|
|
Council Framework Decision 2008/977/JHA
|
Рамково решение 2008/977/ПВР на Съвета
|
|
of 27 November 2008
|
от 27 ноември 2008 година
|
|
on the protection of personal data processed in the framework of police and judicial cooperation in criminal matters
|
относно защитата на личните данни, обработвани в рамките на полицейското и съдебното сътрудничество по наказателноправни въпроси
|
|
THE COUNCIL OF THE EUROPEAN UNION,
|
СЪВЕТЪТ НА ЕВРОПЕЙСКИЯ СЪЮЗ,
|
|
Having regard to the Treaty on European Union, and in particular Articles 30, 31 and 34(2)(b) thereof,
|
като взе предвид Договора за Европейския съюз, и по-специално членове 30 и 31 и член 34, параграф 2, буква б) от него,
|
|
Having regard to the proposal from the Commission,
|
като взе предвид предложението на Комисията,
|
|
Having regard to the opinion of the European Parliament [1],
|
като взе предвид становището на Европейския парламент [1],
|
|
Whereas:
|
като има предвид, че:
|
|
(1) The European Union has set itself the objective of maintaining and developing the Union as an area of freedom, security and justice in which a high level of safety is to be provided by common action among the Member States in the fields of police and judicial cooperation in criminal matters.
|
(1) Европейският съюз си е поставил за цел поддържането и развиването на Съюза като пространство на свобода, сигурност и правосъдие, в което да се предостави висока степен на сигурност чрез общи действия на държавите-членки в областите на полицейското и съдебното сътрудничество по наказателноправни въпроси.
|
|
(2) Common action in the field of police cooperation under Article 30(1)(b) of the Treaty on European Union and common action on judicial cooperation in criminal matters under Article 31(1)(a) of the Treaty on European Union imply a need to process the relevant information which should be subject to appropriate provisions on the protection of personal data.
|
(2) Общите действия в областта на полицейското сътрудничество по член 30, параграф 1, буква б) от Договора за Европейския съюз и общите действия в областта на съдебното сътрудничество по наказателноправни въпроси по член 31, параграф 1, буква а) от Договора за Европейския съюз предполагат необходимост от обработване на съответната информация, която следва да е предмет на подходящи разпоредби за защитата на личните данни.
|
|
(3) Legislation falling within the scope of Title VI of the Treaty on European Union should foster police and judicial cooperation in criminal matters with regard to its efficiency as well as its legitimacy and compliance with fundamental rights, in particular the right to privacy and to the protection of personal data. Common standards regarding the processing and protection of personal data processed for the purpose of preventing and combating crime contribute to the achieving of both aims.
|
(3) Законодателството, попадащо в обхвата на дял VI от Договора за Европейския съюз, следва да подпомага полицейското и съдебното сътрудничество по наказателноправни въпроси с оглед на тяхната ефикасност, както и на тяхната законосъобразност и зачитането на основните права, по-специално правото на неприкосновеност на личния живот и на защита на личните данни. Общите стандарти по отношение на обработването и защитата на лични данни, обработвани с цел предотвратяване и борба с престъпността, допринасят за постигането и на двете цели.
|
|
(4) The Hague Programme on strengthening freedom, security and justice in the European Union, adopted by the European Council on 4 November 2004, stressed the need for an innovative approach to the cross-border exchange of law-enforcement information under the strict observation of key conditions in the area of data protection and invited the Commission to submit proposals in this regard by the end of 2005 at the latest. This was reflected in the Council and Commission Action Plan implementing the Hague Programme on strengthening freedom, security and justice in the European Union [2].
|
(4) Хагската програма за укрепване на свободата, сигурността и правосъдието в Европейския съюз, приета от Европейския съвет на 4 ноември 2004 г., подчерта необходимостта от новаторски подход към трансграничния обмен на информация за правоприлагането при строгото спазване на основните изисквания в областта на защитата на данните и прикани Комисията да представи предложения в тази връзка най-късно до края на 2005 г. Това беше отразено в Плана за действие на Съвета и Комисията за прилагане на Хагската програма за укрепване на свободата, сигурността и правосъдието в Европейския съюз [2].
|
|
(5) The exchange of personal data within the framework of police and judicial cooperation in criminal matters, notably under the principle of availability of information as laid down in the Hague Programme, should be supported by clear rules enhancing mutual trust between the competent authorities and ensuring that the relevant information is protected in a way that excludes any discrimination in respect of such cooperation between the Member States while fully respecting fundamental rights of individuals. Existing instruments at the European level do not suffice; Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data [3] does not apply to the processing of personal data in the course of an activity which falls outside the scope of Community law, such as those provided for by Title VI of the Treaty on European Union, nor, in any case, to processing operations concerning public security, defence, state security or the activities of the State in areas of criminal law.
|
(5) Обменът на лични данни в рамките на полицейското и съдебното сътрудничество по наказателноправни въпроси, особено в съответствие с принципа за наличност на информацията, заложен в Хагската програма, следва да бъде подкрепен с ясни правила, които засилват взаимното доверие между компетентните органи и осигуряват защитата на съответната информация по начин, който изключва всяка дискриминация по отношение на такова сътрудничество между държавите-членки, като същевременно напълно зачита основните права на физическите лица. Съществуващите на европейско равнище инструменти не са достатъчни; Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 г. за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни [3] не се прилага за обработването на лични данни в хода на дейност, попадаща извън обхвата на общностното право, като например дейностите, предвидени в дял VI от Договора за Европейския съюз, нито във всеки случай, за операции по обработване, отнасящи се до обществената сигурност, отбраната, държавната сигурност или дейности на държавата в областите на наказателното право.
|
|
(6) This Framework Decision applies only to data gathered or processed by competent authorities for the purpose of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties. This Framework Decision should leave it to Member States to determine more precisely at national level which other purposes are to be considered as incompatible with the purpose for which the personal data were originally collected. In general, further processing for historical, statistical or scientific purposes should not be considered as incompatible with the original purpose of the processing.
|
(6) Настоящото рамково решение се прилага само за данни, събрани или обработвани от компетентни органи за целите на предотвратяването, разследването, откриването или наказателното преследване на престъпления или изпълнението на наказания. Настоящото рамково решение следва да оставя на държавите-членки да определят с по-голяма точност на национално равнище какви други цели следва да се смятат за несъвместими с целта, за която личните данни са били събрани първоначално. По принцип по-нататъшното обработване за исторически, статистически или научни цели не следва да се счита за несъвместимо с първоначалната цел на обработването.
|
|
(7) The scope of this Framework Decision is limited to the processing of personal data transmitted or made available between Member States. No conclusions should be inferred from this limitation regarding the competence of the Union to adopt acts relating to the collection and processing of personal data at national level or the expediency for the Union to do so in the future.
|
(7) Обхватът на настоящото рамково решение е ограничен до обработването на лични данни, които се изпращат или предоставят между държавите-членки. От това ограничение не следва да произтичат никакви заключения относно компетентността на Съюза да приема актове, свързани със събирането и обработването на лични данни на национално равнище или целесъобразността Съюзът да предприеме това в бъдеще.
|
|
(8) In order to facilitate data exchanges within the Union, Member States intend to ensure that the standard of data protection achieved in national data processing matches that provided for in this Framework Decision. With regard to national data processing, this Framework Decision does not preclude Member States from providing safeguards for the protection of personal data higher than those established in this Framework Decision.
|
(8) За да улеснят обмена на данни в рамките на Съюза, държавите-членки възнамеряват да гарантират, че стандартът за защита на данни, постигнат при обработването на данни на национално равнище, съответства на предвидения в настоящото рамково решение. По отношение на обработването на данни на национално равнище настоящото рамково решение не възпрепятства държавите-членки да предоставят по-високи гаранции за защита на личните данни от установените в настоящото рамково решение.
|
|
(9) This Framework Decision should not apply to personal data which a Member State has obtained within the scope of this Framework Decision and which originated in that Member State.
|
(9) Настоящото рамково решение не следва да се прилага за лични данни, които държава-членка е получила в рамките на настоящото рамково решение и които са с произход от същата държава-членка.
|
|
(10) The approximation of Member States’ laws should not result in any lessening of the data protection they afford but should, on the contrary, seek to ensure a high level of protection within the Union.
|
(10) Сближаването на законодателствата на държавите-членки не би следвало да води до понижаване на равнището на предоставяната от тях защита на данните, а напротив, следва да цели осигуряване на високо ниво на защита в рамките на Съюза.
|
|
(11) It is necessary to specify the objectives of data protection within the framework of police and judicial activities and to lay down rules concerning the lawfulness of processing of personal data in order to ensure that any information that might be exchanged has been processed lawfully and in accordance with fundamental principles relating to data quality. At the same time the legitimate activities of the police, customs, judicial and other competent authorities should not be jeopardised in any way.
|
(11) Необходимо е да се уточнят целите на защитата на данни в рамките на полицейските и съдебните дейности и да се установят правни норми относно законосъобразността на обработването на лични данни, за да се гарантира, че всяка информация, която би могла да се обменя, е обработена законосъобразно и в съответствие с основните принципи, свързани с качеството на данните. Същевременно законните дейности на полицейските, митническите, съдебните и други компетентни органи не следва да бъдат застрашени по никакъв начин.
|
|
(12) The principle of accuracy of data is to be applied taking account of the nature and purpose of the processing concerned. For example, in particular in judicial proceedings data are based on the subjective perception of individuals and in some cases are totally unverifiable. Consequently, the requirement of accuracy cannot appertain to the accuracy of a statement but merely to the fact that a specific statement has been made.
|
(12) Принципът за точност на данните следва да се прилага, като се отчитат естеството и целта на съответното обработване. Например, по-специално при съдебно производство данните се основават на субективното възприятие на физическите лица и в някои случаи не могат да бъдат проверени по никакъв начин. Следователно изискването за точност не може да бъде отнесено до точността на едно твърдение, а само до факта, че конкретно твърдение е било направено.
|
|
(13) Archiving in a separate data set should be permissible only if the data are no longer required and used for the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties. Archiving in a separate data set should also be permissible if the archived data are stored in a database with other data in such a way that they can no longer be used for the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties. The appropriateness of the archiving period should depend on the purposes of archiving and the legitimate interests of the data subjects. In the case of archiving for historical purposes a very long period may be envisaged.
|
(13) Архивирането в отделен набор от данни следва да е разрешено само ако данните вече не са необходими и не се използват за предотвратяването, разследването, откриването или наказателното преследване на престъпления или за изпълнението на наказания. Архивирането в отделен набор от данни следва да е разрешено също и ако архивираните данни се съхраняват в база данни с други данни по начин, който не дава възможност да бъдат използвани за предотвратяването, разследването, откриването или наказателното преследване на престъпления или за изпълнението на наказания. Целесъобразността на периода на архивиране следва да зависи от целите на архивирането и от законните интереси на субектите на данните. В случай на архивиране за исторически цели може да се предвиди много дълъг период.
|
|
(14) Data may also be erased by destroying the data medium.
|
(14) Данните могат също така да бъдат изтрити чрез унищожаване на информационния носител.
|
|
(15) As regards inaccurate, incomplete or no longer up-to-date data transmitted or made available to another Member State and further processed by quasi-judicial authorities, meaning authorities with powers to make legally binding decisions, its rectification, erasure or blocking should be carried out in accordance with national law.
|
(15) По отношение на неточните, непълните или вече неактуалните данни, изпращани или предоставяни на друга държава-членка, и обработвани по-нататък от квазисъдебни органи, т.е. органи с правомощия да вземат правнообвързващи решения, тяхното коригиране, заличаване или блокиране следва да се извършва в съответствие с националното законодателство.
|
|
(16) Ensuring a high level of protection of the personal data of individuals requires common provisions to determine the lawfulness and the quality of data processed by competent authorities in other Member States.
|
(16) Осигуряването на високо ниво на защита на личните данни на физическите лица изисква общи разпоредби за определяне на законосъобразността и качеството на данните, обработвани от компетентни органи в други държави-членки.
|
|
(17) It is appropriate to lay down at the European level the conditions under which competent authorities of the Member States should be allowed to transmit and make available personal data received from other Member States to authorities and private parties in Member States. In many cases the transmission of personal data by the judiciary, police or customs to private parties is necessary to prosecute crime or to prevent an immediate and serious threat to public security or to prevent serious harm to the rights of individuals, for example, by issuing alerts concerning forgeries of securities to banks and credit institutions, or, in the area of vehicle crime, by communicating personal data to insurance companies in order to prevent illicit trafficking in stolen motor vehicles or to improve the conditions for the recovery of stolen motor vehicles from abroad. This is not tantamount to the transfer of police or judicial tasks to private parties.
|
(17) Подходящо е на европейско равнище да се определят условията, при които следва да бъде разрешено на компетентните органи на държавите-членки да предават и предоставят на органи и частни страни в държави-членки лични данни, получени от други държави-членки. В много случаи предаването на лични данни от съдебната власт, полицията или митниците на частни страни е необходимо с оглед наказателното преследване на престъпления или предотвратяването на непосредствена и сериозна заплаха за обществената сигурност или предотвратяването на сериозно нарушение на правата на физическите лица, например чрез отправяне на предупредителни сигнали до банките и кредитните институции относно подправянето на ценни книжа или при престъпления, свързани с превозни средства, чрез съобщаване на застрахователните компании на лични данни с оглед предотвратяването на незаконния трафик на откраднати моторни превозни средства или с оглед подобряването на условията за връщане от чужбина на откраднати моторни превозни средства. Това не е равносилно на прехвърлянето на полицейски или съдебни задачи на частни страни.
|
|
(18) The rules in this Framework Decision regarding the transmission of personal data by the judiciary, police or customs to private parties do not apply to the disclosure of data to private parties (such as defence lawyers and victims) in the context of criminal proceedings.
|
(18) Нормите в настоящото рамково решение относно предаването на лични данни от съдебната власт, полицията или митниците на частни страни не се прилагат по отношение на разкриването на данни пред частни страни (такива като адвокати на защитата и жертви) в рамките на наказателно производство.
|
|
(19) The further processing of personal data received from, or made available by, the competent authority of another Member State, in particular the further transmission of or making available such data, should be subject to common rules at European level.
|
(19) По-нататъшното обработване на лични данни, получени или предоставени от компетентния орган на друга държава-членка, по-специално по-нататъшното изпращане или предоставяне на тези данни, следва да бъде предмет на общи правила на европейско равнище.
|
|
(20) Where personal data may be further processed after the Member State from which the data were obtained has given its consent, each Member State should be able to determine the modalities of such consent, including, for example, by means of a general consent for categories of information or categories of further processing.
|
(20) В случаите, когато личните данни могат да бъдат обработени по-нататък, след като държавата-членка, от която са получени, е дала съгласието си, всяка държава-членка следва да може да определи реда и условията за даване на такова съгласие, включително например посредством общо съгласие за категории информация или за категории по-нататъшно обработване.
|
|
(21) Where personal data may be further processed for administrative proceedings, these proceedings also include activities by regulatory and supervisory bodies.
|
(21) Когато лични данни могат да бъдат обработени по-нататък за административни действия, тези действия следва да включват също дейности, извършвани от регулаторни и надзорни органи.
|
|
(22) The legitimate activities of the police, customs, judicial and other competent authorities may require that data are sent to authorities in third States or international bodies that have obligations for the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties.
|
(22) Законните дейности на полицейските, митническите, съдебните и други компетентни органи може да изискват данните да бъдат изпратени на властите на трети държави или на международни структури, които имат задължения за предотвратяването, разследването, откриването или наказателното преследване на престъпления или изпълнението на наказания.
|
|
(23) Where personal data are transferred from a Member State to third States or international bodies, these data should, in principle, benefit from an adequate level of protection.
|
(23) Когато лични данни се предават от една държава-членка на трети държави или международни структури, тези данни по принцип следва да се ползват с подходящо ниво на защита.
|
|
(24) Where personal data are transferred from a Member State to third States or international bodies, such transfer should, in principle, take place only after the Member State from which the data were obtained has given its consent to the transfer. Each Member State should be able to determine the modalities of such consent, including, for example, by means of a general consent for categories of information or for specified third States.
|
(24) Когато лични данни се предават от една държава-членка на трети държави или международни структури, предаването следва да се извърши по принцип само след като държавата-членка, от която са получени данните, даде съгласието си за това. Всяка държава-членка следва да може да определи реда и условията за даване на такова съгласие, включително например чрез общо съгласие за категории информация или за конкретни трети държави.
|
|
(25) The interests of efficient law enforcement cooperation require that where the nature of a threat to the public security of a Member State or a third State is so immediate as to render it impossible to obtain prior consent in good time, the competent authority should be able to transfer the relevant personal data to the third State concerned without such prior consent. The same could apply where other essential interests of a Member State of equal importance are at stake, for example where the critical infrastructure of a Member State could be the subject of an immediate and serious threat or where a Member State’s financial system could be seriously disrupted.
|
(25) В интерес на ефикасното сътрудничество в областта на правоприлагането се изисква в случаите, когато заплахата за обществената сигурност на държава-членка или на трета държава е толкова непосредствена, че да направи своевременното получаване на предварително съгласие невъзможно, компетентният орган да може да предаде съответните лични данни на заинтересованата трета държава без такова предварително съгласие. Същото би могло да се прилага, когато са поставени под въпрос съществени интереси на държава-членка с равностойно значение, например когато критична инфраструктура на държава-членка би могла да стане обект на непосредствена и сериозна заплаха или когато финансовата система на държава-членка би могла сериозно да бъде нарушена.
|
|
(26) It may be necessary to inform data subjects regarding the processing of their data, in particular where there has been particularly serious encroachment on their rights as a result of secret data collection measures, in order to ensure that data subjects can have effective legal protection.
|
(26) Може да се наложи субектът на данни да бъде информиран за обработването на неговите данни — по-специално когато е налице особено сериозно посегателство върху правата му в резултат на секретни мерки за събиране на данни — за да се гарантира, че субектът на данни може да се ползва от ефективна правна защита.
|
|
(27) Member States should ensure that the data subject is informed that the personal data could be or are being collected, processed or transmitted to another Member State for the purpose of prevention, investigation, detection, and prosecution of criminal offences or the execution of criminal penalties. The modalities of the right of the data subject to be informed and the exceptions thereto should be determined by national law. This may take a general form, for example, through the law or through the publication of a list of the processing operations.
|
(27) Държавите-членки следва да гарантират, че субектът на данните е информиран, че личните данни биха могли или се събират, обработват или предават на друга държава-членка за целите на предотвратяването, разследването, откриването или наказателното преследване на престъпления или изпълнението на наказания. Редът и условията относно правото на субекта на данните да бъде информиран и изключенията от тях следва да се определят от националното законодателство. Това може да стане по общ ред, например чрез закон или чрез публикуване на списък на операциите по обработване.
|
|
(28) In order to ensure the protection of personal data without jeopardising the interests of criminal investigations, it is necessary to define the rights of the data subject.
|
(28) С цел осигуряване на защита на личните данни, без да се излагат на риск интересите на наказателното разследване, е необходимо да се определят правата на субекта на данните.
|
|
(29) Some Member States have provided for the right of access of the data subject in criminal matters through a system where the national supervisory authority, in place of the data subject, has access to all the personal data related to the data subject without any restriction and may also rectify, erase or update inaccurate data. In such a case of indirect access, the national law of those Member States may provide that the national supervisory authority will inform the data subject only that all the necessary verifications have taken place. However, those Member States also provide for possibilities of direct access for the data subject in specific cases, such as access to judicial records, in order to obtain copies of own criminal records or of documents relating to own hearings by the police services.
|
(29) Някои държави-членки предоставят право на достъп на субекта на данните в наказателноправната област посредством система, при която националният надзорен орган наместо субектът на данните има достъп до всички лични данни на субекта на данните без никакво ограничение и може също да коригира, заличава или актуализира неточни данни. В такъв случай на непряк достъп националното законодателство на въпросните държави-членки може да предвижда, че националният надзорен орган ще информира субекта на данните само че са били извършени всички необходими проверки. Въпросните държави-членки също предвиждат и възможности за пряк достъп на субекта на данните в специфични случаи, като например достъп до съдебни регистри, с цел получаване на копия от собствените свидетелства за съдимост или от документи, свързани със собствените показания пред полицейските служби.
|
|
(30) It is appropriate to establish common rules on confidentiality and security of processing, on liability and penalties for unlawful use by competent authorities and on judicial remedies available to the data subject. It is, however, for each Member State to determine the nature of its tort rules and of the penalties applicable to violations of domestic data protection provisions.
|
(30) Уместно е да се установят общи правила относно поверителността и сигурността на обработването, относно отговорността и санкциите при неправомерно използване от компетентни органи, както и относно средствата за правна защита, които са на разположение на субекта на данните. Всяка държава-членка обаче сама определя естеството на разпоредбите при непозволено увреждане и на санкциите, приложими при нарушения на националните разпоредби за защита на данните.
|
|
(31) This Framework Decision allows the principle of public access to official documents to be taken into account when implementing the principles set out in this Framework Decision.
|
(31) Настоящото рамково решение позволява принципът за обществен достъп до официални документи да се вземе под внимание при прилагане на определените в настоящото рамково решение принципи.
|
|
(32) When necessary to protect personal data in relation to processing which by scale or by type holds specific risks for fundamental rights and freedoms, for example processing by means of new technologies, mechanisms or procedures, it is appropriate to ensure that the competent national supervisory authorities are consulted prior to the establishment of filing systems aimed at the processing of these data.
|
(32) Когато е необходимо да се защитят личните данни във връзка с обработването, което поради своя мащаб или вид излага на специфичен риск основните права и свободи, например обработване посредством нови технологии, механизми или процедури, е уместно преди създаването на системи за класиране, предназначени за обработването на тези данни, да се гарантира, че са консултирани компетентните национални надзорни органи.
|
|
(33) The establishment in Member States of supervisory authorities, exercising their functions with complete independence, is an essential component of the protection of personal data processed within the framework of police and judicial cooperation between the Member States.
|
(33) Създаването в държавите-членки на надзорни органи, които напълно независимо упражняват функциите си, е основен елемент от защитата на личните данни, обработвани в рамките на полицейското и съдебното сътрудничество между държавите-членки.
|
|
(34) The supervisory authorities already established in Member States under Directive 95/46/EC should also be able to assume responsibility for the tasks to be performed by the national supervisory authorities to be established under this Framework Decision.
|
(34) Надзорните органи, вече създадени в държавите-членки съгласно Директива 95/46/ЕО, следва да могат също така да поемат отговорност за задачите, които ще бъдат поставени пред националните надзорни органи, които предстои да бъдат създадени съгласно настоящото рамково решение.
|
|
(35) Such supervisory authorities should have the necessary means to perform their duties, including powers of investigation and intervention, particularly in cases of complaints from individuals, or powers to engage in legal proceedings. These supervisory authorities should help to ensure transparency of processing in the Member States within whose jurisdiction they fall. However, their powers should not interfere with specific rules set out for criminal proceedings or the independence of the judiciary.
|
(35) Тези надзорни органи следва да разполагат с необходимите средства за изпълнение на своите задължения, включително правомощия за разследване и намеса, особено в случаи на жалби от физически лица, или правомощия за участие в съдебни производства. Тези надзорни органи следва да допринасят за осигуряването на прозрачност при обработването в държавите-членки, под чиято юрисдикция попадат. Техните правомощия обаче не следва да възпрепятстват специфичните норми, установени за наказателните производства или за независимостта на съдебната власт.
|
|
(36) Article 47 of the Treaty on European Union stipulates that nothing in it is to affect the Treaties establishing the European Communities or the subsequent Treaties and Acts modifying or supplementing them. Accordingly, this Framework Decision does not affect the protection of personal data under Community law, in particular as provided for in Directive 95/46/EC, in Regulation (EC) No 45/2001 of the European Parliament and of the Council of 18 December 2000 on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data [4] and in Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications) [5].
|
(36) Член 47 от Договора за Европейския съюз предвижда, че никоя от разпоредбите в него не засяга договорите за създаване на Европейските общности или последващите договори и актове, които ги изменят или допълват. Съответно настоящото рамково решение не засяга защитата на лични данни съгласно общностното право, по-специално както е предвидено в Директива 95/46/ЕО, в Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета от 18 декември 2000 г. относно защитата на лицата по отношение на обработката на лични данни от институции и органи на Общността и за свободното движение на такива данни [4] и в Директива 2002/58/ЕО на Европейския парламент и на Съвета от 12 юли 2002 г. относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации (Директива за правото на неприкосновеност на личния живот и електронните комуникации) [5].
|
|
(37) This Framework Decision is without prejudice to the rules pertaining to illicit access to data laid down in Council Framework Decision 2005/222/JHA of 24 February 2005 on attacks against information systems [6].
|
(37) Настоящото рамково решение не засяга разпоредбите, отнасящи се до незаконния достъп до данни, установени в Рамково решение 2005/222/ПВР на Съвета от 24 февруари 2005 г. относно атаките срещу информационните системи [6].
|
|
(38) This Framework Decision is without prejudice to existing obligations and commitments incumbent upon Member States or upon the Union by virtue of bilateral and/or multilateral agreements with third States. Future agreements should comply with the rules on exchanges with third States.
|
(38) Настоящото рамково решение не засяга съществуващите задължения и ангажименти, поети от държавите-членки или от Съюза по силата на двустранни и/или многостранни споразумения с трети държави. Бъдещите споразумения следва да спазват разпоредбите относно обмена с трети държави.
|
|
(39) Several acts, adopted on the basis of Title VI of the Treaty on European Union, contain specific provisions on the protection of personal data exchanged or otherwise processed pursuant to those acts. In some cases these provisions constitute a complete and coherent set of rules covering all relevant aspects of data protection (principles of data quality, rules on data security, regulation of the rights and safeguards of data subjects, organisation of supervision and liability) and they regulate these matters in more detail than this Framework Decision. The relevant set of data protection provisions of those acts, in particular those governing the functioning of Europol, Eurojust, the Schengen Information System (SIS) and the Customs Information System (CIS), as well as those introducing direct access for the authorities of Member States to certain data systems of other Member States, should not be affected by this Framework Decision. The same applies in respect of the data protection provisions governing the automated transfer between Member States of DNA profiles, dactyloscopic data and national vehicle registration data pursuant to the Council Decision 2008/615/JHA of 23 June 2008 on the stepping up of cross-border cooperation, particularly in combating terrorism and cross-border crime [7].
|
(39) Няколко акта, приети въз основа на дял VI от Договора за Европейския съюз, съдържат конкретни разпоредби относно защитата на лични данни, обменяни или по друг начин обработвани съгласно тези актове. В някои случаи тези разпоредби съставляват един пълен и последователен набор от норми, обхващащи всички съответни аспекти на защитата на данни (принципи за качеството на данните, правила за сигурност на данните, регламентиране на правата и гаранциите на субектите на данни, организиране на надзор и отговорност) и регламентират тези въпроси по-подробно, отколкото настоящото рамково решение. Съответният набор от разпоредби за защита на данните в тези актове, по-специално тези, които уреждат функционирането на Европол, Евроюст, Шенгенската информационна система (SIS) и Митническата информационна система (CIS), както и даващите пряк достъп на органите на държавите-членки до определени системи с данни на други държави-членки, не следва да бъдат засегнати от настоящото рамково решение. Същото се прилага и по отношение на разпоредбите за защита на данни, уреждащи автоматизираното прехвърляне между държавите-членки на ДНК профили, дактилоскопни данни и данни относно националната регистрация на превозни средства съгласно Решение 2008/615/ПВР на Съвета от 23 юни 2008 г. относно засилване на трансграничното сътрудничество, по-специално в борбата срещу тероризма и трансграничната престъпност [7].
|
|
(40) In other cases the provisions on data protection in acts, adopted on the basis of Title VI of the Treaty on European Union, are more limited in scope. They often set specific conditions for the Member State receiving information containing personal data from other Member States as to the purposes for which it can use those data, but refer for other aspects of data protection to the Council of Europe Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data of 28 January 1981 or to national law. To the extent that the provisions of those acts imposing conditions on receiving Member States as to the use or further transfer of personal data are more restrictive than those contained in the corresponding provisions of this Framework Decision, the former provisions should remain unaffected. However, for all other aspects the rules set out in this Framework Decision should be applied.
|
(40) В други случаи разпоредбите относно защитата на данни в актове, приети въз основа на дял VI от Договора за Европейския съюз, са с по-ограничен обхват. Често те установяват за държавата-членка, която получава от други държави-членки информация, съдържаща лични данни, специфични условия по отношение на целите, за които може да използва тези данни, но относно други аспекти от защитата на данните се позовават на Конвенцията на Съвета на Европа от 28 януари 1981 г. за защита на физическите лица по отношение на автоматизираната обработка на лични данни или на националното законодателство. Когато разпоредбите на тези актове, налагащи на получаващата държава-членка условия по отношение на използването или по-нататъшното предаване на лични данни, са по-ограничаващи, отколкото съдържащите се в съответните разпоредби на настоящото рамково решение, първите разпоредби следва да останат непроменени. По отношение на всички останали аспекти обаче следва да се прилагат правилата, установени в настоящото рамково решение.
|
|
(41) This Framework Decision does not affect the Council of Europe Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, the Additional Protocol to that Convention of 8 November 2001 or the Council of Europe conventions on judicial cooperation in criminal matters.
|
(41) Настоящото рамково решение не засяга Конвенцията на Съвета на Европа за защита на физическите лица по отношение на автоматизираната обработка на лични данни, Допълнителния протокол към посочената конвенция от 8 ноември 2001 г. или конвенциите на Съвета на Европа относно съдебното сътрудничество по наказателноправни въпроси.
|
|
(42) Since the objective of this Framework Decision, namely the determination of common rules for the protection of personal data processed in the framework of police and judicial cooperation in criminal matters, cannot be sufficiently achieved by the Member States, and can therefore, by reason of the scale and effects of the action, be better achieved at the Union level, the Union may adopt measures in accordance with the principle of subsidiarity as set out in Article 5 of the Treaty establishing the European Community and referred to in Article 2 of the Treaty on European Union. In accordance with the principle of proportionality as set out in Article 5 of the Treaty establishing the European Community, this Framework Decision does not go beyond what is necessary to achieve that objective.
|
(42) Тъй като целта на настоящото рамково решение, а именно определянето на общи норми за защита на личните данни, обработвани в рамките на полицейското и съдебното сътрудничество по наказателноправни въпроси, не може да бъде постигната в достатъчна степен от държавите-членки, и следователно, поради мащаба и последиците на действието, може да бъде по-добре постигната на равнището на Съюза, Съюзът може да приеме мерки в съответствие с принципа на субсидиарност, уреден в член 5 от Договора за създаване на Европейската общност и посочен в член 2 от Договора за Европейския съюз. Съгласно принципа на пропорционалност, уреден в член 5 от Договора за създаване на Европейската общност, настоящото рамково решение не надхвърля необходимото за постигането на тази цел.
|
|
(43) The United Kingdom is taking part in this Framework Decision, in accordance with Article 5 of the Protocol integrating the Schengen acquis into the framework of the European Union annexed to the Treaty on European Union and to the Treaty establishing the European Community, and Article 8(2) of Council Decision 2000/365/EC of 29 May 2000 concerning the request of the United Kingdom of Great Britain and Northern Ireland to take part in some of the provisions of the Schengen acquis [8].
|
(43) Обединеното кралство участва в настоящото рамково решение в съответствие с член 5 от Протокола за интегриране на достиженията на правото от Шенген в правната рамка на Европейския съюз, приложен към Договора за Европейския съюз и към Договора за създаване на Европейската общност, и член 8, параграф 2 от Решение 2000/365/ЕО на Съвета от 29 май 2000 г. относно искането на Обединеното кралство Великобритания и Северна Ирландия да участва в някои разпоредби от достиженията на правото от Шенген [8].
|
|
(44) Ireland is taking part in this Framework Decision in accordance with Article 5 of the Protocol integrating the Schengen acquis into the framework of the European Union annexed to the Treaty on European Union and to the Treaty establishing the European Community, and Article 6(2) of Council Decision 2002/192/EC of 28 February 2002 concerning Ireland’s request to take part in some of the provisions of the Schengen acquis [9].
|
(44) Ирландия участва в настоящото рамково решение в съответствие с член 5 от Протокола за интегриране на достиженията на правото от Шенген в правната рамка на Европейския съюз, приложен към Договора за Европейския съюз и към Договора за създаване на Европейската общност, и член 6, параграф 2 от Решение 2002/192/ЕО на Съвета от 28 февруари 2002 г. относно искането на Ирландия да участва в някои разпоредби от достиженията на правото от Шенген [9].
|
|
(45) As regards Iceland and Norway, this Framework Decision constitutes a development of provisions of the Schengen acquis within the meaning of the Agreement concluded by the Council of the European Union and the Republic of Iceland and the Kingdom of Norway concerning the latter’s association with the implementation, application and development of the Schengen acquis [10], which fall within the area referred to in Article 1, points H and I of Council Decision 1999/437/EC [11] on certain arrangements for the application of that Agreement.
|
(45) По отношение на Исландия и Норвегия настоящото рамково решение представлява развитие на достиженията на правото от Шенген по смисъла на Споразумението, сключено от Съвета на Европейския съюз с Република Исландия и Кралство Норвегия, за асоциирането на тези две държави при въвеждането, прилагането и развитието на достиженията на правото от Шенген [10], което попада в областта, посочена в член 1, букви З и И от Решение 1999/437/ЕО на Съвета [11] относно определени условия по прилагането на посоченото споразумение.
|
|
(46) As regards Switzerland, this Framework Decision constitutes a development of the provisions of the Schengen acquis within the meaning of the Agreement between the European Union, the European Community and the Swiss Confederation on the Swiss Confederation’s association with the implementation, application and development of the Schengen acquis [12], which fall within the area referred to in Article 1, point H and I of Decision 1999/437/EC read in conjunction with Article 3 of Council Decision 2008/149/JHA [13] on the conclusion of that Agreement on behalf of the European Union.
|
(46) По отношение на Швейцария настоящото рамково решение представлява развитие на разпоредбите на достиженията на правото от Шенген по смисъла на Споразумението между Европейския съюз, Европейската общност и Конфедерация Швейцария относно асоциирането на Конфедерация Швейцария при въвеждането, прилагането и развитието на достиженията на правото от Шенген [12], което попада в областта, посочена в член 1, букви З и И от Решение 1999/437/ЕО на Съвета, четен във връзка с член 3 от Решение 2008/149/ПВР на Съвета [13] относно сключването на посоченото споразумение от името на Европейския съюз и от името на Европейската общност.
|
|
(47) As regards Liechtenstein, this Framework Decision constitutes a development of the provisions of the Schengen acquis within the meaning of the Protocol signed between the European Union, the European Community, the Swiss Confederation and the Principality of Liechtenstein on the accession of the Principality of Liechtenstein to the Agreement between the European Union, the European Community and the Swiss Confederation on the Swiss Confederation’s association with the implementation, application and development of the Schengen acquis, which fall within the area referred to in Article 1, point H and I of Decision 1999/437/EC read in conjunction with Article 3 of Council Decision 2008/262/JHA [14] on the signature of that Protocol on behalf of the European Union.
|
(47) По отношение на Лихтенщайн настоящото рамково решение представлява развитие на разпоредбите на достиженията на правото от Шенген по смисъла на Протокола подписан между Европейския съюз, Европейската общност, Конфедерация Швейцария и Княжество Лихтенщайн относно присъединяването на Княжество Лихтенщайн към Споразумението между Европейския съюз, Европейската общност и Конфедерация Швейцария при въвеждането, прилагането и развитието на достиженията на правото от Шенген, които попадат в областта, посочена в член 1, букви букви З и И от Решение 1999/437/ЕО, четен във връзка с член 3 от Решение 2008/262/ПВР на Съвета [14] относно подписването на посочения протокол от името на Европейския съюз.
|
|
(48) This Framework Decision respects the fundamental rights and observes the principles recognised in particular by the Charter of Fundamental Rights of the European Union [15]. This Framework Decision seeks to ensure full respect for the rights to privacy and the protection of personal data reflected in Articles 7 and 8 of the Charter,
|
(48) Настоящото рамково решение спазва основните права и съблюдава принципите, възприети по-специално в Хартата на основните права на Европейския съюз [15]. Настоящото рамково решение има за цел да гарантира пълно зачитане на правото на неприкосновеност на личния живот и правото на защита на личните данни, отразени в членове 7 и 8 от Хартата,
|
|
HAS ADOPTED THIS FRAMEWORK DECISION:
|
ПРИЕ НАСТОЯЩОТО РАМКОВО РЕШЕНИЕ:
|
|
Article 1
|
Член 1
|
|
Purpose and scope
|
Цел и обхват
|
|
1. The purpose of this Framework Decision is to ensure a high level of protection of the fundamental rights and freedoms of natural persons, and in particular their right to privacy, with respect to the processing of personal data in the framework of police and judicial cooperation in criminal matters, provided for by Title VI of the Treaty on European Union, while guaranteeing a high level of public safety.
|
1. Настоящото рамково решение има за цел да осигури високо ниво на защита на основните права и свободи на физическите лица, и по-специално на правото им на неприкосновеност на личния живот във връзка с обработването на лични данни в рамките на полицейското и съдебното сътрудничество по наказателноправни въпроси, предвидено в дял VI от Договора за Европейския съюз, като същевременно гарантира високо ниво на обществена сигурност.
|
|
2. In accordance with this Framework Decision, Member States shall protect the fundamental rights and freedoms of natural persons, and in particular their right to privacy when, for the purpose of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, personal data:
|
2. В съответствие с настоящото рамково решение държавите-членки защитават основните права и свободи на физическите лица и по-специално правото им на неприкосновеност на личния живот, когато за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания личните данни:
|
|
(a) are or have been transmitted or made available between Member States;
|
а) са или са били предадени или предоставени между държавите-членки;
|
|
(b) are or have been transmitted or made available by Member States to authorities or to information systems established on the basis of Title VI of the Treaty on European Union; or
|
б) са или са били предадени или предоставени от държавите-членки на органи или информационни системи, създадени въз основа на дял VI от Договора за Европейския съюз; или
|
|
(c) are or have been transmitted or made available to the competent authorities of the Member States by authorities or information systems established on the basis of the Treaty on European Union or the Treaty establishing the European Community.
|
в) са или са били предадени или предоставени на компетентните органи на държавите-членки от органите или информационните системи, създадени въз основа на Договора за Европейския съюз или на Договора за създаване на Европейската общност.
|
|
3. This Framework Decision shall apply to the processing of personal data wholly or partly by automatic means, and to the processing otherwise than by automatic means, of personal data which form part of a filing system or are intended to form part of a filing system.
|
3. Настоящото рамково решение се прилага при обработване на лични данни, извършвано изцяло или частично чрез автоматични средства, както и при обработване, извършвано по друг начин освен чрез автоматични средства, на лични данни, които съставляват част от система за класиране или са предназначени да бъдат част от такава система.
|
|
4. This Framework Decision is without prejudice to essential national security interests and specific intelligence activities in the field of national security.
|
4. Настоящото рамково решение не засяга основни интереси, свързани с националната сигурност, нито специфични разузнавателни дейности в областта на националната сигурност.
|
|
5. This Framework Decision shall not preclude Member States from providing, for the protection of personal data collected or processed at national level, higher safeguards than those established in this Framework Decision.
|
5. Настоящото рамково решение не препятства държавите-членки да предоставят по-големи гаранции от установените в него за защита на събираните или обработвани на национално равнище лични данни.
|
|
Article 2
|
Член 2
|
|
Definitions
|
Определения
|
|
For the purposes of this Framework Decision:
|
За целите на настоящото рамково решение:
|
|
(a) "personal data" mean any information relating to an identified or identifiable natural person ("data subject"); an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identification number or to one or more factors specific to his physical, physiological, mental, economic, cultural or social identity;
|
а) "лични данни" означава всяка информация, свързана с физическо лице с установена или установяема самоличност ("субект на данните"); лице с установяема самоличност е лице, чиято самоличност може да се установи пряко или косвено, по-специално по идентификационен номер или по един или повече фактори, специфични за неговата физическа, физиологична, психическа, икономическа, културна или социална самоличност;
|
|
(b) "processing of personal data" and "processing" mean any operation or set of operations which is performed upon personal data, whether or not by automatic means, such as collection, recording, organisation, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, blocking, erasure or destruction;
|
б) "обработване на лични данни" и "обработване" означават всяка операция или съвкупност от операции, извършвани със или без автоматични средства по отношение на личните данни, като събиране, записване, организиране, съхраняване, адаптиране или изменяне, извличане, справка, използване, разкриване чрез предаване, разпространяване или предоставяне по друг начин, подреждане или комбиниране, блокиране, заличаване или унищожаване;
|
|
(c) "blocking" means the marking of stored personal data with the aim of limiting their processing in future;
|
в) "блокиране" означава обозначаването на съхраняваните лични данни с цел ограничаване на тяхното обработване в бъдеще;
|
|
(d) "personal data filing system" and "filing system" mean any structured set of personal data which are accessible according to specific criteria, whether centralised, decentralised or dispersed on a functional or geographical basis;
|
г) "система за класиране на лични данни" и "система за класиране" означават всяка структурирана съвкупност от лични данни, достъпни по специфични критерии, независимо дали е централизирана, децентрализирана или разпределена по функционален или географски принцип;
|
|
(e) "processor" means any body which processes personal data on behalf of the controller;
|
д) "обработващ лични данни" означава всеки, който обработва лични данни от името на администратора;
|
|
(f) "recipient" means any body to which data are disclosed;
|
е) "получател" означава всеки, пред който се разкриват данни;
|
|
(g) "the data subject’s consent" means any freely given specific and informed indication of his wishes by which the data subject signifies his agreement to personal data relating to him being processed;
|
ж) "съгласие на субекта на данните" означава всеки свободно даден, конкретен и информиран израз на воля, с който субектът на данните изразява съгласието си да бъдат обработвани личните му данни;
|
|
(h) "competent authorities" mean agencies or bodies established by legal acts adopted by the Council pursuant to Title VI of the Treaty on European Union, as well as police, customs, judicial and other competent authorities of the Member States that are authorised by national law to process personal data within the scope of this Framework Decision;
|
з) "компетентни органи" означава служби или органи, създадени с правни актове, приети от Съвета съгласно дял VI от Договора за Европейския съюз, както и полицейски, митнически, съдебни и други компетентни органи на държавите-членки, които са упълномощени съгласно националното законодателство да обработват лични данни, попадащи в обхвата на настоящото рамково решение;
|
|
(i) "controller" means the natural or legal person, public authority, agency or any other body which alone or jointly with others determines the purposes and means of the processing of personal data;
|
и) "администратор" означава физическо или юридическо лице, държавен орган, агенция или друг орган, който сам или съвместно с други определя целите и начините за обработка на лични данни;
|
|
(j) "referencing" means the marking of stored personal data without the aim of limiting their processing in future;
|
й) "обозначаване" означава маркирането на съхраняваните лични данни, без да се цели ограничаване на тяхното обработване в бъдеще;
|
|
(k) "to make anonymous" means to modify personal data in such a way that details of personal or material circumstances can no longer or only with disproportionate investment of time, cost and labour be attributed to an identified or identifiable natural person.
|
к) "правя анонимен" означава изменяне на лични данни по такъв начин, че подробностите относно личните и материалните обстоятелства вече да не могат или да могат само с несъразмерен разход на време, финансови средства и труд да бъдат приписани на физическо лице с установена или установяема самоличност.
|
|
Article 3
|
Член 3
|
|
Principles of lawfulness, proportionality and purpose
|
Принципи на законосъобразност, пропорционалност и цел
|
|
1. Personal data may be collected by the competent authorities only for specified, explicit and legitimate purposes in the framework of their tasks and may be processed only for the same purpose for which data were collected. Processing of the data shall be lawful and adequate, relevant and not excessive in relation to the purposes for which they are collected.
|
1. Личните данни могат да се събират от компетентните органи само за специфични, изрични и законосъобразни цели в рамките на техните задачи и могат да бъдат обработвани само за целта, за която са събрани. Обработването на данни следва да бъде законосъобразно и адекватно, като не е прекомерно по отношение на целите, за които са събрани данните.
|
|
2. Further processing for another purpose shall be permitted in so far as:
|
2. По-нататъшното обработване за друга цел е разрешено, когато:
|
|
(a) it is not incompatible with the purposes for which the data were collected;
|
а) не е несъвместимо с целите, за които са били събрани данните;
|
|
(b) the competent authorities are authorised to process such data for such other purpose in accordance with the applicable legal provisions; and
|
б) компетентните органи са упълномощени да обработват такива данни за друга такава цел в съответствие с приложимите законови разпоредби; и
|
|
(c) processing is necessary and proportionate to that other purpose.
|
в) обработването е необходимо и пропорционално на тази друга цел.
|
|
The competent authorities may also further process the transmitted personal data for historical, statistical or scientific purposes, provided that Member States provide appropriate safeguards, such as making the data anonymous.
|
Компетентните органи могат да обработят изпратените лични данни по-нататък за исторически, статистически или научни цели, при условие че държавите-членки осигурят подходящи гаранции, като например да направят данните анонимни.
|
|
Article 4
|
Член 4
|
|
Rectification, erasure and blocking
|
Коригиране, заличаване и блокиране
|
|
1. Personal data shall be rectified if inaccurate and, where this is possible and necessary, completed or updated.
|
1. Личните данни се коригират, ако са неточни и, когато това е възможно и необходимо, се допълват или актуализират.
|
|
2. Personal data shall be erased or made anonymous when they are no longer required for the purposes for which they were lawfully collected or are lawfully further processed. Archiving of those data in a separate data set for an appropriate period in accordance with national law shall not be affected by this provision.
|
2. Личните данни се заличават или правят анонимни, когато вече не са необходими за целите, за които са били законно събрани или са обект на по-нататъшно законосъобразно обработване. Настоящата разпоредба не засяга архивирането на тези данни в отделна база данни за подходящ период в съответствие с националното законодателство.
|
|
3. Personal data shall be blocked instead of erased if there are reasonable grounds to believe that erasure could affect the legitimate interests of the data subject. Blocked data shall be processed only for the purpose which prevented their erasure.
|
3. Личните данни се блокират, вместо да се заличават, ако са налице разумни основания да се смята, че заличаването им би могло да засегне законните интереси на субекта на данните. Блокираните данни се обработват само за целта, която е препятствала заличаването им.
|
|
4. When the personal data are contained in a judicial decision or record related to the issuance of a judicial decision, the rectification, erasure or blocking shall be carried out in accordance with national rules on judicial proceedings.
|
4. Когато личните данни се съдържат в съдебно решение или регистър, свързан с издаването на съдебно решение, коригирането, заличаването или блокирането се извършват в съответствие с националните правила за съдебните производства.
|
|
Article 5
|
Член 5
|
|
Establishment of time limits for erasure and review
|
Определяне на срокове за заличаване и преглед
|
|
Appropriate time limits shall be established for the erasure of personal data or for a periodic review of the need for the storage of the data. Procedural measures shall ensure that these time limits are observed.
|
За заличаването на лични данни или за периодичен преглед на необходимостта от съхранението на тези данни се определят подходящи срокове. Съблюдаването на тези срокове се гарантира чрез процедурни мерки.
|
|
Article 6
|
Член 6
|
|
Processing of special categories of data
|
Обработване на специални категории данни
|
|
The processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs or trade-union membership and the processing of data concerning health or sex life shall be permitted only when this is strictly necessary and when the national law provides adequate safeguards.
|
Обработването на лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработването на данни, свързани със здравето или сексуалния живот, е разрешено само когато това е строго необходимо и когато националното законодателство осигурява адекватни гаранции.
|
|
Article 7
|
Член 7
|
|
Automated individual decisions
|
Автоматизирани индивидуални решения
|
|
A decision which produces an adverse legal effect for the data subject or significantly affects him and which is based solely on automated processing of data intended to evaluate certain personal aspects relating to the data subject shall be permitted only if authorised by a law which also lays down measures to safeguard the data subject’s legitimate interests.
|
Решение, което предизвиква неблагоприятни правни последици за субекта на данните или съществено го засяга и което се основава единствено на автоматизирано обработване на данни за целите на оценяването на определени лични аспекти, свързани със субекта на данните, е позволено само когато е разрешено от закон, който установява мерки за гарантиране на законните интереси на субекта на данните.
|
|
Article 8
|
Член 8
|
|
Verification of quality of data that are transmitted or made available
|
Проверка на качеството на данните, които се изпращат или предоставят
|
|
1. The competent authorities shall take all reasonable steps to provide that personal data which are inaccurate, incomplete or no longer up to date are not transmitted or made available. To that end, the competent authorities shall, as far as practicable, verify the quality of personal data before they are transmitted or made available. As far as possible, in all transmissions of data, available information shall be added which enables the receiving Member State to assess the degree of accuracy, completeness, up-to-dateness and reliability. If personal data were transmitted without request the receiving authority shall verify without delay whether these data are necessary for the purpose for which they were transmitted.
|
1. Компетентните органи предприемат всички разумни стъпки, за да гарантират, че лични данни, които са неточни, непълни или вече не са актуални, не се изпращат или не се предоставят. За тази цел компетентните органи, доколкото това е практически възможно, проверяват качеството на личните данни преди тяхното изпращане или предоставяне. Доколкото е възможно, при всяко предаване на данни се добавя наличната информация, което позволява получаващата държава-членка да оцени степента на точност, пълнота, актуалност и надеждност. Ако личните данни са предадени, без да са поискани, получаващият орган незабавно проверява дали тези данни са необходими за целта, за която са предадени.
|
|
2. If it emerges that incorrect data have been transmitted or data have been unlawfully transmitted, the recipient must be notified without delay. The data must be rectified, erased, or blocked without delay in accordance with Article 4.
|
2. Ако се окаже, че са изпратени неверни данни или данни, които са предадени незаконосъобразно, получателят трябва да бъде уведомен незабавно. Данните трябва незабавно да бъдат коригирани, заличени или блокирани в съответствие с член 4.
|
|
Article 9
|
Член 9
|
|
Time limits
|
Срокове
|
|
1. Upon transmission or making available of the data, the transmitting authority may in line with the national law and in accordance with Articles 4 and 5, indicate the time limits for the retention of data, upon the expiry of which the recipient must erase or block the data or review whether or not they are still needed. This obligation shall not apply if, at the time of the expiry of these time limits, the data are required for a current investigation, prosecution of criminal offences or enforcement of criminal penalties.
|
1. При предаване или предоставяне на данните изпращащият орган може, в съответствие с националното законодателство и съгласно членове 4 и 5, да посочи сроковете за запазване на данни, след изтичането на които получателят трябва да заличи или да блокира данните или да извърши преглед дали те все още са необходими. Това задължение не се прилага, ако към момента на изтичане на тези срокове данните са необходими за текущо разследване, наказателно преследване на престъпления или изпълнение на наказания.
|
|
2. Where the transmitting authority has not indicated a time limit in accordance with paragraph 1, the time limits referred to in Articles 4 and 5 for the retention of data provided for under the national law of the receiving Member State shall apply.
|
2. Когато изпращащият орган не е посочил срок в съответствие с параграф 1, се прилагат сроковете, посочени в членове 4 и 5, за запазване на данни, предвидени в националното законодателство на получаващата държава-членка.
|
|
Article 10
|
Член 10
|
|
Logging and documentation
|
Вписване и документиране
|
|
1. All transmissions of personal data are to be logged or documented for the purposes of verification of the lawfulness of the data processing, self-monitoring and ensuring proper data integrity and security.
|
1. Всяко предаване на лични данни се вписва или документира с цел проверка на законосъобразността на обработването на данните, самонаблюдение и осигуряване на подходяща цялост и сигурност на данните.
|
|
2. Logs or documentation prepared under paragraph 1 shall be communicated on request to the competent supervisory authority for the control of data protection. The competent supervisory authority shall use this information only for the control of data protection and for ensuring proper data processing as well as data integrity and security.
|
2. Вписванията или документацията, изготвени съгласно параграф 1, се съобщават при поискване на компетентния надзорен орган за упражняване на контрол върху защитата на данните. Компетентният надзорен орган използва тази информация само за упражняване на контрол върху защитата на данните и за гарантиране на подходящото им обработване, както и на целостта и сигурността на данните.
|
|
Article 11
|
Член 11
|
|
Processing of personal data received from or made available by another Member State
|
Обработване на лични данни, получени или предоставени от друга държава-членка
|
|
Personal data received from or made available by the competent authority of another Member State may, in accordance with the requirements of Article 3(2), be further processed only for the following purposes other than those for which they were transmitted or made available:
|
Личните данни, получени или предоставени от компетентния орган на друга държава-членка, могат, в съответствие с изискванията на член 3, параграф 2, да бъдат обект на по-нататъшно обработване само за следните цели, различни от целите, за които са били изпратени или предоставени:
|
|
(a) the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties other than those for which they were transmitted or made available;
|
а) предотвратяване, разследване, откриване или наказателно преследване на престъпления или изпълнение на наказания, различни от тези, за които са били изпратени или предоставени;
|
|
(b) other judicial and administrative proceedings directly related to the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties;
|
б) други съдебни и административни производства, пряко свързани с предотвратяването, разследването, откриването и наказателното преследване на престъпления или изпълнението на наказания;
|
|
(c) the prevention of an immediate and serious threat to public security; or
|
в) предотвратяване на непосредствена и сериозна заплаха за обществената сигурност; или
|
|
(d) any other purpose only with the prior consent of the transmitting Member State or with the consent of the data subject, given in accordance with national law.
|
г) всяка друга цел, само с предварителното съгласие на изпращащата държава-членка или със съгласието на субекта на данните, дадено в съответствие с националното законодателство.
|
|
The competent authorities may also further process the transmitted personal data for historical, statistical or scientific purposes, provided that Member States provide appropriate safeguards, such as, for example, making the data anonymous.
|
Компетентните органи могат да подложат изпратените лични данни на по-нататъшно обработване за исторически, статистически или научни цели, при условие че държавите-членки осигурят подходящи гаранции, като например да направят данните анонимни.
|
|
Article 12
|
Член 12
|
|
Compliance with national processing restrictions
|
Спазване на национални ограничения, свързани с обработването
|
|
1. Where, under the law of the transmitting Member State, specific processing restrictions apply in specific circumstances to data exchanges between competent authorities within that Member State, the transmitting authority shall inform the recipient of such restrictions. The recipient shall ensure that these processing restrictions are met.
|
1. Когато съгласно законодателството на изпращащата държава-членка спрямо обмена на данни между компетентните органи на тази държава-членка се прилагат специфични ограничения при специфични обстоятелства, изпращащият орган уведомява получателя за тези ограничения. Получателят гарантира, че тези ограничения, свързани с обработването, се спазват.
|
|
2. When applying paragraph 1, Member States shall not apply restrictions regarding data transmissions to other Member States or to agencies or bodies established pursuant to Title VI of the Treaty on European Union other than those applicable to similar national data transmissions.
|
2. При прилагане на параграф 1 държавите-членки не прилагат ограничения по отношение на предаването на данни на други държави-членки или на служби или органи, създадени по силата на дял VI от Договора за Европейския съюз, различни от тези, които се прилагат при подобно предаване на данни на национално равнище.
|
|
Article 13
|
Член 13
|
|
Transfer to competent authorities in third States or to international bodies
|
Предаване на компетентни органи в трети държави или на международни структури
|
|
1. Member States shall provide that personal data transmitted or made available by the competent authority of another Member State may be transferred to third States or international bodies, only if:
|
1. Държавите-членки предвиждат личните данни, изпратени или предоставени от компетентния орган на друга държава-членка, да могат да бъдат предавани на трети държави или международни структури само ако:
|
|
(a) it is necessary for the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties;
|
а) това е необходимо за предотвратяването, разследването, откриването и наказателното преследване на престъпления или изпълнението на наказания;
|
|
(b) the receiving authority in the third State or receiving international body is responsible for the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties;
|
б) получаващият орган в третата държава или получаващата международна структура носи отговорност за предотвратяването, разследването, откриването или наказателното преследване на престъпления или изпълнението на наказания;
|
|
(c) the Member State from which the data were obtained has given its consent to transfer in compliance with its national law; and
|
в) държавата-членка, от която са получени данните, е дала своето съгласие за тяхното предаване в съответствие с националното си законодателство; и
|
|
(d) the third State or international body concerned ensures an adequate level of protection for the intended data processing.
|
г) съответната трета държава или международна структура осигурява адекватно ниво на защита за планираното обработване на данни.
|
|
2. Transfer without prior consent in accordance with paragraph 1(c) shall be permitted only if transfer of the data is essential for the prevention of an immediate and serious threat to public security of a Member State or a third State or to essential interests of a Member State and the prior consent cannot be obtained in good time. The authority responsible for giving consent shall be informed without delay.
|
2. Предаване без предварително съгласие в съответствие с параграф 1, буква в) е разрешено само ако предаването на данните е от съществено значение за предотвратяването на непосредствена и сериозна заплаха за обществената сигурност на държава-членка или на трета държава или за основни интереси на държава-членка, и предварителното съгласие не може да бъде получено своевременно. Органът, който отговаря за даването на съгласие, трябва да бъде уведомен незабавно.
|
|
3. By way of derogation from paragraph 1(d), personal data may be transferred if:
|
3. Чрез дерогация от параграф 1, буква г) лични данни могат да бъдат предавани, ако:
|
|
(a) the national law of the Member State transferring the data so provides because of:
|
а) националното законодателство на държавата-членка, предаваща данните, предвижда това поради:
|
|
(i) legitimate specific interests of the data subject; or
|
i) законни специфични интереси на субекта на данните; или
|
|
(ii) legitimate prevailing interests, especially important public interests; or
|
ii) законни приоритетни интереси, особено важни обществени интереси; или
|
|
(b) the third State or receiving international body provides safeguards which are deemed adequate by the Member State concerned according to its national law.
|
б) третата държава или получаващата международна структура предоставя гаранции, които се считат за адекватни от съответната държава-членка съгласно националното ѝ законодателство.
|
|
4. The adequacy of the level of protection referred to in paragraph 1(d) shall be assessed in the light of all the circumstances surrounding a data transfer operation or a set of data transfer operations. Particular consideration shall be given to the nature of the data, the purpose and duration of the proposed processing operation or operations, the State of origin and the State or international body of final destination of the data, the rules of law, both general and sectoral, in force in the third State or international body in question and the professional rules and security measures which apply.
|
4. Адекватността на равнището на защита, посочено в параграф 1, буква г), се оценява в контекста на всички обстоятелства около операцията или съвкупността от операции по предаване на данни. Специално внимание се обръща на естеството на данните, целта и продължителността на предлаганата операция или операции по обработването им, държавата на произхода и държавата или международната структура на крайното местоназначение на данните, правните норми, както общи, така и секторни, които са в сила във въпросната трета държава или международна структура, и професионалните правила и мерките за сигурност, които се прилагат.
|
|
Article 14
|
Член 14
|
|
Transmission to private parties in Member States
|
Предаване на частни страни в държави-членки
|
|
1. Member States shall provide that personal data received from or made available by the competent authority of another Member State may be transmitted to private parties only if:
|
1. Държавите-членки гарантират, че личните данни, получени или предоставени от компетентния орган на друга държава-членка, могат да бъдат предадени на частни страни само в случай че:
|
|
(a) the competent authority of the Member State from which the data were obtained has consented to transmission in compliance with its national law;
|
а) компетентният орган на държавата-членка, от която са получени данните, е дал съгласие за предаването в съответствие с националното си законодателство;
|
|
(b) no legitimate specific interests of the data subject prevent transmission; and
|
б) няма законни специфични интереси на субекта на данните, които да възпрепятстват предаването; и
|
|
(c) in particular cases transfer is essential for the competent authority transmitting the data to a private party for:
|
в) в определени случаи предаването е от съществено значение за компетентния орган, предаващ данните на частна страна за:
|
|
(i) the performance of a task lawfully assigned to it;
|
i) изпълнението на законно възложена му задача;
|
|
(ii) the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties;
|
ii) предотвратяването, разследването, откриването и наказателното преследване на престъпления или изпълнението на наказания;
|
|
(iii) the prevention of an immediate and serious threat to public security; or
|
iii) предотвратяването на непосредствена и сериозна заплаха за обществената сигурност; или
|
|
(iv) the prevention of serious harm to the rights of individuals.
|
iv) предотвратяването на сериозно нарушение на правата на физически лица.
|
|
2. The competent authority transmitting the data to a private party shall inform the latter of the purposes for which the data may exclusively be used.
|
2. Компетентният орган, предаващ данните на частна страна, уведомява последната за целите, за които данните могат да бъдат изрично използвани.
|
|
Article 15
|
Член 15
|
|
Information on request of the competent authority
|
Информиране по искане на компетентния орган
|
|
The recipient shall, on request, inform the competent authority which transmitted or made available the personal data about their processing.
|
При поискване получателят информира компетентния орган, изпратил или предоставил личните данни, за тяхната обработка.
|
|
Article 16
|
Член 16
|
|
Information for the data subject
|
Информация за субекта на данните
|
|
1. Member States shall ensure that the data subject is informed regarding the collection or processing of personal data by their competent authorities, in accordance with national law.
|
1. Държавите-членки гарантират, че субектът на данните е информиран относно събирането или обработването на лични данни от техните компетентни органи в съответствие с националното законодателство.
|
|
2. When personal data have been transmitted or made available between Member States, each Member State may, in accordance with the provisions of its national law referred to in paragraph 1, ask that the other Member State does not inform the data subject. In such case the latter Member State shall not inform the data subject without the prior consent of the other Member State.
|
2. Когато между държавите-членки се предават или предоставят лични данни, всяка държава-членка може, в съответствие с разпоредбите на националното си законодателство, посочени в параграф 1, да поиска другата държава-членка да не информира субекта на данните. В такъв случай втората държава-членка не информира субекта на данните без предварителното съгласие на първата държава-членка.
|
|
Article 17
|
Член 17
|
|
Right of access
|
Право на достъп
|
|
1. Every data subject shall have the right to obtain, following requests made at reasonable intervals, without constraint and without excessive delay or expense:
|
1. Всеки субект на данни има право, след отправяне на искания на разумни интервали, да получи без ограничение и без прекомерно забавяне или разходи:
|
|
(a) at least a confirmation from the controller or from the national supervisory authority as to whether or not data relating to him have been transmitted or made available and information on the recipients or categories of recipients to whom the data have been disclosed and communication of the data undergoing processing; or
|
а) поне потвърждение от администратора или от националния надзорен орган, дали данни, свързани с него, са били предадени или предоставени, и информация относно получателите или категориите получатели, пред които са разкрити данните, както и информация за данните, които са в процес на обработване; или
|
|
(b) at least a confirmation from the national supervisory authority that all necessary verifications have taken place.
|
б) поне потвърждение от националния надзорен орган, че са извършени всички необходими проверки.
|
|
2. The Member States may adopt legislative measures restricting access to information pursuant to paragraph 1(a), where such a restriction, with due regard for the legitimate interests of the person concerned, constitutes a necessary and proportional measure:
|
2. Държавите-членки могат да приемат законодателни мерки, ограничаващи достъпа до информация съгласно параграф 1, буква а) в случаите, когато такова ограничение, при зачитане на законните интереси на засегнатото лице, съставлява необходима и пропорционална мярка:
|
|
(a) to avoid obstructing official or legal inquiries, investigations or procedures;
|
а) за да се избегне възпрепятстването на официални или съдебни проучвания, разследвания или процедури;
|
|
(b) to avoid prejudicing the prevention, detection, investigation and prosecution of criminal offences or for the execution of criminal penalties;
|
б) за да се избегне повлияване върху предотвратяването, откриването, разследването и наказателното преследване на престъпления или изпълнението на наказания;
|
|
(c) to protect public security;
|
в) за защита на обществената сигурност;
|
|
(d) to protect national security;
|
г) за защита на националната сигурност;
|
|
(e) to protect the data subject or the rights and freedoms of others.
|
д) за защита на субекта на данните или правата и свободите на другите.
|
|
3. Any refusal or restriction of access shall be set out in writing to the data subject. At the same time, the factual or legal reasons on which the decision is based shall also be communicated to him. The latter communication may be omitted where a reason under paragraph 2(a) to (e) exists. In all of these cases the data subject shall be advised that he may appeal to the competent national supervisory authority, a judicial authority or to a court.
|
3. Всеки отказ или ограничаване на достъпа се изпраща в писмен вид на субекта на данните. Същевременно му се съобщават и фактическите или правните основания за решението. Това информиране може да бъде пропуснато, ако съществува причина съгласно параграф 2, букви а)—д). Във всички тези случаи субектът на данните бива уведомен, че може да обжалва пред компетентния национален надзорен орган, пред съдебен орган или пред съд.
|
|
Article 18
|
Член 18
|
|
Right to rectification, erasure or blocking
|
Право на коригиране, заличаване или блокиране
|
|
1. The data subject shall have the right to expect the controller to fulfil its duties in accordance with Articles 4, 8 and 9 concerning the rectification, erasure or blocking of personal data which arise from this Framework Decision. Member States shall lay down whether the data subject may assert this right directly against the controller or through the intermediary of the competent national supervisory authority. If the controller refuses rectification, erasure or blocking, the refusal must be communicated in writing to the data subject who must be informed of the possibilities provided for in national law for lodging a complaint or seeking judicial remedy. Upon examination of the complaint or judicial remedy, the data subject shall be informed whether the controller acted properly or not. Member States may also provide that the data subject shall be informed by the competent national supervisory authority that a review has taken place.
|
1. Субектът на данните има право да очаква администраторът да изпълни своите задължения в съответствие с членове 4, 8 и 9 относно коригирането, заличаването или блокирането на лични данни, произтичащи от настоящото рамково решение. Държавите-членки определят дали субектът на данните може да упражни това право пряко пред администратора или чрез посредничеството на компетентния национален надзорен орган. Ако администраторът откаже да извърши коригирането, заличаването или блокирането, отказът трябва да бъде съобщен в писмен вид на субекта на данните, който трябва да бъде информиран за възможностите, предвидени в националното законодателство, за подаване на жалба или търсене на средство за правна защита. След разглеждане на жалбата или средството за правна защита субектът на данните бива уведомен дали администраторът е действал правилно. Държавите-членки могат също да предвидят субектът на данните да бъде уведомен от компетентния национален надзорен орган, че е извършен преглед.
|
|
2. If the accuracy of an item of personal data is contested by the data subject and its accuracy or inaccuracy cannot be ascertained, referencing of that item of data may take place.
|
2. Ако точността на част от личните данни бъде оспорена от субекта на данните и тази точност или неточност не може да бъде проверена, може да се направи обозначаване на тази част от данните.
|
|
Article 19
|
Член 19
|
|
Right to compensation
|
Право на обезщетение
|
|
1. Any person who has suffered damage as a result of an unlawful processing operation or of any act incompatible with the national provisions adopted pursuant to this Framework Decision shall be entitled to receive compensation for the damage suffered from the controller or other authority competent under national law.
|
1. Всяко лице, което е претърпяло вреди в резултат на незаконосъобразна операция по обработване или на действие, което е несъвместимо с националните разпоредби, приети съгласно настоящото рамково решение, има право да получи обезщетение за претърпените вреди от администратора или от друг компетентен съгласно националното право орган.
|
|
2. Where a competent authority of a Member State has transmitted personal data, the recipient cannot, in the context of its liability vis-à-vis the injured party in accordance with national law, cite in its defence that the data transmitted were inaccurate. If the recipient pays compensation for damage caused by the use of incorrectly transmitted data, the transmitting competent authority shall refund to the recipient the amount paid in damages, taking into account any fault that may lie with the recipient.
|
2. Когато компетентен орган на държава-членка е предал лични данни, получателят, в контекста на своята отговорност по отношение на увредената страна в съответствие с националното право, не може да използва в своя защита неточността на предадените данни. Ако получателят изплати обезщетение за причинените вреди вследствие използване на неправилно предадени данни, предаващият компетентен орган възстановява на получателя сумата, изплатена за вредите, като отчита всякаква евентуална вина на получателя.
|
|
Article 20
|
Член 20
|
|
Judicial remedies
|
Средства за правна защита
|
|
Without prejudice to any administrative remedy for which provision may be made prior to referral to the judicial authority, the data subject shall have the right to a judicial remedy for any breach of the rights guaranteed to him by the applicable national law.
|
Без да се засягат каквито и да е административни средства за защита, които могат да бъдат предвидени преди сезиране на съдебния орган, субектът на данните има право на правна защита срещу всякакво нарушение на правата, гарантирани му съгласно приложимото национално право.
|
|
Article 21
|
Член 21
|
|
Confidentiality of processing
|
Поверителност на обработването
|
|
1. Any person who has access to personal data which fall within the scope of this Framework Decision may process such data only if that person is a member of, or acts on instructions of, the competent authority, unless he is required to do so by law.
|
1. Всяко лице, което има достъп до лични данни, попадащи в обхвата на настоящото рамково решение, може да обработва такива данни единствено ако това лице е член на компетентния орган или действа по негови указания, освен ако не е задължено по закон да направи това.
|
|
2. Persons working for a competent authority of a Member State shall be bound by all the data protection rules which apply to the competent authority in question.
|
2. Лицата, работещи за компетентен орган на държава-членка, са обвързани с всички разпоредби относно защитата на данните, които се прилагат за въпросния компетентен орган.
|
|
Article 22
|
Член 22
|
|
Security of processing
|
Сигурност на обработването
|
|
1. Member States shall provide that the competent authorities must implement appropriate technical and organisational measures to protect personal data against accidental or unlawful destruction or accidental loss, alteration, unauthorised disclosure or access, in particular where the processing involves the transmission over a network or the making available by granting direct automated access, and against all other unlawful forms of processing, taking into account in particular the risks represented by the processing and the nature of the data to be protected. Having regard to the state of the art and the cost of their implementation, such measures shall ensure a level of security appropriate to the risks represented by the processing and the nature of the data to be protected.
|
1. Държавите-членки предвиждат, че компетентните органи трябва да прилагат подходящи технически и организационни мерки за защита на личните данни срещу случайно или незаконосъобразно унищожаване или случайна загуба, промяна, неразрешено разкриване или достъп, по-специално когато обработването е свързано с предаване по мрежа или предоставяне чрез даване на пряк автоматизиран достъп, както и срещу всякакви други незаконосъобразни форми на обработка, като отчитат по-специално рисковете от обработването и естеството на данните, които следва да бъдат защитени. Предвид съвременното ниво на развитие и разходите по прилагането им, тези мерки гарантират ниво на сигурност, съответстващо на рисковете, свързани с обработването и с естеството на данните, които трябва да бъдат защитени.
|
|
2. In respect of automated data processing each Member State shall implement measures designed to:
|
2. По отношение на автоматизираното обработване на данни всяка държава-членка прилага мерки, имащи за цел:
|
|
(a) deny unauthorised persons access to data-processing equipment used for processing personal data (equipment access control);
|
а) отказване на достъп на неупълномощени лица до оборудването за обработка на данни, което се използва за обработка на лични данни (контрол на достъпа до оборудване);
|
|
(b) prevent the unauthorised reading, copying, modification or removal of data media (data media control);
|
б) препятстване на неразрешеното четене, копиране, изменяне или отстраняване на информационни носители (контрол на информационните носители);
|
|
(c) prevent the unauthorised input of data and the unauthorised inspection, modification or deletion of stored personal data (storage control);
|
в) препятстване на неразрешеното въвеждане на данни и неразрешената проверка, изменяне или заличаване на съхранени лични данни (контрол на съхраняването);
|
|
(d) prevent the use of automated data-processing systems by unauthorised persons using data communication equipment (user control);
|
г) препятстване на използването на автоматизирани системи за обработка на данни от неупълномощени лица чрез устройства за предаване на информация (контрол на ползвателите);
|
|
(e) ensure that persons authorised to use an automated data-processing system only have access to the data covered by their access authorisation (data access control);
|
д) гарантиране, че лицата, на които е разрешено да използват автоматизираната система за обработка на данни, имат достъп само до данните, които са обхванати от тяхното разрешение за достъп (контрол на достъпа до данни);
|
|
(f) ensure that it is possible to verify and establish to which bodies personal data have been or may be transmitted or made available using data communication equipment (communication control);
|
е) гарантиране на възможността за проверка и установяване на това на кого са били или могат да бъдат изпращани или предоставяни лични данни чрез оборудване за предаване на данни (контрол на комуникацията);
|
|
(g) ensure that it is subsequently possible to verify and establish which personal data have been input into automated data-processing systems and when and by whom the data were input (input control);
|
ж) гарантиране на възможността за последваща проверка и установяване какви лични данни са били въведени в автоматизираните системи за обработка на данни, както и кога и от кого са били въведени (контрол на въвеждането);
|
|
(h) prevent the unauthorised reading, copying, modification or deletion of personal data during transfers of personal data or during transportation of data media (transport control);
|
з) препятстване на неразрешено четене, копиране, изменяне и заличаване на лични данни в хода на тяхното предаване или при пренасянето на информационни носители (контрол на пренасянето);
|
|
(i) ensure that installed systems may, in case of interruption, be restored (recovery);
|
и) гарантиране на възстановяването на инсталираните системи в случай на прекъснато функциониране (възстановяване);
|
|
(j) ensure that the functions of the system perform, that the appearance of faults in the functions is reported (reliability) and that stored data cannot be corrupted by means of a malfunctioning of the system (integrity).
|
й) гарантиране на изпълнението на функциите на системата, докладването за появили се във функциите дефекти (надеждност), както и недопускане на увреждане на съхраняваните данни вследствие от неправилно функциониране на системата (цялост).
|
|
3. Member States shall provide that processors may be designated only if they guarantee that they observe the requisite technical and organisational measures under paragraph 1 and comply with the instructions under Article 21. The competent authority shall monitor the processor in those respects.
|
3. Държавите-членки предвиждат, че обработващите личните данни могат да бъдат назначени само след като гарантират, че спазват изискваните технически и организационни мерки по параграф 1 и спазват указанията по член 21. Компетентният орган извършва наблюдение върху обработващия личните данни в това отношение.
|
|
4. Personal data may be processed by a processor only on the basis of a legal act or a written contract.
|
4. Лични данни могат да бъдат обработвани от обработващ личните данни само въз основа на правен акт или писмен договор.
|
|
Article 23
|
Член 23
|
|
Prior consultation
|
Предварителна консултация
|
|
Member States shall ensure that the competent national supervisory authorities are consulted prior to the processing of personal data which will form part of a new filing system to be created where:
|
Държавите-членки гарантират, че с компетентните национални надзорни органи са проведени консултации преди обработването на лични данни, които ще съставляват част от нова система за класиране, която предстои да бъде създадена, когато:
|
|
(a) special categories of data referred to in Article 6 are to be processed; or
|
а) се обработват специалните категории данни, посочени в член 6; или
|
|
(b) the type of processing, in particular using new technologies, mechanism or procedures, holds otherwise specific risks for the fundamental rights and freedoms, and in particular the privacy, of the data subject.
|
б) видът обработка, по-специално използването на нови технологии, механизъм или процедури, е свързан в противен случай със специфичен риск за основните права и свободи, и по-специално неприкосновеността на личния живот, на субекта на данните.
|
|
Article 24
|
Член 24
|
|
Penalties
|
Санкции
|
|
Member States shall adopt suitable measures to ensure the full implementation of the provisions of this Framework Decision and shall in particular lay down effective, proportionate and dissuasive penalties to be imposed in case of infringements of the provisions adopted pursuant to this Framework Decision.
|
Държавите-членки приемат подходящи мерки, за да гарантират пълното изпълнение на разпоредбите на настоящото рамково решение и в частност установяват ефективни, съразмерни и възпиращи санкции, които да се налагат в случай на нарушаване на разпоредбите, приети в съответствие с настоящото рамково решение.
|
|
Article 25
|
Член 25
|
|
National supervisory authorities
|
Национални надзорни органи
|
|
1. Each Member State shall provide that one or more public authorities are responsible for advising and monitoring the application within its territory of the provisions adopted by the Member States pursuant to this Framework Decision. These authorities shall act with complete independence in exercising the functions entrusted to them.
|
1. Всяка държава-членка гарантира, че един или повече обществени органи отговарят за консултирането и следенето на прилагането на нейна територия на разпоредбите, приети от държавите-членки съгласно настоящото рамково решение. Тези органи се ползват с пълна независимост при упражняване на функциите, които са им възложени.
|
|
2. Each authority shall in particular be endowed with:
|
2. В частност на всеки орган следва да бъдат предоставени:
|
|
(a) investigative powers, such as powers of access to data forming the subject matter of processing operations and powers to collect all the information necessary for the performance of its supervisory duties;
|
а) правомощия за разследване, като право на достъп до данни, съставляващи предмет на операциите по обработка, както и правомощия за събиране на цялата информация, необходима за изпълнението на надзорните му функции;
|
|
(b) effective powers of intervention, such as, for example, that of delivering opinions before processing operations are carried out, and ensuring appropriate publication of such opinions, of ordering the blocking, erasure or destruction of data, of imposing a temporary or definitive ban on processing, of warning or admonishing the controller, or that of referring the matter to national parliaments or other political institutions;
|
б) ефективни правомощия за намеса, като например право на изразяване на становища преди извършването на операции по обработване на данни и гарантиране на подходяща публичност на тези становища; правомощия да се разпорежда за блокиране, заличаване или унищожаване на данни, за налагане на временна или окончателна забрана за обработване, за отправяне на предупреждение или строга забележка на администратора, както и за отнасяне на въпроса до националния парламент или други политически институции;
|
|
(c) the power to engage in legal proceedings where the national provisions adopted pursuant to this Framework Decision have been infringed or to bring this infringement to the attention of the judicial authorities. Decisions by the supervisory authority which give rise to complaints may be appealed against through the courts.
|
в) правомощие да участва в съдебни производства, когато са нарушени националните разпоредби, приети в съответствие с настоящото рамково решение, или да довежда до знанието на съдебните органи това нарушение. Решенията на надзорния орган, които са предмет на жалби, могат да бъдат обжалвани по съдебен ред.
|
|
3. Each supervisory authority shall hear claims lodged by any person concerning the protection of his rights and freedoms in regard to the processing of personal data. The person concerned shall be informed of the outcome of the claim.
|
3. Всеки надзорен орган разглежда искове, подадени от което и да е лице, отнасящи се до защитата на неговите права и свободи във връзка с обработването на лични данни. Засегнатото лице следва да бъде уведомено за резултата от иска.
|
|
4. Member States shall provide that the members and staff of the supervisory authority are bound by the data protection provisions applicable to the competent authority in question and, even after their employment has ended, are to be subject to a duty of professional secrecy with regard to confidential information to which they have access.
|
4. Държавите-членки гарантират, че членовете и персоналът на надзорния орган са обвързани с разпоредбите за защита на данните, приложими за въпросния компетентен орган, и че дори и след прекратяване на техните трудови правоотношения са обвързани със задължението за опазване на професионална тайна по отношение на поверителната информация, до която имат достъп.
|
|
Article 26
|
Член 26
|
|
Relationship to agreements with third States
|
Отношение към споразумения с трети държави
|
|
This Framework Decision is without prejudice to any obligations and commitments incumbent upon Member States or upon the Union by virtue of bilateral and/or multilateral agreements with third States existing at the time of adoption of this Framework Decision.
|
Настоящото рамково решение не засяга задълженията и ангажиментите на държавите-членки или на Съюза, произтичащи от двустранни и/или многостранни споразумения с трети държави, които съществуват към момента на приемане на настоящото рамково решение.
|
|
In the application of these agreements, the transfer to a third State of personal data obtained from another Member State, shall be carried out while respecting Article 13(1)(c) or (2), as appropriate.
|
При прилагането на тези споразумения предаването на трета държава на лични данни, получени от друга държава-членка, се извършва при спазване на член 13, параграф 1, буква в) или параграф 2, както е подходящо.
|
|
Article 27
|
Член 27
|
|
Evaluation
|
Оценяване
|
|
1. Member States shall report to the Commission by 27 November 2013 on the national measures they have taken to ensure full compliance with this Framework Decision, and particularly with regard to those provisions that already have to be complied with when data is collected. The Commission shall examine in particular the implications of those provisions for the scope of this Framework Decision as laid down in Article 1(2).
|
1. Държавите-членки докладват на Комисията до 27 ноември 2013 г. относно националните мерки, предприети за осигуряване на пълно спазване на настоящото рамково решение, и по-специално по отношение на тези разпоредби, които вече трябва да се спазват, когато данните са събрани. Комисията разглежда по-конкретно последиците от тези разпоредби за обхвата на настоящото рамково решение, както е предвидено в член 1, параграф 2.
|
|
2. The Commission shall report to the European Parliament and the Council within one year on the outcome of the evaluation referred to in paragraph 1, and shall accompany its report with any appropriate proposals for amendments to this Framework Decision.
|
2. В едногодишен срок Комисията докладва на Европейския парламент и на Съвета за резултата от оценяването, посочено в параграф 1, и прилага към доклада си всякакви подходящи предложения за изменения на настоящото рамково решение.
|
|
Article 28
|
Член 28
|
|
Relationship to previously adopted acts of the Union
|
Връзка с предишни актове на Съюза
|
|
Where in acts, adopted under Title VI of the Treaty on European Union prior to the date of entry into force of this Framework Decision and regulating the exchange of personal data between Member States or the access of designated authorities of Member States to information systems established pursuant to the Treaty establishing the European Community, specific conditions have been introduced as to the use of such data by the receiving Member State, these conditions shall take precedence over the provisions of this Framework Decision on the use of data received from or made available by another Member State.
|
Когато в актове, приети съгласно дял VI от Договора за Европейския съюз преди датата на влизане в сила на настоящото рамково решение и уреждащи обмена на лични данни между държавите-членки или достъпа на определени органи на държавите-членки до информационни системи, създадени по силата на Договора за създаване на Европейската общност, са въведени специфични условия по отношение използването на такива данни от получаващата държава-членка, тези условия имат предимство пред разпоредбите на настоящото рамково решение относно използването на данни, получени или предоставени от друга държава-членка.
|
|
Article 29
|
Член 29
|
|
Implementation
|
Изпълнение
|
|
1. Member States shall take the necessary measures to comply with the provisions of this Framework Decision before 27 November 2010.
|
1. Държавите-членки вземат необходимите мерки, за да се съобразят с разпоредбите на настоящото рамково решение преди 27 ноември 2010 г.
|
|
2. By the same date Member States shall transmit to the General Secretariat of the Council and to the Commission the text of the provisions transposing into their national law the obligations imposed on them under this Framework Decision, as well as information on the supervisory authorities referred to in Article 25. On the basis of a report established using this information by the Commission, the Council shall, before 27 November 2011, assess the extent to which Member States have complied with the provisions of this Framework Decision.
|
2. До същата дата държавите-членки предават на генералния секретариат на Съвета и на Комисията текста на разпоредбите, с които транспонират в тяхното национално законодателство наложените им с настоящото рамково решение задължения, както и информация относно надзорните органи, посочени в член 25. Въз основа на доклад, съставен от Комисията чрез използване на тази информация, Съветът оценява степента, до която държавите-членки са спазили настоящото рамково решение, преди 27 ноември 2011 г.
|
|
Article 30
|
Член 30
|
|
Entry into force
|
Влизане в сила
|
|
This Framework Decision shall enter into force on the 20th day following its publication in the Official Journal of the European Union.
|
Настоящото рамково решение влиза в сила на двадесетия ден след публикуването му в Официален вестник на Европейския съюз.
|
|
|
|
|
Done at Brussels, 27 November 2008.
|
Съставено в Брюксел на 27 ноември 2008 година.
|
|
For the Council
|
За Съвета
|
|
The President
|
Председател
|
|
M. Alliot-Marie
|
M. Alliot-Marie
|
|
[1] OJ C 125 E, 22.5.2008, p. 154.
|
[1] ОВ C 125 E, 22.5.2008 г., стр. 154.
|
|
[2] OJ C 198, 12.8.2005, p. 1.
|
[2] ОВ C 198, 12.8.2005 г., стр. 1.
|
|
[3] OJ L 281, 23.11.1995, p. 31.
|
[3] ОВ L 281, 23.11.1995 г., стр. 31.
|
|
[4] OJ L 8, 12.1.2001, p. 1.
|
[4] ОВ L 8, 12.1.2001 г., стр. 1.
|
|
[5] OJ L 201, 31.7.2002, p. 37.
|
[5] ОВ L 201, 31.7.2002 г., стр. 37.
|
|
[6] OJ L 69, 16.3.2005, p. 67.
|
[6] ОВ L 69, 16.3.2005 г., стр. 67.
|
|
[7] OJ L 210, 6.8.2008, p. 1.
|
[7] ОВ L 210, 6.8.2008 г., стр. 1.
|
|
[8] OJ L 131, 1.6.2000, p. 43.
|
[8] ОВ L 131, 1.6.2000 г., стр. 43.
|
|
[9] OJ L 64, 7.3.2002, p. 20.
|
[9] ОВ L 64, 7.3.2002 г., стp. 20.
|
|
[10] OJ L 176, 10.7.1999, p. 36.
|
[10] ОВ L 176, 10.7.1999 г., стp. 36.
|
|
[11] OJ L 176, 10.7.1999, p. 31.
|
[11] ОВ L 176, 10.7.1999 г., стр. 31.
|
|
[12] OJ L 53, 27.2.2008, p. 52.
|
[12] ОВ L 53, 27.2.2008 г., стp. 52.
|
|
[13] OJ L 53, 27.2.2008, p. 50.
|
[13] ОВ L 53, 27.2.2008 г., стр. 50.
|
|
[14] OJ L 83, 26.3.2008, p. 5.
|
[14] ОВ L 83, 26.3.2008 г., стp. 5.
|
|
[15] OJ C 303, 14.12.2007, p. 1.
|
[15] ОВ C 303, 14.12.2007 г., стp. 1.
|
|
--------------------------------------------------
|
--------------------------------------------------
|