(1)

Защитата на физическите лица във връзка с обработването на лични данни е основно право. Член 8, параграф 1 от Хартата на основните права на Европейския съюз („Хартата“) и член 16, параграф 1 от Договора постановяват, че всеки има право на защита на личните данни, отнасящи се до него.

(2)

Обработването на лични данни е предназначено да служи на хората; принципите и правилата относно защитата на физическите лица във връзка с обработването на личните им данни следва, независимо от гражданството или местопребиваването на физическите лица, да съблюдават техните основни права и свободи и по-конкретно правото на защита на личните им данни. Това следва да допринася за създаването на пространство на свобода, сигурност и правосъдие и на икономически съюз, за постигането на икономически и социален прогрес, за укрепването и сближаването на икономиките в рамките на вътрешния пазар, както и за благосъстоянието на хората.

(3)

Целта на Директива 95/46/ЕО на Европейския парламент и на Съвета (4) е да се хармонизира защитата на основните права и свободи на физическите лица по отношение на дейностите по обработване на данни и да се гарантира свободното движение на лични данни между държавите членки.

(4)

Икономическата и социалната интеграция, произтичаща от функционирането на вътрешния пазар, доведе до съществено увеличение на трансграничните потоци от данни. Обменът на данни между икономическите и социалните, публичните и частните субекти в Съюза нарасна. Националните органи в държавите членки са задължени от правото на Съюза да си сътрудничат и обменят лични данни, така че да са в състояние да изпълняват своите задължения или да изпълняват задачи от името на орган на друга държава членка.

(5)

Бързото технологично развитие и глобализацията изправиха защитата на личните данни пред нови предизвикателства. Забележително нарасна мащабът на обмена и събирането на данни. Технологиите позволяват на частните дружества и публичните органи да използват лични данни в безпрецедентни мащаби, за да упражняват дейността си. Хората все по-често предоставят лична информация в публичното и световното пространство. Технологиите преобразиха както икономическия, така и социалния живот, като това налага да бъде улеснено още повече свободното движение на данни в Съюза и предаването на данни до трети държави и международни организации, като същевременно се гарантира високо ниво на защита на личните данни.

(6)

Тези промени изискват изграждането на стабилна и по-съгласувана рамка за защита на данните в Съюза, подкрепена от силно правоприлагане, като се има предвид значението на създаването на доверие, което ще позволи на цифровата икономика да се развива на вътрешния пазар. Физическите лица следва да имат контрол върху собствените си лични данни, а правната и практическата сигурност за физическите лица, икономическите оператори и публичните органи следва да бъдат засилени.

(7)

Целите и принципите на Директива 95/46/ЕО остават стабилни, но това не предотврати фрагментарния начин, по който се осъществява защитата на данни в Съюза, нито правната несигурност и широко разпространеното обществено схващане, че съществуват значителни рискове за защитата на физическите лица, свързани именно с дейностите онлайн. Разликите в осигуреното в държавите членки ниво на защита на правата и свободите на физическите лица, особено на правото на защита на личните данни, във връзка с обработването на лични данни, могат да възпрепятстват свободното движение на лични данни в рамките на Съюза. Поради това тези разлики може да се превърнат в препятствие за осъществяването на икономически дейности на равнището на Съюза, да наруши конкуренцията и да възпрепятства органите при изпълнението на техните отговорности съгласно правото на Съюза. Тази разлика в нивата на защита се дължи на съществуването на разлики в изпълнението и прилагането на Директива 95/46/ЕО.

(8)

За да се гарантира съгласувано и високо ниво на защита на физическите лица, както и за да се премахнат препятствията пред потоците от лични данни, нивото на защита на правата и свободите на физическите лица във връзка с обработването на такива данни следва да бъде еквивалентно във всички държави членки. Необходимо е да се гарантира съгласувано и еднакво прилагане в рамките на Съюза на правилата за защита на основните права и свободи на физическите лица във връзка с обработването на лични данни.

(9)

Ефективната защита на личните данни в рамките на Съюза изисква укрепване и подробно описание на правата на субектите на данните и задълженията на онези, които обработват и определят обработването на личните данни, но също и еквивалентни правомощия за наблюдение и гарантиране на спазването на правилата за защита на личните данни, както и еквивалентни санкции за нарушителите в държавите членки.

(10)

В член 16, параграф 2 от Договора се възлага мандат на Европейския парламент и Съвета да установят правилата относно защитата на физическите лица във връзка с обработването на лични данни, както и правилата, засягащи свободното движение на лични данни.

(11)

За да се гарантира съгласувано ниво на защита на физическите лица в целия Съюз и да се попречи на различията да възпрепятстват свободното движение на данни в рамките на вътрешния пазар, е необходим регламент, който да осигурява правна сигурност и прозрачност на икономическите оператори, включително на микропредприятията, малките и средните предприятия, и да предостави на физическите лица във всички държави членки еднакви по степен законово противопоставими права за субектите на данни и задължения и отговорности за администраторите и обработващите лични данни, както и да гарантира съгласувано наблюдение на обработването на лични данни, еквивалентни санкции във всички държави членки и ефективно сътрудничество от страна на надзорните органи на различните държави членки. С цел да се отчете особеното положение на микропредприятията, малките и средните предприятия в регламента са включени редица дерогации. Освен това институциите и органите на Съюза, държавите членки и техните надзорни органи се приканват да вземат предвид специфичните нужди на микропредприятията, малките и средните предприятия при прилагането на настоящия регламент. Разбирането на понятието за микропредприятия, малки и средни предприятия следва да се основава на Препоръка 2003/361/ЕО на Комисията (5).

(12)

Защитата, осигурена с настоящия регламент, засяга физическите лица, независимо от тяхната националност или местоживеене, във връзка с обработването на лични данни. Що се отнася до обработването на данни, които засягат юридически лица, и по-специално предприятия, установени като юридически лица, включително наименованието и правната форма на юридическото лице и координатите за връзка на юридическото лице, никое лице не следва да търси защита по силата на настоящия регламент. Това следва да се прилага и когато наименованието на юридическото лице съдържа имената на едно или повече физически лица.

(13)

Защитата на физическите лица следва да бъде технологично неутрална и да не зависи от използваната техника, тъй като в противен случай това би създало сериозен риск от заобикаляне на закона. Защитата на физическите лица следва да се прилага за обработването на лични данни с автоматични средства, както и за ръчното им обработване, ако данните се съхраняват или са предназначени да се съхраняват в регистър на лични данни. Досиетата или групите от досиета, както и заглавните им страници, които не са структурирани съгласно специфични критерии, не следва да попадат в приложното поле на настоящия регламент.

(14)

Настоящият регламент не урежда въпроси по отношение на защитата на основните права и свободи или свободното движение на данни, свързани с дейности, които са извън приложното поле на правото на Съюза, нито урежда обработването на лични данни от институциите, органите, службите и агенциите на Съюза, уредено с. Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета  (6) , нито обработването на лични данни от държавите членки, когато извършват дейности във връзка с общата външна политика и политиката на сигурност на Съюза следва да бъде приведен в съответствие с настоящия регламент и да се прилага в съответствие с настоящия регламент . [Изм. 1]

(15)

Регламентът следва да не се прилага също така спрямо обработването на лични данни от физическо лице, когато тези данни са с изцяло личен , семеен или домашен характер, като например воденето на кореспонденция и поддържането на адресни указатели или частни продажби , и когато това обработване се извършва без никакви възмездни цели и следователно без никаква връзка с професионална или търговска дейност. Изключението не Настоящият регламент следва да се прилага също така обаче за администратори или и обработващи лични данни, които осигуряват средствата за обработване на лични данни за такива лични или домашни дейности. [Изм. 2]

(16)

Защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции и свободното движение на такива данни са предмет на специален правен инструмент на равнището на Съюза. Следователно настоящият регламент не следва да се прилага спрямо дейностите по обработване на лични данни за такива цели. Обработването на данни от стана на публичните органи по силата на настоящия регламент обаче следва да бъде уредено с по-специфичен правен инструмент на равнището на Съюза (Директива …/…/ЕС на Европейския парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции и относно свободното движение на такива данни), когато данните се използват за предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции.

(17)

Настоящият регламент следва да се прилага, без да се засяга прилагането на Директива 2000/31/ЕО на Европейския парламент и на Съвета (7), и по-специално разпоредбите относно междинните доставчици на услуги в членове 12—15 от посочената директива.

(18)

Настоящият регламент дава възможност при прилагане на неговите разпоредби да се взема предвид принципът на публичен достъп до официални документи. Личните данни в документите, съхранявани от държавен орган или публична организация, могат да бъдат разкривани от този орган или организация в съответствие с правото на Съюза или с националното право на държавите членки относно публичния достъп до официални документи, което съчетава правото на защита на данните с правото на публичен достъп до официални документи и представлява справедлив баланс между различните засегнати интереси. [Изм. 3]

(19)

Всякакъв вид обработване на лични данни в контекста на дейностите на място на установяване на администратор или на обработващ лични данни в Съюза следва да се извършва в съответствие с настоящия регламент, независимо от това дали самото обработване се извършва в рамките на Съюза или не. Установяването предполага ефективното и действителното упражняване на дейност по силата на стабилни договорености. Правната форма на тези договорености, независимо дали става въпрос за клон или дъщерно дружество с правосубектност, не е определящ фактор в това отношение.

(20)

За да се гарантира, че физическите лица не са лишени от защитата, на която те имат право по силата на настоящия регламент, обработването на лични данни на субекти на данни с местоживеене в Съюза от администратор, който не е установен в Съюза, следва да подлежи на разпоредбите на настоящия регламент в случаите, когато дейностите по обработване на данни са свързани с предлагането на стоки или услуги , без значение дали то е свързано със заплащане или не, на такива субекти на данни или с наблюдение на поведението такива субекти на данни. За да се установи дали този администратор предлага стоки или услуги на такива субекти на данни в Съюза, следва да бъде уточнено дали е очевидно, че администраторът възнамерява да предлага услуги на субекти на данни, пребиваващи в една или повече държави членки на Съюза . [Изм. 4]

(21)

С цел да се определи дали дадена дейност по обработване може да се смята за „наблюдение на поведението“ на субектите на данни следва да се установи дали физическите лица са следени в интернет посредством , независимо от произхода на данните или от това дали са събирани други данни за тях, включително от публични регистри и обяви в Съюза, които са достъпни извън Съюза, включително с намерение за използване или вероятност за последващо използване на техники за обработване на данни, които се състоят в създаването на „профил“на дадено физическо лице, по-специално с цел да се вземат решения относно него или да се анализират или предугаждат неговите лични предпочитания, поведение и начин на мислене. [Изм. 5]

(22)

Когато националното право на дадена държава членка се прилага по силата на международното публично право, настоящият регламент се прилага също спрямо администратор, който не е установен в Съюза, като например дипломатическа мисия на държава членка или консулска служба.

(23)

Принципите на защита на данните следва да се прилагат по отношение на всяка информация, която се отнася до идентифицирано лице или отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано. За да се определи дали може дадено лице може да бъде идентифицирано, следва да се вземат предвид всички средства, с които е вероятно да си послужи администраторът или което и да е друго лице, за идентифицирането на да идентифицира или набележи пряко или непряко даденото физическо лице. За да се уточни дали е вероятно дадени средства да бъдат използвани за идентифициране на лицето, следва да се вземат предвид всички обективни фактори, като разходите и количеството време, необходими за идентифицирането, като се отчитат както наличните към момента на обработване на данните технологии, така и тяхното развитие. Принципите на защита на данните следователно не следва да се прилагат по отношение на анонимни данни, които са анонимизирани по такъв начин, че субектът на данните да не може повече да бъде идентифициран указват , че не се отнасят до физическо лице, чиято самоличност е установена или подлежи на установяване . Следователно настоящият регламент не се отнася за обработването на такава анонимни данни, включително за статистически или изследователски цели . [Изм. 6]

(24)

При използването на онлайн услуги физическите лица могат да са свързани с онлайн Настоящият регламент следва да се прилага за обработване, включващо идентификатори, предоставени от техните устройства, приложения, инструменти и протоколи, като адресите по интернет протокол (IP адреси) или, идентификаторите, наричани „бисквитки“ и устройствата за радиочестотна идентификация, освен ако посочените идентификатори не се отнасят до физическо лице, чиято самоличност е установена или подлежи на установяване . По този начин могат да бъдат оставени следи, които, съчетани с уникалните идентификатори и с друга информация, получена от сървърите, могат да се използват за създаването на профили на физическите лица и за тяхното идентифициране. От това следва, че идентификационните номера, данните за местоположението, онлайн идентификаторите или други специфични фактори като такива не е трябва непременно да се считат за лични данни при всички обстоятелства. [Изм. 7]

(25)

Съгласие следва да се дава изрично по всеки подходящ начин, позволяващ даването на свободно изразено, конкретно и информирано указание за волята на субекта на данни въз основа на потвърждаващо действие , което е резултат от избора на страна на субекта на данни, което да гарантира, че физическите лица съзнават, че дават съгласието си за обработването на личните им данни, включително чрез отбелязването . Ясното потвърждаващо действие може да включва отбелязване с отметка в поле при посещението на уебсайт в интернет или всякакво друго указание или поведение, което ясно показва, че субектът на данни е съгласен с предложеното обработване на неговите лични данни. Мълчанието , обикновеното използване на услугата или липсата на действие следователно не следва да представлява съгласие. Съгласието следва да обхваща всички дейности по обработване, извършени за една и съща цел или цели. Ако съгласието на субекта на данни трябва да се даде след искане по електронен път, искането трябва да е ясно, сбито и да не нарушава излишно използването на услугата, за която се предвижда. [Изм. 8]

(26)

Личните данни, отнасящи се до здравето, следва да обхващат по-специално всички данни, свързани със здравословното състояние на субекта на данните, информацията относно регистрацията на физическото лице за целите на предоставянето на здравно обслужване, информация за плащанията или за правото на ползване на здравно обслужване от лицето, номер, символ или характеристика, присвоени на дадено физическо лице с цел уникалното му идентифициране за здравни цели; всякаква информация за лицето, събрана в хода на предоставянето на здравно обслужване на това лице; информация, получена в резултат от изследването или прегледа на част от тялото или на телесно вещество, включително биологични проби; идентифициране на дадено лице като доставчик на здравно обслужване на физическото лице; или всякаква информация относно например заболяване, увреждане, риск от заболяване, медицинска история, клинично лечение или текущото физиологично или биомедицинско състояние на субекта на данните, независимо от източника на информация, напр. лекар или друг медицински специалист, болница, медицинско изделие или ин витро диагностично изследване.

(27)

Основното място на установяване на администратор в Съюза следва да се определя съгласно обективни критерии и следва да означава ефективното и действително упражняване на управленски дейности, определящи основните решения по отношение на целите, условията и средствата за обработване на данни по силата на стабилни договорености. Този критерий не следва да зависи от това дали обработването на лични данни се извършва в действителност на това място; наличието и употребата на технически средства и технологии за обработване на лични данни или дейностите по обработване не представляват сами по себе си такова основно място на установяване и следователно не са определящи критерии за понятието „основно място на установяване“. Основното място на установяване на обработващия лични данни следва да бъде мястото, където се намира главното му управление в Съюза.

(28)

Дадена група предприятия следва да обхваща контролиращо предприятие и контролираните от него предприятия, като контролиращото предприятие следва да бъде предприятие, което може да упражнява доминиращо влияние върху другите предприятия въз основа на това, че има например право на собственост или финансово участие, или въз основа на правилата за неговото управление или правомощието да прилага правила за защита на личните данни.

(29)

На децата се полага специална защита на техните лични данни, тъй като те не съзнават така добре рисковете, последиците, гаранциите и своите права, свързани с обработването на лични данни. За да се определи кога едно физическо лице е дете, регламентът Когато обработването на лични данни се базира на съгласието на субект на данни във връзка с прякото предлагане на дете на стоки или услуги, съгласието следва да се даде или разреши от родителя или законния настойник на дете на възраст под 13 години. Когато целевата аудитория е детска, следва да се използва определението, дадено в Конвенцията на Обединените нации за правата на детето съобразен с възрастта език . Други основания за законосъобразно обработване, като съображения от публичен интерес следва да продължат да се прилагат, както при обработването в контекста на пряко предлаганите на деца превантивни или консултантски услуги. [Изм. 9]

(30)

Всяко обработване на лични данни следва да бъде законосъобразно, добросъвестно и прозрачно по отношение на засегнатите физически лица. По-специално конкретните цели, за които се обработват данните, следва да бъдат ясни и законни и определени към момента на събирането на данните. Данните следва да бъдат подходящи, релевантни и ограничени до минимума, необходим за целите, за които данните се обработват; това налага, по-специално, да се гарантира, че събраните данни не надхвърлят необходимото и че срокът, за който данните се съхраняват, е ограничен до строг минимум. Личните данни следва да се обработват единствено ако целта на обработването не може да бъде постигната чрез други средства. Следва да бъдат предприети всички разумни мерки, за да се гарантира, че неточните лични данни се коригират или заличават. С цел да се гарантира, че срокът на съхранение на данните не е по-дълъг от необходимия, администраторът следва да установи срокове за тяхното заличаване или периодичен преглед.

(31)

За да бъде обработването законосъобразно, личните данни следва да бъдат обработвани въз основа на съгласието на съответното лице или на друго законно основание, установено със закон или в настоящия регламент, или в друг закон на Съюза или на държава членка, посочен в настоящия регламент. Когато става въпрос за дете или недееспособно лице, съответното законодателство на Съюза или на държавите членки следва да определи условията, при които предоставя или разрешава съгласието от това лице. [Изм. 10]

(32)

Когато обработването се извършва въз основа на съгласието на субекта на данни, администраторът следва да носи тежестта на доказване, че субектът на данни е дал съгласието си за операцията по обработване. По-специално в случай на писмена декларация по друг въпрос с гаранциите следва да се гарантира, че субектът на данни е информиран за това, че дава съгласието си и в каква степен го дава. За да се спази принципът за свеждане до минимум на данните, тежестта на доказване не следва да се разбира като задължително идентифициране на субектите на данните, освен когато това е необходимо. По подобие на гражданскоправните клаузи (напр. Директива 93/13/ЕИО на Съвета  (8) ), политиките относно защитата на личните данни следва да бъдат възможно най-ясни и прозрачни. Те не следва да съдържат скрити или неблагоприятни клаузи. Не може да се дава съгласие за обработване на данни на трето лице. [Изм. 11]

(33)

За да се гарантира свободното съгласие, следва да бъде разяснено, че съгласието не дава валидно правно основание, когато лицето няма истински и свободен избор и впоследствие не е в състояние да откаже или да оттегли съгласието си, без това да доведе до вредни последици за него. Това особено важи за случаите, при които администраторът е публичен орган, който може да наложи задължение по силата на своите публични правомощия и съгласието не може да се счита за свободно изразено. Използването на опции по подразбиране, които субектът на данните трябва да промени, за да откаже обработването, като например предварително отметнати полета, не е израз на свободно съгласие. Съгласие за обработване на допълнителни лични данни, които не са необходими за предоставянето на услуга, не следва да се изисква за използването на услугата. Когато съгласието е оттеглено, това може да позволи прекратяване или неизпълнение на услуга, която зависи от предоставянето на данни. Когато изпълнението на планираната цел е неясно, администраторът следва редовно да предоставя на субектите на данни информация относно обработването и да изисква ново потвърждаване на съгласието им. [Изм. 12]

(34)

Съгласието не следва да представлява валидно правно основание за обработването на лични данни, когато е налице очевидна неравнопоставеност между субекта на данни и администратора. Такъв по-специално е случаят, когато субектът на данните е в положение на зависимост от администратора, например когато работодателят обработва личните данни на свой служител в контекста на трудово правоотношение. Когато администраторът е публичен орган, може да има неравнопоставеност само при особени операции по обработване на данни, в които публичният орган може да наложи задължение по силата на своите публични правомощия и съгласието не може да се счита за свободно изразено, като се има предвид интересът на субекта на данните. [Изм. 13]

(35)

Обработването на данни следва да е законосъобразно, когато то е необходимо в контекста на договор или при намерение за сключване на договор.

(36)

Когато обработването се извършва в съответствие със законово задължение, наложено на администратора, или когато обработването е необходимо за изпълнението на задача от обществен интерес или при упражняване на официални правомощия, за обработването следва да има правно основание в правото на Съюза или в правото на държава членка, което отговаря на изискванията на Хартата по отношение на ограниченията на правата и свободите. Това следва да включва и колективни споразумения, които биха могли да бъдат признати по националното право като общовалидни. Също така законодателството на Съюза или националното законодателство следва да определи дали администраторът, изпълняващ задача от обществен интерес или упражняващ официални правомощия, следва да бъде публична администрация или друго физическо лице или юридическо лице, субект на публичното или частното право, като например професионално сдружение. [Изм. 14]

(37)

Обработването на лични данни следва също да се счита за законосъобразно, когато е необходимо, за да се защити интерес от основно значение за живота на субекта на данните.

(38)

Законните интереси на даден администратора, или в случай на разкриване — на трето лице, на което са разкрити данните, могат да предоставят правно основание за обработването, при условие че изпълняват основателните очаквания на субекта на данни, въз основа на неговите взаимоотношения с администратора и че интересите или основните права и свободи на съответния субект на данни нямат преимущество. За това е необходима внимателна оценка, особено когато субектът на данните е дете, като се има предвид, че на децата се полага специална защита. При условие че интересите или основните права и свободи на субекта на данни нямат преимущество, следва да се приеме, че обработването, ограничено до данни под псевдоним, изпълнява основателните очаквания на субекта на данни, въз основа на неговите взаимоотношения с администратора. Субектът на данни следва да има право на безплатно възражение срещу обработването на основание своето конкретно положение и безплатно. За да се гарантира прозрачността, администраторът следва да бъде задължен изрично да информира субекта на данни относно преследваните законни интереси и относно правото на възражение, и също така да бъде задължен да документира тези законни интереси. Интересите и основните права на субекта на данни биха могли по-конкретно да имат преимущество пред интереса на администратора, когато личните данни се обработват при обстоятелства, при които субектите на данни основателно не очакват по-нататъшна обработка. Като се има предвид, че е задължение на законодателя да уреди със закон правното основание за обработването на данни от публичните органи, това правно основание не следва да се прилага спрямо обработването на данни от публичните органи при изпълнението на техните задачи. [Изм. 15]

(39)

Обработването на данни в степен, която е строго необходима и пропорционална на за целите на гарантирането на мрежовата и информационната сигурност, т.е. способността на дадена мрежа или информационна система да издържа, на дадено равнище на доверие, на случайни събития или неправомерни или злонамерени действия, които повлияват на наличността, автентичността, целостта и поверителността на съхраняваните или предаваните данни, както и на сигурността на свързаните услуги, предлагани или достъпни посредством тези мрежи и системи, от страна на публични органи, екипи за незабавно реагиране при компютърни инциденти, екипи за реагиране при инциденти с компютърната сигурност, доставчици на мрежи и услуги за електронни съобщения и доставчици на технологии и услуги за сигурност, представлява законен интерес на съответния администратор на данни. Това може да включва например предотвратяването на непозволен достъп до електронни съобщителни мрежи, разпространение на зловреден софтуер, спиране на атаки с цел отказване на услугите и вреди за компютрите и електронните съобщителни системи. Посоченият принцип се прилага и по отношение на обработването на лични данни с цел ограничаване на неправомерния достъп и използването на обществено достъпни мрежови или информационни системи, като например създаването на черен списък на адреси на електронни идентификатори. [Изм. 16]

(39a)

При условие, че интересите или основните права и свободи на субекта на данни нямат преимущество, следва да се приеме, че предотвратяването или ограничаването на вредите от страна на администратора се осъществява в името на законния интерес на трето лице, на което са разкрити данните, и като изпълняващи основателните очаквания на субекта на данни, въз основа на неговите взаимоотношения с администратора. Същият принцип се прилага и за изпълнението на правни искове срещу субект на данни, като събиране на дългове или граждански вреди и средства за защита. [Изм. 17]

(39б)

При условие, че интересите или основните права и свободи на субекта на данни нямат преимущество, обработването на лични данни за целите на директния маркетинг за собствени или подобни стоки и услуги или за целите на директния маркетинг на пощенски услуги следва да се приемат като извършени в името на законния интерес на администратора, или в случай на разкриване — на законния интерес на трето лице, на което са разкрити данните, и като изпълняващи основателните очаквания на субекта на данни, въз основа на неговите взаимоотношения с администратора, ако е предоставена категорично видима информация относно правото на възражение и източника на лични данни. Обработването на професионални координати за връзка следва по принцип да се разглежда като извършено в името на законния интерес на администратора, или в случай на разкриване — на законния интерес на трето лице, на което са разкрити данните, и като изпълняващи основателните очаквания на субекта на данни, въз основа на неговите взаимоотношения с администратора. Същото следва да се прилага за обработването на лични данни, явно направени обществено достояние от субекта на данни. [Изм. 18]

(40)

Обработването на лични данни за други цели следва да бъде разрешено единствено когато е съвместимо с целите, за които първоначално са събрани данните, по специално когато обработването е необходимо за исторически, статистически или научноизследователски цели. Ако другата цел не е съвместима с първоначалната, за която са събрани данните, администраторът следва да получи съгласието на субекта на данните за тази допълнителна цел или следва да основе обработването на друго законно основание за законосъобразно обработване, особено когато това е предвидено в правото на Съюза или в правото на държавата членка, което се прилага спрямо администратора. Във всеки случай, прилагането на принципите, установени с настоящия регламент, и по-специално информирането на субекта на данните относно тези други цели, следва да бъдат гарантирани. [Изм. 19]

(41)

На личните данни, които по своето естество са чувствителни и уязвими по отношение на основните права или правото на неприкосновеност на личния живот, се полага специална защита. Такива данни не трябва да се обработват, освен ако субектът на данните не даде изричното си съгласие за това. Дерогации от тази забрана следва обаче да бъдат изрично предвидени по отношение на специфични нужди, по-специално когато обработването се извършва в хода на законните дейности на някои сдружения или фондации, чиято цел е да се позволи упражняването на основните свободи. [Изм. 20]

(42)

Дерогации от забраната за обработване на чувствителни категории данни следва също да бъдат разрешени, ако са предвидени със закон и при спазването на подходящи гаранции за защита на личните данни и на други основни права, когато това е оправдано поради съображения от обществен интерес, и по-специално за здравни цели, включително за целите на общественото здраве, социалната закрила и управлението на здравни служби, особено с цел да се гарантира качеството и рентабилността на използваните процедури за уреждане на искове за обезщетения и услуги в системата на здравното осигуряване или за исторически, статистически и научноизследователски цели , или за целите на архивирането . [Изм. 21]

(43)

Освен това обработването на лични данни от официални органи за постигането на цели, определени в конституционното право или в международното публично право, на официално признати религиозни сдружения се извършва по съображения от обществен интерес.

(44)

Когато демократичната система в дадена държава членка предполага по време на предизборна дейност политическите партии да събират данни за политическите възгледи на гражданите, обработването на тези данни може да бъде разрешено по съображения от обществен интерес, при условие че са предвидени подходящи гаранции.

(45)

Ако обработваните от администратора данни не му позволяват да идентифицира дадено физическо лице, администраторът на данни не следва да е задължен да придобива допълнителна информация, за да идентифицира субекта на данните единствено с цел спазване на някоя от разпоредбите на настоящия регламент. В случай на искане за достъп администраторът следва да има право да поиска от субекта на данни повече информация, която да му позволи да намери личните данни, които лицето търси. Ако за субекта на данни е възможно да предостави такива данни, администраторите не следва да могат да се позовават на липса на информация за отхвърляне на искане за достъп. [Изм. 22]

(46)

Принципът на прозрачност изисква всяка информация както за обществеността, така и за субекта на данни, да бъде лесно достъпна и разбираема и да се използват ясни и недвусмислени формулировки. Това важи в особена степен за ситуации, като например онлайн рекламите, където увеличеният брой участници и технологичната сложност на тази практика трудно позволяват на субекта на данни да знае и да разбира дали се събират свързани с него лични данни, от кого и с каква цел. Като се има предвид, че на децата се полага специална защита, когато обработването е насочено специално към дете, всяка информация и комуникация следва да се предоставя с такива ясни и недвусмислени формулировки, които да бъдат лесноразбираеми за детето.

(47)

Следва да бъдат осигурени условия за улесняване на упражняването на правата на субектите на данни, предоставени с настоящия регламент, включително механизми за безплатно искане получаване на достъп до данни, коригиране, заличаване и упражняване на правото на възражение. Администраторът следва да бъде задължен да отговори на исканията на субекта на данни в рамките на фиксиран разумен срок и да посочи причините, в случай че не изпълни искането на субекта на данни. [Изм. 23]

(48)

Принципите на добросъвестно и прозрачно обработване изискват субектът на данни да бъде информиран, по-специално за наличието на операция по обработване и нейната цел, продължителността на евентуалното съхранение на данните за всяка цел , ако данните следва да се прехвърлят към трети лица или трети държави, наличието на способи за възразяване и право на достъп, коригиране или заличаване и на правото да се подават жалби. Когато от субекта на данни се събират данни, той следва да бъде информиран и относно това дали е задължен да предостави данните и относно последствията, ако не предостави тези данни. Посочената информация следва да се предостави, което може също да означава да бъде лесно достъпна за субекта на данни след предоставянето на опростена информация под формата на стандартизирани икони. Това следва да означава също, че личните данни се обработват по начин, който действително позволява на субекта на данни да упражнява правата си. [Изм. 24]

(49)

Информацията за обработването на лични данни, свързани със субекта на данните, следва да му се предоставя в момента на събирането или, когато данните не са събрани от субекта на данните, в рамките на разумен срок, в зависимост от обстоятелствата в конкретния случай. В случаите, когато данните могат да бъдат законно разкрити на друг получател, субектът на данните следва да бъде информиран, когато данните се разкриват за първи път на получателя.

(50)

Не е необходимо обаче да се налага такова задължение, когато субектът на данни вече разполага е запознат с тази информация, когато записването или разкриването на данните е изрично предвидено със закон или когато предоставянето на информация на субекта на данни се окаже невъзможно или изисква непропорционално големи усилия. Такъв би бил случаят, по-специално когато обработването на данни се извършва за исторически, статистически или научноизследователски цели; в този контекст може да бъде взет предвид броят на субектите на данните, актуалността на данните и всички приети компенсаторни мерки. [Изм. 25]

(51)

Всяко лице следва да има право на достъп до събраните данни, които го засягат, и да упражнява това право лесно, за да бъде осведомено и да провери законосъобразността на обработването. Поради това всеки субект на данни следва да има правото да е запознат и да получава информация, по-специално относно това за какви цели се обработват данните, за какъв прогнозен срок, кои са получателите на данните, каква е логиката общата логика на данните, които се обработват, и какви биха могли да бъдат последствията от такова обработване, най-малкото когато става дума за създаване на профили. Това право не следва да влияе неблагоприятно върху правата и свободите на други лица, включително върху търговската тайна или интелектуалната собственост, и по-специално върху например във връзка с авторското право, закрилящо софтуера. Тези съображения обаче не следва да водят до отказ на всякаква информация на съответния субект на данни. [Изм. 26]

(52)

Администраторът следва да използва всички разумни мерки за проверка на самоличността на субекта на данни, който иска достъп, по-специално по отношение на онлайн услугите и онлайн идентификаторите. Администраторът не следва да запазва лични данни с единствената цел да може да отговори на потенциални искания.

(53)

Всяко лице следва да има право на коригиране на личните данни, свързани с него, както и „правото „да бъде забравен на заличаване “, когато обработването на тези данни не е в съответствие с настоящия регламент. По-специално, субектите на данни следва да имат право личните им данни да се заличават и да не бъдат обработвани повече, когато данните престанат да бъдат необходими с оглед на целите, за които са били събрани или обработвани по-друг начин, когато субектите на данните са оттеглили своето съгласие за обработването им, когато възразяват срещу обработването на лични данни, свързани с тях, или когато обработването на личните им данни по друг начин не е в съответствие с настоящия регламент. Това право е особено важно, когато субектът на данни е дал съгласието си като дете, когато не е осъзнавал напълно рисковете, свързани с обработването, и впоследствие желае да премахне такива лични данни, особено когато са в Интернет. По-нататъшното запазване на данните обаче следва да бъде позволено, когато е необходимо за исторически, статистически и научноизследователски цели, по съображения от обществен интерес в областта на общественото здраве, за упражняване на правото на свобода на изразяване, когато се изисква по закон или когато съществува причина да бъде ограничено обработването на данните вместо данните да бъдат заличени. Правото на заличаване не следва да се прилага, когато съхранението на лични данни е необходимо за изпълнението на договор със субекта на данни или когато е налице правно задължение за съхранение на тези данни. [Изм. 27]

(54)

С цел утвърждаване на „правото да бъдеш забравен на заличаване “ в онлайн средата, правото на заличаване следва също да бъде разширено, така че администраторът, който е направил личните данни обществено достъпни без правно основание , следва да бъде задължен да уведоми третите страни, които обработват такива данни, че субектът на данните е поискал от него заличаването на всякакви връзки към тези лични данни или на техните копия или реплики. С цел да осигури тази информация администраторът следва да предприеме всички разумни мерки, в това число технически мерки, по отношение необходими стъпки за заличаване на данните, за чието публикуване носи отговорност. Що се отнася до публикуването на лични данни включително от трети страни, администраторът следва да се счита за отговорен за публикуването им, когато е разрешил на третата страна това публикуване без да засяга правото на субекта на данните да претендира за обезщетение . [Изм. 28]

(54a)

Данни, които са оспорени от субекта на данните и чиято точност или неточност не може да се установи, следва да се блокират до изясняването на въпроса. [Изм. 29]

(55)

С цел допълнително да се засилят контролът върху данните и правото на достъп, субектите на данни следва да имат право, когато личните данните се обработват с електронни средства и в структуриран и широко използван формат, да получат копие от свързаните с тях данни също в широко използван електронен формат. На субекта на данни следва също така да бъде позволено да предава данните, които е предоставил, от едно автоматизирано приложение, като например социална мрежа, на друго. Администраторите на данни следва насърчават разработването на оперативно съвместими формати, които позволяват преносимост на данните. Това следва да се прилага, когато субектът на данни е предоставил данните на система за автоматизирано обработване въз основа на съгласието си или при изпълнението на договор. Доставчиците на услуги на информационното общество не следва да правят предаването на тези данни задължително за предоставянето на своите услуги. [Изм. 30]

(56)

В случаите, когато личните данни биха могли да бъдат законно обработвани за защита на жизненоважните интереси на субекта на данните или по съображения, свързани с обществен интерес, с упражняването на официални правомощия или със законните интереси на администратора, всеки субект на данни следва, при все това, да има право на възражение срещу обработването на данни, свързани с него безплатно и по начин, който може лесно и ефективно да се използва . Администраторът носи тежестта на доказване, че неговите законни интереси имат преимущество пред интересите или основните права и свободи на субекта на данни. [Изм. 31]

(57)

Когато се обработват лични данни за целите на директния маркетинг, субектът на данните следва да има право на възражение срещу такова обработване безплатно и по начин, който може лесно и ефективно да се използва обработването, администраторът следва изрично да предостави това право на субекта на данни по разбираем начин и форма, като използва ясен и общоупотребим език, и следва ясно да го различи от останалата информация . [Изм. 32]

(58)

Без да се засяга законосъобразността на обработването на данни, всяко физическо лице следва да има право да не подлежи на мярка, която се основава на на възражение срещу създаването на профил чрез автоматизирано обработване. Въпреки това такава мярка . Профилирането, което води до мерки, пораждащи правни последици за субекта на данни или по подобен начин съществено засягат интересите, правата или свободите на засегнатия субект на данни, следва да бъде позволена позволено единствено , когато е изрично разрешена от закона, когато се извършва се в хода на сключването или изпълнението на договор или когато субектът на данни е дал съгласието си. Във всеки случай такова обработване следва да подлежи на подходящи гаранции, включително конкретното информиране на субекта на данните и правото на получаване на човешка намеса оценка , като такава мярка не следва да се отнася за дете. Посочените мерки не следва да водят до дискриминация спрямо физическите лица въз основа на раса или етнически произход, на политически мнения, религия или убеждения, членство в професионален съюз, сексуална ориентация или полова идентичност. [Изм. 33]

(58a)

Следва да се приеме, че профилирането, основано единствено на обработването на данни под псевдоним, не засяга значително интересите, правата или свободите на субекта на данни. Когато профилирането, независимо дали е въз основа на данни под псевдоним като единствен източник или на събиране на данни под псевдоним от различни източници, позволява на администратора да обвърже данните под псевдоним с конкретен субект на данни, обработваните данни не следва да продължават да се считат за данни под псевдоним. [Изм. 34]

(59)

Ограничения на специалните принципи и на правото на информация, достъп, коригиране и заличаване или на правото на преносимост достъп и получаване на данните, на възражение, на мерки, основани на срещу създаване на профили, както и уведомяването на субект на данни за нарушение на защитата сигурността на данни и на определени, свързани с това, задължения на администраторите, могат да бъдат налагани от правото на Съюза или на държава членка, доколкото това е необходимо и пропорционално в едно демократично общество с оглед на защитата на обществената сигурност, включително защитата на живота на хората човешкия живот , по-специално при природни или предизвикани от човека бедствия, предотвратяването, разследването и наказателното преследване на престъпления или нарушения на етичните кодекси при регламентираните професии, други конкретни и точно определени обществени интереси на Съюза или на държава членка, и по-специално на важен икономически или финансов интерес на Съюза или на държава членка, или на за защитата на субекта на данни или на правата и свободите на други лица. Тези ограничения следва да бъдат в съответствие с изискванията, определени в Хартата и в Европейската конвенция за защита на правата на човека и основните свободи. [Изм. 35]

(60)

Следва да бъдат установени цялостната отговорност и задължения на администратора за всяко обработване на лични данни, извършено от администратора или от негово име , както и надзор от органите по защита на данните по-конкретно по отношение на документацията, сигурността на данните, оценките на въздействието, длъжностното лице по защита на данните и контрола от страна на органите по защита на данните . По-специално, администраторът следва да гарантира и да бъде длъжен способен да докаже съответствието на всяка операция по обработване с настоящия регламент. Това следва да се проверява от независими вътрешни или външни одитори. [Изм. 36]

(61)

Защитата на правата и свободите на субектите на данни във връзка с обработването на лични данни изисква предприемането на подходящи технически и организационни мерки както в момента на разработване на обработването, така и в момента на самото обработване, за да се гарантира, че са изпълнени изискванията на настоящи регламент. С цел да се гарантира и докаже съответствие с настоящия регламент администраторът следва да приеме вътрешни политики и да предприеме подходящи мерки, които отговарят по-специално на принципите за защита на данните още при проектирането и по подразбиране. Принципът на защита на данните още при проектирането изисква защитата на данните да бъде включена в целия жизнен цикъл на технологиите — от най-ранния етап на проектиране чак до тяхното окончателно внедряване, използване и окончателно изваждане от употреба. Това следва да включва също отговорност за продукти и услуги, използвани от администратора или обработващия лични данни. Принципът на защита на данните по подразбиране изисква настройките за неприкосновеност на личния живот, свързани с услугите и продуктите, да бъдат по подразбиране в съответствие с общите принципи за защита на данните, като например принципа на свеждане на данните до минимум и принципа на ограничаване до предвидената цел. [Изм. 37]

(62)

Защитата на правата и свободите на субектите на данни, както и отговорността и задълженията на администраторите и обработващите лични данни, а също и по отношение на наблюдението и мерките от страна на надзорните органи, изискват ясно определяне на отговорностите съгласно настоящия регламент, включително когато администраторът определя целите, условията и средствата на обработването съвместно с други администратори или когато дадена операция по обработване се извършва от името на даден администратор. Договореностите между съвместните администратори следва да отразяват действителните роли и взаимоотношения а съвместните администратори. Обработването на лични данни в съответствие с настоящия регламент следва да включва разрешението за предаване на данни от администратора на съвместния администратор или на обработващия лични данни за целите на обработването на данни от тяхно име. [Изм. 38]

(63)

Когато даден администратор, който не е установен в Съюза, обработва лични данни на субекти на данни с местоживеене в Съюза и дейностите му по обработването са свързани с предлагането на стоки или услуги на такива субекти на данни или с наблюдението на тяхното поведение, администраторът следва да определи представител, освен ако не е установен в трета държава, която гарантира адекватно ниво на защита или обработването се отнася до по-малко от 5 000 субекти на данни в продължение на период от 12 последователни месеца и не се извършва по отношение на специални категории лични данни, или е малко или средно предприятие или обществен орган или структура, или когато администраторът предлага само понякога стоки и услуги на такива субекти на данни. Представителят следва да действа от името на администратора, а надзорният орган може да се обръща към него. [Изм. 39]

(64)

С цел да се определи дали даден администратор предоставя само понякога стоки и услуги на субекти на данни с местоживеене в Съюза следва да се установи дали от цялостната дейност на администратора личи, че предлагането на стоки и услуги на такива субекти на данни е вторична дейност спрямо основните му дейности. [Изм. 40]

(65)

За да може да докаже съответствие с настоящия регламент, администраторът или обработващият лични данни следва да документира всяка операция по обработване поддържа необходимата документация с цел да изпълни изискванията, установени в настоящия регламент . Всеки администратор и обработващ лични данни следва да бъде длъжен да си сътрудничи с надзорния орган и да му предоставя тази документация при поискване, за да може да бъде използвана за наблюдение на тези операции по обработване оценка на съответствието с настоящия регламент . Следва обаче да се придаде равностойна тежест и значение на добрата практика, а не само на пълнотата на документацията . [Изм. 41]

(66)

С цел да се поддържа сигурността и да се предотврати обработване, което е в нарушение на настоящия регламент, администраторът или обработващият лични данни следва да извърши оценка на рисковете, свързани с обработването, и да предприеме мерки за намаляване на тези рискове. Тези мерки следва да гарантират подходящо ниво на сигурност, като се вземат предвид достиженията на техническия прогрес и разходите за тяхното внедряване, по отношение на рисковете и естеството на личните данни, които следва да бъдат защитени. При установяването на технически стандарти и организационни мерки с оглед гарантиране на сигурността на обработването Комисията следва да насърчава бъдат насърчавани техническата неутралност, оперативната съвместимост и иновациите и, когато е целесъобразно, следва да се насърчава сътрудничеството с трети държави. [Изм. 42]

(67)

Нарушението на защитата на данни може, ако не бъде овладяно по подходящ и навременен начин, да причини на засегнатото физическо лице значителни икономически загуби или социални вреди, включително измами с фалшива самоличност. Поради това, веднага след като администраторът установи наличието на такова нарушение на сигурността, той следва да уведоми за него нарушението надзорния орган без излишно забавяне и, когато това е осъществимо, в срок от 24 часа , което следва да се разбира като не по-късно от 72 часа . Когато уведомлението не е подадено в срок от 24 часа е приложимо , то следва да бъде придружено от обяснение относно причините за забавянето. Физическите лица, за чиито лични данни подобни нарушения на сигурността могат да имат неблагоприятни последици, следва да бъдат уведомени без излишно забавяне с цел предприемане на необходимите предпазни мерки. Следва да се счита, че дадено нарушение на сигурността има неблагоприятни последици за личните данни или неприкосновеността на личния живот на субекта на данните, ако то може да доведе например до кражба на самоличност или измама с фалшива самоличност, телесна повреда, значително накърняване на достойнството или на репутацията. В уведомлението следва да се посочва естеството на нарушението на сигурността на личните данни и да се формулират препоръки на засегнатото физическо лице за това как да ограничи потенциалните неблагоприятни последици. Субектите на данни следва да бъдат уведомявани веднага щом това е разумно осъществимо и в тясно сътрудничество с надзорния орган, като се спазват насоките, предоставени от него или от други релевантни органи (напр. правоприлагащи органи). Така например, възможността субектите на данните да ограничат непосредствения риск от вреди би наложила незабавното уведомяване на субектите на данните, докато необходимостта от предприемането на целесъобразни мерки срещу продължаването на нарушението на сигурността или срещу подобни нарушения на сигурността на лични данни би оправдало по-дълги срокове. [Изм. 43]

(68)

С цел да се определи дали надзорният орган и субектът на данните са били уведомени без излишно забавяне за нарушение на сигурността на лични данни, следва да се установи дали администраторът е изготвил и предприел необходимите технически и организационни мерки за защита, за да установи веднага дали е налице нарушение на сигурността на лични данни и да информира незабавно за това надзорния орган и субекта на данните, преди да са нанесени вреди на личните и икономическите интереси, като се отчита по-специално естеството и тежестта на нарушението на сигурността на личните данни и резултатите и неблагоприятните последици от него за субекта на данните.

(69)

При установяване на подробни правила за формàта и процедурите, приложими за уведомяването за нарушения на сигурността на личните данни, следва да се отдаде необходимото внимание на обстоятелствата, свързани с нарушението на сигурността, включително дали личните данни са били защитени чрез подходящи технически мерки за защита, ефективно ограничаващи вероятността за измама с фалшива самоличност или други форми на злоупотреба. Освен това при такива правила и процедури следва да се отчитат законните интереси на правоприлагащите органи в случаи, когато ранното разкриване може ненужно да попречи при разследването на обстоятелствата, свързани с нарушението на сигурността.

(70)

В Директива 95/46/ЕО се предвижда общо задължение за уведомяване на надзорните органи относно обработването на лични данни. Това задължение създава административна и финансова тежест, но невинаги допринася за подобряването на защитата на личните данни. Ето защо това общо задължение за безразборно уведомяване следва да бъде премахнато и заменено с ефективни процедури и механизми, които са съсредоточени върху тези операции по обработване, за които има вероятност да създадат конкретни рискове за правата и свободите на субектите на данни поради своето естество, обхват или цели. В такива случаи администраторът или обработващият лични данни следва да извърши оценка на въздействието върху защитата на данните, която да включва по-специално предвидените мерки, гаранциите и механизмите, с които се осигурява защитата на личните данни и се доказва съответствието с настоящия регламент.

(71)

Това следва да се прилага по-специално за новосъздадени широкомащабни регистри на лични данни, с които се цели обработването на значителни количества лични данни на регионално, национално или наднационално равнище и които могат да засегнат голям брой субекти на данни.

(71a)

Оценките на въздействието са основно ядро на всяка устойчива рамка за защита на данните, която създава увереност, че предприятията са запознати от самото начало с всички възможни последици от операциите по обработване на данни, осъществявани от тях. Ако оценките за въздействие са задълбочени, вероятността от каквото и да е нарушение на сигурността на данните или от операция, която нарушава неприкосновеността на личния живот, може да бъде ограничена съществено. Оценките за въздействие върху защитата на данните следва последователно да вземат предвид целия жизнен цикъл на управление на личните данни от събирането през обработването до заличаването, като се описват подробно предвидените операции по обработване, рисковете за правата и свободите на субектите на данни, предвидените мерки за справяне с рисковете, гаранциите, мерките за сигурност и механизмите за гарантиране на съответствие с настоящия регламент. [Изм. 44]

(71б)

Администраторите следва да се съсредоточат върху защитата на личните данни през целия жизнен цикъл на данните от събирането през обработването до заличаването, като инвестират от самото начало в устойчива рамка за управление на данните и се придържат към нея с помощта на всеобхватен механизъм за съответствие. [Изм. 45]

(72)

При определени обстоятелства може да бъде разумно и рентабилно предметът на дадена оценка на въздействието върху защитата на данните да обхваща повече от един проект, например когато обществени органи или структури възнамеряват да създадат общо приложение или платформа за обработване на данни или когато няколко администратора планират внедряването на общо приложение или среда за обработване на данните в цял промишлен сектор или сегмент или за широко използвана хоризонтална дейност.

(73)

Оценките за въздействието върху защитата на личните данни следва да се извършват от обществен орган или обществена структура, ако такава оценка вече не е направена в контекста на приемането на националния закон, на чието основание общественият орган или обществената структура изпълнява своите задачи и който урежда въпросната особена операция или набор от операции по обработване на данни. [Изм. 46]

(74)

Когато оценката на въздействието върху защитата на данните показва, че операциите по обработване имат висока степен на конкретни рискове за правата и свободите на субектите на данни, като например изключване на физически лица от ползването на тяхно право или поради използването на специално нови технологии, длъжностното лице по защита на данните или надзорният орган следва да бъде консултиран, преди започването на операциите, относно рисково обработване, което може да не е в съответствие с настоящия регламент, и да направи предложения за коригиране на такава ситуация. Такива Консултации на надзорен орган могат да се извършват също и в хода на изготвянето на мярка от националния парламент или на мярка, основаваща се на такава законодателна мярка, в която се определя характерът на обработването и се установяват подходящи гаранции. [Изм. 47]

(74a)

Оценките на въздействието могат да бъдат от помощ само ако администраторите гарантират, че спазват установените първоначално в тях задължения. Поради това администраторите на данни следва да извършват периодични прегледи на съответствието на защитата на данните, като доказват, че въведените механизми за обработване съответстват на уверенията, дадени в оценката за въздействие върху защитата на данните. Също така следва да се докаже способността на администратора на данни да се съобразява със самостоятелните решения на субектите на данни. Освен това ако при прегледа се установят несъответствия при спазването, той следва да ги изтъкне и да представи препоръки за начина на постигане на пълно съответствие. [Изм. 48]

(75)

В случаите, когато обработването на данни се извършва в публичния сектор или когато в частния сектор обработването се извършва от голямо предприятие е свързано с повече от 5000 субекти на данни в рамките на 12 месеца или когато основните му дейности, независимо от размера на предприятието, включват операции по обработване на чувствителни данни , или операции по обработване, които изискват редовно и систематично наблюдение, дадено лице следва да подпомага администратора или обработващия лични данни при наблюдението на вътрешното съответствие с настоящия регламент. Когато се установява дали се обработват данни за голям брой субекти на данни, не следва да се вземат под внимание архивираните данни, които са ограничени по такъв начин, че не са обект на нормален достъп до данни и операции по обработване от страна на администратора и вече не могат да бъдат променяни. Тези длъжностни лица по защита на данните, независимо от това дали са наети от администратора и дали изпълняват задачите си на пълно работно време , следва да бъдат в състояние да изпълняват своите задължения и задачи независимо , и да се ползват със специална защита срещу уволнение . Крайната отговорност следва да се носи от ръководството на организацията. Следва да се проведе консултация, по-специално с длъжностното лице по защита на данните, преди проектирането, доставката, разработването и създаването на системите за автоматизирана обработка на лични данни, за да се гарантират принципите за неприкосновеност на личния живот при проектирането и по подразбиране. [Изм. 49]

(75a)

Длъжностното лице по защита на данните следва да притежава най-малко на следната квалификация: обширни познания за същността и прилагането на закона за защита на данните, включително техническите и организационните мерки и процедури; владеене на техническите изисквания за неприкосновеност на личния живот още при проектирането, неприкосновеност по подразбиране и сигурност на данните; специфични за сектора познания, съответстващи на мащаба на администратора или обработващия личните данни и на чувствителността на обработваните данни; способност за извършване на проверки, консултации, документация и анализ на файлове с регистри; и умение за работа с представителството на служителите. Администраторът следва да дава възможност на длъжностното лице по защита на данните да участва в обучения на високо ниво за поддържане на специализираните знания, необходими за изпълняване на неговите задължения. Определянето на длъжностно лице по защита на данните не налага задължително заетост на пълно работно време. [Изм. 50]

(76)

Сдруженията или други структури, представляващи категории администратори, следва да се насърчават , след консултация с представителния орган на работниците и служителите, да изготвят кодекси за поведение, в рамките на настоящия регламент, за да се улесни ефективното прилагане на настоящия регламент, като се вземе предвид спецификата на обработването на данни в определени сектори. Подобни кодекси следва да улеснят спазването на настоящия регламент от страна на отраслите. [Изм. 51]

(77)

За да се повишат прозрачността и съответствието с настоящия регламент, следва да се насърчава създаването на механизми за сертифициране, както и на печати и стандартизирани маркировки за защита на данните, които позволяват на субектите на данни бързо , надеждно и контролируемо да оценяват нивото на защита на данните на съответните продукти и услуги. Европейският печат за защита на данните следва да бъде установен на европейско равнище, за да създава доверие сред субектите на данни, правна сигурност за администраторите и същевременно да изнася европейските стандарти за защита на данните, като позволява на дружества извън ЕС да навлизат по-лесно на европейските пазари чрез сертифициране. [Изм. 52]

(78)

Трансграничните потоци от лични данни са необходими за разширяването на международната търговия и международното сътрудничество. Нарастването на тези потоци създаде нови предизвикателства и опасения по отношение на защитата на личните данни. Когато обаче лични данни се предават от Съюза на трети държави или на международни организации, нивото на защита на физическите лица, гарантирано в Съюза с настоящия регламент, не следва да бъде излагано на риск. Във всеки случай предаването на данни на трети държави може да се извършва единствено в пълно съответствие с разпоредбите на настоящия регламент.

(79)

Настоящият регламент не засяга разпоредбите на международните споразумения, сключени между Съюза и трети държави, с които се урежда предаването на лични данни, включително подходящите гаранции за субектите на данни , осигуряващи подходящо ниво на защита на основните права на гражданите . [Изм. 53]

(80)

Комисията може да реши, с действие по отношение на целия Съюз, че определени трети държави или територия или обработващ данни сектор в трета държава, или международна организация предоставят адекватно ниво на защита на данните, с което се осигуряват правна сигурност и еднообразие навсякъде в Съюза по отношение на третите държави или международни организации, за които се смята, че предоставят такова ниво на защита. В тези случаи предаването на лични данни на тези държави може да се извършва, без да е необходимо допълнително разрешение. Комисията може също така да реши да отмени такова решение, след като е отправила предизвестие и е предоставила пълна обосновка на третата държава. [Изм. 54]

(81)

В съответствие с основните ценности, въз основа на които е създаден Съюзът, по-специално защитата на правата на човека, в оценката си на третата държава Комисията следва да вземе предвид как се зачитат в дадената трета държава принципите на правовата държава, достъпът до правосъдие, както и международните норми и стандарти за правата на човека.

(82)

Комисията може по същия начин да приеме, че дадена трета държава или територия или обработващ данни сектор в трета държава, или дадена международна организация не предоставя адекватно ниво на защита на данните. Всяко законодателство, което предвижда извънтериториален достъп до лични данни, обработвани в Съюза без разрешение по силата на правото на Съюза или на държавата членка, следва да се счита за признак на липса на съответствие. В резултат на това предаването на лични данни на тази трета държава следва да бъде забранено. В такъв случай следва да се предвиди провеждането на консултации между Комисията и такива трети държави или международни организации. [Изм. 55]

(83)

При липсата на решение относно адекватността администраторът или обработващият лични данни следва да предприеме мерки, за да компенсира липсата на защита в дадена трета държава чрез подходящи гаранции за субекта на данните. Такива подходящи гаранции може да се състоят от използването на задължителни фирмени правила, стандартни клаузи за защита на данните, приети от Комисията, стандартни клаузи за защита на данните, приети от надзорния орган или договорни клаузи, разрешени от надзорния орган, или други уместни и пропорционални мерки, оправдани с оглед на всички обстоятелства около дадена операция по предаване на данни или даден набор от операции по предаване на данни и когато са разрешени от надзорен орган. Тези подходящи гаранции следва да насърчават подходящо спазване на правата на субектите на данни при обработването в рамките на ЕС, по-специално във връзка с принципа на ограничаване до предвидената цел, правото на достъп, коригиране, заличаване и иск за обезщетение. Посочените гаранции следва по-конкретно да осигуряват спазването на принципите за обработване на лични данни, да защитават правата на субекта на данни и да предоставят ефективни механизми за правна защита, да осигуряват зачитането на принципите за обработване на данните още при проектирането и по подразбиране, да гарантират наличието на длъжностното лице по защита на данните. [Изм. 56]

(84)

Възможността администраторът или обработващият лични данни да използва стандартни клаузи за защита на данните, приети от Комисията или от надзорен орган, не следва да възпрепятства администраторите или обработващите лични данни да включат стандартни клаузи за защита на данните в договор с по-голям обхват, нито да добавят други клаузи или допълнителни гаранции доколкото същите не противоречат пряко или косвено на стандартните договорни клаузи, приети от Комисията или от надзорен орган, нито засягат основните права или свободи на субектите на данни. Стандартните клауза за защита на данните, приети от Комисията, биха могли да обхващат различни ситуации, по-конкретно предаване на лични данни от администратори, установени в Съюза към администратори, установени извън Съюза и от администратори, установени в Съюза към обработващи лични данни, включително подизпълнители, обработващи лични данни, установени извън Съюза. Администраторите и обработващите лични данни следва да бъдат насърчавани да предоставят още по-стабилни гаранции чрез допълнителни договорни ангажименти, които допълват стандартните клаузи за защита. [Изм. 57]

(85)

Дадена корпоративна група следва да може да използва одобрени задължителни фирмени правила за своите международни предавания на данни от Съюза до организации в същата корпоративна група предприятия, доколкото такива фирмени правила включват всички основни принципи и противопоставими права, за да се осигурят подходящи гаранции за предаването или категориите предавания на лични данни. [Изм. 58]

(86)

Следва да се предвиди възможността да се предават данни при определени обстоятелства, когато субектът на данните е дал съгласието си, когато предаването е необходимо във връзка с договор или правна претенция, когато това се налага поради важно основание от обществен интерес, предвидено в правото на Съюза или на държава членка, или когато предаването се извършва от регистрационна система, създадена със закон и предназначена за справки от обществеността или от лица, които имат законен интерес. В този случай предаването не следва да включва всички данни или всички категории от данни, съдържащи се в регистрационната система, а когато регистрационната система е предназначена за справка от лица, които имат законен интерес, предаването следва да се извършва единствено по искане на тези лица или ако те са получателите , като се вземат изцяло под внимание интересите и основните права на субекта на данните . [Изм. 59]

(87)

Тези дерогации следва да се прилагат по-специално за предаването на данни, което се изисква и е необходимо за защитата на важно основание от обществен интерес, например при международно предаване на данни между органи по защита на конкуренцията, данъчни или митнически власти, органи за финансов надзор, между служби , компетентни по социална въпросите на социалната сигурност или общественото здраве, или на компетентни публични органи по предотвратяването, разследването, разкриването и наказателното преследване на престъпления , включително предотвратяването на изпирането на пари и борбата срещу финансирането на тероризма . Предаването на лични данни следва също да се разглежда като законосъобразно, когато е необходимо за защитата на жизненоважни интереси на субекта на данни или друго лице, ако субектът на данните не е в състояние да даде съгласие. Предаването на лични данни за такова важно основание от обществен интерес следва да се използва само в отделни случаи. Във всеки един случай следва да се извършва внимателна оценка на всички обстоятелства по предаването на данни. [Изм. 60]

(88)

Предаване на данни, което не може да се окачестви като често или масово, също може да бъде възможно за целите на законните интереси на администратора или обработващия данни, когато са оценени всички обстоятелства около предаването на данните. За целите на обработването на данни за исторически, статистически и научноизследователски цели следва да се вземат предвид основателните очаквания на обществото за повишаване на познанието. [Изм. 61]

(89)

Във всеки случай, когато Комисията не е взела решение относно адекватното ниво на защита в дадена трета държава, администраторът или обработващият данни следва да използва решения, които гарантират на съдържат правнообвързващи гаранции за субектите на данни, че ще продължат да се ползват от основните права и гаранциите по отношение на обработването на техните данни в Съюза след предаването на тези данни , дотолкова доколкото обработването не е масово, повтарящо се и структурно . Тази гаранция следва да включва финансово обезщетение в случай на загуба или неразрешен достъп или обработване на данните и задължение, независимо от националното законодателство, за предоставяне на пълни подробности за достъпа до данните от страна на държавните органи в третата държава . [Изм. 62]

(90)

Някои трети държави прилагат закони, подзаконови актове и други законодателни инструменти, които имат за цел пряко да регулират дейностите по обработване на данни на физически и юридически лица под юрисдикцията на държавите членки. Извънтериториалното прилагане на тези закони, подзаконови актове и други законодателни инструменти може да бъде в нарушение на международното право и да възпрепятства осигуряването на защитата на физическите лица, гарантирана в Съюза с настоящия регламент. Предаванията на данни следва да са разрешени само когато са изпълнени условията на настоящия регламент относно предаването на данни на трети държави. Това може, наред с другото, да бъде случая, когато разкриването е необходимо поради важно основание от обществен интерес, признато в правото на Съюза или на държава членка, на което е подчинен администраторът. Условията, при които е налице важно основание от обществен интерес следва да бъдат допълнително посочени в делегиран акт на Комисията. В случаите, когато администраторите или обработващите лични данни са изправени пред противоречиви изисквания за съответствие на юрисдикцията на Съюза, от една страна, и тази на трета държава, от друга, Комисията следва да гарантира, че правото на Съюза винаги има примат. Комисията следва да предоставя насоки и помощ на администратора и обработващия лични данни и следва да се стреми да разреши правния спор с въпросната трета държава. [Изм. 63]

(91)

Трансграничното движение на лични данни може да увеличи риска физическите лица да не могат да упражнят правата на защита на данните, за да се защитят срещу неправомерна употреба или разкриване на тези данни. В същото време надзорните органи могат да бъдат изправени пред невъзможността да разглеждат жалби или да провеждат разследвания, свързани с дейности, извършвани извън техните граници. Техните усилия за сътрудничество в трансграничния контекст могат да бъдат възпрепятствани също от недостатъчни правомощия за предотвратяване или защита, различаващи се правни режими, както и от практически пречки като ограничения на ресурсите. Ето защо е необходимо да се насърчава по-тясното сътрудничество между надзорните органи по защита на данните, за им се помогне да обменят информация и да извършват разследвания съвместно със своите международни партньори.

(92)

Създаването в държавите членки на надзорни органи, които изпълняват функциите си при пълна независимост, е съществен елемент от защитата на физическите лица във връзка с обработването на личните им данни. Държавите членки могат да създават повече от един надзорен орган, за да бъде отразена тяхната конституционна, организационна и административна структура. Органът следва да разполага с подходящи финансови и човешки ресурси, за да изпълнява пълноценно своята роля, като се взема предвид броят на населението и размерът на обработваните лични данни. [Изм. 64]

(93)

Когато дадена държава членка създаде няколко надзорни органа, тя следва да установи със закон механизми за гарантиране на ефективното участие на тези надзорни органи в механизма за съгласуваност. Тази държава членка следва по-специално да определи надзорния орган, който функционира като единно звено за контакт, за да гарантира ефективното участие на тези органи в механизма и за да гарантира бързото и безпрепятствено сътрудничество с други надзорни органи, Европейския комитет по защита на данните и Комисията.

(94)

Всеки надзорен орган следва да получи адекватни финансови и човешки ресурси, като се обръща специално внимание на гарантирането на съответните технически и правни умения на служителите, помещения и инфраструктура, необходими за ефективното изпълнение на неговите задачи, включително задачите, свързани с взаимопомощ и сътрудничество с други надзорни органи навсякъде в Съюза. [Изм. 65]

(95)

Общите условия за членовете на надзорния орган следва да бъдат определени със закон във всяка държава членка и да предвиждат, по-специално, че тези членове следва да се назначават от парламента или от правителството на държавата членка, като се вземат нужните мерки за свеждане до минимум на възможността за политическа намеса, и да включват правила за личната квалификация , избягването на конфликт на интереси и длъжността на тези членове. [Изм. 66]

(96)

Надзорните органи следва да наблюдават прилагането на разпоредбите съгласно настоящия регламент и да допринасят за неговото съгласувано прилагане навсякъде в Съюза с цел защита на физическите лица по отношение на обработването на личните им данни и улесняване на свободното движение на личните данни в рамките на вътрешния пазар. За тази цел надзорните органи следва да си сътрудничат помежду си и с Комисията.

(97)

Когато обработването на лични данни в контекста на дейностите на място на установяване на даден администратор или обработващ лични данни в Съюза се извършва в повече от една държава членка, един-единствен надзорен орган следва да бъде изпълнява функцията на единно звено за контакт и на водещ орган, компетентен за наблюдението на дейностите на да осъществява надзор над администратора или обработващия лични данни навсякъде в Съюза и за вземането на съответните решения, за да се подобри съгласуваното прилагане, да се гарантира осигури правна сигурност и да се намали административната тежест за тези администратори и обработващи лични данни. [Изм. 67]

(98)

Компетентният Водещият орган, който осигурява такова „обслужване на едно гише“, следва да бъде надзорният орган на държавата членка, в която се намира основното място на установяване на администратора или на обработващия лични данни , или на негов представител . Европейският комитет по защита на данните може в определени случаи да определи чрез механизма за съгласуваност водещия орган по искане на компетентен орган . [Изм. 68]

(98a)

Субект на данни, чиито лични данни се обработват от администратор или обработващ данни в друга държава членка, следва да има възможност да подаде жалба до надзорен орган по негов избор. Водещият орган по защита на данни следва да координира работата си с тази на другите участващи органи. [Изм. 69]

(99)

Макар и настоящият регламент да се прилага също и спрямо дейностите на националните съдилища, компетентността на надзорните органи не следва да обхваща обработването на лични данни, когато съдилищата действат при изпълнение на своите съдебни функции, за да се гарантира независимостта на съдиите при изпълнението на техните съдебни задължения. Това изключение обаче следва да бъде строго ограничено до действителните съдебни дейности по съдебни дела и да не се прилага за други дейности, в които съдиите могат да участват съгласно националното право.

(100)

За да се гарантира съгласуваното наблюдение и прилагане на настоящия регламент навсякъде в Съюза, надзорните органи следва да имат еднакви задължения и ефективни правомощия във всяка държава членка, включително правомощия за разследване, правнообвързваща намеса, вземане на решения и налагане на санкции, особено в случаи на жалби от физически лица, както и правомощие да участват в съдебни производства. Що се отнася до достъпа до помещения, правомощията на надзорните органи за провеждане на разследване следва да бъдат упражнявани в съответствие с правото на Съюза и с националното право. Това се отнася по-специално до изискването за получаване на предварително съдебно разрешение.

(101)

Всеки надзорен орган следва да разглежда жалбите, подадени от субект на данни или от сдружение , което действа в обществен интерес, и да извършва разследване по въпроса. Разследването въз основа на жалби следва да се извършва под съдебен контрол и в целесъобразна за конкретния случай степен. Надзорният орган следва да информира субекта на данните или сдружението за напредъка и резултата от жалбата в разумен срок. Ако случаят изисква допълнително разследване или координиране с друг надзорен орган, на субекта на данните следва да бъде предоставена междинна информация. [Изм. 70]

(102)

Дейностите на надзорния орган за повишаване на обществената осведоменост следва да включват специални мерки, насочени към администраторите и обработващите данни, в това число микропредприятията, малките и средните предприятия, както и субектите на данни.

(103)

Надзорните органи следва да си сътрудничат при изпълнението на своите задължения и взаимно да се подпомагат, за да се гарантира съгласуваното прилагане и изпълнение на настоящия регламент в рамките на вътрешния пазар.

(104)

Всеки надзорен орган следва да има правото да участва в съвместни операции на надзорните органи. Надзорният орган, до който е отправено искането, следва да бъде длъжен да отговори в определен срок на искането.

(105)

За да се гарантира съгласуваното прилагане на настоящия регламент навсякъде в Съюза, следва да се създаде механизъм за съгласуваност за осъществяване на сътрудничество между самите надзорни органи и между тях и Комисията. Този механизъм следва по-специално да се прилага, когато даден надзорен орган възнамерява да приеме мярка по отношение на операциите по обработване на данни, които са свързани с предлагането на стоки или услуги на субекти на данни в няколко държави членки или с наблюдението на поведението на такива субекти на данни, или които биха могли съществено да засегнат свободното движение на лични данни. Той следва да се прилага също така, когато даден надзорен орган или Комисията поиска въпросът да бъде разгледан чрез механизма за съгласуваност. Освен това субектите на данните следва да имат право да постигнат съгласуваност, ако считат, че дадена мярка на орган по защита на данните на определена държава членка не изпълнява този критерий. Механизмът следва да действа, без да се засягат мерките, които Комисията може да предприеме в изпълнение на своите правомощия съгласно Договорите. [Изм. 71]

(106)

При прилагането на механизма за съгласуваност Европейският комитет по защита на данните следва да излезе със становище в рамките на определен срок, ако такова решение бъде взето с обикновено мнозинство на неговите членове или ако това бъде поискано от даден надзорен орган или от Комисията.

(106a)

С цел да се гарантира последователното прилагане на настоящия регламент, Европейският комитет по защита на данните може в отделни случаи да приеме обвързващо за компетентните надзорни органи решение. [Изм. 72]

(107)

С цел да се гарантира спазването на настоящия регламент, Комисията може да приеме становище по този въпрос или решение, в което се изисква от надзорния орган да преустанови своята проектомярка. [Изм. 73]

(108)

Възможно е да има спешна необходимост от действия за защита на интересите на субекти на данни, по-специално когато съществува опасност прилагането на право на субект на данни да бъде значително възпрепятствано. Поради това надзорният орган следва да има възможност да приема временни мерки с определен срок на действие, когато прилага механизма за съгласуваност.

(109)

Прилагането на този механизъм следва да бъде условие за юридическата сила и изпълнението на съответното решение от даден надзорен орган. В други случаи с трансгранично значение засегнатите надзорни органи могат да осъществяват взаимопомощ и съвместни разследвания на двустранна или многостранна основа, без да се задейства механизмът за съгласуваност.

(110)

На равнището на Съюза следва да се създаде Европейски комитет по защита на данните. Той следва да замени Работната група за защита на лицата при обработването на лични данни, създадена с Директива 95/46/ЕО. Той следва да е съставен от ръководителя на един надзорен орган на всяка държава членка и на Европейския надзорен орган по защита на данните. Комисията следва да участва в неговите дейности. Европейският комитет по защита на данните следва да допринася за съгласуваното прилагане на настоящия регламент навсякъде в Съюза, включително като съветва Комисията институциите на Съюза и насърчава сътрудничеството на надзорните органи в Съюза , включително координирането на съвместни операции . Европейският комитет по защита на данните следва да действа независимо при изпълнението на задачите си. Европейският комитет по защита на данните следва да засили диалога със засегнатите заинтересовани страни като сдружения на субекти на данни, организации на потребители, администратори на лични данни и други компетентни заинтересовани страни и експерти. [Изм. 74]

(111)

Всеки субект Субектите на данни следва да има имат право да подаде подадат жалба до надзорен орган във всяка държава членка, както и право на ефективни средства за съдебна защита в съответствие с член 47 от Хартата , ако счита считат , че правата му по настоящия регламент са нарушени или когато надзорният орган не предприеме действия по подадена жалба или не предприеме действия, когато такива са необходими, за да се защитят правата на субекта на данни. [Изм. 75]

(112)

Всяка структура, организация или сдружение, което действа в обществен интерес и е учредено съгласно правото на държава членка и чиято цел е да защитава правата и интересите на субектите на данни по отношение на защитата на техните данни, следва да има право да подава жалби до надзорен орган от името на субекта на данни с негово съгласие или да упражнява правото на средства за съдебна защита , ако е упълномощен от името на субектите субекта на данни или да подава жалби от свое име, независимо от жалбата на даден субект на данни, когато счита, че е извършено нарушение на сигурността на личните данни настоящия регламент . [Изм. 76]

(113)

Всяко физическо или юридическо лице следва да има право на средства за съдебна защита срещу решенията на надзорен орган, които го засягат. Производствата срещу даден надзорен орган следва да бъдат завеждани пред съдилищата на държавата членка, в която е установен надзорният орган.

(114)

С цел да се укрепи съдебната защита на субекта на данни в ситуации, когато компетентният надзорен орган е установен в държава членка, различна от държавата членка по местоживеене на субекта на данни, субектът на данни може да поиска от да упълномощи всяка структура, организация или сдружение, чиято цел е да защитава правата и интересите на субектите на данни по отношение на защитата на техните данни действащи в обществен интерес , да заведе дело от негово име срещу този надзорен орган пред компетентния съд в другата държава членка. [Изм. 77]

(115)

В ситуации, в които компетентният надзорен орган, установен в друга държава членка, не предприема действия по дадена жалба или не предприема достатъчни мерки по нея, субектът на данни може да поиска от надзорния орган в неговата държава членка по местоживеене да заведе дело срещу другия надзорен орган пред компетентния съд в другата държава членка. Горното не се прилага по отношение на лица, пребиваващи извън ЕС. Надзорният орган, към който е отправено такова искане, може да реши, след като го подложи на съдебен контрол, дали е целесъобразно да изпълни искането или не. [Изм. 78]

(116)

При производства срещу администратор или обработващ лични данни ищецът следва да има избор да заведе дело пред съдилищата на държавите членки, в които администраторът или обработващият лични данни е установен, или , ако местопребиваването е установено в ЕС, където пребивава субектът на данни, освен ако администраторът не е публичен орган на Съюза или на държава членка , който действа в изпълнение на своите публични правомощия. [Изм. 79]

(117)

Когато съществуват индикации, че паралелни производства са в ход в съдилищата на различни държави членки, съдилищата следва да бъдат задължени да контактуват помежду си. Съдилищата следва да имат възможност временно да преустановят дадено дело, когато паралелно дело се разглежда в друга държава членка. Държавите членки следва да гарантират, че за да бъдат ефективни, съдебните производства позволяват бързо приемане на мерки за поправяне или предотвратяване на нарушение .

(118)

Всички вреди, независимо дали те са имуществени или не, които дадено лице може да претърпи в резултат на неправомерно обработване на данни, следва да бъдат обезщетени от администратора или обработващия лични данни, който може да бъде освободен от отговорност само ако докаже, че не е отговорен за вредите, и по-специално когато установи вина от страна на субекта на данни или в случай на непреодолима сила. [Изм. 80]

(119)

На всяко физическо или юридическо лице, което не спазва настоящия регламент, следва да се налагат санкции, независимо дали то е субект на частното или публичното право. Държавите членки следва да гарантират, че санкциите са ефективни, съразмерни и възпиращи и следва да предприемат всички мерки за тяхното изпълнение. Правилата относно определянето на санкциите следва да се подчиняват на подходящи процесуални гаранции в съответствие с общите принципи на правото на Съюза и на Хартата, включително гарантирането на ефективни правни средства за защита, правото на справедлив съдебен процес и зачитане на принципа ne bis in idem. [Изм. 81]

(119a)

При прилагането на санкции, държавите членки следва да демонстрират цялостно зачитане на съответните процесуални гаранции, включително правото на ефективни правни средства за защита, на справедлив съдебен процес и зачитане на принципа ne bis in idem. [Изм. 82]

(120)

С цел да се засилят и хармонизират административните санкции за нарушенията на настоящия регламент всеки надзорен орган следва да има правомощието да санкционира административни нарушения. В настоящия регламент следва да се посочат тези нарушения, както и максималния размер на свързаните с тях административни глоби, които следва да се определят във всеки отделен случай, пропорционално на конкретната ситуация, по-специално като надлежно се отчитат естеството, тежестта и продължителността на нарушението. Механизмът за съгласуваност може да се използва също така за уреждане на различия в прилагането на административните санкции.

(121)

Обработването на лични данни единствено за журналистически цели или за литературно или художествено изразяване следва да отговаря на условията за Винаги, когато е необходимо, следва да се предвидят освобождаване от изискванията на някои разпоредби на настоящия регламент по отношение на обработването на лични данни , за да се съгласува правото на защита на личните данни с правото на свобода на изразяване, и най-вече с правото на всяко лице да получава и предава информация, както е гарантирано по-специално в член 11 от Хартата. Това следва да се прилага по-специално по отношение на обработването на лични данни в аудиовизуалната област и в новинарските архиви и библиотеките с печатни издания. Поради това държавите членки следва да приемат законодателни мерки, с които следва да определят изключенията и дерогациите, необходими за постигането на равновесие между тези основни права. Държавите членки следва да приемат такива изключения и дерогации относно общите принципи, относно правата на субекта на данните, относно администратора и обработващия данни, относно предаването на данни на трети държави или международни организации, относно независимостта на надзорните органи и, относно сътрудничеството и съгласуваността и относно специфични ситуации на обработване на данни . Това обаче не следва да води до установяване от страна на държавите членки на изключения от другите разпоредби на настоящия регламент. За да се отчете значението на правото на свобода на изразяване във всяко демократично общество, е необходимо свързаните с тази свобода понятия, като журналистиката например, да се тълкуват широко. Поради това за целите на изключенията и дерогациите, установени по силата на настоящия регламент, държавите членки следва да определят като „журналистически“ дейностите, чийто предмет е , за да обхванат всички дейности , които имат за цел разкриването пред обществеността на информация, мнения или идеи, независимо от средството за тяхното предаване , като се вземе предвид също така технологичното развитие . Тези дейности не следва да бъдат ограничени до медийни предприятия и могат да бъдат осъществявани с възмездна или безвъзмездна цел. [Изм. 83]

(122)

Обработването на лични данни за здравословното състояние като специална категория данни, на която се полага по-висока защита, често може да бъде обоснована от редица основателни причини в полза на физическите лица и на обществото като цяло, по-специално в контекста на осигуряването на приемственост при трансграничното здравно обслужване. Поради това настоящият регламент следва да предвижда хармонизирани условия за обработването на лични данни за здравословното състояние при спазване на специални и подходящи гаранции за защита на основните права и личните данни на физическите лица. Това включва правото на физическите лица на достъп до техните лични данни за здравословното им състояние, например данните в техните медицински досиета, които съдържат такава информация като диагноза, резултати от прегледи, становища на лекуващите лекари и проведени лечения или извършени операции.

(122a)

Специалист, който обработва лични данни, засягащи здравето, следва да получи, ако това е възможно, анонимни данни или данни под псевдоним, като информацията за идентичността се остави само на общопрактикуващия лекар или на специалиста, който е поискал обработката на тези данни. [Изм. 84]

(123)

Обработването на лични данни за здравословното състояние може да е необходимо по причини от обществен интерес в областта на общественото здраве без съгласието на субекта на данните. В този контекст понятието „обществено здраве“ следва да се тълкува по смисъла на Регламент (ЕО) № 1338/2008 на Европейския парламент и на Съвета от 16 декември 2008 г. относно статистиката на Общността в областта на общественото здраве и здравословните и безопасни условия на труд  (9) и означава всички елементи, свързани със здравето, а именно здравно състояние, заболеваемост и инвалидност, решаващи фактори, които оказват влияние върху това здравно състояние, нужди на здравното обслужване, средства, отделени за здравно обслужване, предоставяне на здравни грижи и всеобщ достъп до тях, разходи и финансиране на здравното обслужване, както и причини за смъртност. Такова обработване на лични данни за здравословното състояние по причини от обществен интерес не следва да води до обработването на лични данни за други цели от трети страни като работодатели, застрахователни дружества или банки. [Изм. 85]

(123a)

Обработването на лични данни, свързани със здравословното състояние, като специална категория данни, може да се наложи във връзка с исторически, статистически или научни изследвания. Затова настоящият регламент предвижда изключение от изискването за съгласие за обработване на данни за научни изследвания, които служат на важен обществен интерес. [Изм. 86]

(124)

Общите принципи относно защитата на физическите лица във връзка с обработването на лични данни следва да се прилагат и в контекста на трудовите правоотношения и социалната сигурност . Ето защо, за да Държавите членки следва да могат да уреждат се уреди обработването на личните данни на служителите в контекста на трудовите правоотношения, държавите членки следва да могат в рамките на и социалната сигурност в съответствие с правилата и минималните стандарти, определени в настоящия регламент да приемат със закон специални разпоредби за обработването на лични данни в сектора на трудовата заетост. Ако в съответната държава членка е предвидено правно основание за уреждане на въпросите, свързани с трудовите правоотношения, чрез споразумение между представители на служителите и ръководството на предприятието или в случая на група предприятия — на предприятието, контролиращо групата (колективно споразумение) или по реда на Директива 2009/38/ЕО на Европейският парламент и на Съвета  (10) , обработването на лични данни в контекста на трудовите правоотношения може също така да бъде уредено и чрез такова споразумение. [Изм. 87]

(125)

За да бъде обработването на лични данни за исторически, статистически или научноизследователски цели законосъобразно, при извършването му следва да се спазва и друго релевантно законодателство, като например законодателството относно клиничните изпитвания.

(125a)

Личните данни могат също така впоследствие да бъдат обработвани от служби по архивите, чиято основна задача или задължение е събирането, съхранението, предоставянето на информация, използването и разпространението на архиви в обществен интерес. Законодателството на държавите членки следва да съгласува правото на защита на личните данни с нормативната база, уреждаща архивите и достъпа на гражданите до административна информация. Държавите членки следва да насърчават изработването, по-специално от Европейската група по архивите, на правила за гарантиране на поверителността на данните по отношение на трети лица и на автентичността, целостта и подходящото съхранение на данните. [Изм. 88]

(126)

За целите на настоящия регламент в научните изследвания следва да се включват фундаменталните научни изследвания, приложните научни изследвания и частно финансираните научни изследвания, а освен това следва да се отчита и заложената в член 179, параграф 1 от Договора за функционирането на Европейския съюз цел за създаването на европейско изследователско пространство. Обработването на лични данни за исторически, статистически и научноизследователски цели не следва да води до обработване на личните данни за различни цели, освен ако това е със съгласието на субекта на данните или въз основа на законодателството на Съюза или на държава членка. [Изм. 89]

(127)

По отношение на правомощията на надзорните органи да получават от администратора или обработващия лични данни достъп до лични данни и достъп до помещенията му, държавите членки могат, в рамките на настоящия регламент, да приемат със закон специални разпоредби, за да гарантират задължението за опазване на професионална тайна или на други равностойни задължения за опазване на тайна, доколкото това е необходимо за съгласуване на правото на защита на личните данни със задължението за опазване на професионална тайна.

(128)

Настоящият регламент зачита и не засяга статута, от който се ползват църквите и религиозните сдружения или общности в държавите членки съгласно националното законодателство, както това е признато в член 17 от Договора за функционирането на Европейския съюз. В резултат на това, когато към момента на влизане в сила на настоящия регламент дадена църква в дадена държава членка прилага цялостни адекватни правила по отношение на защитата на физическите лица във връзка с обработването на лични данни, тези съществуващи правила следва да продължат да се прилагат, ако бъдат приведени в съответствие с настоящия регламент и признати като съответстващи . От такива църкви и религиозни сдружения следва да се изисква да предвидят създаването на изцяло независим надзорен орган. [Изм. 90]

(129)

С цел да бъдат постигнати целите на настоящия регламент, а именно защита на основните права и свободи на физическите лица, и по-специално на тяхното право на защита на личните данни, както и за да се гарантира свободното движение на лични данни в рамките на Съюза, на Комисията следва да бъде делегирано правомощието да приема актове в съответствие с член 290 от Договора за функционирането на Европейския съюз. По-специално делегирани актове следва да бъдат приети по отношение на законосъобразността на обработването; за определяне на критериите и условията по отношение на съгласието на дете; относно обработването на специални категории лични данни; за установяване на критериите и условията за отявлено прекомерни искания и такси за упражняване на правата на субекта на данни; относно критериите и изискванията за информацията, предоставена на субекта на данни, и по отношение на правото на достъп; определяне на условията за използване на описание с графични средства (икони) при предоставянето на информация; относно правото „да бъдеш забравен“ и правото на заличаване; относно мерките, основани на профилиране; относно критериите и изискванията по отношение на отговорността на администратора и по отношение на защитата още при проектирането и по подразбиране; относно обработващия данни; относно критериите и изискванията за документацията и сигурността на обработването; относно критериите и изискванията за установяването на нарушение на сигурността на лични данни и за уведомяването на надзорния орган за него, както и относно обстоятелствата, в които дадено нарушение на сигурността на лични данни има вероятност да засегне неблагоприятно субекта на данните; относно критериите и условията за операциите по обработване, за които се изисква оценка на въздействието върху защитата на данните; относно критериите и изискванията за определянето на висока степен от конкретни рискове, които изискват предварителна консултация; относно назначаването и задачите на длъжностното лице по защита на данните; относно обявяването на съответствието на кодексите за поведение с настоящия регламент ; относно критериите и изискванията за механизмите за сертифициране; относно адекватното ниво на защита, осигурявано от дадена трета държава или международна организация; относно критериите и изискванията за предаването на данни чрез задължителни фирмени правила; относно дерогациите за предаванията; относно административните санкции; относно обработването на данни за здравни цели; и относно обработването на данни в контекста на трудовите правоотношения и обработването на данни за исторически, статистически и научноизследователски цели. От особена важност особено значение е по време на подготвителната си работа Комисията да проведе провежда подходящи консултации, включително на експертно равнище , по-специално с Европейския комитет по защита на данните . При подготовката и изготвянето на делегираните актове Комисията следва да осигури едновременното и своевременно предаване на съответните документи по подходящ начин на Европейския парламент и Съвета. [Изм. 91]

(130)

За да се гарантират еднакви условия за изпълнение на настоящия регламент, на Комисията следва да бъдат предоставени изпълнителни правомощия за: установяването на образци за специфичните методи за получаването на удостоверимо съгласие по отношение на обработването на лични данни на дете; установяването стандартни процедури и образци за упражняване на правата предоставянето на информация на субектите на данни относно упражняването на техните права ; установяването на образци за информиране на субекта на данни; установяването на образци и процедури по отношение на правото на достъп , включително за съобщаване на личните данни на субекта на данните ; правото на преносимост на данните; образци по отношение на отговорността на администратора по отношение на защитата още при проектирането и по подразбиране и по отношение на документацията , която трябва да бъде поддържана от администратора и обработващия лични данни ; специални изисквания за сигурността на обработването; стандартния формат и процедурите образец за уведомяване на надзорния орган за нарушение на сигурността на лични данни и информирането на субекта на данните за документиране на нарушение на сигурността на личните данни; стандарти и процедури за оценка на въздействието върху защитата на личните данни; образци и процедури за предварително разрешение и предварителна консултация; технически стандарти и механизми за сертифициране; адекватното ниво на защита на данните, осигурявано от дадена трета държава или територия, или обработващ данни сектор в тази трета държава, или международна организация; разкриване, което не е разрешено от правото на Съюза; взаимопомощ; съвместни операции; решения по силата на механизма за съгласуваност и информация за надзорния орган . Тези правомощия следва да бъдат упражнявани в съответствие с Регламент (ЕС) № 182/2011 на Европейския парламент и на Съвета от 16 февруари 2011 г. за установяване на общите правила и принципи относно реда и условията за контрол от страна на държавите членки върху упражняването на изпълнителните правомощия от страна на Комисията  (11). В този контекст Комисията следва да обмисли специалните мерки за микропредприятията, малките и средните предприятия. [Изм. 92]

(131)

Следва да се използва процедурата по разглеждане за приемането на: образци : за специфичните методи за получаването на удостоверимо съгласие по отношение на съгласието обработването на лични данни на дете; стандартни процедури и образци за упражняване на правата за предоставянето на информация на субектите на данни относно упражняването на техните права ; образци за информиране на субекта на данни; образци и процедури по отношение на правото на достъп , включително за съобщаване на личните данни на субекта на данните ; правото на преносимост на данните; образци по отношение на отговорността на администратора по отношение на защитата още при проектирането и по подразбиране и по отношение на документацията , която трябва да бъде поддържана от администратора и обработващия лични данни ; специални изисквания за сигурността на обработването; стандартния формат и процедурите за уведомяване на надзорния орган за нарушение на сигурността на лични данни и информирането на субекта на данните за документиране на нарушение на сигурността на личните данни; стандарти и процедури за оценка на въздействието върху защитата на личните данни; образци и процедури за предварително разрешение и предварителна консултация; технически стандарти и механизми за сертифициране; адекватното ниво на защита на данните, осигурявано от дадена трета държава или територия, или обработващ данни сектор в тази трета държава, или международна организация; разкриване, което не е разрешено от правото на Съюза; взаимопомощ; съвместни операции; решения по силата на механизма за съгласуваност и информация за надзорния орган , при условие че тези актове са с общ характер. [Изм. 93]

(132)

Комисията следва да приеме актове за изпълнение с незабавно приложение, когато в надлежно обосновани случаи, свързани с трета държава, или територия или обработващ данни сектор в тази трета държава, или международна организация, които не осигуряват адекватно ниво на защита, и с въпроси, повдигнати от надзорен орган в рамките на механизма за съгласуваност, наложителни причини за спешност изискват това. [Изм. 94]

(133)

Тъй като целите на настоящия регламент, а именно осигуряване на еквивалентно ниво на защита на физическите лица и свободното движение на данни навсякъде в Съюза, не могат да бъдат постигнати в достатъчна степен от държавите членки и следователно могат, поради обхвата или последиците от предвиденото действие, да бъдат по-добре постигнати на равнището на Съюза, Съюзът може да приема мерки в съответствие с принципа на субсидиарност, установен в член 5 от Договора за Европейския съюз. В съответствие с принципа на пропорционалност, установен в посочения член, настоящият регламент не надхвърля необходимото за постигането на тези цели.

(134)

Директива 95/46/ЕО следва да бъде отменена с настоящия регламент. Приетите въз основа на Директива 95/46/ЕО решения на Комисията и разрешения на надзорните органи обаче следва да останат в сила. Решенията на Комисията и разрешенията от надзорните органи по отношение на предаването на лични данни на трети държави в съответствие с член 41, параграф 8, следва да останат в сила за преходен период от пет години след влизането в сила на настоящия регламент, освен ако не бъдат изменени, заменени или отменени от Комисията преди изтичането на този период. [Изм. 95]

(135)

Настоящият регламент следва да се прилага спрямо всички въпроси, свързани със защитата на основните права и свободи по отношение на обработването на лични данни, които не са предмет на специалните задължения със същата цел, установени с Директива 2002/58/ЕО на Европейския парламент и на Съвета (12), включително задълженията на администратора и правата на физическите лица. За да се изясни връзката между настоящия регламент и Директива 2002/58/ЕО, директивата следва да бъде съответно изменена.

(136)

По отношение на Исландия и Норвегия настоящият регламент представлява развитие на разпоредбите на достиженията на правото от Шенген, дотолкова доколкото то се прилага спрямо обработването на лични данни от органите, участващи в прилагането на тези достижения, по смисъла на Споразумението, сключено от Съвета на Европейския съюз и Република Исландия и Кралство Норвегия за асоциирането на последните в процеса на изпълнение, прилагане и развитие на достиженията на правото от Шенген (13).

(137)

По отношение на Швейцария настоящият регламент представлява развитие на разпоредбите на достиженията на правото от Шенген, дотолкова доколкото то се прилага спрямо обработването на лични данни от органите, участващи в прилагането на тези достижения, по смисъла на Споразумението между Европейския съюз, Европейската общност и Конфедерация Швейцария относно асоциирането на Конфедерация Швейцария към изпълнението, прилагането и развитието на достиженията на правото от Шенген (14).

(138)

По отношение на Лихтенщайн настоящият регламент представлява развитие на разпоредбите на достиженията на правото от Шенген, дотолкова доколкото то се прилага спрямо обработването на лични данни от органите, участващи в прилагането на тези достижения, по смисъла на Протокола между Европейския съюз, Европейската общност, Конфедерация Швейцария и Княжество Лихтенщайн относно присъединяването на Княжество Лихтенщайн към Споразумението между Европейския съюз, Европейската общност и Конфедерация Швейцария относно асоциирането на Конфедерация Швейцария към изпълнението, прилагането и развитието на достиженията на правото от Шенген (15).

(139)

С оглед на това, че — както бе подчертано от Съда на Европейския съюз — правото на защита на личните данни не е абсолютно право, а трябва да бъде разглеждано във връзка с неговата функция в обществото и да се уравновесява с други основни права, в съответствие с принципа на пропорционалност настоящият регламент зачита всички основни права и спазва принципите, признати в Хартата и залегнали в Договорите, и по-специално правото на зачитане на личния и семейния живот, дома и комуникациите, правото на защита на личните данни, свободата на мисълта, съвестта и религията, свободата на изразяване и на информация, свободата на стопанската инициатива, правото на ефективни правни средства за защита и на справедлив съдебен процес, както и правото на културно, религиозно и езиково многообразие,

а)

в хода на дейности, които са извън приложното поле на правото на Съюза, по-специално такива, свързани с националната сигурност;

б)

от институциите, органите, службите и агенциите на Съюза;

в)

от държавите членки, когато извършват дейности, които попадат в приложното поле на дял V, глава 2 от Договора за Европейския съюз;

г)

от физическо лице без никаква възмездна цел в хода на неговите собствени изцяло лични или домашни дейности . Това изключение се прилага и за публикуването на лични данни, когато може основателно да се очаква, че ще са достъпни само за ограничен брой лица ;

д)

от компетентните публични органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции.

а)

предлагането на стоки или услуги на такива субекти на данни в Съюза , независимо дали от субекта на данни се изисква заплащане ; или

б)

наблюдението на тяхното поведение тези субекти на данни .

(1)

„субект на данни“ означава физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или косвено чрез средства, за които с основание се предполага, че е възможно да бъдат използвани от администратора или от всяко друго физическо или юридическо лице, по-специално чрез идентификационен номер, данни за местонахождение, онлайн идентификатори или чрез един или повече признаци, специфични за неговата физическа, физиологична, генетична, психическа, икономическа, културна или социална идентичност;

(2)

„лични данни“ означава всяка информация, свързана с даден физическо лице с установена или подлежаща на установяване самоличност („ субект на данни“); лице с подлежаща на установяване самоличност е лице, чиято самоличност може пряко или косвено да се установи, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, уникален идентификатор или чрез един или повече фактори, специфични за физическата, физиологическата, генетичната, психическата, икономическата, културната или социалната самоличност на това лице или за половата му идентичност;

(2a)

„данни под псевдоним“ означава лични данни, които не могат да бъдат свързани с конкретен субект на данни, без да се използва допълнителна информация, доколкото тази допълнителна информация се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира невъзможността да се направи такова свързване;

(2б)

„криптирани данни“ означава лични данни, които, посредством технологични мерки за защита, са станали неразбираеми за всяко лице, което не разполага с право на достъп;

(3)

„обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друга форма на предоставяне на данните, подреждане или комбиниране, заличаване или унищожаване;

(3a)

„профилиране“ означава всяка форма на автоматизирано обработване на лични данни, имащо за цел да се оценят определени лични аспекти, свързани с дадено физическо лице, или да се анализира или прогнозира по-специално изпълнението на професионалните му задължения, неговото икономическо положение, местоположение, здравословно състояние, лични предпочитания, надеждност или поведение;

(4)

„регистър на лични данни“ означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;

(5)

„администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите, условията и средствата за обработването на лични данни; когато целите, условията и средствата за обработването се определят от правото на Съюза или това на държава членка, администраторът или специалните критерии за неговото назначаване могат да бъдат определени в правото на Съюза или в правото на държава членка;

(6)

„обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;

(7)

„получател“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни;

(7a)

„трето лице“ означава физическо или юридическо лице, публичен орган, агенция или всякакъв друг орган, който е различен от субекта на данните, администратора, обработващия личните данни и лицата, които под прякото ръководство на администратора или на обработващия личните данни имат право да обработват данните;

(8)

„съгласие на субекта на данните“ означава всяко свободно изразено, конкретно, информирано и изрично указание за волята на субекта на данните посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;

(9)

„нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;

(10)

„генетични данни“ означава всички лични данни, от всякакъв вид, свързани с белезите генетичните белези на дадено физическо лице, които са наследствени или са придобити по време на ранното пренатално развитие , получени в резултат от анализ на биологична проба от въпросното физическо лице, по-специално чрез анализ на дезоксирибонуклеинова киселина (ДНК) или на рибонуклеинова киселина (РНК) или анализ на всякакъв друг елемент, позволяващ получаване на равностойна информация ;

(11)

„биометрични данни“ означава всички лични данни, свързани с физическите, физиологичните или поведенческите характеристики на дадено физическо лице, които позволяват неговата уникална идентификация, като лицеви изображения или дактилоскопични данни;

(12)

„данни за здравословното състояние“ означава всяка информация, която се отнася всички лични данни , които се отнасят до физическото или психическото здраве на дадено физическо лице, или до предоставянето на здравни услуги на физическото лице;

(13)

„основно място на установяване“ означава по отношение на администратора мястото на неговото установяване на предприятие или група от предприятия в Съюза , с функции на администратор или обработващ лични данни , където се вземат основните решения по отношение на целите, условията и средствата за обработването на лични данни; ако решенията относно целите, условията и средствата за обработването на лични данни не се вземат в Съюза, основното място на установяване е мястото, където се извършват основните дейности по обработване на данни в контекста на дейностите на място на установяване на даден администратор в Съюза. По отношение на обработващия лични данни „основно място на установяване“ означава мястото, където се намира централната му администрация в Съюза; . Наред с другото могат да се разглеждат следните обективни критерии: местонахождението на седалището на администратора или обработващия лични данни; местонахождението на предприятието от групата предприятия, което е в най-добра позиция от гледна точка на управленски функции и административни отговорности да разглежда и прилага правилата, определени в настоящия регламент; мястото на ефективното и действително упражняване на управленски дейности, определящи обработването на данни по силата на стабилни договорености;

(14)

„представител“ означава всяко физическо или юридическо лице, установено в Съюза, което е изрично назначено от администратора, действа вместо представлява администратора и към него могат да се обръщат надзорните органи и други органи в Съюза във връзка със задълженията на администратора съгласно настоящия регламент;

(15)

„предприятие“ означава всяко образувание, което осъществява икономическа дейност, независимо от правната му форма, като в това число по-специално се включват физическите и юридическите лица, партньорствата или сдруженията, които редовно осъществяват икономическа дейност;

(16)

„група предприятия“ означава контролиращо предприятие и контролираните от него предприятия;

(17)

„задължителни фирмени правила“ означава политики за защита на личните данни, които се спазват от администратор или обработващ лични данни, установен на територията на държава членка на Съюза, при предаване или съвкупност от предавания на лични данни до администратор или обработващ лични данни в една или повече трети държави в рамките на група предприятия;

(18)

„дете“ означава всяко лице на възраст под 18 години;

(19)

„надзорен орган“ означава публичен орган, създаден от държава членка в съответствие с член 46. [Изм. 98]

а)

обработвани законно, добросъвестно и по прозрачен начин по отношение на субекта на данните (законосъобразност, добросъвестност и прозрачност) ;

б)

събирани за конкретни, изрично указани и законни цели и да не се обработват допълнително по начин, който е несъвместим с тези цели (ограничаване до предвидената цел) ;

в)

подходящи, релевантни и ограничени до минимума, необходим за целите, за които данните се обработват; те се обработват само ако и дотолкова доколкото целите не могат да бъдат постигнати без обработването на информация, която не включва лични данни (свеждане на данните до минимум) ;

г)

точни и при необходимост актуализирани; трябва да се предприемат всички разумни мерки, за да се гарантира своевременното заличаване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват (точност)

д)

съхранявани във вид, който позволява идентифицирането прякото или непрякото идентифициране на субектите на данните за период не по-дълъг от необходимия за целите, за които се обработват данните; Лични данни могат да се съхраняват за по-дълги периоди дотолкова доколкото данните ще се обработват единствено за исторически, статистически или научноизследователски цели или за целите на архивирането в съответствие с правилата и условията на член 83 и член 83а и ако се провежда периодичен преглед, за да се оцени необходимостта съхраняването да продължава , и, ако е целесъобразно, се въвеждат технически и организационни мерки за ограничаване на достъпа до данните единствено за тези цели (свеждане до минимум на съхраняването) ;

да)

обработвани по начин, който реално позволява на субекта на данните да упражнява своите права (ефективност);

дб)

обработвани по начин, който осигурява защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки (цялост);

е)

обработвани под ръководството и отговорността на администратора, който осигурява и доказва може да докаже спазването на разпоредбите на настоящия регламент при за всяка операция по обработване на данни (отчетност) . [Изм. 99]

а)

субектът на данните е дал съгласието си за обработването на неговите лични данни за една или повече конкретни цели;

б)

обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на мерки по искане на субекта на данните преди сключването на договор;

в)

обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора;

г)

обработването е необходимо за защитата на жизненоважните интереси на субекта на данните;

д)

обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;

е)

обработването е необходимо за целите на законните интереси на администратора или в случай на разкриване — на третото лице, на което са разкрити данните, и които изпълняват основателните очаквания на субекта на данни, въз основа на неговите взаимоотношения с администратора , освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете. Това не се прилага за обработването на данни, което се извършва от публични органи при изпълнението на техните задачи.

а)

правото на Съюза или

б)

правото на държавата членка, което се прилага спрямо администратора.

а)

субектът на данните е дал своето съгласие за обработването на такива лични данни за една или повече конкретни цели , при условие че са спазени условията, определени в членове 7 и 8, освен когато в правото на Съюза или на държава членка се предвижда, че посочената в параграф 1 забрана не може да бъде отменена от субекта на данните; или

аа)

обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на мерки по искане на субекта на данните преди сключването на договор;

б)

обработването е необходимо за целите на изпълнението на задълженията и упражняването на специалните права на администратора в областта на трудовото право дотолкова, доколкото това е разрешено от правото на Съюза или на държава членка или от колективни споразумения , в при което се предвиждат подходящи гаранции на основните права и интересите на субекта на данните, като например правото на недискриминация, при условията и гаранциите, посочени в член 82 ; или

в)

обработването е необходимо, за да бъдат защитени жизненоважни интереси на субекта на данните или на друго лице, когато субектът на данните е физически или юридически неспособен да даде своето съгласие; или

г)

обработването се извършва при подходящи гаранции в хода на законните дейности на фондация, сдружение или друга структура с нестопанска цел, с политическа, философска, религиозна или профсъюзна цел, при условие че обработването е свързано единствено с членовете или бившите членове на тази структура или с лица, които поддържат редовни контакти с нея във връзка с нейните цели, и че данните не се разкриват без съгласието на субектите на данните; или

д)

обработването е свързано с лични данни, които явно са направени обществено достояние от субекта на данните; или

е)

обработването е необходимо за установяването, упражняването или защитата на правни претенции; или

ж)

обработването е необходимо за изпълнението на задача по причини от важен обществен интерес на основание правото на Съюза или на държава членка, което е пропорционално на преследваната цел, зачита същността на правото на защита на данните и в което се предвиждат подходящи мерки за защита на законните интереси основните права и интересите на субекта на данните; или

з)

обработването на данни за здравословното състояние е необходимо за здравни цели и при спазване на условията и гаранциите, посочени в член 81; или

и)

обработването е необходимо за исторически, статистически или научноизследователски цели при спазване на условията и гаранциите, посочени в член 83; или

иа)

обработването е необходимо за обработване от служби по архивите при спазване на условията и гаранциите, посочени в член 83; или

й)

обработването на данни, свързани с административни санкции, съдебни решения, престъпления, присъди или със свързаните с тях мерки за сигурност, се извършва под контрола на официален орган или когато е необходимо за спазването на правно или регулаторно задължение, което се прилага спрямо администратора, или за изпълнението на задача от важен обществен интерес и дотолкова, доколкото е разрешено в правото на Съюза или на държава членка и при подходящи гаранции на основните права и интересите на субекта на данните . Пълна Всяка регистрационна система на наказателните присъди се поддържа единствено под контрола на официален орган.

а)

дали личните данни се събират над минимума, необходим за всяка конкретна цел на обработването;

б)

дали личните данни се съхраняват над минимума, необходим за всяка конкретна цел на обработването;

в)

дали личните данни се обработват за цели, различни от тези, за които са били събрани;

г)

дали личните данни се разпространяват на трети лица — търговци;

д)

дали личните данни са продадени или отдадени под наем;

е)

дали личните данни са съхранявани в криптирана форма.

а)

първата колона описва графичните форми, изобразяващи тези сведения;

б)

втората колона съдържа основна информация, описваща тези сведения;

в)

третата колона описва графичните форми, посочващи дали конкретно сведение е изпълнено.

а)

наименованието и координатите за връзка на администратора, на представителя на администратора, ако има такъв, и на длъжностното лице по защита на данните;

б)

целите на обработването, за които личните данните са предназначени, както и информация относно сигурността на обработването на личните данни, включително договорните клаузи и общите условия, когато обработването се основава на член 6, параграф 1, буква б), и законните интереси, преследвани от администратора, когато обработването се основава на , когато е приложимо, информация относно начина, по който те прилагат и изпълняват изискванията по член 6, параграф 1, буква е);

в)

срока, за който ще се съхраняват личните данни;

г)

съществуването на право да се изиска от администратора достъп до личните данни, свързани със субекта на данните, както и тяхното коригиране или заличаване, или да се възрази срещу обработването на такива лични данни , или да се получат данни ;

д)

правото да бъде подадена жалба до надзорния орган и да бъдат предоставени неговите координати за връзка;

е)

получателите или категориите получатели на личните данни;

ж)

когато е приложимо, информация че администраторът възнамерява да предаде данните на трета държава или на международна организация, както и информация за нивото на защита, осигурено от тази трета държава или международна организация, с позоваване на решението и наличието или отсъствието на решение на Комисията относно адекватността или в случай на предаване на данни съгласно посоченото в член 42 или 43 с позоваване на подходящите гаранции и средствата за получаване на копие от тях ;

жa)

когато е приложимо, информация относно наличието на профилиране, на мерки, основани на профилиране, и предвидените последствия от профилирането за субекта на данните;

жб)

значима информация относно логиката, прилагана при всяко автоматизирано обработване;

з)

всяка допълнителна информация, която е необходима за гарантиране на добросъвестното обработване по отношение на субекта на данните, като се отчитат конкретните обстоятелства, при които се събират или обработват личните данни , по-специално съществуването на определени дейности и операции по обработване, за които оценките на въздействието им във връзка с личните данни са показали, че те може да са високорискови;

за)

когато е приложимо, информация дали лични данни са били предоставяни на публични органи през последния период от 12 последователни месеца.

а)

в момента на получаване на личните данни от субекта на данните или, когато това не е възможно — без излишно забавяне ; или

аа)

след отправено искане от орган, организация или сдружение, посочени в член 73;

б)

когато личните данни не се събират от субекта на данните, в момента на тяхното записване или в разумен срок след събирането им, като се отчитат конкретните обстоятелства, при които данните са събрани или обработени по друг начин, или, когато се предвижда те да бъдат разкрити пред предадени на друг получател — не по-късно от датата, на която данните се разкриват за първи път момента на първото предаване, или ако данните се използват за връзка със субекта на данните — най-късно при осъществяване на първия контакт с този субект на данните; или

ба)

само след отправено искане, когато данните се обработват от малко или микропредприятие, което обработва лични данни единствено като вторична дейност.

а)

субектът на данните вече разполага с информацията, посочена в параграфи 1, 2 и 3; или

б)

данните се обработват за исторически, статистически или научноизследователски цели при спазване на условията и гаранциите, посочени в член 81 или 83 , не се събират от субекта на данните и предоставянето на такава информация се окаже невъзможно или изисква непропорционално големи усилия и администраторът е публикувал информацията, така че тя да може да бъде извлечена от всеки; или

в)

данните не се събират от субекта на данните и записването или разкриването им е изрично предвидено със закон , който се прилага спрямо администратора и който осигурява подходящи мерки за защита на законните интереси на субекта на данните, като се отчитат рисковете, свързани с обработването и естеството на личните данни ; или

г)

данните не се събират от субекта на данните и предоставянето на такава информация ще накърни правата и свободите на други физически лица, както са установени в правото на Съюза или на държава членка в съответствие с член 21;

га)

данните се обработват, поверяват или съобщават при упражняване на професионална дейност от лице, спрямо което се прилага регламентирано от Съюза или държавата членка задължение за запазване на професионалната тайна или законово задължение за поверителност, освен когато данните се събират от самия субект на данни.

а)

целите на обработването за всяка категория лични данни ;

б)

категориите засегнати лични данни;

в)

получателите или категориите получатели, пред които ще бъдат или са разкрити личните данни, по-специално включително получателите в трети държави;

г)

срока, за който ще се съхраняват личните данни;

д)

съществуването на правото да се изисква от администратора коригирането или заличаването на личните данни, свързани със субекта на данните, или да се възрази срещу обработването на такива лични данни;

е)

правото да бъде подадена жалба до надзорния орган и да бъдат предоставени неговите координати за връзка;

ж)

съобщаване на личните данни, които са в процес на обработване, и на всякаква налична информация за техния източник;

з)

значението и предвидените последствия от такова обработване, най-малко в случая на мерките, посочени в член 20.;

за)

значима информация относно логиката, прилагана при всяко автоматизирано обработване;

зб)

без да се засягат разпоредбите на член 21, в случай на разкриване на лични данни пред публичен орган по искане на публичен орган — потвърждение на факта, че е отправено такова искане.

а)

данните повече не са необходими за целите, за които са били събрани или обработвани по друг начин;

б)

субектът на данните оттегли своето съгласие, върху което се основава обработването на данните съгласно член 6, параграф 1, буква а), или когато срокът за съхранение, за който е било дадено съгласие, е изтекъл и когато няма друго правно основание за обработването на данните;

в)

субектът на данните възразява срещу обработването на лични данни съгласно член 19;

ва)

с окончателно и неподлежащо на обжалване решение на съд или регулаторен орган, установен в Съюза е постановено, че въпросните данни трябва да бъдат заличени;

г)

обработването на данните не е в съответствие с настоящия регламент по други причини са били обработвани незаконосъобразно .

а)

за упражняване на правото на свобода на изразяване в съответствие с член 80;

б)

по причини от обществен интерес в областта на общественото здраве в съответствие с член 81;

в)

за исторически, статистически или научноизследователски цели в съответствие с член 83;

г)

за спазване на законово задължение за запазване на личните данни, предвидено в правото на Съюза или на държава членка, което се прилага спрямо администратора; законите на държавите членки се стремят към цел от обществен интерес, зачитат същността на правото на защита на личните данни и са пропорционални на преследваната законосъобразна цел;

д)

в случаите, посочени в параграф 4.

а)

точността им се оспорва от субекта на данните, за срок, който позволява на администратора да провери точността на данните;

б)

администраторът не се нуждае повече от личните данни за изпълнението на своите задачи, но те трябва да бъдат запазени за доказателствени цели;

в)

обработването им е неправомерно, но субектът на данните не желае те да бъдат заличени, а изисква вместо това ограничаване на използването им;

ва)

с окончателно и неподлежащо на обжалване решение на съд или регулаторен орган, установен в Съюза е постановено, че използването на въпросните данни трябва да бъде ограничено;

г)

субектът на данните предявява искане за предаване на личните данни на друга система за автоматизирано обработване в съответствие с член 18, параграф 2 член 15, параграф 2а ;

га)

конкретният вид технология за съхранение не позволява заличаване и е била въведена преди влизането в сила на настоящия регламент.

а)

критериите и изискванията за прилагането на параграф 1 за конкретните сектори и в особените ситуации на обработване на данни;

б)

условията за заличаването на връзки, копия или реплики на личните данни от обществено достъпни съобщителни услуги, както е посочено в параграф 2;

в)

критериите и условията за ограничаване на обработването на лични данни, както е посочено в параграф 4. [Изм. 112]

а)

се извършва по време на е необходимо за сключването или изпълнението на договор, когато искането за сключване или изпълнение на договора, подадено от субекта на данните, е било удовлетворено или когато , при условие, че са предоставени подходящи мерки за защита на неговите законни интереси, като правото на получаване на човешка намеса; или

б)

е изрично разрешено от правото на Съюза или на държава членка, в което се предвиждат също подходящи мерки за защита на законните интереси на субекта на данните; или

в)

се основава на съгласието на субекта на данните при спазване на условията, предвидени в член 7, и при наличието на подходящи гаранции.

а)

обществената сигурност;

б)

предотвратяването, разследването, разкриването и наказателното преследване на престъпления;

в)

други обществени интереси на Съюза или на държава членка, и по-специално на важен икономически или финансов интерес на Съюза или на държава членка, включително валутни, бюджетни и данъчни въпроси и защитата на пазарната стабилност и почтеност;

г)

предотвратяването, разследването, разкриването и наказателното преследване на нарушения на етичните кодекси при регламентираните професии;

д)

функция по наблюдението, проверката или регламентирането, свързана, дори само понякога, с в рамките на упражняването на официални компетентни обществени правомощия в случаите, посочени в букви а), б), в) и г);

е)

защитата на субекта на данните или на правата и свободите на други лица.

а)

целите, преследвани с обработването;

б)

определянето на администратора;

в)

конкретните цели на обработването и средствата за обработване;

г)

гаранциите за предотвратяване на злоупотреби или незаконен достъп или пренос;

д)

правото на субектите на данни да бъдат информирани за ограничението.

а)

поддържане на документацията съгласно член 28;

б)

изпълнение на изискванията за сигурността на данните, определени в член 30;

в)

извършване на оценка на въздействието върху защитата на данните съгласно член 33;

г)

спазване на изискванията за предварително разрешение или предварителна консултация с надзорния орган съгласно член 34, параграфи 1 и 2;

д)

определяне на длъжностно лице по защита на данните съгласно член 35, параграф 1;

а)

администраторът е установен в трета държава, за която Комисията е решила, че осигурява адекватно ниво на защита в съответствие с член 41; или

б)

работещите в дадено предприятие са администратор, който обработва лични данни, свързани с по-малко от 250 души 5 000 субекти на данни през всеки пореден период от 12 месеца и който не обработва специални категории лични данни, както се посочва в член 9, параграф 1, данни за местонахождение или данни относно деца или на наети по трудово правоотношение лица в широкомащабни регистри на данни ; или

в)

органът или структурата са публични; или

г)

администраторът предлага администратор, който само понякога предлага стоки или услуги на субекти на данни с местоживеене в Съюза , освен обработката на специални категории лични данни, както се посочва в член 9, параграф 1, данни за местонахождение или данни относно деца или на наети по трудово правоотношение лица в широкомащабни регистри на данни .

а)

действа обработва лични данни единствено по указания на администратора, по-специално когато предаването на използваните лични данни е забранено освен ако не се изисква друго в съответствие с правото на Съюза или на държавата членка ;

б)

наема единствено персонал, който е поел ангажимент за поверителност или е задължен по закон да спазва поверителност;

в)

взема всички необходими мерки съгласно член 30;

г)

включва определя условията за включване на друг обработващ лични данни единствено с предварителното разрешение на администратора , освен ако не е определено друго ;

д)

доколкото това е възможно предвид естеството на обработването, установява с одобрението на администратора необходимите подходящите и съответни технически и организационни изисквания за изпълнението на задължението на администратора да отговаря на исканията за упражняване на правата на субектите на данни, определени в глава III;

е)

подпомага администратора да гарантира изпълнението на задълженията съгласно членове 30–34 , като отчита естеството на обработване и информацията, налична за обработващия лични данни ;

ж)

предава връща всички резултати на администратора след края на обработването и, не обработва личните данни по друг начин и заличава съществуващите копия, освен ако правото на Съюза или на държавите членки не изисква тяхното съхранение ;

з)

предоставя на администратора и на надзорния орган цялата информация, необходима за контролиране доказване на изпълнението на задълженията, определени в настоящия член , и позволява проверки на място .

а)

наименованието и координатите за връзка на администратора или на всеки съвместен администратор или обработващ лични данни, както и на представителя на администратора, ако има такъв;

б)

името и координатите за връзка на длъжностното лице по защита на данните, ако има такова;

в)

целите на обработването, включително законните интереси, преследвани от администратора, когато обработването се основава на член 6, параграф 1, буква е);

г)

описание на категориите субекти на данни и на свързаните с тях категории лични данни;

д)

получателите или категориите получатели на личните името и координатите за връзка на администраторите на лични данни, включително администраторите, на които се разкриват лични данни поради преследвания от тях законен интерес , ако има такива ;

е)

когато е приложимо, предаването на данни на трета държава или международна организация, включително идентификацията на тази трета държава или международна организация, а в случай на предаванията на данни, посочени в член 44, параграф 1, документация за подходящите гаранции;

ж)

общо указване на сроковете за заличаване на различните категории данни;

з)

описанието на механизмите, посочени в член 22, параграф 3.

а)

физическо лице, което обработва лични данни без търговска цел; или

б)

предприятие или организация с по-малко от 250 човека персонал, където се обработването на лични данни е само вторична дейност спрямо основните дейности.

а)

способността да се гарантира, че се валидира целостта на личните данни;

б)

способността да се гарантира постоянна поверителност, цялост, наличност и устойчивост на системите и услугите, обработващи лични данни;

в)

способността за своевременно възстановяване на наличността и достъпа до данните в случай на физически или технически инцидент, имащ последици за наличността, целостта и поверителността на информационните системи и услуги;

г)

в случай на обработване на чувствителни лични данни съгласно членове 8 и 9 допълнителни мерки за сигурност, за да се гарантира ситуационната осведоменост за рисковете и способността да се предприемат предпазни, коригиращи и смекчаващи последствията действия в почти реално време срещу установената уязвимост или инциденти, които могат да представляват риск за данните;

д)

процес на редовно изпитване, преценяване и оценка на ефективността на въведените политики, процедури и планове за сигурност, с цел гарантиране на постоянна ефективност.

а)

гарантират, че достъп до личните данни може да има само упълномощен персонал за законно разрешени цели;

б)

защитават съхраняваните или предавани лични данни срещу случайно или неправомерно унищожаване, случайна загуба или промяна и неразрешено или неправомерно съхраняване, обработване, достъп или разкриване; както и

в)

гарантират осъществяването на политика на сигурност по отношение на обработването на личните данни.

а)

да се предотврати всякакъв неразрешен достъп до личните данни;

б)

да се предотврати всякакво неразрешено разкриване, четене, копиране, изменяне, заличаване или отстраняване на лични данни;

в)

да се гарантира проверката на законосъобразността на операциите по обработване.

а)

описание на естеството на нарушението на сигурността на личните данни, включително категориите и броя на засегнатите субекти на данни и категориите и количеството на засегнатите записи от данни;

б)

посочване на самоличността и координатите за връзка на длъжностното лице по защита на данните или на друго звено за контакт, от което може да се получи повече информация;

в)

препоръка относно мерките за намаляване на евентуалните неблагоприятни последици от нарушението на сигурността на личните данни;

г)

описание на последиците от нарушението на сигурността на личните данни;

д)

описание на предложените или предприетите от администратора мерки за справяне с нарушението на сигурността на личните данни и смекчаване на последствията от него .

а)

обработване на лични данни на повече от 5 000 субекти на данни в продължение на период от 12 последователни месеца;

б)

обработване на специални категории лични данни, както е посочено в член 9, параграф 1, данни за местонахождение или данни относно деца или на наети по трудово правоотношение лица в широкомащабни регистри на данни;

в)

профилиране, на чието основание се вземат мерки, които пораждат правни последици за лицето или го засягат в значителна степен по подобен начин;

г)

обработване на лични данни относно предоставянето на здравно обслужване, епидемиологични изследвания или изследвания за психически или инфекциозни заболявания, когато данните се обработват в големи мащаби за вземане на мерки или решения относно конкретни физически лица;

д)

автоматизирано широкомащабно наблюдение на публично достъпни райони;

е)

други операции по обработване, за които се изисква консултация с длъжностното лице по защита на данните или надзорния орган съгласно член 34, параграф 2, буква б);

ж)

когато едно нарушение на сигурността на личните данни има вероятност да повлияе неблагоприятно на защитата на личните данни, на неприкосновеността на личния живот, на правата или законните интереси на субекта на данните;

з)

основните дейности на администратора или обработващия лични данни се състоят от операции по обработване, които поради своето естество, обхват и/или цели изискват редовно и систематично наблюдение на субектите на данни;

и)

когато личните данни са достъпни за брой лица, за който не може основателно да се очаква да бъде органичен.

а)

когато съществува някоя от посочените в параграф 2, букви а) или б) операции по обработване, администраторите, които не са установени в Съюза, определят свой представител в Съюза, в съответствие с изискванията и изключенията, посочени в член 25;

б)

когато съществува някоя от посочените в параграф 2, букви а), б) или з) операции по обработване, администраторът определя длъжностно лице по защита на данните, в съответствие с изискванията и изключенията, посочени в член 35;

в)

когато съществува някоя от посочените в параграф 2, букви а), б), в), г), д) е), ж) или з) операции по обработване, администраторът или обработващият личните данни от името на администратора извършва оценка на въздействието върху защитата на данните в съответствие с член 33;

г)

когато съществуват посочените в параграф 2, буква е) операции по обработване, администраторът се консултира с длъжностното лице по защита на данните, или — в случай, че такова не е определено — с надзорния орган, в съответствие с член 34.

а)

систематична и обширна оценка на лични аспекти, свързани с дадено физическо лице, за анализиране или прогнозиране, по-специално на неговото икономическо положение, местоположение, здравословно състояние, лични предпочитания, надеждност или поведение, която се основава на автоматизирано обработване и на чието основание се вземат мерки, които пораждат правни последици за лицето или го засягат в значителна степен;

б)

информация относно сексуалния живот, здравословното състояние, расата или етническия произход или информация за предоставянето на здравно обслужване, епидемиологични изследвания или изследвания за психически или инфекциозни заболявания, когато данните се обработват в големи мащаби за вземане на мерки или решения относно конкретни физически лица;

в)

наблюдение на публично достъпни райони, особено когато се използват широкомащабно оптично-електронни устройства (видео наблюдение);

г)

лични данни в широкомащабни регистри на лични данни с данни за деца, генетични данни или биометрични данни;

д)

други операции по обработване, за които се изисква консултация с надзорния орган съгласно член 34, параграф 2, буква б).

а)

системен опис на предвидените операции по обработването, неговите цели и, ако е приложимо, преследваните от администратора законни интереси;

б)

оценка на необходимостта и пропорционалността на операциите по обработването по отношение на целите;

в)

оценка на рисковете за правата и свободите на субектите на данните, включително риска от дискриминация, заложен в операцията или засилен от нея;

г)

опис на мерките, предвидени за справяне с рисковете и за свеждане до минимум на обема на обработваните лични данни;

д)

списък с гаранциите, мерките за сигурност и механизмите за гарантиране на защитата на личните данни, като например използването на данни под псевдоним, и за доказване на спазването на настоящия регламент, като се вземат предвид правата и законните интереси на субектите на данните и други засегнати лица;

е)

общо указване на сроковете за заличаване на различните категории данни;

ж)

обяснение за това кои практики за защита на данните са въведени при проектирането и по подразбиране съгласно член 23;

з)

списък с получателите или категориите получатели на личните данни;

и)

когато е приложимо, списък на планираното предаване на данни на трета държава или международна организация, включително идентификацията на тази трета държава или международна организация;

й)

оценка на контекста на обработването на данни.

а)

дадена оценка на въздействието върху защитата на данните, както е предвидена в член 33, показва, че поради своето естество, обхват или цели операциите по обработване има вероятност да създадат висока степен на конкретни рискове; или

б)

длъжностното лице по защита на данните или надзорният орган счита за необходимо да извърши предварителна консултация относно операции по обработване, които има вероятност да създадат конкретни рискове за правата и свободите на субектите на данните поради своето естество, обхват и/или цели и които са указани в съответствие с параграф 4.

а)

обработването се извършва от публичен орган или структура; или

б)

обработването се извършва от предприятие, в което работят 250 души или юридическо лице и се отнася за повече от 5 000 субекти на данни през всеки период от 12 последователни месеца ; или

в)

основните дейности на администратора или обработващия лични данни се състоят от операции по обработване, които поради своето естество, обхват и/или цели изискват редовно и систематично наблюдение на субекти на данни; или

ва)

основните дейности на администратора или на обработващия данни се състоят от обработването на специални категории данни съгласно член 9, параграф 1, данни за местонахождение или данни относно деца или на наети по трудово правоотношение лица в широкомащабни регистри на данни.

а)

да повишава осведомеността, да информира и съветва администратора или обработващия лични данни за техните задължения по силата на настоящия регламент , по-специално по отношение на техническите и организационните мерки и процедури, и да документира тази дейност и получените отговори;

б)

да наблюдава изпълнението и прилагането на стратегиите на администратора или обработващия лични данни по отношение на защитата на личните данни, включително възлагането на отговорности, обучаването на персонала, участващ в операциите по обработване, и свързаните с това одити;

в)

да наблюдава изпълнението и прилагането на настоящия регламент, по-специално по отношение на изискванията, свързани със защитата на данните още при проектирането, защитата на данните по подразбиране и сигурността на данните, както и по отношение на информирането на субектите на данни и техните искания при упражняване на правата им по силата на настоящия регламент;

г)

да гарантира поддържането на документацията, посочена в член 28;

д)

да наблюдава документирането, уведомяването и съобщаването за нарушения на сигурността на личните данни съгласно членове 31 и 32;

е)

да наблюдава извършването на оценката на въздействието върху защитата на данните от администратора или обработващия лични данни и прилагането на процедурата за предварително разрешение или предварителна консултация, ако това се изисква по силата на членове  32а, 33 и 34;

ж)

да наблюдава отговорите на искания от надзорния орган и, в рамките на компетентността на длъжностното лице по защита на данните, да си сътрудничи с надзорния орган по негово искане или по своя собствена инициатива;

з)

да действа като звено за контакт за надзорния орган по въпроси, свързани с обработването на данни, и, ако е необходимо, да се консултира с надзорния орган по своя собствена инициатива;

и)

да проверява съответствието с настоящия регламент по силата на механизма за предварителна консултация, предвиден в член 34;

й)

да информира представителите на работниците и служителите относно обработването на данните на работниците и служителите.

а)

добросъвестното и прозрачно обработване на данни;

аа)

зачитане на правата на потребителите;

б)

събирането на данни;

в)

информирането на обществеността и на субектите на данни;

г)

исканията на субектите на данни при упражняване на техните права;

д)

информирането и защитата на децата;

е)

предаването на данни на трети държави или международни организации;

ж)

механизмите за наблюдение и гарантиране на спазването на кодекса от администраторите, ангажирани с него;

з)

извънсъдебните производства и другите процедури за разрешаване на спорове между администраторите и субектите на данни по отношение на обработването на лични данни, без да се засягат правата на субектите на данни съгласно членове 73 и 75.

а)

принципите на правовата държава, съответното действащо законодателство, както общото, така и секторното, включително това, което се отнася до обществената сигурност, отбраната, националната сигурност и наказателното право, а също и прилагането на това законодателство, професионалните правила и мерките за сигурност, които се спазват в тази държава или от тази международна организация, прецеденти от съдебната практика, както и действителните и противопоставимите права, включително правото на ефективна административна и съдебна защита за субектите на данни, по-специално за тези субекти на данни с местоживеене в Съюза, чиито лични данни се предават;

б)

съществуването и ефективното функциониране на един или повече независими надзорни органи във въпросната трета държава или международна организация, отговорни за гарантиране на спазването на правилата за защита на данните, включително достатъчно правомощия за налагане на санкции, за подпомагане и консултиране на субектите на данни при упражняването на техните права и за осъществяване на сътрудничество с надзорните органи на Съюза и на държавите членки; както и

в)

международните ангажименти, които въпросната трета държава или международна организация е поела , по-специално всички правно обвързващи конвенции или инструменти в областта на защитата на лични данни .

а)

задължителни фирмени правила в съответствие с член 43; или

аа)

валиден „Европейски печат за защита на данните“ за администратора и получателя в съответствие с член 39, параграф 1д; или

б)

стандартни клаузи за защита на данните, приети от Комисията; Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 87, параграф 2; или

в)

стандартни клаузи за защита на данните, приети от надзорен орган в съответствие с механизма за съгласуваност, посочен в член 57, когато те са обявени за общовалидни от Комисията съгласно член 62, параграф 1, буква б); или

г)

договорни клаузи между администратора или обработващия лични данни и получателя на данните, разрешени от надзорен орган в съответствие с параграф 4.

а)

са правно обвързващи, прилагат се спрямо и се привеждат в изпълнение от всеки член на групата предприятия на администратора или обработващия лични данни и на външните подизпълнители, попадащи в обхвата на задължителните фирмени правила, и включват техните служители;

б)

изрично предоставят противопоставими права на субектите на данните;

в)

изпълняват изискванията, установени в параграф 2.

а)

структурата и координатите за връзка на групата предприятия и нейните членове и на външните подизпълнители, попадащи в обхвата на задължителните фирмени правила ;

б)

предаването на данни или съвкупността от предавания на данни, включително категориите лични данни, видът на обработването и неговите цели, видът на засегнатите субекти на данни и се посочва въпросната трета държава или държави;

в)

тяхното правно обвързващо естество, както на вътрешно, така и на външно равнище;

г)

общите принципи за защита на данните, по-специално принципът на ограничаване до предвидената цел, свеждането до минимум на данните, ограничените периоди на запазване на данните, принципът за качество на данните, защита на данните още при проектирането и по подразбиране, правното основание за обработването, обработването на чувствителни лични данни; мерките за осигуряване на сигурността на данните, както и изискванията за последващо предаване на данни до организации, които не са обвързани от тези политики;

д)

правата на субектите на данни и средствата за упражняване на тези права, включително правото на субекта на данните да не подлежи на мярка, основана на профилиране, в съответствие с член 20, правото за подаване на жалба до компетентния надзорен орган и до компетентните съдилища на държавите членки в съответствие с член 75, както и правото на съдебна защита и, когато е подходящо, обезщетение за нарушаване на задължителните фирмени правила;

е)

поемането от администратора или обработващия лични данни, установен на територията на държава членка, на отговорност за каквито и да било нарушения на задължителните фирмени правила от който и да било член на групата предприятия, който не е установен в Съюза; администраторът или обработващият лични данни може да бъде изцяло или частично освободен от такава отговорност само ако докаже, че този член не носи отговорност за събитието, довело до причиняването на вредите;

ж)

Начинът, по който информацията относно задължителните фирмени правила, по-специално информацията относно разпоредбите, посочени в букви г), д) и е), се предоставя на субектите на данни в съответствие с член 11;

з)

задачите на длъжностното лице по защита на данните, определено в съответствие с член 35, включително наблюдение в рамките на групата предприятия за спазването на задължителните фирмени правила, както и наблюдение на обучението и разглеждането на жалбите;

и)

механизмите в рамките на групата предприятия, които имат за цел да се осигури проверката на спазването на задължителните фирмени правила;

й)

механизмите за докладване и записване на промени в политиките и докладването на надзорния орган за тези промени;

к)

механизмът за сътрудничество с надзорния орган с цел осигуряване на спазването на правилата от който и да било член на групата предприятия, по-специално чрез предоставяне на надзорния орган на резултатите от проверките на мерките, посочени в буква и) от настоящия параграф.

а)

субектът на данните е дал съгласието си за предлаганото предаване на данни, след като е бил информиран за рисковете от подобно предаване поради липсата на решение относно адекватността или на подходящи гаранции; или

б)

предаването е необходимо за изпълнението на договор между субекта на данните и администратора или за изпълнението на преддоговорни мерки, взети по искане на субекта на данните; или

в)

предаването е необходимо за сключването или изпълнението на договор, сключен в интерес на субекта на данните между администратора и друго физическо или юридическо лице; или

г)

предаването е необходимо поради важно основание от обществен интерес; или

д)

предаването е необходимо за установяването, упражняването или защитата на правни претенции; или

е)

предаването е необходимо, за да бъдат защитени жизненоважни интереси на субекта на данните или на друго лице, когато субектът на данните е физически или юридически неспособен да даде своето съгласие; или

ж)

предаването се извършва от регистрационна система, която съгласно правото на Съюза или на държавите членки, е предназначена да предоставя информация на обществеността и е достъпна за справка от обществеността по принцип или от всяко лице, което може да докаже, че има законен интерес за това, доколкото условията за справка, установени в правото на Съюза или на държавите членки, са изпълнени в конкретния случай; или.

з)

предаването е необходимо за целите на законните интереси, преследвани от администратора или от обработващия лични данни, и не може да бъде определено като често или масово, като администраторът или обработващият лични данни е оценил всички обстоятелства, свързани с операцията или съвкупността от операции по предаването на данни, и въз основа на тази оценка, когато е необходимо, е предоставил подходящи гаранции във връзка със защитата на личните данни.

а)

разработване на ефективни механизми за международно сътрудничество с цел улесняване гарантиране на прилагането на законодателството за защита на личните данни; [Изм. 142]

б)

осигуряване на международна взаимопомощ при прилагането на законодателството за защита на личните данни, включително чрез уведомяване, препращане на жалби, помощ при разследвания и обмен на информация при условие, че има подходящи гаранции за защитата на личните данни и другите основни права и свободи;

в)

включване на съответните заинтересовани страни в обсъждания и дейности, насочени към допълнително задълбочаване на международното сътрудничество за прилагането на законодателството за защита на личните данни;

г)

насърчаване на обмена и документирането на законодателството и практиките в областта на защитата на личните данни;

га)

изясняване и консултация относно спорове за компетентност с трети държави. [Изм. 143]

а)

създаването и статута на надзорния орган;

б)

необходимите квалификации, опит и умения за изпълнение на задълженията на членовете на надзорния орган;

в)

правилата и процедурите за назначаването на членовете на надзорния орган, както и правилата относно несъвместимите със служебните им задължения действия или функции;

г)

продължителността на мандата на членовете на надзорния орган, която е не по-малко от четири години, с изключение на първите назначения след влизането в сила на настоящия регламент, някои от които може да са за по-кратък срок, когато това е необходимо, за да се защити независимостта на надзорния орган посредством процедура за постепенно назначаване;

д)

дали членовете на надзорния орган могат да бъдат преназначавани;

е)

правилника и общите условия за изпълнение на задълженията на членовете и персонала на надзорния орган;

ж)

правилата и процедурите за прекратяване на задълженията на членовете и персонала на надзорния орган, включително ако престанат да отговарят на необходимите условия за изпълнение на техните задължения или са виновни за извършването на тежко провинение.

а)

наблюдава и осигурява прилагането на настоящия регламент;

б)

разглежда жалбите, подадени от субект на данни или от сдружение, представляващо субекта на данни, в съответствие с член 73, разследва техния предмет дотолкова, доколкото това е целесъобразно, и информира субекта на данни или сдружението за напредъка и резултата от жалбата в разумен срок, особено ако е необходимо по-нататъшно разследване или координиране с друг надзорен орган; [Изм. 150]

в)

обменя информация с други надзорни органи, предоставя им взаимопомощ и осигурява съгласуваното прилагане и изпълнение на настоящия регламент;

г)

провежда разследвания по своя инициатива или въз основа на жалба или при получаване на конкретна и документирана информация , в която се твърди, че е извършено неправомерно обработване, или по искане на друг надзорен орган и информира в разумен срок съответния субект на данни за резултата от разследванията, ако той е подал жалба до този надзорен орган; [Изм. 151]

д)

наблюдава съответното развитие, по-специално в областта на информационните и комуникационни технологии и търговските практики, дотолкова доколкото то оказва влияние върху защитата на личните данни;

е)

предоставя консултации на институциите и органите на държавата членка относно законодателните и административните мерки, отнасящи се до защитата на правата и свободите на физическите лица във връзка с обработването на лични данни;

ж)

разрешава и бива консултиран относно операциите по обработване, посочени в член 34;

з)

дава становища относно проектите на кодексите за поведение съгласно член 38, параграф 2;

и)

одобрява задължителните фирмени правила съгласно член 43;

й)

участва в дейностите на Европейския комитет по защита на данните;

йа)

сертифицира администраторите и обработващите лични данни съгласно член 39.

а)

да уведомява администратора или обработващия лични данни за предполагаемо нарушение на разпоредбите, уреждащи обработването на лични данни, и при необходимост да разпорежда на администратора или обработващия лични данни да отстрани това нарушение по конкретен начин, за да се подобри защитата на субекта на данни , или да задължи администратора да съобщи на субекта на данните за нарушението по отношение на личните данни ;

б)

да разпорежда на администратора или на обработващия лични данни да изпълни исканията на субекта на данни, свързани с упражняването на правата, предоставени с настоящия регламент;

в)

да разпорежда на администратора или на обработващия лични данни и, когато е приложимо, на неговия представител да предостави всякаква значима информация за изпълнението на неговите задължения;

г)

да осигурява спазването на изискванията за предварителните разрешения и предварителните консултации, посочени в член 34;

д)

да отправя предупреждения или порицания до администратора или обработващия лични данни;

е)

да разпорежда коригирането, заличаването или унищожаването на всички данни, когато са били обработени в нарушение на разпоредбите на настоящия регламент, както и уведомяването за тези действия на трети страни, пред които са били разкрити данните;

ж)

да налага временна или окончателна забрана за обработване;

з)

да преустановява потоци от данни към получател в трета държава или към международна организация;

и)

да дава становище по всякакви въпроси, свързани със защитата на личните данни;

иа)

да сертифицира администраторите и обработващите лични данни съгласно член 39;

й)

да информира националните парламенти, правителството или други политически институции, както и обществеността относно всякакви въпроси, свързани със защитата на личните данни;

йа)

да въведе ефективни механизми за насърчаване на поверителното докладване на нарушения на настоящия регламент, като се вземат предвид насоките, дадени от Европейския комитет по защита на данните, съгласно член 66, параграф 4б.

а)

достъп до всички лични данни и до цялата всички документи и информация, необходима необходими за изпълнението на своите функции;

б)

достъп до всички негови помещения, включително до оборудване и средства за обработване на данни, когато съществуват разумни основания да се предполага, че в тях се осъществява дейност в нарушение на настоящия регламент.