Statele membre stabilesc că datele cu caracter personal trebuie să fie prelucrate în mod corect și legal, colectate în scopuri determinate, explicite și legitime ți să nu mai fie prelucrate ulterior într-un mod incompatibil cu aceste scopuri. Prelucrarea ulterioară a datelor în scopuri istorice, statistice sau științifice nu este considerată incompatibilă atât timp cât statele membre prevăd garanții corespunzătoare, pertinente și neexcesive în ceea ce privește scopurile pentru care sunt colectate și prelucrate ulterior. Datele prelucrate trebuie să fie exacte și, dacă este necesar, actualizate, trebuie luate toate măsurile necesare pentru ca datele inexacte sau incomplete din punct de vedere al scopului pentru care sunt colectate sau pentru care vor fi prelucrate ulterior, să fie șterse sau rectificate.
Datele trebuie păstrate într-o formă care permite identificarea persoanelor vizate o perioadă nu mai lungă decât este necesar în vederea atingerii scopurilor pentru care au fost colectate sau pentru care vor fi prelucrate ulterior. Statele membre stabilesc garanțiile corespunzătoare pentru datele cu caracter personal care sunt stocate pe o perioadă mai mare decât cea menționată, în scopuri istorice, statistice sau științifice.
Criteriile privind legitimitatea prelucrării datelor
Statele membre prevăd ca datele cu caracter personal să fie prelucrate numai dacă persoana vizată și-a dat consimțământul neechivoc sau prelucrarea este necesară pentru executarea unui contract la care subiectul datelor este parte sau în vederea luării unor măsuri, la cererea acesteia, înainte de încheierea contractului.
De asemenea datele mai pot fi prelucrate daca este necesară îndeplinirea unei obligații legale care îi revine operatorului sau în scopul protejării interesului vital al persoanei vizate.
Prelucrarea categoriilor speciale de date
Statele membre interzic prelucrarea datelor cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, convingerile religioase sau filozofice, apartenența sindicală, precum și prelucrarea datelor privind sănătatea sau viața sexuală.
Excepție de la acest principiul fac următoarele cazuri:
persoana vizată și-a dat consimțământul explicit pentru prelucrarea acestor date, cu excepția cazului în care legislația statului membru prevede ca interdicția prevăzutăanterior să nu poată fi ridicată prin consimțământul persoanei vizate
prelucrarea este necesară în scopul respectării obligațiilor și drepturilor specifice ale operatorului în materie de drept al muncii, în măsura în care este autorizat de legislația națională care prevede garanții adecvate
prelucrarea este necesară pentru protejarea intereselor vitale ale persoanei vizate sau ale altei persoane, atunci când persoana vizată se află în incapacitate fizică sau juridică să-și dea consimțământul
prelucrarea este efectuată, în cursul activităților lor legitime și cu garanții adecvate, de o fundație, o asociație sau orice alt organism cu scop nelucrativ și cu specific politic, filozofic, religios sau sindical, cu condiția ca prelucrarea să se refere numai la membrii acestui organism sau la persoane cu care are contacte permanente în legătură cu scopurile sale și ca datele să nu fie comunicate terților fără consimțământul persoanelor vizate
prelucrarea se referă la date care sunt făcute publice de către persoanele vizate în mod manifest sau sunt necesare pentru constatarea, exercitarea sau apărarea unui drept în justiție.
Principiul de asemenea nu se aplică aplică atunci când prelucrarea datelor este necesară în scopuri legate de medicina preventivă, de stabilire a diagnosticelor medicale, de administrare a unor îngrijirii sau tratamente ori de gestionare a serviciilor de sănătate și atunci când datele sunt prelucrate de un cadru medical supus, în conformitate cu dreptul intern ori cu normele stabilite de autoritățile naționale competente, secretului profesional sau de altă persoană supusă, de asemenea, unei obligații echivalente în ceea ce privește secretul.
Sub rezerva unor garanții corespunzătoare, statele membre pot prevedea, pentru un motiv de interes public important, derogări suplimentare față de cele prevăzute, fie în legislația națională, fie prin decizia autorității de supraveghere. Prelucrarea datelor referitoare la infracțiuni, condamnări penale sau măsuri de securitate se poate efectua numai sub controlul autorității publice sau dacă garanțiile corespunzătoare și specifice sunt prevăzute de dreptul intern, sub rezerva derogărilor pe care statul membru le poate acorda în temeiul dispozițiilor naționale care prevăd garanții corespunzătoare și specifice. Cu toate acestea, un registru complet al condamnărilor penale nu poate fi ținut decât sub controlul autoriății publice.
Statele membre pot să prevadă ca datele referitoare la sancțiunile administrative sau sentințele civile să fie, de asemenea, prelucrate tot sub controlul autorității publice.
Excepții și restricții
Statele membre pot adopta măsuri legislative pentru a restrânge sfera obligațiilor și drepturilor prevăzute dacă o astfel de restricție constituie o măsură necesară pentru a proteja: securitatea statului, apărarea, siguranța publică, prevenirea, investigarea, detectarea și punerea sub urmărire a infracțiunilor sau a încălcării eticii în cazul profesiunilor reglementate, un interes economic sau financiar important al unui stat membru sau al Uniunii Europene, inclusiv în domeniile monetar, bugetar și fiscal; o funcție de monitorizare, inspecție sau de reglementare legată, chiar și ocazional, de exercitarea autorității publice în cazurile menționate; protecția persoanei vizate sau a drepturilor și libertăților altora.
Sub rezerva garanțiilor legale corespunzătoare, în special în sensul că datele nu sunt folosite pentru luarea unor măsuri sau decizii împotriva unei anumite persoane, statele membre pot, în cazul în care nu există în mod clar riscuri de încălcare a vieții private a persoanei vizate, să restrângă printr-o măsură legislativă drepturile prevăzute atunci când datele sunt prelucrate exclusiv în scopul cercetării științifice sau sunt stocate sub formă de date cu caracter personal o perioadă care nu depășește perioada necesară în scopul unic de realizare a statisticilor. Când datele sunt prelucrate exclusiv în scopul cercetării științifice sau sunt stocate sub formă de date cu caracter personal o perioadă care nu depășește perioada necesară în scopul unic de realizare a statisticilor.
Confidențialitatea și securitatea prelucrărilor
Orice persoană care acționează sub autoritatea operatorului sau a persoanei împuternicite de către operator, inclusiv persoana împuternicită, care are acces la datele cu caracter personal nu trebuie să le prelucreze decât la instrucțiunile operatorului, cu excepția cazului în care este obligat prin lege.
Statele membre prevăd aplicarea obligatorie de către operator a unor măsuri tehnice și organizatorice de protecție adecvate pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii accidentale, modificării, dezvăluirii sau accesului neautorizat, în special atunci când prelucrarea presupune transmiterea datelor într-o rețea, precum și împotriva oricărei alte forme de prelucrare ilegală.
Având în vedere cele mai noi tehnici din sector și costurile punerii lor în aplicare, aceste măsuri trebuie să asigure un nivel de securitate adecvat în ceea ce privește riscurile prezentate de prelucrare și caracterul datelor de protejat.
Statele membre prevăd ca operatorul, dacă prelucrarea este efectuată pe seama sa, să aleagă o persoană care să prezinte suficiente garanții referitoare la măsurile de securitate tehnică și de organizare privind prelucrarea care urmează să fie efectuată și să vegheze la respectarea acestor măsuri. Efectuarea prelucrărilor prin persoane împuternicite trebuie să fie reglementată printr-un contract sau act juridic care leagă persoana împuternicită de operator și care prevede, în special, că:
persoana împuternicită acționează numai la instrucțiunile operatorului
obligațiile prevăzute așa cum sunt definite de legislația statului membru în care este stabilită persoana împuternicită, îi revin și acesteia.
În vederea păstrării probelor, elementele contractului sau actului juridic care se referă la protecția datelor și la cerințele referitoare la măsurile prevăzute, se consemnează în scris sau în altă formă echivalentă.
Obligația de a notifica autoritatea supravegheată
Statele membre prevăd notificarea de către operator sau, dacă este cazul, de către persoana împuternicită a autorității de supraveghere prevăzute, înainte de efectuarea prelucrării total sau parțial automatizate destinate să servească unui scop sau mai multor scopuri legate între ele.
Statele membre nu pot să prevadă simplificarea notificării sau a derogării de la această obligație decât în cazurile și în condițiile următoare:
atunci când, pentru categoriile de prelucrări care, ținând seama de datele de prelucrat, nu pot să aducă atingere drepturilor și libertăților persoanelor vizate, precizează scopul prelucrărilor, datele sau categoriile de date supuse prelucrării, categoria sau categoriile de persoane vizate, destinatarii sau categoriile de destinatari cărora le sunt comunicate și perioada de stocare a datelor
atunci când operatorul, în conformitate cu dreptul intern căruia i se supune, numește un funcționar pentru protecția datelor cu caracter personal, responsabil în special de asigurarea în mod independent a aplicării interne a dispozițiilor naționale adoptate în temeiul prezentei directive, și de păstrarea registrului cu prelucrările efectuate de operator, conținând informațiile prevăzute, și garantând astfel că prelucrările nu pot să aducă atingere drepturilor și libertăților persoanelor vizate.
Statele membre pot prevedea o derogare de la obliga_ia de notificare sau o simplificare a notificării prelucrările prevăzute în art. 8 alin. (2) lit. (d) din Directivă. Statele membre pot stipula ca toate sau anumite prelucrări neautomatizate ale datelor cu caracter personal să fie notificate sau să facă obiectul unei notificări simplificate.
Acțiuni în justiție, răspundere și sancțiuni
Fără să aducă atingere oricărei acțiuni administrative care poate fi organizată mai ales înaintea autorității de supraveghere prevăzute în art. 28, anterior sesizării autorității judecătorești, statele membre prevăd dreptul oricărei persoane la atac în justiție în caz de încălcare a drepturilor garantate de dreptul intern aplicabil prelucrării în cauză.
Statele membre prevăd ca orice persoană care a suferit prejudicii ca urmare a unei prelucrări ilegale sau a oricărei acțiuni incompatibile cu dispozițiile naționale adoptate în temeiul prezentei directive are dreptul să obțină reparații de la operator pentru prejudiciul suferit.
Operatorul poate fi exonerat de răspundere, total sau parțial dacă dovedește că nu îi este imputabilă fapta care a provocat prejudiciul.
Statele membre adoptă măsurile adecvate pentru a asigura aplicarea integrală a dispozițiilor directivei și, în special, stabilește sancțiunile care urmează să fie aplicate în caz de încălcare a dispozițiilor adoptate în temeiul directivei.