4.5.2016   

BG

Официален вестник на Европейския съюз

L 119/89

(1)

Защитата на физическите лица във връзка с обработването на лични данни е основно право. Член 8, параграф 1 от Хартата на основните права на Европейския съюз („Хартата“) и член 16, параграф 1 от Договора за функционирането на Европейския съюз (ДФЕС) предвиждат, че всеки има право на защита на личните му данни.

(2)

Принципите и правилата относно защитата на физическите лица във връзка с обработването на личните им данни следва, независимо от тяхното гражданство или пребиваване, да са съобразени с техните основни права и свободи и по-конкретно с правото на защита на личните им данни. Целта на настоящата директива е да допринесе за изграждането на пространство на свобода, сигурност и правосъдие.

(3)

Бързото технологично развитие и глобализацията създадоха нови предизвикателства пред защитата на личните данни. Значително нарасна мащабът на обмена и събирането на лични данни. Технологиите позволяват личните данни да се обработват в безпрецедентен мащаб, за да се извършват дейности като предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания.

(4)

Свободният поток на лични данни между компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления, или изпълнението на наказания, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване в рамките на Съюза и предаването на тези лични данни на трети държави и международни организации, следва да се улесни като същевременно се гарантира високо равнище на защита на личните данни. Тези развития изискват изграждане на стабилна и по-съгласувана рамка за защита на личните данни в Съюза, подкрепена от силно правоприлагане.

(5)

Директива 95/46/ЕО на Европейския парламент и на Съвета (3) се прилага за всички дейности, свързани с обработване на лични данни в държавите членки както в публичния, така и в частния сектор. Въпреки това тя не се прилага за обработването на лични данни „при извършване на дейности извън обхвата на правото на Общността“, като например дейности в областите на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество.

(6)

Рамково решение 2008/977/ПВР на Съвета (4) се прилага в областите на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество. Обхватът на това рамково решение е ограничен до обработването на лични данни, които се предават или предоставят между държавите членки.

(7)

Осигуряването на хомогенно и високо ниво на защита на личните данни на физическите лица и улесняването на обмена на лични данни между компетентните органи на държавите членки са от решаващо значение за осигуряването на ефективно съдебно сътрудничество по наказателноправни въпроси и полицейско сътрудничество. За тази цел нивото на защита на правата и свободите на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления, или изпълнението на наказания, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване, следва да бъде еднакво във всички държави членки. Ефективната защита на личните данни навсякъде в Съюза изисква укрепване на правата на субектите на данни и на задълженията на обработващите лични данни, но също и укрепване на правомощията за наблюдение и гарантиране на спазването на правилата за защита на личните данни в държавите членки.

(8)

В член 16, параграф 2 от ДФЕС на Европейския парламент и на Съвета се възлага задачата да определят правилата за защитата на физическите лица по отношение на обработката на личните данни, както и правилата за свободното движение на такива данни.

(9)

Въз основа на това в Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета (5) се определят общи правила за защита на физическите лица във връзка с обработването на лични данни и за гарантиране на свободното движение на такива данни в Съюза.

(10)

В Декларация № 21 относно защитата на личните данни в областта на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество, приложена към заключителния акт на Междуправителствената конференция, която прие Договора от Лисабон, конференцията признава, че може да са необходими специални правила относно защитата на личните данни и свободното движение на лични данни в областите на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество въз основа на член 16 от ДФЕС, поради специфичното естество на тези области.

(11)

Поради това е уместно тези области да бъдат предмет на директива, която установява специални правила за защита на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления, или изпълнението на наказания, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване, като се отчита специфичният характер на тези дейности. Такива компетентни органи могат да включват не само публични органи, например съдебните органи, полицията и други правоприлагащи органи, но и всеки друг орган или образувание, който по силата на правото на държавите членки упражнява публична власт и публични правомощия за целите на настоящата директива. Когато обаче подобен орган или образувание обработва лични данни за цели, различни от целите на настоящата директива, се прилага Регламент (ЕС) 2016/679. Поради това Регламент (ЕС) 2016/679 се прилага в случаите, в които даден орган или образувание събира лични данни за други цели и допълнително обработва тези лични данни, за да се съобрази с правно задължение, с което е обвързан. За целите на разследването, разкриването или наказателното преследване на престъпления например финансови институции задържат определени лични данни, обработвани от тях, и предоставят тези лични данни единствено на компетентните национални органи в специфични случаи и в съответствие с правото на държавите членки. Орган или образувание, който обработва лични данни от името на компетентните национални органи в рамките на обхвата на настоящата директива, следва да бъде обвързан от договор или друг правен акт и от разпоредбите, приложими към обработващите лични данни съгласно настоящата директива, докато Регламент (ЕС) 2016/679 продължава да се прилага по отношение на обработването на лични данни от обработващ лични данни извън обхвата на настоящата директива.

(12)

Дейностите, извършвани от полицията или други правоприлагащи органи, включително полицейски дейности, без предварително да е известно дали даден инцидент съставлява престъпление, основно се съсредоточават върху предотвратяването, разследването, разкриването или наказателното преследване на престъпления. Тези дейности могат да включват упражняване на правомощия чрез предприемане на принудителни мерки, като полицейски дейности по време на демонстрации, големи спортни събития и безредици. Те включват и поддържането на законността и реда като задача, възложена на полицията или други правоприлагащи органи, когато е необходимо да се вземат предпазни мерки и да се предотвратят заплахи за обществената сигурност и основните интереси на обществото, защитени от закона, които могат да доведат до извършването на престъпление. Държавите членки могат да възложат на компетентните органи други задачи, чието изпълнение не е непременно свързано с целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване, като обработването на лични данни за тези цели, доколкото то е обхванато от правото на Съюза, попада в обхвата на Регламент (ЕС) 2016/679.

(13)

„Престъпление“ по смисъла на настоящата директива следва да бъде автономно понятие в правото на Съюза, което съответства на тълкуването на Съда на Европейския съюз („Съда“).

(14)

Тъй като настоящата директива не следва да се прилага за обработването на лични данни в рамките на дейност, попадаща извън обхвата на правото на Съюза, дейностите, засягащи националната сигурност, дейностите на агенции или звена, които се занимават с въпроси на националната сигурност, и обработването на лични данни от държавите членки, когато извършват дейности, попадащи в обхвата на дял V, глава 2 от Договора за Европейския съюз (ДЕС), не следва да се считат за дейности, попадащи в обхвата на настоящата директива.

(15)

С цел да се осигури еднакво равнище на защита на физическите лица чрез гарантирани от закона права навсякъде в Съюза и да се предотвратят различията, възпрепятстващи обмена на лични данни между компетентните органи, в настоящата директива следва да се предвидят хармонизирани правила за защита и свободно движение на лични данни, обработвани за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления, или изпълнението на наказания, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване. Сближаването на законодателствата на държавите членки не би следвало да води до понижаване на равнището на предоставяната от тях защита на личните данни, а напротив, следва да цели осигуряване на високо равнище на защита в рамките на Съюза. Държавите членки не следва да бъдат възпрепятствани да предвиждат по-строги предпазни мерки от установените в настоящата директива за защитата на правата и свободите на субекта на данните по отношение на обработването на лични данни от компетентните органи.

(16)

Настоящата директива не засяга принципа на публичен достъп до официални документи. Съгласно Регламент (ЕС) 2016/679 лични данни в официални документи, държани от публичен орган или публична или частна структура за изпълнение на задача от обществен интерес, могат да бъдат разкривани от този орган или структура в съответствие с правото на Съюза или на държава членка, на което се подчинява публичният орган или структура, за да се съгласува публичният достъп до официални документи с правото на защита на личните данни.

(17)

Защитата, предоставена с настоящата директива, следва да се прилага за физическите лица, независимо от тяхното гражданство или местопребиваване, във връзка с обработването на техните лични данни.

(18)

За да се предотврати създаването на сериозен риск от заобикаляне на закона, защитата на физическите лица следва да бъде технологично неутрална и следва да не зависи от използваната техника. Защитата на физическите лица следва да се прилага за обработването на лични данни с автоматични средства, както и за ръчното им обработване, ако личните данни се съхраняват или са предназначени да се съхраняват в регистър с лични данни. Досиетата или групите от досиета, както и заглавните им страници, които не са структурирани съгласно специфични критерии, не следва да попадат в обхвата на настоящата директива.

(19)

Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета (6) се прилага за обработването на лични данни от институциите, органите, службите и агенциите на Съюза. Регламент (ЕО) № 45/2001 и другите правни актове на Съюза, приложими за такова обработване на лични данни, следва да бъдат адаптирани към принципите и правилата, установени в Регламент (ЕС) 2016/679.

(20)

Настоящата директива не възпрепятства държавите членки да определят операции по обработване и процедури за обработване в национални правила за наказателноправните процедури във връзка с обработването на лични данни от съдилища и други съдебни органи, по-специално по отношение на лични данни, съдържащи се в съдебно решение или документация, свързани с наказателни производства.

(21)

Принципите за защита на данните следва да се прилагат по отношение на всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано. За да се определи дали дадено физическо лице може да бъде идентифицирано, следва да се вземат предвид всички средства, като например „подбиране на лица за извършване на проверка“, с които е най-вероятно да си послужи администраторът или друго лице, за да идентифицира пряко или непряко даденото физическо лице. За да се уточни дали има разумна вероятност дадени средства да бъдат използвани за идентифициране на физическото лице, следва да се вземат предвид всички обективни фактори, като разходите и времето, необходими за идентифицирането, като се отчитат както наличните към момента на обработване на данните технологии, така и тяхното развитие. Поради това принципите на защита на данните не следва да се прилагат по отношение на анонимна информация, а именно информация, която не е свързана с идентифицирано или подлежащо на идентифициране физическо лице, или по отношение на лични данни, които са анонимизирани по такъв начин, че субектът на данните вече не може да бъде идентифициран.

(22)

Публични органи, пред които се разкриват лични данни в съответствие с правно задължение за упражняване на официалната им функция, например данъчни и митнически органи, звена за финансово разследване, независими административни органи или органи за финансовите пазари, отговарящи за регулирането и надзора на пазарите на ценни книжа, не следва да се разглеждат като получатели, ако получават лични данни, които са необходими за провеждането на конкретно разследване от общ интерес, в съответствие с правото на Съюза или на държава членка. Исканията за разкриване на данни, изпратени от публичните органи, следва винаги да бъдат в писмена форма, да са обосновани и да засягат само отделни случаи и не следва да се отнасят до целия регистър с лични данни или да водят до свързване на регистри с лични данни. Обработването на личните данни от посочените публични органи следва да е в съответствие с приложимите правила за защита на данните съобразно целите на обработването.

(23)

Генетичните данни следва да се определят като лични данни, свързани с наследени или придобити генетични белези на дадено физическо лице и предоставят уникална информация относно физиологията или здравето на това физическо лице и които са получени в резултат на анализ на биологична проба от въпросното физическо лице, по-специално чрез хромозомен анализ на дезоксирибонуклеиновата киселина (ДНК) или на рибонуклеиновата киселина (РНК) или анализ на всеки друг елемент, позволяващ получаване на равностойна информация. Като се имат предвид комплексният характер и чувствителността на генетичната информация, има голям риск от злоупотреба и повторна употреба за различни цели от страна на администратора. Всяка дискриминация, основана на генетични белези, следва по принцип да бъде забранена.

(24)

Личните данни за здравословното състояние следва да обхващат всички данни, свързани със здравословното състояние на субекта на данните, които разкриват информация за физическото или психическото здравословно състояние на субекта на данните в миналото, настоящето или бъдещето. Това включва информация относно физическото лице, събрана в хода на регистрацията за здравни услуги или тяхното предоставяне, както е посочено в Директива 2011/24/ЕС на Европейския парламент и на Съвета (7), на същото физическо лице; номер, символ или характеристика, определени за дадено физическо лице с цел уникалното му идентифициране за здравни цели; информация, получена в резултат от изследването или прегледа на част от тялото или на телесно вещество, включително от генетични данни и биологични проби; и всякаква информация, например за заболяване, увреждане, риск от заболяване, медицинска история, клинично лечение или физиологично или биомедицинско състояние на субекта на данните, независимо от източника на информация, например лекар или друг медицински специалист, болница, медицинско изделие или ин витро диагностично изследване.

(25)

Всички държави членки участват в Международната организация на криминалната полиция (Интерпол). За да изпълнява мисията си, Интерпол получава, съхранява и обменя лични данни в помощ на компетентните органи с цел предотвратяване и борба с международната престъпност. Поради това е уместно да се засили сътрудничеството между Съюза и Интерпол чрез насърчаването на ефективен обмен на лични данни, като същевременно се гарантира спазването на основните права и свободи по отношение на автоматизираното обработване на лични данни. При предаването на лични данни от Съюза на Интерпол и на държави, които имат делегирани членове в Интерпол, следва да се прилага настоящата директива, по-специално разпоредбите относно международното предаване на данни. Настоящата директива следва да не засяга специфичните разпоредби, установени в Обща позиция 2005/69/ПВР на Съвета (8) и Решение 2007/533/ПВР на Съвета (9).

(26)

Всяко обработване на лични данни трябва да бъде законосъобразно, добросъвестно и прозрачно по отношение на засегнатите физически лица и извършено единствено за конкретните цели, предвидени от закона. Това само по себе си не възпрепятства правоприлагащите органи да извършват дейности като разследвания под прикритие или видео наблюдение. Тези дейности могат да се извършват за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления, или изпълнението на наказания, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване, стига те да са предвидени със закон и да представляват необходима и пропорционална мярка в едно демократично общество, като надлежно се вземат под внимание легитимните интереси на засегнатото физическо лице. Принципът на добросъвестно обработване във връзка със защитата на данните е различно понятие от правото на справедлив съдебен процес, както е предвидено в член 47 от Хартата и в член 6 от Европейската конвенция за защита на правата на човека и основните свободи (ЕКПЧ). Физическите лица следва да бъдат информирани за рисковете, правилата, гаранциите и правата, свързани с обработването на личните им данни, и за начините, по които да упражняват правата си по отношение на обработването. По-специално, конкретните цели, за които се обработват личните данни, следва да бъдат изрично указани и легитимни и определени към момента на събирането на личните данни. Личните данни следва да са подходящи и релевантни за целите, за които се обработват. По-специално следва да се гарантира, че събраните лични данни не надхвърлят необходимото и че не се съхраняват за период, по-дълъг от необходимото за целите, за които се обработват. Личните данни следва да се обработват единствено ако целта на обработването не може разумно да бъде постигната с други средства. С цел да се гарантира, че срокът на съхранение на данните не е по-дълъг от необходимия, администраторът следва да установи срокове за тяхното изтриване или периодичен преглед. Държавите членки следва да установят подходящи гаранции за личните данни, съхранявани за по-дълги периоди за целите на архивирането в обществен интерес и за използването с научен, статистически или исторически характер.

(27)

За целите на предотвратяването, разследването и наказателното преследване на престъпленията компетентните органи имат нужда да обработват лични данни, събрани в контекста на предотвратяването, разследването, разкриването или наказателното преследване на конкретни престъпления, извън този контекст, за да достигнат до разбиране на престъпните действия и да установят връзки между различни разкрити престъпления.

(28)

За да се поддържа сигурността на обработването и да се предотврати обработване в нарушение на настоящата директива, личните данни следва да се обработват по начин, който гарантира подходящо ниво на сигурност и поверителност, включително предотвратяване на неразрешен достъп или използване на личните данни и оборудването, използвано за обработването и който взема предвид наличните технологии, разходите за прилагане по отношение на рисковете и естеството на личните данни, които трябва да се защитят.

(29)

Личните данни следва да се събират за конкретни, изрично указани и легитимни цели, попадащи в обхвата на настоящата директива, и следва да не се обработват за цели, несъвместими с целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване. Ако лични данни се обработват от същия или друг администратор за цел, попадаща в обхвата на настоящата директива и различна от целта, за която данните са били събрани, това обработване следва да е допустимо, при условие че е разрешено в съответствие с приложимите правни разпоредби и е необходимо и пропорционално на тази друга цел.

(30)

Принципът за точност на данните следва да се прилага като се вземат предвид естеството и целта на съответното обработване. Особено в съдебни производства изявления, съдържащи лични данни, се основават на субективното възприемане от физически лица и не могат винаги да бъдат проверени. По тази причина изискването за точност не следва да се отнася за точността на изявлението, а само за факта, че е направено конкретно изявление.

(31)

При обработването на лични данни в областите на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество е нормално да се обработват лични данни, които се отнасят за различни категории субекти на данни. Поради това следва да се прави ясно разграничение, където това е приложимо и доколкото е възможно, между личните данни на различните категории субекти на данни, като например заподозрени, лица, осъдени за престъпление, лица, пострадали от престъпление и други трети страни, като свидетели, лица, притежаващи релевантна информация или данни за контакт, и съучастници на заподозрени и осъдени престъпници. Това не следва да възпрепятства прилагането на презумпцията за невиновност, гарантирана от Хартата и ЕКПЧ, както се тълкува съответно в практиката на Съда и от Европейския съд по правата на човека.

(32)

Компетентните органи следва да гарантират, че лични данни, които са неточни, непълни или които вече не са актуални, не се предават или предоставят. За да се гарантира както защитата на физическите лица, така и точността, пълнотата или степента на актуалност и надеждността на предаваните или предоставяните лични данни, компетентните органи следва, доколкото е възможно, да добавят необходимата информация при всички случаи на предаване на лични данни.

(33)

Когато в настоящата директива се прави позоваване на правото на държава членка, правно основание или законодателна мярка, това не налага непременно приемането на законодателен акт от парламент, без да се засягат изискванията съгласно конституционния ред на съответната държава членка. При все това правото на държавата членка, правното основание или законодателната мярка обаче следва да бъдат ясни и точни и прилагането им да бъде предвидимо за правните субекти, както изисква съдебната практика на Съда и на Европейския съд по правата на човека. Правото на държава членка, уреждащо обработването на лични данни в рамките на обхвата на настоящата директива, следва да посочва най-малко общите цели на обработването, личните данни, които се обработват, конкретните цели на обработването, процедурите за опазване на цялостността и поверителността на личните данни и процедурите за тяхното унищожаване, като по този начин се предоставят достатъчни гаранции срещу риска от злоупотреба и произвол.

(34)

Обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления, или изпълнението на наказания, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване, следва да обхваща всяка операция или съвкупност от операции, извършвани с лични данни или набор от лични данни за тези цели, чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, сравняване или комбиниране, ограничаване на обработването, заличаване или унищожаване. По-специално правилата на настоящата директива следва да се прилагат за предаването на лични данни за целите на настоящата директива на получател, за когото настоящата директива не се прилага. Подобен получател следва да означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която личните данни се разкриват законосъобразно от компетентния орган. Когато компетентен орган е събрал първоначално лични данни за една от целите на настоящата директива, за обработването на тези данни за цели, различни от целите на настоящата директива следва да се приложи Регламент (ЕС) 2016/679, когато това обработване е разрешено от правото на Съюза или правото на държава членка. По-специално, правилата на Регламент (ЕС) 2016/679 следва да се прилагат за предаването на лични данни за цели, които не попадат в обхвата на настоящата директива. За обработването на лични данни от получател, който не е компетентен орган или не действа като такъв по смисъла на настоящата директива и на когото личните данни се разкриват законосъобразно от компетентен орган, следва да се прилага Регламент (ЕС) 2016/679. При прилагането на настоящата директива държавите членки следва също да могат да уточнят в допълнителна степен прилагането на правилата на Регламент (ЕС) 2016/679, при спазване на условията, определени в него.

(35)

За да бъде законосъобразно, обработването на лични данни съгласно настоящата директива следва да бъде необходимо за изпълнението на задача в обществен интерес от компетентен орган въз основа на правото на Съюза или на държава членка за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления, или изпълнението на наказания, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване. Тези дейности следва да обхващат защитата на жизненоважни интереси на субекта на данните. Изпълнението на задачите по предотвратяване, разследване, разкриване или наказателно преследване на престъпления, институционално възложено със закон на компетентните органи, им позволява да изискват или нареждат на физическите лица да се съобразяват с направените искания. В този случай съгласието на субекта на данните съгласно определението в Регламент (ЕС) 2016/679 не следва да предоставя правно основание за обработването на личните данни от компетентните органи. Когато от субекта на данните се изисква да се съобрази с правно задължение, субектът на данните не разполага с истински и свободен избор, така че реакцията на субекта на данните не би могла да се счита за свободно изразяване на неговите желания. Това не следва да възпрепятства държавите членки да предвидят в националното си право, че субектът на данните може да даде съгласието си за обработване на неговите лични данни за целите на настоящата директива, като например данни от ДНК тестове в рамките на наказателни разследвания или наблюдение на местоположението на субекта на данни посредством електронен уред при изпълнението на наказания.

(36)

Държавите членки следва да предвидят, в случаите, когато правото на Съюза или на държава членка, приложимо за предаващия данните компетентен орган, предвижда специфични условия, приложими при специфични обстоятелства към обработването на личните данни, като използването на кодове за обработване, предаващият компетентен орган да уведоми получателя на тези лични данни, за тези условия и изискването за тяхното спазване. Тези условия биха могли да включват например забрана за предаване на лични данни на други лица или за използването им за цели, различни от тези, за които данните са били предадени на получателя, или да не се информира субекта на данните, в случай на ограничение на правото на информация, без предварителното съгласие на предаващия компетентен орган. Тези задължения следва да се прилагат и за предаването на данни от предаващия данните компетентен орган на получатели в трети държави или международни организации. Държавите членки следва да гарантират, че предаващият компетентен орган не прилага спрямо получатели в други държави членки или агенции, служби и органи, създадени съгласно дял V, глави 4 и 5 от ДФЕС условия, различни от тези, които се прилагат при подобно предаване на данни в рамките на държавата членка на посочения компетентен орган.

(37)

На личните данни, които по своето естество са особено чувствителни от гледна точка на основните права и свободи, се полага специална защита, тъй като контекстът на тяхното обработване би могъл да създаде значителни рискове за основните права и свободи. Посочените лични данни следва да включват личните данни, разкриващи расов или етнически произход, като използването на понятието „расов произход“ в настоящия регламент не означава, че Съюзът приема теориите, които се опитват да установят съществуването на отделни човешки раси. Тези лични данни не следва да се обработват, освен ако обработването не е свързано с подходящи гаранции за установените със закон права и свободи на субекта на данни и не е разрешено в определени от закона случаи; ако не е разрешено със закон, но е необходимо за защита на жизненоважни интереси на субекта на данни или на друго лице; или ако обработването се отнася за данни, които очевидно са направени обществено достояние от субекта на данните. Подходящите гаранции за правата и свободите на субекта на данни биха могли да включват възможността тези данни да се събират само във връзка с други данни за засегнатото физическо лице, възможността събраните данни да се защитят по подходящ начин, да се въведат по-строги правила относно достъпа на служители на компетентните органи до данните и да се забрани предаването на тези данни. Обработването на такива данни следва да бъде разрешено и от закона, когато субектът на данни изрично се е съгласил на обработване на данните, което представлява особено груба намеса в живота му. Въпреки това, съгласието на субекта на данни не следва да предоставя само по себе си правно основание за обработването на чувствителни лични данни от компетентните органи.

(38)

Субектът на данни следва да има правото да не бъде обект на решение, съдържащо оценка на свързани с него лични аспекти въз основа единствено на автоматизирано обработване и което поражда неблагоприятни правни последствия за него или го засяга в значителна степен. Във всеки случай такова обработване следва да подлежи на подходящи гаранции, включително предоставянето на конкретна информация на субекта на данните и правото на човешка намеса, по-специално за изразяване на неговото мнение, за получаване на обяснение за решението, взето в резултат на такава оценка и за обжалване на решението. Профилиране, което води до дискриминация на физически лица въз основа на лични данни, които по своето естество са особено чувствителни, що се отнася до основните права и свободи, следва да бъде забранено при условията, определени в членове 21 и 52 от Хартата.

(39)

За да се даде възможност на засегнатите лица да упражняват правата си, всяка информация, предоставена на субекта на данни, следва да бъде леснодостъпна, включително на уебсайта на администратора, и разбираема и да използва ясен и прост език. Тази информация следва да бъде съобразена с нуждите на уязвимите лица, например децата.

(40)

Следва да се предвидят ред и условия за улесняване на упражняването на правата на субектите на данни в съответствие с разпоредбите, приети съгласно настоящата директива, включително механизми за искане, и ако е приложимо — получаване, без заплащане, по-специално на достъп до, коригиране или изтриване на лични данни и ограничаване на обработването. Администраторът следва да бъде задължен да отговаря на исканията на субектите на данни без излишно забавяне, освен ако администраторът прилага ограничения на правата на субекта на данни в съответствие с настоящата директива. Освен това, ако исканията са очевидно неоснователни или прекомерни, например когато субектът на данни необосновано и многократно иска информация, или когато субектът на данни злоупотребява с правото си да получава информация, например като предоставя невярна или подвеждаща информация при подаване на искането, администраторът следва да може да наложи разумна такса или да откаже да предприеме действия по искането.

(41)

Когато администраторът поиска предоставянето на допълнителна информация, необходима за потвърждаване на самоличността на субекта на данните, тази информация следва да се обработва само за тази конкретна цел и да не се съхранява по-дълго от необходимото за тази цел.

(42)

Най-малко следната информация следва да бъде предоставена на субекта на данните: данни, идентифициращи администратора, съществуването на операция по обработване, целите на обработването, правото да подаде жалба и наличието на право да изиска от администратора достъп до личните данни, както и тяхното коригиране или изтриване, или ограничаване на обработването. Това би могло да се извърши на интернет страницата на компетентния орган. Освен това в конкретни случаи и с цел да се даде възможност на субекта на данните да упражни своите права, той следва да бъде информиран за правното основание на обработването и за продължителността на съхранение на данните, доколкото подобна допълнителна информация е необходима като се отчитат конкретните обстоятелства, при които се обработват данните, за да се гарантира добросъвестно обработване по отношение на субекта на данните.

(43)

Всяко физическо лице следва да има право на достъп до събраните данни, които го засягат, и да упражнява това право лесно и на разумни интервали, за да бъде осведомено за обработването и да провери законосъобразността му. Поради това всеки субект на данни следва да има правото да знае и да бъде осведомен относно целите, за които се обработват данните, срокът, за който се обработват и получателите на данните, включително в трети държави. Когато тези сведения включват информация за произхода на личните данни, тя не следва да разкрива самоличността на физически лица, и по-специално на поверителни източници. За да бъде спазено това право, е достатъчно субектът на данни да притежава пълно обобщение на тези данни в разбираема форма, т.е. форма, която позволява на въпросния субект на данни да се запознае с тези данни и да провери дали те са точни и обработени в съответствие с настоящата директива, така че той да може да упражни правата, предоставени му по силата на настоящата директива. Подобно обобщение би могло да бъде представено под формата на копие на личните данни, които са в процес на обработване.

(44)

Държавите членки следва да могат да приемат законодателни мерки, които забавят, ограничават или водят до пропускане на информирането на субектите на данни или до пълно или частично ограничаване на достъпа до техните лични данни до такава степен и за толкова време, за колкото дадена мярка е необходима и пропорционална в едно демократично общество, като надлежно се вземат под внимание основните права и легитимните интереси на засегнатото физическо лице, така че да се избегне възпрепятстването на официални или съдебни проучвания, разследвания или процедури, да се избегне засягане на предотвратяването, разследването, разкриването или наказателното преследване на престъпления, или изпълнението на наказания, да се защитят обществената или националната сигурност или правата и свободите на други лица. Администраторът следва да прецени, като разгледа конкретно и индивидуално всеки случай, дали правото на достъп следва да бъде напълно или частично ограничено.

(45)

Всеки отказ или ограничаване на достъпа следва по принцип да бъдат представени в писмен вид на субекта на данните и да включват фактическите или правните основания, на които се основава решението.

(46)

Всяко ограничаване на правата на субекта на данни трябва да бъде в съответствие с Хартата и с ЕКПЧ, както се тълкуват съответно в практиката на Съда и от Европейския съд по правата на човека, и по-специално като се зачита същността на тези права и свободи.

(47)

Физическо лице следва да има право да поиска коригиране на неточни лични данни, които го засягат, особено когато същите се отнасят до факти, както и право на изтриване на данните, когато обработването им е в нарушение на настоящата директива. Въпреки това правото на коригиране не следва да засяга например съдържанието на свидетелски показания. Физическо лице следва също да има право да ограничи обработването, когато оспорва точността на личните данни и тяхната точност или неточност не може да бъде установена или когато личните данни трябва да бъдат запазени за целите на доказването. По-специално обработването на личните данни следва да се ограничи, вместо данните да се заличават, ако в конкретен случай са налице разумни основания да се смята, че изтриването им би могло да засегне легитимните интереси на субекта на данните. В този случай данните, чието обработване е ограничено следва да се обработват само за целта, която е препятствала изтриването им. Методите за ограничаване на обработването на лични данни биха могли да включват, наред с другото, преместване на подбраните данни в друга система за обработване, например за целите на архивирането, или прекратяване на достъпа до тях. В системите за автоматизирано архивиране ограничаването на обработването следва по принцип да бъде осигурено с технически средства. Фактът, че обработването на лични данни е ограничено, следва да бъде посочен в системата по начин, който ясно показва, че обработването на лични данни подлежи на ограничения. Подобно коригиране или изтриване на лични данни, или ограничаване на обработването следва да се съобщава на получателите, на които са били разкрити данните, както и на компетентните органи, от които произхождат неточните данни. Администраторите следва също така се въздържат от по-нататъшно разпространение на такива данни.

(48)

Когато администраторът отказва на субекта на данни право на информация, достъп до или коригиране или изтриване на лични данни, или ограничаване на обработването, субектът на данни следва да има правото да поиска от националния надзорен орган да провери законосъобразността на обработването. Субектът на данни следва да бъде информиран за това право. Когато надзорният орган действа от името на субекта на данни, субектът на данни следва да бъде информиран от надзорния орган най-малко за това, че всички необходими проверки или прегледи от страна на надзорния орган са били извършени. Надзорният орган също така следва да информира субекта на данните за неговото право да потърси защита по съдебен ред.

(49)

Когато личните данни се обработват в хода на наказателно разследване и съдебно производство по наказателно дело, държавите членки следва да могат да гарантират, че правото на информация, достъп до и коригиране или изтриване на лични данни и ограничаване на обработването се упражнява в съответствие с националните правила относно съдебните производства.

(50)

Следва да бъдат установени отговорностите и задълженията на администратора за всяко обработване на лични данни, извършено от администратора или от негово име. По-конкретно, администраторът следва да бъде задължен да прилага подходящи и ефективни мерки и следва да е в състояние да докаже, че дейностите по обработването съответстват на настоящата директива. Тези мерки следва да отчитат естеството, обхвата, контекста и целите на обработването, както и риска за правата и свободите на физическите лица. Взетите от администратора мерки следва да включват изготвянето и прилагането на специфични гаранции по отношение на обработването на лични данни на уязвими физически лица, по-специално деца.

(51)

Рискът за правата и свободите на физическите лица с различна вероятност и тежест, може да произтича от обработване на данни, което би могло да доведе до физически, материални или нематериални вреди, по-специално когато обработването може да породи дискриминация, кражба на самоличност или измама чрез използване на фалшива самоличност, финансови загуби, накърняване на репутацията, нарушаване на поверителността на данни, защитени от професионална тайна, неразрешено премахване на псевдонимизация или други значителни икономически или социални неблагоприятни последствия; когато субектите на данни могат да бъдат лишени от техните права и свободи или от упражняването на контрол върху техните лични данни; когато се обработват лични данни, които разкриват расов или етнически произход, политически възгледи, религиозни или философски убеждения, членство в професионална организация; когато се обработват генетични или биометрични данни с цел уникално идентифициране на дадено лице или когато се обработват данни за здравословното състояние или данни за сексуалния живот и сексуалната ориентация или за присъди и престъпления или свързани с тях мерки за сигурност; когато се оценяват лични аспекти, по-конкретно анализиране и прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения, икономическото положение, здравето, личните предпочитания или интереси, надеждността или поведението, местонахождението или движението с цел създаване или използване на лични профили; когато се обработват лични данни на уязвими физически лица, по-специално деца; или когато обработването включва голям обем лични данни и засяга голям брой субекти на данни.

(52)

Вероятността и тежестта на риска следва да се определят с оглед на естеството, обхвата, контекста и целите на обработването. Рискът следва да е предмет на обективна оценка, с която се определя дали операциите по обработване на данни водят до висок риск. Високият риск е специфичен риск, който засяга правата и свободите на субектите на данни.

(53)

Защитата на правата и свободите на физическите лица с оглед на обработването на лични данни изисква предприемането на подходящи технически и организационни мерки, за да се гарантира, че са изпълнени изискванията на настоящата директива. Прилагането на такива мерки не следва да се ръководи единствено от икономически съображения. С цел да докаже съответствие с настоящата директива администраторът следва да приеме вътрешни политики и да прилага мерки, които зачитат по-специално принципите за защита на данните на етапа на проектирането и по подразбиране. Когато администраторът е извършил оценка на въздействието върху защитата на данните съгласно настоящата директива, резултатите следва да се вземат предвид при разработването на тези мерки и процедури. Тези мерки могат да се изразяват, inter alia, в използването на псевдонимизация на възможно най-ранен етап. Използването на псевдонимизация за целите на настоящата директива може да служи като инструмент, който би могъл да улесни по-специално свободния поток на лични данни в рамките на пространството на свобода, сигурност и правосъдие.

(54)

Защитата на правата и свободите на субектите на данни, както и отговорността и задълженията на администраторите и обработващите лични данни също и във връзка с наблюдението и мерките от страна на надзорните органи, изискват ясно определяне на отговорностите, установени в настоящата директива, включително когато администраторът определя целите и средствата на обработването съвместно с други администратори или когато дадена операция по обработване се извършва от името на даден администратор.

(55)

Обработването, извършвано от обработващ лични данни, следва да бъде уредено с правен акт, включително договор, който обвързва обработващия лични данни с администратора и постановява, по-специално, че обработващият лични данни следва да извършва действия само въз основа на указания от администратора. Обработващият лични данни следва да вземе под внимание принципа на защита на данните на етапа на проектирането и по подразбиране.

(56)

За да докаже съответствие с настоящата директива, администраторът или обработващият лични данни следва да поддържа регистри за всички категории дейности по обработване, за които отговаря. Всеки администратор и обработващ лични данни следва да бъде задължен да си сътрудничи с надзорния орган и да му предоставя тези регистри при поискване, за да може те да бъдат използвани за наблюдение на операциите по обработване. Администраторът или обработващият лични данни, който обработва лични данни в системи за неавтоматизирано обработване, следва да прилага ефективни методи за доказване на законосъобразността на обработването, за прилагане на самоконтрол и за гарантиране на цялостността и сигурността на данните, например записи или други форми на водене на регистър.

(57)

Записите следва да се съхраняват в системите за автоматизирано обработване поне за операции като събиране, промяна, консултиране, разкриване, включително предаване, комбиниране или изтриване. Идентификацията на лицето, което е направило справка с лични данни или ги е разкрило, следва да се записва и от нея следва да се установят причините за операциите по обработване. Записите следва да се използват единствено за проверяване на законосъобразността на обработването, за самоконтрол, за гарантиране на цялостността и сигурността на данните и при наказателни производства. Самоконтролът следва да включва вътрешни дисциплинарни процедури на компетентните органи.

(58)

Администраторът следва да извърши оценка на въздействието, когато има вероятност операциите по обработването да породят висок риск за правата и свободите на субектите на данни поради тяхното естество, обхвата или целите им, като тази оценка следва да включва по-специално мерки, гаранции и механизми, предназначени да осигуряват защитата на личните данни и да доказват съответствието с настоящата директива. Оценките на въздействието следва да обхващат съответните системи и процеси на операциите по обработване, а не отделни случаи.

(59)

За да се гарантира ефективната защита на правата и свободите на субектите на данни, в определени случаи администраторът или обработващият лични данни следва да се консултира с надзорния орган преди обработването.

(60)

С цел да се поддържа сигурността и да се предотврати обработване, което е в нарушение на настоящата директива, администраторът или обработващият лични данни следва да извърши оценка на рисковете, свързани с обработването, и да прилага мерки за ограничаване на тези рискове, например криптиране. Тези мерки следва да гарантират подходящо ниво на сигурност, включително поверителност, като се вземат предвид съвременните възможности, разходите по изпълнението спрямо риска и естеството на личните данни, които трябва да бъдат защитени. При оценката на рисковете за сигурността на данните, следва да се разгледат рисковете, произтичащи от обработването на данни, като случайно или неправомерно унищожаване, загуба, промяна, неправомерно разкриване или неправомерен достъп до предадени, съхранявани или обработвани по друг начин лични данни, което може по-конкретно да доведе до физически, материални или нематериални вреди. Администраторът и обработващият лични данни следва да гарантират, че обработването на лични данни не се извършва от неоправомощени лица.

(61)

Нарушаването на сигурността на личните данни може, ако не бъде овладяно по подходящ и навременен начин, да доведе до физически, материални или нематериални вреди за физическите лица, като загуба на контрол върху личните им данни или ограничаване на правата им, дискриминация, кражба на самоличност или измама чрез използване на фалшива самоличност, финансови загуби, неразрешено премахване на псевдонимизацията, накърняване на репутацията, нарушаване на поверителността на лични данни, защитени от професионална тайна, или всякакви други значителни икономически или социални неблагоприятни последствия за засегнатото физическо лице. Поради това, веднага след като администраторът установи нарушение на сигурността на личните данни, администраторът следва да уведоми надзорния орган за нарушението на сигурността на личните данни, без излишно забавяне и, когато това е осъществимо — не по-късно от 72 часа след като е разбрал за него, освен ако администраторът не е в състояние да докаже в съответствие с принципа на отчетност, че няма вероятност нарушението на сигурността на личните данни да доведе до риск за правата и свободите на физическите лица. Когато такова уведомление не може да бъде подадено в срок от 72 часа, то следва да посочва причините за забавянето и информацията може да се подаде поетапно без излишно допълнително забавяне.

(62)

Физическите лица следва да бъдат уведомявани без излишно забавяне, когато нарушение на сигурността на личните данни вероятно ще доведе до висок риск за правата и свободите на физическите лица, за да могат да вземат необходимите предпазни мерки. В уведомлението следва да се посочва естеството на нарушението на сигурността на личните данни, както и да се дават препоръки на засегнатото физическо лице за това, как да ограничи потенциалните неблагоприятни последици. Субектите на данни следва да бъдат уведомявани веднага щом това е разумно осъществимо, в тясно сътрудничество с надзорния орган и като се спазват насоките, предоставени от него или от други релевантни органи. Така например необходимостта да се ограничи непосредственият риск от вреди би наложила незабавното уведомяване на субектите на данните, докато необходимостта от прилагането на целесъобразни мерки срещу продължаването на нарушения на сигурността на данните или срещу подобни нарушения би оправдало по-дълги срокове за уведомяването. Когато чрез забавяне или ограничаване на информацията за нарушение на сигурността на личните данни, подавана до засегнатото лице, не могат да се избегнат възпрепятстването на официални или съдебни проучвания, разследвания или процедури, засягането на предотвратяването, разкриването, разследването или наказателното преследване на престъпления, или изпълнението на наказания, нито да се защитят обществената или националната сигурност или правата и свободите на засегнатото физическо лице, при изключителни обстоятелства подаването на тази информация би могло да се пропусне.

(63)

Администраторът следва да определи лице, което да го подпомага при наблюдението на вътрешното спазване на разпоредбите, приети съгласно настоящата директива, освен ако дадена държава членка не реши да освободи съдилищата и други независими съдебни органи, когато действат при изпълнение на своите съдебни функции. Това лице би могло да е член на съществуващия персонал на администратора, преминал специално обучение по правото и практиките в областта на защитата на данните с цел да придобие експертни знания по тази материя. Необходимото ниво на експертни знания следва да се определя по-специално в съответствие с извършваното обработване на данни и защитата, която е необходима за личните данни, обработвани от администратора. Неговите задачи биха могли да се изпълняват в рамките на непълно или пълно работно време. Длъжностното лице по защита на данните може да бъде назначено съвместно от няколко администратора, като се взема предвид тяхната организационна структура и мащаб, например при общи ресурси на централните звена. Освен това лицето би могло да бъде назначено на различни длъжности в рамките на структурата на съответните администратори. Това длъжностно лице следва да подпомага администратора и служителите, обработващи лични данни, като ги информира и консултира относно изпълнението на съответните им задължения за защита на данните. Тези длъжностни лица по защита на данните следва да са в състояние да изпълняват своите задължения и задачи по независим начин в съответствие с правото на държавите членки.

(64)

Държавите членки следва да гарантират, че предаването на данни на трета държава или на международна организация се осъществява само ако е необходимо за предотвратяването, разследването, разкриването или наказателното преследване на престъпления, или изпълнението на наказания, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване, а администраторът в третата държава или международната организация е компетентен орган по смисъла на настоящата директива. Предаване на данни следва да се извършва само от компетентните органи, действащи като администратори, освен ако обработващите лични данни не са изрично инструктирани да извършат предаването от името на администраторите. Такова предаване на данни може да се извърши, когато Комисията е решила, че въпросната трета държава или международна организация гарантира адекватно ниво на защита, когато са предоставени подходящи гаранции, или когато се прилагат дерогации за особени случаи. Когато лични данни се предават от Съюза на администратори, обработващи лични данни или други получатели в трети държави или международни организации, нивото на защита на физическите лица, предвидено в Съюза с настоящата директива, не следва да бъде застрашено, включително в случаите на последващо предаване на лични данни от третата държава или международната организация на администратори или обработващи лични данни в същата или друга трета държава или международна организация.

(65)

Когато лични данни се предават от държава членка на трети държави или международни организации, предаването следва да се извършва по принцип само след като държавата членка, от която са получени данните, даде разрешение за това. Интересите на ефикасното сътрудничество в областта на правоприлагането изискват, когато заплахата за обществената сигурност на държава членка или на трета държава, или за основните интереси на държава членка е толкова непосредствена, че да направи своевременното получаване на предварително разрешение невъзможно, компетентният орган да може да предаде съответните лични данни на заинтересованата трета държава или международна организация без такова предварително разрешение. Държавите членки следва да предвидят всички специфични условия, засягащи предаването на лични данни, да бъдат съобщавани на трети държави или международни организации. Последващото предаване на лични данни следва да подлежи на предварително разрешение от компетентния орган, извършил първоначалното предаване. Когато взема решение по искане за разрешаване на последващо предаване на лични данни, компетентният орган, извършил първоначалното предаване, следва надлежно да вземе предвид всички съответни фактори, включително тежестта на престъплението, приложимите специфични условия и целите на първоначалното предаване на данните, естеството и условията на изпълнението на наказанието, както и нивото на защита на личните данни в третата държава или международната организация, към която се извършва последващото предаване на лични данни. Компетентният орган, извършил първоначалното предаване, следва да може да обвърже също така последващото предаване със специфични условия. Тези специфични условия могат да бъдат описани например в кодовете за обработване.

(66)

Комисията следва да може да реши, с действие по отношение на целия Съюз, че определени трети държави или територия, или един, или повече конкретни сектори в трета държава, или международна организация предоставят адекватно ниво на защита на данните, като по този начин гарантира правна сигурност и еднообразно прилагане навсякъде в Съюза по отношение на третите държави или международни организации, за които се смята, че предоставят такова ниво на защита. В тези случаи предаването на лични данни към тези държави следва да може да се извърши без да е необходимо специално разрешение, освен ако друга държава членка, от която са получени данни, не трябва да даде разрешение за предаването.

(67)

В съответствие с основните ценности, на които се основава Съюзът, по-специално защитата на правата на човека, в оценката си на третата държава или на територията или на конкретния сектор в третата държава Комисията следва да вземе предвид как се зачитат в конкретната трета държава принципите на правовата държава, достъпът до правосъдие, както и международните норми и стандарти за правата на човека, както и съответното общо и секторно право, включително законодателството в областта на обществената сигурност, отбраната и националната сигурност, а също и обществения ред и наказателното право. При приемането на решение относно адекватното ниво на защита на личните данни за територия или конкретен сектор в трета държава, следва да се вземат предвид ясни и обективни критерии, като например специфични дейности по обработване и обхвата на приложимите правни стандарти и на действащото законодателство в третата държава. Третата държава следва да предостави гаранции, които осигуряват адекватно ниво на защита, по същество равностойно на гарантираното в рамките на Съюза, по-специално когато данните се обработват в един или повече конкретни сектори. Третата държава следва по-специално да осигури ефективен независим надзор в областта на защитата на данните и да предвиди механизми за сътрудничество с органите на държавите членки за защита на данните, а на субектите на данни следва да бъдат предоставени действителни и приложими права и ефективни средства за административна и съдебна защита.

(68)

Освен международните ангажименти, които третата държава или международната организация е поела, Комисията също така следва да вземе предвид задълженията, произтичащи от участието на третата държава или международната организация в многостранни или регионални системи, по-специално по отношение на защитата на личните данни, както и изпълнението на тези задължения. По-специално следва да се вземе предвид присъединяването на третата държава към Конвенцията на Съвета на Европа от 28 януари 1981 г. за защита на лицата при автоматизираното обработване на лични данни и допълнителния протокол към нея. Комисията следва да провежда консултации с Европейския комитет по защита на данните, създаден с Регламент (ЕС) 2016/679 („Комитетът“) при оценяването на нивото на защита в трети държави или международни организации. Комисията следва също да взема предвид имащи отношение решения на Комисията относно адекватното ниво на защита на личните данни, приети в съответствие с член 45 от Регламент (ЕС) 2016/679.

(69)

Комисията следва да наблюдава как функционират решенията относно нивото на защита на данните в дадена трета държава, територия, или конкретен сектор в трета държава, или международна организация. В своите решения относно адекватното ниво на защита на личните данни Комисията следва да предвиди механизъм за периодичен преглед на тяхното функциониране. Този периодичен преглед следва да се осъществява в консултации с въпросната трета държава или международна организация и следва да отчита всички имащи отношение събития в третата държава или международната организация.

(70)

Комисията следва да може също така да приеме, че дадена трета държава, територия, или конкретен сектор в трета държава, или дадена международна организация вече не предоставя адекватно ниво на защита на данните. В резултат на това предаването на лични данни на тази трета държава или международна организация следва да бъде забранено, докато не бъдат изпълнени изискванията в настоящата директива относно предаването на данни, предмет на подходящи гаранции и дерогации за особени случаи. Следва да се предвидят процедури за провеждането на консултации между Комисията и такива трети държави или международни организации. Комисията следва своевременно да уведоми третата държава или международната организация за основанията и да започне консултации с нея с цел да намери решение на ситуацията.

(71)

Предаване на данни, което не се основава на такова решение относно адекватното ниво на защита на личните данни, следва да бъде позволено единствено когато в правно обвързващ инструмент са предоставени подходящи гаранции, които осигуряват защитата на личните данни, или когато администраторът е извършил оценка на всички обстоятелства около предаването на данните и въз основа на тази оценка счита, че по отношение на защитата на личните данни съществуват подходящи гаранции. Такива правно обвързващи инструменти биха могли да бъдат например правно обвързващи двустранни споразумения, които са сключени от държавите членки и се прилагат в техния правов ред и биха могли да бъдат приведени в изпълнение от техните субекти на данни, гарантиращи спазване на изискванията относно защитата на данните и на правата на субектите на данни, включително правото на ефективна административна и съдебна защита. Администраторът следва да може да вземе предвид споразуменията за сътрудничество, сключени между Европол или Евроюст и трети държави, които позволяват обмена на лични данни, когато се осъществява оценка на всички обстоятелства около предаването на данните. Администраторът следва да може да вземе предвид и това, че предаването на лични данни ще подлежи на задълженията за поверителност и принципа на специфичност, като се гарантира, че данните не се обработват за други цели, освен за целите на предаването. Освен това администраторът следва да вземе предвид факта, че личните данни няма да бъдат използвани за искане, постановяване или изпълнение на смъртно наказание или каквато и да е форма на жестоко и нечовешко отношение. Въпреки че тези условия биха могли да се счетат за подходящи гаранции, позволяващи предаването на данни, администраторът следва да може да поиска допълнителни гаранции.

(72)

При липса на решение относно адекватното ниво на защита или подходящи гаранции предаването или категорията предавания на данни би могло да се осъществи единствено в особени случаи, ако е необходимо за да се защитят жизненоважните интереси на субекта на данните или друго лице, или да се гарантират легитимните интереси на субекта на данните, когато това е предвидено в законодателството на държавата членка, предаваща данните; за предотвратяването на непосредствена и сериозна заплаха за обществената сигурност на държава членка или на трета държава; в отделен случай за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления, или изпълнението на наказания, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване; или в отделен случай за установяването, упражняването или защитата на правни претенции. Тези дерогации следва да се тълкуват стеснително и да не се позволява често, масово и структурно предаване на лични данни или мащабно предаване на данни, а то следва да бъде ограничено до строго необходимото. Това предаване следва да бъде документирано и да се предостави на надзорния орган при поискване с цел наблюдение на законосъобразността на предаването.

(73)

Компетентните органи на държавите членки прилагат действащите двустранни или многостранни международни споразумения, сключени с трети държави в областта на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество, за обмена на съответната информация, за да им се даде възможност да изпълняват своите задачи, възложени от закона. По принцип това се извършва посредством или поне в сътрудничество с компетентните органи на засегнатите трети държави за целите на настоящата директива, понякога дори ако няма сключено двустранно или многостранно споразумение. При все това в отделни, специфични случаи редовните процедури, според които се изисква да бъде установен контакт с такъв орган в третата държава, могат да бъдат неефективни и неподходящи, по-специално когато предаването не би могло да се осъществи навреме или когато този орган в третата държава не зачита принципите на правовата държава или международните норми и стандарти за правата на човека, така че компетентните органи на държавата членка биха могли да решат да предадат личните данни пряко на получателите, установени в тези трети държави. Такъв може да е случаят, когато спешно се налага лични данни да бъдат предадени с цел спасяване на живота на лице, което е заплашено да стане пострадал от престъпление, или в интерес на предотвратяването на непосредствено предстоящо престъпление, включително тероризъм. Дори такова предаване между компетентните органи и получателите, установени в трети държави, да се извършва само в отделни конкретни случаи, настоящата директива следва да предвиди условия за уреждането на тези случаи. Тези разпоредби не следва да се разглеждат като дерогации от съществуващи двустранни или многостранни международни споразумения в областта на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество. Тези правила следва да се прилагат в допълнение към другите правила от настоящата директива, по-специално свързаните със законосъобразността на обработването, и правилата от глава V.

(74)

Трансграничното движение на лични данни може да увеличи риска физическите лица да не могат да упражнят правата на защита на данните, за да се защитят срещу неправомерна употреба или разкриване на тези данни. В същото време надзорните органи могат да бъдат изправени пред невъзможността да разглеждат жалби или да провеждат разследвания, свързани с дейности, извършвани извън техните граници. Техните усилия за сътрудничество в трансграничен контекст могат да бъдат възпрепятствани също от недостатъчни правомощия за предотвратяване или защита и от различаващи се правни режими. Поради това е необходимо да се насърчава по-тясното сътрудничество между надзорните органи по защита на данните, за им се помогне да обменят информация със своите международни партньори.

(75)

Създаването в държава членка на надзорни органи, които могат да изпълняват функциите си при пълна независимост, е съществен елемент от защитата на физическите лица по отношение на обработването на личните им данни. Надзорните органи следва да наблюдават прилагането на разпоредбите, приети съгласно настоящата директива, и следва да допринасят за тяхното съгласувано прилагане навсякъде в Съюза с цел защита на физическите лица по отношение на обработването на личните им данни. За тази цел надзорните органи следва да си сътрудничат помежду си и с Комисията.

(76)

Държавите членки могат да възложат на надзорен орган, който вече е създаден съгласно Регламент (ЕС) 2016/679, отговорността за изпълнението на задачите, които трябва да бъдат осъществявани от националните надзорни органи, които трябва да бъдат създадени съгласно настоящата директива.

(77)

На държавите членки следва да бъде разрешено да създават повече от един надзорен орган, за да бъде отразена тяхната конституционна, организационна и административна структура. Всеки надзорен орган следва да получи финансовите и човешките ресурси, помещенията и инфраструктурата, необходими за ефективното изпълнение на неговите задачи, включително задачите по линия на взаимопомощта и сътрудничеството с други надзорни органи навсякъде в Съюза. За всеки надзорен орган следва да има отделен, публичен годишен бюджет, който може да е част от общия държавен или национален бюджет.

(78)

Надзорните органи следва да бъдат подлагани на независими механизми за контрол или наблюдение по отношение на финансовите им разходи, стига този финансов контрол да не засяга тяхната независимост.

(79)

Общите условия за члена или членовете на надзорния орган следва да бъдат определени от правото на държава членка и по-специално да предвиждат тези членове да се назначават от парламента или от правителството или от държавния глава на държавата членка въз основа на предложение от правителството или член на правителството, или от парламента или негова камара, или от независим орган, комуто съгласно правото на държава членка е възложено да прави назначенията посредством прозрачна процедура. За да се гарантира независимостта на надзорния орган, членът или членовете следва да действат почтено, да се въздържат от всякакви несъвместими със задълженията им действия и по време на своя мандат да не се ангажират с никакви несъвместими функции, независимо дали срещу възнаграждение или безвъзмездно. За да се гарантира независимостта на надзорния орган, персоналът следва да е обект на подбор от надзорния орган, което може да включва и участие на независим орган, комуто това е възложено съгласно правото на държава членка.

(80)

Макар настоящата директива да се прилага и спрямо дейностите на националните съдилища и други съдебни органи, компетентността на надзорните органи не следва да обхваща обработването на лични данни, когато съдилищата действат при изпълнение на съдебните си функции, за да се гарантира независимостта на съдиите при изпълнението на техните съдебни задължения. Това изключение следва да бъде ограничено до съдебните дейности по съдебни дела и да не се прилага за други дейности, в които съдиите могат да участват съгласно правото на държава членка. Държавите членки следва да могат също така да предвидят, че компетентността на надзорния орган не може да обхваща обработването на лични данни от други независими органи, които са част от съдебната система, когато действат при изпълнение на правомощията им, например прокуратурата. Във всеки случай, спазването на разпоредбите на настоящата директива от съдилищата и другите независими органи, които са част от съдебната система винаги подлежи на независим надзор в съответствие с член 8, параграф 3 от Хартата.

(81)

Всеки надзорен орган следва да разглежда жалбите, подадени от субект на данни, и да извършва разследване по тях или да ги предаде на компетентния надзорен орган. Разследването въз основа на жалби следва да подлежи на съдебен контрол и да се извършва в целесъобразна за конкретния случай степен. Надзорният орган следва да информира субекта на данните за напредъка и резултата от жалбата в разумен срок. Ако случаят изисква допълнително разследване или координиране с друг надзорен орган, на субекта на данните следва да бъде предоставена междинна информация.

(82)

За да се гарантира ефективно, надеждно и съгласувано наблюдение на спазването и привеждането в изпълнение на настоящата директива навсякъде в Съюза в съответствие с ДФЕС съгласно тълкуването на Съда, надзорните органи следва да имат във всяка държава членка еднакви задачи и ефективни правомощия, включително разследващи, корективни и консултативни правомощия, които представляват необходими средства за изпълнение на техните задачи. Техните правомощия обаче не следва да засягат специфични разпоредби относно наказателните производства, включително за разследването и наказателното преследване на престъпления, или независимостта на съдебната система. Без да се засягат правомощията на прокуратурата съгласно правото на държава членка, надзорните органи следва също да имат правомощието да сезират съдебните органи за нарушения на настоящата директива или да участват в съдебни производства. Надзорните органи следва да упражняват правомощията си съгласно съответните процесуални гаранции, определени от правото на Съюза и правото на държавите членки, безпристрастно, справедливо и в разумен срок. По-специално всяка мярка следва да бъде подходяща, необходима и пропорционална с оглед осигуряването на съответствие с настоящата директива, като се отчитат обстоятелствата при всеки конкретен случай, зачита се правото на всяко лице да бъде изслушано преди да бъде взета каквато и да е индивидуална мярка, която би го засегнала неблагоприятно, и се избягват излишните разходи и прекалените неудобства за засегнатото лице. Разследващите правомощия по отношение на достъпа до помещения следва да се упражняват в съответствие със специфичните изисквания на правото на държава членка, като например изискването за получаване на предварително съдебно разрешение. Приемането на правно обвързващо решение следва да подлежи на съдебен контрол в държавата членка на надзорния орган, приел решението.

(83)

Надзорните органи следва да си сътрудничат при изпълнението на своите задачи и взаимно да се подпомагат, за да се гарантира съгласуваното прилагане и привеждане в изпълнение на разпоредбите, приети съгласно настоящата директива.

(84)

Комитетът следва да допринася за съгласуваното прилагане на настоящата директива навсякъде в Съюза, включително като съветва Комисията и насърчава сътрудничеството на надзорните органи в Съюза.

(85)

Всеки субект на данни следва да има право да подаде жалба до един-единствен надзорен орган, както и право на ефективна съдебна защита в съответствие с член 47 от Хартата, ако субектът на данните счита, че са нарушени правата му, предвидени в разпоредбите, приети съгласно настоящата директива, или ако надзорният орган не предприема действия по подадена жалба, изцяло или частично отхвърля или оставя без разглеждане жалба или не предприема действия, когато такива са необходими, за да се защитят правата на субекта на данните. Разследването въз основа на жалби следва да подлежи на съдебен контрол и да се извършва в целесъобразна за конкретния случай степен. Компетентният надзорен орган следва да информира субекта на данните за напредъка и резултата от жалбата в разумен срок. Ако случаят изисква допълнително разследване или координиране с друг надзорен орган, на субекта на данните следва да бъде предоставена междинна информация. За да се улесни подаването на жалбите, всеки надзорен орган следва да вземе мерки, като например осигуряване на формуляр за подаване на жалби, който може да бъде попълнен и по електронен път, без да се изключват други средства за комуникация.

(86)

Всяко физическо или юридическо лице следва да има право на ефективна съдебна защита пред компетентния национален съд срещу решение на надзорен орган, което поражда правни последици за това лице. Подобно решение се отнася по-специално за упражняването на правомощията за разследване, даване на разрешение и корективните правомощия на надзорния орган или оставянето без разглеждане или отхвърлянето на жалби. Същевременно това право не обхваща други мерки на надзорните органи, които не са с правно задължителен характер, като становища или консултации, предоставени от надзорния орган. Производствата срещу надзорния орган следва да се завеждат пред съдилищата на държавата членка, в която е установен надзорният орган, и следва да се водят в съответствие с правото на тази държава членка. Тези съдилища следва да разполагат с пълна компетентност, която следва да включва компетентност за разглеждане на всички фактически и правни въпроси, свързани с разглеждания спор.

(87)

Когато субектът на данни смята, че са нарушени правата му по настоящата директива, той следва да има право да възложи на орган, който е учреден съгласно правото на държава членка и чиято цел е да защитава правата и интересите на субектите на данни по отношение на защитата на техните данни, да подаде жалба от негово име до надзорен орган и да упражни правото на съдебна защита. Правото на субектите на данни да бъдат представлявани не следва да засяга процесуалното право на държава членка, съгласно което може да се изисква субектите на данни да бъдат представлявани пред националните съдилища задължително от адвокат, както е предвидено в Директива 77/249/ЕИО на Съвета (10).

(88)

Всички вреди, които дадено лице може да претърпи в резултат на обработване, което нарушава настоящата директива, следва да бъдат обезщетени от администратора или всеки друг орган, компетентен съгласно правото на държава членка. Понятието „вреда“ следва да се тълкува в широк смисъл в контекста на съдебната практика на Съда по начин, който да отразява напълно целите на настоящата директива. Посоченото по-горе не засяга евентуални искове за вреди, произтичащи от нарушаване на други правила на правото на Съюза или на държавата членка. Когато се прави позоваване на обработване, което не е законосъобразно или не е в съответствие с разпоредбите, приети съгласно настоящата директива, то обхваща и обработване, което нарушава актовете за изпълнение, приети съгласно настоящата директива. Субектите на данни следва да получат пълно и действително обезщетение за претърпените от тях вреди.

(89)

На всяко физическо или юридическо лице, което нарушава настоящата директива, следва да се налагат наказания, независимо дали то е субект на частното или публичното право. Държавите членки следва да гарантират, че наказанията са ефективни, пропорционални и възпиращи, и следва да предприемат всички мерки за тяхното изпълнение.

(90)

За да се гарантират еднакви условия за изпълнение на настоящата директива, на Комисията следва да бъдат предоставени изпълнителни правомощия по отношение на адекватното ниво на защита на данните, осигурявано от дадена трета държава, територия или конкретен сектор в трета държава, или международна организация; и за формата и процедурите за взаимопомощ и договореностите за обмена на информация чрез електронни средства между надзорните органи, както и между надзорните органи и Комитета. Тези правомощия следва да бъдат упражнявани в съответствие с Регламент (ЕС) № 182/2011 на Европейския парламент и на Съвета (11).

(91)

Процедурата по разглеждане следва да бъде използвана за приемането на актове за изпълнение относно адекватното ниво на защита, осигурявано от дадена трета държава, територия или конкретен сектор в трета държава, или международна организация и относно формата и процедурите за взаимопомощ и договореностите за обмена на информация чрез електронни средства между надзорните органи, както и между надзорните органи и Комитета, при условие че тези актове са от общ характер.

(92)

Комисията следва да приеме актове за изпълнение с незабавно приложение, когато в надлежно обосновани случаи, свързани с трета държава, територия или конкретен сектор в трета държава, или международна организация, които вече не осигуряват адекватно ниво на защита, наложителни причини за спешност изискват това.

(93)

Доколкото целите на настоящата директива, а именно да се защитят основните права и свободи на физическите лица и по-специално тяхното право на защита на личните данни, както и да се гарантира свободен обмен на лични данни от компетентните органи в Съюза, не могат да бъдат постигнати в достатъчна степен от държавите членки, а поради обхвата или последиците от действието, могат да бъдат по-добре постигнати на равнището на Съюза, Съюзът може да приеме мерки в съответствие с принципа на субсидиарност, уреден в член 5 от ДЕС. В съответствие с принципа на пропорционалност, уреден в същия член, настоящата директива не надхвърля необходимото за постигане на тези цели.

(94)

Специалните разпоредби от актове на Съюза в областта на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество, приети преди датата на приемане на настоящата директива, с които се регламентират обработването на лични данни между държавите членки и достъпът на определени органи на държавите членки до информационни системи, създадени съгласно Договорите, следва да останат незасегнати, като например специалните разпоредби, засягащи защитата на лични данни, прилагани съгласно Решение 2008/615/ПВР на Съвета (12) или член 23 от Конвенцията за взаимопомощ по наказателноправни въпроси между държавите — членки на Европейския съюз (13). Тъй като член 8 от Хартата и член 16 от ДФЕС изискват основното право на защита на личните данни да се гарантира по съгласуван начин на цялата територия на Съюза, Комисията следва да извърши оценка на ситуацията по отношение на връзката между настоящата директива и актовете, приети преди датата на нейното приемане, които регламентират обработването на лични данни между държавите членки или достъпа на определените органи на държавите членки до информационните системи, създадени съгласно Договорите, за да прецени необходимостта от привеждането на тези специални разпоредби в съответствие с настоящата директива. Когато е уместно, Комисията следва да направи предложения с оглед осигуряването на съгласувани правни норми относно обработването на лични данни.

(95)

За да се гарантира цялостна и съгласувана защита на личните данни в Съюза, международните споразумения, сключени от държавите членки преди датата на влизане в сила на настоящата директива и които са в съответствие със съответното право на Съюза, приложимо преди посочената дата, следва да останат в сила докато не бъдат изменени, заменени или отменени.

(96)

На държавите членки следва да се даде срок, не по-дълъг от две години от датата на влизане в сила на настоящата директива, за транспонирането ѝ. Обработването, което вече е в ход към посочената дата, следва да се приведе в съответствие с нея в срок от две години след влизането в сила на настоящата директива. При все това когато това обработване е в съответствие с правото на Съюза, приложимо преди датата на влизане в сила на настоящата директива, изискванията на настоящата директива относно извършването на предварителната консултация с надзорния орган следва да не се прилагат за операциите по обработване, които са в ход преди посочената дата, предвид това, че тези изисквания, поради тяхното естество, би трябвало да са изпълнени преди да започне обработването. Когато държавите членки използват по-дългия срок за изпълнение, който изтича седем години след датата на влизане в сила на настоящата директива, за да изпълнят задълженията във връзка със записите по отношение на системите за автоматизирано обработване, създадени преди посочената дата, администраторът или обработващият лични данни следва да разполага с ефективни методи за доказване на законосъобразността на обработването на данните, за прилагане на самоконтрол и за гарантиране на цялостността и сигурността на данните, като например различни форми на записи.

(97)

Настоящата директива не засяга разпоредбите относно борбата със сексуалното насилие и със сексуалната експлоатация на деца, както и с детската порнография, установени с Директива 2011/93/ЕС на Европейския парламент и на Съвета (14).

(98)

Поради това Рамково решение 2008/977/ПВР следва да бъде отменено.

(99)

В съответствие с член 6а от Протокол № 21 относно позицията на Обединеното кралство и Ирландия по отношение на пространството на свобода, сигурност и правосъдие, приложен към ДЕС и към ДФЕС, Обединеното кралство и Ирландия не са обвързани от заложените в настоящата директива правила относно обработването на лични данни от държавите членки при осъществяване на дейности, попадащи в обхвата на трета част, дял V, глава 4 или глава 5 от ДФЕС, когато Обединеното кралство и Ирландия не са обвързани от правилата, уреждащи формите на съдебно сътрудничество по наказателноправни въпроси или на полицейско сътрудничество, в рамките на които трябва да бъдат съблюдавани разпоредбите, установени въз основа на член 16 от ДФЕС.

(100)

В съответствие с членове 2 и 2а от Протокол № 22 относно позицията на Дания, приложен към ДЕС и към ДФЕС, Дания не е обвързана от заложените в настоящата директива правила относно обработването на лични данни от държавите членки при осъществяването на дейности, попадащи в обхвата на трета част, дял V, глава 4 или глава 5 от ДФЕС, нито от тяхното прилагане. Доколкото настоящата директива представлява развитие на достиженията на правото от Шенген, съгласно трета част, дял V от ДФЕС, в срок от шест месеца след приемането на настоящата директива Дания взема решение, в съответствие с член 4 от посочения Протокол, дали да я въведе в националното си право.

(101)

По отношение на Исландия и Норвегия настоящата директива представлява развитие на разпоредбите на достиженията на правото от Шенген по смисъла на Споразумението, сключено от Съвета на Европейския съюз и Република Исландия и Кралство Норвегия за асоциирането на последните към изпълнението, прилагането и развитието на достиженията на правото от Шенген (15).

(102)

По отношение на Швейцария настоящата директива представлява развитие на разпоредбите на достиженията на правото от Шенген по смисъла на Споразумението между Европейския съюз, Европейската общност и Конфедерация Швейцария относно асоциирането на Конфедерация Швейцария към изпълнението, прилагането и развитието на достиженията на правото от Шенген (16).

(103)

По отношение на Лихтенщайн настоящата директива представлява развитие на разпоредбите на достиженията на правото от Шенген по смисъла на Протокола между Европейския съюз, Европейската общност, Конфедерация Швейцария и Княжество Лихтенщайн относно присъединяването на Княжество Лихтенщайн към Споразумението между Европейския съюз, Европейската общност и Конфедерация Швейцария относно асоциирането на Конфедерация Швейцария към изпълнението, прилагането и развитието на достиженията на правото от Шенген (17).

(104)

Настоящата директива зачита основните права и спазва принципите, признати в Хартата и залегнали в ДФЕС, по-специално правото на зачитане на личния и семейния живот, правото на защита на личните данни, правото на ефективни правни средства за защита и на справедлив съдебен процес. Ограниченията, наложени върху тези права, са в съответствие с член 52, параграф 1 от Хартата, тъй като са необходими, за да се отговори на признати от Съюза цели от общ интерес или на необходимостта да се защитят правата и свободите на други хора.

(105)

Съгласно Съвместната политическа декларация от 28 септември 2011 г. на държавите членки и на Комисията относно обяснителните документи държавите членки са поели ангажимент в обосновани случаи да прилагат към съобщението за своите мерки за транспониране един или повече документи, обясняващи връзката между елементите на дадена директива и съответстващите им части от националните мерки за транспониране. По отношение на настоящата директива законодателят смята, че предоставянето на такива документи е обосновано.

(106)

Европейския надзорен орган за защита на данните беше консултиран в съответствие с член 28, параграф 2 от Регламент (ЕО) № 45/2001 и прие становище на 7 март 2012 г. (18).

(107)

Настоящата директива не следва да възпрепятства държавите членки да привеждат в действие упражняването на правата на субектите на данните във връзка с информацията, достъпа до обработването и коригирането или изтриването на лични данни и ограничаването на обработването в хода на наказателно производство, и евентуалното ограничаване на тези права, в националните разпоредби относно наказателното производство,

а)

защитават основните права и свободи на физическите лица и по-специално правото им на защита на личните данни; и

б)

гарантират, че обменът на лични данни от компетентните органи в Съюза, когато такъв обмен се изисква по силата на правото на Съюза или на държава членка, не се ограничава, нито забранява по причини, свързани със защитата на физическите лица по отношение на обработването на лични данни.

а)

в хода на дейности, които са извън обхвата на правото на Съюза;

б)

от институциите, органите, службите и агенциите на Съюза.

1)

„лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата и умствената, икономическата, културната или социалната идентичност на това физическо лице;

2)

„обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друга форма на осигуряване на достъп до данните, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

3)

„ограничаване на обработването“ означава маркиране на съхранявани лични данни с цел ограничаване на обработването им в бъдеще;

4)

„профилиране“ означава всяка форма на автоматизирано обработване на лични данни, изразяващо се в използване на лични данни за оценяване на някои лични аспекти, свързани с дадено физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение;

5)

„псевдонимизация“ означава обработването на лични данни по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано;

6)

„регистър с лични данни“ означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;

7)

„компетентен орган“ означава:

8)

„администратор“ означава компетентният орган, който сам или съвместно с други органи определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държавата членка;

9)

„обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;

10)

„получател“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на държава членка, не се считат за получатели; обработването на тези данни от тези публични органи отговаря на приложимите правила за защита на данните съгласно целите на обработването;

11)

„нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;

12)

„генетични данни“ означава лични данни, свързани с наследени или придобити генетични белези на дадено физическо лице, които дават уникална информация относно физиологията или здравето на това физическо лице и които са получени по-специално чрез анализ на биологична проба от въпросното физическо лице;

13)

„биометрични данни“ означава лични данни, получени в резултат на специфично техническо обработване, които са свързани с физическите, физиологичните или поведенческите характеристики на дадено физическо лице и които позволяват или потвърждават уникалната идентификация на това физическо лице, като лицеви изображения или дактилоскопични данни;

14)

„данни за здравословното състояние“ означава лични данни, свързани с физическото или психическото здраве на физическо лице, включително предоставянето на здравни услуги, които дават информация за здравословното му състояние;

15)

„надзорен орган“ означава независим публичен орган, създаден от държава членка съгласно член 41;

16)

„международна организация“ означава организация и нейните подчинени органи, регламентирани от международното публично право, или друг орган, създаден чрез или въз основа на споразумение между две или повече държави.

а)

обработвани законосъобразно и добросъвестно;

б)

събирани за конкретни, изрично указани и легитимни цели и не се обработват по начин, който е несъвместим с тези цели;

в)

подходящи, относими и не надхвърлят необходимото във връзка с целите, за които данните се обработват;

г)

точни и, при необходимост, поддържани в актуален вид; трябва да се предприемат всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват;

д)

съхранявани във вид, който позволява идентифицирането на субектите на данните за период не по-дълъг от необходимия за целите, за които те се обработват;

е)

обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки.

а)

администраторът е оправомощен да обработва такива лични данни за такава цел в съответствие с правото на Съюза или правото на държава членка; и

б)

обработването е необходимо и пропорционално на тази различна цел в съответствие с правото на Съюза или правото на държава членка.

а)

лица, за които има сериозни основания да се счита, че са извършили или ще извършат престъпление;

б)

лица, осъдени за престъпление;

в)

лица, пострадали от престъпление или лица, по отношение на които определени факти дават основание да се счита, че може да са пострадали от престъпление; и

г)

други трети лица по отношение на престъпление, например лица, които биха могли да бъдат призовани да свидетелстват при разследване на престъпления или при последващи наказателни производства, лица, които могат да предоставят информация за престъпления или свързани лица, или съучастници на някое от лицата, посочени в букви а) и б).

а)

е разрешено съгласно правото на Съюза или правото на държава членка;

б)

трябва да бъдат защитени жизненоважни интереси на субекта на данните или на друго физическо лице; или

в)

обработването касае данни, които очевидно са направени обществено достояние от субекта на данните.

а)

да начисли такса в разумен размер, като взема предвид административните разходи за предоставяне на информация или на комуникация или за предприемане на действия по искането; или

б)

да откаже да предприеме действия по искането.

а)

данни за идентифициране и координатите за връзка на администратора;

б)

координатите за връзка на длъжностното лице по защита на данните, когато е приложимо;

в)

целите на обработването, за които са предназначени личните данни;

г)

правото да бъде подадена жалба до надзорен орган и да бъдат предоставени неговите координати за връзка;

д)

съществуването на право да се изиска от администратора достъп до, коригиране или изтриване на лични данни и ограничаване на обработването на лични данни, свързано със субекта на данните.

а)

правното основание на обработването;

б)

срока, за който ще се съхраняват личните данни, а ако това е невъзможно, — критериите, използвани за определяне на този срок;

в)

когато е приложимо, категориите получатели на личните данни, включително в трети държави или международни организации;

г)

когато е необходимо, допълнителна информация, по-специално когато личните данни са събрани без знанието на субекта на данните.

а)

се избегне възпрепятстването на официални или съдебни проучвания, разследвания или процедури;

б)

не се допусне неблагоприятно влияние върху предотвратяването, разкриването, разследването или наказателното преследване на престъпления или изпълнението на наказания;

в)

се защити обществената сигурност;

г)

се защити националната сигурност;

д)

се защитят правата и свободите на други лица.

а)

целите и правното основание за обработването;

б)

обработваните категории лични данни;

в)

получателите или категориите получатели, пред които са разкрити личните данни, по-специално получателите в трети държави или международни организации;

г)

когато е възможно, предвидения срок, за който ще се съхраняват личните данни, или ако това не е възможно, критериите за определяне на този срок;

д)

съществуването на право да се изиска от администратора коригиране или изтриване на лични данни, или ограничаване на обработването на лични данни, свързано със субекта на данните;

е)

правото да се подаде жалба до надзорния орган и неговите координати за връзка;

ж)

съобщаване на личните данни, които са в процес на обработване, и на всякаква налична информация за техния произход.

а)

се избегне възпрепятстването на официални или съдебни проучвания, разследвания или процедури;

б)

не се допусне неблагоприятно влияние върху предотвратяването, разкриването, разследването или наказателното преследване на престъпления или изпълнението на наказания;

в)

се защити обществената сигурност;

г)

се защити националната сигурност;

д)

се защитят правата и свободите на други лица.

а)

точността на личните данни се оспорва от субекта на данните и тяхната точност или неточност не може да бъде проверена; или

б)

личните данни трябва да бъдат запазени за доказателствени цели.

а)

се избегне възпрепятстването на официални или съдебни проучвания, разследвания или процедури;

б)

не се допусне неблагоприятно влияние върху предотвратяването, разкриването, разследването или наказателното преследване на престъпления или изпълнението на наказания;

в)

се защити обществената сигурност;

г)

се защити националната сигурност;

д)

се защитят правата и свободите на други лица.

а)

действа единствено по указания на администратора;

б)

гарантира, че лицата, оправомощени да обработват личните данни, са поели ангажимент за поверителност или са задължени по закон да спазват поверителност;

в)

подпомага администратора с всички подходящи средства, за да се гарантира спазването на разпоредбите относно правата на субекта на данни;

г)

по избор на администратора заличава или връща на администратора всички лични данни след приключване на предоставянето на услуги по обработване на данни и заличава съществуващите копия, освен ако правото на Съюза или правото на държава членка не изисква съхранение на личните данни;

д)

предоставя на администратора цялата информация, необходима за доказване на спазването на настоящия член;

е)

спазва условията по параграфи 2 и 3 за включване на друг обработващ лични данни.

а)

наименованието и координатите за връзка на администратора, и когато е приложимо, на съвместните администратори и на длъжностното лице по защитата на данните;

б)

целите на обработването;

в)

категориите получатели, пред които са или ще бъдат разкрити личните данни, включително получателите в трети държави или международни организации;

г)

описание на категориите субекти на данни и на категориите лични данни;

д)

когато е приложимо, използването на профилиране;

е)

когато е приложимо, категориите предаване на лични данни на трета държава или международна организация;

ж)

посочване на правното основание за операцията по обработване, включително предаването на данни, за която са предназначени личните данни;

з)

когато е възможно, предвидените срокове за изтриване на различните категории лични данни;

и)

когато е възможно, общо описание на техническите и организационните мерки за сигурност, посочени в член 29, параграф 1.

а)

наименованието и координатите за връзка на обработващия или обработващите лични данни, на всеки администратор, от чието име действа обработващият лични данни и на длъжностното лице за защита на данните, когато е приложимо;

б)

категориите обработване, извършени от името на всеки администратор;

в)

когато е приложимо, предаването на лични данни на трета държава или на международна организация, когато има изрични указания от администратора за това, включително идентификацията на тази трета държава или международна организация;

г)

когато е възможно, общо описание на техническите и организационните мерки за сигурност, посочени в член 29, параграф 1.

а)

оценката на въздействието върху защитата на данните съгласно член 27 покаже, че обработването ще породи висок риск, ако администраторът не предприеме мерки за ограничаване на риска; или

б)

видът обработване, по-специално когато се използват нови технологии, механизми или процедури, включва висока степен на риск за правата и свободите на субектите на данните.

а)

да се откаже достъп на неоправомощени лица до оборудването, използвано за обработване („контрол върху достъпа до оборудване“);

б)

да се предотврати четенето, копирането, изменянето или отстраняването на носители на данни от неоправомощени лица („контрол върху носителите на данни“);

в)

да се предотврати въвеждането на лични данни от неоправомощени лица, както и извършването на проверки, изменянето или заличаването на съхранявани лични данни от неоправомощени лица („контрол върху съхраняването“);

г)

да се предотврати използването на автоматизирани системи за обработване от неоправомощени лица чрез използване на оборудване за предаване на данни („контрол върху потребителите“);

д)

да се гарантира, че лицата, на които е разрешено да използват автоматизирана система за обработване, имат достъп само до личните данни, които са обхванати от тяхното разрешение за достъп („контрол върху достъпа до данни“);

е)

да се гарантира възможността за проверка и установяване на кои органи са били или могат да бъдат предадени или имат достъп до лични данни чрез оборудване за предаване на данни („контрол върху комуникацията“);

ж)

да се гарантира възможността за последваща проверка и установяване на това какви лични данни са били въведени в автоматизираните системи за обработване, както и кога и от кого са били въведени тези лични данни („контрол върху въвеждането на данни“);

з)

да се предотврати четенето, копирането, изменянето или заличаването на лични данни от неоправомощени лица при предаването на лични данни или при пренасянето на носители на данни („контрол върху пренасянето“);

и)

да се гарантира възможността за възстановяване на инсталираните системи в случай на отказ на функциите на системите („възстановяване“);

й)

да се гарантира изпълнението на функциите на системата, докладването за появили се във функциите дефекти („надеждност“), както и недопускане на увреждане на съхраняваните лични данни вследствие на неправилно функциониране на системата („цялостност“).

а)

описание на естеството на нарушението на сигурността на личните данни, включително, когато това е възможно, категориите и приблизителния брой на засегнатите субекти на данни и категориите и приблизителния брой на засегнатите записи на лични данни;

б)

посочване на името и координатите за връзка на длъжностното лице по защита на данните или на друга точка за контакт, от която може да се получи повече информация;

в)

описание на евентуалните последици от нарушението на сигурността на личните данни;

г)

описание на предприетите или предложените от администратора мерки за справяне с нарушението на сигурността на личните данни, включително по целесъобразност мерки за намаляване на евентуалните неблагоприятни последици.

а)

администраторът е предприел подходящи технически и организационни мерки за защита и тези мерки са били приложени по отношение на личните данни, засегнати от нарушението на сигурността на личните данни, по-специално мерките, които правят личните данни неразбираеми за всяко лице, което няма разрешение за достъп до тях, като например криптиране;

б)

администраторът е взел впоследствие мерки, които гарантират, че вече няма вероятност да се материализира високият риск за правата и свободите на субектите на данни, посочен в параграф 1;

в)

то би довело до непропорционални усилия. В такъв случай се прави публично съобщение или се взема друга подобна мярка, така че субектите на данни да бъдат в еднаква степен ефективно информирани.

а)

да информира и съветва администратора и служителите, които извършват обработването, за техните задължения по силата на настоящата директива и на други разпоредби за защита на данните от правото на Съюза или правото на държавите членки;

б)

да наблюдава спазването на настоящата директива и на други разпоредби за защита на данните от правото на Съюза или правото на държавите членки и на политиките на администратора по отношение на защитата на личните данни, включително възлагането на отговорности, повишаването на осведомеността и обучението на персонала, участващ в операциите по обработване, и съответните одити;

в)

при поискване да предоставя съвети по отношение на оценката на въздействието върху защитата на данните и да наблюдава извършването на оценката съгласно член 27;

г)

да си сътрудничи с надзорния орган;

д)

да действа като точка за контакт за надзорния орган по въпроси, свързани с обработването, включително преди консултацията, посочена в член 28, и ако е необходимо да се консултира по всякакви други въпроси.

а)

предаването е необходимо за целите, посочени в член 1, параграф 1;

б)

личните данни се предават на администратор в трета държава или на международна организация — орган, компетентен за целите, посочени в член 1, параграф 1;

в)

когато се предават или се предоставят лични данни от друга държава членка, тази държава членка е дала своето предварително разрешение за предаването в съответствие с националното си право;

г)

Комисията е приела решение относно адекватното ниво на защита на личните данни съгласно член 36 или при отсъствието на такова решение са предвидени или съществуват подходящи гаранции съгласно член 37, или при отсъствието на решение относно адекватното ниво на защита на личните данни съгласно член 36 и на подходящи гаранции в съответствие с член 37, се прилагат дерогации за особени случаи съгласно член 38; и

д)

при последващо предаване на лични данни на друга трета държава или международна организация компетентният орган, извършил първоначалното предаване, или друг компетентен орган на същата държава членка разрешава последващото предаване на данни, след като надлежно е взел предвид всички значими фактори, включително тежестта на престъплението, целта на първоначалното предаване на личните данни, нивото на защита на личните данни в третата държава или международната организация, към която се извършва последващото предаване на лични данни.

а)

върховенството на закона, спазването на правата на човека и основните свободи, съответното законодателство — както общо, така и секторно, включително в областта на обществената сигурност, отбраната, националната сигурност и наказателното право и достъпа на публичните органи до лични данни, а също и прилагането на това законодателство, правилата за защита на данните, професионалните правила и мерките за сигурност, включително правилата за последващо предаване на лични данни на друга трета държава или международна организация, които са в сила във въпросната държава или международна организация, съдебната практика, както и наличието на ефективни и приложими права на субектите на данни и ефективни административни и съдебни средства за защита за субектите на данни, чиито лични данни се прехвърлят;

б)

наличието и ефективното функциониране на един или повече независими надзорни органи във въпросната трета държава, или органи, на чийто надзор подлежи дадена международна организация, отговорни за осигуряване и привеждане в изпълнение на правилата за защита на данните, включително адекватни изпълнителни правомощия, за подпомагане и консултиране на субектите на данни при упражняването на техните права и за сътрудничество с надзорните органи на държавите членки; и

в)

международните ангажименти, които съответната трета държава или международна организация е поела, или други задължения, произтичащи от правно обвързващи конвенции или инструменти, както и от участието ѝ в многостранни или регионални системи, по-конкретно по отношение на защитата на личните данни.

а)

в правно обвързващ инструмент са предвидени подходящи гаранции във връзка със защитата на личните данни; или

б)

администраторът е извършил оценка на всички обстоятелства около предаването на лични данни и е стигнал до заключението, че по отношение на защитата на личните данни съществуват подходящи гаранции.

а)

за да бъдат защитени жизненоважни интереси на субекта на данни или на друго лице;

б)

за да бъдат защитени легитимни интереси на субекта на данните, когато законодателството на държавата членка, която предава данните, предвижда това;

в)

за предотвратяването на непосредствена и сериозна заплаха за обществената сигурност на държава членка или на трета държава;

г)

в отделни случаи за целите, посочени в член 1, параграф 1; или

д)

в отделен случай за установяването, упражняването или защитата на правни претенции, свързани с целите, посочени в член 1, параграф 1.

а)

предаването е строго необходимо за изпълнението на задача на предаващия компетентен орган, както е предвидено в правото на Съюза или на държава членка за целите, посочени в член 1, параграф 1;

б)

предаващият компетентен орган реши, че никои основни права и свободи на въпросния субект на данни не надделяват над обществения интерес, който налага предаването в конкретния случай;

в)

предаващият компетентен орган счита, че предаването на орган, който е компетентен в третата държава по отношение на целите, посочени в член 1, параграф 1, е неефективно или неподходящо, по-специално тъй като предаването не може да се осъществи навреме;

г)

органът на третата държава, който е компетентен за целите, посочени в член 1, параграф 1, е уведомен без излишно забавяне, освен ако това е неефективно или неподходящо;

д)

предаващият компетентен орган уведомява получателя за конкретната цел или цели, единствено за които последният обработва личните данни, при условие че такова обработване е необходимо.

а)

разработване на механизми за международно сътрудничество с цел подпомагане на ефективното прилагане на законодателството за защита на личните данни;

б)

осигуряване на международна взаимопомощ при прилагането на законодателството за защита на личните данни, включително чрез уведомяване, препращане на жалби, помощ при разследвания и обмен на информация, при условие че има подходящи гаранции за защитата на личните данни и другите основни права и свободи;

в)

включване на съответните заинтересовани страни в обсъждания и дейности, насочени към допълнително задълбочаване на международното сътрудничество за прилагането на законодателството за защита на личните данни;

г)

насърчаване на обмена и документирането на законодателство и практики в областта на защитата на личните данни, включително във връзка със спорове за компетентност с трети държави.

—

техния парламент;

—

тяхното правителството;

—

техния държавния глава; или

—

независим орган, на когото съгласно правото на държавата членка е възложено да извършва назначенията.

а)

създаването на всеки надзорен орган;

б)

квалификациите и условията за допустимост, на които кандидатът се изисква да отговаря, за да бъде назначен за член на всеки надзорен орган;

в)

правилата и процедурите за назначаването на члена или членовете на всеки надзорен орган;

г)

продължителността на мандата на члена или членовете на всеки надзорен орган, която не е по-малко от четири години, с изключение на първите назначения след 6 май 2016 г., някои от които може да са за по-кратък срок, когато това е необходимо, за да се защити независимостта на надзорния орган посредством процедура за постепенно назначаване;

д)

дали и за колко мандата се допуска преназначаване на члена или членовете на всеки надзорен орган;

е)

условията, регламентиращи задълженията на члена или членовете и на персонала на всеки надзорен орган, забранените действия, функции и облаги, които са несъвместими с тези задължения по време на мандата и след неговото приключване, и правилата, от които се ръководи прекратяването на трудовите правоотношения.

а)

наблюдава и гарантира прилагането на разпоредбите, приети съгласно настоящата директива, и мерките за изпълнението ѝ;

б)

насърчава обществената информираност и разбиране на рисковете, правилата, гаранциите и правата, свързани с обработване;

в)

дава становища, в съответствие с правото на държава членка, на националния парламент, правителството и други институции и органи относно законодателните и административните мерки, свързани със защитата на правата и свободите на физическите лица по отношение на обработването;

г)

осведомява администраторите и обработващите лични данни за техните задължения съгласно настоящата директива;

д)

предоставя информация на всеки субект на данни във връзка с упражняването на правата му съгласно настоящата директива при поискване и, ако е уместно, да си сътрудничи за тази цел с надзорните органи в други държави членки;

е)

разглежда жалбите, подадени от субект на данни или от орган, организация или сдружение съгласно член 55, и разследва предмета на жалбата, доколкото това е целесъобразно, и информира жалбоподателя за напредъка и резултатите от разследването в разумен срок, особено ако е необходимо по-нататъшно разследване или координиране с друг надзорен орган;

ж)

проверява законосъобразността на обработването съгласно член 17 и информира в разумен срок субекта на данните за резултата от проверката съгласно параграф 3 от посочения член, или за причините, поради които проверката не е била извършена;

з)

си сътрудничи с други надзорни органи, включително чрез обмен на информация, и им предоставя взаимна помощ с оглед осигуряване на съгласуваното прилагане и привеждане в изпълнение на настоящата директива;

и)

извършва проучвания по прилагането на настоящата директива, включително въз основа на информация, получена от друг надзорен или публичен орган;

й)

наблюдава съответното развитие, по-специално в областта на развитието на информационните и комуникационни технологии, дотолкова доколкото то има въздействие върху защитата на личните данни;

к)

дава становища по операциите за обработване на данни, посочени в член 28; и

л)

допринася за дейностите на Комитета.

а)

да отправя предупреждения до администратора или обработващия лични данни, когато има вероятност планираните операции по обработване на данни да нарушат разпоредбите, приети съгласно настоящата директива;

б)

да разпорежда на администратора или на обработващия лични данни да приведат операциите по обработване на данни в съответствие с разпоредбите, приети съгласно настоящата директива, ако е уместно, по указан начин и в определен срок, по-специално като разпорежда коригирането, изтриването на лични данни или ограничаването на обработването съгласно член 16;

в)

да налага временно или окончателно ограничаване, включително забрана, на обработването.

а)

е некомпетентен относно предмета на искането или мерките, които се изисква да изпълни; или

б)

удовлетворяването на искането би нарушило настоящата директива или правото на Съюза или на държавата членка, което се прилага спрямо надзорния орган, до който е отправено искането.

а)

консултира Комисията по всеки въпрос, свързан със защитата на личните данни в Съюза, включително относно всяко предложено изменение на настоящата директива;

б)

разглежда по своя собствена инициатива, по искане на някой от своите членове или по искане на Комисията всеки въпрос, който се отнася до прилагането на настоящата директива, и предоставя насоки, препоръки и най-добри практики с цел насърчаване на съгласуваното прилагане на настоящата директива;

в)

изготвя насоки за надзорните органи относно прилагането на мерките, посочени в член 47, параграфи 1 и 3;

г)

предоставя насоки, препоръки и най-добри практики съгласно буква б) от настоящата алинея за установяване на нарушения на сигурността на личните данни и определяне на излишното забавяне, посочено в член 30, параграфи 1 и 2, и за конкретните обстоятелства, при които администраторът или обработващият лични данни е длъжен да уведоми за нарушение на сигурността на лични данни;

д)

предоставя насоки, препоръки и най-добри практики съгласно буква б) от настоящата алинея относно обстоятелствата, при които има вероятност нарушението на сигурността на личните данни да изложи на значителен риск правата и свободите на физическите лица, посочени в член 31, параграф 1;

е)

извършва преглед на практическото прилагане на насоките, препоръките и най-добрите практики, посочени в букви б) и в);

ж)

предоставя на Комисията становище за оценка на адекватността на нивото на защита на данните в трета държава, територия или един или повече конкретни сектори в тази трета държава или международна организация, включително за оценка на това дали дадена трета държава, територия, конкретен сектор, или международна организация са престанали да осигуряват адекватно ниво на защита.

з)

насърчава сътрудничеството и ефективния двустранен и многостранен обмен на информация и най-добри практики между надзорните органи;

и)

насърчава общите програми за обучение и улеснява обмена на персонал между надзорните органи, и, когато е уместно, с надзорните органи на трети държави или с международни организации;

й)

насърчава обмена на знания и документация относно правото и практиката в областта на защитата на данните с надзорните органи по защита на данните в цял свят.