou par une autre personne également soumise à une obligation de secret conformément au droit de l’Union ou au droit d’un État membre, ou aux règles arrêtées par les organismes nationaux compétents.

Article 11

Traitement de données à caractère personnel relatives aux condamnations pénales et aux infractions

Le traitement de données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes fondé sur l’article 5, paragraphe 1, ne peut être effectué que sous le contrôle de l’autorité publique ou si le traitement est autorisé par le droit de l’Union qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées.

Article 12

Traitement ne nécessitant pas l’identification

1. Si les finalités pour lesquelles des données à caractère personnel sont traitées n’imposent pas ou n’imposent plus au responsable du traitement d’identifier une personne concernée, celui-ci n’est pas tenu de conserver, d’obtenir ou de traiter des informations supplémentaires pour identifier la personne concernée à la seule fin de respecter le présent règlement.

2. Lorsque, dans les cas visés au paragraphe 1 du présent article, le responsable du traitement est à même de démontrer qu’il n’est pas en mesure d’identifier la personne concernée, il en informe la personne concernée, si possible. En pareils cas, les articles 17 à 22 ne sont pas applicables, sauf lorsque la personne concernée fournit, aux fins d’exercer les droits que lui confèrent ces articles, des informations complémentaires qui permettent de l’identifier.

L 295/60 FR Journal officiel de l'Union européenne 21.11.2018

Article 13

Garanties applicables au traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques

Le traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques est soumis, conformément au présent règlement, à des garanties appropriées pour les droits et libertés de la personne concernée. Ces garanties garantissent la mise en place de mesures techniques et organisationnelles, en particulier pour assurer le respect du principe de minimisation des données. Ces mesures peuvent comprendre la pseudonymisation, dans la mesure où ces finalités peuvent être atteintes de cette manière. Chaque fois que ces finalités peuvent être atteintes par un traitement ultérieur ne permettant pas ou plus l’identification des personnes concernées, il convient de procéder de cette manière.

CHAPITRE III

DROITS DE LA PERSONNE CONCERNÉE

SECTION 1

Transparence et modalités

Article 14

Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée

1. Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 15 et 16 ainsi que pour procéder à toute communication au titre des articles 17 à 24 et de l’article 35 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens, y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens.

2. Le responsable du traitement facilite l’exercice des droits conférés à la personne concernée au titre des articles 17 à 24. Dans les cas visés à l’article 12, paragraphe 2, le responsable du traitement ne refuse pas de donner suite à la demande de la personne concernée d’exercer les droits que lui confèrent les articles 17 à 24, à moins que le responsable du traitement ne démontre qu’il n’est pas en mesure d’identifier la personne concernée.

3. Le responsable du traitement fournit à la personne concernée des informations sur les mesures prises à la suite d’une demande formulée en application des articles 17 à 24, dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. Le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d’un mois à compter de la réception de la demande. Lorsque la personne concernée présente sa demande sous une forme électronique, les informations sont fournies par voie électronique lorsque cela est possible, à moins que la personne concernée ne demande qu’il en soit autrement.

4. Si le responsable du traitement ne donne pas à la suite de la demande formulée par la personne concernée, il informe celle-ci sans tarder, et au plus tard dans un délai d’un mois à compter de la réception de la demande, des motifs de son inaction et de la possibilité d’introduire une réclamation auprès du Contrôleur européen de la protection des données et de former un recours juridictionnel.

5. Aucun paiement n’est exigé pour fournir les informations au titre des articles 15 et 16 et pour procéder à une communication et prendre une mesure au titre des articles 17 à 24 et de l’article 35. Lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut refuser de donner suite à la demande. Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande.

6. Sans préjudice de l’article 12, lorsque le responsable du traitement a des doutes raisonnables quant à l’identité de la personne physique présentant la demande visée aux articles 17 à 23, il peut demander que lui soient fournies des informations supplémentaires nécessaires pour confirmer l’identité de la personne concernée.

7. Les informations à communiquer aux personnes concernées en application des articles 15 et 16 peuvent être fournies accompagnées d’icônes normalisées afin d’offrir une bonne vue d’ensemble, facilement visible, compréhensible et clairement lisible, du traitement prévu. Lorsque les icônes sont présentées par voie électronique, elles sont lisibles par machine.

21.11.2018 FR Journal officiel de l'Union européenne L 295/61

8. Lorsque la Commission adopte des actes délégués en vertu de l’article 12, paragraphe 8, du règlement (UE) 2016/679 aux fins de déterminer les informations à présenter sous la forme d’icônes ainsi que les procédures régissant la fourniture d’icônes normalisées, les institutions et organes de l’Union fournissent, le cas échéant, les informations requises en vertu des articles 15 et 16 du présent règlement en combinaison avec ces icônes normalisées.

SECTION 2

Informations et accès aux données à caractère personnel

Article 15

Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée

1. Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes:

a) l’identité et les coordonnées du responsable du traitement;

b) les coordonnées du délégué à la protection des données;

c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement;

d) le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel;

e) le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou, dans le cas des transferts visés à l’article 48, la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition.

2. En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée, au moment où les données à caractère personnel sont obtenues, les informations complémentaires suivantes qui sont nécessaires pour garantir un traitement équitable et transparent:

a) la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée;

b) l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou, le cas échéant, du droit de s’opposer au traitement ou du droit à la portabilité des données;

c) lorsque le traitement est fondé sur l’article 5, paragraphe 1, point d), ou sur l’article 10, paragraphe 2, point a), l’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci;

d) le droit d’introduire une réclamation auprès du Contrôleur européen de la protection des données;

e) des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences possibles de la non-fourniture de ces données;

f) l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 24, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.

3. Lorsqu’il a l’intention d’effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle elles ont été collectées, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente visée au paragraphe 2.

4. Les paragraphes 1, 2 et 3 ne s’appliquent pas lorsque, et dans la mesure où, la personne concernée dispose déjà de ces informations.

L 295/62 FR Journal officiel de l'Union européenne 21.11.2018

Article 16

Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée

1. Lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations suivantes:

a) l’identité et les coordonnées du responsable du traitement;

b) les coordonnées du délégué à la protection des données;

c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement;

d) les catégories de données à caractère personnel concernées;

e) le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel;

f) le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel à un destinataire dans un pays tiers ou une organisation internationale, et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou, dans le cas des transferts visés à l’article 48, la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition.

2. En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée les informations complémentaires suivantes nécessaires pour garantir un traitement équitable et transparent à l’égard de la personne concernée:

a) la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée;

b) l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou, le cas échéant, du droit de s’opposer au traitement ou du droit à la portabilité des données;

c) lorsque le traitement est fondé sur l’article 5, paragraphe 1, point d), ou sur l’article 10, paragraphe 2, point a), l’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci;

d) le droit d’introduire une réclamation auprès du Contrôleur européen de la protection des données;

e) la source d’où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant si elles sont issues ou non de sources accessibles au public;

f) l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 24, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.

3. Le responsable du traitement fournit les informations visées aux paragraphes 1 et 2:

a) dans un délai raisonnable après avoir obtenu les données à caractère personnel, mais ne dépassant toutefois pas un mois, eu égard aux circonstances particulières dans lesquelles les données à caractère personnel sont traitées;

b) si les données à caractère personnel doivent être utilisées aux fins de la communication avec la personne concernée, au plus tard au moment de la première communication à ladite personne; ou

c) s’il est envisagé de communiquer les informations à un autre destinataire, au plus tard lorsque les données à caractère personnel sont communiquées pour la première fois.

4. Lorsqu’il a l’intention d’effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été obtenues, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente visée au paragraphe 2.

5. Les paragraphes 1 à 4 ne s’appliquent pas lorsque et dans la mesure où:

a) la personne concernée dispose déjà de ces informations;

21.11.2018 FR Journal officiel de l'Union européenne L 295/63

b) la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés, en particulier pour le traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, ou dans la mesure où l’obligation visée au paragraphe 1 du présent article est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement;

c) l’obtention ou la communication des informations sont expressément prévues par le droit de l’Union qui prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée; ou

d) les données à caractère personnel doivent rester confidentielles en vertu d’une obligation de secret professionnel réglementée par le droit de l’Union, y compris une obligation légale de secret professionnel.

6. Dans les cas visés au paragraphe 5, point b), le responsable du traitement prend des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles.

Article 17

Droit d’accès de la personne concernée

1. La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations suivantes:

a) les finalités du traitement;

b) les catégories de données à caractère personnel concernées;

c) les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales;

d) lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée;

e) l’existence du droit de demander au responsable du traitement la rectification ou l’effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s’opposer à ce traitement;

f) le droit d’introduire une réclamation auprès du Contrôleur européen de la protection des données;

g) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source;

h) l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 24, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.

2. Lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d’être informée des garanties appropriées, fournies en vertu de l’article 48, en ce qui concerne ce transfert.

3. Le responsable du traitement fournit une copie des données à caractère personnel faisant l’objet d’un traitement. Lorsque la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d’usage courant, à moins que la personne concernée ne demande qu’il en soit autrement.

4. Le droit d’obtenir une copie visé au paragraphe 3 ne porte pas atteinte aux droits et libertés d’autrui.

SECTION 3

Rectification et effacement

Article 18

Droit de rectification

La personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire.

L 295/64 FR Journal officiel de l'Union européenne 21.11.2018

Article 19

Droit à l’effacement («droit à l’oubli»)

1. La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant, et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique:

a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière;

b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 5, paragraphe 1, point d), ou à l’article 10, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement;

c) la personne concernée s’oppose au traitement en vertu de l’article 23, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement;

d) les données à caractère personnel ont fait l’objet d’un traitement illicite;

e) les données à caractère personnel doivent être effacées pour respecter une obligation légale à laquelle le responsable du traitement est soumis;

f) les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information visée à l’article 8, paragraphe 1.

2. Lorsqu’il a rendu publiques les données à caractère personnel et qu’il est tenu de les effacer en vertu du paragraphe 1, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d’ordre technique, pour informer les responsables du traitement, ou les responsables du traitement autres que les institutions et organes de l’Union, qui traitent ces données à caractère personnel, que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.

3. Les paragraphes 1 et 2 ne s’appliquent pas dans la mesure où ce traitement est nécessaire:

a) à l’exercice du droit à la liberté d’expression et d’information;

b) pour respecter une obligation légale à laquelle le responsable du traitement est soumis, ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement;

c) pour des motifs d’intérêt public dans le domaine de la santé publique, conformément à l’article 10, paragraphe 2, points h) et i), ainsi qu’à l’article 10, paragraphe 3;

d) à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, dans la mesure où le droit visé au paragraphe 1 est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement; ou

e) à la constatation, à l’exercice ou à la défense de droits en justice.

Article 20

Droit à la limitation du traitement

1. La personne concernée a le droit d’obtenir du responsable du traitement la limitation du traitement lorsque l’un des éléments suivants s’applique:

a) l’exactitude des données à caractère personnel est contestée par la personne concernée, pendant une durée permettant au responsable du traitement de vérifier l’exactitude, y compris l’exhaustivité, des données à caractère personnel;

b) le traitement est illicite et la personne concernée s’oppose à leur effacement et exige à la place la limitation de leur utilisation;

c) le responsable du traitement n’a plus besoin des données à caractère personnel aux fins du traitement, mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice;

d) la personne concernée s’est opposée au traitement en vertu de l’article 23, paragraphe 1, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée.

21.11.2018 FR Journal officiel de l'Union européenne L 295/65

2. Lorsque le traitement a été limité en vertu du paragraphe 1, ces données à caractère personnel ne peuvent, à l’exception de la conservation, être traitées qu’avec le consentement de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice, ou pour la protection des droits d’une autre personne physique ou morale, ou encore pour des motifs importants d’intérêt public de l’Union ou d’un État membre.

3. Une personne concernée qui a obtenu la limitation du traitement en vertu du paragraphe 1 est informée par le responsable du traitement avant que la limitation du traitement ne soit levée.

4. En ce qui concerne les fichiers automatisés, la limitation du traitement est en principe assurée par des moyens techniques. Le fait que les données à caractère personnel font l’objet d’une limitation est indiqué dans le fichier de façon à ce qu’il apparaisse clairement que les données à caractère personnel ne peuvent pas être utilisées.

Article 21

Obligation de notification en ce qui concerne la rectification ou l’effacement de données à caractère personnel ou la limitation du traitement

Le responsable du traitement notifie à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement effectués conformément à l’article 18, à l’article 19, paragraphe 1, et à l’article 20, à moins qu’une telle communication se révèle impossible ou exige des efforts disproportionnés. Le responsable du traitement fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande.

Article 22

Droit à la portabilité des données

1. Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle, lorsque:

a) le traitement est fondé sur le consentement en application de l’article 5, paragraphe 1, point d), ou de l’article 10, paragraphe 2, point a), ou sur un contrat en application de l’article 5, paragraphe 1, point c); et

b) le traitement est effectué à l’aide de procédés automatisés.

2. Lorsque la personne concernée exerce son droit à la portabilité des données en application du paragraphe 1, elle a le droit d’obtenir que les données à caractère personnel soient transmises directement d’un responsable du traitement à un autre ou à des responsables du traitement autres que les institutions et organes de l’Union, lorsque cela est techniquement possible.

3. L’exercice du droit prévu au paragraphe 1 du présent article s’entend sans préjudice de l’article 19. Ce droit ne s’applique pas au traitement nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.

4. Le droit visé au paragraphe 1 ne porte pas atteinte aux droits et libertés d’autrui.

SECTION 4

Droit d’opposition et prise de décision individuelle automatisée

Article 23

Droit d’opposition

1. La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 5, paragraphe 1, point a), y compris un profilage fondé sur cette disposition. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice.

2. Au plus tard au moment de la première communication avec la personne concernée, le droit visé au paragraphe 1 est explicitement porté à l’attention de la personne concernée et est présenté clairement et séparément de toute autre information.

3. Sans préjudice des articles 36 et 37, dans le cadre de l’utilisation de services de la société de l’information, la personne concernée peut exercer son droit d’opposition à l’aide de procédés automatisés utilisant des spécifications techniques.

L 295/66 FR Journal officiel de l'Union européenne 21.11.2018

4. Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques, la personne concernée a le droit de s’opposer, pour des raisons tenant à sa situation particulière, au traitement de données à caractère personnel la concernant, à moins que le traitement ne soit nécessaire à l’exécution d’une mission d’intérêt public.

Article 24

Décision individuelle automatisée, y compris le profilage

1. La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire.

2. Le paragraphe 1 ne s’applique pas lorsque la décision:

a) est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et le responsable du traitement;

b) est autorisée par le droit de l’Union, qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée; ou

c) est fondée sur le consentement explicite de la personne concernée.

3. Dans les cas visés au paragraphe 2, points a) et c), le responsable du traitement met en œuvre des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée, au moins du droit de la personne concernée d’obtenir une intervention humaine de la part du responsable du traitement, d’exprimer son point de vue et de contester la décision.

4. Les décisions visées au paragraphe 2 du présent article ne peuvent être fondées sur les catégories particulières de données à caractère personnel visées à l’article 10, paragraphe 1, à moins que l’article 10, paragraphe 2, point a) ou g), ne s’applique et que des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ne soient en place.

SECTION 5

Limitations

Article 25

Limitations

1. Des actes juridiques adoptés sur la base des traités ou, pour les questions concernant le fonctionnement des institutions et organes de l’Union, des règles internes fixées par ces derniers peuvent limiter l’application des articles 14 à 22, 35 et 36, ainsi que de l’article 4 dans la mesure où ses dispositions correspondent aux droits et obligations prévus aux articles 14 à 22, lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir:

a) la sécurité nationale, la sécurité publique ou la défense des États membres;

b) la prévention et la détection d’infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces;

c) d’autres objectifs importants d’intérêt public général de l’Union ou d’un État membre, en particulier les objectifs de la politique étrangère et de sécurité commune de l’Union ou un intérêt économique ou financier important de l’Union ou d’un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale;

d) la sécurité interne des institutions et organes de l’Union, notamment de leurs réseaux de communications électroniques;

e) la protection de l’indépendance de la justice et des procédures judiciaires;

f) la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière;

g) une mission de contrôle, d’inspection ou de réglementation liée, même occasionnellement, à l’exercice de l’autorité publique, dans les cas visés aux points a) à c);

h) la protection de la personne concernée ou des droits et libertés d’autrui;

21.11.2018 FR Journal officiel de l'Union européenne L 295/67

i) l’exécution des demandes de droit civil.

2. En particulier, les actes juridiques ou règles internes visés au paragraphe 1 contiennent des dispositions spécifiques, le cas échéant, en ce qui concerne:

a) les finalités du traitement ou des catégories de traitement;

b) les catégories de données à caractère personnel;

c) l’étendue des limitations introduites;

d) les garanties destinées à prévenir les abus ou l’accès ou le transfert illicites;

e) la détermination du responsable du traitement ou des catégories de responsables du traitement;

f) la durée de conservation et les garanties applicables, en tenant compte de la nature, de la portée et des finalités du traitement ou des catégories de traitement; et

g) les risques pour les droits et libertés des personnes concernées.

3. Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques, le droit de l’Union, qui peut inclure des règles internes adoptées par les institutions et organes de l’Union pour ce qui concerne des questions liées à leur fonctionnement, peut prévoir des dérogations aux droits visés aux articles 17, 18, 20 et 23, sous réserve des conditions et des garanties visées à l’article 13, dans la mesure où ces droits risqueraient de rendre impossible ou d’entraver sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités.

4. Lorsque des données à caractère personnel sont traitées à des fins archivistiques dans l’intérêt public, le droit de l’Union, qui peut inclure des règles internes adoptées par les institutions et organes de l’Union pour ce qui concerne des questions liées à leur fonctionnement, peut prévoir des dérogations aux droits visés aux articles 17, 18, 20, 21, 22 et 23, sous réserve des conditions et des garanties visées à l’article 13, dans la mesure où ces droits risqueraient de rendre impossible ou d’entraver sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités.

5. Les règles internes visées aux paragraphes 1, 3 et 4 sont des actes de portée générale, clairs et précis, destinés à produire des effets juridiques vis-à-vis des personnes concernées; elles sont adoptées au niveau le plus élevé de la hiérarchie des institutions et organes de l’Union et font l’objet d’une publication au Journal officiel de l’Union européenne.

6. Si une limitation est imposée en vertu du paragraphe 1, la personne concernée est informée, conformément au droit de l’Union, des principales raisons qui motivent cette limitation et de son droit de saisir le Contrôleur européen de la protection des données.

7. Si une limitation imposée en vertu du paragraphe 1 est invoquée pour refuser l’accès à la personne concernée, le Contrôleur européen de la protection des données lui fait uniquement savoir, lorsqu’il examine la réclamation, si les données ont été traitées correctement et, dans la négative, si toutes les corrections nécessaires ont été apportées.

8. La communication des informations visées aux paragraphes 6 et 7 du présent article et à l’article 45, paragraphe 2, peut être différée, omise ou refusée si elle prive d’effet la limitation imposée en vertu du paragraphe 1 du présent article.

CHAPITRE IV

RESPONSABLE DU TRAITEMENT ET SOUS-TRAITANT

SECTION 1

Obligations générales

Article 26

Responsabilité du responsable du traitement

1. Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire.

L 295/68 FR Journal officiel de l'Union européenne 21.11.2018

2. Lorsque cela est proportionné au regard des activités de traitement, les mesures visées au paragraphe 1 comprennent la mise en œuvre de politiques appropriées en matière de protection des données par le responsable du traitement.

3. L’application de mécanismes de certification approuvés comme le prévoit l’article 42 du règlement (UE) 2016/679 peut servir d’élément pour démontrer le respect des obligations incombant au responsable du traitement.

Article 27

Protection des données dès la conception et protection des données par défaut

1. Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective, et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée.

2. Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée.

3. Un mécanisme de certification approuvé comme le prévoit l’article 42 du règlement (UE) 2016/679 peut servir d’élément pour démontrer le respect des exigences énoncées aux paragraphes 1 et 2 du présent article.

Article 28

Responsables conjoints du traitement

1. Lorsque deux ou plusieurs responsables du traitement ou un ou plusieurs responsables du traitement avec un ou plusieurs responsables du traitement autres que les institutions et organes de l’Union déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. Les responsables conjoints du traitement définissent de manière transparente leurs responsabilités respectives aux fins d’assurer le respect des obligations qui leur incombent en matière de protection des données, notamment en ce qui concerne l’exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informations énumérées aux articles 15 et 16, par voie d’accord entre eux, sauf si, et dans la mesure où, leurs responsabilités respectives sont définies par le droit de l’Union ou par le droit de l’État membre auquel les responsables conjoints du traitement sont soumis. Un point de contact pour les personnes concernées peut être désigné dans l’accord.

2. L’accord visé au paragraphe 1 reflète dûment les rôles respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées. Les grandes lignes de l’accord sont mises à la disposition de la personne concernée.

3. Indépendamment des termes de l’accord visé au paragraphe 1, la personne concernée peut exercer les droits que lui confère le présent règlement à l’égard de et contre chacun des responsables du traitement.

Article 29

Sous-traitant

1. Lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée.

2. Le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d’une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements.

3. Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement, définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement. Ce contrat ou cet autre acte juridique prévoit, notamment, que le sous-traitant:

21.11.2018 FR Journal officiel de l'Union européenne L 295/69

a) ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel il est soumis; dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public;

b) veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité;

c) prend toutes les mesures requises en vertu de l’article 33;

d) respecte les conditions énumérées aux paragraphes 2 et 4 pour recruter un autre sous-traitant;

e) tient compte de la nature du traitement, aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits prévus au chapitre III;

f) aide le responsable du traitement à garantir le respect des obligations prévues aux articles 33 à 41, compte tenu de la nature du traitement et des informations à la disposition du sous-traitant;

g) selon le choix du responsable du traitement, supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation de services relatifs au traitement, et détruit les copies existantes, à moins que le droit de l’Union ou le droit de l’État membre n’exige la conservation des données à caractère personnel; et

h) met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.

En ce qui concerne le premier alinéa, point h), le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction constitue une violation du présent règlement ou d’autres dispositions du droit de l’Union ou du droit des États membres relatives à la protection des données.

4. Lorsqu’un sous-traitant recrute un autre sous-traitant pour mener des activités de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations en matière de protection de données que celles fixées dans le contrat ou un autre acte juridique entre le responsable du traitement et le sous-traitant conformément au paragraphe 3 sont imposées à cet autre sous-traitant par contrat ou au moyen d’un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière que le traitement réponde aux exigences du présent règlement. Lorsque cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l’exécution par l’autre sous-traitant de ses obligations.

5. Lorsqu’un sous-traitant n’est pas une institution ou un organe de l’Union, le fait qu’il applique un code de conduite approuvé, comme le prévoit l’article 40, paragraphe 5, du règlement (UE) 2016/679, ou un mécanisme de certification approuvé, comme le prévoit l’article 42 du même règlement, peut servir d’élément pour démontrer l’existence des garanties suffisantes conformément aux paragraphes 1 et 4 du présent article.

6. Sans préjudice d’un contrat particulier entre le responsable du traitement et le sous-traitant, le contrat ou l’autre acte juridique visé aux paragraphes 3 et 4 du présent article peut être fondé, en tout ou en partie, sur les clauses contractuelles types visées aux paragraphes 7 et 8 du présent article, y compris lorsqu’elles font partie d’une certification délivrée au responsable du traitement autre qu’une institution ou un organe de l’Union en vertu de l’article 42 du règlement (UE) 2016/ 679.

7. La Commission peut établir des clauses contractuelles types pour les questions visées aux paragraphes 3 et 4 du présent article et conformément à la procédure d’examen visée à l’article 96, paragraphe 2.

8. Le Contrôleur européen de la protection des données peut adopter des clauses contractuelles types pour les questions visées aux paragraphes 3 et 4.

9. Le contrat ou l’autre acte juridique visé aux paragraphes 3 et 4 se présente sous forme écrite, y compris sous forme électronique.

L 295/70 FR Journal officiel de l'Union européenne 21.11.2018

10. Sans préjudice des articles 65 et 66, si, en violation du présent règlement, un sous-traitant détermine les finalités et les moyens du traitement, il est considéré comme un responsable du traitement pour ce qui concerne ce traitement.

Article 30

Traitement effectué sous l’autorité du responsable du traitement ou du sous-traitant

Le sous-traitant et toute personne agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne peut pas traiter ces données, excepté sur instruction du responsable du traitement, à moins d’y être obligés par le droit de l’Union ou le droit d’un État membre.

Article 31

Registre des activités de traitement

1. Chaque responsable du traitement tient un registre des activités de traitement effectuées sous sa responsabilité. Ce registre comporte toutes les informations suivantes:

a) le nom et les coordonnées du responsable du traitement, du délégué à la protection des données et, le cas échéant, du sous-traitant et du responsable conjoint du traitement;

b) les finalités du traitement;

c) une description des catégories de personnes concernées et des catégories de données à caractère personnel;

d) les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans les États membres, dans des pays tiers ou des organisations internationales;

e) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et les documents attestant de l’existence de garanties appropriées;

f) dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données;

g) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 33.

2. Chaque sous-traitant tient un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement, comprenant:

a) le nom et les coordonnées du ou des sous-traitants, de chaque responsable du traitement pour le compte duquel le sous- traitant agit et du délégué à la protection des données;

b) les catégories de traitements effectués pour le compte de chaque responsable du traitement;

c) le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et les documents attestant de l’existence de garanties appropriées;

d) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 33.

3. Les registres visés aux paragraphes 1 et 2 se présentent sous forme écrite, y compris sous forme électronique.

4. Les institutions et organes de l’Union mettent le registre à la disposition du Contrôleur européen de la protection des données sur demande.

5. Pour autant que ce soit approprié compte tenu de la taille de l’institution ou de l’organe de l’Union, les institutions et organes de l’Union consignent leurs activités de traitement dans un registre central. Ils mettent ce registre à la disposition du public.

21.11.2018 FR Journal officiel de l'Union européenne L 295/71

Article 32

Coopération avec le Contrôleur européen de la protection des données

Les institutions et organes de l’Union coopèrent avec le Contrôleur européen de la protection des données, à la demande de celui-ci, dans l’exécution de ses missions.

SECTION 2

Sécurité des données à caractère personnel

Article 33

Sécurité du traitement

1. Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

a) la pseudonymisation et le chiffrement des données à caractère personnel;

b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;

d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

2. Lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment, de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite.

3. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant qui a accès à des données à caractère personnel ne les traite pas, excepté sur instruction du responsable du traitement, à moins d’y être obligée par le droit de l’Union.

4. L’application d’un mécanisme de certification approuvé comme le prévoit l’article 42 du règlement (UE) 2016/679 peut servir d’élément pour démontrer le respect des exigences énoncées au paragraphe 1 du présent article.

Article 34

Notification au Contrôleur européen de la protection des données d’une violation de données à caractère personnel

1. En cas de violation de données à caractère personnel, le responsable du traitement notifie la violation en question au Contrôleur européen de la protection des données dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification au Contrôleur européen de la protection des données n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.

2. Le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.

3. La notification visée au paragraphe 1 doit, à tout le moins:

a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés;

b) indiquer le nom et les coordonnées du délégué à la protection des données;

c) décrire les conséquences probables de la violation de données à caractère personnel;

d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

L 295/72 FR Journal officiel de l'Union européenne 21.11.2018

4. Si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.

5. Le responsable du traitement informe le délégué à la protection des données de la violation de données à caractère personnel.

6. Le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation de données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet au Contrôleur européen de la protection des données de vérifier le respect du présent article.

Article 35

Communication à la personne concernée d’une violation de données à caractère personnel

1. Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.

2. La communication à la personne concernée visée au paragraphe 1 du présent article décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins les informations et mesures visées à l’article 34, paragraphe 3, points b), c) et d).

3. La communication à la personne concernée visée au paragraphe 1 n’est pas nécessaire si l’une ou l’autre des conditions suivantes est remplie:

a) le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par la violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès, telles que le chiffrement;

b) le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées visé au paragraphe 1 n’est plus susceptible de se matérialiser;

c) elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace.

4. Si le responsable du traitement n’a pas déjà communiqué à la personne concernée la violation de données à caractère personnel la concernant, le Contrôleur européen de la protection des données peut, après avoir examiné si cette violation de données à caractère personnel est susceptible d’engendrer un risque élevé, exiger du responsable du traitement qu’il procède à cette communication ou décider que l’une ou l’autre des conditions énumérées au paragraphe 3 est remplie.

SECTION 3

Confidentialité des communications électroniques

Article 36

Confidentialité des communications électroniques

Les institutions et organes de l’Union garantissent la confidentialité des communications électroniques, en particulier en sécurisant leurs réseaux de communications électroniques.

Article 37

Protection des informations transmises ou liées à l’équipement terminal des utilisateurs et des informations qui y sont stockées, traitées ou collectées

Les institutions et organes de l’Union protègent les informations transmises ou liées à l’équipement terminal des utilisateurs ayant accès à leurs sites internet et applications mobiles accessibles au public, ou qui y sont stockées, traitées ou collectées, conformément à l’article 5, paragraphe 3, de la directive 2002/58/CE.

21.11.2018 FR Journal officiel de l'Union européenne L 295/73

Article 38

Annuaires d’utilisateurs

1. Les données à caractère personnel contenues dans des annuaires d’utilisateurs et l’accès à ces annuaires sont limités à ce qui est strictement nécessaire aux fins spécifiques de l’annuaire.

2. Les institutions et organes de l’Union prennent toutes les mesures nécessaires pour empêcher que les données à caractère personnel contenues dans ces annuaires, qu’ils soient ou non accessibles au public, ne soient utilisées à des fins de prospection directe.

SECTION 4

Analyse d’impact relative à la protection des données et consultation préalable

Article 39

Analyse d’impact relative à la protection des données

1. Lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel. Une seule et même analyse peut porter sur un ensemble d’opérations de traitement similaires qui présentent des risques élevés similaires.

2. Lorsqu’il effectue une analyse d’impact relative à la protection des données, le responsable du traitement demande conseil au délégué à la protection des données.

3. L’analyse d’impact relative à la protection des données visée au paragraphe 1 est, en particulier, requise dans les cas suivants:

a) l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire;

b) le traitement à grande échelle de catégories particulières de données visées à l’article 10, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 11; ou

c) la surveillance systématique à grande échelle d’une zone accessible au public.

4. Le Contrôleur européen de la protection des données établit et publie une liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise en vertu du paragraphe 1.

5. Le Contrôleur européen de la protection des données peut aussi établir et publier une liste des types d’opérations de traitement pour lesquelles aucune analyse d’impact relative à la protection des données n’est requise.

6. Avant d’adopter les listes visées aux paragraphes 4 et 5 du présent article, le Contrôleur européen de la protection des données demande au comité européen de la protection des données institué par l’article 68 du règlement (UE) 2016/679 d’examiner lesdites listes conformément à l’article 70, paragraphe 1, point e), dudit règlement, lorsqu’elles ont trait à des opérations de traitement effectuées par un responsable du traitement agissant conjointement avec un ou plusieurs responsables du traitement autres que les institutions et organes de l’Union.

7. L’analyse contient au moins:

a) une description systématique des opérations de traitement envisagées et des finalités du traitement;

b) une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités;

c) une évaluation des risques pour les droits et libertés des personnes concernées visés au paragraphe 1; et

d) les mesures envisagées pour faire face aux risques, y compris les garanties, mesures de sécurité et mécanismes visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées.

L 295/74 FR Journal officiel de l'Union européenne 21.11.2018

8. Le respect, par les sous-traitants concernés autres que des institutions ou organes de l’Union, de codes de conduite approuvés comme prévu à l’article 40 du règlement (UE) 2016/679 est dûment pris en compte lors de l’évaluation de l’impact des opérations de traitement effectuées par lesdits sous-traitants, en particulier aux fins d’une analyse d’impact relative à la protection des données.

9. Le cas échéant, le responsable du traitement demande l’avis des personnes concernées ou de leurs représentants au sujet du traitement prévu, sans préjudice de la protection des intérêts généraux ou de la sécurité des opérations de traitement.

10. Lorsque le traitement effectué en application de l’article 5, paragraphe 1, point a) ou b), a comme base juridique un acte juridique adopté en vertu des traités, que cette base réglemente l’opération de traitement spécifique ou l’ensemble des opérations de traitement en question et qu’une analyse d’impact relative à la protection des données a déjà été effectuée dans le cadre d’une analyse d’impact générale réalisée préalablement à l’adoption de l’acte juridique en question, les paragraphes 1 à 6 du présent article ne s’appliquent pas, à moins que le droit de l’Union n’en dispose autrement.

11. Si nécessaire, le responsable du traitement procède à un examen afin d’évaluer si le traitement est effectué conformément à l’analyse d’impact relative à la protection des données, au moins quand il se produit une modification du risque présenté par les opérations de traitement.

Article 40

Consultation préalable

1. Le responsable du traitement consulte le Contrôleur européen de la protection des données préalablement au traitement lorsqu’une analyse d’impact relative à la protection des données effectuée au titre de l’article 39 indique qu’en l’absence de garanties, de mesures de sécurité et de mécanismes pour atténuer le risque, le traitement engendrerait un risque élevé pour les droits et libertés de personnes physiques et que le responsable du traitement est d’avis que ce risque ne peut être atténué par des moyens raisonnables, compte tenu des techniques disponibles et des coûts de mise en œuvre. Le responsable du traitement demande conseil au délégué à la protection des données quant à la nécessité d’une consultation préalable.

2. Lorsque le Contrôleur européen de la protection des données est d’avis que le traitement envisagé visé au paragraphe 1 constituerait une violation du présent règlement, en particulier lorsque le responsable du traitement n’a pas suffisamment identifié ou atténué le risque, le Contrôleur européen de la protection des données fournit par écrit, dans un délai maximum de huit semaines à compter de la réception de la demande de consultation, un avis écrit au responsable du traitement et, le cas échéant, au sous-traitant, et peut faire usage des pouvoirs visés à l’article 58. Ce délai peut être prolongé de six semaines, en fonction de la complexité du traitement envisagé. Le Contrôleur européen de la protection des données informe le responsable du traitement et, le cas échéant, le sous-traitant de la prolongation du délai ainsi que des motifs du retard, dans un délai d’un mois à compter de la réception de la demande de consultation. Ces délais peuvent être suspendus jusqu’à ce que le Contrôleur européen de la protection des données ait obtenu les informations qu’il a demandées pour les besoins de la consultation.

3. Lorsque le responsable du traitement consulte le Contrôleur européen de la protection des données en application du paragraphe 1, il lui communique:

a) le cas échéant, les responsabilités respectives du responsable du traitement, des responsables conjoints et des sous- traitants participant au traitement;

b) les finalités et les moyens du traitement envisagé;

c) les mesures et les garanties prévues afin de protéger les droits et libertés des personnes concernées conformément au présent règlement;

d) les coordonnées du délégué à la protection des données;

e) l’analyse d’impact relative à la protection des données prévue à l’article 39; et

f) toute autre information que le Contrôleur européen de la protection des données demande.

4. La Commission peut, par la voie d’un acte d’exécution, arrêter une liste de cas dans lesquels les responsables du traitement consultent le Contrôleur européen de la protection des données et obtiennent son autorisation préalable en ce qui concerne un traitement de données à caractère personnel effectué dans le cadre d’une mission d’intérêt public exercée par un responsable du traitement, y compris le traitement de telles données dans le cadre de la protection sociale et de la santé publique.

21.11.2018 FR Journal officiel de l'Union européenne L 295/75

SECTION 5

Information et consultation législative

Article 41

Information et consultation

1. Les institutions et organes de l’Union informent le Contrôleur européen de la protection des données lorsqu’ils élaborent des mesures administratives et des règles internes relatives au traitement de données à caractère personnel par une institution ou un organe de l’Union, que ce soit seuls ou conjointement avec d’autres.

2. Les institutions et organes de l’Union consultent le Contrôleur européen de la protection des données lorsqu’ils élaborent les règles internes visées à l’article 25.

Article 42

Consultation législative

1. À la suite de l’adoption de propositions d’acte législatif, de recommandations ou de propositions au Conseil en vertu de l’article 218 du traité sur le fonctionnement de l’Union européenne ou lors de l’élaboration d’actes délégués ou d’actes d’exécution, la Commission consulte le Contrôleur européen de la protection des données en cas d’incidence sur la protection des droits et libertés des personnes physiques à l’égard du traitement des données à caractère personnel.

2. Lorsqu’un acte visé au paragraphe 1 revêt une importance particulière pour la protection des droits et libertés des personnes physiques à l’égard du traitement de données à caractère personnel, la Commission peut également consulter le comité européen de la protection des données. Dans ce cas, le Contrôleur européen de la protection des données et le comité européen de la protection des données coordonnent leurs travaux en vue de formuler un avis conjoint.

3. Les avis visés aux paragraphes 1 et 2 sont communiqués par écrit dans un délai maximal de huit semaines à compter de la réception de la demande de consultation prévue aux paragraphes 1 et 2. En cas d’urgence ou s’il y a autrement lieu, la Commission peut réduire ce délai.

4. Le présent article ne s’applique pas lorsque le règlement (UE) 2016/679 fait obligation à la Commission de consulter le comité européen de la protection des données.

SECTION 6

Délégué à la protection des données

Article 43

Désignation du délégué à la protection des données

1. Chaque institution ou organe de l’Union désigne un délégué à la protection des données.

2. Un seul et même délégué à la protection des données peut être désigné pour plusieurs institutions et organes de l’Union, compte tenu de leur structure organisationnelle et de leur taille.

3. Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 45.

4. Le délégué à la protection des données est un membre du personnel de l’institution ou de l’organe de l’Union. Compte tenu de leur taille et si l’option prévue au paragraphe 2 n’est pas exercée, les institutions et organes de l’Union peuvent désigner un délégué à la protection des données, qui exerce ses missions sur la base d’un contrat de service.

5. Les institutions et organes de l’Union publient les coordonnées du délégué à la protection des données et les communiquent au Contrôleur européen de la protection des données.

Article 44

Fonction du délégué à la protection des données

1. Les institutions et organes de l’Union veillent à ce que le délégué à la protection des données soit associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel.

2. Les institutions et organes de l’Union aident le délégué à la protection des données à exercer les missions visées à l’article 45 en fournissant les ressources nécessaires pour exercer ces missions, ainsi que l’accès aux données à caractère personnel et aux opérations de traitement, et en lui permettant d’entretenir ses connaissances spécialisées.

L 295/76 FR Journal officiel de l'Union européenne 21.11.2018

3. Les institutions et organes de l’Union veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l’exercice de ces missions. Le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions. Le délégué à la protection des données fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant.

4. Les personnes concernées peuvent prendre contact avec le délégué à la protection des données au sujet de toutes les questions relatives au traitement de leurs données à caractère personnel et à l’exercice des droits que leur confère le présent règlement.

5. Le délégué à la protection des données et son personnel sont soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l’exercice de leurs missions, conformément au droit de l’Union.

6. Le délégué à la protection des données peut exécuter d’autres missions et tâches. Le responsable du traitement ou le sous-traitant veille à ce que ces missions et tâches n’entraînent pas de conflit d’intérêts.

7. Le délégué à la protection des données peut être consulté, sans passer par les voies officielles, par le responsable du traitement et le sous-traitant, par le comité du personnel concerné ou encore par toute personne physique sur toute question concernant l’interprétation ou l’application du présent règlement. Aucune personne ne doit subir de préjudice pour avoir porté à l’attention du délégué à la protection des données compétent un fait dont elle allègue qu’il constitue une violation des dispositions du présent règlement.

8. Le délégué à la protection des données est désigné pour une période de trois à cinq ans et son mandat est renouvelable. Il ne peut être relevé de ses fonctions par l’institution ou l’organe de l’Union qui l’a désigné s’il ne remplit plus les conditions requises pour l’exercice de ses fonctions qu’avec le consentement du Contrôleur européen de la protection des données.

9. Après la désignation du délégué à la protection des données, le nom de ce dernier est communiqué au Contrôleur européen de la protection des données par l’institution ou l’organe de l’Union qui l’a désigné.

Article 45

Missions du délégué à la protection des données

1. Les missions du délégué à la protection des données sont les suivantes:

a) informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du présent règlement et d’autres dispositions du droit de l’Union en matière de protection des données;

b) assurer, d’une manière indépendante, l’application interne du présent règlement; contrôler le respect du présent règlement, d’autres textes législatifs de l’Union applicables contenant des dispositions en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant;

c) veiller à ce que les personnes concernées soient informées de leurs droits et obligations au titre du présent règlement;

d) dispenser des conseils, sur demande, en ce qui concerne la nécessité d’une notification ou d’une communication d’une violation de données à caractère personnel conformément aux articles 34 et 35;

e) dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci en vertu de l’article 39 et consulter le Contrôleur européen de la protection des données en cas de doute quant à la nécessité d’effectuer une analyse d’impact relative à la protection des données;

f) dispenser des conseils, sur demande, en ce qui concerne la nécessité d’une consultation préalable du Contrôleur européen de la protection des données en vertu de l’article 40; consulter le Contrôleur européen de la protection des données en cas de doute quant à la nécessité de le consulter préalablement;

g) répondre aux demandes du Contrôleur européen de la protection des données et, dans son domaine de compétence, coopérer et se concerter avec le Contrôleur européen de la protection des données à la demande de ce dernier ou de sa propre initiative.

h) veiller à ce que les opérations de traitement ne portent pas atteinte aux droits et libertés des personnes concernées.

21.11.2018 FR Journal officiel de l'Union européenne L 295/77

2. Le délégué à la protection des données peut faire des recommandations visant à améliorer concrètement la protection des données au responsable du traitement et au sous-traitant et conseiller ces derniers sur des questions touchant à l’application des dispositions relatives à la protection des données. En outre, de sa propre initiative ou à la demande du responsable du traitement ou du sous-traitant, du comité du personnel concerné ou de toute personne physique, il peut examiner des questions et des faits qui sont directement en rapport avec ses missions et qui ont été portés à sa connaissance, et faire rapport à la personne qui a demandé cet examen ou au responsable du traitement ou au sous-traitant.

3. Des dispositions d’application complémentaires concernant le délégué à la protection des données sont adoptées par chaque institution ou organe de l’Union. Elles concernent en particulier les missions, les fonctions et les compétences du délégué à la protection des données.

CHAPITRE V

TRANSFERTS DE DONNÉES À CARACTÈRE PERSONNEL VERS DES PAYS TIERS OU À DES ORGANISATIONS INTERNATIONALES

Article 46

Principe général applicable aux transferts

Un transfert, vers un pays tiers ou à une organisation internationale, de données à caractère personnel qui font ou sont destinées à faire l’objet d’un traitement après ce transfert ne peut avoir lieu que si, sous réserve des autres dispositions du présent règlement, les conditions définies dans le présent chapitre sont respectées par le responsable du traitement et le sous-traitant, y compris pour les transferts ultérieurs de données à caractère personnel au départ du pays tiers ou de l’organisation internationale vers un autre pays tiers ou à une autre organisation internationale. Toutes les dispositions du présent chapitre sont appliquées de manière que le niveau de protection des personnes physiques garanti par le présent règlement ne soit pas compromis.

Article 47

Transferts fondés sur une décision d’adéquation

1. Un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale peut avoir lieu lorsque la Commission a décidé, en vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679 ou de l’article 36, paragraphe 3, de la directive (UE) 2016/680, que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l’organisation internationale en question assure un niveau de protection adéquat et que le transfert de données à caractère personnel a lieu exclusivement pour permettre l’exécution des missions qui relèvent de la compétence du responsable du traitement.

2. Les institutions et organes de l’Union informent la Commission et le Contrôleur européen de la protection des données des cas dans lesquels ils estiment qu’un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans un pays tiers, ou une organisation internationale en question n’assure pas un niveau de protection adéquat au sens du paragraphe 1.

3. Les institutions et organes de l’Union prennent les mesures nécessaires pour se conformer aux décisions prises par la Commission lorsque cette dernière constate, en vertu de l’article 45, paragraphe 3 ou 5, du règlement (UE) 2016/679 ou de l’article 36, paragraphe 3 ou 5, de la directive (UE) 2016/680, qu’un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans un pays tiers, ou une organisation internationale assure ou n’assure plus un niveau de protection adéquat.

Article 48

Transferts moyennant des garanties appropriées

1. En l’absence de décision en vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679 ou de l’article 36, paragraphe 3, de la directive (UE) 2016/680, le responsable du traitement ou le sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers ou à une organisation internationale que s’il a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives.

2. Les garanties appropriées visées au paragraphe 1 peuvent être fournies, sans que cela ne nécessite une autorisation particulière du Contrôleur européen de la protection des données, par:

a) un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics;

b) des clauses types de protection des données adoptées par la Commission en conformité avec la procédure d’examen visée à l’article 96, paragraphe 2;

c) des clauses types de protection des données adoptées par le Contrôleur européen de la protection des données et approuvées par la Commission en conformité avec la procédure d’examen visée à l’article 96, paragraphe 2;

L 295/78 FR Journal officiel de l'Union européenne 21.11.2018

d) lorsque le sous-traitant n’est ni une institution ni un organe de l’Union, des règles d’entreprise contraignantes, des codes de conduite ou des mécanismes de certification, en vertu de l’article 46, paragraphe 2, points b), e) et f), du règlement (UE) 2016/679.

3. Sous réserve de l’autorisation du Contrôleur européen de la protection des données, les garanties appropriées visées au paragraphe 1 peuvent aussi être fournies, notamment, par:

a) des clauses contractuelles entre le responsable du traitement ou le sous-traitant et le responsable du traitement, le sous- traitant ou le destinataire des données à caractère personnel dans le pays tiers ou l’organisation internationale; ou

b) des dispositions à intégrer dans des arrangements administratifs entre les autorités publiques ou les organismes publics qui prévoient des droits opposables et effectifs pour les personnes concernées.

4. Les autorisations accordées par le Contrôleur européen de la protection des données sur le fondement de l’article 9, paragraphe 7, du règlement (CE) no 45/2001 demeurent valables jusqu’à leur modification, leur remplacement ou leur abrogation, si nécessaire, par le Contrôleur européen de la protection des données.

5. Les institutions et organes de l’Union informent le Contrôleur européen de la protection des données des catégories de cas dans lesquels le présent article a été appliqué.

Article 49

Transferts ou divulgations non autorisés par le droit de l’Union

Toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international, tel qu’un traité d’entraide judiciaire, en vigueur entre le pays tiers demandeur et l’Union, sans préjudice d’autres motifs de transfert en vertu du présent chapitre.

Article 50

Dérogations pour des situations particulières

1. En l’absence de décision d’adéquation en vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679 ou de l’article 36, paragraphe 3, de la directive (UE) 2016/680, ou de garanties appropriées en vertu de l’article 48 du présent règlement, un transfert ou un ensemble de transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale ne peut avoir lieu qu’à l’une des conditions suivantes:

a) la personne concernée a donné son consentement explicite au transfert envisagé, après avoir été informée des risques que ce transfert pouvait comporter pour elle en raison de l’absence de décision d’adéquation et de garanties appropriées;

b) le transfert est nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises à la demande de la personne concernée;

c) le transfert est nécessaire à la conclusion ou à l’exécution d’un contrat conclu dans l’intérêt de la personne concernée entre le responsable du traitement et une autre personne physique ou morale;

d) le transfert est nécessaire pour des motifs importants d’intérêt public;

e) le transfert est nécessaire à la constatation, à l’exercice ou à la défense de droits en justice;

f) le transfert est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’autres personnes, lorsque la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement; ou

g) le transfert a lieu au départ d’un registre qui, conformément au droit de l’Union, est destiné à fournir des informations au public et est ouvert à la consultation du public en général ou de toute personne justifiant d’un intérêt légitime, mais uniquement dans la mesure où les conditions prévues pour la consultation dans le droit de l’Union sont remplies dans le cas d’espèce.

2. Les points a), b) et c) du paragraphe 1 ne s’appliquent pas aux activités menées par les institutions et organes de l’Union dans l’exercice de leurs prérogatives de puissance publique.

3. L’intérêt public visé au paragraphe 1, point d), est reconnu par le droit de l’Union.

4. Un transfert effectué en vertu du paragraphe 1, point g), ne porte pas sur la totalité des données à caractère personnel ni sur des catégories entières de données à caractère personnel contenues dans le registre, à moins que le droit de l’Union ne l’autorise. Lorsque le registre est destiné à être consulté par des personnes justifiant d’un intérêt légitime, le transfert n’est effectué qu’à la demande de ces personnes ou lorsqu’elles en sont les destinataires.

21.11.2018 FR Journal officiel de l'Union européenne L 295/79

5. En l’absence de décision d’adéquation, le droit de l’Union peut, pour des motifs importants d’intérêt public, fixer expressément des limites au transfert de catégories spécifiques de données à caractère personnel vers un pays tiers ou à une organisation internationale.

6. Les institutions et organes de l’Union informent le Contrôleur européen de la protection des données des catégories de cas dans lesquels le présent article a été appliqué.

Article 51

Coopération internationale dans le domaine de la protection des données à caractère personnel

En ce qui concerne les pays tiers et les organisations internationales, le Contrôleur européen de la protection des données, en concertation avec la Commission et le comité européen de la protection des données, prend les mesures appropriées pour:

a) élaborer des mécanismes de coopération internationale destinés à faciliter l’application effective de la législation relative à la protection des données à caractère personnel;

b) se prêter mutuellement assistance sur le plan international dans l’application de la législation relative à la protection des données à caractère personnel, y compris par la notification, la transmission des réclamations, l’entraide pour les enquêtes et l’échange d’informations, sous réserve de garanties appropriées pour la protection des données à caractère personnel et d’autres libertés et droits fondamentaux;

c) associer les parties prenantes intéressées aux discussions et activités visant à développer la coopération internationale dans le domaine de l’application de la législation relative à la protection des données à caractère personnel;

d) favoriser l’échange et la documentation de la législation et des pratiques en matière de protection des données à caractère personnel, y compris en ce qui concerne les conflits de compétence avec des pays tiers.

CHAPITRE VI

CONTRÔLEUR EUROPÉEN DE LA PROTECTION DES DONNÉES

Article 52

Contrôleur européen de la protection des données

1. La fonction de Contrôleur européen de la protection des données est instituée.

2. En ce qui concerne le traitement de données à caractère personnel, le Contrôleur européen de la protection des données est chargé de veiller à ce que les libertés et droits fondamentaux des personnes physiques, notamment le droit à la protection des données, soient respectés par les institutions et organes de l’Union.

3. Le Contrôleur européen de la protection des données est chargé de contrôler et d’assurer l’application des dispositions du présent règlement et de tout autre acte de l’Union concernant la protection des libertés et droits fondamentaux des personnes physiques à l’égard des traitements de données à caractère personnel effectués par une institution ou un organe de l’Union, ainsi que de conseiller les institutions et organes de l’Union et les personnes concernées pour toutes les questions concernant le traitement des données à caractère personnel. À ces fins, le Contrôleur européen de la protection des données remplit les missions prévues à l’article 57 et exerce les pouvoirs qui lui sont conférés à l’article 58.

4. Le règlement (CE) no 1049/2001 s’applique aux documents détenus par le Contrôleur européen de la protection des données. Le Contrôleur européen de la protection des données adopte des modalités d’application du règlement (CE) no 1049/2001 en ce qui concerne ces documents.

Article 53

Nomination du Contrôleur européen de la protection des données

1. Le Parlement européen et le Conseil nomment, d’un commun accord, le Contrôleur européen de la protection des données pour une durée de cinq ans, sur la base d’une liste établie par la Commission à la suite d’un appel public à candidatures. Cet appel à candidatures permet à toutes les personnes intéressées dans l’ensemble de l’Union de soumettre leur candidature. La liste des candidats établie par la Commission est publique et comporte au moins trois candidats. La commission compétente du Parlement européen, sur la base de la liste établie par la Commission, peut décider d’organiser une audition de manière à être en mesure d’émettre une préférence.

2. La liste de candidats visée au paragraphe 1 est constituée de personnes offrant toutes garanties d’indépendance et qui possèdent, de manière notoire, des connaissances spécialisées en matière de protection des données ainsi que l’expérience et les compétences requises pour l’exercice des fonctions de Contrôleur européen de la protection des données.

L 295/80 FR Journal officiel de l'Union européenne 21.11.2018

3. Le mandat du Contrôleur européen de la protection des données est renouvelable une fois.

4. Les fonctions du Contrôleur européen de la protection des données prennent fin dans les circonstances suivantes:

a) si le Contrôleur européen de la protection des données est remplacé;

b) si le Contrôleur européen de la protection des données démissionne;

c) si le Contrôleur européen de la protection des données est déclaré démissionnaire ou mis à la retraite d’office.

5. Le Contrôleur européen de la protection des données peut être déclaré démissionnaire ou déchu du droit à pension ou d’autres avantages en tenant lieu par la Cour, à la requête du Parlement européen, du Conseil ou de la Commission, s’il ne remplit plus les conditions nécessaires à l’exercice de ses fonctions ou s’il a commis une faute grave.

6. Dans les cas de renouvellement régulier et de démission volontaire, le Contrôleur européen de la protection des données reste néanmoins en fonction jusqu’à ce qu’il soit pourvu à son remplacement.

7. Les articles 11 à 14 et 17 du protocole sur les privilèges et immunités de l’Union européenne s’appliquent au Contrôleur européen de la protection des données.

Article 54

Statut et conditions générales d’exercice des missions de Contrôleur européen de la protection des données, ressources humaines et financières

1. La fonction de Contrôleur européen de la protection des données est considérée comme équivalente à celle de juge de la Cour en ce qui concerne la détermination du traitement, des indemnités, de la pension d’ancienneté, et de tout autre avantage tenant lieu de rémunération.

2. L’autorité budgétaire veille à ce que le Contrôleur européen de la protection des données dispose des ressources humaines et financières nécessaires à l’exercice de ses missions.

3. Le budget du Contrôleur européen de la protection des données figure sur une ligne spécifique de la section relative aux dépenses administratives du budget général de l’Union.

4. Le Contrôleur européen de la protection des données est assisté par un secrétariat. Les fonctionnaires et les autres agents du secrétariat sont nommés par le Contrôleur européen de la protection des données, qui est leur supérieur hiérarchique. Ils en relèvent exclusivement. Leur nombre est arrêté chaque année dans le cadre de la procédure budgétaire. L’article 75, paragraphe 2, du règlement (UE) 2016/679 s’applique au personnel du Contrôleur européen de la protection des données chargé de mener à bien les missions conférées au comité européen de la protection des données par le droit de l’Union.

5. Les fonctionnaires et les autres agents du secrétariat du Contrôleur européen de la protection des données sont soumis aux règles et réglementations applicables aux fonctionnaires et autres agents de l’Union.

6. Le Contrôleur européen de la protection des données a son siège à Bruxelles.

Article 55

Indépendance

1. Le Contrôleur européen de la protection des données exerce en toute indépendance ses missions et ses pouvoirs conformément au présent règlement.

2. Dans l’exercice de ses missions et de ses pouvoirs conformément au présent règlement, le Contrôleur européen de la protection des données demeure libre de toute influence extérieure, qu’elle soit directe ou indirecte, et ne sollicite ni n’accepte d’instructions de quiconque.

3. Le Contrôleur européen de la protection des données s’abstient de tout acte incompatible avec ses fonctions et, pendant la durée de celles-ci, ne peut exercer aucune autre activité professionnelle, rémunérée ou non.

4. Après la cessation de ses fonctions, le Contrôleur européen de la protection des données est tenu de respecter les devoirs d’honnêteté et de délicatesse quant à l’acceptation de certaines fonctions ou de certains avantages.

Article 56

Secret professionnel

Le Contrôleur européen de la protection des données et son personnel sont, pendant la durée de leurs fonctions et après la cessation de celles-ci, tenus au secret professionnel en ce qui concerne toute information confidentielle dont ils ont eu connaissance dans l’exercice de leurs fonctions officielles.

21.11.2018 FR Journal officiel de l'Union européenne L 295/81

Article 57

Missions

1. Sans préjudice des autres missions prévues par le présent règlement, le Contrôleur européen de la protection des données:

a) contrôle et assure l’application du présent règlement par une institution ou un organe de l’Union, à l’exclusion du traitement de données à caractère personnel par la Cour dans l’exercice de ses fonctions juridictionnelles;

b) favorise la sensibilisation du public et sa compréhension des risques, des règles, des garanties et des droits relatifs au traitement. Les activités destinées spécifiquement aux enfants font l’objet d’une attention particulière;

c) encourage la sensibilisation des responsables du traitement et des sous-traitants en ce qui concerne les obligations qui leur incombent en vertu du présent règlement;

d) fournit, sur demande, à toute personne concernée des informations sur l’exercice des droits que lui confère le présent règlement et, si nécessaire, coopère, à cette fin, avec les autorités de contrôle nationales;

e) traite les réclamations introduites par une personne concernée ou par un organisme, une organisation ou une association, conformément à l’article 67, examine l’objet de la réclamation, dans la mesure nécessaire, et informe l’auteur de la réclamation de l’état d’avancement et de l’issue de l’enquête dans un délai raisonnable, notamment si un complément d’enquête ou une coordination avec une autre autorité de contrôle est nécessaire;

f) effectue des enquêtes sur l’application du présent règlement, y compris sur la base d’informations reçues d’une autre autorité de contrôle ou d’une autre autorité publique;

g) conseille, de sa propre initiative ou sur demande, l’ensemble des institutions et organes de l’Union sur les mesures législatives et administratives relatives à la protection des droits et libertés des personnes physiques à l’égard du traitement des données à caractère personnel;

h) suit les évolutions pertinentes, dans la mesure où elles ont une incidence sur la protection des données à caractère personnel, notamment dans le domaine des technologies de l’information et des communications;

i) adopte les clauses contractuelles types visées à l’article 29, paragraphe 8, et à l’article 48, paragraphe 2, point c);

j) établit et tient à jour une liste en lien avec l’obligation d’effectuer une analyse d’impact relative à la protection des données en application de l’article 39, paragraphe 4;

k) participe aux activités du comité européen de la protection des données;

l) assure le secrétariat du comité européen de la protection des données, conformément à l’article 75 du règlement (UE) 2016/679;

m) fournit des conseils concernant le traitement visé à l’article 40, paragraphe 2;

n) autorise les clauses contractuelles et les dispositions visées à l’article 48, paragraphe 3;

o) tient des registres internes des violations du présent règlement et des mesures prises conformément à l’article 58, paragraphe 2;

p) s’acquitte de toute autre mission relative à la protection des données à caractère personnel; et

q) établit son règlement intérieur.

2. Le Contrôleur européen de la protection des données facilite l’introduction des réclamations visées au paragraphe 1, point e), par la mise à disposition d’un formulaire de réclamation qui peut aussi être rempli par voie électronique, sans que d’autres moyens de communication ne soient exclus.

3. L’accomplissement des missions du Contrôleur européen de la protection des données est gratuit pour la personne concernée.

4. Lorsque les demandes sont manifestement infondées ou excessives, en raison, notamment, de leur caractère répétitif, le Contrôleur européen de la protection des données peut refuser d’y donner suite. Il incombe au Contrôleur européen de la protection des données de démontrer le caractère manifestement infondé ou excessif de la demande.

L 295/82 FR Journal officiel de l'Union européenne 21.11.2018

Article 58

Pouvoirs

1. Le Contrôleur européen de la protection des données dispose des pouvoirs d’enquête suivants:

a) ordonner au responsable du traitement et au sous-traitant de lui communiquer toute information dont il a besoin pour l’accomplissement de ses missions;

b) mener des enquêtes sous la forme d’audits sur la protection des données;

c) notifier au responsable du traitement ou au sous-traitant une violation alléguée du présent règlement;

d) obtenir du responsable du traitement et du sous-traitant l’accès à toutes les données à caractère personnel et à toutes les informations nécessaires à l’accomplissement de ses missions;

e) obtenir l’accès à tous les locaux du responsable du traitement et du sous-traitant, notamment à toute installation de traitement et à tout moyen de traitement, conformément au droit de l’Union.

2. Le Contrôleur européen de la protection des données dispose du pouvoir d’adopter les mesures correctrices suivantes:

a) avertir un responsable du traitement ou un sous-traitant du fait que les opérations de traitement envisagées sont susceptibles de violer les dispositions du présent règlement;

b) rappeler à l’ordre un responsable du traitement ou un sous-traitant lorsque les opérations de traitement ont entraîné une violation des dispositions du présent règlement;

c) saisir le responsable du traitement ou le sous-traitant concerné et, si nécessaire, le Parlement européen, le Conseil et la Commission;

d) ordonner au responsable du traitement ou au sous-traitant de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits en application du présent règlement;

e) ordonner au responsable du traitement ou au sous-traitant de mettre les opérations de traitement en conformité avec les dispositions du présent règlement, le cas échéant, de manière spécifique et dans un délai déterminé;

f) ordonner au responsable du traitement de communiquer à la personne concernée une violation de données à caractère personnel;

g) imposer une limitation temporaire ou définitive, y compris une interdiction, du traitement;

h) ordonner la rectification ou l’effacement de données à caractère personnel ou la limitation du traitement en vertu des articles 18, 19 et 20 et la notification de ces mesures aux destinataires auxquels les données à caractère personnel ont été divulguées en application de l’article 19, paragraphe 2, et de l’article 21;

i) imposer une amende administrative, en application de l’article 66, dans le cas où une institution ou un organe de l’Union ne se conformerait pas à l’une des mesures visées aux points d) à h) et j) du présent paragraphe, en fonction des circonstances propres à chaque cas;

j) ordonner la suspension des flux de données adressés à un destinataire situé dans un État membre ou un pays tiers ou à une organisation internationale.

3. Le Contrôleur européen de la protection des données dispose des pouvoirs d’autorisation et des pouvoirs consultatifs suivants:

a) conseiller les personnes concernées sur l’exercice de leurs droits;

b) conseiller le responsable du traitement conformément à la procédure de consultation préalable visée à l’article 40, et conformément à l’article 41, paragraphe 2;

c) émettre, de sa propre initiative ou sur demande, des avis à l’attention des institutions et organes de l’Union ainsi que du public, sur toute question relative à la protection des données à caractère personnel;

d) adopter les clauses types de protection des données visées à l’article 29, paragraphe 8, et à l’article 48, paragraphe 2, point c);

e) autoriser les clauses contractuelles visées à l’article 48, paragraphe 3, point a);

f) autoriser les arrangements administratifs visés à l’article 48, paragraphe 3, point b);

g) autoriser des opérations de traitement en vertu d’actes d’exécution adoptés au titre de l’article 40, paragraphe 4.

21.11.2018 FR Journal officiel de l'Union européenne L 295/83

4. Le Contrôleur européen de la protection des données a le pouvoir de saisir la Cour dans les conditions prévues par les traités et d’intervenir dans les affaires portées devant la Cour.

5. L’exercice des pouvoirs conférés au Contrôleur européen de la protection des données en vertu du présent article est subordonné à des garanties appropriées, y compris le droit à un recours juridictionnel effectif et à une procédure régulière, prévu par le droit de l’Union.

Article 59

Obligation des responsables du traitement et des sous-traitants de répondre aux allégations

Lorsque le Contrôleur européen de la protection des données exerce les pouvoirs prévus à l’article 58, paragraphe 2, points a), b) et c), le responsable du traitement ou le sous-traitant concerné l’informe de son point de vue, dans un délai raisonnable que le Contrôleur européen de la protection des données aura fixé, en tenant compte des circonstances propres à chaque cas. Dans cet avis figure également une description des mesures prises, le cas échéant, en réponse aux observations du Contrôleur européen de la protection des données.

Article 60

Rapport d’activité

1. Le Contrôleur européen de la protection des données présente au Parlement européen, au Conseil et à la Commission un rapport annuel sur ses activités, qu’il rend public parallèlement.

2. Le Contrôleur européen de la protection des données transmet le rapport visé au paragraphe 1 aux autres institutions et organes de l’Union, qui peuvent présenter des observations en vue d’un éventuel examen du rapport par le Parlement européen.

CHAPITRE VII

COOPÉRATION ET COHÉRENCE

Article 61

Coopération entre le Contrôleur européen de la protection des données et les autorités de contrôle nationales

Le Contrôleur européen de la protection des données coopère avec les autorités de contrôle nationales ainsi qu’avec l’autorité de contrôle commune instituée en vertu de l’article 25 de la décision 2009/917/JAI du Conseil (1), dans la mesure nécessaire à l’exercice de leurs fonctions respectives, notamment en échangeant toute information utile, en se demandant mutuellement d’exercer leurs pouvoirs et en répondant aux demandes mutuelles de chacun.

Article 62

Contrôle coordonné exercé par le Contrôleur européen de la protection des données et les autorités de contrôle nationales

1. Lorsqu’un acte de l’Union renvoie au présent article, le Contrôleur européen de la protection des données et les autorités de contrôle nationales, agissant chacun dans les limites de leurs compétences respectives, coopèrent activement dans le cadre de leurs responsabilités afin d’assurer un contrôle effectif des systèmes d’information à grande échelle et des organes et organismes de l’Union.

2. Si nécessaire, agissant chacun dans les limites de leurs compétences respectives et dans le cadre de leurs responsabilités, ils échangent des informations utiles, se prêtent mutuellement assistance dans la réalisation d’audits et d’inspections, examinent les difficultés d’interprétation ou d’application du présent règlement et d’autres actes de l’Union applicables, étudient les problèmes liés à l’exercice d’un contrôle indépendant ou à l’exercice des droits des personnes concernées, définissent des propositions harmonisées visant à trouver des solutions aux problèmes éventuels et sensibilisent le public à la protection des données.

3. Aux fins prévues au paragraphe 2, le Contrôleur européen de la protection des données et les autorités de contrôle nationales se réunissent au moins deux fois par an dans le cadre du comité européen de la protection des données. À cet effet, le comité européen de la protection des données peut mettre au point d’autres méthodes de travail, si nécessaire.

4. Le comité européen de la protection des données transmet tous les deux ans un rapport conjoint relatif aux activités de contrôle coordonné au Parlement européen, au Conseil et à la Commission.

L 295/84 FR Journal officiel de l'Union européenne 21.11.2018

(1) Décision 2009/917/JAI du Conseil du 30 novembre 2009 sur l’emploi de l’informatique dans le domaine des douanes (JO L 323 du 10.12.2009, p. 20).

CHAPITRE VIII

VOIES DE RECOURS, RESPONSABILITÉ ET SANCTIONS

Article 63

Droit d’introduire une réclamation auprès du Contrôleur européen de la protection des données

1. Sans préjudice de tout recours juridictionnel, administratif ou non juridictionnel, toute personne concernée a le droit d’introduire une réclamation auprès du Contrôleur européen de la protection des données si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement.

2. Le Contrôleur européen de la protection des données informe l’auteur de la réclamation de l’état d’avancement et de l’issue de la réclamation, y compris de la possibilité d’un recours juridictionnel en vertu de l’article 64.

3. Si le Contrôleur européen de la protection des données ne traite pas une réclamation ou n’informe pas la personne concernée, dans un délai de trois mois, de l’état d’avancement ou de l’issue de la réclamation, il est réputé avoir adopté une décision négative.

Article 64

Droit à un recours juridictionnel effectif

1. La Cour est compétente pour connaître de tout litige relatif aux dispositions du présent règlement, y compris les demandes d’indemnisation.

2. Les décisions du Contrôleur européen de la protection des données, y compris les décisions rendues au titre de l’article 63, paragraphe 3, peuvent faire l’objet d’un recours devant la Cour.

3. La Cour dispose d’une compétence de pleine juridiction pour statuer sur les recours formés contre les amendes administratives visées à l’article 66. Elle peut annuler, réduire ou majorer ces amendes dans les limites fixées à l’article 66.

Article 65

Droit à réparation

Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir de l’institution ou l’organe de l’Union la réparation du dommage subi, sous réserve des conditions prévues dans les traités.

Article 66

Amendes administratives

1. Le Contrôleur européen de la protection des données peut imposer des amendes administratives aux institutions et organes de l’Union, en fonction des circonstances propres à chaque cas, lorsqu’une institution ou un organe de l’Union ne respecte pas une injonction du Contrôleur européen de la protection des données émise en vertu de l’article 58, paragraphe 2, points d) à h) et j). Pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de l’amende administrative, il est dûment tenu compte, dans chaque cas d’espèce, des éléments suivants:

a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et du niveau de dommage qu’elles ont subi;

b) toute mesure prise par l’institution ou l’organe de l’Union pour atténuer le dommage subi par les personnes concernées;

c) le degré de responsabilité de l’institution ou de l’organe de l’Union, compte tenu des mesures techniques et organisationnelles qu’ils ont mises en œuvre en application des articles 27 et 33;

d) toute violation similaire commise précédemment par l’institution ou l’organe de l’Union;

e) le degré de coopération établi avec le Contrôleur européen de la protection des données en vue de remédier à la violation et d’en atténuer les éventuels effets négatifs;

f) les catégories de données à caractère personnel concernées par la violation;

g) la manière dont le Contrôleur européen de la protection des données a eu connaissance de la violation, notamment si, et dans quelle mesure, l’institution ou l’organe de l’Union a notifié la violation;

21.11.2018 FR Journal officiel de l'Union européenne L 295/85

h) le respect de l’une ou l’autre des mesures visées à l’article 58 qui ont été précédemment ordonnées à l’encontre de l’institution ou de l’organe de l’Union concerné pour le même objet. Les procédures conduisant à imposer ces amendes sont menées dans un délai raisonnable en fonction des circonstances propres à chaque cas, en tenant compte des actions et procédures applicables visées à l’article 69.

2. Toute violation des obligations de l’institution ou de l’organe de l’Union prévues aux articles 8, 12, 27 à 35, 39, 40, 43, 44 et 45 fait l’objet, conformément au paragraphe 1 du présent article, d’amendes administratives pouvant s’élever jusqu’à 25 000 EUR par violation et 250 000 EUR par an au total.

3. Toute violation des dispositions suivantes par l’institution ou l’organe de l’Union fait l’objet, conformément au paragraphe 1, d’amendes administratives pouvant s’élever jusqu’à 50 000 EUR par violation et 500 000 EUR par an au total:

a) les principes de base d’un traitement, y compris les conditions applicables au consentement en vertu des articles 4, 5, 7 et 10;

b) les droits dont bénéficient les personnes concernées en vertu des articles 14 à 24:

c) les transferts de données à caractère personnel à un destinataire situé dans un pays tiers ou à une organisation internationale visés aux articles 46 à 50.

4. Si une institution ou un organe de l’Union viole plusieurs dispositions du présent règlement ou plusieurs fois la même disposition du présent règlement, dans le cadre de la même opération de traitement ou d’opérations de traitement liées ou continues, le montant total de l’amende administrative ne peut excéder le montant fixé pour la violation la plus grave.

5. Avant de prendre des décisions en vertu du présent article, le Contrôleur européen de la protection des données donne à l’institution ou à l’organe de l’Union faisant l’objet des procédures conduites par le Contrôleur européen de la protection des données la possibilité de faire connaître son point de vue au sujet des griefs que le Contrôleur européen de la protection des données a retenus. Le Contrôleur européen de la protection des données ne fonde ses décisions que sur les griefs au sujet desquels les parties concernées ont pu formuler des observations. Les plaignants sont étroitement associés à la procédure.

6. Les droits de la défense des parties concernées sont pleinement respectés dans le déroulement de la procédure. Les parties disposent d’un droit d’accès au dossier du Contrôleur européen de la protection des données, sous réserve de l’intérêt légitime des personnes ou entreprises concernées en ce qui concerne la protection de leurs données à caractère personnel ou de leurs secrets commerciaux.

7. Les fonds collectés en imposant des amendes en vertu du présent article font partie des recettes du budget général de l’Union.

Article 67

Représentation des personnes concernées

La personne concernée a le droit de mandater un organisme, une organisation ou une association à but non lucratif, qui a été valablement constitué conformément au droit de l’Union ou au droit d’un État membre, dont les objectifs statutaires sont d’intérêt public et qui est actif dans le domaine de la protection des droits et libertés des personnes concernées en ce qui concerne la protection des données à caractère personnel les concernant, pour qu’il introduise une réclamation en son nom auprès du Contrôleur européen de la protection des données, exerce en son nom les droits prévus aux articles 63 et 64 et exerce en son nom le droit d’obtenir réparation prévu à l’article 65.

Article 68

Réclamations du personnel de l’Union

Toute personne employée par une institution ou un organe de l’Union peut présenter une réclamation au Contrôleur européen de la protection des données pour une violation alléguée des dispositions du présent règlement, y compris sans passer par les voies officielles. Nul ne doit subir de préjudice pour avoir présenté au Contrôleur européen de la protection des données une réclamation alléguant une telle violation.

Article 69

Sanctions

Lorsqu’un fonctionnaire ou un autre agent de l’Union manque aux obligations prévues dans le présent règlement intentionnellement ou par négligence, le fonctionnaire ou autre agent concerné est passible d’une sanction disciplinaire ou d’une autre sanction, conformément aux dispositions du statut.

L 295/86 FR Journal officiel de l'Union européenne 21.11.2018

CHAPITRE IX

TRAITEMENT DES DONNÉES OPÉRATIONNELLES À CARACTÈRE PERSONNEL PAR LES ORGANES ET ORGANISMES DE L’UNION DANS L’EXERCICE D’ACTIVITÉS QUI RELÈVENT DU CHAMP D’APPLICATION DE LA TROISIÈME PARTIE,

TITRE V, CHAPITRE 4 OU 5, DU TRAITÉ SUR LE FONCTIONNEMENT DE L’UNION EUROPÉENNE

Article 70

Champ d’application du chapitre

Le présent chapitre s’applique uniquement au traitement des données opérationnelles à caractère personnel par les organes et organismes de l’Union dans l’exercice d’activités qui relèvent du champ d’application de la troisième partie, titre V, chapitre 4 ou 5, du traité sur le fonctionnement de l’Union européenne, sans préjudice des règles spécifiques en matière de protection des données applicables à ces organes ou organismes de l’Union.

Article 71

Principes relatifs au traitement des données opérationnelles à caractère personnel

1. Les données opérationnelles à caractère personnel doivent être:

a) traitées de manière licite et loyale (licéité et loyauté);

b) collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées d’une manière incompatible avec ces finalités (limitation des finalités);

c) adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont traitées (minimisation des données);

d) exactes et, si nécessaire, mises à jour; toutes les mesures raisonnables doivent être prises pour que les données opérationnelles à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude);

e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles les données opérationnelles à caractère personnel sont traitées (limitation de la conservation);

f) traitées de façon à garantir une sécurité appropriée des données opérationnelles à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité);

2. Le traitement, par le même ou par un autre responsable du traitement, pour l’une ou l’autre des finalités énoncées dans l’acte juridique instituant l’organe ou l’organisme de l’Union, autre que celles pour lesquelles les données opérationnelles à caractère personnel ont été collectées, est autorisé à condition que:

a) le responsable du traitement soit autorisé à traiter ces données opérationnelles à caractère personnel pour une telle finalité conformément au droit de l’Union; et

b) le traitement soit nécessaire et proportionné à cette autre finalité conformément au droit de l’Union.

3. Le traitement par le même ou par un autre responsable du traitement peut comprendre l’archivage dans l’intérêt public, à des fins scientifiques, statistiques ou historiques, aux fins énoncées dans l’acte juridique instituant l’organe ou l’organisme de l’Union, sous réserve de garanties appropriées pour les droits et libertés des personnes concernées.

4. Le responsable du traitement est responsable du respect des paragraphes 1, 2 et 3 et est en mesure de démontrer que ces dispositions sont respectées.

Article 72

Licéité du traitement des données opérationnelles à caractère personnel

1. Le traitement des données opérationnelles à caractère personnel n’est licite que si, et dans la mesure où, il est nécessaire à l’exécution d’une mission effectuée par des organes et organismes de l’Union dans l’exercice d’activités qui relèvent du champ d’application de la troisième partie, titre V, chapitre 4 ou 5, du traité sur le fonctionnement de l’Union européenne, et il est fondé sur le droit de l’Union.

21.11.2018 FR Journal officiel de l'Union européenne L 295/87

2. Les actes juridiques spécifiques de l’Union qui régissent le traitement dans le cadre du champ d’application du présent chapitre précisent au moins les objectifs du traitement, les données opérationnelles à caractère personnel à traiter, les finalités du traitement et les délais de conservation des données opérationnelles à caractère personnel ou les délais de vérification régulière de la nécessité de conserver les données opérationnelles à caractère personnel.

Article 73

Distinction entre différentes catégories de personnes concernées

Le responsable du traitement établit, le cas échéant et dans la mesure du possible, une distinction claire entre les données opérationnelles à caractère personnel de différentes catégories de personnes concernées, telles que les catégories prévues dans les actes juridiques instituant les organes et organismes de l’Union.

Article 74

Distinction entre les données opérationnelles à caractère personnel et vérification de la qualité des données opérationnelles à caractère personnel

1. Le responsable du traitement établit, dans la mesure du possible, une distinction entre les données opérationnelles à caractère personnel fondées sur des faits et celles fondées sur des appréciations personnelles.

2. Le responsable du traitement prend toutes les mesures raisonnables pour garantir que les données opérationnelles à caractère personnel qui sont inexactes, incomplètes ou qui ne sont plus à jour ne soient pas transmises ou mises à disposition. À cette fin, le responsable du traitement vérifie, dans la mesure du possible et s’il y a lieu, la qualité des données opérationnelles à caractère personnel avant leur transmission ou mise à disposition, par exemple, en consultant l’autorité compétente d’où proviennent les données. Dans la mesure du possible, lors de toute transmission de données opérationnelles à caractère personnel, le responsable du traitement ajoute les informations nécessaires pour permettre au destinataire de juger du degré d’exactitude, d’exhaustivité et de fiabilité des données opérationnelles à caractère personnel, et de leur niveau de mise à jour.

3. S’il s’avère que des données opérationnelles à caractère personnel inexactes ont été transmises ou que des données opérationnelles à caractère personnel ont été transmises de manière illicite, le destinataire en est informé sans retard. Dans ce cas, les données opérationnelles à caractère personnel concernées sont rectifiées ou effacées ou leur traitement est limité conformément à l’article 82.

Article 75

Conditions spécifiques applicables au traitement

1. Lorsque le droit de l’Union applicable au responsable du traitement qui transmet les données soumet le traitement à des conditions spécifiques, le responsable du traitement informe le destinataire de ces données opérationnelles à caractère personnel de ces conditions et de l’obligation de les respecter.

2. Le responsable du traitement respecte les conditions spécifiques applicables au traitement prévues par une autorité compétente qui transmet les données, conformément à l’article 9, paragraphes 3 et 4, de la directive (UE) 2016/680.

Article 76

Traitement portant sur des catégories particulières de données opérationnelles à caractère personnel

1. Le traitement des données opérationnelles à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l’appartenance syndicale, et le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données opérationnelles à caractère personnel concernant la santé ou concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique est autorisé uniquement en cas de nécessité absolue à des fins opérationnelles dans le cadre du mandat de l’organe ou de l’organisme de l’Union concerné et sous réserve de garanties appropriées pour les droits et libertés de la personne concernée. La discrimination à l’égard de personnes physiques sur la base de ces données à caractère personnel est interdite.

2. Le délégué à la protection des données est informé dans les meilleurs délais du recours au présent article.

Article 77

Décision individuelle automatisée, y compris le profilage

1. Toute décision fondée exclusivement sur un traitement automatisé, y compris le profilage, qui produit des effets juridiques défavorables pour la personne concernée ou l’affecte de manière significative est interdite, à moins qu’elle ne soit autorisée par une disposition du droit de l’Union à laquelle le responsable du traitement est soumis et qui fournit des garanties appropriées pour les droits et libertés de la personne concernée, et au minimum le droit d’obtenir une intervention humaine de la part du responsable du traitement.

L 295/88 FR Journal officiel de l'Union européenne 21.11.2018

2. Les décisions visées au paragraphe 1 du présent article ne sont pas fondées sur les catégories particulières de données à caractère personnel visées à l’article 76, à moins que des mesures appropriées pour la sauvegarde des droits et des libertés et des intérêts légitimes de la personne concernée ne soient en place.

3. Tout profilage qui entraîne une discrimination à l’égard des personnes physiques sur la base des catégories particulières de données à caractère personnel visées à l’article 76 est interdit, conformément au droit de l’Union.

Article 78

Communication et modalités de l’exercice des droits de la personne concernée

1. Le responsable du traitement prend des mesures raisonnables pour fournir toute information visée à l’article 79 et procède à toute communication au titre des articles 80 à 84 et de l’article 92 en ce qui concerne le traitement à la personne concernée d’une façon concise, compréhensible et aisément accessible, en des termes clairs et simples. Les informations sont fournies par tout moyen approprié, y compris par voie électronique. De manière générale, le responsable du traitement fournit les informations sous la même forme que la demande.

2. Le responsable du traitement facilite l’exercice des droits de la personne concernée au titre des articles 79 à 84.

3. Le responsable du traitement informe par écrit la personne concernée de la suite réservée à sa demande, dans les meilleurs délais, et en tout état de cause au plus tard trois mois après réception de la demande de la personne concernée.

4. Le responsable du traitement fournit les informations visées à l’article 79 et procède à toute communication et prend toute mesure au titre des articles 80 à 84 et de l’article 92 à titre gratuit. Lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut refuser de donner suite à la demande. Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande.

5. Lorsque le responsable du traitement a des doutes raisonnables quant à l’identité de la personne physique présentant la demande visée à l’article 80 ou 82, il peut demander que lui soient fournies des informations supplémentaires nécessaires pour confirmer l’identité de la personne concernée.

Article 79

Informations à mettre à la disposition de la personne concernée ou à lui fournir

1. Le responsable du traitement met à la disposition de la personne concernée au moins les informations suivantes:

a) l’identité et les coordonnées de l’organe ou de l’organisme de l’Union;

b) les coordonnées du délégué à la protection des données;

c) les finalités du traitement auquel sont destinées les données opérationnelles à caractère personnel;

d) le droit d’introduire une réclamation auprès du Contrôleur européen de la protection des données et les coordonnées de ce dernier;

e) l’existence du droit de demander au responsable du traitement l’accès aux données opérationnelles à caractère personnel, leur rectification ou leur effacement, et la limitation du traitement des données opérationnelles à caractère personnel relatives à la personne concernée.

2. Outre les informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée, dans des cas particuliers prévus par le droit de l’Union, les informations supplémentaires suivantes afin de lui permettre d’exercer ses droits:

a) la base juridique du traitement,

b) la durée de conservation des données opérationnelles à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée;

c) le cas échéant, les catégories de destinataires des données opérationnelles à caractère personnel, y compris dans les pays tiers ou au sein d’organisations internationales;

d) au besoin, d’autres informations, en particulier lorsque les données opérationnelles à caractère personnel sont collectées à l’insu de la personne concernée.

21.11.2018 FR Journal officiel de l'Union européenne L 295/89

3. Le responsable du traitement peut retarder ou limiter la fourniture des informations à la personne concernée en application du paragraphe 2, ou ne pas fournir ces informations, dès lors et aussi longtemps qu’une mesure de cette nature constitue une mesure nécessaire et proportionnée dans une société démocratique, en tenant dûment compte des droits fondamentaux et des intérêts légitimes de la personne physique concernée, pour:

a) éviter de gêner des enquêtes, des recherches ou des procédures officielles ou judiciaires;

b) éviter de nuire à la prévention et à la détection d’infractions pénales, aux enquêtes et aux poursuites en la matière, ou à l’exécution de sanctions pénales;

c) protéger la sécurité publique des États membres;

d) protéger la sécurité nationale des États membres;

e) protéger les droits et libertés d’autrui, tel que les victimes et les témoins.

Article 80

Droit d’accès de la personne concernée

La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données opérationnelles à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, elle a le droit d’avoir accès auxdites données opérationnelles à caractère personnel et d’obtenir les informations suivantes:

a) les finalités du traitement ainsi que sa base juridique;

b) les catégories de données opérationnelles à caractère personnel concernées;

c) les destinataires ou catégories de destinataires auxquels les données opérationnelles à caractère personnel ont été communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales;

d) lorsque cela est possible, la durée de conservation des données opérationnelles à caractère personnel envisagée ou, si cela n’est pas possible, les critères utilisés pour déterminer cette durée;

e) l’existence du droit de demander au responsable du traitement la rectification ou l’effacement des données opérationnelles à caractère personnel, ou la limitation du traitement des données opérationnelles à caractère personnel relatives à la personne concernée;

f) le droit de d’introduire une réclamation auprès du Contrôleur européen de la protection des données et les coordonnées de ce dernier;

g) la communication des données opérationnelles à caractère personnel en cours de traitement, ainsi que toute information disponible sur l’origine de ces données.

Article 81

Limitations du droit d’accès

1. Le responsable du traitement peut limiter, entièrement ou partiellement, le droit d’accès de la personne concernée, dès lors et aussi longtemps qu’une telle limitation partielle ou complète constitue une mesure nécessaire et proportionnée dans une société démocratique, en tenant dûment compte des droits fondamentaux et des intérêts légitimes de la personne physique concernée, pour:

a) éviter de gêner des enquêtes, des recherches ou des procédures officielles ou judiciaires;

b) éviter de nuire à la prévention et à la détection d’infractions pénales, aux enquêtes et aux poursuites en la matière, ou à l’exécution de sanctions pénales;

c) protéger la sécurité publique des États membres;

d) protéger la sécurité nationale des États membres;

e) protéger les droits et libertés d’autrui, tel que les victimes et témoins.

2. Dans les cas visés au paragraphe 1, le responsable du traitement informe la personne concernée par écrit, dans les meilleurs délais, de tout refus ou de toute limitation d’accès, ainsi que des motifs du refus ou de la limitation. Ces informations peuvent ne pas être fournies lorsque leur communication risque de compromettre l’un des objectifs énoncés au paragraphe 1. Le responsable du traitement informe la personne concernée de la possibilité d’introduire une réclamation auprès du Contrôleur européen de la protection des données ou de former un recours juridictionnel devant la Cour. Le responsable du traitement consigne les motifs de fait ou de droit sur lesquels se fonde la décision. Ces informations sont mises à la disposition du Contrôleur européen de la protection des données sur demande.

L 295/90 FR Journal officiel de l'Union européenne 21.11.2018

Article 82

Droit de rectification ou d’effacement des données opérationnelles à caractère personnel et limitation du traitement

1. Toute personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données opérationnelles à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données opérationnelles à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire.

2. Le responsable du traitement efface, dans les meilleurs délais, les données opérationnelles à caractère personnel et la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant lorsque le traitement constitue une violation de l’article 71, de l’article 72, paragraphe 1, ou de l’article 76, ou lorsque les données opérationnelles à caractère personnel doivent être effacées pour respecter une obligation légale à laquelle est soumis le responsable du traitement.

3. Au lieu de procéder à l’effacement, le responsable du traitement limite le traitement lorsque:

a) l’exactitude des données à caractère personnel est contestée par la personne concernée et il ne peut être déterminé si les données sont exactes ou non; ou

b) les données à caractère personnel doivent être conservées à des fins probatoires.

Lorsque le traitement est limité en vertu du premier alinéa, point a), le responsable du traitement informe la personne concernée avant de lever la limitation du traitement.

Les données soumises à limitation ne sont traitées que pour les finalités qui ont empêché leur effacement.

4. Le responsable du traitement informe la personne concernée par écrit de tout refus de rectifier ou d’effacer des données opérationnelles à caractère personnel ou de limiter le traitement, ainsi que des motifs du refus. Le responsable du traitement peut limiter, entièrement ou partiellement, la fourniture de ces informations dès lors qu’une telle limitation constitue une mesure nécessaire et proportionnée dans une société démocratique, en tenant dûment compte des droits fondamentaux et des intérêts légitimes de la personne physique concernée, pour:

a) éviter de gêner des enquêtes, des recherches ou des procédures officielles ou judiciaires;

b) éviter de nuire à la prévention et à la détection d’infractions pénales, aux enquêtes et aux poursuites en la matière, ou à l’exécution de sanctions pénales;

c) protéger la sécurité publique des États membres;

d) protéger la sécurité nationale des États membres;

e) protéger les droits et libertés d’autrui, tel que les victimes et les témoins.

Le responsable du traitement informe la personne concernée de la possibilité d’introduire une réclamation auprès du Contrôleur européen de la protection des données ou de former un recours juridictionnel devant la Cour.

5. Le responsable du traitement communique la rectification des données opérationnelles à caractère personnel inexactes à l’autorité compétente d’où proviennent les données opérationnelles à caractère personnel inexactes.

6. Lorsque des données opérationnelles à caractère personnel ont été rectifiées ou effacées ou que le traitement a été limité en application des paragraphe 1, 2 ou 3, le responsable du traitement adresse une notification aux destinataires et les informe qu’ils doivent rectifier ou effacer les données opérationnelles à caractère personnel ou limiter le traitement des données opérationnelles à caractère personnel sous leur responsabilité.

Article 83

Droit d’accès dans le cadre des enquêtes et des procédures pénales

Lorsque les données opérationnelles à caractère personnel proviennent d’une autorité compétente, les organes et organismes de l’Union, avant de prendre une décision sur le droit d’accès d’une personne concernée, vérifient avec l’autorité compétente concernée si ces données à caractère personnel figurent dans une décision judiciaire ou un casier ou dossier judiciaire faisant l’objet d’un traitement lors d’une enquête et d’une procédure pénale dans l’État membre de cette autorité compétente. Si tel est le cas, une décision sur le droit d’accès est prise en consultation et en étroite coopération avec l’autorité compétente concernée.

21.11.2018 FR Journal officiel de l'Union européenne L 295/91

Article 84

Exercice des droits de la personne concernée et vérification par le Contrôleur européen de la protection des données

1. Dans les cas visés à l’article 79, paragraphe 3, à l’article 81 et à l’article 82, paragraphe 4, les droits de la personne concernée peuvent également être exercés par l’intermédiaire du Contrôleur européen de la protection des données.

2. Le responsable du traitement informe la personne concernée de la possibilité qu’elle a d’exercer ses droits par l’intermédiaire du Contrôleur européen de la protection des données en application du paragraphe 1.

3. Lorsque le droit visé au paragraphe 1 est exercé, le Contrôleur européen de la protection des données informe au moins la personne concernée du fait qu’il a procédé à toutes les vérifications nécessaires ou à un examen. Le Contrôleur européen de la protection des données informe également la personne concernée de son droit de former un recours juridictionnel devant la Cour.

Article 85

Protection des données dès la conception et protection des données par défaut

1. Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et les libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de l’acte juridique qui l’a institué et de protéger les droits de la personne concernée.

2. Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données opérationnelles à caractère personnel qui sont adéquates, pertinentes et non excessives au regard de la finalité du traitement sont traitées. Cette obligation s’applique à la quantité de données opérationnelles à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données opérationnelles à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée.

Article 86

Responsables conjoints du traitement

1. Lorsque deux ou plusieurs responsables du traitement ou un ou plusieurs responsables du traitement avec un ou plusieurs responsables du traitement autres que les institutions et organes de l’Union, déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. Les responsables conjoints du traitement définissent de manière transparente leurs responsabilités respectives quant au respect des obligations qui leur incombent en matière de protection des données, notamment en ce qui concerne l’exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informations visées à l’article 79, par voie d’accord entre eux, sauf si, et dans la mesure où, leurs responsabilités respectives sont définies par le droit de l’Union ou par le droit de l’État membre auquel les responsables conjoints du traitement sont soumis. Un point de contact pour les personnes concernées peut être désigné dans l’accord.

2. L’accord mentionné au paragraphe 1 reflète dûment les rôles respectifs des responsables conjoints du traitement et leurs relations vis-à-vis de la personne concernée. Les grandes lignes de l’accord sont mises à la disposition de la personne concernée.

3. Indépendamment des termes de l’accord visé au paragraphe 1, la personne concernée peut exercer les droits que lui confère le présent règlement à l’égard de et contre chacun des responsables du traitement.

Article 87

Sous-traitant

1. Lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées pour que le traitement réponde aux exigences du présent règlement et de l’acte juridique instituant le responsable du traitement et garantisse la protection des droits de la personne concernée.

2. Le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d’une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements.

L 295/92 FR Journal officiel de l'Union européenne 21.11.2018

3. Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement et qui définit l’objet, la durée, la nature et la finalité du traitement, le type de données opérationnelles à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement. Ce contrat ou cet autre acte juridique prévoit, notamment, que le sous-traitant:

a) n’agit que sur instruction du responsable du traitement;

b) veille à ce que les personnes autorisées à traiter les données opérationnelles à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité;

c) aide le responsable du traitement, par tout moyen approprié, à veiller au respect des dispositions relatives aux droits de la personne concernée;

d) selon le choix du responsable du traitement, supprime toutes les données opérationnelles à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation de services relatifs au traitement, et détruit les copies existantes, à moins que le droit de l’Union ou le droit d’un État membre n’exige la conservation des données opérationnelles à caractère personnel;

e) met à la disposition du responsable du traitement toutes les informations nécessaires pour apporter la preuve du respect des obligations prévues par le présent article;

f) respecte les conditions visées au paragraphe 2 et au présent paragraphe pour recruter un autre sous-traitant.

4. Le contrat ou l’autre acte juridique visé au paragraphe 3 se présente sous forme écrite, y compris sous forme électronique.

5. Si, en violation du présent règlement ou de l’acte juridique instituant le responsable du traitement, un sous-traitant détermine les finalités et les moyens du traitement, il est considéré comme un responsable du traitement pour ce qui concerne ce traitement.

Article 88

Journalisation

1. Le responsable du traitement établit des journaux pour les opérations de traitement ci-après effectuées dans des systèmes de traitement automatisé: la collecte, la modification, la consultation, la communication, y compris les transferts, l’interconnexion et l’effacement des données opérationnelles à caractère personnel et l’accès à celles-ci. Les journaux des opérations de consultation et de communication permettent d’établir le motif, la date et l’heure de ces opérations, l’identification de la personne qui a consulté ou communiqué les données opérationnelles à caractère personnel, ainsi que, dans la mesure du possible, l’identité des destinataires de ces données opérationnelles à caractère personnel.

2. Les journaux sont utilisés uniquement à des fins de vérification de la licéité du traitement, d’autocontrôle, de garantie de l’intégrité et de la sécurité des données opérationnelles à caractère personnel et à des fins de procédures pénales. Ces journaux sont effacés au bout de trois ans, sauf s’ils demeurent nécessaires à un contrôle en cours.

3. Le responsable du traitement met les journaux à la disposition de son délégué à la protection des données et du Contrôleur européen de la protection des données sur demande.

Article 89

Analyse d’impact relative à la protection des données

1. Lorsqu’un type de traitement, en particulier par le recours aux nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et les libertés des personnes physiques, le responsable du traitement effectue préalablement au traitement une analyse de l’impact des opérations de traitement envisagées sur la protection des données opérationnelles à caractère personnel.

2. L’analyse visée au paragraphe 1 contient au moins une description générale des opérations de traitement envisagées, une évaluation des risques pour les droits et les libertés des personnes concernées, les mesures envisagées pour faire face à ces risques, les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données opérationnelles à caractère personnel et à apporter la preuve du respect des règles de protection des données, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes touchées.

21.11.2018 FR Journal officiel de l'Union européenne L 295/93

Article 90

Consultation préalable du Contrôleur européen de la protection des données

1. Le responsable du traitement consulte le Contrôleur européen de la protection des données préalablement au traitement qui fera partie d’un nouveau fichier à créer:

a) lorsqu’une analyse d’impact relative à la protection des données effectuée en vertu de l’article 89 indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque; ou

b) lorsque le type de traitement, en particulier, en raison de l’utilisation de nouveaux mécanismes, technologies ou procédures, présente des risques élevés pour les libertés et les droits des personnes concernées.

2. Le Contrôleur européen de la protection des données peut établir une liste des opérations de traitement devant faire l’objet d’une consultation préalable conformément au paragraphe 1.

3. Le responsable du traitement fournit au Contrôleur européen de la protection des données l’analyse d’impact relative à la protection des données visée à l’article 89 et, sur demande, toute autre information afin de permettre au Contrôleur européen de la protection des données d’apprécier la conformité du traitement et, en particulier, les risques pour la protection des données opérationnelles à caractère personnel de la personne concernée et les garanties qui s’y rapportent.

4. Lorsque le Contrôleur européen de la protection des données est d’avis que le traitement envisagé, visé au paragraphe 1, constituerait une violation du présent règlement ou de l’acte juridique instituant l’organe ou l’organisme de l’Union, en particulier lorsque le responsable du traitement n’a pas suffisamment identifié ou atténué le risque, le Contrôleur européen de la protection des données fournit un avis écrit au responsable du traitement, dans un délai maximum de six semaines à compter de la réception de la demande de consultation. Ce délai peut être prolongé d’un mois, en fonction de la complexité du traitement envisagé. Le Contrôleur européen de la protection des données informe le responsable du traitement de toute prorogation dans un délai d’un mois à compter de la réception de la demande de consultation ainsi que des motifs du retard.

Article 91

Sécurité du traitement des données opérationnelles à caractère personnel

1. Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et les libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, notamment en ce qui concerne le traitement portant sur des catégories particulières de données opérationnelles à caractère personnel.

2. En ce qui concerne le traitement automatisé, le responsable du traitement et le sous-traitant mettent en œuvre, à la suite d’une évaluation des risques, des mesures destinées à:

a) empêcher toute personne non autorisée d’accéder aux installations utilisées pour le traitement de données (contrôle de l’accès aux installations);

b) empêcher que des supports de données puissent être lus, copiés, modifiés ou supprimés de façon non autorisée (contrôle des supports de données);

c) empêcher l’introduction non autorisée de données opérationnelles à caractère personnel ainsi que tout examen, toute modification ou tout effacement non autorisés de données opérationnelles à caractère personnel conservées (contrôle de la conservation);

d) empêcher que les systèmes de traitement automatisé puissent être utilisés par des personnes non autorisées à l’aide d’installations de transmission de données (contrôle des utilisateurs);

e) garantir que les personnes autorisées à utiliser un système de traitement automatisé ne puissent accéder qu’aux données opérationnelles à caractère personnel sur lesquelles porte leur autorisation (contrôle de l’accès aux données);

f) garantir qu’il puisse être vérifié et constaté à quelles instances des données opérationnelles à caractère personnel ont été ou peuvent être transmises ou mises à disposition par transmission de données (contrôle de la transmission);

g) garantir qu’il puisse être vérifié et constaté a posteriori quelles données opérationnelles à caractère personnel ont été introduites dans les systèmes de traitement automatisé, et à quel moment et par quelle personne elles y ont été introduites (contrôle de l’introduction);

L 295/94 FR Journal officiel de l'Union européenne 21.11.2018

h) empêcher que, lors de la transmission de données opérationnelles à caractère personnel ainsi que lors du transport de supports de données, les données opérationnelles à caractère personnel puissent être lues, copiées, modifiées ou effacées de façon non autorisée (contrôle du transport);

i) garantir que les systèmes installés puissent être rétablis en cas d’interruption (restauration);

j) garantir que les fonctions du système opèrent, que les erreurs de fonctionnement soient signalées (fiabilité) et que les données opérationnelles à caractère personnel conservées ne puissent pas être corrompues par un dysfonctionnement du système (intégrité).

Article 92

Notification au Contrôleur européen de la protection des données d’une violation de données à caractère personnel

1. En cas de violation de données à caractère personnel, le responsable du traitement notifie la violation en question au Contrôleur européen de la protection des données dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification au Contrôleur européen de la protection des données n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.

2. La notification visée au paragraphe 1 doit, à tout le moins:

a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données opérationnelles à caractère personnel concernés;

b) indiquer le nom et les coordonnées du délégué à la protection des données;

c) décrire les conséquences probables de la violation de données à caractère personnel;

d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, s’il y a lieu, les mesures pour en atténuer les éventuelles conséquences négatives.

3. Lorsque, et dans la mesure où, il n’est pas possible de fournir les informations visées au paragraphe 2 en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.

4. Le responsable du traitement documente toute violation de données à caractère personnel visée au paragraphe 1, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet au Contrôleur européen de la protection des données de vérifier le respect du présent article.

5. Lorsque la violation de données à caractère personnel porte sur des données opérationnelles à caractère personnel qui ont été transmises par les autorités compétentes ou à celles-ci, le responsable du traitement communique les informations visées au paragraphe 2 aux autorités compétentes concernées dans les meilleurs délais.

Article 93

Communication à la personne concernée d’une violation de données à caractère personnel

1. Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.

2. La communication à la personne concernée visée au paragraphe 1 du présent article décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins les informations et les recommandations visées à l’article 92, paragraphe 2, points b), c) et d).

3. La communication à la personne concernée visée au paragraphe 1 n’est pas nécessaire si l’une ou l’autre des conditions suivantes est remplie:

a) le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces dernières ont été appliquées aux données opérationnelles à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données opérationnelles à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès, telles que le chiffrement;

21.11.2018 FR Journal officiel de l'Union européenne L 295/95

b) le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et les libertés des personnes concernées visé au paragraphe 1 n’est plus susceptible de se matérialiser;

c) elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace.

4. Si le responsable du traitement n’a pas déjà communiqué à la personne concernée la violation de données à caractère personnel la concernant, le Contrôleur européen de la protection des données peut, après avoir examiné si cette violation de données à caractère personnel est susceptible d’engendrer un risque élevé, exiger du responsable du traitement qu’il procède à cette communication ou décider que l’une des conditions visées au paragraphe 3 est remplie.

5. La communication à la personne concernée visée au paragraphe 1 du présent article peut être retardée, limitée ou omise, sous réserve des conditions et pour les motifs visés à l’article 79, paragraphe 3.

Article 94

Transfert de données opérationnelles à caractère personnel à des pays tiers ou à des organisations internationales

1. Sous réserve des restrictions et conditions prévues dans les actes juridiques instituant l’organe ou l’organisme de l’Union, le responsable du traitement peut transférer des données opérationnelles à caractère personnel à une autorité d’un pays tiers ou à une organisation internationale, dans la mesure où ce transfert est nécessaire à l’exécution des tâches du responsable du traitement, et uniquement lorsque les conditions fixées au présent article sont remplies, à savoir:

a) la Commission a adopté, conformément à l’article 36, paragraphe 3, de la directive (UE) 2016/680, une décision d’adéquation selon laquelle le pays tiers ou un territoire ou un secteur de traitement de données au sein de ce pays tiers, ou l’organisation internationale en question, assure un niveau de protection adéquat;

b) en l’absence de décision d’adéquation de la Commission visée au point a), un accord international a été conclu entre l’Union et le pays tiers ou l’organisation internationale concerné, en vertu de l’article 218 du traité sur le fonctionnement de l’Union européenne, offrant des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes;

c) en l’absence de décision d’adéquation de la Commission en vertu du point a) ou d’accord international en vertu du point b), un accord de coopération autorisant l’échange de données opérationnelles à caractère personnel a été conclu avant la date d’application de l’acte juridique instituant l’organe ou l’organisme de l’Union concerné, entre cet organe ou organisme de l’Union et le pays tiers en question.

2. Les actes juridiques instituant les organes et organismes de l’Union peuvent maintenir ou introduire des dispositions plus précises sur les conditions relatives aux transferts internationaux de données opérationnelles à caractère personnel, en particulier sur les transferts faisant l’objet de garanties appropriées et de dérogations pour des situations particulières.

3. Le responsable du traitement publie sur son site internet et tient à jour une liste des décisions d’adéquation visées au paragraphe 1, point a), des accords, des arrangements administratifs et des autres instruments relatifs au transfert de données opérationnelles à caractère personnel conformément au paragraphe 1.

4. Le responsable du traitement tient un relevé détaillé de tous les transferts effectués au titre du présent article.

Article 95

Secret des enquêtes judiciaires et des procédures pénales

Les actes juridiques instituant les organes ou organismes de l’Union exerçant des activités qui relèvent du champ d’application de la troisième partie, titre V, chapitre 4 ou 5, du traité sur le fonctionnement de l’Union européenne peuvent contraindre le Contrôleur européen de la protection des données, dans l’exercice de ses pouvoirs de contrôle, à tenir le plus grand compte du secret des enquêtes judiciaires et des procédures pénales, conformément au droit de l’Union ou au droit des États membres.

L 295/96 FR Journal officiel de l'Union européenne 21.11.2018

CHAPITRE X

ACTES D’EXÉCUTION

Article 96

Comité

1. La Commission est assistée par le comité institué par l’article 93 du règlement (UE) 2016/679. Ledit comité est un comité au sens du règlement (UE) no 182/2011.

2. Lorsqu’il est fait référence au présent paragraphe, l’article 5 du règlement (UE) no 182/2011 s’applique.

CHAPITRE XI

RÉEXAMEN

Article 97

Clause de réexamen

Le 30 avril 2022 au plus tard, puis tous les cinq ans par la suite, la Commission présente au Parlement européen et au Conseil un rapport sur l’application du présent règlement, accompagné, le cas échéant, des propositions législatives appropriées.

Article 98

Réexamen des actes juridiques de l’Union

1. Le 30 avril 2022 au plus tard, la Commission réexamine les actes juridiques adoptés sur la base des traités qui régissent le traitement de données opérationnelles à caractère personnel par les organes ou organismes de l’Union lorsqu’elles exercent des activités qui relèvent du champ d’application de la troisième partie, titre V, chapitre 4 ou 5, du traité sur le fonctionnement de l’Union européenne, afin de:

a) s’assurer de leur compatibilité avec la directive (UE) 2016/680 et avec le chapitre IX du présent règlement;

b) recenser les divergences qui sont susceptibles d’entraver l’échange de données opérationnelles à caractère personnel entre les organes ou organismes de l’Union lorsqu’elles exercent des activités dans ces domaines et les autorités compétentes; et

c) identifier les divergences qui sont susceptibles de donner lieu à une fragmentation juridique de la législation en matière de protection des données dans l’Union.

2. Sur la base de ce réexamen, pour assurer une protection uniforme et cohérente des personnes physiques à l’égard du traitement, la Commission peut présenter des propositions législatives appropriées, notamment en vue d’appliquer le chapitre IX du présent règlement à Europol et au Parquet européen, y compris des adaptations du chapitre IX, si nécessaire.

CHAPITRE XII

DISPOSITIONS FINALES

Article 99

Abrogation du règlement (CE) no 45/2001 et de la décision no 1247/2002/CE.

Le règlement (CE) no 45/2001 et la décision no 1247/2002/CE sont abrogés avec effet au 11 décembre 2018. Les références faites au règlement et à la décision abrogés s’entendent comme faites au présent règlement.

Article 100

Mesures transitoires

1. Le présent règlement ne porte pas atteinte à la décision 2014/886/UE du Parlement européen et du Conseil (1) ni aux mandats actuels du Contrôleur européen de la protection des données et du Contrôleur adjoint.

21.11.2018 FR Journal officiel de l'Union européenne L 295/97

(1) Décision 2014/886/UE du Parlement européen et du Conseil du 4 décembre 2014 portant nomination du contrôleur européen de la protection des données et du contrôleur adjoint (JO L 351 du 9.12.2014, p. 9).

2. La fonction de Contrôleur adjoint est considérée comme équivalente à celle de greffier de la Cour en ce qui concerne la détermination du traitement, des indemnités, de la pension d’ancienneté, et de tout autre avantage tenant lieu de rémunération.

3. L’article 53, paragraphes 4, 5 et 7, et les articles 55 et 56 du présent règlement s’appliquent à l’actuel Contrôleur adjoint jusqu’à la fin de son mandat.

4. Le Contrôleur adjoint assiste le Contrôleur européen de la protection des données dans l’ensemble de ses fonctions et le supplée en cas d’absence ou d’empêchement jusqu’à la fin du mandat de l’actuel Contrôleur adjoint.

Article 101

Entrée en vigueur et application

1. Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.

2. Toutefois, le présent règlement s’applique au traitement de données à caractère personnel par Eurojust à partir du 12 décembre 2019.

Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.

Fait à Strasbourg, le 23 octobre 2018.

Par le Parlement européen

Le président

A. TAJANI

Par le Conseil

Le président

K. EDTSTADLER

L 295/98 FR Journal officiel de l'Union européenne 21.11.2018


Legislation Is implemented by (1 text(s)) Is implemented by (1 text(s))
No data available.

WIPO Lex No. EU279