ОБЯСНИТЕЛЕН МЕМОРАНДУМ

1. КОНТЕКСТ НА ПРЕДЛОЖЕНИЕТО

В настоящия обяснителен меморандум се представя подробно предложената нова правна рамка за защита на личните данни в ЕС, както е изложена в Съобщение COM (2012) 9 final[1]. Предложената нова правна рамка се състои от две законодателни предложения:

– предложение за регламент на Европейския парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни (общ регламент относно защитата на данните) и

– предложение за директива на Европейския парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции и относно свободното движение на такива данни[2].

Настоящият обяснителен меморандум се отнася за законодателното предложение за общ регламент относно защитата на данните.

Основополагащият документ на съществуващото законодателство на ЕС относно защитата на личните данни, Директива 95/46/ЕО[3], беше приета през 1995 г. с две предвидени цели: да бъде защитено основното право на защита на данните и да се гарантира свободното движение на лични данни между държавите-членки. Тя бе допълнена с Рамково решение 2008/977/ПВР като общ инструмент на равнището на Съюза за защитата на личните данни в областта на полицейското сътрудничество и съдебното сътрудничество по наказателноправни въпроси[4].

Бързото технологично развитие създаде нови предизвикателства пред защитата на личните данни. Мащабите на обмена и събирането на данни се увеличиха драстично. Технологиите позволяват на частните дружества и публичните органи да използват лични данни в безпрецедентни мащаби, за да упражняват дейността си. Хората все по-често предоставят лична информация в публичното и световното пространство. Технологиите преобразиха както икономическия, така и социалния живот.

Изграждането на доверие в онлайн средата е ключов фактор за икономическото развитие. Липсата на доверие кара потребителите да се колебаят дали да пазаруват онлайн и да ползват нови услуги. Това създава риск от забавяне на развитието на иновативните приложения на новите технологии. Ето защо на защитата на личните данни е отредена централна роля в Програмата в областта на цифровите технологии за Европа[5] и като цяло в стратегията „Европа 2020“[6].

В член 16, параграф 1 от Договора за функционирането на Европейския съюз, въведен с Договора от Лисабон, се постановява принципът, че всеки има право на защита на личните данни, свързани с него. Освен това с член 16, параграф 2 от ДФЕС Договорът от Лисабон въвежда специално правно основание за приемането на разпоредби относно защитата на личните данни. В член 8 от Хартата на основните права на ЕС защитата на личните данни е залегнала като основно право.

Европейският съвет прикани Комисията да извърши оценка на функционирането на инструментите на ЕС за защита на данните и да представи, където е необходимо, допълнителни законодателни или незаконодателни инициативи[7]. В резолюцията си относно Стокхолмската програма Европейският парламент[8] приветства създаването на цялостен режим за защита на данните в ЕС и призова, между другото, за преразглеждане на рамковото решение. В своя План за действие за изпълнение на Стокхолмската програма[9] Комисията подчерта необходимостта да се гарантира, че основното право на защита на личните данни се прилага по съгласуван начин в контекста на всички политики на ЕС.

В своето съобщение „Всеобхватен подход за защита на личните данни в Европейския съюз“[10], Комисията достигна до заключението, че ЕС се нуждае от по-цялостна и съгласувана политика относно основното право на защита на личните данни.

Настоящата рамка остава стабилна, що се отнася до нейните цели и принципи, но тя не предотврати фрагментарния начин, по който се осъществява защитата на личните данни в Съюза, нито правната несигурност и широко разпространеното обществено схващане, че съществуват значителни рискове, свързани именно с дейностите онлайн[11]. Ето защо е време да бъде създадена по-солидна и по-съгласувана рамка за защита на данните в ЕС, подкрепена от стабилни мерки за правоприлагане, които ще позволят на цифровата икономика да се развива на вътрешния пазар, на лицата да контролират своите собствени данни и ще дадат възможност да бъде подсилена правната и практическата сигурност на икономическите оператори и публичните органи.

2. РЕЗУЛТАТИ ОТ КОНСУЛТАЦИИТЕ СЪС ЗАИНТЕРЕСОВАНИТЕ СТРАНИ И ОЦЕНКА НА ВЪЗДЕЙСТВИЕТО

Настоящата инициатива е резултат от обширни консултации с всички основни заинтересовани страни относно прегледа на настоящата правна рамка за защита на личните данни, които продължиха повече от две години и включваха конференция на високо равнище, проведена през май 2009 г.[12], и обществени консултации в две фази:

– от 9 юли до 31 декември 2009 г. — Консултация относно правната рамка за основното право на защита на личните данни. Комисията получи 168 отговора — 127 от физически лица, стопански организации и сдружения и 12 от публични органи[13].

– от 4 ноември 2010 г. до 15 януари 2011 г. — Консултация относно всеобхватния подход на Комисията за защита на личните данни в Европейския съюз. Комисията получи 305 отговора, от които 54 от граждани, 31 — от публични органи и 220 — от частни организации, по-специално стопански сдружения и неправителствени организации[14].

Целенасочени консултации бяха проведени също с основни заинтересовани страни. През юни и юли 2010 г. бяха организирани специални мероприятия с органите на държавите-членки и със заинтересовани страни от частния сектор, както и с организации за защита на неприкосновеността на личния живот и за защита на данните и организации на потребителите[15]. През ноември 2010 г. заместник-председателят на Европейската комисия Рединг организира кръгла маса относно реформата в областта на защитата на данните. На 28 януари 2011 г. (Деня за защита на данните) Европейската комисия и Съветът на Европа организираха съвместно конференция на високо равнище, за да обсъдят въпроси, свързани с реформата на правната рамка на ЕС, както и необходимостта от общи стандарти за защита на данните в световен мащаб[16]. Две конференции, посветени на защитата на данните, бяха проведени от унгарското и полското председателство на Съвета съответно на 16—17 юни 2011 г. и на 21 септември 2011 г.

През 2011 г. бяха проведени и допълнителни специализирани работни срещи и семинари по конкретни въпроси. През януари Европейската агенция за мрежова и информационна сигурност (ENISA)[17] организира работен семинар относно уведомленията при нарушения на сигурността на данните в Европа[18]. През февруари Комисията проведе работен семинар с органите на държавите-членки, за да обсъди въпросите, свързани със защитата на данните в областта на полицейското сътрудничество и съдебното сътрудничество по наказателноправни въпроси, включително изпълнението на рамковото решение, а Агенцията за основните права проведе среща за консултация със заинтересовани страни на тема „Защитата на данните и неприкосновеността на личния живот“. Обсъждане на ключови въпроси, свързани с реформата, беше проведено на 13 юли 2011 г. с националните органи по защита на данните. Допитване до гражданите на ЕС беше направено чрез проучване на Евробарометър, проведено в периода ноември—декември 2010 г[19]. Бяха започнати също и редица проучвания[20]. Работната група по член 29[21] представи няколко становища и полезна информация на Комисията[22]. Европейският надзорен орган по защита на данните издаде също всеобхватно становище по въпросите, повдигнати в съобщението на Комисията от ноември 2010 г[23].

Европейският парламент одобри със своята резолюция от 6 юли 2011 г. доклад, в който се подкрепя подходът на Комисията към реформирането на рамката за защита на данните[24]. На 24 февруари 2011 г. Съветът на Европейския съюз прие заключения, в които широко подкрепя намерението на Комисията да реформира рамката за защита на данните и дава съгласието си с много елементи от подхода на Комисията. По същия начин Европейският икономически и социален комитет подкрепи стремежа на Комисията да гарантира по-съгласувано прилагане на разпоредбите на ЕС за защита на данните[25] във всички държави-членки и подходящо преразглеждане на Директива 95/46/ЕО[26].

По време на консултациите относно всеобхватния подход голяма част от заинтересованите страни се съгласиха, че общите принципи остават валидни, но е необходимо да се адаптира настоящата рамка, за да отговоря по-добре на предизвикателствата, породени от бързото развитие на нови технологии (особено на онлайн технологиите) и нарастващата глобализация, като същевременно се запази технологичната неутралност на правната рамка. Сериозни критики бяха отправени по отношение на настоящата фрагментарност на защитата на личните данни в Съюза, по-специално от стопанските заинтересовани страни, които поискаха повишаване на правната сигурност и хармонизиране на правилата за защита на личните данни. Сложността на разпоредбите за международно предаване на лични данни се счита за съществена пречка за техните операции, тъй като те редовно трябва да предават лични данни от ЕС до други части на света.

В съответствие със своята политика за „по-добро регулиране“ Комисията извърши оценка на въздействието на вариантите за политика. Оценката на въздействието беше основана на трите цели на политиката: подобряване на свързаното с вътрешния пазар измерение на защитата на данните, повишаване на ефективността на упражняването на правата на защита на данните от физическите лица и създаване на цялостна и съгласувана рамка, която обхваща всички области на компетентност на Съюза, включително полицейското сътрудничество и съдебното сътрудничество по наказателноправни въпроси. Оценени бяха три варианта за политика с различна степен на намеса: първият вариант се състои от минимални законодателни изменения и използване на тълкувателни съобщения и мерки за подкрепа на политиката като програми за финансиране и технически инструменти; вторият обхваща набор от законодателни разпоредби, насочени към всеки от установените в анализа проблеми, а третият представлява централизация на защитата на данните на равнище ЕС чрез прецизни и подробни правила за всички сектори и създаване на агенция на ЕС за наблюдение и прилагане на разпоредбите.

В съответствие с установената методология на Комисията всеки от вариантите за политика беше оценен с участието на Междуведомствена ръководна група по отношение на неговата ефективност за постигането на целите на политиката, неговото икономическо въздействие върху заинтересованите страни (включително върху бюджета на институциите на ЕС), неговото социално въздействие и неговия ефект върху основните права. Не беше установено въздействие върху околната среда. Анализът на цялостното въздействие доведе до разработване на предпочетения вариант за политика, включен в настоящото предложение, който се основава на втория вариант с няколко елемента от другите два варианта. Според оценката на въздействието неговото изпълнение ще доведе, inter alia, до значителни подобрения по отношение на правната сигурност за администраторите на лични данни и за гражданите, до намаляване на административната тежест, съгласуваност на правоприлагането в областта на защитата на данните в Съюза, ефективна възможност за физическите лица да упражняват своите права на защита на личните им данни в рамките на ЕС и ефективност на надзора и правоприлагането на защитата на данни. Изпълнението на предпочетените варианти на политика се очаква също така да допринесе за постигането на целта на Комисията за опростяване и намаляване на административната тежест и към целите на Програмата в областта на цифровите технологии за Европа, Стокхолмския план за действие и стратегията „Европа 2020“.

На 9 септември 2011 г. Комитетът за оценка на въздействието (КОВ) изрази становище относно проекта на оценката на въздействието. След излизането на становището на КОВ бяха направени следните промени в оценката на въздействието:

– бяха пояснени целите на съществуващата правна рамка (степента, до която те са постигнати и до която не са), както и целите на предвидената реформа;

– бяха добавени повече данни и допълнителни обяснения/пояснения към раздела за определяне на проблемите;

– беше добавен раздел относно пропорционалността;

– всички изчисления и оценки, свързани с административната тежест в базовия сценарий и в предпочетения вариант бяха изцяло преразгледани и ревизирани и беше изяснена връзката между разходите за уведомленията и общите разходи, свързани с фрагментарността (включително приложение 10);

– въздействието върху микропредприятията и малките и средните предприятия, по-специално по отношение на длъжностните лица по защита на данните и оценките на въздействието върху защитата на данните бяха по-добре определени.

Докладът за оценката на въздействието и обобщението са публикувани с предложенията.

3. ПРАВНИ ЕЛЕМЕНТИ НА ПРЕДЛОЖЕНИЕТО 3.1. Правно основание

Настоящото предложение се основава на член 16 от ДФЕС, който е новото правно основание за приемане на разпоредби в областта на защитата на данните, въведено с Договора от Лисабон. В посочения член се предвижда приемането на разпоредби за защита на физическите лица във връзка с обработването на лични данни от държавите-членки при изпълнение на техните дейности, които попадат в приложното поле на правото на Съюза. Той предвижда също така приемането на разпоредби, свързани със свободното движение на лични данни, включително лични данни, обработвани от държавите-членки или от частни страни.

Регламентът се счита за най-подходящия правен инструмент, който да определи рамката за защитата на личните данни в Съюза. Пряката приложимост на регламента в съответствие с член 288 от ДФЕС ще намали правната фрагментарност и ще осигури по-голяма правна сигурност чрез въвеждането на хармонизиран набор от основни правила, с които ще се подобрят защитата на основните права на физическите лица и функционирането на вътрешния пазар.

Позоваването на член 114, параграф 1 от ДФЕС е необходимо само за изменянето на Директива 2002/58/ЕО в такава степен, че директивата да защитата легитимните интереси на абонатите, които са юридически лица.

3.2. Субсидиарност и пропорционалност

Съгласно принципа на субсидиарност (член 5, параграф 3 от ДЕС) действия на равнището на Съюза се предприемат само в случай и доколкото предвидените цели не могат да бъдат постигнати в достатъчна степен от държавите-членки, но могат поради обхвата или последиците от предвиденото действие да бъдат по-добре постигнати от Съюза. Предвид очертаните по-горе проблеми, анализът на субсидиарността показва необходимостта от действие на равнище ЕС въз основа на следното:

– правото на защита на личните данни, залегнало в член 8 от Хартата на основните права, изисква еднакво ниво на защита на данните в целия Съюз. Липсата на общи правила на ЕС би създала риск от наличието на различни нива на защита в държавите-членки и би създала ограничения на трансграничните потоци от лични данни между държавите-членки с различни стандарти.

– Личните данни се предават през националните граници, както вътрешните, така и външните граници, с увеличаващи се темпове. Освен това съществуват практически предизвикателства пред прилагането на законодателството за защита на данните и необходимост от сътрудничество между държавите-членки и техните органи, които трябва да бъдат организирани на равнище ЕС, за да се гарантира единство на прилагането на правото на Съюза. ЕС е също така в най-добра позиция да гарантира ефективно и съгласувано еднакво ниво на защита за физическите лица, когато техните лични данни се предават на трети държави.

– Държавите-членки не могат сами да ограничат проблемите в сегашната ситуация, особено онези, които се дължат на фрагментарността в националните законодателства. Ето защо има особена нужда да се установи хармонизирана и съгласувана рамка, която позволява безпрепятственото предаване на лични данни през границите в рамките на ЕС, като същевременно се гарантира ефективна защита за всички физически лица на територията на ЕС.

– Предложените законодателни действия на равнище ЕС ще бъдат по-ефективни от подобни действия на равнище държави-членки поради естеството и мащаба на проблемите, които не са ограничени до равнището на една или няколко държави-членки.

Принципът на пропорционалност изисква всяка намеса да бъде целенасочена и да не надхвърля необходимото за постигане на целите. Процесът на изготвяне на настоящото предложение бе ръководен от този принцип от идентифицирането и оценката на алтернативните варианти за политика до изготвянето на законодателното предложение.

3.3. Обобщение на въпросите, свързани с основните права

Правото на защита на личните данни е установено в член 8 от Хартата и член 16 от ДФЕС, както и в член 8 от Европейската конвенция за защита на правата на човека и основните свободи (ЕКПЧ). Както е подчертано от Съда на Европейския съюз[27], правото на защита на личните данни не е абсолютно право, а трябва да се разглежда във връзка с неговата функция в обществото[28]. Защитата на данните е тясно свързана със зачитането на личния и семейния живот, защитен с член 7 на Хартата. Това е отразено в член 1, параграф 1 от Директива 95/46/ЕО, където се предвижда държавите-членки да защитават основните права и свободи на физическите лица, и в частност правото им на личен живот при обработването на лични данни.

Други потенциално засегнати основни права, залегнали в Хартата, са следните: свободата на изразяване (член 11 от Хартата); свободата на стопанска инициатива (член 16); правото на собственост и по-специално защитата на интелектуалната собственост (член 17, параграф 2); забраната на всякаква форма на дискриминация въз основа, между другото, на раса, етнически произход, генетични характеристики, религия или убеждения, политически или други мнения, увреждане или сексуална ориентация (член 21); правата на детето (член 24); правото на висока степен на закрила на здравето (член 35); правото на достъп до документи (член 42); и правото на ефективни правни средства за защита и на справедлив съдебен процес (член 47).

3.4. Подробно обяснение на предложението 3.4.1. ГЛАВА I — ОБЩИ РАЗПОРЕДБИ

В член 1 се определя предметът на регламента и, както в член 1 от Директива 95/46/ЕО, двете цели на регламента.

В член 2 се определя материалното приложно поле на регламента.

В член 3 се определя териториалното приложно поле на регламента.

Член 4 съдържа определенията на термините, използвани в регламента. Докато някои определения са заети от Директива 95/46/ЕО, други са изменени, допълнени с добавени елементи или нововъведени („нарушение на сигурността на личните данни“ въз основа на член 2, буква и) от Директива 2002/58/EО[29] за защитата на неприкосновеността на личния живот в сектора на електронните комуникации, изменена с Директива 2009/136/ЕО[30], „генетични данни“, „биометрични данни“, „данни за здравословното състояние“, „основно място на установяване“, „представител“ „предприятие“, „група предприятия“, „задължителни фирмени правила“, определението за „дете“, което се основава на Конвенцията на Организацията на обединените нации за правата на детето[31], и определението за „надзорен орган“).

В определението за „съгласие“ е добавен критерият „изрично“, за да се избегне объркващият паралелизъм с „недвусмислено“ съгласие и за да има едно-единствено и съгласувано определение за „съгласие“, като се гарантира информираността на субекта на данни за това, че дава съгласието си и за какво го дава.

3.4.2. ГЛАВА II — ПРИНЦИПИ

В член 5 се определят принципите, отнасящи се за обработването на лични данни, които съответстват на принципите, посочени в член 6 от Директива 95/46/ЕО. Допълнителните нови елементи са по-специално принципът на прозрачност, разясняването на принципа на свеждане на данните до минимум и определянето на цялостната отговорност и задълженията на администратора.

В член 6, основан на член 7 от Директива 95/46/ЕО, се определят критериите за законосъобразно обработване, които са допълнително определени по отношение на постигането на равновесие между критерия за интерес и спазването на законовите задължения и обществения интерес.

В член 7 се разясняват условията, за да бъде съгласието валидно като правно основание за законосъобразно обработване.

В член 8 се посочват допълнителни условия за законосъобразността на обработването на лични данни на деца във връзка с услуги на информационното общество, които им се предлагат пряко.

В член 9 се определя общата забрана за обработване на специални категории лични данни и изключенията от това общо правило, с което се доразвива член 8 от Директива 95/46/ЕО.

В член 10 се пояснява, че администраторът не е задължен да придобива допълнителна информация, за да идентифицира субекта на данните единствено с цел спазване на някоя от разпоредбите на настоящия регламент.

3.4.3. ГЛАВА III — ПРАВА НА СУБЕКТА НА ДАННИ 3.4.3.1. Раздел 1 — Прозрачност и условия

В член 11 се въвежда задължението администраторите да осигуряват прозрачна, лесно достъпна и разбираема информация, обусловена по-специално от резолюцията от Мадрид относно международните стандарти за защита на личните данни и неприкосновеността на личния живот[32].

С член 12 администраторът се задължава да осигурява процедури и механизми за упражняването на правата на субектите на данни, включително средства за електронни искания, които изискват да се отговаря на искане на субект на данни в рамките на определен срок, както и да се посочват причините за отказите.

В член 13 се предвиждат права, свързани с получателите на данни, въз основа на член 12, буква в) от Директива 95/46/ЕО, като се разширяват тези права към всички получатели, включително съвместните администратори и обработващите лични данни.

3.4.3.2. Раздел 2 — Информация и достъп до данни

В член 14 се определят допълнително задълженията на администратора да предоставя информация на субекта на данни, като се доразвиват членове 10 и 11 от Директива 95/46/ЕО, включително да предоставя допълнителна информация на субекта на данни относно срока на съхранение и правото да подава жалба, както и относно международното предаване на данни и източника на данните. Запазват се също възможните дерогации от Директива 95/46/ЕО, например липсата на подобно задължение, ако записването или разкриването са изрично предвидени със закон. Това може да се прилага при производства на компетентните органи, данъчните или митническите власти или службите за социална сигурност.

В член 15 се урежда правото на достъп на субекта на данни до неговите лични данни, като се доразвива член 12, буква а) от Директива 95/46/ЕО и се добавят нови елементи като например предоставянето на информация на субектите на данни относно срока на съхранение, правото им на коригиране, заличаване и подаване на жалба.

3.4.3.3. Раздел 3 — Коригиране и заличаване

В член 16 се определя правото на субекта на данни на коригиране на данните въз основа на член 12, буква б) от Директива 95/46/ЕО.

В член 17 се предвижда правото на субекта на данни „да бъде забравен“ и правото му на заличаване на данните. В този член допълнително се развива и определя правото на заличаване, предвидено в член 12, буква б) от Директива 95/46/ЕО, и се предвиждат условията за упражняване на правото „да бъдеш забравен“, включително задължението на администратора, който публично е обявил данните, да уведоми третите страни за искането на субекта на данните да се заличат всякакви връзки или копия или реплики на тези лични данни. Той включва също правото на ограничаване на обработването в определени случаи, като се избягва двусмисленият термин „блокиране“.

В член 18 се въвежда правото на субекта на данни на преносимост на данните, т.е. да предава данните си от една електронна система за обработване на данни в друга, без да бъде възпрепятстван от администратора. Като предварително условие и с цел да се подобри допълнително достъпът на физическите лица до техните лични данни, в посочения член се предвижда правото на субекта на данни да получава тези данни от администратора в структуриран и широко използван електронен формат.

3.4.3.4. Раздел 4 — Право на възражение и профилиране

В член 19 се предвижда правото на субекта на данни на възражение. Той се основава на член 14 от Директива 95/46/ЕО с някои изменения, включително по отношение на тежестта на доказване и нейното прилагане за директния маркетинг.

Член 20 се отнася до правото на субекта на данни да не подлежи на мярка, основана на профилиране. Той доразвива с някои изменения и допълнителни гаранции член 15, параграф 1 от Директива 95/46 относно автоматизираните индивидуални решения и се взема предвид препоръката на Съвета на Европа относно профилирането[33].

3.4.3.5. Раздел 5 — Ограничения

В член 21 се разяснява правомощието на Съюза или на държавите-членки да запазват или въвеждат ограничения на принципите, установени в член 5, и на правата на субекта на данни, установени в членове 11—20 и в член 32. Тази разпоредба се основава на член 13 от Директива 95/46/ЕО и на изискванията, произтичащи от Хартата на основните права и Европейската конвенция за защита на правата на човека и основните свободи, съгласно тълкуванието на Съда на ЕС и на Европейския съд по правата на човека.

3.4.4. ГЛАВА IV — АДМИНИСТРАТОР И ОБРАБОТВАЩ ЛИЧНИ ДАННИ 3.4.4.1. Раздел 1 — Общи задължения

В член 22 се взема предвид дискусията относно „принципа на отчетност“ и се описва подробно задължението за отговорност на администратора да спазва разпоредбите на настоящия регламент и да доказва тяхното спазване, включително като приема вътрешни политики и механизми, за да гарантира спазването им.

В член 23 се определят задълженията на администратора, произтичащи от принципите на защита на данните още при проектирането и по подразбиране.

В член 24 относно съвместните администратори се разясняват отговорностите на съвместните администратори предвид на техните вътрешни отношения и спрямо субекта на данни.

С член 25 администраторите, които не са установени в Съюза, се задължават да определят свой представител в Съюза, когато настоящият регламент се прилага за дейностите им по обработване на данни.

В член 26 се разясняват позицията и задълженията на обработващите лични данни, отчасти въз основа на член 17, параграф 2 от Директива 95/46/ЕО, като се добавят нови елементи, включително това, че обработващият лични данни, който обработва данни извън указанията на администратора, следва да се счита за съвместен администратор.

Член 27 относно обработването под ръководството на администратора и обработващия лични данни се основава на член 16 от Директива 95/46/ЕО.

С член 28 се въвежда задължение за администраторите на данни и обработващите лични данни да поддържат документация за операциите по обработване, за които носят отговорност, вместо да подават общо уведомление до надзорния орган, изисквано по член 18, параграф 1 и член 19 от Директива 95/46/ЕО.

В член 29 се разясняват задълженията на администратора и на обработващия лични данни за сътрудничество с надзорния орган.

3.4.4.2. Раздел 2 — Сигурност на данните

С член 30 администраторът и обработващият лични данни се задължават да предприемат подходящи мерки за сигурността на обработването въз основа на член 17, параграф 1 от Директива 95/46/ЕО, като това задължение се разширява към обработващите лични данни, независимо от договора с администратора.

С членове 31 и 32 се въвежда задължение за уведомяване при нарушение на сигурността на личните данни, като се доразвиват разпоредбите за уведомяване при нарушение на сигурността на личните данни на член 4, параграф 3 от Директива 2002/58/EО за защитата на неприкосновеността на личния живот в сектора на електронните комуникации.

3.4.4.3. Раздел 3 — Оценка на въздействието върху защитата на данните и предварително разрешение

В член 33 се въвежда задължението администраторите и обработващите лични данни да извършват оценка на въздействието върху защитата на данните преди предприемането на рискови операции по обработване.

Член 34 се отнася за случаите, при които разрешението от надзорния орган и консултацията с него са задължителни преди обработването, като се доразвива понятието „предварителна проверка“ в член 20 от Директива 95/46/ЕО.

3.4.4.4. Раздел 4 — Длъжностно лице по защита на данните

С член 35 се въвежда задължението да се назначава длъжностно лице по защита на данните за публичния сектор и за големите предприятия в частния сектор или в случаите, когато основните дейности на администратора или обработващия лични данни се състоят от операции по обработване, които изискват редовно и систематично наблюдение. Това доразвива разпоредбите на член 18, параграф 2 от Директива 95/46/ЕО, в който е предвидена възможността държавите-членки да въведат такова изискване като заместител на изискването за общо уведомление.

В член 36 се определя длъжността на длъжностното лице по защита на данните.

В член 37 се посочват основните задачи на длъжностното лице по защита на данните.

3.4.4.5. Раздел 5 — Кодекси за поведение и сертифициране

Член 38 се отнася до кодексите за поведение, като се доразвива концепцията в член 27, параграф 1 от Директива 95/46/ЕО, разяснява се съдържанието на кодексите и процедурите и се дават правомощия на Комисията да решава относно общата валидност на кодексите за поведение.

С член 39 се въвежда възможността за създаване на механизми за сертифициране и на печати и маркировки за защита на данните.

3.4.5. ГЛАВА V — ПРЕДАВАНЕ НА ЛИЧНИ ДАННИ НА ТРЕТИ ДЪРЖАВИ ИЛИ МЕЖДУНАРОДНИ ОРГАНИЗАЦИИ

Член 40 постановява като общо принцип, че спазването на задълженията по посочената глава е задължително за всяко предаване на лични данни на трети държави или международни организации, включително последващо предаване.

В член 41 се определят критериите, условията и процедурите за приемане от страна на Комисията на решение относно адекватността въз основа на член 25 от Директива 95/46/ЕО. Критериите, които Комисията взема предвид при оценяването на адекватността или неадекватността на нивото за защита, изрично включват принципите на правовата държава, съдебната защита и независимия надзор. Този член сега изрично потвърждава възможността Комисията да оценява нивото на защита, осигурено от дадена територия или обработващ сектор в дадена трета държава.

В член 42 се изисква при предаването на данни на трети държави, когато не е прието решение относно адекватността от страна на Комисията, да се предоставят подходящи гаранции, по-специално стандартни клаузи за защита на данните, задължителни фирмени правила и договорни клаузи. Възможността да се използват стандартните клаузи за защита на данните на Комисията се основава на член 26, параграф 4 от Директива 95/46/ЕО. Като нов компонент тези стандартни клаузи за защита на данните сега също могат да се приемат от надзорния орган и да се обявяват за общовалидни от Комисията. Задължителните фирмени правила сега се упоменават конкретно в правния текст. Вариантът с договорните клаузи дава известна гъвкавост на администратора или обработващия лични данни, но подлежи на предварително разрешение от надзорните органи.

В член 43 се описват по-подробно условията за предаване на данни съгласно задължителни фирмени правила, основани на настоящите практики и изисквания на надзорните органи.

В член 44 се определят и разясняват дерогациите за предаването на данни въз основа на съществуващите разпоредби на член 26 от Директива 95/46/ЕО. Те се прилагат по-специално за предаването на данни, което се изисква и е необходимо за защитата на важно основание от обществен интерес, например при международно предаване на данни между органи по защита на конкуренцията, данъчни или митнически власти или между служби по социална сигурност или служби по управление на рибарството. Освен това, предаването на данни при ограничени обстоятелства може да бъде обосновано от законен интерес на администратора или на обработващия лични данни, но само след като той е оценил и документирал обстоятелствата на съответната операция по предаване.

В член 45 изрично се предвиждат механизми за международно сътрудничество за защитата на личните данни между Комисията и надзорните органи на трети държави, по-специално онези, за които се счита, че предлагат адекватно ниво на защита, като се взема предвид препоръката на Организацията за икономическо сътрудничество и развитие (ОИСР) относно трансграничното сътрудничество при прилагането на законите за защита на неприкосновеността на личния живот от 12 юни 2007 г.

3.4.6. ГЛАВА VI — НЕЗАВИСИМИ НАДЗОРНИ ОРГАНИ 3.4.6.1. Раздел 1 — Независим статут

С член 46 държавите-членки се задължават да създадат надзорни органи на основание член 28, параграф 1 от Директива 95/46/ЕО и да разширят техните правомощия за сътрудничество помежду им и с Комисията.

В член 47 се разясняват условията за независимостта на надзорните органи, като се прилага съдебната практика на Съда на Европейския съюз[34], обусловени също от член 44 от Регламент (ЕО) № 45/2001[35].

В член 48 са посочени общите условия за членовете на надзорния орган, като се прилага съответната съдебна практика[36], обусловени също от член 42, параграфи 2—6 от Регламент (ЕО) № 45/2001.

В член 49 се определят правилата за създаване на надзорния орган, които трябва да се предвидят със закон от държавите-членки.

Член 50, в който се постановява професионалната тайна на членовете и персонала на надзорния орган, се основава на член 28, параграф 7 от Директива 95/46/ЕО.

3.4.6.2. Раздел 2 — Задължения и правомощия

В член 51 се определя компетентността на надзорните органи. Общото правило, въз основа на член 28, параграф 6 от Директива 95/46/ЕО (компетентност на територията на собствената държава-членка), се допълва с новата компетентност като водещ орган, в случай че администраторът или обработващият лични данни е установен в няколко държави-членки, за да се гарантира единство на прилагането (,,обслужване на едно гише“). Съдилищата, когато действат в качеството си на правораздавателни органи, са освободени от наблюдението на надзорния орган, но не и от прилагането на материалните разпоредби относно защитата на данните.

В член 52 се посочват задълженията на надзорния орган, които включват изслушване и разследване на жалби и насърчаване на обществената информираност относно рисковете, правилата, гаранциите и правата.

В член 53 са посочени правомощията на надзорния орган, като отчасти се доразвиват разпоредбите на член 28, параграф 3 от Директива 95/46/ЕО и член 47 от Регламент (ЕО) № 45/2001, и се добавят някои нови елементи, включително правомощието за санкциониране на административни нарушения.

С член 54 надзорните органи се задължават да изготвят годишни доклади за дейността въз основа на член 28, параграф 5 от Директива 95/46/ЕО.

3.4.7. ГЛАВА VII — СЪТРУДНИЧЕСТВО И СЪГЛАСУВАНОСТ 3.4.7.1. Раздел 1 — Сътрудничество

С член 55 се въвеждат изрични правила относно задължителната взаимопомощ, включително последствията при несъобразяване с исканията на друг надзорен орган, като се доразвиват разпоредбите на член 28, параграф 6, втора алинея от Директива 95/46/ЕО.

С член 56 се въвеждат разпоредби относно съвместните операции, основани на член 17 от Решение 2008/615/ПВР[37] на Съвета, включително правото на надзорните органи да участват в такива операции.

3.4.7.2. Раздел 2 — Съгласуваност

С член 57 се въвежда механизъм за съгласуваност, който да гарантира единството на прилагането по отношение на операциите по обработване, които могат да засегнат субекти на данни в няколко държави-членки.

В член 58 се установяват процедурите и условията за изготвяне на становище на Европейския комитет по защита на данните.

Член 59 се отнася за становищата на Комисията по въпроси, решавани в рамките на механизма за съгласуваност, чрез които може да бъде утвърдено становището на Европейския комитет по защита на данните или да бъде изразена друга гледна точка по отношение на неговото становище и проектомярката на надзорния орган. Когато въпросът се повдига от Европейския комитет по защита на данните съгласно член 58, параграф 3, може да се очаква Комисията да упражни правото си на преценка и да излезе със становище, когато е необходимо.

Член 60 се отнася до решенията на Комисията, които изискват от компетентния орган временно да преустанови проектомярката си, когато това е необходимо, за да се гарантира правилното прилагане на настоящия регламент.

В член 61 се предвижда възможност за приемане на временни мерки чрез процедура по спешност.

В член 62 се определят изискванията за актовете за изпълнение на Комисията в рамките на механизма за съгласуваност.

В член 63 се предвижда задължението за прилагане на мерките на даден надзорен орган във всички засегнати държави-членки и се посочва, че прилагането на механизма за съгласуваност е предварително условие за юридическата сила и прилагането на съответната мярка.

3.4.7.3. Раздел 3 — Европейски комитет по защита на данните

С член 64 се създава Европейският комитет по защита на данните, който е съставен от ръководителите на надзорния орган на всяка държава-членка и на Европейския надзорен орган по защита на данните. Европейският комитет по защита на данните заменя Работната група за защита на лицата при обработването на лични данни, създадена по силата на член 29 от Директива 95/46/ЕО. Разяснява се, че Комисията не е член на Европейския комитет по защита на данните, но има право да участва в дейностите и да бъде представлявана.

В член 65 се подчертава и разяснява независимостта на Европейския комитет по защита на данните.

В член 66 се описват задачите на Европейския комитет по защита на данните въз основа на член 30, параграф 1 от Директива 95/46/ЕО и се предвиждат допълнителни елементи, които отразяват нарасналия обхват на дейностите на Европейския комитет по защита на данните в рамките на Съюза и извън него. В този член на Комисията се дава възможност да потърси становище в рамките на определен срок, за да бъде тя в състояние да реагира при спешни ситуации.

В член 67 Европейският комитет по защита на данните се задължава да изготвя годишни доклади за дейността си въз основа на член 30, параграф 6 от Директива 95/46/ЕО.

В член 68 се определят процедурите на Европейския комитет по защита на данните за вземане на решения, както и задължението да приеме процедурен правилник, в който следва да бъдат уредени и оперативните разпоредби.

В член 69 се съдържат разпоредбите относно председателя и заместник-председателите Европейския комитет по защита на данните.

В член 70 се определят задачите на председателя.

В член 71 се постановява, че секретариатът на Европейския комитет по защита на данните се осигурява от Европейския надзорен орган по защита на данните и се определят задачите на този секретариат.

В член 72 се установяват разпоредбите относно поверителността.

3.4.8. ГЛАВА VIII — СРЕДСТВА ЗА СЪДЕБНА ЗАЩИТА, ОТГОВОРНОСТ И САНКЦИИ

В член 73 се урежда правото на всеки субект на данни да подава жалба до надзорния орган въз основа на член 28, параграф 4 от Директива 95/46/ЕО. В него се посочват също структурите, организациите или сдруженията, които имат право да подават жалби от името на субекта на данни или, в случай на нарушение на сигурността на личните данни, независимо от жалба на субект на данни.

Член 74 се отнася до правото на средства за съдебна защита срещу надзорен орган. Този член доразвива общите разпоредби на член 28, параграф 3 от Директива 95/46/ЕО. В него се уреждат конкретно средствата за съдебна защита, като се задължава надзорният орган да предприеме действия по дадена жалба и се пояснява компетентността на съдилищата на държавата-членка, в която е установен надзорният орган. В члена се предвижда също възможността надзорният орган на държавата-членка по местоживеене на субекта на данни да може да завежда от негово име дело пред съда в друга държава-членка, в която е установен надзорният орган.

Член 75 се отнася до правото на средства за съдебна защита срещу администратор или обработващ лични данни, като се доразвиват разпоредбите на член 22 от Директива 95/46/ЕО и се дава възможност за избор на ищеца да предяви съдебен иск в държавата-членка, където е установен ответникът или където живее субектът на данни. Когато производства относно един и същи въпрос се разглеждат в рамките на механизма за съгласуваност, съдът може временно да преустанови заведените пред него производства, освен в случаите на спешност.

В член 76 се определят общите правила за съдебните производства, включително правата на органите, организациите или сдруженията да представляват субектите на данни пред съдилищата, правото на надзорните органи да участват в съдебни производства, информирането на съдилищата относно паралелни производства в друга държава-членка, както и възможността за съдилищата в такъв случай временно да преустановяват производствата[38]. Държавите-членки имат задължението да осигурят бързи съдебни производства[39].

В член 77 се установяват правото на обезщетение и отговорността за причинени вреди. Той доразвива разпоредбите на член 23 от Директива 95/46/ЕО, разширява правото на обезщетение при щети, нанесени от обработващи лични данни и разяснява отговорността на съвместните администратори и съвместните обработващи лични данни.

С член 78 държавите-членки се задължават да определят правила за санкциите, да санкционират нарушенията на регламента и да гарантират тяхното изпълнение.

С член 79 всеки надзорен орган се задължава да санкционира административните нарушения, посочени в списъците в настоящата разпоредба, като налага глоби в рамките на определен максимален размер в зависимост от обстоятелствата на всеки отделен случай.

3.4.9. ГЛАВА IX ― РАЗПОРЕДБИ, СВЪРЗАНИ С ОСОБЕНИ СИТУАЦИИ НА ОБРАБОТВАНЕ НА ДАННИ

С член 80 държавите-членки се задължават да приемат изключения и дерогации от специалните разпоредби на регламента, когато това е необходимо, за да се съгласува правото на защита на личните данни с правото на свобода на изразяване. Той се основава на член 9 от Директива 95/46/ЕО съгласно тълкуването на Съда на ЕС[40].

С член 81 държавите-членки се задължават, в допълнение към условията за специалните категории данни, да осигурят специални гаранции по отношение на обработването на данни за целите на здравеопазването.

В член 82 на държавите-членки се предоставя правомощието да приемат специални закони за обработването на лични данни в контекста на трудовите правоотношения.

В член 83 се определят специални условия за обработването на лични данни за исторически, статистически и научноизследователски цели.

В член 84 на държавите-членки се предоставя правомощието да приемат специални разпоредби относно достъпа на надзорните органи до лични данни и до помещения в случаите, когато администраторите са обвързани със задължения за опазване на тайна.

Член 85 дава възможност с оглед на член 17 от Договора за функционирането на Европейския съюз да продължи прилагането на съществуващите обстойни правила за защита на данните на църквите, ако те бъдат приведени в съответствие с настоящия регламент.

3.4.10. ГЛАВА X — ДЕЛЕГИРАНИ АКТОВЕ И АКТОВЕ ЗА ИЗПЪЛНЕНИЕ

Член 86 съдържа стандартните разпоредби за упражняване на делегирането съгласно член 290 от ДФЕС. Това позволява на законодателя да делегира на Комисията правомощието да приема незаконодателни актове от общ характер, които допълват или изменят определени несъществени елементи на законодателния акт (квазизаконодателни актове).

Член 87 съдържа разпоредба за процедурата на комитет, необходима за предоставяне на изпълнителни правомощия на Комисията в случаите, при които в съответствие с член 291 от ДФЕС са необходими еднакви условия за изпълнение на правно обвързващи актове на Съюза. Прилага се процедурата по разглеждане.

3.4.11. ГЛАВА XI — ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ

С член 88 се отменя Директива 95/46/ЕО.

В член 89 се изяснява връзката със и се изменя Директива 2002/58/EО за защитата на неприкосновеността на личния живот в сектора на електронните комуникации.

С член 90 Комисията се задължава да прави оценка на регламента и да представя доклади от нея.

В член 91 се определя датата на влизане в сила на регламента и преходния период по отношение на датата на неговото прилагане.

4.           ОТРАЖЕНИЕ ВЪРХУ БЮДЖЕТА

Конкретното отражение на предложението върху бюджета е свързано със задачите, възложени на Европейския надзорен орган по защита на данните, както е посочено в законодателните финансови обосновки, придружаващи настоящото предложение. Това отражение налага препрограмирането на функция 5 от финансовата перспектива.

Предложението няма финансово отражение върху оперативните разходи.

Законодателната финансова обосновка, придружаваща настоящото предложение за регламент, обхваща отражението върху бюджета както на самия регламент, така и на директивата относно защитата на данните в сферата на полицейските и съдебните дейности.

2012/0011 (COD)

Предложение за

РЕГЛАМЕНТ НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА

относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни (общ регламент относно защитата на данните)

(текст от значение за ЕИП)

ЕВРОПЕЙСКИЯТ ПАРЛАМЕНТ И СЪВЕТЪТ НА ЕВРОПЕЙСКИЯ СЪЮЗ,

като взеха предвид Договора за функционирането на Европейския съюз, и по-специално член 16, параграф 2 и член 114, параграф 1 от него,

като взеха предвид предложението на Европейската комисия,

след предаване на проекта на законодателния акт на националните парламенти,

като взеха предвид становището на Европейския икономически и социален комитет[41],

след консултация с Европейския надзорен орган по защита на данните[42],

в съответствие с обикновената законодателна процедура,

като имат предвид, че:

(1) Защитата на физическите лица във връзка с обработването на лични данни е основно право. Член 8, параграф 1 от Хартата на основните права на Европейския съюз и член 16, параграф 1 от Договора постановяват, че всеки има право на защита на личните данни, отнасящи се до него.

(2) Обработването на лични данни е предназначено да служи на хората; принципите и правилата относно защитата на физическите лица във връзка с обработването на личните им данни следва, независимо от гражданството или местопребиваването на физическите лица, да съблюдават техните основни права и свободи и по-конкретно правото на защита на личните им данни. Това следва да допринася за създаването на пространство на свобода, сигурност и правосъдие и на икономически съюз, за постигането на икономически и социален прогрес, за укрепването и сближаването на икономиките в рамките на вътрешния пазар, както и за благосъстоянието на хората.

(3) Целта на Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 г. за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни[43] е да се хармонизира защитата на основните права и свободи на физическите лица по отношение на дейностите по обработване на данни и да се гарантира свободното движение на лични данни между държавите-членки.

(4) Икономическата и социалната интеграция, произтичаща от функционирането на вътрешния пазар, доведе до съществено увеличение на трансграничните потоци от данни. Обменът на данни между икономическите и социалните, публичните и частните субекти в Съюза нарасна. Националните органи в държавите-членки са задължени от правото на Съюза да си сътрудничат и обменят лични данни, така че да са в състояние да изпълняват своите задължения или да изпълняват задачи от името на орган на друга държава-членка.

(5) Бързото технологично развитие и глобализацията изправиха защитата на личните данни пред нови предизвикателства. Забележително нарасна мащабът на обмена и събирането на данни. Технологиите позволяват на частните дружества и публичните органи да използват лични данни в безпрецедентни мащаби, за да упражняват дейността си. Хората все по-често предоставят лична информация в публичното и световното пространство. Технологиите преобразиха както икономическия, така и социалния живот, като това налага да бъде улеснено още повече свободното движение на данни в Съюза и предаването на данни до трети държави и международни организации, като същевременно се гарантира високо ниво на защита на личните данни.

(6) Тези промени изискват изграждането на стабилна и по-съгласувана рамка за защита на данните в Съюза, подкрепена от силно правоприлагане, като се има предвид значението на създаването на доверие, което ще позволи на цифровата икономика да се развива на вътрешния пазар. Физическите лица следва да имат контрол върху собствените си лични данни, а правната и практическата сигурност за физическите лица, икономическите оператори и публичните органи следва да бъдат засилени.

(7) Целите и принципите на Директива 95/46/ЕО остават стабилни, но това не предотврати фрагментарния начин, по който се осъществява защитата на данни в Съюза, нито правната несигурност и широко разпространеното обществено схващане, че съществуват значителни рискове за защитата на физическите лица, свързани именно с дейностите онлайн. Разликите в осигуреното в държавите-членки ниво на защита на правата и свободите на физическите лица, особено на правото на защита на личните данни, във връзка с обработването на лични данни, могат да възпрепятстват свободното движение на лични данни в рамките на Съюза. Поради това тези разлики може да се превърнат в препятствие за осъществяването на икономически дейности на равнището на Съюза, да наруши конкуренцията и да възпрепятства органите при изпълнението на техните отговорности съгласно правото на Съюза. Тази разлика в нивата на защита се дължи на съществуването на разлики в изпълнението и прилагането на Директива 95/46/ЕО.

(8) За да се гарантира съгласувано и високо ниво на защита на физическите лица, както и за да се премахнат препятствията пред потоците от лични данни, нивото на защита на правата и свободите на физическите лица във връзка с обработването на такива данни следва да бъде еквивалентно във всички държави-членки. Необходимо е да се гарантира съгласувано и еднакво прилагане в рамките на Съюза на правилата за защита на основните права и свободи на физическите лица във връзка с обработването на лични данни.

(9) Ефективната защита на личните данни в рамките на Съюза изисква укрепване и подробно описание на правата на субектите на данните и задълженията на онези, които обработват и определят обработването на личните данни, но също и еквивалентни правомощия за наблюдение и гарантиране на спазването на правилата за защита на личните данни, както и еквивалентни санкции за нарушителите в държавите-членки.

(10) В член 16, параграф 2 от Договора се възлага мандат на Европейския парламент и Съвета да установят правилата относно защитата на физическите лица във връзка с обработването на лични данни, както и правилата, засягащи свободното движение на лични данни.

(11) За да се гарантира съгласувано ниво на защита на физическите лица в целия Съюз и да се попречи на различията да възпрепятстват свободното движение на данни в рамките на вътрешния пазар, е необходим регламент, който да осигурява правна сигурност и прозрачност на икономическите оператори, включително на микропредприятията, малките и средните предприятия, и да предостави на физическите лица във всички държави-членки еднакви по степен законово противопоставими права за субектите на данни и задължения и отговорности за администраторите и обработващите лични данни, както и да гарантира съгласувано наблюдение на обработването на лични данни, еквивалентни санкции във всички държави-членки и ефективно сътрудничество от страна на надзорните органи на различните държави-членки. С цел да се отчете особеното положение на микропредприятията, малките и средните предприятия в регламента са включени редица дерогации. Освен това институциите и органите на Съюза, държавите-членки и техните надзорни органи се приканват да вземат предвид специфичните нужди на микропредприятията, малките и средните предприятия при прилагането на настоящия регламент. Разбирането на понятието за микропредприятия, малки и средни предприятия следва да се основава на Препоръка 2003/361/ЕО на Комисията от 6 май 2003 г. относно определението за микропредприятията, малките и средните предприятия.

(12) Защитата, осигурена с настоящия регламент, засяга физическите лица, независимо от тяхната националност или местоживеене, във връзка с обработването на лични данни. Що се отнася до обработването на данни, които засягат юридически лица, и по-специално предприятия, установени като юридически лица, включително наименованието и правната форма на юридическото лице и координатите за връзка на юридическото лице, никое лице не следва да търси защита по силата на настоящия регламент. Това следва да се прилага и когато наименованието на юридическото лице съдържа имената на едно или повече физически лица.

(13) Защитата на физическите лица следва да бъде технологично неутрална и да не зависи от използваната техника, тъй като в противен случай това би създало сериозен риск от заобикаляне на закона.            Защитата на физическите лица следва да се прилага за обработването на лични данни с автоматични средства, както и за ръчното им обработване, ако данните се съхраняват или са предназначени да се съхраняват в регистър на лични данни. Досиетата или групите от досиета, както и заглавните им страници, които не са структурирани съгласно специфични критерии, не следва да попадат в приложното поле на настоящия регламент.

(14) Настоящият регламент не урежда въпроси по отношение на защитата на основните права и свободи или свободното движение на данни, свързани с дейности, които са извън приложното поле на правото на Съюза, нито урежда обработването на лични данни от институциите, органите, службите и агенциите на Съюза, уредено с Регламент (ЕО) № 45/2001[44], нито обработването на лични данни от държавите-членки, когато извършват дейности във връзка с общата външна политика и политиката на сигурност на Съюза.

(15) Регламентът следва да не се прилага също така спрямо обработването на лични данни от физическо лице, когато тези данни са с изцяло личен или домашен характер, като например воденето на кореспонденция и поддържането на адресни указатели, и когато това обработване се извършва без никакви възмездни цели и следователно без никаква връзка с професионална или търговска дейност. Изключението не следва да се прилага също така за администратори или обработващи лични данни, които осигуряват средствата за обработване на лични данни за такива лични или домашни дейности.

(16) Защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции и свободното движение на такива данни са предмет на специален правен инструмент на равнището на Съюза. Следователно настоящият регламент не следва да се прилага спрямо дейностите по обработване на лични данни за такива цели. Обработването на данни от стана на публичните органи по силата на настоящия регламент обаче следва да бъде уредено с по-специфичен правен инструмент на равнището на Съюза (Директива ХХ/YYYY), когато данните се използват за предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции.

(17) Настоящият регламент следва да се прилага, без да се засяга прилагането на Директива 2000/31/ЕО, и по-специално разпоредбите относно междинните доставчици на услуги в членове 12—15 от посочената директива.

(18) Настоящият регламент дава възможност при прилагане на неговите разпоредби да се взема предвид принципът на публичен достъп до официални документи.

(19) Всякакъв вид обработване на лични данни в контекста на дейностите на място на установяване на администратор или на обработващ лични данни в Съюза следва да се извършва в съответствие с настоящия регламент, независимо от това дали самото обработване се извършва в рамките на Съюза или не. Установяването предполага ефективното и действителното упражняване на дейност по силата на стабилни договорености. Правната форма на тези договорености, независимо дали става въпрос за клон или дъщерно дружество с правосубектност, не е определящ фактор в това отношение.

(20) За да се гарантира, че физическите лица не са лишени от защитата, на която те имат право по силата на настоящия регламент, обработването на лични данни на субекти на данни с местоживеене в Съюза от администратор, който не е установен в Съюза, следва да подлежи на разпоредбите на настоящия регламент в случаите, когато дейностите по обработване на данни са свързани с предлагането на стоки или услуги на такива субекти на данни или с наблюдение на поведението на такива субекти на данни.

(21) С цел да се определи дали дадена дейност по обработване може да се смята за „наблюдение на поведението“ на субектите на данни следва да се установи дали физическите лица са следени в интернет посредством техники за обработване на данни, които се състоят в създаването на „профил“ на дадено физическо лице, по-специално с цел да се вземат решения относно него или да се анализират или предугаждат неговите лични предпочитания, поведение и начин на мислене.

(22) Когато националното право на дадена държава-членка се прилага по силата на международното публично право, настоящият регламент се прилага също спрямо администратор, който не е установен в Съюза, като например дипломатическа мисия на държава-членка или консулска служба.

(23) Принципите на защита на данните следва да се прилагат по отношение на всяка информация, която се отнася до идентифицирано лице или лице, което може да бъде идентифицирано. За да се определи дали може дадено лице може да бъде идентифицирано, следва да се вземат предвид всички средства, с които е вероятно да си послужи администраторът или което и да е друго лице за идентифицирането на даденото физическо лице. Принципите на защита на данните не следва да се прилагат по отношение на данни, които са анонимизирани по такъв начин, че субектът на данните да не може повече да бъде идентифициран.

(24) При използването на онлайн услуги физическите лица могат да са свързани с онлайн идентификатори, предоставени от техните устройства, приложения, инструменти и протоколи, като адресите по интернет протокол (IP адреси) или идентификаторите, наричани „бисквитки“. По този начин могат да бъдат оставени следи, които, съчетани с уникалните идентификатори и с друга информация, получена от сървърите, могат да се използват за създаването на профили на физическите лица и за тяхното идентифициране. От това следва, че идентификационните номера, данните за местоположението, онлайн идентификаторите или други специфични фактори като такива не е трябва непременно да се считат за лични данни при всички обстоятелства.

(25) Съгласие следва да се дава изрично по всеки подходящ начин, позволяващ даването на свободно изразено, конкретно и информирано указание за волята на субекта на данни въз основа на потвърждаващо действие от страна на субекта на данни, което да гарантира, че физическите лица съзнават, че дават съгласието си за обработването на личните им данни, включително чрез отбелязването с отметка в поле при посещението на уебсайт в интернет или всякакво друго указание или поведение, което ясно показва, че субектът на данни е съгласен с предложеното обработване на неговите лични данни. Мълчанието или липсата на действие следователно не следва да представлява съгласие. Съгласието следва да обхваща всички дейности по обработване, извършени за една и съща цел или цели. Ако съгласието на субекта на данни трябва да се даде след искане по електронен път, искането трябва да е ясно, сбито и да не нарушава излишно използването на услугата, за която се предвижда.

(26) Личните данни, отнасящи се до здравето, следва да обхващат по-специално всички данни, свързани със здравословното състояние на субекта на данните, информацията относно регистрацията на физическото лице за целите на предоставянето на здравно обслужване, информация за плащанията или за правото на ползване на здравно обслужване от лицето, номер, символ или характеристика, присвоени на дадено физическо лице с цел уникалното му идентифициране за здравни цели; всякаква информация за лицето, събрана в хода на предоставянето на здравно обслужване на това лице; информация, получена в резултат от изследването или прегледа на част от тялото или на телесно вещество, включително биологични проби; идентифициране на дадено лице като доставчик на здравно обслужване на физическото лице; или всякаква информация относно например заболяване, увреждане, риск от заболяване, медицинска история, клинично лечение или текущото физиологично или биомедицинско състояние на субекта на данните, независимо от източника на информация, напр. лекар или друг медицински специалист, болница, медицинско изделие или ин витро диагностично изследване.

(27) Основното място на установяване на администратор в Съюза следва да се определя съгласно обективни критерии и следва да означава ефективното и действително упражняване на управленски дейности, определящи основните решения по отношение на целите, условията и средствата за обработване на данни по силата на стабилни договорености. Този критерий не следва да зависи от това дали обработването на лични данни се извършва в действителност на това място; наличието и употребата на технически средства и технологии за обработване на лични данни или дейностите по обработване не представляват сами по себе си такова основно място на установяване и следователно не са определящи критерии за понятието „основно място на установяване“. Основното място на установяване на обработващия лични данни следва да бъде мястото, където се намира главното му управление в Съюза.

(28) Дадена група предприятия следва да обхваща контролиращо предприятие и контролираните от него предприятия, като контролиращото предприятие следва да бъде предприятие, което може да упражнява доминиращо влияние върху другите предприятия въз основа на това, че има например право на собственост или финансово участие, или въз основа на правилата за неговото управление или правомощието да прилага правила за защита на личните данни.

(29) На децата се полага специална защита на техните лични данни, тъй като те не съзнават така добре рисковете, последиците, гаранциите и своите права, свързани с обработването на лични данни. За да се определи кога едно физическо лице е дете, регламентът следва да използва определението, дадено в Конвенцията на Обединените нации за правата на детето.

(30) Всяко обработване на лични данни следва да бъде законосъобразно, добросъвестно и прозрачно по отношение на засегнатите физически лица. По-специално конкретните цели, за които се обработват данните, следва да бъдат ясни и законни и определени към момента на събирането на данните. Данните следва да бъдат подходящи, релевантни и ограничени до минимума, необходим за целите, за които данните се обработват; това налага, по-специално, да се гарантира, че събраните данни не надхвърлят необходимото и че срокът, за който данните се съхраняват, е ограничен до строг минимум. Личните данни следва да се обработват единствено ако целта на обработването не може да бъде постигната чрез други средства. Следва да бъдат предприети всички разумни мерки, за да се гарантира, че неточните лични данни се коригират или заличават. С цел да се гарантира, че срокът на съхранение на данните не е по-дълъг от необходимия, администраторът следва да установи срокове за тяхното заличаване или периодичен преглед.

(31) За да бъде обработването законосъобразно, личните данни следва да бъдат обработвани въз основа на съгласието на съответното лице или на друго законно основание, установено със закон или в настоящия регламент, или в друг закон на Съюза или на държава-членка, посочен в настоящия регламент.

(32) Когато обработването се извършва въз основа на съгласието на субекта на данни, администраторът следва да носи тежестта на доказване, че субектът на данни е дал съгласието си за операцията по обработване. По-специално в случай на писмена декларация по друг въпрос с гаранциите следва да се гарантира, че субектът на данни е информиран за това, че дава съгласието си и в каква степен го дава.

(33) За да се гарантира свободното съгласие, следва да бъде разяснено, че съгласието не дава валидно правно основание, когато лицето няма истински и свободен избор и впоследствие не е в състояние да откаже или да оттегли съгласието си, без това да доведе до вредни последици за него.

(34) Съгласието не следва да представлява валидно правно основание за обработването на лични данни, когато е налице очевидна неравнопоставеност между субекта на данни и администратора. Такъв по-специално е случаят, когато субектът на данните е в положение на зависимост от администратора, например когато работодателят обработва личните данни на свой служител в контекста на трудово правоотношение. Когато администраторът е публичен орган, може да има неравнопоставеност само при особени операции по обработване на данни, в които публичният орган може да наложи задължение по силата на своите публични правомощия и съгласието не може да се счита за свободно изразено, като се има предвид интересът на субекта на данните.

(35) Обработването на данни следва да е законосъобразно, когато то е необходимо в контекста на договор или при намерение за сключване на договор.

(36) Когато обработването се извършва в съответствие със законово задължение, наложено на администратора, или когато обработването е необходимо за изпълнението на задача от обществен интерес или при упражняване на официални правомощия, за обработването следва да има правно основание в правото на Съюза или в правото на държава-членки, което отговаря на изискванията на Хартата на основните права на Европейския съюз по отношение на ограниченията на правата и свободите. Също така законодателството на Съюза или националното законодателство следва да определи дали администраторът, изпълняващ задача от обществен интерес или упражняващ официални правомощия, следва да бъде публична администрация или друго физическо лице или юридическо лице, субект на публичното или частното право, като например професионално сдружение.

(37) Обработването на лични данни следва също да се счита за законосъобразно, когато е необходимо, за да се защити интерес от основно значение за живота на субекта на данните.

(38) Законните интереси на даден администратор могат да предоставят правно основание за обработването, при условие че интересите или основните права и свободи на съответния субект на данни нямат преимущество. За това е необходима внимателна оценка, особено когато субектът на данните е дете, като се има предвид, че на децата се полага специална защита. Субектът на данни следва да има право на възражение срещу обработването на основание своето конкретно положение и безплатно. За да се гарантира прозрачността, администраторът следва да бъде задължен изрично да информира субекта на данни относно преследваните законни интереси и относно правото на възражение, и също така да бъде задължен да документира тези законни интереси. Като се има предвид, че е задължение на законодателя да уреди със закон правното основание за обработването на данни от публичните органи, това правно основание не следва да се прилага спрямо обработването на данни от публичните органи при изпълнението на техните задачи.

(39) Обработването на данни в степен, която е строго необходима за целите на гарантирането на мрежовата и информационната сигурност, т.е. способността на дадена мрежа или информационна система да издържа, на дадено равнище на доверие, на случайни събития или неправомерни или злонамерени действия, които повлияват на наличността, автентичността, целостта и поверителността на съхраняваните или предаваните данни, както и на сигурността на свързаните услуги, предлагани или достъпни посредством тези мрежи и системи, от страна на публични органи, екипи за незабавно реагиране при компютърни инциденти, екипи за реагиране при инциденти с компютърната сигурност, доставчици на мрежи и услуги за електронни съобщения и доставчици на технологии и услуги за сигурност, представлява законен интерес на съответния администратор на данни. Това може да включва например предотвратяването на непозволен достъп до електронни съобщителни мрежи, разпространение на зловреден софтуер, спиране на атаки с цел отказване на услугите и вреди за компютрите и електронните съобщителни системи.

(40) Обработването на лични данни за други цели следва да бъде разрешено единствено когато е съвместимо с целите, за които първоначално са събрани данните, по специално когато обработването е необходимо за исторически, статистически или научноизследователски цели. Ако другата цел не е съвместима с първоначалната, за която са събрани данните, администраторът следва да получи съгласието на субекта на данните за тази допълнителна цел или следва да основе обработването на друго законно основание за законосъобразно обработване, особено когато това е предвидено в правото на Съюза или в правото на държавата-членка, което се прилага спрямо администратора. Във всеки случай, прилагането на принципите, установени с настоящия регламент, и по-специално информирането на субекта на данните относно тези други цели, следва да бъдат гарантирани.

(41) На личните данни, които по своето естество са чувствителни и уязвими по отношение на основните права или правото на неприкосновеност на личния живот, се полага специална защита. Такива данни не трябва да се обработват, освен ако субектът на данните не даде изричното си съгласие за това. Дерогации от тази забрана следва обаче да бъдат изрично предвидени по отношение на специфични нужди, по-специално когато обработването се извършва в хода на законните дейности на някои сдружения или фондации, чиято цел е да се позволи упражняването на основните свободи.

(42) Дерогации от забраната за обработване на чувствителни категории данни следва също да бъдат разрешени, ако са предвидени със закон и при спазването на подходящи гаранции за защита на личните данни и на други основни права, когато това е оправдано поради съображения от обществен интерес, и по-специално за здравни цели, включително за целите на общественото здраве, социалната закрила и управлението на здравни служби, особено с цел да се гарантира качеството и рентабилността на използваните процедури за уреждане на искове за обезщетения и услуги в системата на здравното осигуряване или за исторически, статистически и научноизследователски цели.

(43) Освен това обработването на лични данни от официални органи за постигането на цели, определени в конституционното право или в международното публично право, на официално признати религиозни сдружения се извършва по съображения от обществен интерес.

(44) Когато демократичната система в дадена държава-членка предполага по време на предизборна дейност политическите партии да събират данни за политическите възгледи на гражданите, обработването на тези данни може да бъде разрешено по съображения от обществен интерес, при условие че са предвидени подходящи гаранции.

(45) Ако обработваните от администратора данни не му позволяват да идентифицира дадено физическо лице, администраторът на данни не следва да е задължен да придобива допълнителна информация, за да идентифицира субекта на данните единствено с цел спазване на някоя от разпоредбите на настоящия регламент. В случай на искане за достъп администраторът следва да има право да поиска от субекта на данни повече информация, която да му позволи да намери личните данни, които лицето търси.

(46) Принципът на прозрачност изисква всяка информация както за обществеността, така и за субекта на данни, да бъде лесно достъпна и разбираема и да се използват ясни и недвусмислени формулировки. Това важи в особена степен за ситуации, като например онлайн рекламите, където увеличеният брой участници и технологичната сложност на тази практика трудно позволяват на субекта на данни да знае и да разбира дали се събират свързани с него лични данни, от кого и с каква цел. Като се има предвид, че на децата се полага специална защита, когато обработването е насочено специално към дете, всяка информация и комуникация следва да се предоставя с такива ясни и недвусмислени формулировки, които да бъдат лесноразбираеми за детето.

(47) Следва да бъдат осигурени условия за улесняване на упражняването на правата на субектите на данни, предоставени с настоящия регламент, включително механизми за безплатно искане на достъп до данни, коригиране, заличаване и упражняване на правото на възражение. Администраторът следва да бъде задължен да отговори на исканията на субекта на данни в рамките на фиксиран срок и да посочи причините, в случай че не изпълни искането на субекта на данни.

(48) Принципите на добросъвестно и прозрачно обработване изискват субектът на данни да бъде информиран, по-специално за наличието на операция по обработване и нейната цел, продължителността на съхранение на данните, наличието на право на достъп, коригиране или заличаване и на правото да се подават жалби. Когато от субекта на данни се събират данни, той следва да бъде информиран и относно това дали е задължен да предостави данните и относно последствията, ако не предостави тези данни.

(49) Информацията за обработването на лични данни, свързани със субекта на данните, следва да му се предоставя в момента на събирането или, когато данните не са събрани от субекта на данните, в рамките на разумен срок, в зависимост от обстоятелствата в конкретния случай. В случаите, когато данните могат да бъдат законно разкрити на друг получател, субектът на данните следва да бъде информиран, когато данните се разкриват за първи път на получателя.

(50) Не е необходимо обаче да се налага такова задължение, когато субектът на данни вече разполага с тази информация, когато записването или разкриването на данните е изрично предвидено със закон или когато предоставянето на информация на субекта на данни се окаже невъзможно или изисква непропорционално големи усилия. Такъв би бил случаят, по-специално когато обработването на данни се извършва за исторически, статистически или научноизследователски цели; в този контекст може да бъде взет предвид броят на субектите на данните, актуалността на данните и всички приети компенсаторни мерки.

(51) Всяко лице следва да има право на достъп до събраните данни, които го засягат, и да упражнява това право лесно, за да бъде осведомено и да провери законосъобразността на обработването.    Поради това всеки субект на данни следва да има правото да е запознат и да получава информация, по-специално относно това за какви цели се обработват данните, за какъв срок, кои са получателите на данните, каква е логиката на данните, които се обработват, и какви биха могли да бъдат последствията от такова обработване, най-малкото когато става дума за създаване на профили. Това право не следва да влияе неблагоприятно върху правата и свободите на други лица, включително върху търговската тайна или интелектуалната собственост, и по-специално върху авторското право, закрилящо софтуера. Тези съображения обаче не следва да водят до отказ на всякаква информация на съответния субект на данни.

(52) Администраторът следва да използва всички разумни мерки за проверка на самоличността на субекта на данни, който иска достъп, по-специално по отношение на онлайн услугите и онлайн идентификаторите. Администраторът не следва да запазва лични данни с единствената цел да може да отговори на потенциални искания.

(53) Всяко лице следва да има право на коригиране на личните данни, свързани с него, както и правото „да бъде забравен“, когато обработването на тези данни не е в съответствие с настоящия регламент. По-специално, субектите на данни следва да имат право личните им данни да се заличават и да не бъдат обработвани повече, когато данните престанат да бъдат необходими с оглед на целите, за които са били събрани или обработвани по-друг начин, когато субектите на данните са оттеглили своето съгласие за обработването им, когато възразяват срещу обработването на лични данни, свързани с тях, или когато обработването на личните им данни по друг начин не е в съответствие с настоящия регламент. Това право е особено важно, когато субектът на данни е дал съгласието си като дете, когато не е осъзнавал напълно рисковете, свързани с обработването, и впоследствие желае да премахне такива лични данни, особено когато са в Интернет. По-нататъшното запазване на данните обаче следва да бъде позволено, когато е необходимо за исторически, статистически и научноизследователски цели, по съображения от обществен интерес в областта на общественото здраве, за упражняване на правото на свобода на изразяване, когато се изисква по закон или когато съществува причина да бъде ограничено обработването на данните вместо данните да бъдат заличени.

(54) С цел утвърждаване на „правото да бъдеш забравен“ в онлайн средата, правото на заличаване следва също да бъде разширено, така че администраторът, който е направил личните данни обществено достъпни, следва да бъде задължен да уведоми третите страни, които обработват такива данни, че субектът на данните е поискал от него заличаването на всякакви връзки към тези лични данни или на техните копия или реплики. С цел да осигури тази информация администраторът следва да предприеме всички разумни мерки, в това число технически мерки, по отношение на данните, за чието публикуване носи отговорност. Що се отнася до публикуването на лични данни от трети страни, администраторът следва да се счита за отговорен за публикуването им, когато е разрешил на третата страна това публикуване.

(55) С цел допълнително да се засилят контролът върху данните и правото на достъп, субектите на данни следва да имат право, когато личните данните се обработват с електронни средства и в структуриран и широко използван формат, да получат копие от свързаните с тях данни също в широко използван електронен формат. На субекта на данни следва също така да бъде позволено да предава данните, които е предоставил, от едно автоматизирано приложение, като например социална мрежа, на друго. Това следва да се прилага, когато субектът на данни е предоставил данните на система за автоматизирано обработване въз основа на съгласието си или при изпълнението на договор.

(56) В случаите, когато личните данни биха могли да бъдат законно обработвани за защита на жизненоважните интереси на субекта на данните или по съображения, свързани с обществен интерес, с упражняването на официални правомощия или със законните интереси на администратора, всеки субект на данни следва, при все това, да има право на възражение срещу обработването на данни, свързани с него. Администраторът носи тежестта на доказване, че неговите законни интереси имат преимущество пред интересите или основните права и свободи на субекта на данни.

(57) Когато се обработват лични данни за целите на директния маркетинг, субектът на данните следва да има право на възражение срещу такова обработване безплатно и по начин, който може лесно и ефективно да се използва.

(58) Всяко физическо лице следва да има право да не подлежи на мярка, която се основава на създаването на профил чрез автоматизирано обработване. Въпреки това такава мярка следва да бъде позволена, когато е изрично разрешена от закона, когато се извършва се в хода на сключването или изпълнението на договор или когато субектът на данни е дал съгласието си. Във всеки случай такова обработване следва да подлежи на подходящи гаранции, включително конкретното информиране на субекта на данните и правото на получаване на човешка намеса, като такава мярка не следва да се отнася за дете.

(59) Ограничения на специалните принципи и на правото на информация, достъп, коригиране и заличаване или на правото на преносимост на данните, на възражение, на мерки, основани на създаване на профили, както и уведомяването на субект на данни за нарушение на защитата на данни и на определени, свързани с това, задължения на администраторите, могат да бъдат налагани от правото на Съюза или на държава-членка, доколкото това е необходимо и пропорционално в едно демократично общество с оглед на защитата на обществената сигурност, включително защитата на живота на хората, по-специално при природни или предизвикани от човека бедствия, предотвратяването, разследването и наказателното преследване на престъпления или нарушения на етичните кодекси при регламентираните професии, други обществени интереси на Съюза или на държава-членка, и по-специално на важен икономически или финансов интерес на Съюза или на държава-членка, или за защитата на субекта на данни или на правата и свободите на други лица. Тези ограничения следва да бъдат в съответствие с изискванията, определени в Хартата за основните права на Европейския съюз и в Европейската конвенция за защита на правата на човека и основните свободи.

(60) Следва да бъдат установени цялостната отговорност и задължения на администратора за всяко обработване на лични данни, извършено от администратора или от негово име. По-специално, администраторът следва да гарантира и да бъде длъжен да докаже съответствието на всяка операция по обработване с настоящия регламент.

(61) Защитата на правата и свободите на субектите на данни във връзка с обработването на лични данни изисква предприемането на подходящи технически и организационни мерки както в момента на разработване на обработването, така и в момента на самото обработване, за да се гарантира, че са изпълнени изискванията на настоящи регламент. С цел да се гарантира и докаже съответствие с настоящия регламент администраторът следва да приеме вътрешни политики и да предприеме подходящи мерки, които отговарят по-специално на принципите за защита на данните още при проектирането и по подразбиране.

(62) Защитата на правата и свободите на субектите на данни, както и отговорността и задълженията на администраторите и обработващите лични данни, а също и по отношение на наблюдението и мерките от страна на надзорните органи, изискват ясно определяне на отговорностите съгласно настоящия регламент, включително когато администраторът определя целите, условията и средствата на обработването съвместно с други администратори или когато дадена операция по обработване се извършва от името на даден администратор.

(63) Когато даден администратор, който не е установен в Съюза, обработва лични данни на субекти на данни с местоживеене в Съюза и дейностите му по обработването са свързани с предлагането на стоки или услуги на такива субекти на данни или с наблюдението на тяхното поведение, администраторът следва да определи представител, освен ако не е установен в трета държава, която гарантира адекватно ниво на защита или е малко или средно предприятие или обществен орган или структура, или когато администраторът предлага само понякога стоки и услуги на такива субекти на данни. Представителят следва да действа от името на администратора, а надзорният орган може да се обръща към него.

(64) С цел да се определи дали даден администратор предоставя само понякога стоки и услуги на субекти на данни с местоживеене в Съюза следва да се установи дали от цялостната дейност на администратора личи, че предлагането на стоки и услуги на такива субекти на данни е вторична дейност спрямо основните му дейности.

(65) За да докаже съответствие с настоящия регламент, администраторът или обработващият лични данни следва да документира всяка операция по обработване. Всеки администратор и обработващ лични данни следва да бъде длъжен да си сътрудничи с надзорния орган и да му предоставя тази документация при поискване, за да може да бъде използвана за наблюдение на тези операции по обработване.

(66) С цел да се поддържа сигурността и да се предотврати обработване, което е в нарушение на настоящия регламент, администраторът или обработващият лични данни следва да извърши оценка на рисковете, свързани с обработването, и да предприеме мерки за намаляване на тези рискове. Тези мерки следва да гарантират подходящо ниво на сигурност, като се вземат предвид достиженията на техническия прогрес и разходите за тяхното внедряване, по отношение на рисковете и естеството на личните данни, които следва да бъдат защитени. При установяването на технически стандарти и организационни мерки с оглед гарантиране на сигурността на обработването Комисията следва да насърчава техническата неутралност, оперативната съвместимост и иновациите и, когато е целесъобразно, сътрудничеството с трети държави.

(67) Нарушението на защитата на данни може, ако не бъде овладяно по подходящ и навременен начин, да причини на засегнатото физическо лице значителни икономически загуби или социални вреди, включително измами с фалшива самоличност. Поради това, веднага след като администраторът установи наличието на такова нарушение на сигурността, той следва да уведоми за него надзорния орган без излишно забавяне и, когато това е осъществимо, в срок от 24 часа. Когато уведомлението не е подадено в срок от 24 часа, то следва да бъде придружено от обяснение относно причините за забавянето. Физическите лица, за чиито лични данни подобни нарушения на сигурността могат да имат неблагоприятни последици, следва да бъдат уведомени без излишно забавяне с цел предприемане на необходимите предпазни мерки. Следва да се счита, че дадено нарушение на сигурността има неблагоприятни последици за личните данни или неприкосновеността на личния живот на субекта на данните, ако то може да доведе например до кражба на самоличност или измама с фалшива самоличност, телесна повреда, значително накърняване на достойнството или на репутацията. В уведомлението следва да се посочва естеството на нарушението на сигурността на личните данни, както и да се дават препоръки на засегнатото физическо лице за това как да ограничи потенциалните неблагоприятни последици. Субектите на данни следва да бъдат уведомявани веднага щом това е разумно осъществимо и в тясно сътрудничество с надзорния орган, като се спазват насоките, предоставени от него или от други релевантни органи (напр. правоприлагащи органи). Така например, възможността субектите на данните да ограничат непосредствения риск от вреди би наложила незабавното уведомяване на субектите на данните, докато необходимостта от предприемането на целесъобразни мерки срещу продължаването на нарушението на сигурността или срещу подобни нарушения на сигурността на лични данни би оправдало по-дълги срокове.

(68) С цел да се определи дали надзорният орган и субектът на данните са били уведомени без излишно забавяне за нарушение на сигурността на лични данни, следва да се установи дали администраторът е изготвил и предприел необходимите технически и организационни мерки за защита, за да установи веднага дали е налице нарушение на сигурността на лични данни и да информира незабавно за това надзорния орган и субекта на данните, преди да са нанесени вреди на личните и икономическите интереси, като се отчита по-специално естеството и тежестта на нарушението на сигурността на личните данни и резултатите и неблагоприятните последици от него за субекта на данните.

(69) При установяване на подробни правила за формàта и процедурите, приложими за уведомяването за нарушения на сигурността на личните данни, следва да се отдаде необходимото внимание на обстоятелствата, свързани с нарушението на сигурността, включително дали личните данни са били защитени чрез подходящи технически мерки за защита, ефективно ограничаващи вероятността за измама с фалшива самоличност или други форми на злоупотреба. Освен това при такива правила и процедури следва да се отчитат законните интереси на правоприлагащите органи в случаи, когато ранното разкриване може ненужно да попречи при разследването на обстоятелствата, свързани с нарушението на сигурността.

(70) В Директива 95/46/ЕО се предвижда общо задължение за уведомяване на надзорните органи относно обработването на лични данни. Това задължение създава административна и финансова тежест, но невинаги допринася за подобряването на защитата на личните данни. Ето защо това общо задължение за безразборно уведомяване следва да бъде премахнато и заменено с ефективни процедури и механизми, които са съсредоточени върху тези операции по обработване, за които има вероятност да създадат конкретни рискове за правата и свободите на субектите на данни поради своето естество, обхват или цели. В такива случаи администраторът или обработващият лични данни следва да извърши оценка на въздействието върху защитата на данните, която да включва по-специално предвидените мерки, гаранциите и механизмите, с които се осигурява защитата на личните данни и се доказва съответствието с настоящия регламент.

(71) Това следва да се прилага по-специално за новосъздадени широкомащабни регистри на лични данни, с които се цели обработването на значителни количества лични данни на регионално, национално или наднационално равнище и които могат да засегнат голям брой субекти на данни.

(72) При определени обстоятелства може да бъде разумно и рентабилно предметът на дадена оценка на въздействието върху защитата на данните да обхваща повече от един проект, например когато обществени органи или структури възнамеряват да създадат общо приложение или платформа за обработване на данни или когато няколко администратора планират внедряването на общо приложение или среда за обработване на данните в цял промишлен сектор или сегмент или за широко използвана хоризонтална дейност.

(73) Оценките за въздействието върху защитата на личните данни следва да се извършват от обществен орган или обществена структура, ако такава оценка вече не е направена в контекста на приемането на националния закон, на чието основание общественият орган или обществената структура изпълнява своите задачи и който урежда въпросната особена операция или набор от операции по обработване на данни.

(74) Когато оценката на въздействието върху защитата на данните показва, че операциите по обработване имат висока степен на конкретни рискове за правата и свободите на субектите на данни, като например изключване на физически лица от ползването на тяхно право или поради използването на специално нови технологии, надзорният орган следва да бъде консултиран, преди започването на операциите, относно рисково обработване, което може да не е в съответствие с настоящия регламент, и да направи предложения за коригиране на такава ситуация.Такива консултации могат да се извършват също и в хода на изготвянето на мярка от националния парламент или на мярка, основаваща се на такава законодателна мярка, в която се определя характерът на обработването и се установяват подходящи гаранции.

(75) В случаите, когато обработването на данни се извършва в публичния сектор или когато в частния сектор обработването се извършва от голямо предприятие или когато основните му дейности, независимо от размера на предприятието, включват операции по обработване, които изискват редовно и систематично наблюдение, дадено лице следва да подпомага администратора или обработващия лични данни при наблюдението на вътрешното съответствие с настоящия регламент. Тези длъжностни лица по защита на данните, независимо от това дали са наети от администратора, следва да бъдат в състояние да изпълняват своите задължения и задачи независимо.

(76) Сдруженията или други структури, представляващи категории администратори, следва да се насърчават да изготвят кодекси за поведение, в рамките на настоящия регламент, за да се улесни ефективното прилагане на настоящия регламент, като се вземе предвид спецификата на обработването на данни в определени сектори.

(77) За да се повишат прозрачността и съответствието с настоящия регламент, следва да се насърчава създаването на механизми за сертифициране, както и на печати и маркировки за защита на данните, които позволяват на субектите на данни бързо да оценяват нивото на защита на данните на съответните продукти и услуги.

(78) Трансграничните потоци от лични данни са необходими за разширяването на международната търговия и международното сътрудничество. Нарастването на тези потоци създаде нови предизвикателства и опасения по отношение на защитата на личните данни. Когато обаче лични данни се предават от Съюза на трети държави или на международни организации, нивото на защита на физическите лица, гарантирано в Съюза с настоящия регламент, не следва да бъде излагано на риск. Във всеки случай предаването на данни на трети държави може да се извършва единствено в пълно съответствие с разпоредбите на настоящия регламент.

(79) Настоящият регламент не засяга разпоредбите на международните споразумения, сключени между Съюза и трети държави, с които се урежда предаването на лични данни, включително подходящите гаранции за субектите на данни.

(80) Комисията може да реши, с действие по отношение на целия Съюз, че определени трети държави или територия или обработващ данни сектор в трета държава, или международна организация предоставят адекватно ниво на защита на данните, с което се осигуряват правна сигурност и еднообразие навсякъде в Съюза по отношение на третите държави или международни организации, за които се смята, че предоставят такова ниво на защита. В тези случаи предаването на лични данни на тези държави може да се извършва, без да е необходимо допълнително разрешение.

(81) В съответствие с основните ценности, въз основа на които е създаден Съюзът, по-специално защитата на правата на човека, в оценката си на третата държава Комисията следва да вземе предвид как се зачитат в дадената трета държава принципите на правовата държава, достъпът до правосъдие, както и международните норми и стандарти за правата на човека.

(82) Комисията може по същия начин да приеме, че дадена трета държава или територия или обработващ данни сектор в трета държава, или дадена международна организация не предоставя адекватно ниво на защита на данните. В резултат на това предаването на лични данни на тази трета държава следва да бъде забранено. В такъв случай следва да се предвиди провеждането на консултации между Комисията и такива трети държави или международни организации.

(83) При липсата на решение относно адекватността администраторът или обработващият лични данни следва да предприеме мерки, за да компенсира липсата на защита в дадена трета държава чрез подходящи гаранции за субекта на данните. Такива подходящи гаранции може да се състоят от използването на задължителни фирмени правила, стандартни клаузи за защита на данните, приети от Комисията, стандартни клаузи за защита на данните, приети от надзорния орган или договорни клаузи, разрешени от надзорния орган, или други уместни и пропорционални мерки, оправдани с оглед на всички обстоятелства около дадена операция по предаване на данни или даден набор от операции по предаване на данни и когато са разрешени от надзорен орган.

(84) Възможността администраторът или обработващият лични данни да използва стандартни клаузи за защита на данните, приети от Комисията или от надзорен орган, не следва да възпрепятства администраторите или обработващите лични данни да включат стандартни клаузи за защита на данните в договор с по-голям обхват, нито да добавят други клаузи, доколкото същите не противоречат пряко или косвено на стандартните договорни клаузи, приети от Комисията или от надзорен орган, нито засягат основните права или свободи на субектите на данни.

(85) Дадена корпоративна група следва да може да използва одобрени задължителни фирмени правила за своите международни предавания на данни от Съюза до организации в същата корпоративна група предприятия, доколкото такива фирмени правила включват основни принципи и противопоставими права, за да се осигурят подходящи гаранции за предаването или категориите предавания на лични данни.

(86) Следва да се предвиди възможността да се предават данни при определени обстоятелства, когато субектът на данните е дал съгласието си, когато предаването е необходимо във връзка с договор или правна претенция, когато това се налага поради важно основание от обществен интерес, предвидено в правото на Съюза или на държава-членка, или когато предаването се извършва от регистрационна система, създадена със закон и предназначена за справки от обществеността или от лица, които имат законен интерес. В този случай предаването не следва да включва всички данни или всички категории от данни, съдържащи се в регистрационната система, а когато регистрационната система е предназначена за справка от лица, които имат законен интерес, предаването следва да се извършва единствено по искане на тези лица или ако те са получателите.

(87) Тези дерогации следва да се прилагат по-специално за предаването на данни, което се изисква и е необходимо за защитата на важно основание от обществен интерес, например при международно предаване на данни между органи по защита на конкуренцията, данъчни или митнически власти, органи за финансов надзор, между служби по социална сигурност или на компетентни органи по предотвратяването, разследването, разкриването и наказателното преследване на престъпления.

(88) Предаване на данни, което не може да се окачестви като често или масово, също може да бъде възможно за целите на законните интереси на администратора или обработващия данни, когато са оценени всички обстоятелства около предаването на данните. За целите на обработването на данни за исторически, статистически и научноизследователски цели следва да се вземат предвид основателните очаквания на обществото за повишаване на познанието.

(89) Във всеки случай, когато Комисията не е взела решение относно адекватното ниво на защита в дадена трета държава, администраторът или обработващият данни следва да използва решения, които гарантират на субектите на данни, че ще продължат да се ползват от основните права и гаранциите по отношение на обработването на техните данни в Съюза след предаването на тези данни.

(90) Някои трети държави прилагат закони, подзаконови актове и други законодателни инструменти, които имат за цел пряко да регулират дейностите по обработване на данни на физически и юридически лица под юрисдикцията на държавите-членки. Извънтериториалното прилагане на тези закони, подзаконови актове и други законодателни инструменти може да бъде в нарушение на международното право и да възпрепятства осигуряването на защитата на физическите лица, гарантирана в Съюза с настоящия регламент. Предаванията на данни следва да са разрешени само когато са изпълнени условията на настоящия регламент относно предаването на данни на трети държави. Това може, наред с другото, да бъде случая, когато разкриването е необходимо поради важно основание от обществен интерес, признато в правото на Съюза или на държава-членка, на което е подчинен администраторът. Условията, при които е налице важно основание от обществен интерес следва да бъдат допълнително посочени в делегиран акт на Комисията.

(91) Трансграничното движение на лични данни може да увеличи риска физическите лица да не могат да упражнят правата на защита на данните, за да се защитят срещу неправомерна употреба или разкриване на тези данни. В същото време надзорните органи могат да бъдат изправени пред невъзможността да разглеждат жалби или да провеждат разследвания, свързани с дейности, извършвани извън техните граници. Техните усилия за сътрудничество в трансграничния контекст могат да бъдат възпрепятствани също от недостатъчни правомощия за предотвратяване или защита, различаващи се правни режими, както и от практически пречки като ограничения на ресурсите. Ето защо е необходимо да се насърчава по-тясното сътрудничество между надзорните органи по защита на данните, за им се помогне да обменят информация и да извършват разследвания съвместно със своите международни партньори.

(92) Създаването в държавите-членки на надзорни органи, които изпълняват функциите си при пълна независимост, е съществен елемент от защитата на физическите лица във връзка с обработването на личните им данни. Държавите-членки могат да създават повече от един надзорен орган, за да бъде отразена тяхната конституционна, организационна и административна структура.

(93) Когато дадена държава-членка създаде няколко надзорни органа, тя следва да установи със закон механизми за гарантиране на ефективното участие на тези надзорни органи в механизма за съгласуваност. Тази държава-членка следва по-специално да определи надзорния орган, който функционира като единно звено за контакт, за да гарантира ефективното участие на тези органи в механизма и за да гарантира бързото и безпрепятствено сътрудничество с други надзорни органи, Европейския комитет по защита на данните и Комисията.

(94) Всеки надзорен орган следва да получи адекватни финансови и човешки ресурси, помещения и инфраструктура, необходими за ефективното изпълнение на неговите задачи, включително задачите, свързани с взаимопомощ и сътрудничество с други надзорни органи навсякъде в Съюза.

(95) Общите условия за членовете на надзорния орган следва да бъдат определени със закон във всяка държава-членка и да предвиждат, по-специално, че тези членове следва да се назначават от парламента или от правителството на държавата-членка, и да включват правила за личната квалификация и длъжността на тези членове.

(96) Надзорните органи следва да наблюдават прилагането на разпоредбите съгласно настоящия регламент и да допринасят за неговото съгласувано прилагане навсякъде в Съюза с цел защита на физическите лица по отношение на обработването на личните им данни и улесняване на свободното движение на личните данни в рамките на вътрешния пазар. За тази цел надзорните органи следва да си сътрудничат помежду си и с Комисията.

(97) Когато обработването на лични данни в контекста на дейностите на място на установяване на даден администратор или обработващ лични данни в Съюза се извършва в повече от една държава-членка, един-единствен надзорен орган следва да бъде компетентен за наблюдението на дейностите на администратора или обработващия лични данни навсякъде в Съюза и за вземането на съответните решения, за да се подобри съгласуваното прилагане, да се осигури правна сигурност и да се намали административната тежест за тези администратори и обработващи лични данни.

(98) Компетентният орган, който осигурява такова „обслужване на едно гише“, следва да бъде надзорният орган на държавата-членка, в която се намира основното място на установяване на администратора или на обработващия лични данни.

(99) Макар и настоящият регламент да се прилага също и спрямо дейностите на националните съдилища, компетентността на надзорните органи не следва да обхваща обработването на лични данни, когато съдилищата действат при изпълнение на своите съдебни функции, за да се гарантира независимостта на съдиите при изпълнението на техните съдебни задължения. Това изключение обаче следва да бъде строго ограничено до действителните съдебни дейности по съдебни дела и да не се прилага за други дейности, в които съдиите могат да участват съгласно националното право.

(100) За да се гарантира съгласуваното наблюдение и прилагане на настоящия регламент навсякъде в Съюза, надзорните органи следва да имат еднакви задължения и ефективни правомощия във всяка държава-членка, включително правомощия за разследване, правнообвързваща намеса, вземане на решения и налагане на санкции, особено в случаи на жалби от физически лица, както и правомощие да участват в съдебни производства. Що се отнася до достъпа до помещения, правомощията на надзорните органи за провеждане на разследване следва да бъдат упражнявани в съответствие с правото на Съюза и с националното право. Това се отнася по-специално до изискването за получаване на предварително съдебно разрешение.

(101) Всеки надзорен орган следва да разглежда жалбите, подадени от субект на данни, и да извършва разследване по въпроса. Разследването въз основа на жалби следва да се извършва под съдебен контрол и в целесъобразна за конкретния случай степен. Надзорният орган следва да информира субекта на данните за напредъка и резултата от жалбата в разумен срок. Ако случаят изисква допълнително разследване или координиране с друг надзорен орган, на субекта на данните следва да бъде предоставена междинна информация.

(102) Дейностите на надзорния орган за повишаване на обществената осведоменост следва да включват специални мерки, насочени към администраторите и обработващите данни, в това число микропредприятията, малките и средните предприятия, както и субектите на данни.

(103) Надзорните органи следва да си сътрудничат при изпълнението на своите задължения и взаимно да се подпомагат, за да се гарантира съгласуваното прилагане и изпълнение на настоящия регламент в рамките на вътрешния пазар.

(104) Всеки надзорен орган следва да има правото да участва в съвместни операции на надзорните органи. Надзорният орган, до който е отправено искането, следва да бъде длъжен да отговори в определен срок на искането.

(105) За да се гарантира съгласуваното прилагане на настоящия регламент навсякъде в Съюза, следва да се създаде механизъм за съгласуваност за осъществяване на сътрудничество между самите надзорни органи и между тях и Комисията. Този механизъм следва по-специално да се прилага, когато даден надзорен орган възнамерява да приеме мярка по отношение на операциите по обработване на данни, които са свързани с предлагането на стоки или услуги на субекти на данни в няколко държави-членки или с наблюдението на поведението на такива субекти на данни, или които биха могли съществено да засегнат свободното движение на лични данни. Той следва да се прилага също така, когато даден надзорен орган или Комисията поиска въпросът да бъде разгледан чрез механизма за съгласуваност. Механизмът следва да действа, без да се засягат мерките, които Комисията може да предприеме в изпълнение на своите правомощия съгласно Договорите.

(106) При прилагането на механизма за съгласуваност Европейският комитет по защита на данните следва да излезе със становище в рамките на определен срок, ако такова решение бъде взето с обикновено мнозинство на неговите членове или ако това бъде поискано от даден надзорен орган или от Комисията.

(107) С цел да се гарантира спазването на настоящия регламент, Комисията може да приеме становище по този въпрос или решение, в което се изисква от надзорния орган да преустанови своята проектомярка.

(108) Възможно е да има спешна необходимост от действия за защита на интересите на субекти на данни, по-специално когато съществува опасност прилагането на право на субект на данни да бъде значително възпрепятствано. Поради това надзорният орган следва да има възможност да приема временни мерки с определен срок на действие, когато прилага механизма за съгласуваност.

(109) Прилагането на този механизъм следва да бъде условие за юридическата сила и изпълнението на съответното решение от даден надзорен орган. В други случаи с трансгранично значение засегнатите надзорни органи могат да осъществяват взаимопомощ и съвместни разследвания на двустранна или многостранна основа, без да се задейства механизмът за съгласуваност.

(110) На равнището на Съюза следва да се създаде Европейски комитет по защита на данните. Той следва да замени Работната група за защита на лицата при обработването на лични данни, създадена с Директива 95/46/ЕО. Той следва да е съставен от ръководителя на един надзорен орган на всяка държава-членка и на Европейския надзорен орган по защита на данните. Комисията следва да участва в неговите дейности. Европейският комитет по защита на данните следва да допринася за съгласуваното прилагане на настоящия регламент навсякъде в Съюза, включително като съветва Комисията и насърчава сътрудничеството на надзорните органи в Съюза. Европейският комитет по защита на данните следва да действа независимо при изпълнението на задачите си.

(111) Всеки субект на данни следва да има право да подаде жалба до надзорен орган във всяка държава-членка, както и право на средства за съдебна защита, ако счита, че правата му по настоящия регламент са нарушени или когато надзорният орган не предприеме действия по подадена жалба или не предприеме действия, когато такива са необходими, за да се защитят правата на субекта на данни.

(112) Всяка структура, организация или сдружение, учредено съгласно правото на държава-членка и чиято цел е да защитава правата и интересите на субектите на данни по отношение на защитата на техните данни, следва да има право да подава жалби до надзорен орган или да упражнява правото на средства за съдебна защита от името на субектите на данни или да подава жалби от свое име, независимо от жалбата на даден субект на данни, когато счита, че е извършено нарушение на сигурността на личните данни.

(113) Всяко физическо или юридическо лице следва да има право на средства за съдебна защита срещу решенията на надзорен орган, които го засягат. Производствата срещу даден надзорен орган следва да бъдат завеждани пред съдилищата на държавата-членка, в която е установен надзорният орган.

(114) С цел да се укрепи съдебната защита на субекта на данни в ситуации, когато компетентният надзорен орган е установен в държава-членка, различна от държавата-членка по местоживеене на субекта на данни, субектът на данни може да поиска от всяка структура, организация или сдружение, чиято цел е да защитава правата и интересите на субектите на данни по отношение на защитата на техните данни, да заведе дело от негово име срещу този надзорен орган пред компетентния съд в другата държава-членка.

(115) В ситуации, в които компетентният надзорен орган, установен в друга държава-членка, не предприема действия по дадена жалба или не предприема достатъчни мерки по нея, субектът на данни може да поиска от надзорния орган в неговата държава-членка по местоживеене да заведе дело срещу другия надзорен орган пред компетентния съд в другата държава-членка. Надзорният орган, към който е отправено такова искане, може да реши, след като го подложи на съдебен контрол, дали е целесъобразно да изпълни искането или не.

(116) При производства срещу администратор или обработващ данни ищецът следва да има избор да заведе дело пред съдилищата на държавите-членки, в които администраторът или обработващият данни е установен, или където пребивава субектът на данни, освен ако администраторът не е публичен орган, който действа в изпълнение на своите публични правомощия.

(117) Когато съществуват индикации, че паралелни производства са в ход в съдилищата на различни държави-членки, съдилищата следва да бъдат задължени да контактуват помежду си. Съдилищата следва да имат възможност временно да преустановят дадено дело, когато паралелно дело се разглежда в друга държава-членка. Държавите-членки следва да гарантират, че за да бъдат ефективни, съдебните производства позволяват бързо приемане на мерки за поправяне или предотвратяване на нарушение .

(118) Всички вреди, които дадено лице може да претърпи в резултат на неправомерно обработване на данни, следва да бъдат обезщетени от администратора или обработващия лични данни, който може да бъде освободен от отговорност, ако докаже, че не е отговорен за вредите, и по-специално когато установи вина от страна на субекта на данни или в случай на непреодолима сила.

(119) На всяко физическо или юридическо лице, което не спазва настоящия регламент, следва да се налагат санкции, независимо дали то е субект на частното или публичното право. Държавите-членки следва да гарантират, че санкциите са ефективни, съразмерни и възпиращи и следва да предприемат всички мерки за тяхното изпълнение.

(120) С цел да се засилят и хармонизират административните санкции за нарушенията на настоящия регламент всеки надзорен орган следва да има правомощието да санкционира административни нарушения. В настоящия регламент следва да се посочат тези нарушения, както и максималния размер на свързаните с тях административни глоби, които следва да се определят във всеки отделен случай, пропорционално на конкретната ситуация, по-специално като надлежно се отчитат естеството, тежестта и продължителността на нарушението. Механизмът за съгласуваност може да се използва също така за уреждане на различия в прилагането на административните санкции.

(121) Обработването на лични данни единствено за журналистически цели или за литературно или художествено изразяване следва да отговаря на условията за освобождаване от изискванията на някои разпоредби на настоящия регламент, за да се съгласува правото на защита на личните данни с правото на свобода на изразяване, и най-вече с правото на всяко лице да получава и предава информация, както е гарантирано по-специално в член 11 от Хартата на основните права на Европейския съюз. Това следва да се прилага по-специално по отношение на обработването на лични данни в аудиовизуалната област и в новинарските архиви и библиотеките с печатни издания. Поради това държавите-членки следва да приемат законодателни мерки, с които следва да определят изключенията и дерогациите, необходими за постигането на равновесие между тези основни права. Държавите-членки следва да приемат такива изключения и дерогации относно общите принципи, относно правата на субекта на данните, относно администратора и обработващия данни, относно предаването на данни на трети държави или международни организации, относно независимостта на надзорните органи и относно сътрудничеството и съгласуваността. Това обаче не следва да води до установяване от страна на държавите-членки на изключения от другите разпоредби на настоящия регламент. За да се отчете значението на правото на свобода на изразяване във всяко демократично общество, е необходимо свързаните с тази свобода понятия, като журналистиката например, да се тълкуват широко. Поради това за целите на изключенията и дерогациите, установени по силата на настоящия регламент, държавите-членки следва да определят като „журналистически“ дейностите, чийто предмет е разкриването пред обществеността на информация, мнения или идеи, независимо от средството за тяхното предаване. Тези дейности не следва да бъдат ограничени до медийни предприятия и могат да бъдат осъществявани с възмездна или безвъзмездна цел.

(122) Обработването на лични данни за здравословното състояние като специална категория данни, на която се полага по-висока защита, често може да бъде обоснована от редица основателни причини в полза на физическите лица и на обществото като цяло, по-специално в контекста на осигуряването на приемственост при трансграничното здравно обслужване. Поради това настоящият регламент следва да предвижда хармонизирани условия за обработването на лични данни за здравословното състояние при спазване на специални и подходящи гаранции за защита на основните права и личните данни на физическите лица. Това включва правото на физическите лица на достъп до техните лични данни за здравословното им състояние, например данните в техните медицински досиета, които съдържат такава информация като диагноза, резултати от прегледи, становища на лекуващите лекари и проведени лечения или извършени операции.

(123) Обработването на лични данни за здравословното състояние може да е необходимо по причини от обществен интерес в областта на общественото здраве без съгласието на субекта на данните. В този контекст понятието „обществено здраве“ следва да се тълкува по смисъла на Регламент (ЕО) № 1338/2008 на Европейския парламент и на Съвета от 16 декември 2008 г. относно статистиката на Общността в областта на общественото здраве и здравословните и безопасни условия на труд и означава всички елементи, свързани със здравето, а именно здравно състояние, заболеваемост и инвалидност, решаващи фактори, които оказват влияние върху това здравно състояние, нужди на здравното обслужване, средства, отделени за здравно обслужване, предоставяне на здравни грижи и всеобщ достъп до тях, разходи и финансиране на здравното обслужване, както и причини за смъртност. Такова обработване на лични данни за здравословното състояние по причини от обществен интерес не следва да води до обработването на лични данни за други цели от трети страни като работодатели, застрахователни дружества или банки.

(124) Общите принципи относно защитата на физическите лица във връзка с обработването на лични данни следва да се прилагат и в контекста на трудовите правоотношения. Ето защо, за да се уреди обработването на личните данни на служителите в контекста на трудовите правоотношения, държавите-членки следва да могат в рамките на настоящия регламент да приемат със закон специални разпоредби за обработването на лични данни в сектора на трудовата заетост.

(125) За да бъде обработването на лични данни за исторически, статистически или научноизследователски цели законосъобразно, при извършването му следва да се спазва и друго релевантно законодателство, като например законодателството относно клиничните изпитвания.

(126) За целите на настоящия регламент в научните изследвания следва да се включват фундаменталните научни изследвания, приложните научни изследвания и частно финансираните научни изследвания, а освен това следва да се отчита и заложената в член 179, параграф 1 от Договора за функционирането на Европейския съюз цел за създаването на европейско изследователско пространство.

(127) По отношение на правомощията на надзорните органи да получават от администратора или обработващия лични данни достъп до лични данни и достъп до помещенията му, държавите-членки могат, в рамките на настоящия регламент, да приемат със закон специални разпоредби, за да гарантират задължението за опазване на професионална тайна или на други равностойни задължения за опазване на тайна, доколкото това е необходимо за съгласуване на правото на защита на личните данни със задължението за опазване на професионална тайна.

(128) Настоящият регламент зачита и не засяга статута, от който се ползват църквите и религиозните сдружения или общности в държавите-членки съгласно националното законодателство, както това е признато в член 17 от Договора за функционирането на Европейския съюз. В резултат на това, когато към момента на влизане в сила на настоящия регламент дадена църква в дадена държава-членка прилага цялостни правила по отношение на защитата на физическите лица във връзка с обработването на лични данни, тези съществуващи правила следва да продължат да се прилагат, ако бъдат приведени в съответствие с настоящия регламент. От такива църкви и религиозни сдружения следва да се изисква да предвидят създаването на изцяло независим надзорен орган.

(129) С цел да бъдат постигнати целите на настоящия регламент, а именно защита на основните права и свободи на физическите лица, и по-специално на тяхното право на защита на личните данни, както и за да се гарантира свободното движение на лични данни в рамките на Съюза, на Комисията следва да бъде делегирано правомощието да приема актове в съответствие с член 290 от Договора за функционирането на Европейския съюз. По-специално делегирани актове следва да бъдат приети по отношение на законосъобразността на обработването; за определяне на критериите и условията по отношение на съгласието на дете; относно обработването на специални категории лични данни; за установяване на критериите и условията за отявлено прекомерни искания и такси за упражняване на правата на субекта на данни; относно критериите и изискванията за информацията, предоставена на субекта на данни, и по отношение на правото на достъп; относно правото „да бъдеш забравен“ и правото на заличаване; относно мерките, основани на профилиране; относно критериите и изискванията по отношение на отговорността на администратора и по отношение на защитата още при проектирането и по подразбиране; относно обработващия данни; относно критериите и изискванията за документацията и сигурността на обработването; относно критериите и изискванията за установяването на нарушение на сигурността на лични данни и за уведомяването на надзорния орган за него, както и относно обстоятелствата, в които дадено нарушение на сигурността на лични данни има вероятност да засегне неблагоприятно субекта на данните; относно критериите и условията за операциите по обработване, за които се изисква оценка на въздействието върху защитата на данните; относно критериите и изискванията за определянето на висока степен от конкретни рискове, които изискват предварителна консултация; относно назначаването и задачите на длъжностното лице по защита на данните; относно кодексите за поведение; относно критериите и изискванията за механизмите за сертифициране; относно критериите и изискванията за предаването на данни чрез задължителни фирмени правила; относно дерогациите за предаванията; относно административните санкции; относно обработването на данни за здравни цели; относно обработването на данни в контекста на трудовите правоотношения и обработването на данни за исторически, статистически и научноизследователски цели. От особена важност е по време на подготвителната си работа Комисията да проведе подходящи консултации, включително на експертно равнище. При подготовката и изготвянето на делегираните актове Комисията следва да осигури едновременното и своевременно предаване на съответните документи по подходящ начин на Европейския парламент и Съвета.

(130) За да се гарантират еднакви условия за изпълнение на настоящия регламент, на Комисията следва да бъдат предоставени изпълнителни правомощия за: установяването на образци по отношение на обработването на лични данни на дете; установяването стандартни процедури и образци за упражняване на правата на субектите на данни; установяването на образци за информиране на субекта на данни; установяването на образци и процедури по отношение на правото на достъп; правото на преносимост на данните; образци по отношение на отговорността на администратора по отношение на защитата още при проектирането и по подразбиране и по отношение на документацията; специални изисквания за сигурността на обработването; стандартния формат и процедурите за уведомяване на надзорния орган за нарушение на сигурността на лични данни и информирането на субекта на данните за нарушение на сигурността на личните данни; стандарти и процедури за оценка на въздействието върху защитата на личните данни; образци и процедури за предварително разрешение и предварителна консултация; технически стандарти и механизми за сертифициране; адекватното ниво на защита на данните, осигурявано от дадена трета държава или територия, или обработващ данни сектор в тази трета държава, или международна организация; разкриване, което не е разрешено от правото на Съюза; взаимопомощ; съвместни операции; решения по силата на механизма за съгласуваност. Тези правомощия следва да бъдат упражнявани в съответствие с Регламент (ЕС) № 182/2011 на Европейския парламент и на Съвета от 16 февруари 2011 г. за установяване на общите правила и принципи относно реда и условията за контрол от страна на държавите-членки върху упражняването на изпълнителните правомощия от страна на Комисията[45]. В този контекст Комисията следва да обмисли специалните мерки за микропредприятията, малките и средните предприятия.

(131) Следва да се използва процедурата по разглеждане за приемането на: образци по отношение на съгласието на дете; стандартни процедури и образци за упражняване на правата на субектите на данни; образци за информиране на субекта на данни; образци и процедури по отношение на правото на достъп; правото на преносимост на данните; образци по отношение на отговорността на администратора по отношение на защитата още при проектирането и по подразбиране и по отношение на документацията; специални изисквания за сигурността на обработването; стандартния формат и процедурите за уведомяване на надзорния орган за нарушение на сигурността на лични данни и информирането на субекта на данните за нарушение на сигурността на личните данни; стандарти и процедури за оценка на въздействието върху защитата на личните данни; образци и процедури за предварително разрешение и предварителна консултация; технически стандарти и механизми за сертифициране; адекватното ниво на защита на данните, осигурявано от дадена трета държава или територия, или обработващ данни сектор в тази трета държава, или международна организация; разкриване, което не е разрешено от правото на Съюза; взаимопомощ; съвместни операции; решения по силата на механизма за съгласуваност, при условие че тези актове са с общ характер.

(132) Комисията следва да приеме актове за изпълнение с незабавно приложение, когато в надлежно обосновани случаи, свързани с трета държава, или територия или обработващ данни сектор в тази трета държава, или международна организация, които не осигуряват адекватно ниво на защита, и с въпроси, повдигнати от надзорен орган в рамките на механизма за съгласуваност, наложителни причини за спешност изискват това.

(133) Тъй като целите на настоящия регламент, а именно осигуряване на еквивалентно ниво на защита на физическите лица и свободното движение на данни навсякъде в Съюза, не могат да бъдат постигнати в достатъчна степен от държавите-членки и следователно могат, поради обхвата или последиците от предвиденото действие, да бъдат по-добре постигнати на равнището на Съюза, Съюзът може да приема мерки в съответствие с принципа на субсидиарност, установен в член 5 от Договора за Европейския съюз. В съответствие с принципа на пропорционалност, установен в посочения член, настоящият регламент не надхвърля необходимото за постигането на тези цели.

(134) Директива 95/46/ЕО следва да бъде отменена с настоящия регламент. Приетите въз основа на Директива 95/46/ЕО решения на Комисията и разрешения на надзорните органи обаче следва да останат в сила.

(135) Настоящият регламент следва да се прилага спрямо всички въпроси, свързани със защитата на основните права и свободи по отношение на обработването на лични данни, които не са предмет на специалните задължения със същата цел, установени с Директива 2002/58/ЕО, включително задълженията на администратора и правата на физическите лица. За да се изясни връзката между настоящия регламент и Директива 2002/58/ЕО, директивата следва да бъде съответно изменена.

(136) По отношение на Исландия и Норвегия настоящият регламент представлява развитие на разпоредбите на достиженията на правото от Шенген, дотолкова доколкото то се прилага спрямо обработването на лични данни от органите, участващи в прилагането на тези достижения, по смисъла на Споразумението, сключено от Съвета на Европейския съюз и Република Исландия и Кралство Норвегия за асоциирането на последните в процеса на изпълнение, прилагане и развитие на достиженията на правото от Шенген[46].

(137) По отношение на Швейцария настоящият регламент представлява развитие на разпоредбите на достиженията на правото от Шенген, дотолкова доколкото то се прилага спрямо обработването на лични данни от органите, участващи в прилагането на тези достижения, по смисъла на Споразумението между Европейския съюз, Европейската общност и Конфедерация Швейцария относно асоциирането на Конфедерация Швейцария към изпълнението, прилагането и развитието на достиженията на правото от Шенген[47].

(138) По отношение на Лихтенщайн настоящият регламент представлява развитие на разпоредбите на достиженията на правото от Шенген, дотолкова доколкото то се прилага спрямо обработването на лични данни от органите, участващи в прилагането на тези достижения, по смисъла на Протокола между Европейския съюз, Европейската общност, Конфедерация Швейцария и Княжество Лихтенщайн относно присъединяването на Княжество Лихтенщайн към Споразумението между Европейския съюз, Европейската общност и Конфедерация Швейцария относно асоциирането на Конфедерация Швейцария към изпълнението, прилагането и развитието на достиженията на правото от Шенген[48].

(139) С оглед на това, че — както бе подчертано от Съда на Европейския съюз — правото на защита на личните данни не е абсолютно право, а трябва да бъде разглеждано във връзка с неговата функция в обществото и да се уравновесява с други основни права, в съответствие с принципа на пропорционалност настоящият регламент зачита всички основни права и спазва принципите, признати в Хартата на основните права на Европейския съюз и залегнали в Договорите, и по-специално правото на зачитане на личния и семейния живот, дома и комуникациите, правото на защита на личните данни, свободата на мисълта, съвестта и религията, свободата на изразяване и на информация, свободата на стопанската инициатива, правото на ефективни правни средства за защита и на справедлив съдебен процес, както и правото на културно, религиозно и езиково многообразие,

ПРИЕХА НАСТОЯЩИЯ РЕГЛАМЕНТ:

ГЛАВА I

ОБЩИ РАЗПОРЕДБИ

Член 1 Предмет и цели

1.           С настоящия регламент се определят правилата по отношение на защитата на физическите лица във връзка с обработването на лични данни, както и правилата по отношение на свободното движение на лични данни.

2.           С настоящия регламент се защитават основните права и свободи на физическите лица, и по-специално тяхното право на защита на личните данни.

3.           Свободното движение на лични данни в рамките на Съюза не се ограничава, нито забранява по причини, свързани със защитата на физическите лица във връзка с обработването на лични данни.

Член 2 Материално приложно поле

1.           Настоящият регламент се прилага за обработването на лични данни изцяло или частично с автоматични средства, както и за обработването с други средства на лични данни, които са част от регистър на лични данни или които са предназначени да съставляват част от регистър на лични данни.

2.           Настоящият регламент не се прилага за обработването на лични данни:

а)      в хода на дейности, които са извън приложното поле на правото на Съюза, по-специално такива, свързани с националната сигурност;

б)      от институциите, органите, службите и агенциите на Съюза;

в)      от държавите-членки, когато извършват дейности, които попадат в приложното поле на глава 2 от Договора за Европейския съюз;

г)       от физическо лице без никаква възмездна цел в хода на неговите собствени изцяло лични или домашни дейности;

д)      от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции.

3.           Настоящият регламент се прилага, без да се засяга прилагането на разпоредбите на Директива 2000/31/ЕО, и по-специално разпоредбите относно междинните доставчици на услуги в членове 12—15 от посочената директива.

Член 3 Териториално приложно поле

1.           Настоящият регламент се прилага за обработването на лични данни в контекста на дейностите на дадено място на установяване на администратор или обработващ лични данни в Съюза.

2.           Настоящият регламент се прилага за обработването на лични данни на субекти на данни с местоживеене в Съюза от администратор, който не е установен в Съюза, когато дейностите по обработване на данни са свързани със:

а)      предлагането на стоки или услуги на такива субекти на данни в Съюза; или

б)      наблюдението на тяхното поведение.

3.           Настоящият регламент се прилага за обработването на лични данни от администратор, който не е установен в Съюза, но е установен на място, където се прилага националното право на държава-членка по силата на международното право.

Член 4 Определения

За целите на настоящия регламент:

(1) „субект на данни“ означава физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или косвено чрез средства, за които с основание се предполага, че е възможно да бъдат използвани от администратора или от всяко друго физическо или юридическо лице, по-специално чрез идентификационен номер, данни за местонахождение, онлайн идентификатори или чрез един или повече признаци, специфични за неговата физическа, физиологична, генетична, психическа, икономическа, културна или социална идентичност;

(2) „лични данни“ означава всяка информация, свързана с даден субект на данни;

(3) „обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друга форма на предоставяне на данните, подреждане или комбиниране, заличаване или унищожаване;

(4) „регистър на лични данни“ означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;

(5) „администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите, условията и средствата за обработването на лични данни; когато целите, условията и средствата за обработването се определят от правото на Съюза или това на държава-членка, администраторът или специалните критерии за неговото назначаване могат да бъдат определени в правото на Съюза или в правото на държава-членка;

(6) „обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;

(7) „получател“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни;

(8) „съгласие на субекта на данните“ означава всяко свободно изразено, конкретно, информирано и изрично указание за волята на субекта на данните посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;

(9) „нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;

(10) „генетични данни“ означава всички данни, от всякакъв вид, свързани с белезите на дадено физическо лице, които са наследствени или са придобити по време на ранното пренатално развитие;

(11) „биометрични данни“ означава всички данни, свързани с физическите, физиологичните или поведенческите характеристики на дадено физическо лице, които позволяват неговата уникална идентификация, като лицеви изображения или дактилоскопични данни;

(12) „данни за здравословното състояние“ означава всяка информация, която се отнася до физическото или психическото здраве на дадено физическо лице, или до предоставянето на здравни услуги на физическото лице;

(13) „основно място на установяване“ означава по отношение на администратора мястото на неговото установяване в Съюза, където се вземат основните решения по отношение на целите, условията и средствата за обработването на лични данни; ако решенията относно целите, условията и средствата за обработването на лични данни не се вземат в Съюза, основното място на установяване е мястото, където се извършват основните дейности по обработване на данни в контекста на дейностите на място на установяване на даден администратор в Съюза. По отношение на обработващия лични данни „основно място на установяване“ означава мястото, където се намира централната му администрация в Съюза;

(14) „представител“ означава всяко физическо или юридическо лице, установено в Съюза, което е изрично назначено от администратора, действа вместо администратора и към него могат да се обръщат надзорните органи и други органи в Съюза във връзка със задълженията на администратора съгласно настоящия регламент;

(15) „предприятие“ означава всяко образувание, което осъществява икономическа дейност, независимо от правната му форма, като в това число по-специално се включват физическите и юридическите лица, партньорствата или сдруженията, които редовно осъществяват икономическа дейност;

(16) „група предприятия“ означава контролиращо предприятие и контролираните от него предприятия;

(17) „задължителни фирмени правила“ означава политики за защита на личните данни, които се спазват от администратор или обработващ лични данни, установен на територията на държава-членка на Съюза, при предаване или съвкупност от предавания на лични данни до администратор или обработващ лични данни в една или повече трети държави в рамките на група предприятия;

(18) „дете“ означава всяко лице на възраст под 18 години;

(19) „надзорен орган“ означава публичен орган, създаден от държава-членка в съответствие с член 46.

ГЛАВА II ПРИНЦИПИ

Член 5 Принципи, свързани с обработването на лични данни           

Личните данни трябва да бъдат:

а)      обработвани законно, добросъвестно и по прозрачен начин по отношение на субекта на данните;

б)      събирани за конкретни, изрично указани и законни цели и да не се обработват допълнително по начин, който е несъвместим с тези цели;

в)      подходящи, релевантни и ограничени до минимума, необходим за целите, за които данните се обработват; те се обработват само ако и дотолкова доколкото целите не могат да бъдат постигнати без обработването на информация, която не включва лични данни;

г)       точни и актуализирани; трябва да се предприемат всички разумни мерки, за да се гарантира своевременното заличаване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват;

д)      съхранявани във вид, който позволява идентифицирането на субектите на данните за период не по-дълъг от необходимия за целите, за които се обработват данните; Лични данни могат да се съхраняват за по-дълги периоди дотолкова доколкото данните ще се обработват единствено за исторически, статистически или научноизследователски цели в съответствие с правилата и условията на член 83 и ако се провежда периодичен преглед, за да се оцени необходимостта съхраняването да продължава;

е)      обработвани под ръководството и отговорността на администратора, който осигурява и доказва спазването на разпоредбите на настоящия регламент при за всяка операция по обработване на данни.

Член 6 Законосъобразност на обработването

1.           Обработването на лични данни е законосъобразно само ако и доколкото е приложимо поне едно от следните условия:

а)      субектът на данните е дал съгласието си за обработването на неговите лични данни за една или повече конкретни цели;

б)      обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на мерки по искане на субекта на данните преди сключването на договор;

в)      обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора;

г)       обработването е необходимо за защитата на жизненоважните интереси на субекта на данните;

д)      обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;

е)      обработването е необходимо за целите на законните интереси на администратора, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете. Това не се прилага за обработването на данни, което се извършва от публични органи при изпълнението на техните задачи.

2.           Обработването на лични данни, което е необходимо за исторически, статистически или научноизследователски цели, е законно, при условие че са спазени условията и гаранциите, посочени в член 83.

3.           Основанието за обработването, посочено в параграф 1, букви в) и д), трябва да бъде предвидено в:

а)      правото на Съюза или

б)       правото на държавата-членка, което се прилага спрямо администратора.

Правото на държавата-членка трябва да отговаря на цел от обществен интерес или трябва да е необходимо за защитата на правата и свободите на други лица, да зачита същността на правото на защита на личните данни и да е пропорционално на преследваната законосъобразна цел.

4.           Когато целта на допълнителното обработване не е съвместима с тази, за която са били събрани личните данни, за обработването трябва да има поне едно от правните основания, посочени в параграф 1, букви а)―д). Това се отнася по-специално за всяка промяна на клаузите и общите условия на договор.

5.           На Комисията се предоставя правомощието да приема делегирани актове в съответствие с член 86 с цел допълнително уточняване на условията, посочени в параграф 1, буква е), за различните сектори и ситуации на обработване на данни, включително по отношение на обработването на лични данни на дете.

Член 7 Условия за съгласие

1.           Администраторът носи тежестта на доказване, че субектът на данните е дал съгласието си за обработването на неговите лични данни за определени цели.

2.           Ако съгласието на субекта на данните бъде дадено в контекста на писмена декларация, която се отнася и до друг въпрос, изискването да се даде съгласие трябва ясно да се различава по вида си от този друг въпрос.

3.           Субектът на данни има правото да оттегли съгласието си по всяко време. Оттеглянето на съгласието не засяга законосъобразността на обработването, основано на дадено съгласие преди неговото оттегляне.

4.           Съгласието не дава правно основание за обработването, когато е налице значителна неравнопоставеност между позицията на субекта на данните и администратора.

Член 8 Обработване на личните данни на дете

1.           За целите на настоящия регламент, що се отнася до прякото предлагане на дете на услуги на информационното общество, обработването на личните данни на дете на възраст под 13 години е законна само ако и дотолкова доколкото съгласието е дадено или разрешено от родителя или попечителя на детето. Администраторът полага разумни усилия, за да получи удостоверимо съгласие, като взема предвид наличната технология.

2.           Параграф 1 не засяга общото договорно право на държавите-членки като разпоредбите относно действителността, сключването или последиците от даден договор по отношение на дете.

3.           На Комисията се предоставя правомощието да приема делегирани актове в съответствие с член 86 с цел допълнително уточняване на критериите и изискванията за методите за получаване на удостоверимо съгласие, както е посочено в параграф 1. Когато прави това, Комисията обмисля специални мерки за микропредприятията, малките и средните предприятия.

4.           Комисията може да определя образци за специфичните методи за получаването на удостоверимо съгласие, както е посочено в параграф 1. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 87, параграф 2.

Член 9 Обработване на специални категории лични данни

1.           Забранява се обработването на лични данни, които разкриват расов или етнически произход, политически мнения, религия или убеждения, членство в професионални съюзи, като и обработването на генетични данни или данни, свързани със здравословното състояние или половия живот или с наказателни присъди или свързаните с тях мерки за сигурност.

2.           Параграф 1 не се прилага, когато:

а)      субектът на данните е дал своето съгласие за обработването на такива лични данни, при условие че са спазени условията, определени в членове 7 и 8, освен когато в правото на Съюза или на държава-членка се предвижда, че посочената в параграф 1 забрана не може да бъде отменена от субекта на данните; или

б)      обработването е необходимо за целите на изпълнението на задълженията и упражняването на специалните права на администратора в областта на трудовото право дотолкова, доколкото това е разрешено от правото на Съюза или на държава-членка, в което се предвиждат подходящи гаранции; или

в)      обработването е необходимо, за да бъдат защитени жизненоважни интереси на субекта на данните или на друго лице, когато субектът на данните е физически или юридически неспособен да даде своето съгласие; или

г)       обработването се извършва при подходящи гаранции в хода на законните дейности на фондация, сдружение или друга структура с нестопанска цел, с политическа, философска, религиозна или профсъюзна цел, при условие че обработването е свързано единствено с членовете или бившите членове на тази структура или с лица, които поддържат редовни контакти с нея във връзка с нейните цели, и че данните не се разкриват без съгласието на субектите на данните; или

д)      обработването е свързано с лични данни, които явно са направени обществено достояние от субекта на данните; или

е)      обработването е необходимо за установяването, упражняването или защитата на правни претенции; или

ж)     обработването е необходимо за изпълнението на задача от обществен интерес на основание правото на Съюза или на държава-членка, в което се предвиждат подходящи мерки за защита на законните интереси на субекта на данните; или

з)       обработването на данни за здравословното състояние е необходимо за здравни цели и при спазване на условията и гаранциите, посочени в член 81; или

и)      обработването е необходимо за исторически, статистически или научноизследователски цели при спазване на условията и гаранциите, посочени в член 83; или

й)      обработването на данни, свързани с наказателни присъди или със свързаните с тях мерки за сигурност, се извършва под контрола на официален орган или когато е необходимо за спазването на правно или регулаторно задължение, което се прилага спрямо администратора, или за изпълнението на задача от важен обществен интерес и дотолкова, доколкото е разрешено в правото на Съюза или на държава-членка и при подходящи гаранции. Пълна регистрационна система на наказателните присъди се поддържа единствено под контрола на официален орган.

3.           На Комисията се предоставя правомощието да приема делегирани актове в съответствие с член 86 с цел допълнително уточняване на критериите, условията и подходящите гаранции за обработването на специалните категории лични данни, посочени в параграф 1, и за изключенията, определени в параграф 2.

Член 10 Обработване, непозволяващо идентифициране

Ако обработваните от администратора данни не му позволяват да идентифицира дадено физическо лице, администраторът не е задължен да придобива допълнителна информация, за да идентифицира субекта на данните единствено с цел спазване на някоя от разпоредбите на настоящия регламент.

ГЛАВА III ПРАВА НА СУБЕКТА НА ДАННИ

РАЗДЕЛ 1 ПРОЗРАЧНОСТ И УСЛОВИЯ

Член 11 Прозрачна информация и комуникация

1.           Администраторът разполага с прозрачни и лесно достъпни политики по отношение на обработването на лични данни и за упражняването на правата на субектите на данните.

2.           Администраторът предоставя на субекта на данните информация и съобщения, свързани с обработването на личните данни, в лесна за разбиране форма, като използва ясни и недвусмислени формулировки, адаптирани към субекта на данните, по-специално при всяка информация, конкретно насочена към дете.

Член 12 Процедури и механизми за упражняване на правата на субекта на данни

1.           Администраторът установява процедури за предоставяне на информацията, посочена в член 14, и за упражняване на правата на субектите на данни, посочени в член 13 и членове 15—19. Администраторът осигурява по-специално механизми за улесняване на подаването на искания за действията, посочени в член 13 и членове 15—19. Когато личните данни се обработват с автоматични средства, администраторът осигурява също така средства за подаване на искания по електронен път.

2.           Администраторът информира незабавно субекта на данни, най-късно в срок от един месец от получаването на искането, дали е предприето действие съгласно член 13 и членове 15—19 и предоставя поисканата информация. Този период може да бъде удължен с още един месец, ако няколко субекти на данни упражняват своите права и тяхното сътрудничество е необходимо в разумна степен, за да се предотвратят ненужни и непропорционално големи усилия от страна на администратора. Информацията се предоставя в писмена форма. Когато субектът на данни подава искане в електронна форма, информацията се предоставя в електронна форма, освен ако субектът на данни не е поискал друго.

3.           Ако администраторът откаже да предприеме действие относно дадено искане на субекта на данни, той информира субекта на данни относно причините за отказа и възможностите за подаване на жалба до надзорния орган и за средствата за съдебна защита.

4.           Информацията и предприетите действия относно исканията, посочени в параграф 1, са безплатни. Когато исканията са явно прекомерни, по-специално поради своята повторяемост, администраторът може да наложи такса за предоставянето на информацията или за изпълнението на исканото действие или да не изпълни исканото действие. В този случай администраторът носи тежестта на доказване на явно прекомерния характер на искането.

5.           На Комисията се предоставя правомощието да приема делегирани актове в съответствие с член 86 с цел допълнително уточняване на критериите и изискванията за явно прекомерните искания и относно таксите, посочени в параграф 4.

6.           Комисията може да установява образци и стандартни процедури за комуникацията, посочена в параграф 2, включително за електронния формат. Когато прави това, Комисията взема целесъобразни мерки за микропредприятията, малките и средните предприятия. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 87, параграф 2.

Член 13 Права по отношение на получателите

Администраторът съобщава всяко извършено в съответствие с членове 16 и 17 коригиране или заличаване на всеки получател, на когото данните са били разкрити, освен ако това е невъзможно или изисква непропорционално големи усилия.

РАЗДЕЛ 2 ИНФОРМАЦИЯ И ДОСТЪП ДО ДАННИ

Член 14 Информация за субекта на данни

1.           Когато се събират лични данни, свързани с даден субект на данни, администраторът предоставя на субекта на данните най-малко следната информация относно:

а)      наименованието и координатите за връзка на администратора, на представителя на администратора, ако има такъв, и на длъжностното лице по защита на данните;

б)      целите на обработването, за които личните данните са предназначени, включително договорните клаузи и общите условия, когато обработването се основава на член 6, параграф 1, буква б), и законните интереси, преследвани от администратора, когато обработването се основава на член 6, параграф 1, буква е);

в)      срока, за който ще се съхраняват личните данни;

г)       съществуването на право да се изиска от администратора достъп до личните данни, свързани със субекта на данните, както и тяхното коригиране или заличаване, или да се изрази възражение срещу обработването на такива лични данни;

д)      правото да бъде подадена жалба до надзорния орган и да бъдат предоставени неговите координати за връзка;

е)      получателите или категориите получатели на личните данни;

ж)     когато е приложимо, информация че администраторът възнамерява да предаде данните на трета държава или на международна организация, както и информация за нивото на защита, осигурено от тази трета държава или международна организация, с позоваване на решението на Комисията относно адекватността;

з)       всяка допълнителна информация, необходима за гарантиране на добросъвестното обработване по отношение на субекта на данните, като се отчитат конкретните обстоятелства, при които се събират личните данни.

2.           Когато личните данни се събират от субекта на данните, администраторът го информира, в допълнение към информацията, посочена в параграф 1, дали предоставянето на лични данни е задължително или доброволно, както и за възможните последици, ако такива данни не бъдат предоставени.

3.           Когато личните данни не се събират от субекта на данните, администраторът информира субекта на данните, в допълнение към информацията, посочена в параграф 1, за източника на личните данни.

4.           Администраторът предоставя информацията, посочена в параграфи 1, 2 и 3:

а)      в момента на получаване на личните данни от субекта на данните; или

б)      когато личните данни не се събират от субекта на данните, в момента на тяхното записване или в разумен срок след събирането им, като се отчитат конкретните обстоятелства, при които данните са събрани или обработени по друг начин, или, когато се предвижда те да бъдат разкрити пред друг получател — не по-късно от датата, на която данните се разкриват за първи път.

5.           Параграфи 1―4 не се прилагат, когато:

а)      субектът на данните вече разполага с информацията, посочена в параграфи 1, 2 и 3; или

б)      данните не се събират от субекта на данните и предоставянето на такава информация се окаже невъзможно или изисква непропорционално големи усилия; или

в)      данните не се събират от субекта на данните и записването или разкриването им е изрично предвидено със закон; или

г)       данните не се събират от субекта на данните и предоставянето на такава информация ще накърни правата и свободите на други лица, както са установени в правото на Съюза или на държава-членка в съответствие с член 21.

6.           В случая, посочен в параграф 5, буква б), администраторът осигурява подходящи мерки за защита на законните интереси на субекта на данните.

7.           На Комисията се предоставя правомощието да приема делегирани актове в съответствие с член 86 с цел допълнително уточняване на критериите за категориите получатели, посочени в параграф 1, буква е), изискванията за уведомяването относно потенциалния достъп, посочен в параграф 1, буква ж), критериите за необходимата допълнителна информация, посочена в параграф 1, буква з), за конкретните сектори и особените ситуации на обработване на данни, както и условията и подходящите гаранции за изключенията, определени в параграф 5, буква б). Когато прави това, Комисията взема целесъобразни мерки за микропредприятията, малките и средните предприятия.

8.           Комисията може да установява образци за предоставянето на информацията, посочена в параграфи 1—3, като се отчитат конкретните характеристики и нуждите на различните сектори и ситуации на обработване на данни, където това е необходимо. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 87, параграф 2.

Член 15 Право на достъп на субекта на данни

1.           Субектът на данни има право при поискване да получава по всяко време потвърждение от администратора дали се обработват лични данни, свързани с него. Когато се обработват такива лични данни, администраторът предоставя следната информация:

а)      целите на обработването;

б)      категориите засегнати лични данни;

в)      получателите или категориите получатели, пред които ще бъдат или са разкрити личните данни, по-специално получателите в трети държави;

г)       срока, за който ще се съхраняват личните данни;

д)      съществуването на правото да се изисква от администратора коригирането или заличаването на личните данни, свързани със субекта на данните, или да се възрази срещу обработването на такива лични данни;

е)      правото да бъде подадена жалба до надзорния орган и да бъдат предоставени неговите координати за връзка;

ж)     съобщаване на личните данни, които са в процес на обработване, и на всякаква налична информация за техния източник;

з)       значението и предвидените последствия от такова обработване, най-малко в случая на мерките, посочени в член 20.

2.           Субектът на данните има право да получи от администратора съобщение за личните данни, които са в процес на обработване. Когато субектът на данните подава искането в електронна форма, информацията се предоставя в електронна форма, освен ако субектът на данните не е поискал друго.

3.           На Комисията се предоставя правомощието да приема делегирани актове в съответствие с член 86 с цел допълнително уточняване на критериите и изискванията за съобщаване на субекта на данни на съдържанието на личните данни, посочени в параграф 1, буква ж).

4.           Комисията може да установява образци и процедури за искане и предоставяне на достъп до информацията, посочена в параграф 1, включително за проверка на самоличността на субекта на данните и съобщаване на личните данни на субекта на данните, като се отчитат конкретните характеристики и нуждите на различните сектори и ситуации на обработване на данни. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 87, параграф 2.

РАЗДЕЛ 3

КОРИГИРАНЕ И ЗАЛИЧАВАНЕ

Член 16 Право на коригиране

Субектът на данни има право по негово искане администраторът да коригира неточните лични данни, свързани с него. Субектът на данните има право непълните лични данни да бъдат попълнени по негово искане, включително чрез добавяне на декларация за коригиране.

Член 17 Право „да бъдеш забравен“ и право на заличаване

1. Субектът на данни има право по негово искане администраторът да заличи личните данни, свързани с него, и да се въздържа от по-нататъшно разпространение на такива данни, по-специално що се отнася до лични данни, които са били предоставени от субекта на данните, докато той е бил дете, когато се прилага едно от следните условия:

а)      данните повече не са необходими за целите, за които са били събрани или обработвани по друг начин;

б)      субектът на данните оттегли своето съгласие, върху което се основава обработването на данните съгласно член 6, параграф 1, буква а), или когато срокът за съхранение, за който е било дадено съгласие, е изтекъл и когато няма друго правно основание за обработването на данните;

в)      субектът на данните възразява срещу обработването на лични данни съгласно член 19;

г)       обработването на данните не е в съответствие с настоящия регламент по други причини.

2.           Когато администраторът, посочен в параграф 1, е направил личните данни обществено достояние, той предприема всички разумни мерки, в това число технически мерки, по отношение на данните, за чието публикуване носи отговорност, за да информира третите страни, които обработват такива данни, че даден субект на данни е поискал те да заличат всякакви връзки към тези лични данни или копия или реплики от тях. Когато администраторът е разрешил на дадена трета страна да публикува лични данни, той се счита за отговорен за това публикуване.

3.           Администраторът извършва заличаването незабавно дотолкова, доколкото съхранението на лични данни е необходимо:

а)      за упражняване на правото на свобода на изразяване в съответствие с член 80;

б)      по причини от обществен интерес в областта на общественото здраве в съответствие с член 81;

в)      за исторически, статистически или научноизследователски цели в съответствие с член 83;

г)       за спазване на законово задължение за запазване на личните данни, предвидено в правото на Съюза или на държава-членка, което се прилага спрямо администратора; законите на държавите-членки се стремят към цел от обществен интерес, зачитат същността на правото на защита на личните данни и са пропорционални на преследваната законосъобразна цел;

д)      в случаите, посочени в параграф 4.

4.           Вместо да заличи личните данни, администраторът ограничава обработването им, когато:

а)      точността им се оспорва от субекта на данните, за срок, който позволява на администратора да провери точността на данните;

б)      администраторът не се нуждае повече от личните данни за изпълнението на своите задачи, но те трябва да бъдат запазени за доказателствени цели;

в)      обработването им е неправомерно, но субектът на данните не желае те да бъдат заличени, а изисква вместо това ограничаване на използването им;

г)       субектът на данните предявява искане за предаване на личните данни на друга система за автоматизирано обработване в съответствие с член 18, параграф 2.

5.           Личните данни, посочени в параграф 4 могат, с изключение на тяхното съхранение, да бъдат обработвани единствено за доказателствени цели или със съгласието на субекта на данните, или за защита на правата на друго физическо или юридическо лице, или за цел от обществен интерес.

6.           Когато обработването на личните данни е ограничено съгласно параграф 4, администраторът информира субекта на данните преди да премахне ограничението за обработването.

7.           Администраторът прилага механизми, чрез които да гарантира, че се спазват определените срокове за заличаването на лични данни и/или за периодичен преглед на необходимостта от съхранение на данните.

8.           Когато се извършва заличаване на лични данни, администраторът не ги подлага на друг вид обработване.

9.           На Комисията се предоставя правомощието да приема делегирани актове в съответствие с член 86 с цел допълнително уточняване на:

а)      критериите и изискванията за прилагането на параграф 1 за конкретните сектори и в особените ситуации на обработване на данни;

б)      условията за заличаването на връзки, копия или реплики на личните данни от обществено достъпни съобщителни услуги, както е посочено в параграф 2;

в)      критериите и условията за ограничаване на обработването на лични данни, както е посочено в параграф 4.

Член 18 Право на преносимост на данните

1.           Субектът на данни има право, когато личните данни се обработват с електронни средства и в структуриран и широко използван формат, да получи от администратора копие на данните, които се обработват, в електронен и структуриран формат, който е широко използван и позволява по-нататъшното му ползване от субекта на данните.

2.           Когато субектът на данните е предоставил личните данни и обработването се основава на съгласие или договор, субектът на данните има право да предава тези лични данни, както и друга информация, предоставена от него и запазена чрез система за автоматизирано обработване, на друга система, в широко използван електронен формат, без да бъде възпрепятстван от администратора, от когото са изтеглени личните данни.

3.           Комисията може да определи електронния формат, посочен в параграф 1, както и техническите стандарти, условията и процедурите за предаването на лични данни съгласно параграф 2. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 87, параграф 2.

РАЗДЕЛ 4

ПРАВО НА ВЪЗРАЖЕНИЕ И ПРОФИЛИРАНЕ

Член 19 Право на възражение

1.           Субектът на данни има право по всяко време и на основание, свързано с неговата конкретна ситуация, на възражение срещу обработването на лични данни, което е основано на член 6, параграф 1, букви г), д) и е), освен ако администраторът не докаже, че са налице императивни законни основания за обработването, които имат преимущество пред интересите или основните права и свободи на субекта на данните.

2.           Когато се обработват лични данни за целите на директния маркетинг, субектът на данните има право на възражение срещу обработването на неговите лични данни за такъв вид маркетинг. Това право се представя изрично на субекта на данните по разбираем начин и в ясно различим вид от останалата информация.

3.           Когато е повдигнато възражение съгласно параграфи 1 и 2, администраторът престава да използва или да обработва по друг начин съответните лични данни.

Член 20 Мерки, основани на профилиране

1.           Всяко физическо лице има правото да не подлежи на мярка, която има правни последици за него или го засяга съществено, и която се основава единствено на автоматизираното обработване на данни, имащо за цел да се оценят определени лични аспекти, свързани с това физическо лице, или да се анализира или прогнозира по-специално изпълнението на професионалните му задължения, неговото икономическо положение, местоположение, здравословно състояние, лични предпочитания, надеждност или поведение.

2. При условие че са спазени останалите разпоредби на настоящия регламент, дадено лице може да подлежи на мярка от вида, посочен в параграф 1, само ако обработването:

а)      се извършва по време на сключването или изпълнението на договор, когато искането за сключване или изпълнение на договора, подадено от субекта на данните, е било удовлетворено или когато са предоставени подходящи мерки за защита на неговите законни интереси, като правото на получаване на човешка намеса; или

б)      е изрично разрешено от правото на Съюза или на държава-членка, в което се предвиждат също подходящи мерки за защита на законните интереси на субекта на данните; или

в)      се основава на съгласието на субекта на данните при спазване на условията, предвидени в член 7, и при наличието на подходящи гаранции.

3. Автоматизираното обработване на лични данни с цел оценяване на определени лични аспекти, свързани с дадено физическо лице, не се основава единствено на специалните категории лични данни, посочени в член 9.

4.           В случаите, посочени в параграф 2, информацията, която трябва да бъде предоставена от администратора съгласно член 14, включва информация относно наличието на обработване за мярка от вида, посочен в параграф 1, и относно предвидените последици от този вид обработване за субекта на данните.

5.           На Комисията се предоставя правомощието да приема делегирани актове в съответствие с член 86 с цел допълнително уточняване на критериите и условията за подходящите мерки за защита на законните интереси на субекта на данни, посочени в параграф 2.

РАЗДЕЛ 5 Ограничения

Член 21 Ограничения

1.           В правото на Съюза или на държава-членка може чрез законодателна мярка да се ограничи обхватът на задълженията и правата, предвидени в член 5, букви а)―д), в членове 11—20 и в член 32, когато такова ограничение представлява необходима и пропорционална мярка в едно демократично общество, чиято цел е да се гарантира:

а)      обществената сигурност;

б)      предотвратяването, разследването, разкриването и наказателното преследване на престъпления;

в)      други обществени интереси на Съюза или на държава-членка, и по-специално на важен икономически или финансов интерес на Съюза или на държава-членка, включително валутни, бюджетни и данъчни въпроси и защитата на пазарната стабилност и почтеност;

г)       предотвратяването, разследването, разкриването и наказателното преследване на нарушения на етичните кодекси при регламентираните професии;

д)      функция по наблюдението, проверката или регламентирането, свързана, дори само понякога, с упражняването на официални правомощия в случаите, посочени в букви а), б), в) и г);

е)      защитата на субекта на данните или на правата и свободите на други лица.

2.           По-специално, всяка законодателна мярка, посочена в параграф 1, съдържа специални разпоредби най-малко по отношение на целите, преследвани с обработването, и определянето на администратора.

ГЛАВА IV

АДМИНИСТРАТОР И ОБРАБОТВАЩ ЛИЧНИ ДАННИ

РАЗДЕЛ 1 ОБЩИ ЗАДЪЛЖЕНИЯ

Член 22 Отговорност на администратора

1.           Администраторът приема политики и предприема подходящи мерки, за да гарантира и да има възможност да докаже, че обработването на лични данни се извършва в съответствие с настоящия регламент.

2.           Мерките, предвидени в параграф 1, включват, по-специално:

а)      поддържане на документацията съгласно член 28;

б)      изпълнение на изискванията за сигурността на данните, определени в член 30;

в)      извършване на оценка на въздействието върху защитата на данните съгласно член 33;

г)       спазване на изискванията за предварително разрешение или предварителна консултация с надзорния орган съгласно член 34, параграфи 1 и 2;

д)      определяне на длъжностно лице по защита на данните съгласно член 35, параграф 1;

3.           Администраторът прилага механизми, за да гарантира проверката на ефективността на мерките, посочени в параграфи 1 и 2. Ако отговаря на изискването за пропорционалност, тази проверка се извършва от независими вътрешни или външни одитори.

4.           На Комисията се предоставя правомощието да приема делегирани актове в съответствие с член 86 с цел допълнително уточняване на критериите и изискванията за подходящите мерки, посочени в параграф 1, различни от онези, които вече са посочени в параграф 2, условията за проверката и механизмите за одит, посочени в параграф 3, и по отношение на критериите за пропорционалност съгласно параграф 3, както и да взема предвид специални мерки за микропредприятията, малките и средните предприятия.

Член 23 Защита на данните още при проектирането и по подразбиране

1.           Като взема предвид достиженията на техническия прогрес и разходите за тяхното внедряване, администраторът въвежда — както към момента на определянето на средствата за обработването на данни, така и към момента на самото обработване на данни — подходящи технически и организационни мерки и процедури, така че обработването да отговаря на изискванията на настоящия регламент и да гарантира защитата на правата на субекта на данни.

2.           Администраторът въвежда механизми, за да се гарантира, че по подразбиране се обработват единствено онези лични данни, които са необходими за всяка конкретна цел на обработването, и по-специално, че данните не се събират или запазват в обем или за срок на съхранение, по-голям от минимално необходимия за тези цели. По-специално тези механизми гарантират, че по подразбиране личните данни не са достъпни за неограничен брой физически лица.

3.           На Комисията се предоставя правомощието да приема делегирани актове в съответствие с член 86 с цел допълнително уточняване на критериите и изискванията за подходящите мерки и механизми, посочени в параграфи 1 и 2, по-специално за изискванията към защитата на данните още при проектирането, приложими за секторите, продуктите и услугите.

4.           Комисията може да определя технически стандарти за изискванията, определени в параграфи 1 и 2. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 87, параграф 2.

Член 24  Съвместни администратори

Когато даден администратор определя целите, условията и средствата за обработването на лични данни съвместно с други, съвместните администратори определят чрез договорености помежду си съответните отговорности за спазване на задълженията по настоящия регламент, по-специално по отношение на процедурите и механизмите за упражняване на правата на субекта на данните.

Член 25 Представители на администратори, които не са установени в Съюза

1.           В ситуацията, посочена в член 3, параграф 2, администраторът определя свой представител в Съюза.

2.           Това задължение не се прилага, когато:

а)      администраторът е установен в трета държава, за която Комисията е решила, че осигурява адекватно ниво на защита в съответствие с член 41; или

б)      работещите в дадено предприятие са по-малко от 250 души; или

в)      органът или структурата са публични; или

г)       администраторът предлага само понякога стоки или услуги на субекти на данни с местоживеене в Съюза.

3.           Представителят е установен в една от тези държави-членки, в която пребивават постоянно субектите на данни, чиито лични данни се обработват във връзка с предлагането на стоки или услуги или чието поведение се наблюдава.

4.           Определянето на представител от администратора не засяга съдебните производства, които биха могли да бъдат започнати срещу самия администратор.

Член 26 Обработващ лични данни

1.           Когато дадена операция по обработване се извършва от името на даден администратор, последният избира обработващ лични данни, който предоставя достатъчни гаранции, че ще приложи подходящи технически и организационни мерки и процедури, така че обработването да отговаря на изискванията на настоящия регламент и да гарантира защитата на правата на субекта на данни, по-специално по отношение на техническите мерки за сигурност и организационните мерки, управляващи обработването, които трябва да бъдат изпълнени, както и да гарантира спазването на тези мерки.

2.           Извършването на обработване от страна на обработващ лични данни се урежда с договор или друг правен акт, който обвързва обработващия лични данни с администратора и постановява, по-специално, че обработващият лични данни:

а)      действа единствено по указания на администратора, по-специално когато предаването на използваните лични данни е забранено;

б)      наема единствено персонал, който е поел ангажимент за поверителност или е задължен по закон да спазва поверителност;

в)      взема всички необходими мерки съгласно член 30;

г)       включва друг обработващ лични данни единствено с предварителното разрешение на администратора;

д)      доколкото това е възможно предвид естеството на обработването, установява с одобрението на администратора необходимите технически и организационни изисквания за изпълнението на задължението на администратора да отговаря на исканията за упражняване на правата на субектите на данни, определени в глава III;

е)      подпомага администратора да гарантира изпълнението на задълженията съгласно членове 30—34;

ж)     предава всички резултати на администратора след края на обработването и не обработва личните данни по друг начин;

з)       предоставя на администратора и на надзорния орган цялата информация, необходима за контролиране на изпълнението на задълженията, определени в настоящия член.

3.           Администраторът и обработващият лични данни документират в писмена форма указанията на администратора и задълженията на обработващия лични данни, посочени в параграф 2.

4.           Ако обработващ лични данни обработва лични данни, различни от онези, за които е получил указания от администратора, първият се счита за администратор по отношение на това обработване и спрямо него се прилагат правилата за съвместните администратори, установени в член 24.

5.           На Комисията се предоставя правомощието да приема делегирани актове в съответствие с член 86 с цел допълнително уточняване на критериите и изискванията във връзка с отговорностите, задълженията и задачите на обработващия лични данни в съответствие с параграф 1, както и на условията, които дават възможност за улесняване на обработването на лични данни в рамките на група предприятия, по-специално за целите на контрола и отчитането.

Член 27 Обработване под ръководството на администратора и обработващия лични данни

Обработващият лични данни и всяко лице, действащо под ръководството на администратора или на обработващия лични данни, което има достъп до личните данни, обработва тези данни само по указание на администратора, освен ако обработването не се изисква от правото на Съюза или на държава-членка.

Член 28 Документация

1.           Всеки администратор, обработващ лични данни и представител на администратора, ако има такъв, поддържа документация за всички операции по обработване, за които е отговорен.

2.           Документацията съдържа най-малко следната информация:

а)      наименованието и координатите за връзка на администратора или на всеки съвместен администратор или обработващ лични данни, както и на представителя на администратора, ако има такъв;

б)      името и координатите за връзка на длъжностното лице по защита на данните, ако има такова;

в)      целите на обработването, включително законните интереси, преследвани от администратора, когато обработването се основава на член 6, параграф 1, буква е);

г)       описание на категориите субекти на данни и на свързаните с тях категории лични данни;

д)      получателите или категориите получатели на личните данни, включително администраторите, на които се разкриват лични данни поради преследвания от тях законен интерес;

е)      когато е приложимо, предаването на данни на трета държава или международна организация, включително идентификацията на тази трета държава или международна организация, а в случай на предаванията на данни, посочени в член 44, параграф 1, документация за подходящите гаранции;

ж)     общо указване на сроковете за заличаване на различните категории данни;

з)       описанието на механизмите, посочени в член 22, параграф 3.

3.           Администраторът, обработващият лични данни и представителят на администратора, ако има такъв, предоставят при поискване тази документация на надзорния орган.

4.           Задълженията, посочени в параграфи 1 и 2, не се прилагат спрямо следните администратори и обработващи лични данни:

а)      физическо лице, което обработва лични данни без търговска цел; или

б)      предприятие или организация с по-малко от 250 човека персонал, където се обработването на лични данни е само вторична дейност спрямо основните дейности.

5.           На Комисията се предоставя правомощието да приема делегирани актове в съответствие с член 86 с цел допълнително уточняване на критериите и изискванията за документацията, посочена в параграф 1, по-специално за да се вземат предвид отговорностите на администратора, на обработващия лични данни и на представителя на администратора, ако има такъв.

6.           Комисията може да установява образци на документацията, посочена в параграф 1. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 87, параграф 2.

Член 29 Сътрудничество с надзорния орган

1.           Администраторът, обработващият лични данни и представителят на администратора, ако има такъв, си сътрудничат при поискване с надзорния орган при изпълнението на неговите задължения, по-специално чрез предоставяне на информацията, посочена в член 53, параграф 2, буква а), и чрез предоставяне на достъпа, предвиден в буква б) от посочения параграф.

2.           При упражняване от страна на надзорния орган на правомощията съгласно член 53, параграф 2 администраторът и обработващият лични данни отговарят на този орган в разумен срок, който се определя от надзорния орган. Отговорът включва описание на предприетите мерки и постигнатите резултати в отговор на отправените от надзорния орган забележки.

РАЗДЕЛ 2 СИГУРНОСТ НА ДАННИТЕ

Член 30 Сигурност на обработването

1.           Администраторът и обработващият лични данни въвеждат подходящи технически и организационни мерки, за да гарантират ниво на сигурност, което отговаря на свързаните с обработването рискове и естеството на подлежащите на защита лични данни, като вземат предвид достиженията на техническия прогрес и разходите за тяхното внедряване.

2.           След извършване на оценка на рисковете администраторът и обработващият лични данни предприемат посочените в параграф 1 мерки за защита на личните данни срещу случайно или неправомерно унищожаване или случайна загуба, както и за предотвратяване на всякакви неправомерни форми на обработване, по-специално на неразрешено разкриване, разпространение или достъп, или промяна на личните данни.

3.           На Комисията се предоставя правомощието да приема делегирани актове в съответствие с член 86 с цел допълнително уточняване на критериите и условията за техническите и организационните мерки, посочени в параграфи 1 и 2, включително на определенията за това какво представляват достиженията на техническия прогрес за конкретните сектори и в особените ситуации на обработване на данни, по-специално като се взема предвид развитието на технологиите и решенията за защита на личния живот още при проектирането и за защита на данните по подразбиране, освен ако не се прилага параграф 4.

4.           При необходимост Комисията може да приема актове за изпълнение за уточняване на изискванията, определени в параграфи 1 и 2, за различни ситуации, по-специално с цел:

а)      да се предотврати всякакъв неразрешен достъп до личните данни;

б)      да се предотврати всякакво неразрешено разкриване, четене, копиране, изменяне, заличаване или отстраняване на лични данни;

в)      да се гарантира проверката на законосъобразността на операциите по обработване.

Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 87, параграф 2.

Член 31 Уведомяване на надзорния орган за нарушение на сигурността на личните данни

1.           В случай на нарушение на сигурността на личните данни администраторът, без излишно забавяне и, когато това е осъществимо, не по-късно от 24 часа след установяването на такова нарушение, уведомява надзорния орган за нарушението на сигурността на личните данни. Уведомлението до надзорния орган се придружава от мотивирана обосновка в случаите, когато то не е подадено в срок от 24 часа.

2.           Съгласно член 26, параграф 2, буква е) обработващият лични данни предупреждава и уведомява администратора незабавно след установяването на нарушение на сигурността на личните данни.

3.           В уведомлението, посочено в параграф 1, трябва да се съдържа най-малко следното:

а)      описание на естеството на нарушението на сигурността на личните данни, включително категориите и броя на засегнатите субекти на данни и категориите и количеството на засегнатите записи от данни;

б)      посочване на самоличността и координатите за връзка на длъжностното лице по защита на данните или на друго звено за контакт, от което може да се получи повече информация;

в)      препоръка относно мерките за намаляване на евентуалните неблагоприятни последици от нарушението на сигурността на личните данни;

г)       описание на последиците от нарушението на сигурността на личните данни;

д)      описание на предложените или предприетите от администратора мерки за справяне с нарушението на сигурността на личните данни.

4.           Администраторът документира всяко нарушение на сигурността на личните данни, като включва фактите, свързани с нарушението, последиците от него и предприетите действия за справяне с него. Тази документация трябва да позволява на надзорния орган да провери дали е спазен настоящият член. Документацията съдържа единствено информацията, необходима за тази цел.

5.           На Комисията се предоставя правомощието да приема делегирани актове в съответствие с член 86 с цел допълнително уточняване на критериите и изискванията за установяване на нарушението на сигурността на данните, посочено в параграфи 1 и 2, както и за конкретните обстоятелства, при които се изисква администраторът и обработващият лични данни да уведомят за това нарушение на сигурността на личните данни.

6.           Комисията може да установи образеца на такова уведомление до надзорния орган, приложимите процедури за изискването за уведомление, както и образеца и условията за документацията, посочена в параграф 4, включително сроковете за заличаване на съдържащата се в нея информация. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 87, параграф 2.

Член 32 Съобщаване на субекта на данните за нарушение на сигурността на личните данни

1.           Когато нарушението на сигурността на личните данни има вероятност да повлияе неблагоприятно на защитата на личните данни или на неприкосновеността на личния живот на субекта на данните, администраторът, след като подаде уведомлението по член 31, съобщава на субекта на данните за нарушението на сигурността на личните данни без излишно забавяне.

2.           В съобщението до субекта на данните, посочено в параграф 1, се описва естеството на нарушението на сигурността на личните данни и се съдържат най-малко информацията и препоръките, предвидени член 31, параграф 3, букви б) и в).

3.           Не се изисква съобщаване на субекта на данни за нарушение на сигурността на личните данни, ако администраторът е доказал в удовлетворителна степен пред надзорния орган, че е предприел подходящи технологични мерки за защита и че тези мерки са били приложени спрямо данните, засегнати от нарушението на сигурността на личните данни. Такива технологични мерки за защита правят данните неразбираеми за всяко лице, което няма разрешение за достъп до тях.

4.           Без да се засяга задължението на администратора да съобщи на субекта на данните за нарушението на сигурността на личните данни, ако администраторът все още не е съобщил на засегнатия субект на данни за нарушението на сигурността на личните данни, надзорният орган може, след като отчете евентуалните неблагоприятни последици от нарушението, да изиска от администратора да извърши съобщаването.

5.           На Комисията се предоставя правомощието да приема делегирани актове в съответствие с член 86 с цел допълнително уточняване на критериите и изискванията за обстоятелствата, при които дадено нарушение на сигурността на личните данни има вероятност да повлияе неблагоприятно на личните данни, както е посочено в параграф 1.

6.           Комисията може да установи образец на съобщението до субекта на данни, посочено в параграф 1, и процедурите, приложими към това съобщение. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 87, параграф 2.

РАЗДЕЛ 3 ОЦЕНКА НА ВЪЗДЕЙСТВИЕТО ВЪРХУ ЗАЩИТАТА НА ДАННИТЕ И ПРЕДВАРИТЕЛНО РАЗРЕШЕНИЕ

Член 33 Оценка на въздействието върху защитата на данните

1.           Когато операциите по обработването на данни създават конкретни рискове за правата и свободите на субектите на данни поради своето естество, обхват или цели, администраторът — или обработващият лични данни от името на администратора — извършва оценка на въздействието на предвидените операции по обработване върху защитата на личните данни.

2.           Конкретните рискове, посочени в параграф 1, се създават по-специално при следните операции по обработване:

а)      систематична и обширна оценка на лични аспекти, свързани с дадено физическо лице, за анализиране или прогнозиране, по-специално на неговото икономическо положение, местоположение, здравословно състояние, лични предпочитания, надеждност или поведение, която се основава на автоматизирано обработване и на чието основание се вземат мерки, които пораждат правни последици за лицето или го засягат в значителна степен;

б)      информация относно сексуалния живот, здравословното състояние, расата или етническия произход или информация за предоставянето на здравно обслужване, епидемиологични изследвания или изследвания за психически или инфекциозни заболявания, когато данните се обработват в големи мащаби за вземане на мерки или решения относно конкретни физически лица;

в)      наблюдение на публично достъпни райони, особено когато се използват широкомащабно оптично-електронни устройства (видео наблюдение);

г)       лични данни в широкомащабни регистри на лични данни с данни за деца, генетични данни или биометрични данни;

д)      други операции по обработване, за които се изисква консултация с надзорния орган съгласно член 34, параграф 2, буква б).

3.           Оценката съдържа най-малко общо описание на предвидените операции по обработване, оценка на рисковете за правата и свободите на субектите на данните, мерките, предвидени за справяне с рисковете, гаранциите, мерките за сигурност и механизмите за гарантиране на защитата на личните данни и за доказване на спазването на настоящия регламент, като се вземат предвид правата и законните интереси на субектите на данните и другите засегнати лица.

4.           Администраторът се обръща към субектите на данните или техните представители за становище относно планираното обработване, без да се засяга защитата на търговските или обществените интереси или сигурността на операциите по обработване.

5.           Когато администраторът е публичен орган или структура и когато обработването произтича от законово задължение съгласно член 6, параграф 1, буква в), което предвижда правила и процедури свързани с операциите по обработването и е уредено от правото на Съюза, не се прилагат параграфи 1—4, освен ако държава-членка не сметне за необходимо да направи такава оценка преди започването на дейностите по обработването.

6.           На Комисията се предоставя правомощието да приема делегирани актове в съответствие с член 86 с цел допълнително уточняване на критериите и условията за операциите по обработване, за които съществува вероятност да създадат конкретните рискове, посочени в параграфи 1 и 2, както и изискванията за оценката, посочена в параграф 3, включително условията за измеримост, проверка и проверимост. Когато прави това, Комисията обмисля специални мерки за микропредприятията, малките и средните предприятия.

7.           Комисията може да определя стандарти и процедури за изпълнение, проверка и одит на оценката, посочена в параграф 3. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 87, параграф 2.

Член 34 Предварително разрешение и предварителна консултация

1.           Администраторът или обработващият лични данни, в зависимост от случая, получава разрешение от надзорния орган преди обработването на личните данни, за да се гарантира съответствието на планираното обработване с настоящия регламент, и по-специално за да се смекчат съпътстващите рискове за субектите на данните, когато даден администратор или обработващ лични данни приема договорни клаузи, както е предвидено в член 42, параграф 2, буква г), или не предвижда подходящи гаранции в правнообвързващ инструмент, както е предвидено в член 42, параграф 5, за предаването на лични данни до трета държава или международна организация.

2.           Администраторът или обработващият лични данни от името на администратора се консултира с надзорния орган преди обработването на лични данни, за да се гарантира съответствието на планираното обработване с настоящия регламент, и по-специално за да се смекчат съпътстващите рискове за субектите на данните, когато:

а)      дадена оценка на въздействието върху защитата на данните, както е предвидена в член 33, показва, че поради своето естество, обхват или цели операциите по обработване има вероятност да създадат висока степен на конкретни рискове; или

б)      надзорният орган счита за необходимо да извърши предварителна консултация относно операции по обработване, които има вероятност да създадат конкретни рискове за правата и свободите на субектите на данните поради своето естество, обхват и/или цели и които са указани в съответствие с параграф 4.

3.           Когато надзорният орган е на мнение, че планираното обработване не съответства на настоящия регламент, и по-специално когато рисковете са недостатъчно идентифицирани или смекчени, той забранява планираното обработване и прави подходящи предложения, за да коригира това несъответствие.

4.           Надзорният орган създава и оповестява публично списък на операциите по обработване, за които се провежда предварителна консултация съгласно параграф 2, буква б). Надзорният орган съобщава тези списъци на Европейския комитет по защита на данните.

5.           Когато в списъка, предвиден в параграф 4, са включени дейности по обработване на данни, които са свързани с предлагането на стоки или услуги на субекти на данни в няколко държави-членки или за наблюдение на тяхното поведение, или могат съществено да засегнат свободното движение на лични данни в рамките на Съюза, надзорният орган прилага механизма за съгласуваност, посочен в член 57, преди приемането на списъка.

6.           Администраторът или обработващият лични данни предоставя на надзорния орган оценката на въздействието върху защитата на данните, предвидена в член 33, и при поискване всякаква друга информация, която позволява на надзорния орган да извърши оценка на съответствието на обработването, и по-специално на рисковете за защитата на личните данни на субекта на данни и на съответните гаранции.

7.           Държавите-членки могат да се консултират с надзорния орган при изготвянето на законодателна мярка, която да бъде приета от националния парламент, или на мярка, основаваща се на такава законодателна мярка, която определя естеството на обработването, за да се гарантира съответствието на планираното обработване с настоящия регламент, и по-специално за да се смекчат съпътстващите рискове за субектите на данни.

8.           На Комисията се предоставя правомощието да приема делегирани актове в съответствие с член 86 с цел допълнително уточняване на критериите и изискванията за определянето на високата степен от конкретните рискове, посочени в параграф 2, буква а).

9.           Комисията може да установи образци и процедури за предварителните разрешения и консултации, посочени в параграфи 1 и 2, както и образци и процедури за информирането на надзорните органи съгласно параграф 6. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 87, параграф 2.

РАЗДЕЛ 4 ДЛЪЖНОСТНО ЛИЦЕ ПО ЗАЩИТА НА ДАННИТЕ

Член 35 Определяне на длъжностното лице по защита на данните

1.           Администраторът и обработващият лични данни определят длъжностно лице по защита на данните във всички случаи, когато:

а)      обработването се извършва от публичен орган или структура; или

б)      обработването се извършва от предприятие, в което работят 250 души или повече; или

в)      основните дейности на администратора или обработващия лични данни се състоят от операции по обработване, които поради своето естество, обхват и/или цели изискват редовно и систематично наблюдение на субекти на данни;

2.           В случая, посочен в параграф 1, буква б), група предприятия може да назначи едно единствено длъжностно лице по защита на данните.

3.           Когато администраторът или обработващият лични данни е обществен орган или структура, длъжностното лице по защита на данните може да бъде назначено да отговаря за няколко от неговите звена, като се отчита организационната структура на обществения орган или структура.

4.           В случаи, различни от посочените в параграф 1, администраторът или обработващият лични данни или сдруженията и другите структури, представляващи категории администратори или обработващи лични данни, могат да определят длъжностно лице по защита на данните.

5.           Администраторът или обработващият лични данни определя длъжностното лице по защита на данните въз основа на неговите професионални качества, и по-специално въз основа на експертните му познания в областта на законодателството и практиките за защита на данните и способността му да изпълнява задачите, посочени в член 37. Необходимото ниво на експертни познания се определят по-специално в съответствие с извършваното обработване на данни и защитата, която е необходима за личните данни, обработвани от администратора или обработващия лични данни.

6.           Администраторът или обработващият лични данни гарантира, че всички други професионални задължения на длъжностното лице по защита на данните са съвместими със задачите и задълженията му като длъжностно лице по защита на данните и не водят до конфликт на интереси.

7.           Администраторът или обработващият лични данни назначава длъжностно лице по защита на данните за срок от най-малко две години. Длъжностното лице по защита на данните може да се преназначава за следващи мандати. По време на мандата си длъжностното лице по защита на данните може да бъде освободено от тази длъжност, ако престане да отговаря на необходимите условия за изпълнението на своите задължения.

8.           Длъжностното лице по защита на данните може да бъде наето от администратора или обработващия лични данни или да изпълнява задачите си въз основа на договор за услуги.

9.           Администраторът или обработващият лични данни съобщава името и координатите за връзка на длъжностното лице по защита на данните на надзорния орган и на обществеността.

10.         Субектите на данни имат право да се обърнат към длъжностното лице по защита на данните по всички въпроси, свързани с обработването на техните данни, и да поискат упражняване на правата си съгласно настоящия регламент.

11.         На Комисията се предоставя правомощието да приема делегирани актове в съответствие с член 86 с цел допълнително уточняване на критериите и изискванията за основните дейности на администратора или обработващия лични данни, посочени в параграф 1, буква в), както и на критериите за професионалните качества на длъжностното лице по защита на данните, посочени в параграф 5.

Член 36 Длъжност на длъжностното лице по защита на данните

1.           Администраторът или обработващият лични данни гарантира, че длъжностното лице по защита на данните участва по подходящ начин и своевременно във всички въпроси, свързани със защитата на личните данни.

2.           Администраторът или обработващият лични данни гарантира, че длъжностното лице по защита на данните изпълнява задълженията и задачите си независимо и не получава указания относно упражняването на функциите си. Длъжностното лице по защита на данните се отчита пряко пред ръководството на администратора или обработващия лични данни.

3.           Администраторът или обработващият лични данни подпомага длъжностното лице по защита на данните при изпълнението на задачите и осигурява персонала, помещенията, оборудването и всички други ресурси, необходими за изпълнение на задълженията и задачите, посочени в член 37.

Член 37 Задачи на длъжностното лице по защита на данните

1.           Администраторът или обработващият лични данни възлага на длъжностно лице по защита на данните най-малко следните задачи:

а)      да информира и съветва администратора или обработващия лични данни за техните задължения по силата на настоящия регламент и да документира тази дейност и получените отговори;

б)      да наблюдава изпълнението и прилагането на стратегиите на администратора или обработващия лични данни по отношение на защитата на личните данни, включително възлагането на отговорности, обучаването на персонала, участващ в операциите по обработване, и свързаните с това одити;

в)      да наблюдава изпълнението и прилагането на настоящия регламент, по-специално по отношение на изискванията, свързани със защитата на данните още при проектирането, защитата на данните по подразбиране и сигурността на данните, както и по отношение на информирането на субектите на данни и техните искания при упражняване на правата им по силата на настоящия регламент;

г)       да гарантира поддържането на документацията, посочена в член 28;

д)      да наблюдава документирането, уведомяването и съобщаването за нарушения на сигурността на личните данни съгласно членове 31 и 32;

е)      да наблюдава извършването на оценката на въздействието върху защитата на данните от администратора или обработващия лични данни и прилагането на процедурата за предварително разрешение или предварителна консултация, ако това се изисква по силата на членове 33 и 34;

ж)     да наблюдава отговорите на искания от надзорния орган и, в рамките на компетентността на длъжностното лице по защита на данните, да си сътрудничи с надзорния орган по негово искане или по своя собствена инициатива;

з)       да действа като звено за контакт за надзорния орган по въпроси, свързани с обработването на данни, и, ако е необходимо, да се консултира с надзорния орган по своя собствена инициатива.

2.           На Комисията се предоставя правомощието да приема делегирани актове в съответствие с член 86 с цел допълнително уточняване на критериите и изискванията за задачите, сертифицирането, статута, правомощията и ресурсите на длъжностното лице по защита на данните, посочено в параграф 1.

РАЗДЕЛ 5 КОДЕКСИ ЗА ПОВЕДЕНИЕ И СЕРТИФИЦИРАНЕ

Член 38 Кодекси за поведение

1.           Държавите-членки, надзорните органи и Комисията насърчават изготвянето на кодекси за поведение, които имат за цел да допринесат за правилното прилагане на настоящия регламент, като се отчитат специфичните характеристики на различните обработващи данни сектори, по-специално по отношение на:

а)      добросъвестното и прозрачно обработване на данни;

б)      събирането на данни;

в)      информирането на обществеността и на субектите на данни;

г)       исканията на субектите на данни при упражняване на техните права;

д)      информирането и защитата на децата;

е)      предаването на данни на трети държави или международни организации;

ж)     механизмите за наблюдение и гарантиране на спазването на кодекса от администраторите, ангажирани с него;

з)       извънсъдебните производства и другите процедури за разрешаване на спорове между администраторите и субектите на данни по отношение на обработването на лични данни, без да се засягат правата на субектите на данни съгласно членове 73 и 75.

2.           Сдруженията и другите структури, представляващи категории администратори или обработващи лични данни в дадена държава-членка, които възнамеряват да изготвят кодекси за поведение или да изменят или допълнят съществуващи кодекси за поведение, могат да ги представят на надзорния орган в тази държава-членка за становище. Надзорният орган може да даде становище дали проектът за кодекс за поведение или изменение е в съответствие с настоящия регламент. Надзорният орган се обръща към субектите на данни или техните представители за вижданията им по тези проекти.

3.           Сдруженията и другите структури, представляващи категории администратори в няколко държави-членки, могат да представят на Комисията проекти на кодекси за поведение или изменения или допълнения към съществуващи кодекси за поведение.

4.           Комисията може да приема актове за изпълнение, за да реши дали кодексите за поведение и измененията или допълненията към съществуващи кодекси за поведение, които са ѝ представени по силата на параграф 3, са общовалидни в рамките на Съюза. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 87, параграф 2.

5.           Комисията осигурява подходяща публичност на кодексите, за които е решено, че са общовалидни в съответствие с параграф 4.

Член 39 Сертифициране

1.           Държавите-членки и Комисията насърчават, особено на европейско равнище, създаването на механизми за сертифициране за защита на данните и на печати и маркировки за защита на данните, които позволяват на субектите на данни бързо да оценяват нивото на защита на данните, осигурявано от администраторите и обработващите лични данни. Механизмите за сертифициране за защита на данните допринасят за правилното прилагане на настоящия регламент, като се отчитат специфичните характеристики на различните сектори и различните операции по обработване.

2.           На Комисията се предоставя правомощието да приема делегирани актове в съответствие с член 86 с цел допълнително уточняване на критериите и изискванията за механизмите за сертифициране за защита на данните, посочени в параграф 1, включително на условията за предоставяне и оттегляне, както и на изискванията за признаване в рамките на Съюза и в трети държави.

3.           Комисията може да определя технически стандарти за механизмите за сертифициране и за печатите и маркировките за защита на данните, както и механизми за насърчаване и признаване на механизмите за сертифициране и на печатите и маркировките за защита на данните. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 87, параграф 2.

ГЛАВА V ПРЕДАВАНЕ НА ЛИЧНИ ДАННИ НА ТРЕТИ ДЪРЖАВИ ИЛИ МЕЖДУНАРОДНИ ОРГАНИЗАЦИИ

Член 40 Общи принципи за предаването на данни

Предаване на лични данни, които се обработват или са предназначени за обработване след предаването, на трета държава или на международна организация може да се осъществи, ако — при условие че са спазени другите разпоредби на настоящия регламент— администраторът и обработващият лични данни спазват условията на настоящата глава, включително за последващи предавания на лични данни от третата държава или от международната организация на друга трета държава или международна организация.

Член 41 Предаване на данни въз основа на решение относно адекватността

1.           Предаване може да се осъществи, когато Комисията е решила, че третата държава или територия, или обработващ сектор в тази трета държава, или въпросната международна организация гарантира адекватно ниво на защита. За такова предаване не се изисква допълнително разрешение.

2.           При оценяване на адекватността на нивото на защита Комисията отчита следните елементи:

а)      принципите на правовата държава, съответното действащо законодателство, както общото, така и секторното, включително това, което се отнася до обществената сигурност, отбраната, националната сигурност и наказателното право, професионалните правила и мерките за сигурност, които се спазват в тази държава или от тази международна организация, както и действителните и противопоставимите права, включително правото на ефективна административна и съдебна защита за субектите на данни, по-специално за тези субекти на данни с местоживеене в Съюза, чиито лични данни се предават;

б)      съществуването и ефективното функциониране на един или повече независими надзорни органи във въпросната трета държава или международна организация, отговорни за гарантиране на спазването на правилата за защита на данните, за подпомагане и консултиране на субектите на данни при упражняването на техните права и за осъществяване на сътрудничество с надзорните органи на Съюза и на държавите-членки; и

в)      международните ангажименти, които въпросната трета държава или международна организация е поела.

3.           Комисията може да реши, че дадена трета държава или територия, или обработващ сектор в тази трета държава, или дадена международна организация осигурява адекватно ниво на защита по смисъла на параграф 2. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 87, параграф 2.

4.           В акта за изпълнение се посочва неговото географско и секторно приложение и, когато е приложимо, се указва надзорният орган, упоменат в параграф 2, буква б).

5.           Комисията може да реши, че дадена трета държава или територия, или обработващ сектор в тази трета държава, или дадена международна организация не осигурява адекватно ниво на защита по смисъла на параграф 2 от настоящия член, по-специално в случаи, в които съответното законодателство, както общото, така и секторното, което е в сила в третата държава или международната организация, не гарантира действителни и противопоставими права, включително право на ефективна административна и съдебна защита за субектите на данни, по-специално за тези субекти на данни с местоживеене в Съюза, чиито лични данни се предават. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 87, параграф 2, или, в особено спешни за физическите лица случаи във връзка с правото им на защита на личните данни ― в съответствие с процедурата, посочена в член 87, параграф 3.

6.           Когато Комисията вземе решение по силата на параграф 5, се забранява всякакво предаване на лични данни до третата държава или територия, или обработващ сектор в тази трета държава, или на въпросната международна организация, без да се засягат членове 42—44. В подходящия момент Комисията започва консултации с третата държава или международна организация с цел да коригира ситуацията, произтичаща от решението, взето по силата на параграф 5 от настоящия член.

7.           Комисията публикува в Официален вестник на Европейския съюз списък на тези трети държави, територии и обработващи сектори в трета държава и международни организации, за които е решила, че е осигурено или че не е осигурено адекватно ниво на защита.

8.           Решенията, приети от Комисията въз основа на член 25, параграф 6 или член 26, параграф 4 от Директива 95/46/ЕО остават в сила, докато не бъдат изменени, заменени или отменени от Комисията.

Член 42 Предаване на данни с подходящи гаранции

1.           Когато Комисията не е взела решение по силата на член 41, даден администратор или обработващ лични данни може да предава лични данни на трета държава или международна организация само ако администраторът или обработващият лични данни е предвидил в правно обвързващ инструмент подходящи гаранции във връзка със защитата на личните данни.

2.           Подходящите гаранции, посочени в параграф 1, се предвиждат по-специално чрез:

а)      задължителни фирмени правила в съответствие с член 43; или

б)      стандартни клаузи за защита на данните, приети от Комисията; Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 87, параграф 2; или

в)      стандартни клаузи за защита на данните, приети от надзорен орган в съответствие с механизма за съгласуваност, посочен в член 57, когато те са обявени за общовалидни от Комисията съгласно член 62, параграф 1, буква б); или

г)       договорни клаузи между администратора или обработващия лични данни и получателя на данните, разрешени от надзорен орган в съответствие с параграф 4.

3.           Предаването на данни въз основа на стандартни клаузи за защита на данните или задължителни фирмени правила, както е посочено в параграф 2, букви а), б) и в), не изисква допълнително разрешение.

4.           Когато предаването на данни се основа на договорни клаузи, както е посочено в параграф 2, буква г), администраторът или обработващият лични данни получава предварително разрешение на договорните клаузи от надзорния орган в съответствие с член 34, параграф 1, буква а). Ако предаването на данни е свързано с дейности по обработване, които засягат субекти на данни в друга държава-членка или други държави-членки, или които съществено засягат свободното движение на лични данни в рамките на Съюза, надзорният орган прилага механизма за съгласуваност, посочен в член 57.

5.           Когато подходящите гаранции във връзка със защитата на личните данни не са предвидени в правно обвързващ инструмент, администраторът или обработващият лични данни получава предварително разрешение за предаването или съвкупността от предавания, или за разпоредбите, които да бъдат включени в административните договорености, които предоставят основата за такова предаване. Такова разрешение на надзорния орган е в съответствие с член 34, параграф 1, буква а). Ако предаването на данни е свързано с дейности по обработване, които засягат субекти на данни в друга държава-членка или други държави-членки, или които съществено засягат свободното движение на лични данни в рамките на Съюза, надзорният орган прилага механизма за съгласуваност, посочен в член 57. Разрешенията, издадени от надзорния орган въз основа на член 26, параграф 2 от Директива 95/46/ЕО остават в действителни, докато не бъдат изменени, заменени или отменени от надзорния орган.

Член 43 Предаване на данни чрез задължителни фирмени правила

1.           Даден надзорен орган одобрява задължителни фирмени правила в съответствие с механизма за съгласуваност, определен в член 58, при условие че те:

а)      са правно обвързващи, прилагат се спрямо и се привеждат в изпълнение от всеки член на групата предприятия на администратора или обработващия лични данни и включват техните служители;

б)      изрично предоставят противопоставими права на субектите на данните;

в)      изпълняват изискванията, установени в параграф 2.

2.           В задължителните фирмени правила се указват най-малко:

а)      структурата и координатите за връзка на групата предприятия и нейните членове;

б)      предаването на данни или съвкупността от предавания на данни, включително категориите лични данни, видът на обработването и неговите цели, видът на засегнатите субекти на данни и се посочва въпросната трета държава или държави;

в)      тяхното правно обвързващо естество, както на вътрешно, така и на външно равнище;

г)       общите принципи за защита на данните, по-специално принципът на ограничаване до предвидената цел, принципът за качество на данните, правното основание за обработването, обработването на чувствителни лични данни; мерките за осигуряване на сигурността на данните, както и изискванията за последващо предаване на данни до организации, които не са обвързани от тези политики;

д)      правата на субектите на данни и средствата за упражняване на тези права, включително правото на субекта на данните да не подлежи на мярка, основана на профилиране, в съответствие с член 20, правото за подаване на жалба до компетентния надзорен орган и до компетентните съдилища на държавите-членки в съответствие с член 75, както и правото на съдебна защита и, когато е подходящо, обезщетение за нарушаване на задължителните фирмени правила;

е)      поемането от администратора или обработващия лични данни, установен на територията на държава-членка, на отговорност за каквито и да било нарушения на задължителните фирмени правила от който и да било член на групата предприятия, който не е установен в Съюза; администраторът или обработващият лични данни може да бъде изцяло или частично освободен от такава отговорност само ако докаже, че този член не носи отговорност за събитието, довело до причиняването на вредите;

ж)     Начинът, по който информацията относно задължителните фирмени правила, по-специално информацията относно разпоредбите, посочени в букви г), д) и е), се предоставя на субектите на данни в съответствие с член 11;

з)       задачите на длъжностното лице по защита на данните, определено в съответствие с член 35, включително наблюдение в рамките на групата предприятия за спазването на задължителните фирмени правила, както и наблюдение на обучението и разглеждането на жалбите;

и)      механизмите в рамките на групата предприятия, които имат за цел да се осигури проверката на спазването на задължителните фирмени правила;

й)      механизмите за докладване и записване на промени в политиките и докладването на надзорния орган за тези промени;

л)      механизмът за сътрудничество с надзорния орган с цел осигуряване на спазването на правилата от който и да било член на групата предприятия, по-специално чрез предоставяне на надзорния орган на резултатите от проверките на мерките, посочени в буква и) от настоящия параграф.

3.           На Комисията се предоставя правомощието да приема делегирани актове в съответствие с член 86 с цел допълнително уточняване на критериите и изискванията за задължителните фирмени правила по смисъла на настоящия член, по-специално по отношение на критериите за тяхното одобрение, прилагането на параграф 2, букви б), г), д) и е) спрямо задължителните фирмени правила, с които са ангажирани обработващите лични данни, както и на необходимите допълнителни изисквания, за да се осигури защитата на личните на данни на съответните субекти на данни.

4.           Комисията може да определя формáта и процедурите за обмена на информация чрез електронни средства между администраторите, обработващите лични данни и надзорните органи относно задължителните фирмени правила по смисъла на настоящия член. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 87, параграф 2.

Член 44 Дерогации

1.           При липсата на решение относно адекватността по силата на член 41 или на подходящи гаранции по силата на член 42 предаване или съвкупност от предавания на лични данни на дадена трета държава или международна организация може да се извърши само при условие че:

а)      субектът на данните е дал съгласието си за предлаганото предаване на данни, след като е бил информиран за рисковете от подобно предаване поради липсата на решение относно адекватността или на подходящи гаранции; или

б)      предаването е необходимо за изпълнението на договор между субекта на данните и администратора или за изпълнението на преддоговорни мерки, взети по искане на субекта на данните; или

в)      предаването е необходимо за сключването или изпълнението на договор, сключен в интерес на субекта на данните между администратора и друго физическо или юридическо лице; или

г)       предаването е необходимо поради важно основание от обществен интерес; или

д)      предаването е необходимо за установяването, упражняването или защитата на правни претенции; или

е)      предаването е необходимо, за да бъдат защитени жизненоважни интереси на субекта на данните или на друго лице, когато субектът на данните е физически или юридически неспособен да даде своето съгласие; или

ж)     предаването се извършва от регистрационна система, която съгласно правото на Съюза или на държавите-членки, е предназначена да предоставя информация на обществеността и е достъпна за справка от обществеността по принцип или от всяко лице, което може да докаже, че има законен интерес за това, доколкото условията за справка, установени в правото на Съюза или на държавите-членки, са изпълнени в конкретния случай; или

з)       предаването е необходимо за целите на законните интереси, преследвани от администратора или от обработващия лични данни, и не може да бъде определено като често или масово, като администраторът или обработващият лични данни е оценил всички обстоятелства, свързани с операцията или съвкупността от операции по предаването на данни, и въз основа на тази оценка, когато е необходимо, е предоставил подходящи гаранции във връзка със защитата на личните данни.

2.           Предаването съгласно параграф 1, буква ж) не трябва да включва всички лични данни или всички категории лични данни, съдържащи се в регистрационната система. Когато регистрационната система е предназначена за справка от лица, които имат законен интерес, предаването се извършва единствено по искане на тези лица или ако те са получателите.

3.           Когато обработването се основава на параграф 1, буква з), администраторът или обработващият лични данни обръща специално внимание на естеството на данните, целта и продължителността на предлаганата операция или операции по обработването им, както и на ситуацията в държавата на произход, третата държава или държавата на крайното местоназначение на данните, и на предоставените, когато е било необходимо, подходящи гаранции във връзка със защитата на личните данни.

4.           Параграф 1, букви б), в) и з) не се прилага за дейности, извършвани от публичните органи при изпълнението на техните публични правомощия.

5.           Общественият интерес, посочен в параграф 1, буква г), трябва да бъде признат в правото на Съюз или в правото на държавата-членка, чийто субект е администраторът.

6.           Администраторът или обработващият лични данни документира оценката, както и предоставените подходящи гаранции, посочени в параграф 1, буква з) от настоящия член, в документацията, посочена в член 28, и информира надзорния орган за предаването на данните.

7.           На Комисията се предоставя правомощието да приема делегирани актове в съответствие с член 86 с цел допълнително уточняване на „важните основания от обществен интерес“ по смисъла на параграф 1, буква г), както и на критериите и изискванията за подходящите гаранции, посочени в параграф 1, буква з).

Член 45 Международно сътрудничество за защита на личните данни

1.           По отношение на трети държави и международни организации Комисията и надзорните органи предприемат подходящи мерки за:

а)      разработване на ефективни механизми за международно сътрудничество с цел улесняване на прилагането на законодателството за защита на личните данни;

б)      осигуряване на международна взаимопомощ при прилагането на законодателството за защита на личните данни, включително чрез уведомяване, препращане на жалби, помощ при разследвания и обмен на информация при условие, че има подходящи гаранции за защитата на личните данни и другите основни права и свободи;

в)      включване на съответните заинтересовани страни в обсъждания и дейности, насочени към допълнително задълбочаване на международното сътрудничество за прилагането на законодателството за защита на личните данни;

г)       насърчаване на обмена и документирането на законодателството и практиките в областта на защитата на личните данни.

2.           За целите на параграф 1 Комисията взема подходящи мерки за укрепване на отношенията с трети държави или международни организации, и по-специално с техните надзорни органи, когато Комисията е решила, че те осигуряват адекватно ниво на защита по смисъла на член 41, параграф 3.

ГЛАВА VI НЕЗАВИСИМИ НАДЗОРНИ ОРГАНИ

РАЗДЕЛ 1 НЕЗАВИСИМ СТАТУТ

Член 46 Надзорен орган

1.           Всяка държава-членка предвижда, че един или повече публични органи отговарят за наблюдението на прилагането на настоящия регламент и допринасят за неговото съгласувано прилагане навсякъде в Съюза, така че да се защитят основните права и свободи на физическите лица във връзка с обработването на личните им данни и да се улесни свободното движение на личните данни в рамките на Съюза. За постигането на тези цели надзорните органи си сътрудничат помежду си и с Комисията.

2.           Когато в дадена държава-членка е създаден повече от един надзорен орган, тази държава-членка определя надзорния орган, който ще функционира като единно звено за контакт, за да се гарантира ефективното участие на тези органи в Европейския комитет по защита на данните, и определя механизма за осигуряване на спазването от другите органи на правилата, отнасящи се до механизма за съгласуваност, посочен в член 57.

3.           Всяка държава-членка уведомява Комисията за тези разпоредби в своето законодателство, които приема по силата на настоящата глава, най-късно до датата, посочена в член 91, параграф 2, и я уведомява незабавно за всяко последващо изменение, което ги засяга.

Член 47 Независимост

1.           Надзорният орган действа напълно независимо при изпълнението на задълженията и правомощията, които са му възложени.

2.           При изпълнение на своите задължения членовете на надзорния орган не търсят и не приемат указания от никого.

3.           Членовете на надзорния орган се въздържат от всякакви несъвместими с длъжностните им задължения действия и по време на своя мандат не се ангажират с никакви несъвместими функции, независимо дали срещу възнаграждение или безвъзмездно.

4.           Членовете на надзорния орган проявяват почтеност и тактичност по отношение на приемането на назначения и облаги след края на мандата си.

5.           Всяка държава-членка гарантира, че на надзорния орган са предоставени подходящи човешки, технически и финансови ресурси, помещения и инфраструктура, необходими за ефективното изпълнение на неговите задължения и правомощия, включително на тези, които ще бъдат изпълнявани в контекста на взаимопомощта, сътрудничеството и активното участие в Европейския комитет по защита на данните.

6.           Всяка държава-членка гарантира, че надзорният орган има свой собствен персонал, който се назначава от ръководителя на надзорния орган и e подчинен на него.

7.           Държавите-членки гарантират, че по отношение на надзорния орган се извършва финансов контрол, който не накърнява неговата независимост. Държавите-членки гарантират, че надзорният орган има отделни годишни бюджети. Бюджетите се оповестяват публично.

Член 48 Общи условия за членовете на надзорния орган

1.           Държавите-членки предвиждат, че членовете на надзорния орган трябва да се назначават или от парламента, или от правителството на съответната държава-членка.

2.           Членовете се избират измежду лица, чиято независимост не подлежи на съмнение и за които е доказано, че притежават необходимите опит и умения, за да изпълняват задълженията си, особено в областта на защитата на личните данни.

3.           Задълженията на даден член приключват при изтичането на мандата му, подаването на оставка или задължителното му пенсиониране в съответствие с параграф 5.

4.           Член на надзорния орган може да бъде освободен или лишен от правото на пенсия или други облаги от компетентния национален съд, ако този член престане да отговаря на необходимите условия за изпълнение на задълженията или е виновен за извършването на тежко провинение.

5.           При изтичане на мандата или подаване на оставката на даден член, той продължава да изпълнява задълженията си, докато бъде назначен нов член.

Член 49 Правила за създаването на надзорния орган

В рамките на настоящия регламент всяка държава-членка урежда със закон следното:

а)      създаването и статута на надзорния орган;

б)      необходимите квалификации, опит и умения за изпълнение на задълженията на членовете на надзорния орган;

в)      правилата и процедурите за назначаването на членовете на надзорния орган, както и правилата относно несъвместимите със служебните им задължения действия или функции;

г)       продължителността на мандата на членовете на надзорния орган, която е не по-малко от четири години, с изключение на първите назначения след влизането в сила на настоящия регламент, някои от които може да са за по-кратък срок, когато това е необходимо, за да се защити независимостта на надзорния орган посредством процедура за постепенно назначаване;

д)      дали членовете на надзорния орган могат да бъдат преназначавани;

е)      правилника и общите условия за изпълнение на задълженията на членовете и персонала на надзорния орган;

ж)     правилата и процедурите за прекратяване на задълженията на членовете и персонала на надзорния орган, включително ако престанат да отговарят на необходимите условия за изпълнение на техните задължения или са виновни за извършването на тежко провинение.

Член 50 Професионална тайна

Както по време на мандата си, така и след неговото изтичане, членовете и персоналът на надзорния орган са обвързани със задължение за опазване на професионална тайна по отношение на всякаква поверителна информация, която е стигнала до тяхното знание в хода на изпълнение на служебните им задължения.

РАЗДЕЛ 2 ЗАДЪЛЖЕНИЯ И ПРАВОМОЩИЯ

Член 51 Компетентност

1.           Всеки надзорен орган упражнява на територията на своята държава-членка правомощията, предоставени му в съответствие с настоящия регламент.

2.           Когато обработването на лични данни се извършва в контекста на дейностите на място на установяване на администратор или обработващ лични данни в Съюза, и администраторът или обработващият лични данни е установен в повече от една държава-членка, надзорният орган на държавата-членка, в която се намира основното място на установяване на администратора или обработващия лични данни, е компетентен да осъществява надзор на дейностите по обработване, извършвани от администратора или обработващия лични данни във всички държави-членки, без да се засягат разпоредбите на глава VII от настоящия регламент.

3.           Надзорният орган не е компетентен да осъществява надзор на дейностите по обработване, извършвани от съдилищата при изпълнение на съдебните си им функции.

Член 52 Задължения

1.           Надзорният орган:

а)      наблюдава и осигурява прилагането на настоящия регламент;

б)      разглежда жалбите, подадени от субект на данни или от сдружение, представляващо субекта на данни, в съответствие с член 73, разследва техния предмет дотолкова, доколкото това е целесъобразно, и информира субекта на данни или сдружението за напредъка и резултата от жалбата в разумен срок, особено ако е необходимо по-нататъшно разследване или координиране с друг надзорен орган;

в)      обменя информация с други надзорни органи, предоставя им взаимопомощ и осигурява съгласуваното прилагане и изпълнение на настоящия регламент;

г)       провежда разследвания по своя инициатива или въз основа на жалба, или по искане на друг надзорен орган и информира в разумен срок съответния субект на данни за резултата от разследванията, ако той е подал жалба до този надзорен орган;

д)      наблюдава съответното развитие, по-специално в областта на информационните и комуникационни технологии и търговските практики, дотолкова доколкото то оказва влияние върху защитата на личните данни;

е)      предоставя консултации на институциите и органите на държавата-членка относно законодателните и административните мерки, отнасящи се до защитата на правата и свободите на физическите лица във връзка с обработването на лични данни;

ж)     разрешава и бива консултиран относно операциите по обработване, посочени в член 34;

з)       дава становища относно проектите на кодексите за поведение съгласно член 38, параграф 2;

и)      одобрява задължителните фирмени правила съгласно член 43;

й)      участва в дейностите на Европейския комитет по защита на данните.

2.           Всеки надзорен орган насърчава обществената информираност относно рисковете, правилата, гаранциите и правата, свързани с обработването на лични данни. Обръща се специално внимание на дейностите, специално насочени към децата.

3.           При поискване надзорният орган консултира субектите на данни при упражняването на техните права съгласно настоящия регламент и, ако е целесъобразно, си сътрудничи за тази цел с надзорните органи в други държави-членки.

4.           За жалбите, посочени в параграф 1, буква б), надзорният орган предоставя формуляр за подаване на жалби, който може да бъде попълнен по електронен път, без да се изключват други средства за комуникация.

5.           Изпълнението на задълженията на надзорния орган е безплатно за субекта на данни.

6.           Когато исканията са явно прекомерни, по-специално поради своята повторяемост, надзорният орган може да наложи такса или да не изпълни поисканото от субекта на данни действие. Надзорният орган носи тежестта на доказване на явно прекомерния характер на искането.

Член 53 Правомощия

1.           Всеки надзорен орган има правомощието:

а)      да уведомява администратора или обработващия лични данни за предполагаемо нарушение на разпоредбите, уреждащи обработването на лични данни, и при необходимост да разпорежда на администратора или обработващия лични данни да отстрани това нарушение по конкретен начин, за да се подобри защитата на субекта на данни;

б)      да разпорежда на администратора или на обработващия лични данни да изпълни исканията на субекта на данни, свързани с упражняването на правата, предоставени с настоящия регламент;

в)      да разпорежда на администратора или на обработващия лични данни и, когато е приложимо, на неговия представител да предостави всякаква значима информация за изпълнението на неговите задължения;

г)       да осигурява спазването на изискванията за предварителните разрешения и предварителните консултации, посочени в член 34;

д)      да отправя предупреждения или порицания до администратора или обработващия лични данни;

е)      да разпорежда коригирането, заличаването или унищожаването на всички данни, когато са били обработени в нарушение на разпоредбите на настоящия регламент, както и уведомяването за тези действия на трети страни, пред които са били разкрити данните;

ж)     да налага временна или окончателна забрана за обработване;

з)       да преустановява потоци от данни към получател в трета държава или към международна организация;

и)      да дава становище по всякакви въпроси, свързани със защитата на личните данни;

й)      да информира националните парламенти, правителството или други политически институции, както и обществеността относно всякакви въпроси, свързани със защитата на личните данни.

2.           Всеки надзорен орган има правомощието за разследване, съгласно което може да получава от администратора или обработващия лични данни:

а)      достъп до всички лични данни и до цялата информация, необходима за изпълнението на своите функции;

б)      достъп до всички негови помещения, включително до оборудване и средства за обработване на данни, когато съществуват разумни основания да се предполага, че в тях се осъществява дейност в нарушение на настоящия регламент.

Посочените в буква б) правомощия се упражняват в съответствие с правото на Съюза и с правото на държавата-членка.

3.           Всеки надзорен орган има правомощието да сезира съдебните органи за нарушения на настоящия регламент и да участва в съдебни производства, по-специално по силата на член 74, параграф 4 и член 75, параграф 2.

4.           Всеки надзорен орган има правомощието да санкционира административни нарушения, по-специално нарушенията, посочени в член 79, параграфи 4, 5 и 6.

Член 54 Доклад за дейността

Всеки надзорен орган трябва да изготвя годишен доклад за своята дейност. Докладът се представя на националния парламент и се предоставя на разположение на обществеността, Комисията и Европейския комитет по защита на данните.

ГЛАВА VII

СЪТРУДНИЧЕСТВО И СЪГЛАСУВАНОСТ

Раздел 1 Сътрудничество

Член 55 Взаимопомощ

1.           Надзорните органи предоставят един на друг значима информация и взаимно се подпомагат, за да изпълняват и прилагат настоящия регламент по съгласуван начин, и предвиждат мерки за ефективно сътрудничество помежду си. Взаимопомощта обхваща, по-специално, искания за информация и мерки за надзор като искания за предварителни разрешения и предварителни консултации, проверки и своевременна информация за образуването на производства и резултатите от тях, когато има вероятност от операции по обработване да бъдат засегнати субекти на данни в няколко държави-членки.

2.           Всеки надзорен орган предприема всички подходящи мерки, които са необходими, за да отговори на искането на друг надзорен орган без забавяне и не по-късно от един месец след получаване на искането. Такива мерки могат да включват, по-специално, предаване на значима информация относно хода на дадено разследване или мерки за правоприлагане с цел спиране или забрана на операции по обработване, които противоречат на настоящия регламент.

3.           Искането за помощ съдържа цялата необходима информация, включително целта на искането и причините за него. Обменената информация се използва единствено по отношение на въпросите, за които е поискана.

4.           Надзорен орган, до който е изпратено искане за помощ, няма право да откаже да го изпълни, освен ако:

а)      не е компетентен да изпълни искането; или

б)      изпълнението на искането би било несъвместимо с разпоредбите на настоящия регламент.

5.           Надзорният орган, до който е отправено искането, информира искащия надзорен орган за резултатите или, в зависимост от случая, за напредъка или предприетите мерки за изпълнение на искането на искащия надзорен орган.

6.           Надзорните органи предоставят информацията, поискана от други надзорни органи, чрез електронни средства и във възможно най-кратък срок, като използват стандартизиран формат.

7.           Не се събират такси за действията, предприети в отговор на искане за взаимопомощ.

8.           Когато в срок от един месец даден надзорен орган не предприеме действия в отговор на искане на друг надзорен орган, искащият надзорен орган е компетентен да вземе временна мярка на територията на своята държава-членка в съответствие с член 51, параграф 1 и да отнесе въпроса до Европейския комитет по защита на данните в съответствие с процедурата, посочена в член 57.

9.           Надзорният орган определя срока на действие на тази временна мярка. Този срок не трябва да надвишава три месеца. Надзорният орган съобщава незабавно тези мерки на Европейския комитет по защита на данните и на Комисията, като излага подробно причините за тях.

10.         Комисията може да определи формата и процедурите за взаимопомощта, посочена в настоящия член, както и договореностите за обмена на информация чрез електронни средства между надзорните органи и между надзорните органи и Европейския комитет по защита на данните, и по-специално стандартизирания формат, посочен в параграф 6. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 87, параграф 2.

Член 56 Съвместни операции на надзорните органи

1.           С цел да бъдат засилени сътрудничеството и взаимопомощта надзорните органи изпълняват задачи по разследване, съвместни мерки за правоприлагане и други съвместни операции, в които участват определени членове или персонал на надзорните органи на други държави-членки.

2.           В случаите, при които има вероятност от операции по обработване на данни да бъдат засегнати субекти на данни в няколко държави-членки, надзорният орган на всяка от тези държави-членки има правото да участва в съвместните задачи по разследване или съвместните операции, както е целесъобразно. Компетентният надзорен орган кани надзорния орган на всяка от тези държави-членки да участва в съответните съвместни задачи по разследване или съвместни операции и отговаря без забавяне на искането на даден надзорен орган да се включи в операциите.

3.           В качеството си на надзорен орган домакин, в съответствие със своето собствено национално право и с разрешението на командироващия надзорен орган, всеки надзорен орган може да предостави изпълнителни правомощия, в това число задачи по разследване, на членовете или персонала на командироващия надзорен орган, участващ в съвместни операции или, дотолкова доколкото правото на надзорния орган домакин позволява, да разреши на членовете или персонала на командироващия надзорен орган да упражняват своите изпълнителни правомощия в съответствие с правото на командироващия надзорен орган. Такива изпълнителни правомощия могат да се упражняват единствено под ръководството и, като правило, в присъствието на членове или персонал от надзорния орган домакин. Спрямо членовете или персонала на командироващия надзорен орган се прилага националното право на надзорния орган домакин. Надзорният орган домакин поема отговорността за техните действия.

4.           Надзорните органи определят практическите аспекти на конкретните действия за сътрудничество.

5.           Когато в срок от един месец даден надзорен орган не изпълни задължението, установено в параграф 2, другите надзорни органи са компетентни да вземат временна мярка на територията на своята държава-членка в съответствие с член 51, параграф 1.

6.           Надзорният орган определя срока на действие на временната мярка, посочена в параграф 5. Този срок не трябва да надвишава три месеца. Надзорният орган съобщава незабавно тези мерки на Европейския комитет по защита на данните и на Комисията, като излага подробно причините за тях и поставя въпроса за разглеждане в рамките на механизма, определен в член 57.

Раздел 2 Съгласуваност

Член 57 Механизъм за съгласуваност

За целите, определени в член 46, параграф 1, надзорните органи си сътрудничат помежду си и с Комисията чрез механизма за съгласуваност, както е определено в настоящия раздел.

Член 58 Становище на Европейския комитет по защита на данните

1.           Преди даден надзорен орган да приеме мярка, посочена в параграф 2, този надзорен орган представя проектомярката на Европейския комитет по защита на данните и на Комисията.

2.           Задължението, установено в параграф 1, се отнася за мярка, която е предназначена да породи правни последици и която:

а)      се отнася за дейности по обработване на данни, които са свързани с предлагането на стоки или услуги на субекти на данни в няколко държави-членки или с наблюдението на тяхното поведение; или

б)      може съществено да засегне свободното движение на лични данни в рамките на Съюза; или

в)      има за цел приемането на списък на операциите по обработване, за които се изисква предварителна консултация съгласно член 34, параграф 5; или

г)       има за цел да определи стандартните клаузи за защита на данните, посочени в член 42, параграф 2, буква б); или

д)      има за цел да разреши договорните клаузи, посочени в член 42, параграф 2; или

е)      има за цел да одобри задължителни фирмени правила по смисъла на член 43.

3.           Всеки надзорен орган или Европейският комитет по защита на данните може да поиска който и да било въпрос да бъде разгледан в рамките на механизма за съгласуваност, по-специално когато даден надзорен орган не представи проектомярката, посочена в параграф 2, или не спази задълженията за взаимопомощ в съответствие с член 55 или за съвместни операции в съответствие с член 56.

4.           Комисията може да поиска който и да било въпрос да бъде разгледан в рамките на механизма за съгласуваност, за да се гарантира правилното и съгласувано прилагане на настоящия регламент.

5.           Надзорните органи и Комисията съобщават по електронен път всяка значима информация, включително и в зависимост от случая обобщение на фактите, проектомярката и основанията, налагащи въвеждането на такава мярка, като използва стандартизиран формат.

6.           Председателят на Европейския комитет по защита на данните незабавно информира по електронен път членовете на Европейския комитет по защита на данните и Комисията за всяка значима информация, която му е била съобщена, като използва стандартизиран формат. Председателят на Европейския комитет по защита на данните предоставя превод на значимата информация, когато това е необходимо.

7.           Европейският комитет по защита на данните излиза със становище по въпроса, ако такова решение бъде взето с обикновено мнозинство на неговите членове или ако даден надзорен орган или Комисията поиска това, в срок от една седмица след предоставянето на значимата информация в съответствие с параграф 5. Становището се приема в срок от един месец с обикновено мнозинство на членовете на Европейския комитет по защита на данните. Председателят на Европейския комитет по защита на данните информира без излишно забавяне надзорния орган, посочен — в зависимост от случая —в параграфи 1 и 3, Комисията и надзорния орган, компетентен по силата на член 51, за становището и го оповестява публично.

8.           Надзорният орган, посочен в параграф 1, и надзорният орган, компетентен по силата на член 51, вземат предвид становището на Европейския комитет по защита на данните и в срок от две седмици след като са били информирани за становището от председателя на Европейския комитет по защита на данните по електронен път уведомяват председателя и Комисията дали запазват или изменят своята проектомярка и им представят изменената проектомярка, ако има такава, като използват стандартизиран формат.

Член 59 Становище на Комисията

1.           В срок от десет седмици след като даден въпрос е бил повдигнат съгласно член 58 или най-късно в срок от шест седмици в случая по член 61, за да се осигури правилното и съгласувано прилагане на настоящия регламент, Комисията може да приеме становище във връзка с въпроси, повдигнати съгласно член 58 или член 61.

2.           Когато Комисията е приела становище в съответствие с параграф 1, съответният надзорен орган отчита във възможно най-голяма степен становището на Комисията и информира Комисията и Европейския комитет по защита на данните дали възнамерява да запази или да измени своята проектомярка.

3.           По време на срока, посочен в параграф 1, надзорният орган не приема проектомярката.

4.           Когато съответният надзорен орган не възнамерява да се съобрази със становището на Комисията, той информира за това Комисията и Европейския комитет по защита на данните в рамките на срока, посочен в параграф 1, и предоставя обосновка. В този случай проектомярката не се приема в продължение на още един месец.

Член 60 Временно преустановяване на проектомярка

1.           В срок от един месец от информирането, посочено в член 58, параграф 4, и когато Комисията има сериозни съмнения за това дали проектомярката би осигурила правилното прилагане на настоящия регламент или по-скоро би довела до несъгласуваното му прилагане, Комисията може да вземе обосновано решение, по силата на което се изисква от надзорния орган временно да преустанови приемането на проектомярката, като се взема предвид становището на Европейския комитет по защита на данните съгласно член 58, параграф 7 или член 61, параграф 2, когато това се окаже необходимо с цел да:

а)      се съгласуват различаващите се позиции на надзорния орган и Европейския комитет по защита на данните, ако това все още изглежда възможно; или

б)      се приеме мярка съгласно член 62, параграф 1, буква а).

2.           Комисията посочва продължителността на временното преустановяване, която не надвишава 12 месеца.

3.           По време на периода, посочен в параграф 2, надзорният орган не може да приеме проектомярката.

Член 61 Процедура по спешност

1.           При извънредни обстоятелства, когато даден надзорен орган сметне, че е налице спешна нужда от предприемане на действия с цел защита на интересите на субектите на данни, по-специално когато съществува опасност упражняването на право на субект на данни да бъде сериозно възпрепятствано поради изменение на съществуващото положение, или с цел предотвратяване на големи недостатъци, или поради други причини, чрез дерогация от процедурата, посочена в член 58, той може незабавно да приеме временни мерки с определен срок на действие. Надзорният орган съобщава незабавно тези мерки на Европейския комитет по защита на данните и на Комисията, като излага подробно причините за тях.

2.           Когато надзорен орган е предприел мярка съгласно параграф 1 и счита, че е необходимо спешно да бъдат приети окончателни мерки, той може да поиска от Европейския комитет по защита на данните спешно да даде становище, като изтъкне причини за искането на такова становище, както и за спешността на окончателните мерки.

3.           Всеки надзорен орган може да поиска спешно становище, когато компетентният надзорен орган не е предприел подходящи мерки в ситуация, в която е налице спешна необходимост от предприемане на действия с цел защита на интересите на субектите на данни, като посочи причините за искането на такова становище, както и за спешната нужда от предприемане на действия.

4.           Чрез дерогация от член 58, параграф 7 спешното становище, посочено в параграфи 2 и 3, се приема в срок от две седмици с обикновено мнозинство на членовете на Европейския комитет по защита на данните.

Член 62 Актове за изпълнение

1.           Комисията може да приеме актове за изпълнение:

а)      за да реши относно правилното прилагане на настоящия регламент в съответствие с неговите цели и изисквания във връзка с въпроси, повдигнати от надзорните органи съгласно член 58 или член 61, относно въпрос във връзка с който е прието обосновано решение съгласно член 60, параграф 1 или относно въпрос във връзка с който даден надзорен орган не представя проектомярка и посочва, че не смята да се съобрази със становището на Комисията, прието съгласно член 59;

б)      за да реши в рамките на срока, посочен в член 59, параграф 1, дали да обяви предложените стандартни клаузи за защита на данните, посочени в член 58, параграф 2, буква г), за общовалидни клаузи;

в)      за да посочи формáта и процедурите за прилагане на механизма за съгласуваност, посочен в настоящия раздел;

г)       за да посочи договореностите за обмена на информация чрез електронни средства между надзорните органи, както и между надзорните органи и Европейския комитет по защита на данните, по-специално стандартизирания формат, посочен в член 58, параграфи 5, 6 и 8.

Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 87, параграф 2.

2.           По надлежно обосновани наложителни причини за спешност, свързани с интересите на субектите на данни, в посочените в параграф 1, буква а) случаи Комисията приема актове за изпълнение с незабавно приложение в съответствие с процедурата, посочена в член 87, параграф 3. Тези актове остават в сила за срок, който не надвишава 12 месеца.

3.           Липсата на мярка или приемането на такава съгласно настоящия раздел не засяга други мерки, приети от Комисията по силата на Договорите.

Член 63 Правоприлагане

1.           За целите на настоящия регламент мярка на надзорния орган на една държава-членка, която подлежи на принудително изпълнение, се изпълнява във всички засегнати държави-членки.

2.           Когато надзорен орган не представи проектомярка в рамките на механизма за съгласуваност в нарушение на член 58, параграфи 1—5, мярката на надзорния орган е нищожна и не подлежи на принудително изпълнение.

Раздел 3 Европейски комитет по защита на данните

Член 64 Европейски комитет по защита на данните

1.           Създава се Европейски комитет по защита на данните.

2.           Европейският комитет по защита на данните е съставен от ръководителя на един надзорен орган от всяка държава-членка и на Европейския надзорен орган по защита на данните.

3.           Когато в дадена държава-членка повече от един надзорен орган отговаря за наблюдението на прилагането на разпоредбите съгласно настоящия регламент, тези надзорни органи избират ръководителя на един от тях за съвместен представител.

4.           Комисията има право да участва в дейностите и заседанията на Европейския комитет по защита на данните и определя свой представител. Председателят на Европейския комитет по защита на данните информира незабавно Комисията за всички дейности на Европейския комитет по защита на данните.

Член 65 Независимост

1.           Европейският комитет по защита на данните действа независимо при изпълнението на задачите си съгласно членове 66 и 67.

2.           Без да се засягат исканията на Комисията, посочени в членове 66, параграфи 1, буква б) и в член 66, параграф 2, Европейският комитет по защита на данните не търси и не приема указания от никого при изпълнението на своите задачи.

Член 66 Задачи на Европейския комитет по защита на данните

1.           Европейският комитет по защита на данните осигурява съгласуваното прилагане на настоящия регламент. За тази цел по-специално Европейският комитет по защита на данните по своя собствена инициатива или по искане на Комисията:

а)      консултира Комисията по всеки въпрос, свързан със защитата на личните данни в Съюза, включително относно всяко предложено изменение на настоящия регламент;

б)      разглежда по своя собствена инициатива, по инициатива на някой от своите членове или по искане на Комисията всеки въпрос, който се отнася до прилагането на настоящия регламент, и издава насоки, препоръки и най-добри практики, предназначени за надзорните органи с цел насърчаване на съгласуваното прилагане на настоящия регламент;

в)      извършва преглед на практическото прилагане на насоките, препоръките и най-добрите практики, посочени в буква б), и докладва редовно на Комисията за това;

г)       дава становища относно проекторешенията на надзорните органи по силата на механизма за съгласуваност, посочен в член 57;

д)      насърчава сътрудничеството и ефективния двустранен и многостранен обмен на информация и практики между надзорните органи;

е)      насърчава общите програми за обучение и улеснява обмена на персонал между надзорните органи, както и с надзорните органи на трети държави или на международни организации, когато е целесъобразно;

ж)     насърчава обмена на знания и документация относно законодателството и практиките в областта на защитата на данните с надзорните органи по защита на данните в цял свят.

2.           Когато Комисията поиска съвет от Европейския комитет по защита на данните, тя може да определи срок, в рамките на който последният да предостави такъв съвет, като се взема предвид спешността на въпроса.

3.           Европейският комитет по защита на данните изпраща своите становища, насоки, препоръки и най-добри практики на Комисията и на комитета, посочен в член 87, и ги прави обществено достояние.

4.           Комисията информира Европейския комитет по защита на данните за действията, което е предприела вследствие на становищата, насоките, препоръките и най-добрите практики, издадени от Европейския комитет по защита на данните.

Член 67 Доклади

1.           Европейският комитет по защита на данните информира редовно и своевременно Комисията за резултатите от своите дейности. Той изготвя годишен доклад за ситуацията по отношение на защитата на физическите лица във връзка с обработването на лични данни в Съюза и в трети държави.

В доклада се включва прегледът на практическото прилагане на насоките, препоръките и най-добрите практики, посочен в член 66, параграф 1, буква в).

2.           Докладът се оповестява публично и предава на Европейския парламент, Съвета и Комисията.

Член 68 Процедура

1.           Европейският комитет по защита на данните взема решения с обикновено мнозинство на членовете си.

2.           Европейският комитет по защита на данните приема свой процедурен правилник и определя своите методи на работа. По-специално, той предвижда, че изпълнението на задълженията продължава, когато мандатът на даден член изтече или даден член подаде оставка, както и създаването на подгрупи за конкретни въпроси или сектори и свои процедури по отношение на механизма за съгласуваност, посочен в член 57.

Член 69 Председател

1.           Европейският комитет по защита на данните избира председател и двама заместник-председатели измежду своите членове. Един от заместник-председателите е Европейският надзорен орган по защита на данните, освен ако той не е избран за председател.

2.           Мандатът на председателя и на заместник-председателите е пет години и може да бъде подновяван.

Член 70 Задачи на председателя

1.           Председателят има следните задачи:

а)      да свиква заседанията на Европейския комитет по защита на данните и да изготвя дневния ред;

б)      да осигурява своевременното изпълнение на задачите на Европейския комитет по защита на данните, по-специално във връзка с механизма за съгласуваност, посочен в член 57.

2.           В своя процедурен правилник Европейският комитет по защита на данните определя разпределението на задачите между председателя и заместник-председателите.

Член 71 Секретариат

1.           Европейският комитет по защита на данните има секретариат. Секретариатът се осигурява от Европейския надзорен орган по защита на данните.

2.           Секретариатът предоставя аналитична, административна и логистична подкрепа на Европейския комитет по защита на данните под ръководството на председателя.

3.           Секретариатът отговаря по-специално за:

а)      ежедневната работа на Европейския комитет по защита на данните;

б)      комуникацията между членовете на Европейския комитет по защита на данните, неговия председател и Комисията, както и за комуникацията с други институции и с обществеността;

в)      използването на електронни средства за вътрешна и външна комуникация;

г)       превода на значима информация;

д)      подготовката на заседанията на Европейския комитет по защита на данните и последващите действия във връзка с тях;

е)      подготовката, изготвянето и публикуването на становища и други текстове, приети от Европейския комитет по защита на данните.

Член 72 Поверителност

1.           Обсъжданията на Европейския комитет по защита на данните са поверителни.

2.           Документите, предоставени на членовете на Европейския комитет по защита на данните, експертите и представителите на трети страни, са поверителни, освен ако не е предоставен достъп до тези документи в съответствие с Регламент (ЕО) № 1049/2001 или Европейският комитет по защита на данните не ги направи обществено достояние по друг начин.

3.           Членовете на Европейския комитет по защита на данните, както и експертите и представителите на трети страни са длъжни да спазват задълженията за поверителност, установени в настоящия член. Председателят гарантира, че експертите и представителите на трети страни са запознати с наложените им изисквания за поверителност.

ГЛАВА VIII

СРЕДСТВА ЗА ПРАВНА ЗАЩИТА, ОТГОВОРНОСТ ЗА ПРИЧИНЕНИ ВРЕДИ И САНКЦИИ

Член 73 Право на подаване на жалба до надзорен орган

1.           Без да се засягат които и да било други средства за административна или съдебна защита, всеки субект на данни има право да подаде жалба до надзорен орган в която и да било държава-членка, ако счита, че обработването на личните му данни не е в съответствие с настоящия регламент.

2.           Всяка структура, организация или сдружение, учредено съгласно правото на държава-членка и чиято цел е да защитава правата и интересите на субектите на данни по отношение на защитата на техните лични данни, има право да подава жалба до надзорен орган в която и да било държава-членка от името на един или повече субекти на данни, когато счита, че правата на даден субект на данни съгласно настоящия регламент са били нарушени вследствие на обработването на личните данни.

3.           Всяка структура, организация или сдружение, посочено в параграф 2, има право да подаде жалба до надзорен орган в която и да било държава-членка от свое име и независимо от подадена от субект на данни жалба, когато счита, че е налице нарушение на сигурността на личните данни.

Член 74 Право на средства за съдебна защита срещу надзорен орган

1.           Всяко физическо или юридическо лице има право на средства за правна защита срещу решенията на надзорен орган, които го засягат.

2.           Всеки субект на данни има право на средства за правна защита, за да задължи надзорния орган да предприеме действие по жалба, в случай че липсва решение, необходимо за защита на неговите права, или когато надзорният орган не информира субекта на данни в срок от три месеца за напредъка и резултата от жалбата съгласно член 52, параграф 1, буква б).

3.           Производствата срещу надзорните органи се завеждат пред съдилищата на държавата-членка, в която е установен съответният надзорен орган.

4.           Субект на данни, който е засегнат от решение на надзорен орган в държава-членка, различна от държавата-членка, в която той пребивава постоянно, може да поиска от надзорния орган на държавата-членка, в която пребивава постоянно, да заведе дело от негово име срещу компетентния надзорен орган в другата държава-членка.

5.           Държавите-членки изпълняват окончателните решения на съдилищата, посочени в настоящия член.

Член 75 Право на средства за съдебна защита срещу администратор или обработващ лични данни

1.           Без да се засяга което и да било налично административно средство за защита, включително правото да бъде подадена жалба до надзорен орган, както е посочено в член 73, всяко физическо лице има право на средства за съдебна защита, ако то счита, че са нарушени правата му по настоящия регламент вследствие на обработването на неговите лични данни при неспазване на разпоредбите на настоящия регламент.

2.           Производствата срещу даден администратор или обработващ лични данни се завеждат пред съдилищата на държавата-членка, в която администраторът или обработващият лични данни има място на установяване. Като алтернатива такива дела могат да се завеждат пред съдилищата в държавата-членка, в която субектът на данните пребивава постоянни, освен ако администраторът не е публичен орган, който действа в изпълнение на своите публични правомощия.

3.           Когато производства, които се отнасят за една и съща мярка, решение или практика, са в ход в рамките на механизма за съгласуваност, посочен в член 58, даден съд може временно да преустанови производствата, заведени пред него, освен когато спешността на въпроса за защитата на правата на субекта на данните не позволява да се изчака резултатът от процедурата в рамките на механизма за съгласуваност.

4.           Държавите-членки изпълняват окончателните решения на съдилищата, посочени в настоящия член.

Член 76 Общи правила за съдебните производства

1.           Всички структури, организации или сдружения, посочени в член 73, параграф 2, имат право да упражняват правата, посочени в членове 74 и 75, от името на един или повече субекти на данни.

2.           Всеки надзорен орган има право да участва в съдебни производства и да завежда дела пред съдилища с цел изпълнение на разпоредбите на настоящия регламент или с цел осигуряване на съгласуваност на защитата на лични данни в рамките на Съюза.

3.           Когато компетентен съд на държава-членка има разумни основания да счита, че се провежда паралелно производство в друга държава-членка, той се свързва с компетентния съд в другата държава-членка, за да потвърди наличието на такова паралелно производство.

4.           Когато това паралелно производство в друга държава-членка засяга същата мярка, решение или практика, съдът може временно да преустанови производството.

5.           Държавите-членки гарантират, че съдебните производства, които са на разположение съгласно националното право, позволяват бързото приемане на мерки, включително временни мерки, предназначени за преустановяването на предполагаемо нарушение и за предотвратяването на по-нататъшно накърняване на съответните интереси.

Член 77 Право на обезщетение и отговорност за причинени вреди

1.           Всяко лице, което е претърпяло вреди в резултат на неправомерна операция по обработване или несъвместимо с настоящия регламент действие, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди.

2.           Ако в обработването са участвали повече от един администратор или обработващ лични данни, всеки от тях е солидарно отговорен за целия размер на вредите.

3.           Администраторът или обработващият лични данни може да бъде изцяло или частично освободен от такава отговорност, ако докаже, че не носи отговорност за събитието, довело до причиняване на вредите.

Член 78 Санкции

1.           Държавите-членки установяват правилата относно санкциите, които се налагат при нарушения на разпоредбите на настоящия регламент, и вземат всички необходими мерки за гарантиране на тяхното изпълнение, включително в случаите, когато администраторът не е изпълнил задължението си да определи представител. Предвидените санкции трябва да бъдат ефективни, пропорционални и възпиращи.

2.           Когато администраторът е установил представител, всички санкции се налагат на представителя, без това да засяга санкциите, които биха могли да бъдат предявени срещу самия администратор.

3.           Всяка държава-членка уведомява Комисията за тези разпоредби в своето право, които приема съгласно параграф 1, най-късно до датата, посочена в член 91, параграф 2, и я уведомява незабавно за всяко последващо изменение, което ги засяга.

Член 79 Административни санкции

1.           Всеки надзорен орган има правомощието да налага административни санкции в съответствие с настоящия член.

2.           Административните санкции във всеки отделен случай следва да бъдат ефективни, пропорционални и възпиращи. Размерът на административната глоба се определя, като надлежно се отчитат естеството, тежестта и продължителността на нарушението, дали то е извършено умишлено или по небрежност, степента на отговорност на физическото или юридическо лице, както и наличието на предишни нарушения от това лице, техническите и организационни мерки и процедури, които се прилагат съгласно член 23, както и степента на сътрудничество с надзорния орган с цел отстраняване на нарушението.

3.           В случай на първо и непреднамерено неспазване на настоящия регламент може да се отправи писмено предупреждение и да не се налага санкция, когато:

а)      физическо лице обработва лични данни без търговска цел; или

б)      предприятие или организация с по-малко от 250 човека персонал обработва лични данни само като вторична дейност спрямо основните си дейности.

4.           Надзорният орган налага глоба в максимален размер до 250 000 EUR, а в случай на предприятие в максимален размер до 0,5 % от годишния му световен оборот, на всеки, който умишлено или по небрежност:

а)      не предоставя механизмите за искания на субектите на данни, не отговаря своевременно или не отговаря в необходимия формат на субектите на данни съгласно член 12, параграфи 1 и 2;

б)      налага такса за информацията или за отговори на исканията на субектите на данни в нарушение на член 12, параграф 4;

5.           Надзорният орган налага глоба в максимален размер до 500 000 EUR, а в случай на предприятие в максимален размер до 1 % от годишния му световен оборот, на всеки, който умишлено или по небрежност:

а)      не предоставя информацията или предоставя непълна информация, или не предоставя информацията по достатъчно прозрачен начин на субекта на данни съгласно член 11, член 12, параграф 3 и член 14;

б)      не осигурява достъп на субекта на данни или не коригира личните данни съгласно членове 15 и 16, или не съобщава съответната информация на даден получател съгласно член 13;

в)      не зачита правото „да бъдеш забравен“ или правото на заличаване, или не предоставя механизми за осигуряване на спазването на сроковете, или не предприема всички необходими мерки, за да информира трети страни, че даден субект на данни иска заличаването на всички връзки, копия или реплики на личните данни съгласно член 17;

г)       не предоставя копие на личните данни в електронен формат или пречи на субекта на данни да предаде личните данни на друго приложение в нарушение на член 18;

д)      не определя или определя в недостатъчна степен съответните отговорности на съвместните администратори съгласно член 24;

е)      не поддържа или поддържа в недостатъчна степен документацията съгласно член 28, член 31, параграф 4 и член 44, параграф 3;

ж)     когато не става въпрос за специални категории данни, не спазва правилата съгласно членове 80, 82 и 83 по отношение на свободата на изразяване или правилата за обработване на данни в контекста на трудовите правоотношения, или условията за обработване на данни за исторически, статистически и научноизследователски цели.

6.           Надзорният орган налага глоба в максимален размер до 1 000 000 EUR, а в случай на предприятие в максимален размер до 2 % от годишния му световен оборот, на всеки, който умишлено или по небрежност:

а)      обработва лични данни без никакво или без достатъчно правно основание за обработването или не спазва условията за съгласие съгласно членове 6, 7 и 8;

б)      обработва специални категории данни в нарушение на членове 9 и 81;

в)      не се съобразява с възражение или не спазва изискването съгласно член 19;

г)       не спазва условията по отношение на мерките, основани на профилиране, съгласно член 20;

д)      не приема вътрешни политики или не предприема подходящи мерки за осигуряване и доказване на съответствие съгласно членове 22, 23 и 30;

е)      не определя свой представител съгласно член 25;

ж)     обработва или разпорежда обработването на лични данни в нарушение на задълженията по отношение на обработването от името на администратор съгласно членове 26 и 27;

з)       не предупреждава или не уведомява за нарушение на сигурността на личните данни, или не уведомява своевременно или изчерпателно за нарушението надзорния орган или субекта на данни съгласно членове 31 и 32;

и)      не извършва оценка на въздействието върху защитата на данните или обработва лични данни без предварително разрешение или предварителна консултация от надзорния орган съгласно членове 33 и 34;

й)      не определя длъжностно лице по защита на данните или не осигурява условията за изпълнение на задачите съгласно членове 35, 36 и 37;

к)      злоупотребява с печат или маркировка за защита на данните по смисъла на член 39;

л)      извършва или разпорежда предаване на данни до трета държава или международна организация, което не е разрешено с решение относно адекватността или чрез подходящи гаранции, или чрез дерогация съгласно членове 40―44;

м)      не спазва дадено разпореждане, временна или окончателна забрана за обработване или наложено преустановяване на потоците от данни от надзорния орган съгласно член 53, параграф 1;

н)      не изпълнява задълженията да подпомага, да отговаря или да предоставя значима информация на надзорния орган, или да му осигурява достъп до помещенията съгласно член 28, параграф 3, член 29, член 34, параграф 6 и член 53, параграф 2;

о)      не спазва правилата за опазване на професионалната тайна съгласно член 84.

7.           На Комисията се предоставя правомощието да приема делегирани актове в съответствие с член 86 с цел актуализиране на размера на административните глоби, посочени в параграфи 4, 5 и 6, като се вземат предвид критериите, посочени в параграф 2.

ГЛАВА IX РАЗПОРЕДБИ, СВЪРЗАНИ С ОСОБЕНИ СИТУАЦИИ НА ОБРАБОТВАНЕ НА ДАННИ

Член 80 Обработване на лични данни и свобода на изразяване

1.           Държавите-членки предвиждат изключения или дерогации от разпоредбите относно общите принципи в глава II, относно правата на субекта на данни в глава III, относно администратора и обработващия лични данни в глава IV, относно предаването на лични данни на трети държави и международни организации в глава V, относно независимите надзорни органи в глава VI и сътрудничеството и съгласуваността в глава VII за обработването на лични данни, когато то се извършва единствено за журналистически цели или за целите на художественото или литературното изразяване, за да се съгласува правото на защита на личните данни с разпоредбите,уреждащи свободата на изразяване.

2.           Всяка държава-членка уведомява Комисията за тези разпоредби в своето право, които приема по силата на параграф 1, най-късно до датата, посочена в член 91, параграф 2, и я уведомява незабавно за всеки последващ закон за изменение или изменение, което ги засяга.

Член 81 Обработване на лични данни за здравословното състояние

1.           В рамките на настоящия регламент и в съответствие с член 9, параграф 2, буква з) обработването на лични данни за здравословното състояние трябва да се основава на правото на Съюза или на правото на държава-членка, в което са предвидени подходящи и специални мерки за гарантиране на законните интереси на субекта на данните, и да е необходимо:

а)      за целите на профилактичната или трудовата медицина, поставянето на медицинска диагноза, предоставянето на грижи или лечение или за управлението на здравното обслужване и когато тези данни се обработват от здравен специалист, който е обвързан със задължение за опазване на професионална тайна или от друго лице, което също е обвързано с равностойно задължение за поверителност по силата на правото на дадена държава-членка или на разпоредби, установени от компетентни национални органи; или

б)      по причини от обществен интерес в областта на общественото здраве като защитата срещу сериозни трансгранични заплахи за здравето или осигуряването на високи стандарти за качество и безопасност, наред с другото, за лекарствените продукти или медицинските изделия; или

в)      по други причини от обществен интерес в области като и социалната защита, особено с цел да се гарантират качеството и рентабилността на използваните процедури за уреждане на искове за обезщетения и услуги в системата на здравното осигуряване.

2.           Обработването на лични данни за здравословното състояние, което е необходимо за исторически, статистически или научноизследователски цели като списъци на пациенти, изготвени с цел подобряване на диагностиката, разграничаване на сходни по вид заболявания и подготвяне на изследвания за терапии, подлежи на условията и гаранциите, посочени в член 83.

3.           На Комисията се предоставя правомощието да приема делегирани актове в съответствие с член 86 с цел допълнително уточняване на причините от обществен интерес в областта на общественото здраве, посочени в параграф 1, буква б), както и на критериите и изискванията за гаранциите за обработването на лични данни за целите, посочени в параграф 1.

Член 82 Обработване на данни в контекста на трудово правоотношение

1.           В рамките на настоящия регламент държавите-членки могат да приемат със закон специални разпоредби, с които се урежда обработването на личните данни на наетите лица по трудово правоотношение, по-специално за целите на набирането на персонал, изпълнението на трудовия договор, включително изпълнението на задълженията, установени със закон или с колективни споразумения, управлението, планирането и организацията на работата, здравето и безопасността на работното място, както и за целите на упражняване и ползване на индивидуална или колективна основа на правата и облагите от заетостта, а също и за целите на прекратяване на трудовото правоотношение.

2.           Всяка държава-членка уведомява Комисията за тези разпоредби в своето право, които приема съгласно параграф 1, най-късно до датата, посочена в член 91, параграф 2, и я уведомява незабавно за всяко последващо изменение, което ги засяга.

3.           На Комисията се предоставя правомощието да приема делегирани актове в съответствие с член 86 с цел допълнително уточняване на критериите и изискванията за гаранциите при обработването на лични данни за целите, посочени в параграф 1.

Член 83 Обработване на данни за исторически, статистически и научноизследователски цели

1.           В рамките на настоящия регламент лични данни могат да се обработват за исторически, статистически или научноизследователски цели само ако:

а)      тези цели не могат да бъдат изпълнени по друг начин освен чрез обработването на данни, които не позволяват или повече не позволяват идентифицирането на субекта на данните;

б)      данните, които позволяват информацията да бъде свързана със субект на данни, който е идентифициран или може да бъде идентифициран, се съхраняват отделно от другата информация дотолкова, доколкото тези цели могат да бъдат постигнати по този начин.

2.           Структурите, които провеждат исторически, статистически или научни изследвания, могат да публикуват лични данни само ако:

а)      субектът на данните е дал своето съгласие, като са спазени условията, предвидени в член 7;

б)      публикуването на лични данни е необходимо за представяне на открития от изследвания и за улесняване на изследвания дотолкова, доколкото интересите или основните права или свободи на субекта на данни нямат преимущество пред тези интереси; или

в)      субектът на данните е обявил публично данните.

3.           На Комисията се предоставя правомощието да приема делегирани актове в съответствие с член 86 с цел допълнително уточняване на критериите и изискванията за обработването на лични данни за целите, посочени в параграфи 1 и 2, както и на всякакви необходими ограничения на правата на информация и достъп на субекта на данни и посочване на условията и гаранциите за правата на субекта на данните при тези обстоятелства.

Член 84 Задължения за опазване на тайна

1.           В рамките на настоящия регламент държавите-членки могат да приемат специални разпоредби, за да установят правомощията за разследване на надзорните органи, предвидени в член 53, параграф 2, по отношение на администраторите или обработващите лични данни, които по силата на националното право или на разпоредби, установени от компетентните национални органи, са обвързани със задължение за опазване на професионална тайна или с други равностойни задължения за опазване на тайна, когато това е необходимо и пропорционално за съгласуване на правото на защита на личните данни със задължението за опазване на тайна. Тези разпоредби се прилагат само по отношение на лични данни, които администраторът или обработващият лични данни е получил в хода на дейност, подлежаща на това задължение за опазване на тайна.

2.           Всяка държава-членка уведомява Комисията за разпоредбите, приети съгласно параграф 1, най-късно до датата, посочена в член 91, параграф 2, и я уведомява незабавно за всяко последващо изменение, което ги засяга.

Член 85 Съществуващи правила за защита на данните на църкви и религиозни сдружения

1.           Когато в дадена държава-членка към момента на влизане в сила на настоящия регламент църквите и религиозните сдружения или общности прилагат цялостни правила по отношение на защитата на физическите лица във връзка с обработването на лични данни, тези съществуващи правила могат да продължат да се прилагат, при условие че са приведени в съответствие с разпоредбите на настоящия регламент.

2.           Църквите и религиозните сдружения, които прилагат цялостни правила в съответствие с параграф 1, предвиждат създаването на независим надзорен орган в съответствие с глава VI от настоящия регламент.

ГЛАВА X ДЕЛЕГИРАНИ АКТОВЕ И АКТОВЕ ЗА ИЗПЪЛНЕНИЕ

Член 86 Упражняване на делегирането

1.           Правомощието да приема делегирани актове се предоставя на Комисията при спазване на предвидените в настоящия член условия.

2.           Правомощието да приема делегирани актове, посочено в член 6, параграф 5, член 8, параграф 3, член 9, параграф 3, член 12, параграф 5, член 14, параграф 7, член 15, параграф 3, член 17, параграф 9, член 20, параграф 6, член 22, параграф 4, член 23, параграф 3, член 26, параграф 5, член 28, параграф 5, член 30, параграф 3, член 31, параграф 5, член 32, параграф 5, член 33, параграф 6, член 34, параграф 8, член 35, параграф 11, член 37, параграф 2, член 39, параграф 2, член 43, параграф 3, член 44, параграф 7, член 79, параграф 6, член 81, параграф 3, член 82, параграф 3) и член 83, параграф 3 се предоставя на Комисията за неопределен срок, считано от датата на влизане в сила на настоящия регламент.

3.           Делегирането на правомощия, посочено в член 6, параграф 5, член 8, параграф 3, член 9, параграф 3, член 12, параграф 5, член 14, параграф 7, член 15, параграф 3, член 17, параграф 9, член 20, параграф 6, член 22, параграф 4, член 23, параграф 3, член 26, параграф 5, член 28, параграф 5, член 30, параграф 3, член 31, параграф 5, член 32, параграф 5, член 33, параграф 6, член 34, параграф 8, член 35, параграф 11, член 37, параграф 2, член 39, параграф 2, член 43, параграф 3, член 44, параграф 7, член 79, параграф 6, член 81, параграф 3, член 82, параграф 3) и член 83, параграф 3 може да бъде оттеглено по всяко време от Европейския парламент или от Съвета. С решението за оттегляне се прекратява посоченото в него делегиране на правомощия. То поражда действие в деня след публикуването на решението в Официален вестник на Европейския съюз или на по-късна, посочена в решението дата. То не засяга действителността на делегираните актове, които вече са в сила.

4.           Веднага след като приеме делегиран акт, Комисията нотифицира акта едновременно на Европейския парламент и Съвета

5.           Делегиран акт, приет съгласно член 6, параграф 5, член 8, параграф 3, член 9, параграф 3, член 12, параграф 5, член 14, параграф 7, член 15, параграф 3, член 17, параграф 9, член 20, параграф 6, член 22, параграф 4, член 23, параграф 3, член 26, параграф 5, член 28, параграф 5, член 30, параграф 3, член 31, параграф 5, член 32, параграф 5, член 33, параграф 6, член 34, параграф 8, член 35, параграф 11, член 37, параграф 2, член 39, параграф 2, член 43, параграф 3, член 44, параграф 7, член 79, параграф 6, член 81, параграф 3, член 82, параграф 3) и член 83, параграф 3, влиза в сила единствено ако нито Европейският парламент, нито Съветът не са представили възражения в срок от два месеца след нотифицирането на акта на Европейския парламент и Съвета или ако преди изтичането на този срок и Европейският парламент, и Съветът са уведомили Комисията, че няма да представят възражения. Този срок се удължава с два месеца по инициатива на Европейския парламент или на Съвета.

Член 87 Процедура на комитет

1.           Комисията се подпомага от комитет. Този комитет е комитет по смисъла на Регламент (ЕС) № 182/2011.

2.           При позоваване на настоящия параграф се прилага член 5 от Регламент (ЕС) № 182/2011.

3.           При позоваване на настоящия параграф се прилага член 8 от Регламент (ЕС) № 182/2011 във връзка с член 5 от него.

ГЛАВА XI

ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ

Член 88 Отмяна на Директива 95/46/ЕО

1.           Директива 95/46/ЕО се отменя.

2.           Позоваванията на отменената директива се тълкуват като позовавания на настоящия регламент. Позоваванията на Работната група за защита на лицата при обработването на лични данни, създадена по силата на член 29 от Директива 95/46/ЕО, се тълкуват като позовавания на Европейския комитет по защита на личните данни, създаден с настоящия регламент.

Член 89 Връзка и изменяне на Директива 2002/58/ЕО

1.           Настоящият регламент не налага допълнителни задължения на физическите или юридическите лица във връзка с обработването на лични данни, свързано с доставката на общественодостъпни електронни съобщителни услуги в обществени съобщителни мрежи в Съюза, по отношение на въпроси, за които са им наложени специални задължения със същата цел, установени в Директива 2002/58/ЕО.

2            Член 1, параграф 2 от Директива 2002/58/ЕО се заличава.

Член 90 Оценка

Комисията редовно представя на Европейския парламент и на Съвета доклади относно оценката и прегледа на настоящия регламент. Първият доклад се представя не по-късно от четири години след влизането в сила на настоящия регламент. Следващите доклади се представят на всеки четири години след това. Комисията представя, ако е необходимо, подходящи предложения за изменение на настоящия регламент и за привеждане в съответствие на други правни инструменти, като отчита по-специално развитието на информационните технологии и с оглед на напредъка в информационното общество. Докладите се оповестяват публично.

Член 91 Влизане в сила и прилагане

1.           Настоящият регламент влиза в сила на двадесетия ден след деня на публикуването му в Официален вестник на Европейския съюз.

2.           Той се прилага от [две години от датата, посочена в параграф 1].

Настоящият регламент е задължителен в своята цялост и се прилага пряко във всички държави-членки.

Съставено в Брюксел на 25.1.2012 година.

За Европейския парламент                         За Съвета

Председател                                                Председател

ЗАКОНОДАТЕЛНА ФИНАНСОВА ОБОСНОВКА

1.           РАМКА НА ПРЕДЛОЖЕНИЕТО/ИНИЦИАТИВАТА

              1.1.    Наименование на предложението/инициативата

              1.2.    Съответна(и) област(и) на политиката в структурата на УД/БД

              1.3.    Естество на предложението/инициативата

              1.4.    Цел(и)

              1.5.    Основания за предложението/инициативата

              1.6.    Продължителност и финансово отражение

              1.7.    Предвиден(и) метод(и) на управление

2.           МЕРКИ ЗА УПРАВЛЕНИЕ

              2.1.    Правила за мониторинг и докладване

              2.2.    Система за управление и контрол

              2.3.    Мерки за предотвратяване на измами и нередности

3.           ОЧАКВАНО ФИНАНСОВО ОТРАЖЕНИЕ НА ПРЕДЛОЖЕНИЕТО/ИНИЦИАТИВАТА

              3.1.    Засегната(и) функция(и) от многогодишната финансова рамка и разходен(ни) бюджетен(ни) ред(ове)

              3.2.    Очаквано отражение върху разходите

              3.2.1. Обобщение на очакваното отражение върху разходите

              3.2.2. Очаквано отражение върху бюджетните кредити за оперативни разходи

              3.2.3. Очаквано отражение върху бюджетните кредити с административен характер

              3.2.4. Съвместимост с настоящата многогодишна финансова рамка

              3.2.5. Участие на трети страни във финансирането

              3.3.    Очаквано отражение върху приходите

ЗАКОНОДАТЕЛНА ФИНАНСОВА ОБОСНОВКА

1. РАМКА НА ПРЕДЛОЖЕНИЕТО/ИНИЦИАТИВАТА

В настоящата финансова обосновка подробно е посочено какви административни разходи е необходимо да се направят, за да бъде осъществена реформата в областта на защитата на данните, както е обяснено в съответстващата оценка на взаимодействието. Реформата включва две законодателни предложения — общ регламент относно защитата на данните и директива относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването и наказателното преследване на престъпления или изпълнението на наказателни санкции. Във финансовата обосновка е посочено бюджетното отражение и от двата инструмента.

Съгласно разпределението на задачите са необходими ресурси от Комисията и от Европейския надзорен орган по защита на данните (ЕНОЗД).

Що се отнася до Комисията, необходимите ресурси вече са включени в предложената финансова перспектива за периода 2014—2020 г. Защитата на данните е сред целите на програмата „Права и гражданство“, която ще оказва също така подкрепа за мерки, свързани с практическото прилагане на правната рамка. Бюджетните кредити за административни разходи, включително нуждите от персонал, са включени в административния бюджет за ГД „Правосъдие“.

Що се отнася до ЕНОЗД, необходимите ресурси трябва да бъдат взети под внимание при изготвянето на съответните годишни бюджети за ЕНОЗД. Ресурсите са подробно представени в приложението към настоящата финансова обосновка. За осигуряване на нужните ресурси за изпълнението на новите задачи на Европейския комитет по защита на данните, за който ЕНОЗД ще осигури секретариата, ще бъде необходимо функция 5 от финансовата перспектива за 2014—2020 г. да се препрограмира.

1.1. Наименование на предложението/инициативата

Предложение за регламент на Европейския парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни (общ регламент относно защитата на данните).

Предложение за директива на Европейския парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции и относно свободното движение на такива данни.

1.2. Съответна(и) област(и) на политиката в структурата на УД/БД[49]

Правосъдие — Защита на лични данни

Отражението върху бюджета засяга Комисията и Европейския надзорен орган по защита на данните (ЕНОЗД). Отражението върху бюджета на Комисията е представено подробно в таблиците в настоящата законодателна обосновка. Оперативните разходи са част от програмата „Права и гражданство“ и вече са взети предвид във финансовата обосновка за тази програма, тъй като административните разходи са част от пакета за ГД „Правосъдие“. Елементите относно ЕНОЗД са показани в приложението.

1.3. Естество на предложението/инициативата

¨ Предложението/инициативата е във връзка с нова дейност

¨ Предложението/инициативата е във връзка с нова дейност вследствие на пилотен проект/подготвителна дейност[50]

þ Предложението/инициативата е във връзка с продължаване на съществуваща дейност

¨ Предложението/инициативата е във връзка с дейност, пренасочена към нова дейност

1.4. Цели 1.4.1. Многогодишна(и) стратегическа(и) цел(и) на Комисията, към която(ито) е насочено(а) предложението/инициативата

Целта на реформата е да бъдат изпълнени първоначалните цели, като се вземат предвид новите развития и предизвикателства, т.е.:

- по-ефективно прилагане на основното право на защита на данните и предоставяне на физическите лица на контрол върху техните данни, по-специално в контекста на технологичните развития и нарасналата глобализация;

- подобряване на измерението на защитата на данните, свързано с вътрешния пазар, чрез намаляване на фрагментарността, по-голяма съгласуваност и опростяване на регулаторната среда, като по този начин се премахват ненужните разходи и се намалява административната тежест.

Освен това влизането в сила на Договора от Лисабон — и по-специално, въвеждането на ново правно основание (член 16 от ДФЕС) ― дава възможност да бъде постигната нова цел, а именно:

- да бъде установена всеобхватна рамка за защита на данните, която включва всички области.

1.4.2. Конкретна(и) цел(и) и съответна(и) дейност(и) във връзка с УД/БД

Конкретна цел № 1

Гарантиране на съгласуваното прилагане на правилата за защита на данните

Конкретна цел № 2

Рационализиране на настоящата система за управление, за да се подпомогне гарантирането на по-съгласувано прилагане

Съответна(и) дейност(и) във връзка с УД/БД

[…]

1.4.3. Очакван(и) резултат(и) и отражение

Да се посочи въздействието, което предложението/инициативата следва да окаже по отношение на целевите бенефициери/групи.

Що се отнася до администраторите на данни, както публичните, така и частните субекти ще имат по-голяма правна сигурност, установена благодарение на хармонизираните и ясни правила и процедури на ЕС за защита на данните, които създават еднакви условия и гарантират съгласувано прилагане на правилата за защита на данните, както и значително намаляване на административната тежест.

Физическите лица ще упражняват по-добър контрол върху своите лични данни, ще имат по-голямо доверие в цифровата среда и ще бъдат защитени, включително когато личните им данни се обработват в чужбина. Освен това ще съществува по-голяма отчетност от страна на лицата, които обработват лични данни.

В една всеобхватна система за защита на данните ще бъдат включени също така полицията и правосъдието, включително областите извън предишния трети стълб.

1.4.4. Показатели за резултатите и за отражението

Да се посочат показателите, които позволяват да се проследи осъществяването на предложението/инициативата.

(Вж. Оценка на въздействието, раздел 8)

Показателите се оценяват периодично и включват следните елементи:

•        време и разходи, които администраторите на данни са използвали за спазване на законодателството в „други държави-членки“;

•        ресурси, предоставени на органите по защита на данните (ОЗД);

•        длъжностни лица по защита на данните (ДЛЗД), определени в обществени и частни организации;

•        използване на оценката на въздействието във връзка със защитата на данните;

•        брой жалби, подадени от субектите на данни, и обезщетенията, получени от субектите на данни,

•        брой случаи, довели до наказателно преследване на администратори на данни,

•        глоби, наложени на администратори на данни, отговорни за нарушения във връзка със защитата на данни.

1.5. Основания за предложението/инициативата 1.5.1. Нужда(и), която(ито) трябва да бъде(ат) задоволена(и) в краткосрочен или дългосрочен план

Настоящите различия в прилагането, тълкуването и изпълнението на директивата от държавите-членки затрудняват функционирането на вътрешния пазар и сътрудничеството между публичните органи по отношение на политиките на ЕС. Това е в противоречие с основната цел на директивата, която е да улеснява свободното движение на лични данни в рамките на вътрешния пазар. Бързото развитие на новите технологии и разрастването на глобализацията допълнително изострят този проблем.

Физическите лица се ползват с различни права за защита на данните поради фрагментарността и несъгласуваното изпълнение и прилагане в различните държави-членки. Освен това физическите лица често не са наясно с това, което се случва с техните лични данни, нито имат контрол върху своите данни и съответно не могат да упражняват ефективно правата си.

1.5.2. Добавена стойност от намесата на ЕС

Държавите-членки не могат сами да намалят съществуващите проблеми. Това важи в особена степен за проблемите, които се дължат на фрагментарността в националните законодателства за прилагане на регулаторната рамка на ЕС за защита на данните. Поради това съществува сериозна причина за установяването на правна рамка за защита на данните на равнище ЕС. Ето защо има особена нужда от установяването на хармонизирана и съгласувана рамка, която позволява безпроблемното предаване на лични данни през границите в рамките на ЕС, като същевременно гарантира ефективна защита за всички физически лица на територията на ЕС.

1.5.3. Поуки от подобен опит в миналото

Настоящите предложения се основават на опита с Директива 95/46/ЕО и на проблемите, възникнали поради фрагментираното транспониране и прилагане на тази директива, които ѝ попречиха да изпълни целите си — високо ниво на защита на данните и единен пазар за защита на данните.

1.5.4. Съгласуваност и евентуална синергия с други съответни инструменти

Целта на настоящия пакет за реформа в областта на защитата на данните е изграждането на стабилна, съгласувана и съвременна рамка за защита на данните на равнище ЕС, която е технологична неутрална и ще издържи проверката на времето през следващите десетилетия. Тази рамка ще бъде от полза за физическите лица, като утвърди техните права във връзка със защита на данните, по-специално в цифровата среда, и ще опрости правната среда за предприятията и публичния сектор, като стимулира по този начин развитието на цифровата икономика както в рамките на вътрешния пазар на ЕС, така и извън него, в съответствие с целите на стратегията „Европа 2020“.

Пакетът за реформа в областта на защитата на данните се състои основно от:

–        регламент, който заменя Директива 95/46/ЕО;

–        директива относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции и относно свободното движение на такива данни.

Тези законодателни предложения са придружени от доклад за прилагането от страна на държавите-членки на съществуващия понастоящем основен инструмент на ЕС за защита на данните в областта на полицейското и съдебното сътрудничество по наказателноправни въпроси — Рамково решение 2008/977/ПВР.

1.6. Продължителност и финансово отражение

¨ Предложение/инициатива с ограничена продължителност

· ¨  Предложение/инициатива в сила от [ДД/ММ]ГГГГ до [ДД/ММ]ГГГГ

· ¨  Финансово отражение от ГГГГ до ГГГГ

þ Предложение/инициатива с неограничена продължителност

· Осъществяване с период на започване на дейност от 2014 г. до 2016 г.,

· последван от функциониране с пълен капацитет.

1.7. Предвиден(и) метод(и) на управление[51]

þ Пряко централизирано управление от Комисията

¨ Непряко централизирано управление чрез делегиране на задачи по изпълнението на:

· ¨   изпълнителни агенции

· ¨   органи, създадени от Общностите[52]

· ¨   национални органи от публичния сектор/органи със задължение за обществена услуга

· ¨  лица, натоварени с изпълнението на специфични дейности по силата на дял V от Договора за Европейския съюз и посочени в съответния основен акт по смисъла на член 49 от Финансовия регламент

¨ Споделено управление с държавите-членки

¨ Децентрализирано управление с трети държави

¨ Съвместно управление с международни организации (да се уточни)

Ако е посочен повече от един метод на управление, пояснете в частта „Забележки“.

Забележки

//

2. МЕРКИ ЗА УПРАВЛЕНИЕ 2.1. Правила за мониторинг и докладване

Да се посочат честотата и условията.

Първата оценка ще се извърши 4 години след влизането в сила на правните инструменти. В правните инструменти е включена изрична клауза за преразглеждане, съгласно която Комисията ще направи оценка на изпълнението. Впоследствие Комисията ще докладва на Европейския парламент и на Съвета за своята оценка. Допълнителни оценки ще бъдат извършвани на всеки четири години. Ще се прилага методологията на Комисията за извършването на оценка. Тези оценки ще бъдат извършвани с помощта на целеви проучвания на изпълнението на правните инструменти, въпросници до националните органи по защита на данните, експертни дискусии, работни семинари, изследвания на Евробарометър и т.н.

2.2. Система за управление и контрол 2.2.1. Установен(и) риск(ове)

Извършена е оценка на въздействието относно реформирането на рамката за защита на данните в ЕС, която ще придружава предложенията за регламент и за директива.

Новият правен инструмент ще въведе механизъм за съгласуваност, с който да се гарантира, че независимите надзорни органи в държавите-членки прилагат рамката по последователен и съгласуван начин. Механизмът ще функционира посредством Европейския комитет по защита на данните, който ще бъде съставен от ръководителите на националните надзорни органи и на Европейския надзорен орган по защита на данните (ЕНОЗД) и ще замени сегашната работна група по член 29. ЕНОЗД ще осигури секретариата за Европейския комитет по защита на данните.

Ако органите на държавите-членки вземат решения, които се различават, ще бъде направена консултация с Европейския комитет по защита на данните, който трябва да даде становище по въпроса. Ако тази процедура се провали или ако някой от надзорните органи откаже да се съобрази със становището, Комисията, може, с цел да осигури правилното и съгласувано прилагане на настоящия регламент, да издаде становище или, ако е необходимо, да приеме решение, когато има сериозни съмнения за това дали проектомярката ще осигури правилното прилагане на настоящия регламент или пък ще доведе до несъгласуваното му прилагане.

Механизмът за съгласуваност изисква допълнителни ресурси за ЕНОЗД (12 служители еквивалент на пълно работно време — ЕПРВ и подходящи бюджетни кредити за административни и оперативни разходи, напр. за ИТ системи и операции) за обезпечаването на секретариата и за Комисията (5 служители еквивалент на пълно работно време и съответните бюджетни кредити за административни и оперативни разходи) за работа по случаите в рамките на механизма за съгласуваност.

2.2.2. Предвиден(и) метод(и) на контрол

Съществуващите методи на контрол, прилагани от ЕНОЗД и Комисията, ще обхванат допълнителните бюджетни кредити.

2.3. Мерки за предотвратяване на измами и нередности

Да се посочат съществуващите или планираните мерки за превенция и защита.

Съществуващите мерки за предотвратяване на измами, прилагани от ЕНОЗД и Комисията, ще обхванат допълнителните бюджетни кредити.

3. ОЧАКВАНО ФИНАНСОВО ОТРАЖЕНИЕ НА ПРЕДЛОЖЕНИЕТО/ИНИЦИАТИВАТА 3.1. Засегната(и) функция(и) от многогодишната финансова рамка и разходен(ни) бюджетен(ни) ред(ове)

1. Съществуващи разходни бюджетни редове

По реда на функциите от многогодишната финансова рамка и на бюджетните редове.

Функция от многогодишната финансова рамка || Бюджетен ред || Вид на разхода || Вноска

Номер [Наименование…………………...……….] || Многогод./Едногод. ([53]) || от държави от ЕАСТ[54] || от страни кандидатки[55] || от трети държави || по смисъла на член 18, параграф 1, буква аа) от Финансовия регламент

|| || || || || ||

3.2. Очаквано отражение върху разходите 3.2.1. Обобщение на очакваното отражение върху разходите

млн. EUR (до третия знак след десетичния знак)

Функция от многогодишната финансова рамка: || Номер ||

|| || || Година N[56]= 2014 || Година N+1 || Година N+2 || Година N+3 || … да се добавят толкова години, колкото е необходимо, за да се обхване продължителността на отражението (вж. точка 1.6) || ОБЩО

Ÿ Бюджетни кредити за оперативни разходи || || || || || || || ||

Номер на бюджетния ред || Поети задължения || (1) || || || || || || || ||

Плащания || (2) || || || || || || || ||

Номер на бюджетния ред || Поети задължения || (1a) || || || || || || || ||

Плащания || (2a) || || || || || || || ||

Бюджетни кредити с административен характер, финансирани  от пакета за определени програми[57] || || || || || || || ||

Номер на бюджетния ред || || (3) || || || || || || || ||

ОБЩО бюджетни кредити за ГД || Поети задължения || =1+1а +3 || || || || || || || ||

Плащания || =2+2а+3 || || || || || || || ||

Ÿ ОБЩО бюджетни кредити за оперативни разходи || Поети задължения || (4) || || || || || || || ||

Плащания || (5) || || || || || || || ||

Ÿ ОБЩО бюджетни кредити с административен характер, финансирани от пакета за определени програми || (6) || || || || || || || ||

ОБЩО бюджетни кредити за ФУНКЦИЯ 3 от многогодишната финансова рамка || Поети задължения || =4+ 6 || || || || || || || ||

Плащания || =5+ 6 || || || || || || || ||

Ако предложението/инициативата има отражение върху повече от една функция:

Ÿ ОБЩО бюджетни кредити за оперативни разходи || Поети задължения || (4) || || || || || || || ||

Плащания || (5) || || || || || || || ||

Ÿ ОБЩО бюджетни кредити с административен характер, финансирани от пакета за определени програми || (6) || || || || || || || ||

ОБЩО бюджетни кредити за ФУНКЦИИ 1—4 от многогодишната финансова рамка (Референтна стойност) || Поети задължения || =4+ 6 || || || || || || || ||

Плащания || =5+ 6 || || || || || || || ||

Функция от многогодишната финансова рамка: || 5 || „Административни разходи“

млн. EUR (до третия знак след десетичния знак)

|| || || Година N= 2014 || Година 2015 || Година 2016 || Година 2017 || Година 2018 || Година 2019 || Година 2020 || ОБЩО

ГД: „Правосъдие“ ||

Ÿ Човешки ресурси || || 2.922 || 2.922 || 2.922 || 2.922 || 2.922 || 2.922 || 2.922 || 20.454

Ÿ Други административни разходи || || 0.555 || 0.555 || 0.555 || 0.555 || 0.555 || 0.555 || 0.555 || 3.885

ОБЩО ГД „Правосъдие“ || || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 24.339

ОБЩО бюджетни кредити за ФУНКЦИЯ 5 от многогодишната финансова рамка || (Общо поети задължения = общо плащания) || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 24.339

млн. EUR (до третия знак след десетичния знак)

|| || || Година N[58] || Година N+1 || Година N+2 || Година N+3 || … да се добавят толкова години, колкото е необходимо, за да се обхване продължителността на отражението (вж. точка 1.6) || ОБЩО

ОБЩО бюджетни кредити за ФУНКЦИИ 1—5 от многогодишната финансова рамка || Поети задължения || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 24.339

Плащания || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 24.339

3.2.2. Очаквано отражение върху бюджетните кредити за оперативни разходи

· þ  Предложението/инициативата не води до използване на бюджетни кредити за оперативни разходи

Установяването на високо ниво на защита на личните данни също е сред целите на програмата „Права и гражданство“.

· ¨  Предложението/инициативата води до използване на бюджетни кредити за оперативни разходи съгласно обяснението по-долу:

Бюджетни кредити за поети задължения в млн. EUR (до третия знак след десетичния знак)

Да се посочат целите и резултатите ò || || || Година N=2014 || Година N+1 || Година N+2 || Година N+3 || … да се добавят толкова години, колкото е необходимо, за да се обхване продължителността на отражението (вж. точка 1.6) || ОБЩО

РЕЗУЛТАТИ

Вид резултат[59] || Среден разход за резултата || Брой резултати || Разходи || Брой резултати || Разходи || Брой резултати || Разходи || Брой резултати || Разходи || Брой резултати || Разходи || Брой резултати || Разходи || Брой резултати || Разходи || Общ брой на резултатите || Общо разходи

КОНКРЕТНА ЦЕЛ № 1 ||

- Резултат || Документи[60] || || || || || || || || || || || || || || || || ||

Междинна сума за конкретна цел № 1 || || || || || || || || || || || || || || || ||

КОНКРЕТНА ЦЕЛ № 2 ||

Резултат || Случаи[61] || || || || || || || || || || || || || || || || ||

Междинна сума за конкретна цел № 2 || || || || || || || || || || || || || || || ||

ОБЩО РАЗХОДИ || || || || || || || || || || || || || || || ||

3.2.3. Очаквано отражение върху бюджетните кредити с административен характер 3.2.3.1. Обобщение

· ¨  Предложението/инициативата не води до използване на бюджетни кредити за административни разходи

· þ  Предложението/инициативата води до използване на бюджетни кредити за административни разходи съгласно обяснението по-долу:

млн. EUR (до третия знак след десетичния знак)

|| Година N[62] 2014 || Година 2015 || Година 2016 || Година 2017 || Година 2018 || Година 2019 || Година 2020 || ОБЩО

ФУНКЦИЯ 5 от многогодишната финансова рамка || || || || || || || ||

Човешки ресурси || 2.922 || 2.922 || 2.922 || 2.922 || 2.922 || 2.922 || 2.922 || 20.454

Други административни разходи || 0.555 || 0.555 || 0.555 || 0.555 || 0.555 || 0.555 || 0.555 || 3.885

Междинна сума за ФУНКЦИЯ 5 от многогодишната финансова рамка || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 24.339

Извън ФУНКЦИЯ 5[63] от многогодишната финансова рамка || || || || || || || ||

Човешки ресурси || || || || || || || ||

Други разходи с административен характер || || || || || || || ||

Междинна сума извън ФУНКЦИЯ 5 от многогодишната финансова рамка || || || || || || || ||

ОБЩО || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 24.339

3.2.3.2.  Очаквани нужди от човешки ресурси

· ¨  Предложението/инициативата не води до използване на човешки ресурси

· þ  Предложението/инициативата води до използване на човешки ресурси съгласно обяснението по-долу:

Оценката се посочва в цели стойности (или най-много до един знак след десетичния знак)

|| Година 2014 || Година 2015 || Година 2016 || Година 2017 || Година 2018 || Година 2019 || Година 2020

Ÿ Длъжности в щатното разписание (длъжностни лица и срочно наети лица)

XX 01 01 01 (Централа и представителства на Комисията) || 22 || 22 || 22 || 22 || 22 || 22 || 22

XX 01 01 02 (Делегации) || || || || || || ||

Ÿ Външен персонал (в еквивалент на пълно работно време — ЕПРВ)[64]

XX 01 02 01 (ДНП, КНЕ, ПНА от общия финансов пакет) || 2 || 2 || 2 || 2 || 2 || 2 || 2

XX 01 02 02 (ДНП, КНЕ, МЕД, МП и ПНА в делегациите) || || || || || || ||

XX 01 04 yy[65] || - в централата[66] || || || || || || ||

- в делегациите || || || || || || ||

XX 01 05 02 (ДНП, КНЕ, ПНА — Непреки изследвания) || || || || || || ||

10 01 05 02 (ДНП, КНЕ, ПНА — Преки изследвания) || || || || || || ||

Други бюджетни редове (да се посочат) || || || || || || ||

ОБЩО || 24 || 24 || 24 || 24 || 24 || 24 || 24

XX е съответната област на политиката или бюджетен дял.

Вследствие на реформата Комисията, освен задачите, които изпълнява понастоящем, ще трябва да изпълнява нови задачи, свързани със защитата на физическите лица при обработването на лични данни. Допълнителните задачи са свързани основно с използването на новия механизъм за съгласуваност, чрез който ще се осигури съгласуваното прилагане на хармонизираното законодателство за защита на данните, оценката на адекватността на трети държави, за която отговорност носи единствено Комисията, и подготвянето на мерки за изпълнение и делегирани актове. Останалите задачи, които Комисията изпълнява понастоящем (например изготвянето на политика, мониторинг на транспонирането, повишаване на осведомеността, жалби и т.н.), ще продължат да бъдат изпълнявани.

Нуждите от човешки ресурси ще бъдат покрити от персонала на ГД, на който вече е възложено управлението на дейността и/или който е преразпределен в рамките на ГД, при необходимост заедно с всички допълнителни отпуснати ресурси, които могат да бъдат предоставени на управляващата ГД в рамките на годишната процедура за отпускане на средства и като се имат предвид бюджетните ограничения.

Описание на задачите, които трябва да се изпълнят:

Длъжностни лица и срочно наети лица || Служители, работещи по конкретни случаи в рамките на механизма за съгласуваност за защита на данните, за да се гарантира единство на прилагането на правилата на ЕС за защита на данните. Задачите включват разследване и проучване на случаите, представени от органите на държавите-членки за вземане на решения, водене на преговори с държавите-членки и изготвяне на решения на Комисията. Неотдавнашният опит показва, че годишно може да има между 5 и 10 случая, за които е необходимо да се използва механизмът за съгласуваност. Разглеждането на искания за решения относно адекватността изисква прякото взаимодействие с искащата държава, евентуално извършването на експертни проучвания относно условията в тази държава, оценка на условията, изготвяне на съответните решения на Комисията и подготвяне на процеса, включително на комитета за подпомагане на Комисията и експертните органи, когато е целесъобразно. Неотдавнашният опит показва, че годишно могат да се очакват до 4 искания за решения относно адекватността. Процесът на приемане на мерки за изпълнение включва подготвителни мерки, като издаването на документи и провеждането на изследвания и публични консултации, изготвянето на действителния инструмент и управлението на преговорния процес в съответните комитети и други групи, както и контакти със заинтересованите страни като цяло. В областите, изискващи по-прецизно насочване, годишно могат да се разглеждат до три мерки за изпълнение, като процесът може да отнеме до 24 месеца в зависимост от това колко интензивни са консултациите.

Външен персонал || Административна и секретарска помощ

3.2.4. Съвместимост с настоящата многогодишна финансова рамка

· ¨  Предложението/инициативата е съвместимо(а) със следващата многогодишна финансова рамка.

· þ  Предложението/инициативата налага препрограмиране на съответната функция от многогодишната финансова рамка.

В таблицата по-долу са посочени размерите на финансовите ресурси, с които ЕНОЗД трябва да разполага всяка година, за да може да изпълнява новите си задачи по предоставянето на секретариат на Европейския комитет по защита на данните и свързаните с това процедури и инструменти за периода на следващата финансова перспектива. Тези ресурси са в допълнение към вече посочените в планинга.

Година || 2014 || 2015 || 2016 || 2017 || 2018 || 2019 || 2020 || Общо

Персонал и т.н. || 1.555 || 1.555 || 1.543 || 1.543 || 1.543 || 1.543 || 1.543 || 10.823

Операции || 0.850 || 1.500 || 1.900 || 1.900 || 1.500 || 1.200 || 1.400 || 10.250

Общо || 2.405 || 3.055 || 3.443 || 3.443 || 3.043 || 2.743 || 2.943 || 21.073

· ¨  Предложението/инициативата налага да се използва Инструментът за гъвкавост или да се преразгледа многогодишната финансова рамка[67].

3.2.5. Участие на трети страни във финансирането

· þПредложението/инициативата не предвижда съфинансиране от трети страни

· ¨Предложението/инициативата предвижда съфинансиране съгласно следните прогнози:

Бюджетни кредити в млн. EUR (до третия знак след десетичния знак)

|| Година N || Година N+1 || Година N+2 || Година N+3 || … да се добавят толкова години, колкото е необходимо, за да се обхване продължителността на отражението (вж. точка 1.6) || Общо

Да се посочи съфинансиращият орган || || || || || || || ||

ОБЩО съфинансирани бюджетни кредити || || || || || || || ||

3.3. Очаквано отражение върху приходите

· þ  Предложението/инициативата няма финансово отражение върху приходите.

· ¨  Предложението/инициативата има следното финансово отражение:

· ¨         върху собствените ресурси

· ¨         върху разните приходи

млн. EUR (до третия знак след десетичния знак)

Приходен бюджетен ред: || Налични бюджетни кредити за текущата бюджетна година || Отражение на предложението/инициативата[68]

Година N || Година N+1 || Година N+2 || Година N+3 || … да се добавят толкова колони, колкото е необходимо, за да се обхване продължителността на отражението (вж. точка 1.6)

|| || || || || || || ||

За разните целеви приходи да се посочи(ат) засегнатият(те) разходен(ни) бюджетен(ни) ред(ове).

Да се посочи методът за изчисляване на отражението върху приходите.

Приложение към законодателната финансова обосновка за предложението за регламент на Европейския парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни.

Прилагана методология и главни основополагащи предположения

Разходите, свързани с новите задачи, които ще се изпълняват от Европейския надзорен орган по защита на данните (ЕНОЗД) и които произтичат от двете предложения, са изчислени за разходите за персонал въз основа на разходите, които понастоящем се правят от Комисията за подобни задачи.

ЕНОЗД ще помещава секретариата на Европейския комитет по защита на данните (ЕСЗД), който ще замени Работната група по член 29. Текущата натовареност на Комисията за тази задача показва, че са необходими трима допълнителни служители ЕПРВ плюс съответните административни и оперативни разходи. Тази натовареност ще стане действителност след влизането в сила на регламента.

Освен това ЕНОЗД ще има роля в механизма за съгласуваност, във връзка с която се очаква да са необходими 5 служители ЕПРВ, както и роля в разработването и управлението на общ ИТ инструмент за националните органи по защита на данните (ОЗД), за чието изпълнение ще са необходими двама допълнителни служители.

Изчисленото увеличение на бюджета за необходимия персонал за първите седем години е представено по-подробно в таблицата по-долу. Във втора таблица е показан необходимият оперативен бюджет. Това ще бъде отразено в бюджета на ЕС в раздел IX ЕНОЗД.

Вид разход || Изчисление || Размер (в хиляди)

2014 || 2015 || 2016 || 2017 || 2018 || 2019 || 2020 || Общо

Заплати и надбавки || || || || || || || || ||

- на председателя на Европейския комитет по защита на данните || || 0.300 || 0.300 || 0.300 || 0.300 || 0.300 || 0.300 || 0.300 || 2.100

- от които за длъжностни лица и срочно наети служители || =7*0.127 || 0.889 || 0.889 || 0.889 || 0.889 || 0.889 || 0.889 || 0.889 || 6.223

- от които за КНЕ || =1*0.073 || 0.073 || 0.073 || 0.073 || 0.073 || 0.073 || 0.073 || 0.073 || 0.511

- от които за договорно нает персонал || =2*0.064 || 0.128 || 0.128 || 0.128 || 0.128 || 0.128 || 0.128 || 0.128 || 0.896

Разходи, свързани с набирането на персонал || =10*0.005 || 0.025 || 0.025 || 0.013 || 0.013 || 0.013 || 0.013 || 0.013 || 0.113

Разходи за мисии || || 0.090 || 0.090 || 0.090 || 0.090 || 0.090 || 0.090 || 0.090 || 0.630

Други разходи, обучение || =10*0.005 || 0.050 || 0.050 || 0.050 || 0.050 || 0.050 || 0.050 || 0.050 || 0.350

Общо административни разходи || || 1.555 || 1.555 || 1.543 || 1.543 || 1.543 || 1.543 || 1.543 || 10.823

Описание на задачите, които трябва да се изпълнят:

Длъжностни лица и срочно наети лица || Служители, които обслужват секретариата на Комитета по защита на данните. Освен логистична помощ, включително бюджетни и договорни въпроси, това включва подготовка на дневния ред на заседанията и поканите за експертите, проучвания по теми от дневния ред на групата, управление на документите, свързани с работата на групата, включително съответната защита на данните, изискванията за поверителност и публичен достъп. Като се включват всички подгрупи и експертни групи, годишно може да се наложи да бъдат организирани до 50 заседания и процедури за вземане на решения. Служители, работещи по конкретни случаи в рамките на механизма за съгласуваност за защита на данните, за да се гарантира единство на прилагането на правилата на ЕС за защита на данните. Задачите включват разследване и проучване на случаите, представени от органите на държавите-членки за вземане на решения, водене на преговори с държавите-членки и изготвяне на решения на Комисията. Неотдавнашният опит показва, че годишно може да има между 5 и 10 случая, за които е необходимо да се използва механизмът за съгласуваност. ИТ инструментът опростява оперативното взаимодействие между националните органи по защита на данните и администраторите на данни, които са задължени да обменят информация с публичните органи. Отговарящите за това служители ще осигурят контрол на качеството, управление на проекти и бюджетно проследяване на ИТ процесите по отношение на изискванията на технологичния процес, както и използване и управление на системите.

Външен персонал || Административна и секретарска помощ

Разходи за ЕНОЗД във връзка с конкретни задачи

Да се посочат целите и резултатите ò || || || Година N=2014 || Година N+1 || Година N+2 || Година N+3 || да се добавят толкова години, колкото е необходимо, за да се обхване продължителността на отражението (вж. точка 1.6) || ОБЩО

РЕЗУЛТАТИ

Вид резултат[69] || Среден разход за резултата || Брой резултати || Разходи || Брой резултати || Разходи || Брой резултати || Разходи || Брой резултати || Разходи || Брой резултати || Разходи || Брой резултати || Разходи || Брой резултати || Разходи || Общ брой на резултатите || Общо разходи

КОНКРЕТНА ЦЕЛ № 1[70] || Секретариат на Комитета по защита на данните

- Резултат || Случаи[71] || 0.010 || 30 || 0.300 || 40 || 0.400 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 320 || 3.200

Междинна сума за конкретна цел № 1 || 30 || 0.300 || 40 || 0.400 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 320 || 3.200

КОНКРЕТНА ЦЕЛ № 2 || Механизъм за съгласуваност

- Резултат || Документи[72] || 0.050 || 5 || 0.250 || 10 || 0.500 || 10 || 0.500 || 10 || 0.500 || 8 || 0.400 || 8 || 0.400 || 8 || 0.400 || 59 || 2.950

Междинна сума за конкретна цел № 2 || 5 || 0.250 || 10 || 0.500 || 10 || 0.500 || 10 || 0.500 || 8 || 0.400 || 8 || 0.400 || 8 || 0.400 || 59 || 2.950

КОНКРЕТНА ЦЕЛ № 3 || Общ ИТ инструмент за ОЗД (ЕНОЗД)

- Резултат || Случаи[73] || 0.100 || 3 || 0.300 || 6 || 0.600 || 9 || 0.900 || 9 || 0.900 || 6 || 0.600 || 3 || 0.300 || 5 || 0.500 || 41 || 4.100

Междинна сума за конкретна цел №°3 || 3 || 0.300 || 6 || 0.600 || 9 || 0.900 || 9 || 0.900 || 6 || 0.600 || 3 || 0.300 || 5 || 0.500 || 41 || 4.100

ОБЩО РАЗХОДИ || 38 || 0.850 || 56 || 1.500 || 69 || 1.900 || 69 || 1.900 || 64 || 1.500 || 61 || 1.200 || 63 || 1.400 || 420 || 10.250

[1]               „Защитата на правото на личен живот във взаимосвързания свят— Европейска рамка за защита на данните за 21-ви век“, COM(2012) 9 final

[2]               COM(2012) 10 final.

[3]               Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 г. за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни, ОВ L 281, 23.11.1995, стр. 31.

[4]               Рамково решение 2008/977/ПВР на Съвета от 27 ноември 2008 г. относно защитата на личните данни, обработвани в рамките на полицейското и съдебното сътрудничество по наказателноправни въпроси, ОВ L 350, 30.12.2008 г., стр. 60 („рамковото решение“)

[5]               COM(2010) 245 окончателен.

[6]               COM(2010) 2020 окончателен.

[7]               „Стокхолмска програма — Отворена и сигурна Европа в услуга и за защита на гражданите“, OB C 115, 4.5.2010 г., стр. 1.

[8]               Резолюция на Европейския парламент относно Съобщение на Комисията до Европейския парламент и до Съвета — Пространство на свобода, сигурност и правосъдие за гражданите — Програма от Стокхолм, приета на 25 ноември 2009 г. (P7_TA(2009)0090).

[9]               COM(2010) 171 окончателен.

[10]             COM(2010) 609 окончателен.

[11]             Специално проучване на Евробарометър (ЕБ) 359, Защитата на данните и електронната самоличност в ЕС (2011 г.): http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf .

[12]             http://ec.europa.eu/justice/newsroom/data-protection/events/090519_en.htm.

[13]             Справка с неповерителните части от отговорите може да бъде направена на уебсайта на Комисията: http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm.

[14]             Справка с неповерителните части от отговорите може да бъде направена на уебсайта на Комисията: http://ec.europa.eu/justice/newsroom/data-protection/opinion/101104_en.htm.

[15]             http://ec.europa.eu/justice/newsroom/data-protection/events/100701_en.htm.

[16]             http://www.coe.int/t/dghl/standardsetting/dataprotection/Data_protection_day2011_en.asp.

[17]             Европейската агенция за мрежова и информационна сигурност се занимава с въпросите на сигурността, свързани с комуникационните мрежи и информационните системи.

[18]             Вж. http://www.enisa.europa.eu/act/it/data-breach-notification.

[19]             Специално проучване на Евробарометър (ЕБ) 359, Защитата на данните и електронната самоличност в ЕС (2011 г.): http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf.

[20]             Вж. проучването на икономическите ползи от технологиите за подобряване на защитата на личния живот и сравнителното проучване на различни подходи към новите предизвикателства пред неприкосновеността на личния живот, по-специално с оглед на технологичното развитие, януари 2010 г.     (http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf)..

[21]             Работната група по член 29 бе създадена през 1996 г. (съгласно член 29 на директивата) със статут на консултативен орган и е съставена от представители на националните надзорните органи по защита на данните (ОЗД), Европейския надзорен орган по защита на данните (ЕНОЗД) и Комисията. За повече информация относно нейните дейности, вж. http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm.

[22]             Вж. по-специално следните становища: относно „Бъдещето на неприкосновеността на личния живот“ (2009, WP 168); относно понятията „администратор на лични данни“ и „лице, което обработва данните“ (1/2010, WP 169); относно поведенческите реклами онлайн (2/2010, WP 171); относно принципа на отчетността (3/2010, WP 173); относно приложимото право (8/2010, WP 179); и относно съгласието (15/2011, WP 187). По искане на Комисията тя прие също следните три консултативни документа: относно уведомленията, относно чувствителните данни и относно практическото прилагане на член 28, параграф 6 от директивата за защита на данните. Те могат да бъдат намерени на адрес: http://ec.europa.eu/justice/data-protection/article-29/documentation/index_en.htm.

[23]             Достъпно на уебсайта на ЕНОЗД: http://www.edps.europa.eu/EDPSWEB.

[24]             Резолюция на ЕП от 6 юли 2011 г. относно всеобхватния подход за защита на личните данни в Европейския съюз (2011/2025(INI), http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P7-TA-2011-0323&language=EN&ring=A7-2011-0244 (докладчик: Axel Voss, член на Европейския парламент (ЕНП) от Германия.

[25]             SEC(2012)72.

[26]             CESE 999/2011.

[27]             Съд на Европейския съюз, решение от 9 ноември 2010 г. по съединени дела Volker und Markus Schecke (C-92/09) и Eifert (C-93/09), Сборник, стр. I-0000.

[28]             В съответствие с член 52, параграф 1 от Хартата ограничения могат да бъдат налагани върху упражняването на правото на защита на данните, доколкото такива ограничения са предвидени по закон, зачитат основното съдържание на същите права и свободи и, при спазване на принципа на пропорционалност, са необходими и действително отговарят на признати от Европейския съюз цели от общ интерес или на необходимостта да се защитят правата и свободите на други хора.

[29]             Директива 2002/58/ЕО на Европейския парламент и на Съвета от 12 юли 2002 г. относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации (Директива за правото на неприкосновеност на личния живот и електронните комуникации), ОВ L 201, 31.7.2002 г., стр. 37.

[30]             Директива 2009/136/ЕО на Европейския парламент и на Съвета от 25 ноември 2009 г. за изменение на Директива 2002/22/ЕО относно универсалната услуга и правата на потребителите във връзка с електронните съобщителни мрежи и услуги, Директива 2002/58/ЕО относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации и Регламент (ЕО) № 2006/2004 за сътрудничество между националните органи, отговорни за прилагане на законодателството за защита на потребителите (текст от значение за ЕИП); OВ L 337, 18.12.2009 г., стр. 11.

[31]             Приета и открита за подписване, ратифициране и присъединяване чрез Резолюция 44/25 на Общото събрание на ООН от 20.11.1989 г.

[32]             Приета на 5 ноември 2009 г. от Международната конференция на комисарите по неприкосновеността на личния живот и защитата на данните. Вж. също член 13, параграф 3 от предложението за регламент за общо европейско право за продажбите (COM(2011)635окончателен)

[33]             CM/Rec (2010)13.

[34]             Съд на Европейския съюз, решение от 9.3.2010 г. по дело Комисия/Германия, C-518/07, Сборник, стр. I-1885)

[35]             Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета от 18 декември 2000 г. относно защитата на лицата по отношение на обработката на лични данни от институции и органи на Общността и за свободното движение на такива данни; ОВ L 008, 12.1.2001 г., стр. 1

[36]             Цитирано по-горе, бележка под линия 34

[37]             Решение 2008/615/ПВР на Съвета от 23 ноември 2008 г. за засилване на трансграничното сътрудничество, по-специално в борбата срещу тероризма и трансграничната престъпност, ОВ L 210, 30.12.2008 г., стр. 1.

[38]             С това се доразвиват разпоредбите на член 5, параграф 1 от Рамково решение 2009/948/ПВР на Съвета от 30 ноември 2009 г. относно предотвратяване и уреждане на спорове за упражняване на компетентност при наказателни производства, ОВ L 328, 15.12.2009 г., стр. 42 и член 13, параграф 1 от Регламент (ЕО) № 1/2003 на Съвета от 16 декември 2002 г. относно изпълнението на правилата за конкуренция, предвидени в членове 81 и 82 от Договора, ОВ L 1, 4.1.2003 г., стр. 1

[39]             Доразвиват се разпоредбите на член 18, параграф 1 от Директива 2000/31/ЕО на Европейския парламент и на Съвета от 8 юни 2000 г. за някои правни аспекти на услугите на информационното общество, и по-специално на електронната търговия на вътрешния пазар („Директива за електронната търговия“); ОВ L 178, 17.7.2000 г., стр. 1.

[40]             Вж. относно тълкуването, напр. Съд на Европейския съюз, решение от 16 декември 2008 г. по дело Satakunnan Markkinapörssi и Satamedia,C-73/07, Сборник, стр. I-9831.

[41]             ОВ C , , стр. .

[42]             ОВ C , , стр. .

[43]             OВ L 281, 23.11.1995 г., стр. 31.

[44]             OВ L 8, 12.1.2001 г., стр. 1.

[45]             Регламент (ЕС) № 182/2011 на Европейския парламент и на Съвета от 16 февруари 2011 г. за установяване на общите правила и принципи относно реда и условията за контрол от страна на държавите-членки върху упражняването на изпълнителните правомощия от страна на Комисията, ОВ L 55, 28.2.2011 г., стр. 13.

[46]             OВ L 176, 10.7.1999 г., стр. 36.

[47]             OВ L 53, 27.2.2008 г., стр. 52.            

[48]             ОВ L 160, 18.6.2011 г., стр. 19.

[49]             УД: управление по дейности — БД: бюджетиране по дейности.

[50]             Съгласно член 49, параграф 6, буква а) или б) от Финансовия регламент.

[51]             Подробности във връзка с методите на управление и позоваванията на Финансовия регламент могат да бъдат намерени на уебсайта BudgWeb: http://www.cc.cec/budg/man/budgmanag/budgmanag_en.html

[52]             Посочени в член 185 от Финансовия регламент.

[53]             Многогод. = многогодишни бюджетни кредити / Едногод. = едногодишни бюджетни кредити

[54]             ЕАСТ: Европейска асоциация за свободна търговия.

[55]             Страни кандидатки и, ако е приложимо, страни потенциални кандидатки от Западните Балкани.

[56]             Година N е годината, през която започва да се осъществява предложението/инициативата.

[57]             Техническа и/или административна помощ и разходи в подкрепа на изпълнението на програми и/или дейности на ЕС (предишни редове „BA“), непреки изследвания, преки изследвания.

[58]             Година N е годината, през която започва да се осъществява предложението/инициативата.

[59]             Резултатите са продуктите и услугите, които ще бъдат доставени (напр. брой финансирани обмени на студенти, брой км построени пътища и т.н.).

[60]             Становища, решения, процедурни заседания на съвета.

[61]             Случаи, разглеждани в рамките на механизма за съгласуваност

[62]             Година N е годината, през която започва да се осъществява предложението/инициативата.

[63]             Техническа и/или административна помощ и разходи в подкрепа на изпълнението на програми и/или дейности на ЕС (предишни редове „BA“), непреки изследвания, преки изследвания.

[64]             ДНП = договорно нает персонал; ПНА = персонал, нает чрез агенции за временна заетост; МЕД = младши експерт в делегация; МП = местен персонал; КНЕ = командирован национален експерт.

[65]             Под тавана за външния персонал от бюджетните кредити за оперативни разходи (предишни редове „BA“).

[66]             Основно за структурните фондове, Европейския земеделски фонд за развитие на селските райони (ЕЗФРСР) и Европейския фонд за рибарство (ЕФР).

[67]             Вж. точки 19 и 24 от Междуинституционалното споразумение.

[68]             Що се отнася до традиционните собствени ресурси (мита, налози върху захарта), посочените суми трябва да бъдат нетни, т.е. брутни суми, от които са приспаднати 25 % за разходи по събирането.

[69]             Резултатите са продуктите и услугите, които ще бъдат доставени (напр. брой финансирани обмени на студенти, брой км построени пътища и т.н.).

[70]             Както е описано в раздел 1.4.2. „Конкретна(и) цел(и)…“

[71]             Случаи, разглеждани в рамките на механизма за съгласуваност

[72]             Становища, решения, процедурни заседания на съвета.

[73]             Изчисленият общ размер на разходите за всяка година включва дейностите по разработването и функционирането на ИТ инструментите