Help Print this page 

Document 52018DC0043

Title and reference
СЪОБЩЕНИЕ НА КОМИСИЯТА ДО ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И СЪВЕТА По-силна защита, нови възможности — насоки на Комисията относно прякото прилагане, считано от 25 май 2018 г., на Общия регламент относно защитата на данните

COM/2018/043 final
Multilingual display
Dates
  • Date of document: 24/01/2018
  • Date of dispatch: 24/01/2018; предаден на Съвета
  • Date of dispatch: 24/01/2018; предаден на Парламента
Miscellaneous information
  • Author: Европейска комисия, Генерална дирекция „Правосъдие и потребители“
  • Form: Съобщение
Procedure
  • Department responsible: JUST
Text

Брюксел, 24.1.2018

COM(2018) 43 final

СЪОБЩЕНИЕ НА КОМИСИЯТА ДО ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И СЪВЕТА

FMT:BoldПо-силна защита, нови възможности — насоки на Комисията относно прякото прилагане, считано от 25 май 2018 г., на Общия регламент относно защитата на данните/FMT


Съобщение на Комисията до Европейския парламент и Съвета

По-силна защита, нови възможности — насоки на Комисията относно прякото прилагане, считано от 25 май 2018 г., на Общия регламент относно защитата на данните

Въведение

На 6 април 2016 г. ЕС постигна съгласие за осъществяването на голяма реформа в областта на защитата на данните, като прие пакета за реформа на защитата на данните, включващ Общия регламент относно защитата на данните (ОРЗД)  1 , който замени двадесет годишната Директива 95/46/ЕО 2 („Директива за защита на данните“) и Директивата за полицейското сътрудничество 3 . На 25 май 2018 г. новият общоевропейски инструмент за защита на данните — Общият регламент относно защитата на данните („регламентът“), ще започне да се прилага пряко, две години след неговото приемане и влизането му в сила 4 .

Новият регламент ще засили защитата на правото на физическите лица на защита на личните данни, като по този начин отразява същността на защитата на данните като основно право на Европейския съюз 5 .

Като осигурява единен набор от правила, пряко приложими в правния ред на държавите членки, той ще гарантира свободното движение на лични данни между държавите членки на ЕС и ще укрепи доверието и сигурността на потребителите, два абсолютно необходими елемента за създаването на истински цифров единен пазар. По този начин регламентът ще открие нови възможности за бизнеса и предприятията, особено за по-малките от тях, като също направи правилата за международно предаване на данни по-ясни.

Макар че новата рамка за защита на данните се основава на съществуващото законодателство, тя ще има широкоспектърно въздействие и ще изисква значителни корекции в някои аспекти. По тази причина регламентът предвиди преходен период от 2 години — до 25 май 2018 г., за да позволи на държавите членки и заинтересованите страни да се подготвят напълно за новата правна рамка.

През последните две години всички заинтересовани страни — от националните администрации и националните органи по защита на данните до администраторите на данни и обработващите лични данни, участваха в редица дейности, за да се гарантира, че значението и мащабът на промените, въведени с новата рамка за защита на данните, са добре разбрани и че всички участници са готови за нейното прилагане. Тъй като крайният срок 25 май наближава, Комисията счита, че е необходимо да се направи преглед на извършената работа и да се разгледат всякакви допълнителни мерки, които могат да бъдат полезни, за да се гарантира, че всички елементи за успешното привеждане в действие на новата рамка са налице 6 .

Настоящото съобщение:

·съдържа резюме на основните нововъведения и възможности, които се откриват благодарение на новото европейско законодателство за защита на данните;

·прави преглед на подготвителната работа, извършена до момента на равнището на ЕС;

·посочва какво още трябва да се направи от Европейската комисия, националните органи за защита на данните и националните администрации за успешното приключване на подготовката;

·посочва мерките, които Комисията възнамерява да предприеме през идните месеци.

Освен това, успоредно с приемането на настоящото съобщение, Комисията стартира с помощта на своите представителства информационна кампания във всички държави членки и ще качи онлайн инструментариум, който да помогне на заинтересованите страни да се подготвят за изпълнението на регламента.

1.НОВАТА РАМКА НА ЕС ЗА ЗАЩИТА НА ДАННИТЕ — ЗАСИЛЕНА ЗАЩИТА и НОВИ ВЪЗМОЖНОСТИ

Регламентът продължава да следва подхода на Директивата за защита на данните, но въз основа на опита, натрупан от 20 години законодателство на ЕС за защита на данните и съответната съдебна практика, той пояснява и осъвременява правилата за защита на данните; с него се въвеждат редица нови елементи, които укрепват защитата на индивидуалните права и създават нови възможности за бизнеса и дружествата, по-специално:

·Хармонизирана правна рамка, която ще доведе до еднакво прилагане на правилата в полза на единния цифров пазар на ЕС. Това означава един набор от правила за гражданите и предприятията. Това ще сложи край на днешното положение, при което държавите — членки на ЕС прилагат правилата на Директивата по различен начин. За да се осигури еднакво и последователно прилагане във всички държави членки се въвежда механизъм за „обслужване на едно гише“;

·Равнопоставени условия за всички дружества, осъществяващи дейност на пазара на ЕС. Регламентът изисква от дружествата, установени извън ЕС, да прилагат същите правила като тези, установени в неговите рамки, ако предлагат стоки и услуги, свързани с личните данни, или да наблюдават поведението на физически лица в Съюза. Дружествата, които са установени извън ЕС и извършват дейност на единния пазар на ЕС, трябва при определени условия да назначат свои представители в ЕС, към които гражданите и органите да могат да се обръщат в допълнение или вместо към дружеството със седалище в чужбина;

·Принципите на защита на данните по замисъл и подразбиране, които създават стимули за иновативни решения за справяне с проблемите, свързани със защитата на данните, още от самото начало;

·Засилени права на физическите лица: С регламента се въвеждат нови изисквания за прозрачност; засилени права на информация, достъп и изтриване (право „да бъдеш забравен“); мълчанието или липсата на действие вече няма да се разглеждат като валидно съгласие и ще се изисква ясно утвърдително действие за изразяване на съгласие; онлайн защита на децата;

·Повече контрол върху личните данни на физическите лица. С регламента се създава ново право на преносимост на данните, което позволява на гражданите да изискват от дружество или организация да получат обратно лични данни, които са предоставили на това дружество или организация въз основа на предоставено съгласие или договор; в него се дава също възможност тези лични данни да се прехвърлят пряко на друго дружество или организация, когато това е технически осъществимо. Тъй като позволява директното предаване на лични данни от едно дружество или организация на друго, това право също ще подпомогне свободното движение на лични данни в ЕС, избягването на блокиране на лични данни, и ще насърчи конкуренцията между дружествата. Улесняването на гражданите да преминават от един доставчик на услуги на друг ще насърчи развитието на нови услуги в контекста на стратегията за цифровия единен пазар;

·По-силна защита срещу нарушенията на сигурността на личните данни. С регламента се установява всеобхватен набор от правила относно нарушенията на сигурността на личните данни. В него ясно се определя какво представлява „нарушение на сигурността на лични данни“, въвежда се задължение за уведомяване на надзорния орган не по-късно от 72 часа, когато има вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица. При определени обстоятелства регламентът задължава да се уведоми лицето, чиито лични данни са засегнати от нарушението. Това значително засилва защитата в сравнение с настоящата ситуация в ЕС, в която само доставчиците на електронни съобщителни услуги, операторите на основни услуги и доставчиците на цифрови услуги са задължени да уведомяват за нарушения на сигурността на личните данни съгласно съответно Директивата за правото на неприкосновеност на личния живот в сектора на електронните комуникации („Директива за правото на неприкосновеност на личния живот и електронни комуникации“) 7 и Директивата относно сигурността на мрежите и информационните системи („Директивата относно МИС“) 8 ;

·В Регламента на всички органи по защита на данните се предоставя правомощието да налагат глоби на администраторите и обработващите лични данни. Понастоящем не всички от тях имат това право. Това ще даде възможност за по-добро прилагане на правилата. Глобите могат да достигнат до 20 милиона евро или, в случай на предприятие — 4 % от годишния оборот в световен мащаб;

·Повече гъвкавост за администраторите на данни и обработващите лични данни поради недвусмислените разпоредби относно отговорността (принципа на отчетност). Регламентът се отклонява от система на уведомяванеи дава предпочитание на принципа на отчетност. Принципът на отчетност се осъществява на практика чрез задължения, които варират в зависимост от риска (например наличието на длъжностно лице за защита на данните или задължението за провеждане на оценки на въздействието върху защитата на данните). Въвежда се нов инструмент, който да помогне при оценяването на риска преди започването на обработката: оценка на въздействието върху защитата на данните. Оценката се изисква винаги, когато има вероятност обработването на данни да доведе до висок риск за правата и свободите на физическите лица. В този смисъл в регламента изрично са посочени три ситуации: когато дадено дружество оценява систематично и подробно личните аспекти на физическо лице (включително профилиране), когато обработва чувствителни данни в голям мащаб или системно осъществява мониторинг на обществени места в голям мащаб. Националните органи за защита на данните ще трябва да публикуват списъците на случаите, при които се изисква оценка на въздействието върху защитата на данните 9 ;

·Повече яснота относно задълженията на обработващите лични данни и отговорността на администраторите, когато избират обработващ лични данни;

·Модерна система на управление, за да се гарантира, че правилата се прилагат по-последователно и категорично. Това включва хармонизирани правомощия на органите за защита на данните, включително относно глобите, и нови механизми за сътрудничество на тези органи в мрежа;

·Защитата на личните данни, гарантирана от регламента, съпътства данните при предаването им извън ЕС и осигурява висока степен на защита 10 . Въпреки че структурата на правилата относно международното предаване на данни в регламента по същество остава същата като тази, предвидена в Директивата от 1995 г., реформата изяснява и опростява тяхното използване и въвежда нови инструменти за предаването на данни. По отношение на решенията относно адекватността, регламентът предвижда точно определен и подробен набор от елементи, които Комисията трябва да отчита в оценката на това дали дадена чуждестранна система осигурява адекватна защита на личните данни. В регламента също така се формализира и разширява броят на алтернативните инструменти за предаване, като стандартните договорни клаузи и задължителните фирмени правила.

След като бъдат приети преразгледаният Регламент за институциите, органите, службите и агенциите на ЕС 11 и Регламентът относно зачитането на личния живот и защитата на личните данни в електронните съобщения („Регламент за неприкосновеността на личния живот и електронните съобщения“) 12 , които понастоящем са в процес на договаряне, ще бъде гарантирано, че ЕС разполага със стабилен и всеобхватен набор от правила за защита на данните 13 .

2.Подготвителна работа, извършена до момента на равнището на ЕС

Успешното прилагане на регламента изисква сътрудничество между всички участници в областта на защитата на данни: държавите членки, в т.ч. публичните администрации, националните органи за защита на данните (ОЗД), предприятията, организациите, обработващи лични данни, и физическите лица, както и Комисията.

2.1 Действия от страна на Европейската комисия

Малко след като регламентът влезе в сила в средата на 2016 г., Комисията започна работа с органите на държавите членки, органите за защита на данните и заинтересованите страни, за да подготви прилагането на регламента и да предостави подкрепа и съвети.

а) оказване на подкрепа на държавите членки и техните органи

По време на преходния период Комисията работи в тясно сътрудничество с държавите членки в подкрепа на работата им, с оглед на това да се гарантира възможно най-високо равнище на съгласуваност. За тази цел Комисията създаде експертна група, която да съдейства на държавите членки в усилията им да се подготвят за привеждането в действие на регламента. Групата, която вече проведе 13 заседания, играе ролята на форум, в чиито рамки държавите членки могат да обменят своя опит и експертиза 14 . Комисията също участва в двустранни срещи с органите на държавите членки, в които се обсъждат въпросите, възникващи на национално равнище.

б) оказване на подкрепа за отделни органи за защита на личните данни и създаването на Европейски комитет по защита на данните

Комисията активно подкрепя работата на Работната група по член 29 също и с оглед на гарантирането на плавен преход към Европейския комитет по защита на данните 15 .

в) международно измерение

Регламентът ще засили допълнително способността на ЕС активно да популяризира ценностите си в областта на защитата на данни и ще улесни трансграничните потоци от данни чрез насърчаване на сближаването на правните системи в световен мащаб 16 . Правилата на ЕС за защита на данните все по-често се признават на международно равнище като установяващи едни от най-високите стандарти за защита на данните в света. Конвенция № 108 на Съвета на Европа, единственият правно обвързващ многостранен инструмент в областта на защитата на личните данни, също е в процес на осъвременяване. По отношение на Конвенцията Комисията работи в посока тя да може да отразява същите принципи като тези, заложени в новите правила на ЕС за защита на данните, и по този начин да спомогне за изграждането на единен набор от високи стандарти за защита на данните. Комисията активно ще насърчава бързото приемане на осъвременен текст на Конвенцията, за да може ЕС да стане страна по нея 17 . Комисията насърчава държавите извън ЕС да ратифицират Конвенция № 108 на Съвета на Европа и допълнителния протокол към нея.

Освен това няколко държави и регионални организации извън ЕС — от непосредствено съседни на нас държави до държави в Азия, Латинска Америка и Африка — са в процес на приемане на ново или на актуализиране на съществуващото законодателство в областта на защитата на данните, за да се възползват от възможностите, които предлага глобалната цифрова икономика, и за да отговорят на нарастващите нужди от засилване на сигурността на данните и защитата на неприкосновеността на личния живот. Въпреки че се наблюдават разлики в подхода на държавите в областта на защита на данните и в степента, в която са развили законодателството си, са налице признаци, че регламентът все повече служи за отправна точка и източник на вдъхновение 18 .

В този контекст Комисията продължава да се занимава с международно популяризиране на своите стандарти в съответствие със съобщението си от януари 2017 г. 19 , като работи активно с ключови търговски партньори в Източна и Югоизточна Азия и Латинска Америка, с оглед на възможното приемане на решения относно адекватността 20 .

По-специално Комисията работи с Япония за едновременното постигане на адекватно ниво на защита от двете страни до началото на 2018 г., както бе обявено в съвместната декларация на председателя Юнкер и министър-председателя Абе от 6 юли 2017 г 21 . С Южна Корея също бяха започнати разговори с оглед на постигането на евентуално решение относно адекватността. Приемането на решение относно адекватността ще гарантира свободния поток на данни със съответните трети държави, като същевременно гарантира, че се прилага високо ниво на защита при предаването на лични данни от ЕС на тези държави.

В същото време Комисията работи със заинтересованите страни, за да може да използва пълния потенциал на инструментариума на регламента за международно предаване на лични данни, като разработи алтернативни механизми за предаване на данни, приспособени към конкретните нужди на конкретни отрасли и/или оператори 22 .

г) съвместна работа със заинтересованите страни

Комисията организира редица прояви, за да достигне до заинтересованите страни 23 . За първото тримесечие на 2018 г. е заплануван нов семинар, насочен към потребителите. Състояха се и специални дискусии по отрасли в области като научните изследвания и финансовите услуги.

Освен това Комисията създаде многостранна група на заинтересованите страни относно регламента, състояща се от представители на гражданското общество, бизнеса, академичните среди и специалистите в областта. Тази група ще съветва Комисията, по-специално относно начините за постигане на подходящо ниво на осведоменост относно регламента сред заинтересованите страни 24 .

И накрая, Европейската комисия, чрез своята Рамкова програма за научни изследвания и иновации „Хоризонт 2020“ 25 , финансира действия за разработване на инструменти в подкрепа на ефективното прилагане на правилата на регламента по отношение на съгласието и на методите за анализ на данни, които зачитат неприкосновеността на личния живот, като например многостранните изчисления и хомоморфното криптиране.

2.2 Действия на Работната група по член 29/Европейския комитет по защита на данните

Работната група по член 29, която обединява всички национални органи по защита на данните, включително Европейския надзорен орган по защита на данните, играе основна роля в подготовката за прилагането на регламента, като издава насоки за дружествата и другите заинтересовани страни. Като органи за изпълнение на регламента и осъществяващи преки контакти със заинтересованите страни, националните органи за защита на данните са в най-добра позиция да предоставят допълнителна правна сигурност във връзка с тълкуването на регламента.

Насоки/работни документи от Работната група по член 29 с оглед на началото на прилагането на регламента 26

Право на преносимост на данните

Приети на 4—5 април 2017 г.

Длъжностни лица по защита на данните

Определяне на водещия надзорен орган

Оценка на въздействието върху защитата на данните

Приети на 3—4 октомври 2017 г.

Административни глоби

Приети на 3—4 октомври 2017 г.

Профилиране

В процес на изготвяне

Нарушения на сигурността на личните данни

В процес на изготвяне

Съгласие

В процес на изготвяне

Прозрачност

В процес на изготвяне

Сертифициране и акредитация

В процес на изготвяне

Референтен документ относно адекватността

В процес на изготвяне

Задължителни фирмени правила за администраторите

В процес на изготвяне

Задължителни фирмени правила за обработващите лични данни

В процес на изготвяне

Работната група по член 29 се стреми да актуализира своите съществуващи становища, включително по отношение на инструментите за предаване на данни в държави извън ЕС.

Тъй като наличието на цялостен и единен набор от насоки е от основно значение за операторите, настоящите насоки на национално равнище трябва да бъдат или отменени, или приведени в съответствие с насоките в същата област, приети от Работната група по член 29/Европейския комитет по защита на данните.

Комисията отдава голямо значение на факта, че тези насоки са предмет на обществена консултация преди финализирането им. От съществено значение е мненията на заинтересованите страни в този процес да бъдат възможно най-точни и конкретни, тъй като това ще спомогне да се идентифицират най-добрите практики и ще насочи вниманието на работната група по член 29 специфичните промишлени и отраслови характеристики. Крайната отговорност за тези насоки е на работната група по член 29 и бъдещия Европейски комитет по защита на данните и органите за защита на данните ще се обръщат към тях при прилагането на регламента.

Следва да е възможно насоките да се изменят в светлината на последните развития и практики. За тази цел е от съществено значение органите за защита на данните да насърчават култура на диалог с всички заинтересовани страни, включително с представители на бизнеса.

Важно е да се напомни, че когато става въпрос за тълкуването и прилагането на регламента, компетентни за окончателното тълкуване на регламента ще са съдилищата на национално и европейско равнище.

3.Оставащите стъпки за успешна подготовка

3.1 Държавите членки да финализират създаването на правна рамка на национално равнище

Регламентът се прилага пряко във всички държави членки 27 . Това означава, че влиза в сила и се прилага независимо от националните правни мерки: гражданите, бизнесът, публичните администрации и други организации за обработка на лични данни при нормални обстоятелства могат пряко да се позовават на разпоредбите на регламента. Въпреки това, в съответствие с разпоредбите на регламента, държавите членки трябва да вземат необходимите мерки, за да адаптират законодателството си, като изменят и отменят съществуващите закони, създадат национални органи за защита на данните 28 , изберат орган за акредитация 29 и определят правилата за съвместяване на свободата на словото и защитата на данните 30 .

Също така, регламентът дава възможност на държавите членки да уточнят в допълнителна степен прилагането на правилата за защита на данните в някои определени области: публичния сектор 31 , заетостта и социалната сигурност 32 , превантивната и трудовата медицина, общественото здраве 33 , обработването за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели 34 , националния идентификационен номер 35 , публичния достъп до официални документи 36 , и задълженията за пазене в тайна 37 . Освен това за генетични, биометрични и други данни, свързани със здравословното състояние, регламентът оправомощява държавите членки да поддържат или да въведат допълнителни условия, включително и ограничения 38 .

Действията на държавите членки в този контекст са ограничени от два елемента:

1.член 8 от Хартата в смисъл, че всеки национален специален закон трябва да отговаря на изискванията на член 8 от Хартата (и на регламента, който доразвива член 8 от Хартата), и

2.член 16, параграф 2 от ДФЕС, според който националното законодателство на може да възпрепятства свободното движение на лични данни в рамките на ЕС.

Регламентът представлява възможност да се опрости правната среда, и по този начин да се намалят националните правила и да се увеличи яснотата за операторите.

При адаптирането на националното си законодателство, държавите членки трябва да имат предвид, че национални мерки, които биха имали за последица създаването на пречка за прякото действие на регламента и застрашаващи едновременното му и еднакво прилагане в целия ЕС, са в противоречие с Договорите 39 .

Повтарянето на текста на разпоредбите в националното право също е забранено (например повтаряне на определенията или правата на физическите лица), освен ако такива повторения са абсолютно необходими за постигане на съгласуваност и с цел подобряване на достъпността на национални закони, като ги направят по-разбираеми за лицата, за които те се прилагат 40 . Буквалното възпроизвеждане на текста при транспонирането на регламента в националното право за спецификациите се допуска по изключение и следва да бъде обосновано и не може да се използва за добавяне на допълнителни условия или тълкувания към текста на регламента.

За тълкуването на регламента са оправомощени европейските съдилища (националните съдилища и като последна инстанция Съдът на Европейския съюз), а не законодателите в държавите членки. Националният законодател следователно не може нито да копира текста на регламента, когато това не е необходимо с оглед на критериите, предвидени в съдебната практика, нито да го тълкува или да добавя допълнителни условия по отношение на правилата, които са пряко приложими по силата на регламента. Ако това стане, операторите в Съюза отново ще се сблъскат с разпокъсаност на разпоредбите и няма да знаят кои правила да спазват.

На този етап само две държави членки вече са приели съответното национално законодателство 41 ; останалите държави членки са на различни етапи от законодателните си процедури 42 и планират приемане на законодателството до 25 май 2018 г. От голямо значение е на операторите да се предостави достатъчно време, за да се подготвят за прилагането на всички разпоредби, които трябва да спазват.

Когато държавите членки не предприемат необходимите действия, които се изискват съгласно регламента, закъсняват с тях или се възползват от предвидените в Регламента разпоредби относно спецификациите, по начин, който противоречи на регламента, Комисията ще използва всички инструменти, с които разполага, в това число прибягването до производство за установяване на нарушение.

3.2 Органите за защита на данните да гарантират, че новият независим Европейски комитет по защита на данните функционира пълноценно

От съществено значение е новият орган, създаден с регламента — Европейският комитет по защита на данните 43 , който е приемник на работната група по член 29, да функционира пълноценно от 25 май 2018 г.

Европейският надзорен орган по защита на данните, който е органът за защита на данните, отговарящ за контрола на институциите и органите на ЕС, ще осигурява секретариата на Европейския комитет по защита на данните, за да се увеличат полезните взаимодействия и ефективността. През последните месеци Европейският надзорен орган по защита на данните започна необходимата за тази цел подготовка.

Европейският комитет по защита на данните ще играе основна роля за защитата на данните в Европа. Той ще допринесе за последователното прилагане на правото за защита на данните и ще предостави стабилна основа за сътрудничество между органите за защита на данните, включително Европейския надзорен орган по защита на данните. Европейският комитет по защита на данните не само ще издава насоки относно тълкуването на основни понятия от регламента, но също така ще бъде призован да приема решения със задължителен характер по спорове относно трансграничното обработване на данни. Това ще гарантира еднаквото прилагане на разпоредбите на ЕС и ще предотврати решаването на едно и също дело по различен начин в различните държави членки.

Гладкото и ефективно функциониране на Европейския комитет по защита на данните следователно е необходимо условие за доброто функциониране на системата като цяло. Сега повече от всякога е необходимо Европейският комитет по защита на данните да създаде обща култура на защита на данните за всички национални органи за защита на данните, за да се гарантира, че разпоредбите на регламента се тълкуват последователно. Регламентът насърчава сътрудничеството между органите за защита на данните, като им предоставя необходимите инструменти за ефективно и ефикасно сътрудничество: те по-специално ще могат да осъществяват съвместни операции, да приемат съгласувани решения и да преодоляват различията, които биха могли да имат по отношение на тълкуването на регламента, в рамките на Комитета чрез мнения и задължителни решения. Комисията насърчава органите за защита на данните да се възползват от тези промени и да коригират своето функциониране, финансиране и култура на труда, за да могат да отговорят на новите права и задължения.

3.3 Държавите членки да осигурят на националните органи за защита на данните необходимите финансови и човешки ресурси

Установяването на напълно независими надзорни органи във всяка държава членка е от съществено значение, за да се гарантира защитата на физическите лица по отношение на обработката на техните лични данни в ЕС 44 . Надзорните органи не могат ефективно да защитават индивидуалните права и свободи, ако не действат напълно независимо. Нарушаването на тяхната независимост и на ефективното упражняване на техните правомощия има широкообхватно отрицателно въздействие върху прилагането на законодателството в областта на защитата на данните 45 .

Регламентът кодифицира изискването всеки орган за защита на данните да действа при пълна независимост 46 . Той укрепва независимостта на националните органи за защита на данните и им предоставя еднакви правомощия в целия ЕС, така че те да разполагат с необходимото за ефективното разглеждане на жалби, за провеждането на ефективни разследвания, за вземането на решения със задължителен характер и за налагането на ефективни и възпиращи санкции. Освен това регламентът им дава правомощия да налагат административни глоби на администраторите или на обработващите лични данни в размер до 20 милиона евро или, в случай на предприятие — до 4 % от общия му годишен световен оборот за предходната финансова година, като се взема по-високата от двете суми.

Органите за защита на данните са естествените партньори и първата точка за контакт за широката общественост, предприятията и публичните администрации по въпросите относно регламента. Ролята на органите за защита на данните се изразява в уведомяване на администраторите и обработващите лични данни за задълженията им и повишаване на осведомеността на широката общественост и разбиране за рисковете, правилата, гаранциите и правата, свързани с обработването на лични данни. Това не означава обаче, че администраторите и обработващите лични данни следва да очакват от органите за защита на данните да им предоставят специално предназначено, индивидуализирано правно становище, каквото само юрист или длъжностно лице по защита на данните може да предостави.

Националните органи за защита на данните следователно играят централна роля, но относителното неравновесие между човешките и финансовите ресурси, отредени им в различните държави членки, може да застраши ефективността им, а в крайна сметка и пълната им независимост, изисквана съгласно регламента. То може също така да има отрицателно въздействие върху начина, по който органите за защита на данните могат да упражняват някои от своите правомощия, като например правомощията си за разследване. Държавите членки се насърчават да изпълняват правното си задължение да предоставят на своя национален орган за защита на данните човешките, техническите и финансовите ресурси, помещенията и инфраструктурата, необходими за ефективното изпълнение на неговите задачи и упражняването на неговите правомощия 47 .

3.4 Предприятията, публичните администрации и другите организации, обработващи данни, да се подготвят за прилагането на новите правила

Регламентът не промени съществено основните понятия и принципи на законодателството в областта на защитата на данните, въведени още през 1995 г. Това би следвало да означава, че, ако преобладаващата част от администраторите и обработващите лични данни вече са в съответствие със съществуващото право на ЕС за защита на данните, те няма да се нуждаят от съществени промени в операциите си по обработване на данни, за да спазят регламента.

Регламентът засяга най-силно операторите, чиято основна дейност е обработването на данни и/или боравенето с чувствителни данни. Той също така засяга операторите, които редовно и систематично наблюдават физически лица в голям мащаб. Тези оператори най-вероятно ще трябва да назначат длъжностно лице за защита на данните, да извършват оценка на въздействието върху защитата на данните и да уведомяват за нарушения на сигурността на данните, ако има риск за правата и свободите на физическите лица. За разлика от това, оператори, по-специално МСП, които не се занимават с високорискова обработка като своя основна дейност, обикновено не подлежат на тези специфични задължения по регламента.

За администраторите и обработващите лични данни е важно да предприемат задълбочен преглед на своя цикъл на политиката относно данните, така че ясно да се определят данните, които те притежават, с каква цел и на какво правно основание (напр. „изчисления в облак“; оператори във финансовия сектор). Те също така трябва да направят оценка на действащите договори, по-конкретно тези между администраторите и обработващите лични данни, възможностите за международно предаване на данни и общото управление (какви информационни технологии и организационни мерки да се въведат), включително назначаването на длъжностно лице за защита на данните. Основен елемент в този процес е да се гарантира, че в такива прегледи най-високото ниво на управление участва, предоставя своя принос, редовно получава актуална информация и че с него се провеждат консултации относно промените в политиката относно данните на предприятията.

За тази цел някои оператори прибягват до списъци за проверка на съответствието (вътрешни или външни), търсят съвети от консултанти и правни кантори и търсят продукти, които могат да изпълнят изискванията относно защитата на данните още при проектирането и по подразбиране. Всеки сектор трябва да разработи мерки, които са подходящи за спецификата на неговата област и са адаптирани към неговия бизнес модел.

Предприятията и другите организации, обработващи данни, също така ще могат да се възползват от новите инструменти, предвидени в регламента, като елемент за доказване на съответствието, например кодекси за поведение и механизми за сертифициране. Те представляват подходи „отдолу нагоре“, които идват от бизнес общността, асоциации или други организации, представляващи категории администратори или обработващи лични данни, и отразяват най-добрите практики, важните развития в даден сектор или могат да дадат информация за нивото на защита на данните, необходимо за някои продукти и услуги. Регламентът предвижда опростен набор от правила за такива механизми, като се вземат предвид пазарните реалности (напр. удостоверяване от сертифициращ орган или от орган за защита на данните).

Въпреки това, докато големите компании активно се подготвят за прилагането на новите правила, много МСП все още не са напълно наясно с бъдещите правила за защита на данните.

Накратко, операторите следва да се подготвят и да адаптират работата си към новите правила и да считат регламента за:

·възможност да „въведат ред в собствения си двор“ по отношение на това какви лични данни обработват и как ги управляват;

·задължение за разработване на продукти, зачитащи неприкосновеността на личния живот и защитата на данни, и за изграждане на нови отношения със своите клиенти на основата на прозрачност и доверие; както и

·възможност да дадат нов тласък на отношенията си с органите за защита на данните чрез отчетност и активно спазване.

3.5 Да се информират заинтересованите страни, по-специално гражданите и малките и средните предприятия

Успехът на регламента се основава на добрата осведоменост на всички страни, засегнати от новите правила (бизнес средите и другите организации, обработващи данни, публичния сектор и гражданите). На национално равнище задачата да повишават осведомеността и да бъдат първа точка за контакт за администраторите, обработващите лични данни и физическите лица, имат органите по защита на данните. Като органи за правоприлагане на правилата за защита на данните на своя територия, органите за защита на данните също са в най-добра позиция да разясняват промените, въведени с регламента, на дружествата и публичния сектор, и за запознаване на гражданите с техните права.

Органите за защита на данните започнаха да информират заинтересованите страни в съответствие със специфичния национален подход. Някои провеждат семинари с публичните администрации, включително на регионално и местно равнище, и организират работни срещи с различни бизнес сектори, с цел да се повиши осведомеността относно основните разпоредби на регламента. Някои управляват специални програми за обучение на длъжностните лица по защита на данните. Повечето от тях предоставят информационни материали в различни формати на своите уебсайтове (контролни списъци, видеоматериали и др.).

Все още обаче гражданите не са достатъчно добре осведомени за промените и по-големите си права, които произтичат от въвеждането на новите правила за защита на данните. Инициативата за обучение и за повишаване на осведомеността, подета от органите за защита на данните, следва да бъде продължена и разширена, като се обърне особено внимание на МСП. Освен това националните секторни администрации могат да подкрепят дейностите на органите за защита на данните и въз основа на своите ресурси да проведат свои собствени информационни дейности сред различните заинтересовани страни.

4.Следващи стъпки

През идните месеци Комисията ще продължи да подкрепя активно всички участници в подготовката за прилагането на регламента.

а) работа с държавите членки

Комисията ще продължи да работи с държавите членки в периода преди май 2018 г. От май 2018 г. нататък Комисията ще проследи как държавите членки прилагат новите правила и ще предприеме действия, ако е необходимо.

б) нови насоки онлайн на всички езици на ЕС и дейности за повишаване на осведомеността

Комисията предоставя на разположение практически насоки 48 , които да помогнат на предприятията, по-специално на МСП, публичните органи и гражданите, да спазват новите правила за защита на данните и да се възползват от тях.

Насоките са под формата на практически инструмент онлайн, който е на разположение на всички езици на ЕС. Онлайн инструментът ще бъде редовно актуализиран и е предназначен за три основни целеви групи: гражданите, предприятията (по-конкретно МСП) и другите организации и публичните администрации. Той се състои от въпроси и отговори, подбрани въз основа на обратната информация, получена от заинтересованите страни, с практически примери и връзки към различни източници на информация (напр. членове на регламента; насоки от работната група по член 29/Европейския комитет по защита на данните; и материали, разработени на национално равнище).

Комисията редовно ще актуализира инструмента, като добавя въпроси и актуализира отговорите на въпросите, въз основа на получената обратна информация и в светлината на евентуални нови въпроси, произтичащи от изпълнението.

Осведомеността за насоките ще бъде повишена чрез информационна кампания и дейности за разпространение във всички държави членки, насочени към предприятията и обществеността.

Доколкото регламентът предвижда засилени права на физическите лица, Комисията ще започне също дейности за повишаване на осведомеността и ще участва в мероприятия в държавите членки за информиране на гражданите относно ползите и въздействието от регламента.

в) финансова подкрепа за националните кампании и повишаването на осведомеността

Комисията подкрепя повишаването на осведомеността и усилията за привеждане в съответствие, предприети на национално равнище, чрез предоставяне на безвъзмездни средства, които могат да се използват за осигуряване на обучение на органите за защита на данните, публичната администрация, правните професии и длъжностните лица по защита на данните 49 и за запознаване с регламента.

Около 1,7 милиона евро ще бъдат отпуснати за шестима бенефициери, които обхващат повече от половината от държавите членки на ЕС. Финансирането ще бъде насочено към местните публични власти, включително длъжностните лица за защита на данните в публичните органи на местно равнище, в публичните органи и от частния сектор, съдиите и юристите. Безвъзмездните средства ще бъдат използвани за разработване на материали за обучение на органите за защита на данните, длъжностните лица за защита на данните и други специалисти, както и програми като тези за „обучение на обучаващи“.

Комисията също така публикува покана за представяне на предложения, насочени конкретно към органите за защита на данните. Тя ще има общ бюджет от до 2 милиона евро и ще им оказва подкрепа за достигане на заинтересованите страни 50 . Целта е да се предостави съфинансиране в размер на 80 % за мерки, предприети от органите по защита на данните в периода 2018—2019 г. за повишаване осведомеността на предприятията, по-специално на МСП, и да се отговори на техните запитвания. Това финансиране може да се използва и за повишаване на осведомеността сред обществото.

г) оценка на необходимостта от използване на правомощията на Комисията

Регламентът 51 дава право на Комисията да издава актове за изпълнение или делегирани актове за оказване на допълнителна подкрепа за прилагането на новите правила. Комисията ще използва тези правомощия само когато има ясно изразена добавена стойност и въз основа на обратната информация, получена по време на консултацията със заинтересованите страни. По-специално Комисията ще търси начин за решаване на въпроса за сертифицирането, въз основа на проучване, възложено на външни експерти, и сведения и консултации по този въпрос от многостранната група на заинтересованите страни по регламента, създадена в края на 2017 г. Извършената от Агенцията на Европейския съюз за мрежова и информационна сигурност (ENISA) работа в областта на киберсигурността също ще бъде от полза в този контекст.

д) интегриране на регламента в Споразумението за ЕИП

Комисията ще продължи работата си с трите държави от ЕАСТ (Исландия, Лихтенщайн и Норвегия) в Европейското икономическо пространство (ЕИП), с цел да включи регламента в Споразумението за ЕИП 52 . Едва след като включването на регламента в Споразумението за ЕИП влезе в сила, личните данни ще могат да се движат свободно между държавите от ЕС и ЕИП по същия начин, както между държавите — членки на ЕС.

е) оттегляне на Обединеното кралство от ЕС

В контекста на преговорите за сключване на споразумение за оттегляне между ЕС и Обединеното кралство, въз основа на член 50 от Договора за Европейския съюз, Комисията ще продължи да прави необходимото за постигане на целта да се гарантира, че разпоредбите на правото на Съюза относно защитата на личните данни, приложими към деня преди датата на оттеглянето, продължават да се прилагат за личните данни, обработвани в Обединеното кралство преди датата на оттегляне 53 . Например, засегнатите физически лица следва да продължат да имат право да бъдат информирани, право на достъп, право на коригиране, заличаване, ограничаване на обработването, преносимост на данните, както и право да направят възражение срещу обработването и да не бъдат обект на решение, основаващо се единствено на автоматизирано обработване, въз основа на съответните разпоредби на правото на Съюза, приложими към датата на оттегляне. Личните данни, посочени по-горе, следва да се съхраняват за срок не по-дълъг от необходимия за целите, за които тези лични данни са били обработвани.

Считано от датата на оттегляне, и при спазване на всички преходни разпоредби, които могат да се съдържат в евентуално споразумение за оттегляне, правилата от регламента за прехвърлянето на лични данни към трети държави ще се прилагат за Обединеното кралство 54 .

ж) преглед на постигнатото през май 2019 г.

След 25 май 2018 г. Комисията ще следи отблизо прилагането на новите правила и ще има готовност да предприеме действия, ако възникнат значителни проблеми. Една година след започването на прилагането на регламента (2019 г.) Комисията ще организира мероприятие за преглед на натрупания от различните заинтересовани страни опит в прилагането на регламента. Резултатите от прегледа ще бъдат включени и в доклада, който Комисията трябва да представи до май 2020 г. относно оценката и прегледа на регламента. Този доклад ще бъде насочен по-специално, към международните трансфери и разпоредбите за сътрудничество и съгласуваност, които се отнасят до работата на органите за защита на данните.

Заключение

На 25 май в целия ЕС ще започне да се прилага нов единен набор от правила за защита на данните. Новата рамка ще донесе значителни ползи на гражданите, предприятията, публичните администрации и другите сходни организации. Тя също така е възможност за ЕС да се превърне в световен лидер в областта на защитата на личните данни. Реформата обаче може да постигне успех само ако всички заинтересовани страни поемат своите задължения и права.

След приемането на регламента през май 2016 г. Комисията активно си взаимодейства с всички заинтересовани страни — правителства, национални органи, предприятия, организации на гражданското общество — с оглед на прилагането на новите правила. Извършена бе значителна работа за постигане на добра осведоменост и пълна подготовка, но предстои още работа. Подготовката в различните държави членки и на различните участници напредва с различни темпове. Освен това, ползите и възможностите, предоставяни от новите правила, не са известни на всички в еднаква степен. По-специално за МСП съществува необходимост от повишаване на осведомеността и подпомагане на усилията за привеждане в съответствие.

Поради това Комисията призовава всички заинтересовани участници да засилят текущата работа за гарантиране на съгласувано прилагане и тълкуване на новите правила в целия ЕС и за повишаване на осведомеността сред предприятията и гражданите. Комисията ще подкрепя тези усилия чрез финансиране и административна подкрепа и ще спомогне за повишаване на общата осведоменост, като по-специално предложи инструментариум — насоки онлайн.

Данните стават много ценни за съвременната икономика и са от съществено значение за всекидневието на гражданите. Новите правила предлагат уникална възможност както за предприятията, така и за обществеността. Предприятията, особено по-малките, ще могат да се възползват от благоприятен за иновациите единен набор от правила и да „въведат ред в собствения си двор“ по отношение на личните данни за възстановяването на доверието на потребителите и да го използват като свое конкурентно предимство в целия ЕС. Гражданите ще могат да се възползват от по-добра защита на личните данни и да придобият по-добър контрол върху начина, по който дружествата боравят с данните им.

В съвременния свят с процъфтяваща цифрова икономика, Европейският съюз, неговите граждани и предприятия трябва да разполагат с всичко необходимо, за да извлекат ползите и да разбират потенциалните последици от икономиката, основана на данни. Новият регламент предлага необходимите инструменти, за да подготвим Европа за 21-ви век.

Комисията ще предприеме следните действия:

По отношение на държавите членки

·Комисията ще продължи да работи с държавите членки за насърчаване на последователността и ограничаване на фрагментирането на прилагането на регламента, като взема предвид възможността за конкретизиране на съдържащите се в регламента правила, която предоставя на държавите членки новото законодателство;

·След май 2018 г., Комисията ще следи отблизо прилагането на регламента в държавите членки и ще предприема подходящи действия, когато е необходимо, в това число прибягването до производство за установяване на нарушение;

По отношение на органите за защита на данните

·До май 2018 г. Комисията ще подпомага работата на органите за защита на данните в рамките на работната група по член 29 и в прехода към бъдещия Европейски комитет по защита на данните; след май 2018 г. тя ще допринася за работата на Европейския комитет по защита на данните;

·През 2018—2019 г. Комисията ще съфинансира (общ бюджет до 2 милиона евро) действия за повишаване на осведомеността, предприети от органи за защита на данните на национално равнище (проекти, изпълнявани от средата на 2018 г. нататък);

По отношение на заинтересованите страни

·Комисията ще публикува практически насоки онлайн, които съдържат въпроси и отговори, насочени към гражданите, предприятията и публичните администрации. Комисията възнамерява да популяризира тези насоки сред целевите групи с помощта на информационна кампания, адресирана към бизнеса и обществеността в периода до май 2018 г. и след това;

·През 2018 г. и след това Комисията ще продължи активно да си взаимодейства със заинтересованите страни, по-специално чрез многостранната група на заинтересованите страни относно прилагането на регламента и нивото на осведоменост по отношение на новите правила;

По отношение на всички участници

·В периода 2018—2019 г. Комисията ще прецени дали е необходимо да използва правомощието си да приема делегирани актове или актове за изпълнение;

·През май 2019 г. Комисията ще направи преглед на изпълнението на регламента и ще докладва относно прилагането на новите правила през 2020 г.

(1) Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните), (ОВ L 119, 4.5.2016 г.).
(2) Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 г. за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни, ОВ L 281, 23.11.1995 г.
(3) Директива (ЕС) 2016/680 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания и относно свободното движение на такива данни, и за отмяна на Рамково решение 2008/977/ПВР на Съвета, ОВ L 119, 4.5.2016 г.
(4) Регламентът е в сила от 24 май 2016 г. и ще започне да се прилага от 25 май 2018 г.
(5) Член 8 от Хартата на основните права на Европейския съюз и член 16 от ДФЕС.
(6)   https://ec.europa.eu/commission/sites/beta-political/files/letter-of-intent-2017_bg.pdf
(7) Директива 2002/58/ЕО на Европейския парламент и на Съвета от 12 юли 2002 г. относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации (Директива за правото на неприкосновеност на личния живот и електронни комуникации), ОВ L 201, 31.7.2002 г., стр. 37—47. Съгласно член 95 от Общия регламент относно защитата на данните с него не се налагат допълнителни задължения на физическите или юридическите лица по отношение на въпроси, за които са им наложени специални задължения със същата цел, установени в Директива 2002/58/ЕО. Това означава например, че субектите, включени в полето на действие на Директивата за правото на неприкосновеност на личния живот и електронни комуникации, са обвързани със задължението за уведомяване при нарушаване на сигурността на личните данни, доколкото нарушението засяга услуга, която е материално обхваната от Директивата. ОРЗД не им налага никакви допълнителни задължения в това отношение.
(8) Директива (EС) 2016/1148 на Европейския парламент и на Съвета от 6 юли 2016 година относно мерки за високо общо ниво на сигурност на мрежите и информационните системи в Съюза, ОВ L 194, 19.7.2016 г., стp. 1—30. Субектите, включени в обхвата на Директивата относно МИС, следва да съобщават за инциденти със значително или съществено въздействие върху предоставянето на някои техни услуги. Съобщаването за инцидент съгласно Директивата относно МИС не засяга разпоредбите за уведомяване при нарушение съгласно регламента.
(9) Член 35 от регламента.
(10) Съобщение на Комисията „Обмен и защита на личните данни в един глобализиран свят“, COM(2017)7 final.
(11) Предложение за регламент на Европейския парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни от институциите, органите, службите и агенциите на Съюза и относно свободното движение на такива данни и за отмяна на Регламент (ЕО) № 45/2001 и Решение № 1247/2002/ЕО, COM(2017) 8 final.
(12) Предложение за регламент на Европейския парламент и на Съвета относно зачитането на личния живот и защитата на личните данни в електронните съобщения и за отмяна на Директива 2002/58/ЕО (Регламент за неприкосновеността на личния живот и електронните съобщения), COM(2017) 10 final.
(13) До приемане на Регламента за неприкосновеността на личния живот и електронните съобщения и започването на неговото прилагане, Директива 2002/58/ЕО се прилага като lex specialis по отношение на него.
(14) За пълен списък на заседанията и техния дневен ред, резюме от обсъжданията и преглед на актуалното състояние на законодателството в различните държави членки, вж. http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3461 .
(15) Например, Комисията ще предостави на Европейския комитет по защита на данните възможност да използва Информационната система за вътрешния пазар (ИСВП) за осъществяване на връзка между неговите членове.
(16) Документ за размисъл относно извличането на ползите от глобализацията COM(2017)240.
(17) Конвенция на Съвета на Европа от 28 януари 1981 г. за защита на лицата при автоматизираната обработка на лични данни (ETS № 108) и Допълнителният протокол от 2001 г. към Конвенцията за защита на лицата при автоматизираната обработка на лични данни относно надзорните органи и трансграничните потоци от данни (ETS № 181). Конвенцията е отворена за присъединяване на държави, които не са членове на Съвета на Европа, и вече е ратифицирана от 51 държави (в това число Уругвай, Мавриций, Сенегал и Тунис).
(18) Вж. например стандартите за защита на личните данни на ибероамериканските държави, http://www.redipd.es/documentacion/common/Estandares_eng_Con_logo_RIPD.pdf
(19) COM(2017)7.
(20) COM(2017)7, пак там, стр. 10—11.
(21)   http://europa.eu/rapid/press-release_STATEMENT-17-1917_en.htm .
(22) COM(2017)7, пак там, стр. 10—11.
(23)

Две работни срещи с представители на промишлеността през юли 2016 г. и април 2017 г., две кръгли бизнес маси през декември 2016 г. и май 2017 г., семинар за здравните данни през октомври 2017 г., както и семинар с представители на МСП през ноември 2017 г.

(24)   http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3537&Lang=BG .
(25) https://ec.europa.eu/programmes/horizon2020/h2020-sections
(26)  Всички приети насоки са на разположение на адрес: http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083.
(27)  Член 288 от ДФЕС
(28)  Член 54, параграф 1 от регламента
(29)  Член 43, параграф 1 от регламента предвижда държавите членки да предлагат два възможни метода за акредитация на сертифициращите органи, т.е. от националния надзорен орган за защита на данните, създаден в съответствие със законодателството за защита на данните и/или от националния орган по акредитация, установен съгласно Регламент (ЕО) № 765/2008 относно акредитацията и надзора на пазара. Европейската организация за акредитация („ЕА“, призната съгласно Регламент 765/2008), която обединява националните органи за акредитация, и надзорните органи на ОРЗД следва тясно да си сътрудничат за тази цел.
(30)  Член 85, параграф 1 от регламента
(31)  Член 6, параграф 2 от регламента
(32)  Член 88 и член 9, параграф 2, буква б) от регламента В Европейския стълб на социалните права се посочва също, чеРаботниците имат право на защита на личните си данни в контекста на заетостта“. (2017/C 428/09), ОВ C 428, 13.12.2017 г., стр. 10—15)
(33)  Член 9, параграф 2, букви з) и и) от регламента
(34)  Член 9, параграф 2, буква й) от регламента
(35)  Член 87 от регламента
(36)  Член 86 от регламента
(37)  Член 90 от регламента
(38)  Член 9, параграф 4 от регламента
(39)  Fratelli Zerbone Snc/Amministrazione delle finanze dello Stato, С-94/77, ECLI:EU:C:1978:17 и 101.
(40)  Съображение 8 от регламента.
(41)  Австрия ( http://www.ris.bka.gv.at/Dokumente/BgblAuth/BGBLA_2017_I_120/BGBLA_2017_I_120.pdf );
Германия ( https://www.bgbl.de/xaver/bgbl/start.xav?start=%2F%2F*%5B%40attr_id%3D%27bgbl117s2097.pdf%27 %5D#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl117s2097.pdf%27 %5D__1513091793362 ).
(42)  За общ преглед на актуалното състояние на законодателния процес в различните държави членки, вж. http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3461
(43) Европейският комитет по защита на данните ще бъде орган на ЕС със статут на юридическо лице, който ще гарантира последователното прилагане на регламента. Той ще включва ръководителите на всички органи за защита на данните и Европейския надзорен орган по защита на данните, или техните представители.
(44) Съображение 117 и вече посоченото в съображение 62 от Директива 95/46.
(45) Съобщение на Комисията до Европейския Парламент и Съвета относно последващите действия по отношение на работната програма за по-добро прилагане на Директивата за защита на данните, COM(2007) 87 окончателен, 7 март 2007 г.
(46) Член 52 от регламента.
(47) Член 52, параграф 4 от регламента.
(48) Насоките ще допринесат за по-доброто разбиране на правилата на ЕС за защита на данните, но само текстът на регламента има правна сила. В резултат, само регламентът може да създаде права и задължения за физическите лица.
(49)  Безвъзмездни средства, предоставени в рамките на програма „Права и гражданство“ за 2016 г., https://ec.europa.eu/research/participants/portal/desktop/en/opportunities/rec/calls/rec-data-2016.html#c,topics=callIdentifier/t/REC-DATA-2016/1/1/1/default-group&callStatus/t/Forthcoming/1/1/0/default-group&callStatus/t/Open/1/1/0/default-group&callStatus/t/Closed/1/1/0/default-group&+identifier/desc ).
(50)   http://ec.europa.eu/research/participants/portal/desktop/en/opportunities/rec/topics/rec-rdat-trai-ag-2017.html
(51) делегиран акт за информацията, която да бъде представена под формата на икони, и на процедурите за предоставяне на стандартизирани икони (член 12, параграф 8 от регламента); делегиран акт за изискванията, които трябва да бъдат взети предвид по отношение на механизмите за сертифициране (член 43, параграф 8 от регламента); акт за изпълнение за определяне на технически стандарти за механизмите за сертифициране и за печатите и маркировките за защита на данните, както и механизми за насърчаване и признаване на тези механизми и на печатите и маркировките (член 43, параграф 9 от регламента); акт за изпълнение относно формàта и процедурите за обмена на информация между администраторите, обработващите лични данни и надзорните органи относно задължителните фирмени правила (член 47, параграф 3 от регламента); актове за изпълнение относно формàта и процедурите за взаимопомощ и за обмена на информация по електронен път между надзорните органи (член 61, параграф 9 и член 67 от регламента).
(52) За информация относно напредъка, вж. http://www.efta.int/eea-lex/32016R0679.
(53) https://ec.europa.eu/commission/publications/position-paper-use-data-and-protection-information-obtained-or-processed-withdrawal-date_en
(54) Вж. Известие на Комисията до заинтересованите страни: оттегляне на Обединеното кралство и правила на ЕС в областта на защитата на данните (http://ec.europa.eu/newsroom/just/document.cfm?action=display&doc_id=49245).
Top