Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 58, paragraphe 2.1. L'enquête faisant suite à une réclamation devrait être menée, sous contrôle juridictionnel, dans la mesure appropriée requise par le cas d'espèce. Lorsque cela est proportionné au regard des activités de traitement, les mesures visées au paragraphe 1 comprennent la mise en œuvre de politiques appropriées en matière de protection des données par le responsable du traitement.Protection des données dès la conception et protection des données par défaut1. Afin de faciliter l'introduction des réclamations, chaque autorité de contrôle devrait prendre des mesures telles que la fourniture d'un formulaire de réclamation qui peut être rempli également par voie électronique, sans que d'autres moyens de communication ne soient exclus.Toute personne physique ou morale devrait disposer du droit à un recours juridictionnel effectif, devant la juridiction nationale compétente, contre une décision d'une autorité de contrôle qui produit des effets juridiques à son égard. Lorsque des données à caractère personnel sont transférées de l'Union à des responsables du traitement, à des sous-traitants ou à d'autres destinataires dans des pays tiers ou à des organisations internationales, il importe que le niveau de protection des personnes physiques prévu dans l'Union par la présente directive ne soit pas compromis, y compris en cas de transferts ultérieurs de données à caractère personnel au départ du pays tiers ou de l'organisation internationale à des responsables du traitement ou à des sous-traitants dans le même pays tiers ou dans un pays tiers différent, ou à une autre organisation internationale.Lorsque des données à caractère personnel sont transférées d'un État membre vers des pays tiers ou à des organisations internationales, un tel transfert ne devrait en principe avoir lieu qu'après que l'État membre auprès duquel les données ont été collectées a autorisé le transfert.
Lors de l'adoption, à l'égard d'un territoire ou d'un secteur déterminé dans un pays tiers, d'une décision d'adéquation, il y a lieu de prendre en compte des critères clairs et objectifs, telles que les activités de traitement spécifiques et le champ d'application des normes juridiques applicables et du droit en vigueur dans le pays tiers. Ils sont mis à la disposition du public, de la Commission et du comité.1. Les États membres prévoient que le responsable du traitement informe la personne concernée de la possibilité qu'elle a d'exercer ses droits par l'intermédiaire de l'autorité de contrôle en application du paragraphe 1.3. Une disposition du droit d'un État membre qui réglemente le traitement relevant du champ d'application de la présente directive précise au moins les objectifs du traitement, les données à caractère personnel devant faire l'objet d'un traitement et les finalités du traitement.1.
La Commission devrait également tenir compte de toute décision d'adéquation pertinente qu'elle aurait adoptée conformément à l'article 45 du règlement (UE) 2016/679.La Commission devrait surveiller le fonctionnement des décisions relatives au niveau de protection offert par un pays tiers, un territoire ou un secteur déterminé dans un pays tiers, ou par une organisation internationale. Dans le cadre de ces évaluations et réexamens visés au paragraphe 1, la Commission examine, en particulier, l'application et le fonctionnement du chapitre V sur le transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales, en accordant une attention particulière aux décisions adoptées en vertu de l'article 36, paragraphe 3, et de l'article 39.3. Le contrat ou l'autre acte juridique visé au paragraphe 3 revêt la forme écrite, y compris la forme électronique.5. Pendant la durée de leur mandat, ce devoir de secret professionnel s'applique en particulier au signalement par des personnes physiques de violations de la présente directive.1. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l'intervention de la personne concernée.1. Elle devrait aider le responsable du traitement et les employés traitant des données à caractère personnel en les informant et en les conseillant sur le respect des obligations leur incombant en matière de protection des données. En outre, le responsable du traitement devrait prendre en compte le fait que les données à caractère personnel ne seront pas utilisées pour demander, prononcer ou mettre à exécution une condamnation à la peine de mort ou toute forme de traitement cruel et inhumain. Il convient que chaque autorité de contrôle soit dotée de tous les moyens financiers et humains ainsi que des locaux et des infrastructures nécessaires à la bonne exécution de ses missions, y compris celles qui sont liées à l'assistance mutuelle et à la coopération avec d'autres autorités de contrôle dans l'ensemble de l'Union. On entend par risque élevé un risque particulier de porter atteinte aux droits et aux libertés des personnes concernées.La protection des droits et libertés des personnes physiques à l'égard du traitement des données à caractère personnel exige l'adoption de mesures techniques et organisationnelles appropriées, pour garantir que les exigences de la présente directive soient respectées. Lorsqu'elle statue sur une demande d'autorisation d'un transfert ultérieur, l'autorité compétente qui a procédé au transfert initial devrait prendre dûment en considération l'ensemble des facteurs pertinents, y compris la gravité de l'infraction pénale, les conditions particulières applicables au transfert initial des données et la finalité pour laquelle les données ont été transférées initialement, la nature et les conditions de l'exécution de la sanction pénale, et le niveau de protection des données à caractère personnel dans le pays tiers ou au sein de l'organisation internationale vers lequel ou laquelle les données à caractère personnel sont transférées ultérieurement.