ПРИЛОЖЕНИЕ

СЪВМЕСТНО АДМИНИСТРИРАНЕ НА СИСТЕМАТА ЗА БЪРЗО ПРЕДУПРЕЖДЕНИЕ SAFETY GATE

1.   ПРЕДМЕТ И ОПИСАНИЕ НА ОБРАБОТВАНЕТО

Системата за бързо предупреждение Safety Gate е система за нотифициране, управлявана от Комисията, предназначена за бързия обмен на информация между националните органи на държавите членки, трите държави от Европейското икономическо пространство/Европейската асоциация за свободна търговия (ЕИП/ЕАСТ) (Исландия, Лихтенщайн и Норвегия) и Комисията относно мерките, предприети срещу опасни продукти, открити на пазара на Съюза и/или ЕИП/ЕАСТ.

Целта на системата за бързо предупреждение Safety Gate е да се даде възможност за бърз обмен на информация относно корективните мерки, предприети в целия Съюз във връзка с продукти, които представляват риск.

Обменът на информация се отнася до корективните мерки, предприети във връзка с опасни потребителски и професионални продукти, попадащи в обхвата на Регламент (ЕС) 2023/988 или Регламент (ЕС) 2019/1020.

Системата за бързо предупреждение Safety Gate обхваща както мерките, разпоредени от националните органи, така и мерките, предприети доброволно от икономическите оператори.

2.   ОБХВАТ НА СЪВМЕСТНОТО АДМИНИСТРИРАНЕ

Комисията и националните органи действат в качеството на съвместни администратори (наричани по-нататък „съвместни администратори“) за обработването на данни в системата за бързо предупреждение Safety Gate. „Национални органи“ означава всички органи, които действат в областта на безопасността на продуктите в държавите членки и/или държавите от ЕАСТ/ЕИП и участват в мрежата на ЕС от звена за контакт на Safety Gate, включително органите за надзор на пазара, отговарящи за наблюдението на съответствието на продуктите с изискванията за безопасност, и органите, отговарящи за контрола по външните граници.

За целите на член 26 от Регламент (ЕС) 2016/679 и член 28 от Регламент (ЕС) 2018/1725 в качеството на съвместен администратор на лични данни Комисията отговаря за следните дейности по обработване:

1)

обработването от Комисията на информация относно мерките, предприети срещу продукти, представляващи сериозни рискове, внесени във или изнесени от Съюза и Европейското икономическо пространство, за да предаде тази информация на единните национални звена за контакт на системата за бързо предупреждение Safety Gate („звената за контакт на Safety Gate“);

2)

обработването от Комисията на информация, получена от трети държави, международни организации, предприятия или други системи за бързо предупреждение относно продукти с произход от ЕС и извън ЕС, представляващи риск за здравето и безопасността на потребителите, за да предава тази информация на националните органи.

При извършването на тези дейности Комисията гарантира спазването на приложимите задължения и условия по Регламент (ЕС) 2018/1725.

Националните органи отговарят за следните дейности по обработване в качеството си на съвместни администратори на лични данни:

1)	обработването от националните органи на информация съгласно член 26 от Регламент (ЕС) 2023/988 относно общата безопасност на продуктите и член 20 от Регламент (ЕС) 2019/1020 с цел съобщаване на тази информация на Комисията и на други държави членки и държави от ЕАСТ/ЕИП;

2)	обработването от националните органи на информация след последващите им действия във връзка с нотификациите в системата за бързо предупреждение Safety Gate с цел съобщаване на тази информация на Комисията и на другите държави членки и държави от ЕАСТ/ЕИП.

При извършването на тези дейности националните органи гарантират спазването на приложимите задължения и условия на Регламент (ЕС) 2016/679.

3.   ОТГОВОРНОСТИ, РОЛИ И ОТНОШЕНИЯ НА СЪВМЕСТНИТЕ АДМИНИСТРАТОРИ СЪС СУБЕКТИТЕ НА ДАННИ

3.1.   Категории субекти на данни и лични данни

Съвместните администратори обработват съвместно следните категории лични данни:

а)

данни за връзка на ползвателите на системата за бързо предупреждение Safety Gate.   Могат да бъдат обработвани следните данни: — собствено име на ползвателите на системата за бързо предупреждение Safety Gate, — фамилно име на ползвателите на системата за бързо предупреждение Safety Gate, — електронна поща на ползвателите на системата за бързо предупреждение Safety Gate, — държава на ползвателите на системата за бързо предупреждение Safety Gate, — предпочитан език на ползвателите на системата за бързо предупреждение Safety Gate;

б)

Данни за връзка на авторите и одобряващите нотификациите и реакциите, подадени чрез системата за бързо предупреждение Safety Gate.   Тези автори и одобряващи нотификациите включват: — националните звена за контакт на Safety Gate и инспекторите от органите за надзор на пазара на държавите членки и държавите от ЕАСТ/ЕИП или от националните органи, отговарящи за контрола по външните граници, които участват в процедурата по нотифициране, — служители на Комисията, включително длъжностни лица, срочно наети служители, договорно наети служители, стажанти и външни доставчици на услуги.   Могат да бъдат обработвани следните данни: — собствено име на авторите и одобряващите нотификациите и реакциите, подадени чрез системата за бързо предупреждение Safety Gate, — фамилно име на авторите и одобряващите нотификациите и реакциите, подадени чрез системата за бързо предупреждение Safety Gate, — наименование на органа, който е автор на или одобрява нотификациите и реакциите, подадени чрез системата за бързо предупреждение Safety Gate, — адрес на органа, който е автор на или одобрява нотификациите и реакциите, подадени чрез системата за бързо предупреждение Safety Gate, — адрес на електронна поща на авторите и одобряващите нотификациите и реакциите, подадени чрез системата за бързо предупреждение Safety Gate, — телефонен номер на авторите и одобряващите нотификациите и реакциите, подадени чрез системата за бързо предупреждение Safety Gate;

в)

Освен това в системата за бързо предупреждение Safety Gate инцидентно могат да бъдат включвани и два вида лични данни: i) когато е необходимо да се проследяват опасни продукти съгласно определението в член 3, параграф 3 от Регламент (ЕС) 2023/988, данните за връзка на икономическите оператори могат да съдържат лични данни, които ще бъдат включени в системата за бързо предупреждение Safety Gate. Такива данни се въвеждат в системата за бързо предупреждение Safety Gate само от националните органи, въз основа на информацията, събрана по време на тяхното разследване. Могат да бъдат обработвани следните данни: — наименование на икономическите оператори, — адрес на икономическите оператори, — град на икономическите оператори, — държава на икономическите оператори, — информация за връзка с икономическите оператори (1), — адрес за връзка с икономическите оператори; ii) Когато са били инцидентно включени в други документи, като протоколи от изпитвания, имената на лицата, извършили изпитванията на опасни продукти и/или заверили протоколите от изпитванията.

3.2.   Предоставяне на информация на субектите на данни

Комисията предоставя информацията, посочена в членове 15 и 16, и осигурява всяка комуникация по членове 17—24 и член 35 от Регламент (ЕС) 2018/1725 в сбита, прозрачна, разбираема и леснодостъпна форма, като използва ясен и прост език. Комисията също така предприема подходящи мерки, за да подпомогне националните органи в предоставянето на информация, посочена в членове 13 и 14, и осигуряването на всяка комуникация по членове 19—26 и член 37 от Регламент (ЕС) 2016/679 в сбита, прозрачна, разбираема и леснодостъпна форма, като използва ясен и прост език относно следните данни:

—	данни, свързани с ползвателите на системата за бързо предупреждение Safety Gate,

—	данни, свързани с авторите и одобряващите нотификациите и реакциите.

Ползвателите на системата за бързо предупреждение Safety Gate се информират за техните права чрез декларацията за поверителност, която може да бъде намерена в системата за бързо предупреждение Safety Gate.

Националните органи предприемат подходящи мерки, за да предоставят всяка информация, посочена в членове 13 и 14, и да осигурят всяка комуникация по членове 19—26 и член 37 от Регламент (ЕС) 2016/679 в сбита, прозрачна, разбираема и леснодостъпна форма, като използват ясен и прост език относно следните данни:

—	информация за юридическите лица, идентифициращи физическо лице,

—	имена и други данни на лицата, извършили изпитванията на опасни продукти и/или заверили протоколите от изпитванията.

Информацията се предоставя в писмена форма, включително по електронен път.

Националните органи използват образеца на декларация за поверителност, предоставен от Комисията, когато изпълняват задълженията си по отношение на субектите на данни.

3.3.   Обработване на исканията на субектите на данни

Субектите на данни могат да упражняват правата си съответно съгласно Регламент (ЕС) 2018/1725 и Регламент (ЕС) 2016/679 срещу Комисията или срещу национални органи в качеството им на съвместни администратори.

Съвместните администратори обработват исканията на субектите на данни в съответствие с процедурата, установена за тази цел от съвместните администратори. Подробната процедура за упражняване на правата на субектите на данни е обяснена в декларацията за поверителност.

Съвместните администратори си сътрудничат и при поискване си оказват бързо и ефикасно съдействие при обработването на исканията на субектите на данни.

Ако един съвместен администратор получи искане от субект на данни, което не попада в обхвата на отговорностите му, този съвместен администратор препраща искането своевременно и най-късно в срок от седем календарни дни от получаването му на действително отговорния за това искане съвместен администратор. Отговорният съвместен администратор изпраща на субекта на данните потвърждение за получаване в срок от три календарни дни след получаване на препратеното искане, като същевременно уведомява за това първоначално получилия искането съвместен администратор.

В отговор на искане на субект на данни за достъп до лични данни, никой съвместен администратор не разкрива или по друг начин не предоставя на разположение обработвани съвместно лични данни, без преди това да се консултира с другия съвместен администратор.

4.   ДРУГИ ОТГОВОРНОСТИ И ФУНКЦИИ НА СЪВМЕСТНИТЕ АДМИНИСТРАТОРИ

4.1.   Сигурност на обработването

Всеки съвместен администратор прилага подходящи технически и организационни мерки, за да:

а)	гарантира и защити сигурността, целостта и поверителността на личните данни, обработвани съвместно в съответствие с Решение (ЕС, Евратом) 2017/46 на Комисията (2) и приложимия правен акт съответно на държавата — членка на ЕС/ЕАСТ/ЕИП;

б)	оказва защита срещу неразрешено или незаконно обработване, загуба, използване, разкриване или придобиване на лични данни, с които разполага, или достъп до такива данни;

в)	не разкрива или да не предоставя достъп до личните данни на лица, различни от предварително одобрените получатели или обработващи лични данни.

Всеки съвместен администратор прилага подходящи технически и организационни мерки с цел да гарантира сигурността на обработването съответно съгласно член 33 от Регламент (ЕС) 2018/1725 и член 32 от Регламент (ЕС) 2016/679.

Съвместните администратори си оказват бързо и ефикасно съдействие в случай на инциденти, свързани със сигурността, включително нарушения на сигурността на личните данни.

4.2.   Управление на инциденти, свързани със сигурността, включително нарушения на сигурността на личните данни

Съвместните администратори се справят с инциденти, свързани със сигурността, включително с нарушения на сигурността на личните данни, в съответствие със своите вътрешни процедури и приложимото законодателство.

По-специално съвместните администратори си предоставят взаимно своевременна и ефикасна помощ при необходимост, за да се улесни установяването на всякакви инциденти, свързани със сигурността, включително нарушения на сигурността на личните данни, свързани с операции по съвместно обработване, а също и справянето с тях.

Съвместните администратори се уведомяват взаимно за следното:

а)	всички потенциални или действителни рискове за наличността, поверителността и/или цялостността на личните данни, които са в процес на съвместно обработване;

б)	всички инциденти, свързани със сигурността, които са във връзка с операциите по съвместно обработване;

в)

всяко нарушение на сигурността на личните данни (т.е. всяко нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които са в процес на съвместно обработване), вероятните последици от нарушението на сигурността на личните данни, оценката на риска за правата и свободите на физическите лица, както и всички предприети мерки за справяне с нарушението на сигурността на личните данни и за ограничаване на риска за правата и свободите на физическите лица;

г)	всяко нарушение на техническите и/или организационните гаранции на операцията по съвместно обработване.

Всеки съвместен администратор е отговорен за справянето с всички инциденти, свързани със сигурността, включително нарушения на сигурността на личните данни, които възникват в резултат на нарушение на задълженията, произтичащи за този съвместен администратор съответно от настоящия регламент за изпълнение, Регламент (ЕС) 2018/1725 и Регламент (ЕС) 2016/679.

Съвместните администратори документират инциденти, свързани със сигурността (включително нарушенията на сигурността на личните данни), и се уведомяват взаимно без ненужно забавяне и най-късно в срок от 48 часа, след като са узнали за инцидент, свързан със сигурността (включително за нарушение на сигурността на личните данни).

Съвместният администратор, отговарящ за дадено нарушение на сигурността на личните данни, документира това нарушение на сигурността на личните данни и уведомява за него Европейския надзорен орган по защита на данните или компетентния национален надзорен орган. Той прави това без ненужно забавяне и, когато е осъществимо, не по-късно от 72 часа след като е узнал за нарушението на сигурността на личните данни, освен ако няма вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица. Отговорният съвместен администратор информира другите съвместни администратори за това уведомление.

Съвместният администратор, отговорен за нарушението на сигурността на личните данни, съобщава за това нарушение на сигурността на личните данни на съответните субекти на данни, ако има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица. Отговорният съвместен администратор информира другите съвместни администратори за това съобщаване.

4.3.   Локализиране на личните данни

Личните данни, събрани за целите на процеса на нотифициране чрез системата за бързо предупреждение Safety Gate, се съхраняват и събират в системата за бързо предупреждение Safety Gate, за да се гарантира, че достъпът до приложението е ограничен само до ясно определени лица и съответно данните, съхранявани в приложението, са добре защитени.

Личните данни, събрани за целите на операцията по обработване, се обработват само на територията на ЕС/ЕИП и не напускат тази територия, освен ако не са в съответствие с членове 45, 46 или 49 от Регламент (ЕС) 2016/679 или с членове 47, 48 или 50 от Регламент (ЕС) 2018/1725.

Съгласно член 40 от Регламент (ЕС) 2023/988 Комисията може да предоставя на трети държави или международни организации подбрана информация от системата за бързо предупреждение Safety Gate и да получава съответната информация за безопасността на продуктите и за превантивните, ограничителните и корективните мерки, предприети от тези трети държави или международни организации. Всеки обмен на информация съгласно член 40 от Регламент (ЕС) 2023/988, доколкото включва лични данни, се извършва в съответствие с правилата на Съюза за защита на данните.

4.4.   Получатели на лични данни

Достъп до лични данни се предоставя само на оправомощени служители и изпълнители на Комисията и на националните органи за целите на управлението и експлоатацията на системата за бързо предупреждение Safety Gate. За този достъп се прилагат изисквания за потребителско име и парола, както следва:

—	Системата за бързо предупреждение Safety Gate е отворена само за Комисията и за ползвателите, специално определени от органите на държавите — членки на ЕС, и от органите на държавите от ЕАСТ/ЕИП, както и от органите на Обединеното кралство по отношение на ползвателите от Северна Ирландия,

—

Достъп до събраните лични данни в системата за бързо предупреждение Safety Gate се предоставя само на определените за целта и оправомощени ползватели на приложението, които имат потребителско име/парола. Достъп до приложението и предоставяне на парола са възможни само ако това е поискано от компетентния национален орган под общия надзор на екипа за Safety Gate на Комисията,

—

Достъп до събраните лични данни се предоставя на служителите на Комисията, които отговарят за извършването на тази операция по обработване, както и на оправомощени лица в съответствие с принципа „необходимост да се знае“. Тези служители работят при спазване на законоустановените изисквания, а при необходимост — и на допълнителни споразумения за поверителност.

Лицата, които имат достъп до събраните лични данни, са:

а)	служители и изпълнители на Комисията;

б)	определени звена за контакт и инспектори от органите за надзор на пазара на държавите — членки на ЕС, и държавите от ЕАСТ/ЕИП, както и от органите на Обединеното кралство по отношение на ползвателите от Северна Ирландия;

в)	определени инспектори от органите, отговарящи за контрола на външните граници, на държавите — членки на ЕС, и държавите от ЕАСТ/ЕИП.

Лицата, които имат достъп до всички събрани лични данни и които имат възможност да ги променят при поискване, са:

а)	членове на екипа за Safety Gate на Комисията;

б)	членове на бюрото за помощ за Safety Gate на Комисията.

Списък на всички звена за контакт на Safety Gate, съдържащ техните данни за връзка (фамилно име, собствено име, наименование на органа, адрес на органа, телефон, електронна поща), е достъпен на портала Safety Gate (3). Управлението на ползвателите на национално равнище се контролира от националните звена за контакт на Safety Gate чрез системата за бързо предупреждение Safety Gate.

Всички ползватели имат достъп до съдържанието на нотификациите със статус „EC validated“. Само националните ползватели на системата за бързо предупреждение Safety Gate имат достъп до проектите на своите нотификации (преди подаването им до ЕК). Служителите на Комисията и оправомощените лица имат достъп до нотификациите със статус „EC submitted“.

Всеки съвместен администратор информира всички останали съвместни администратори за всяко предаване на лични данни на получателите в трети държави или международни организации.

5.   КОНКРЕТНИ ОТГОВОРНОСТИ НА СЪВМЕСТНИТЕ АДМИНИСТРАТОРИ

Комисията осигурява и отговаря за:

а)	вземането на решения относно средствата, изискванията и целите на обработването;

б)	записването на операцията по обработване;

в)	улесняването на субектите на данни да упражняват своите права;

г)	обработването на исканията на субектите на данни;

д)	вземането на решение за ограничаване на прилагането на правата на субектите на данни или за дерогация от тях, когато това е необходимо и пропорционално;

е)	спазването на принципите за гарантиране на неприкосновеността на личния живот още при проектирането и на защитата на личния живот по подразбиране;

ж)	установяването и оценяването на законосъобразността, необходимостта и пропорционалността на предаването и прехвърлянето на лични данни;

з)	провеждането на предварителна консултация с Европейския надзорен орган по защита на данните, когато е необходимо;

и)	гарантирането, че лицата, оправомощени да обработват личните данни, са поели ангажимент за поверителност или са задължени надлежно по закон да спазват поверителност;

й)	сътрудничеството с Европейския надзорен орган по защита на данните при поискване при изпълнението на неговите задачи.

Националните органи осигуряват и отговарят за:

а)	записването на операцията по обработване;

б)	гарантирането, че личните данни, които са в процес на обработване, са адекватни, точни, относими и се свеждат до необходимото във връзка с целта;

в)	гарантирането на прозрачно информиране и уведомяване на субектите на данни за техните права;

г)	улесняването на субектите на данни да упражняват своите права;

д)

използването само на обработващи лични данни, които предоставят достатъчни гаранции за прилагането на подходящи технически и организационни мерки по такъв начин, че обработването да отговаря на изискванията на Регламент (ЕС) 2016/679 и с него да се осигурява защитата на правата на субекта на данните;

е)	уреждането на обработването от обработващия лични данни чрез договор или правен акт съгласно правото на Съюза или правото на държава членка в съответствие с член 28 от Регламент (ЕС) 2016/679;

ж)	провеждането на предварителна консултация с националния надзорен орган, когато е необходимо;

з)	гарантирането, че лицата, оправомощени да обработват личните данни, са поели ангажимент за поверителност или са задължени надлежно по закон да спазват поверителност;

и)	сътрудничеството с националния надзорен орган при поискване при изпълнението на техните задачи.

6.   СРОК НА ОБРАБОТВАНЕТО

Съвместните администратори не съхраняват или обработват лични данни по-дълго от необходимото за изпълнение на договорените цели и задължения, определени в настоящия регламент, т.е. за времето, необходимо за изпълнение на целта на събирането или по-нататъшното обработване. По-конкретно:

а)

данните за връзка на ползвателите на системата за бързо предупреждение Safety Gate се съхраняват в системата, докато те са ползватели. Данните за връзка се заличават от системата за бързо предупреждение Safety Gate веднага след като се получи информация, че дадено лице вече не е ползвател на системата;

б)

данните за връзка на инспекторите от органите за надзор на пазара на държавите членки и държавите от ЕАСТ/ЕИП, както и на инспекторите от органите, отговарящи за контрола по външните граници, предоставени в нотификациите и реакциите, се съхраняват в системата за срок от пет години след одобряването на нотификацията или реакцията;

в)

Личните данни на други физически лица, които евентуално са включени в системата, се съхраняват във форма, която позволява идентифицирането им, за срок от 30 години от момента на въвеждане на информацията в системата за бързо предупреждение Safety Gate, който съответства на очаквания максимален жизнен цикъл на категориите продукти, като електрически уреди или моторни превозни средства.

Легитимните искания от субектите на данни за блокиране, коригиране или изтриване на техните данни се изпълняват от Комисията в срок от един месец от получаването на искането.

7.   ОТГОВОРНОСТ ЗА НЕИЗПЪЛНЕНИЕ

Комисията носи отговорност за неизпълнение в съответствие с глава VIII от Регламент (ЕС) 2018/1725.

Органите на държавите — членки на ЕС, носят отговорност за неизпълнение в съответствие с глава VIII от Регламент (ЕС) 2016/679.

8.   СЪТРУДНИЧЕСТВО МЕЖДУ СЪВМЕСТНИТЕ АДМИНИСТРАТОРИ

При поискване всеки съвместен администратор оказва своевременна и ефикасна помощ на другите съвместни администратори при изпълнението на настоящия регламент, като същевременно спазва всички приложими изисквания съответно на регламенти (ЕС) 2018/1725 и (ЕС) 2016/679, както и другите приложими правила за защита на данните.

9.   УРЕЖДАНЕ НА СПОРОВЕ

Съвместните администратори полагат усилия за уреждане по взаимно съгласие на всеки спор, възникнал при или свързан с тълкуването или прилагането на настоящия регламент.

Ако някога между съвместните администратори възникне въпрос, спор или несъгласие относно настоящия регламент или във връзка с него, съвместните администратори полагат всички усилия за разрешаването му чрез процес на консултация.

За предпочитане е всички спорове да бъдат уреждани на оперативно равнище при възникването им и да се уреждат от звената за контакт, посочени в точка 10 от настоящото приложение и на портала Safety Gate.

Целта на консултацията е да се направи преглед и да се постигне съгласие, доколкото е възможно, относно предприетите действия за разрешаване на проблема. За тази цел съвместните администратори преговарят помежду си добросъвестно. Всеки съвместен администратор отговаря на искане за уреждане на спора по взаимно съгласие в рамките на седем работни дни след получаването на такова искане. Срокът за уреждане на спор по взаимно съгласие е 30 работни дни от получаването на искането.

Ако спорът не може да бъде уреден по взаимно съгласие, всеки съвместен администратор може да пристъпи към медиация и/или съдебно производство по следния начин:

а)	в случай на медиация съвместните администратори заедно определят приемлив за всеки от тях медиатор, който ще отговаря за способстването за разрешаването на спора в срок от два месеца от отнасянето на спора до него;

б)	в случай на съдебно производство въпросът се отнася до Съда на Европейския съюз в съответствие с член 272 от Договора за функционирането на Европейския съюз.

10.   ЗВЕНА ЗА КОНТАКТ ЗА ЦЕЛИТЕ НА СЪТРУДНИЧЕСТВОТО МЕЖДУ СЪВМЕСТНИТЕ АДМИНИСТРАТОРИ

Всеки съвместен администратор определя единно звено за контакт, към което другите съвместни администратори се обръщат в случай на запитвания, жалби и предоставяне на информация в обхвата на настоящия регламент.

На портала Safety Gate се предоставя достъп до подробен списък с всички звена за контакт, определени от Комисията и националните органи, съдържащ техните данни за връзка (фамилно име, собствено име, наименование на органа, адрес на органа, телефон, факс, електронна поща).

---

(1)  Това поле може да се отнася до физическото лице, представляващо производителите, или упълномощените представители. Държавите членки обаче се приканват да избягват въвеждането на лични данни и да предпочитат нелични данни за връзка, като например общи адреси на електронна поща.

(2)  Решение (ЕС, Евратом) 2017/46 на Комисията от 10 януари 2017 г. относно сигурността на комуникационните и информационните системи в Европейската комисия (ОВ L 6, 11.1.2017 г., стр. 40, ELI: http://data.europa.eu/eli/dec/2017/46/oj).

(3)   https://ec.europa.eu/safety-gate/#/screen/pages/contacts.