ОБЯСНИТЕЛЕН МЕМОРАНДУМ

1. КОНТЕКСТ НА ПРЕДЛОЖЕНИЕТО

В настоящият обяснителен меморандум се разяснява по-подробно подходът към новата правна рамка за защитата на личните данни в ЕС, както е представена в Съобщение COM (2012) 9 final. Правната рамка се състои от две законодателни предложения:

– предложение за регламент на Европейския парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни (общ регламент относно защитата на данните) и

– предложение за директива на Европейския парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции и относно свободното движение на такива данни.

Настоящият обяснителен меморандум се отнася за второто законодателно предложение.

Основополагащият документ на съществуващото законодателство на ЕС относно защитата на личните данни, Директива 95/46/ЕО[1], беше приета през 1995 г. с две предвидени цели: да бъде защитено основното право на защита на данните и да се гарантира свободното движение на лични данни между държавите-членки. Тя бе допълнена от няколко инструмента, съдържащи специални правила за защита на данните в областта на полицейското и съдебното сътрудничество по наказателноправни въпроси[2] (предишен трети стълб), сред които и Рамково решение 2008/977/ПВР[3].

Европейският съвет прикани Комисията да извърши оценка на функционирането на инструментите на ЕС за защита на данните и да представи, където е необходимо, допълнителни законодателни или незаконодателни инициативи[4]. В резолюцията си относно Стокхолмската програма Европейският парламент[5] приветства създаването на цялостен режим за защита на данните в ЕС и призова, между другото, за преразглеждане на рамковото решение. В своя План за действие за изпълнение на Стокхолмската програма[6] Комисията подчерта необходимостта да се гарантира, че основното право на защита на личните данни се прилага по съгласуван начин в контекста на всички политики на ЕС. В Плана за действие бе подчертано, че „в глобално общество, което се характеризира с бързи технологични промени и в което обменът на информация не признава граници, от особено значение е правото на личен живот да бъде запазено. Съюзът трябва да гарантира, че основното право на защита на данните се прилага по последователен начин. Необходимо е да се укрепи позицията на ЕС относно защитата на личните данни на отделния човек в контекста на всички политики на ЕС, включително правоприлагането и предотвратяването на престъпления, както и в международните отношения.“

В своето съобщение „Всеобхватен подход за защита на личните данни в Европейския съюз“[7], Комисията достигна до заключението, че ЕС се нуждае от по-цялостна и съгласувана политика относно основното право на защита на личните данни.

Рамково решение 2008/977/ПВР има ограничено приложно поле, тъй като се прилага единствено за трансграничното обработване на данни, но не и за дейностите по обработване на данни от страна на полицейските и съдебните органи на чисто национално равнище. Това може да създаде затруднения за полицейските и другите компетентни органи в областите на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество. Те невинаги могат лесно да разграничат чисто националното от трансграничното обработване или да предвидят дали определени лични данни могат да станат обект на трансграничен обмен на по-късен етап (вж. раздел 2 по-долу). От друга страна, поради естеството и съдържанието си Рамковото решение оставя на държавите-членки голяма свобода на действие при транспониране на разпоредбите му в националното законодателство. Освен това то не съдържа механизъм или консултативна група, подобна на работната група по член 29, които да спомагат за общото тълкуване на неговите разпоредби, нито предвижда изпълнителни правомощия за Комисията, за да гарантира общ подход при изпълнението му.

В член 16, параграф 1 от Договора за функционирането на Европейския съюз (ДФЕС) е установен принципът, че всеки има право на защита на личните данни. Освен това с член 16, параграф 2 от ДФЕС Договорът от Лисабон въвежда специално правно основание за приемането на разпоредби относно защитата на личните данни, което се прилага и спрямо съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество. В член 8 от Хартата на основните права на ЕС защитата на личните данни е залегнала като основно право. Член 16 от ДФЕС налага на законодателя да установи разпоредби относно защитата на физическите лица във връзка с обработването на лични данни също и в областите на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество, които да обхващат както трансграничното обработване на лични данни, така и обработването на национално ниво. Това ще даде възможност да се защитят основните права и свободи на физическите лица, и по-специално правото им на защита на личните данни, като същевременно ще гарантира обмена на лични данни за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции. Това ще допринесе за улесняване на сътрудничеството при борбата срещу престъпността в Европа.

Поради специфичното естество на областта на полицейското и съдебното сътрудничество по наказателноправни въпроси, в Декларация 21[8] беше признато, че може да са необходими специфични правила относно защитата на личните данни и свободното движение на тези данни в областите на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество, на основание член 16 от ДФЕС.

2. РЕЗУЛТАТИ ОТ КОНСУЛТАЦИИТЕ СЪС ЗАИНТЕРЕСОВАНИТЕ СТРАНИ И ОЦЕНКИ НА ВЪЗДЕЙСТВИЕТО

Настоящата инициатива е резултат от обширни консултации с всички основни заинтересовани страни относно прегледа на съществуващата правна рамка за защита на личните данни, като те включваха две фази на обществени консултации:

– от 9 юли до 31 декември 2009 г. — Консултация относно правната рамка за основното право на защита на личните данни. Комисията получи 168 отговора — 127 от физически лица, стопански организации и сдружения и 12 от публични органи. Неповерителна версия на отговорите може да бъде намерена на уебсайта на Комисията[9].

– от 4 ноември 2010 г. до 15 януари 2011 г. — Консултация относно всеобхватния подход на Комисията за защита на личните данни в Европейския съюз. Комисията получи 305 отговора, от които 54 от граждани, 31 от публични органи и 220 от частни организации, по-специално стопански сдружения и неправителствени организации. Неповерителна версия на отговорите може да бъде намерена на уебсайта на Комисията[10].

Акцентът при тези консултации беше поставен до голяма степен върху прегледа на Директива 95/46/ЕО. Същевременно с участието на заинтересовани лица от сферата на правоприлагането бяха организирани целенасочени консултации. По-специално, на 29 юни 2010 г. беше организиран работен семинар с органите на държавите-членки относно прилагането на правилата за защита на данните спрямо публичните органи, включително в областта на полицейското сътрудничество и съдебното сътрудничество по наказателноправни въпроси. Освен това на 2 февруари 2011 г. Комисията проведе работен семинар с органите на държавите-членки, на който бе обсъдено изпълнението на Рамково решение 2008/977/ПВР и, в по-общ план, въпросите, свързани със защитата на данните, в областта на полицейското сътрудничество и съдебното сътрудничество по наказателноправни въпроси.

Допитване до гражданите на ЕС беше направено чрез проучване на Евробарометър, проведено в периода ноември—декември 2010 г.[11] Също така бяха проведени няколко изследвания.[12] Работната група по член 29[13] представи няколко становища и полезна информация на Комисията[14]. Европейският надзорен орган по защита на данните също издаде всеобхватно становище по въпросите, повдигнати в съобщението на Комисията от ноември 2010 г.[15]

Европейският парламент одобри със своята резолюция от 6 юли 2011 г. доклад, в който се подкрепя подходът на Комисията към реформирането на рамката за защита на данните.[16] На 24 февруари 2011 г. Съветът на Европейския съюз прие заключения, в които широко подкрепя намерението на Комисията да реформира рамката за защита на данните и дава съгласието си за много елементи от подхода на Комисията. По същия начин Европейският икономически и социален комитет подкрепи общия стремеж на Комисията да гарантира по-съгласувано прилагане на разпоредбите на ЕС за защита на данните във всички държави-членки и подходящо преразглеждане на Директива 95/46/ЕО[17].

В съответствие със своята политика за „по-добро регулиране“ Комисията извърши оценка на въздействието на вариантите за политика[18]. Оценката на въздействието беше основана на трите цели на политиката: подобряване на свързаното с вътрешния пазар измерение на защитата на данните, повишаване на ефективността на упражняването на правата на защита на данните от физическите лица и създаване на цялостна и съгласувана рамка, която обхваща всички области на компетентност на Съюза, включително полицейското сътрудничество и съдебното сътрудничество по наказателноправни въпроси. Във връзка с последната цел беше направена оценка на два варианта за политика. Първият вариант за политика разширява обхвата на разпоредбите за защита на данните в тази област, отстранява пропуските и дава решение на други въпроси, повдигнати в Рамковото решение, а вторият вариант за политика е с по-широк обхват и съдържа много нормативни предписания и строги правила, които ще доведат до незабавното изменение на всички други инструменти от предишния трети стълб. Третият вариант за политика, който беше „минималистичен“, се основаваше до голяма степен на тълкувателни съобщения и мерки за подкрепа на политиката, като програми за финансиране и технически инструменти, и предвиждаше минимална законодателна намеса. Преценено беше, че този вариант не е подходящ за решаване на установените в тази сфера проблеми във връзка със защитата на данните.

В съответствие с установената методология на Комисията всеки от вариантите за политика беше оценен с участието на Междуведомствена ръководна група по отношение на неговата ефективност за постигането на целите на политиката, неговото икономическо въздействие върху заинтересованите страни (включително върху бюджета на институциите на ЕС), неговото социално въздействие и неговите последици за основните права. Не беше установено въздействие върху околната среда.

Анализът на цялостното въздействие доведе до разработване на предпочетения вариант за политика, който е включен в настоящото предложение. Според оценката на въздействието изпълнението на този вариант за политика ще помогне за допълнителното укрепване на защитата на данните в тази област на политиката, по-специално чрез включването на национално обработване на данните, като по този начин ще се повиши правната сигурност за компетентните органи в сферата на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество.

На 9 септември 2011 г. Комитетът за оценка на въздействието (КОВ) изрази становище относно проекта на оценката на въздействието. След становището на КОВ бяха направени следните промени в оценката на въздействието:

– бяха пояснени целите на съществуващата правна рамка (степента, до която те са постигнати и до която не са), както и целите на предвидената реформа;

– бяха добавени повече данни и допълнителни обяснения/пояснения към раздела за определяне на проблемите.

Комисията подготви също така доклад за изпълнението относно Рамково решение 2008/977/ПВР въз основа на член 29, параграф 2 от него, който ще бъде приет като част от настоящия пакет относно защитата на данните[19]. Констатациите от доклада, който е изготвен въз основа на информация от държавите-членки, бяха използвани и при подготвянето на оценката на въздействието.

3. ПРАВНИ ЕЛЕМЕНТИ НА ПРЕДЛОЖЕНИЕТО 3.1. Правно основание

Предложението се основава на член 16, параграф 2 от ДФЕС, който е новото специално правно основание, въведено с Договора от Лисабон за приемане на разпоредби в областта на защитата на физическите лица при обработването на лични данни от институциите, органите, службите и агенциите на Съюза, както и от държавите-членки, когато извършват дейности, които попадат в обхвата на законодателството на Съюза, и за приемане на разпоредби във връзка със свободното движение на тези данни.

Предложението има за цел да гарантира съгласувано и високо ниво на защита на данните в тази област, като по този начин повишава взаимното доверие между полицията и съдебните органи на различните държави-членки и улеснява свободното движение на данни и сътрудничеството между полицейските и съдебните органи.

3.2. Субсидиарност и пропорционалност

Съгласно принципа на субсидиарност (член 5, параграф 3 от ДЕС) действия на равнището на Съюза се предприемат само в случай и доколкото предвидените цели не могат да бъдат постигнати в достатъчна степен от държавите-членки, но могат поради обхвата или последиците от предвиденото действие да бъдат по-добре постигнати от Съюза. Предвид очертаните по-горе проблеми, анализът на субсидиарността показва необходимостта от действие на равнище ЕС в областта на полицейското сътрудничество и наказателното правосъдие въз основа на следните съображения:

– Правото на защита на личните данни, залегнало в член 8 от Хартата на основните права и член 16, параграф 1 от ДФЕС, изисква еднакво ниво на защита на данните в целия Съюз. Същото ниво на защита е необходимо и за обмена и обработването на данни на национално равнище.

– Все по-често се налага правоприлагащите органи в държавите-членки да обработват и обменят данни с бързо нарастващо темпо за целите на предотвратяването на международната престъпност и тероризма и борбата с тях. В този контекст наличието на ясни и последователни правила относно защитата на данните на равнище ЕС ще допринесе за насърчаване на сътрудничеството между тези органи.

– Освен това съществуват практически предизвикателства пред прилагането на законодателството за защита на данните и е необходимо сътрудничество между държавите-членки и техните органи, които трябва да бъдат организирани на равнище ЕС, за да се гарантира единство на прилагането на правото на Съюза. В някои случаи ЕС е в най-добра позиция да гарантира ефективно и съгласувано еднакво ниво на защита за физическите лица, когато техните лични данни се предават на трети държави.

– Държавите-членки не могат сами да ограничат проблемите в сегашната ситуация, особено онези, които се дължат на фрагментарността в националните законодателства. Ето защо има особена нужда да се установи хармонизирана и съгласувана рамка, която позволява безпрепятственото предаване на лични данни през границите в рамките на ЕС, като същевременно се гарантира ефективна защита за всички физически лица на територията на ЕС.

– Предложените законодателни действия на равнище ЕС се очаква да бъдат по-ефективни от подобни действия на равнище държави-членки поради естеството и мащаба на проблемите, които не са ограничени до равнището на една или няколко държави-членки.

Принципът на пропорционалност изисква всяка намеса да бъде целенасочена и да не надхвърля необходимото за постигане на целите. Процесът на изготвяне на настоящото предложение бе ръководен от този принцип от идентифицирането и оценката на алтернативните варианти за политика до изготвянето на законодателното предложение.

Директивата следователно е най-добрият инструмент, чрез който може да се осигури хармонизиране на равнище ЕС в тази област, като в същото време държавите-членки запазват необходимата гъвкавост при прилагането на принципите и разпоредбите и изключенията от тях на национално равнище. Като се има предвид колко сложни са действащите национални разпоредби за защита на личните данни, обработвани в областта на полицейското сътрудничество и съдебното сътрудничество по наказателноправни въпроси, и като се вземе под внимание целта за всеобхватно хармонизиране на тези разпоредби чрез настоящата директива, Комисията ще трябва да поиска от държавите-членки да представят документи, в които се обяснява връзката между компонентите на директивата и съответстващите части на националните инструменти за транспониране, за да може да изпълни задачата си по упражняването на надзор върху транспонирането на директивата.

3.3. Обобщение на въпросите, свързани с основните права

Правото на защита на личните данни е установено в член 8 от Хартата на основните права на ЕС и в член 16 от ДФЕС, както и в член 8 от Европейската конвенция за защита на правата на човека. Както е подчертано от Съда на Европейския съюз[20], правото на защита на личните данни не е абсолютно право, а трябва да се разглежда във връзка с неговата функция в обществото[21]. Защитата на данните е тясно свързана със зачитането на личния и семейния живот, защитен с член 7 от Хартата. Това е отразено в член 1, параграф 1 от Директива 95/46/ЕО, където се предвижда държавите-членки да защитават основните права и свободи на физическите лица и в частност правото им на личен живот при обработването на лични данни.

Други потенциално засегнати основни права, залегнали в Хартата, са следните: забраната на всякаква форма на дискриминация въз основа, между другото, на раса, етнически произход, генетични характеристики, религия или убеждения, политически или други мнения, увреждане или сексуална ориентация (член 21), правата на детето (член 21) и правото на ефективни правни средства за защита и на справедлив съдебен процес (член 47).

3.4. Подробно обяснение на предложението 3.4.1. ГЛАВА I — ОБЩИ РАЗПОРЕДБИ

В член 1 се определя предметът на директивата, т.е. правила, отнасящи до обработването на лични данни за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции, както и нейната двойна цел, а именно да защитава основните права и свободи на физическите лица, и по-специално тяхното право на защита на личните данни, и да гарантира обмена на лични данни между компетентните органи в рамките на Съюза.

В член 2 се определя приложното поле на директивата. Приложното поле на директивата не е ограничено до трансграничното обработване на данни, а обхваща всички дейности по обработване, извършвани от „компетентните органи“ (както са определени в член 3, параграф 14) за целите на директивата. Директивата не се прилага по отношение на обработването в хода на дейност, която остава извън приложното поле на законодателството на Съюза, нито по отношение на обработването от страна на институциите, органите, службите и агенциите на Съюза, което е предмет на Регламент (ЕО) № 45/2001 и на друго специално законодателство.

Член 3 съдържа определенията на термините, използвани в директивата. Докато някои определения са заети от Директива 95/46/ЕО и Рамково решение 2008/977/ПВР, други са изменени, допълнени с добавени елементи или нововъведени. Нови са определенията за „нарушение на сигурността на личните данни“, „генетични данни“ и „биометрични данни“, „компетентни органи“ (основана на член 87 от ДФЕС и член 2, буква з) от Рамково решение 2008/977/ПВР) и „дете“, основана на Конвенцията на ООН за правата на детето[22].

3.4.2. ГЛАВА II — ПРИНЦИПИ

В член 4 се определят принципите, отнасящи се за обработването на лични данни, които съответстват на принципите, посочени в член 6 от Директива 95/46/ЕО и член 3 от Рамково решение 2008/977/ПВР, като едновременно с това те са адаптирани към контекста на настоящата директива.

В член 5 се прави разграничение, доколкото е възможно, между личните данни на различните категории субекти на данни. Това е нова разпоредба, която не се съдържа нито в Директива 95/46/ЕО, нито в Рамково решение 2008/977/ПВР, но която Комисията бе включила в първоначалното си предложение за рамковото решение[23]. Тази нова разпоредба е вдъхновена от Препоръка № R (87)15 на Съвета на Европа. Подобни правила вече съществуват за Европол[24] и Евроюст[25].

Член 6 относно различните степени на точност и надеждност отразява принцип 3.2 от Препоръка № R (87)15 на Съвета на Европа. Подобни правила, каквито бяха включени и в предложението на Комисията за рамковото решение, съществуват за Европол[26].

В член 7 се посочват основанията за законосъобразно обработване — когато обработването е необходимо за изпълнението на задача, осъществявана от компетентен орган съгласно националното законодателство, когато се извършва с цел спазването на законово задължение, на което администраторът на данните е обект, или когато се извършва, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго лице, или за предотвратяване на непосредствена и сериозна заплаха за обществената сигурност. Останалите основания за законосъобразно обработване в член 7 от Директива 95/46/ЕО не са подходящи за обработването в сферата на полицията и наказателното правосъдие.

В член 8 се определя обща забрана за обработване на специални категории лични данни и изключенията от това общо правило, с което се доразвива член 8 от Директива 95/46/ЕО и се добавят генетичните данни съгласно съдебната практика на Европейския съд по правата на човека[27].

В член 9 се забраняват мерките, основаващи се единствено на автоматизирано обработване на личните данни, освен ако такова обработване не е разрешено със закон, който осигурява и подходящи мерки за защита, в съответствие с член 7 от Рамково решение 2008/977/ПВР.

3.4.3. ГЛАВА III — ПРАВА НА СУБЕКТА НА ДАННИ

С член 10 се въвежда задължението държавите-членки да осигуряват лесно достъпна и разбираема информация, обусловена по-специално от принцип 10 от резолюцията от Мадрид относно международните стандарти за защита на личните данни и неприкосновеността на личния живот[28], и да задължат администраторите на данни да осигурят процедури и механизми, които да улесняват упражняването на правата на субектите на данни. Това включва изискването да не се заплаща за упражняването на правата.

В член 11 се уточнява задължението държавите-членки да предвидят гаранции за информирането на субекта на данни. Тези задължения доразвиват членове 10 и 11 от Директива 95/46/ЕО без отделни членове, в които да се прави разграничение дали информацията е събрана от субекта на данни или не. Освен това се разширява информацията, която трябва да бъде предоставена. В този член се определят условията за освобождаване от задължението за информиране, когато такова освобождаване е пропорционално и необходимо в едно демократично общество, за да могат компетентните органи да упражняват функциите си (обусловено от член 13 от Директива 95/46/ЕО и член 17 от Рамково решение 2008/977/ПВР).

В член 12 се предвижда задължението държавите-членки да гарантират правото на достъп на субекта на данни до неговите лични данни. Този член следва член 12, буква а) от Директива 95/46/ЕО, като се добавят нови елементи за информацията на субектите на данни (относно срока на съхранение, правото им на коригиране, заличаване или ограничаване и правото на подаване на жалба).

В член 13 се предвижда, че държавите-членки могат да приемат законодателни мерки, които ограничават правото на достъп, когато това се изисква от специфичния характер на обработването на данните в областта на полицията и наказателното правосъдие, както и законодателни мерки за информиране на субекта на данни за ограничаване на достъпа, като се следва член 17, параграфи 2 и 3 от Рамково решение 2008/977/ПВР.

С член 14 се въвежда правилото, че в случаите, при които прекият достъп е ограничен, субектът на данни трябва да бъде информиран за възможността за непряк достъп с посредничеството на надзорния орган, който трябва да упражни правото на достъп от името на субекта на данни и да го информира за резултата от своите проверки.

Член 15 относно правото на коригиране следва член 12, буква б) от Директива 95/46/ЕО, а що се отнася до задълженията в случай на отказ — член 18, параграф 1 от Рамково решение 2008/977/ПВР.

Член 16 относно правото на заличаване следва член 12, буква б) от Директива 95/46/ЕО, а що се отнася до задълженията в случай на отказ, член 18, параграф 1 от Рамково решение 2008/977/ПВР. Той включва също така правото на маркиране на обработването в някои случаи, с което се заменя двусмисленият термин „блокиране“, използван в член 12, буква б) от Директива 95/46/ЕО и член 18, параграф 1 от Рамково решение 2008/977/ПВР.

В член 17 относно коригирането, заличаването и ограничаването на обработването при съдебни производства се дава пояснение, основано на член 4, параграф 4 от Рамково решение 2008/977/ПВР.

3.4.4. ГЛАВА IV — АДМИНИСТРАТОР И ОБРАБОТВАЩ ЛИЧНИ ДАННИ 3.4.4.1. РАЗДЕЛ 1 ОБЩИ ЗАДЪЛЖЕНИЯ

В член 18 се описва отговорността на администратора за спазване на разпоредбите на настоящата директива и за осигуряване на съгласуваност, включително чрез приемането на политики и механизми за осигуряването на съгласуваност.

В член 19 се посочва, че държавите-членки трябва да гарантират, че администраторът спазва задълженията, произтичащи от принципите на защита на данните още при проектирането и по подразбиране.

В член 20 относно съвместните администратори се разяснява статутът на съвместните администратори предвид техните вътрешни отношения.

В член 21 се разясняват позицията и задълженията на обработващите лични данни, отчасти въз основа на член 17, параграф 2 от Директива 95/46/ЕО, като се добавят нови елементи, включително това, че обработващият лични данни, който обработва данни извън указанията на администратора, следва да се счита за съвместен администратор.

Член 22 относно обработването под ръководството на администратора и обработващия лични данни се основава на член 16 от Директива 95/46/ЕО.

С член 23 се въвежда задължението администраторите и обработващите лични данни да поддържат документация за всички системи и процедури по обработване, за които носят отговорност.

Член 24 се отнася до воденето на записи в съответствие с член 10, параграф 1 от Рамково решение 2008/977, като се правят и допълнителни пояснения.

В член 25 се разясняват задълженията на администратора и на обработващия лични данни по отношение на сътрудничеството с надзорния орган.

Член 26 се отнася за случаите, при които преди обработването е задължително да се проведе консултация с надзорния орган въз основа на член 23 от Рамково решение 2008/977/ПВР.

3.4.4.2. РАЗДЕЛ 2 СИГУРНОСТ НА ДАННИТЕ

Член 27 относно сигурността на обработването се основава на настоящия член 17, параграф 1 от Директива 95/46/ЕО относно надеждността на обработването и член 22 от Рамково решение 2008/977/ПВР, като свързаните с това задължения се разширяват, така че да обхванат обработващите лични данни, независимо от договора с администратора.

С членове 28 и 29 се въвежда задължение за уведомяване при нарушение на сигурността на личните данни, обусловено от уведомлението за нарушение на сигурността на личните данни в член 4, параграф 3 от Директива 2002/58/EО за правото на неприкосновеност на личния живот в сектора на електронните комуникации, като се разясняват и разделят задълженията да се уведоми надзорният орган (член 28) и да се уведоми при определени обстоятелства субектът на данни (член 29). В член 29 се предвиждат също така изключения от посоченото задължение, като се препраща към член 11, параграф 4.

3.4.4.3. РАЗДЕЛ 3 ДЛЪЖНОСТНО ЛИЦЕ ПО ЗАЩИТА НА ДАННИТЕ

В член 30 се въвежда задължението администраторът да назначи длъжностно лице по защита на данните, което следва да изпълнява изброените в член 32 функции. Когато няколко компетентни органа действат под надзора на централен орган, който изпълнява функциите на администратор, поне този централен орган следва да назначи такова длъжностно лице по защита на данните. Член 18, параграф 2 от Директива 95/46/ЕО осигури възможността държавите-членки да въведат такова изискване като заместител на изискването за общо уведомление от тази директива.

В член 31 се определя длъжността на длъжностното лице по защита на данните.

В член 32 се посочват задачите на длъжностното лице по защита на данните.

3.4.5. ГЛАВА V — ПРЕДАВАНЕ НА ЛИЧНИ ДАННИ НА ТРЕТИ ДЪРЖАВИ ИЛИ МЕЖДУНАРОДНИ ОРГАНИЗАЦИИ

В член 33 се определят общите принципи за предаване на данни на трети държави или международни организации в сферата на полицейското сътрудничество и съдебното сътрудничество по наказателноправни въпроси, включително последващи предавания. В него се пояснява, че данни се предават на трети държави единствено ако това е необходимо за предотвратяването, разследването, разкриването или наказателното преследване на престъпления или за изпълнението на наказателни санкции.

В член 34 се посочва, че данни могат да се предават на трета държава, по отношение на която Комисията е приела решение относно адекватността съгласно Регламент …./../201X, или конкретно в сферата на полицейското сътрудничество и съдебното сътрудничество по наказателноправни въпроси, или, при липсата на такова решение, когато съществуват подходящи предпазни мерки. Докато не бъдат приети решения относно адекватността, чрез директивата се гарантира, че предаванията на данни могат да продължат въз основа на подходящи предпазни мерки и дерогации. Освен това в този член се определят критериите, които Комисията използва при оценката си на адекватното или неадекватното ниво на защита, и изрично се включват правовата държава, съдебната защита и независимия надзор. В него изрично се предвижда възможността Комисията да оцени нивото на защита, осигурено от дадена територия или обработващ сектор в дадена трета държава. Съгласно този член общо решение относно адекватността, прието съгласно процедурите по член 38 от Общия регламент за защита на данните, се прилага в рамките на приложното поле на настоящата директива. Комисията може да приеме решение относно адекватността изключително за целите на настоящата директива.

В член 35 се определят целесъобразните предпазни мерки, които са необходими преди извършването на международни предавания на данни, когато няма решение на Комисията относно адекватността. Тези предпазни мерки могат да бъдат въведени чрез правно обвързващ инструмент като международно споразумение. Въз основа на оценка на обстоятелствата около прехвърлянето администраторът на данни може да заключи, че има такива предпазни мерки.

В член 36 се определят дерогациите за предаването на данни въз основа на член 26 от Директива 95/46/ЕО и член 13 от Рамково решение 2008/977/ПВР.

Съгласно член 37 държавите-членки са задължени да гарантират, че администраторът уведомява получателя за всички ограничения, свързани с обработването, и предприема всички разумни действия, за да гарантира, че получателите на личните данни в съответната трета държава или международна организация спазват тези ограничения.

В член 38 изрично се предвиждат механизми за международно сътрудничество за защитата на личните данни, които се установяват между Комисията и надзорните органи на трети държави, по-специално онези, за които се счита, че предлагат адекватно ниво на защита, като се взема предвид препоръката на Организацията за икономическо сътрудничество и развитие (ОИСР) относно трансграничното сътрудничество при прилагането на законите за защита на неприкосновеността на личния живот от 12 юни 2007 г.

ГЛАВА VI — НАЦИОНАЛНИ НАДЗОРНИ ОРГАНИ

3.4.5.1. РАЗДЕЛ 1 НЕЗАВИСИМ СТАТУТ

С член 39 държавите-членки се задължават да създадат надзорни органи на основание член 28, параграф 1 от Директива 95/46/ЕО и член 25 от Рамково решение 2008/977/ПВР, като разширят техните правомощия, за да допринесат за съгласуваното прилагане на директивата в рамките на Съюза, като това може да бъде надзорният орган, създаден съгласно Общия регламент за защита на данните.

В член 40 се разясняват условията за независимостта на надзорните органи, като се въвежда съдебната практика на Съда на Европейския съюз[29], обусловени също от член 44 от Регламент (ЕО) № 45/2001[30].

В член 41 са посочени общите условия за членовете на надзорния орган, като се въвежда съответната съдебна практика[31], обусловени също от член 42, параграфи 2—6 от Регламент (ЕО) № 45/2001.

В член 42 се определят правилата за създаване на надзорния орган, включително условията, отнасящи се за неговите членове, които трябва да се предвидят със закон от държавите-членки.

Член 43 относно професионалната тайна, която трябва да пазят членовете и персонала на надзорния орган, следва член 28, параграф 7 от Директива 95/46/ЕО и член 25, параграф 4 от Рамково решение 2008/977/ПВР.

3.4.5.2. РАЗДЕЛ 2 ЗАДЪЛЖЕНИЯ И ПРАВОМОЩИЯ

В член 44 се определя компетентността на надзорните органи въз основа на член 28, параграф 6 от Директива 95/46/ЕО и член 25, параграф 1 от Рамково решение 2008/977/ПВР. Съдилищата, когато действат в качеството си на правораздавателни органи, са освободени от наблюдението, осъществявано от надзорния орган, но не и от прилагането на материалните разпоредби относно защитата на данните.

В член 45 се предвижда задължението държавите-членки да определят задълженията на надзорния орган, които включват изслушване и разследване на жалби и насърчаване на обществената информираност относно рисковете, правилата, гаранциите и правата. Конкретно задължение на надзорните органи в контекста на настоящата директива е при отказ или ограничение на прекия достъп да упражнят правото на достъп от името на субектите на данни и да проверяват законосъобразността на обработването на данните.

В член 46 са посочени правомощията на надзорния орган въз основа на член 28, параграф 3 от Директива 95/46/ЕО и член 25, параграфи 2 и 3 от Рамково решение 2008/977/ПВР. Съгласно член 47 надзорните органи са задължени да изготвят годишни доклади за дейността въз основа на член 28, параграф 5 от Директива 95/46/ЕО.

3.4.6. ГЛАВА VII — СЪТРУДНИЧЕСТВО

С член 48 се въвеждат правила относно задължителната взаимопомощ, докато член 28, параграф 6, втора алинея от Директива 95/46/ЕО предвиждаше само общо задължение за сътрудничество без повече уточнения.

В член 49 се посочва, че Европейският консултативен комитет по защита на данните, създаден с Общия регламент за защита на данните, упражнява своите функции и по отношение на дейностите по обработване в рамките на настоящата директива. С цел оказването на допълнителна подкрепа Комисията ще търси мнението на представителите на органите на държавите-членки, които са компетентни за предотвратяването, разследването, разкриването и наказателното преследване на престъпления, както и от представители на Европол и Евроюст, чрез използването на експертна група по въпросите на правоприлагането, свързано с аспектите на защитата на данните.

3.4.7. ГЛАВА VIII — СРЕДСТВА ЗА ПРАВНА ЗАЩИТА, ОТГОВОРНОСТ ЗА ПРИЧИНЕНИ ВРЕДИ И САНКЦИИ

Член 50 дава правото на всеки субект на данни да подава жалба до надзорния орган въз основа на член 28, параграф 4 от Директива 95/46/ЕО и се отнася за всяко нарушение на директивата във връзка с жалбоподателя. В него се посочват също структурите, организациите или сдруженията, които имат право да подават жалби от името на субекта на данни и, в случай на нарушение на сигурността на личните данни, независимо от вече подадена жалба на субекта на данни.

Член 51 се отнася до правото на средства за съдебна защита срещу надзорен орган. Този член доразвива общите разпоредби на член 28, параграф 3 от Директива 95/46/ЕО и предвижда по-конкретно, че субектът на данни може да заведе съдебен иск, за да задължи надзорния орган да предприеме действие по жалба.

Член 52 се отнася до правото на средства за съдебна защита срещу администратор или обработващ лични данни въз основа на член 22 от Директива 95/46/ЕО и член 20 от Рамково решение 2008/977/ПВР.

В член 53 се определят общите правила за съдебните производства, включително правата на органите, организациите или сдруженията да представляват субектите на данни пред съдилищата и правото на надзорните органи да участват в съдебни производства. Задължението на държавите-членки да осигурят бързи съдебни производства се основава на член 18, параграф 1 от Директива 2000/31/ЕО за електронната търговия[32].

Член 54 задължава държавите-членки да предвидят право на обезщетение. Той доразвива разпоредбите на член 23 от Директива 95/46/ЕО и член 19, параграф 1 от Рамково решение 2008/977/ПВР, разширява правото на обезщетение при вреди, причинени от обработващи лични данни, и разяснява отговорността на съвместните администратори и съвместните обработващи лични данни.

С член 55 държавите-членки се задължават да определят правила за санкциите, да санкционират нарушенията на директивата и да гарантират тяхното изпълнение.

3.4.8. ГЛАВА X — ДЕЛЕГИРАНИ АКТОВЕ И АКТОВЕ ЗА ИЗПЪЛНЕНИЕ

Член 56 съдържа стандартните разпоредби за упражняване на делегирането съгласно член 290 от ДФЕС. Това позволява на законодателя да делегира на Комисията правомощието да приема незаконодателни актове от общ характер, които допълват или изменят определени несъществени елементи на законодателния акт (квазизаконодателни актове).

Член 57 съдържа разпоредба за процедурата на комитет, необходима за предоставяне на изпълнителни правомощия на Комисията в случаите, при които в съответствие с член 291 от ДФЕС са необходими еднакви условия за изпълнение на правно обвързващи актове на Съюза. Прилага се процедура по разглеждане.

3.4.9. ГЛАВА X — ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ

С член 58 се отменя Рамково решение 2008/977/ПВР.

В член 59 се посочва, че специалните разпоредби относно обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции, съдържащи се в актове на Съюза, приети преди датата на приемане на настоящата директива, с които се регламентират обработването на лични данни или достъпът до информационни системи в рамките на директивата, остават незасегнати.

В член 60 се изяснява връзката на директивата със сключени по-рано международни споразумения от държавите-членки в областта на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество.

В член 61 се предвижда задължението Комисията да оценява и докладва за изпълнението на директивата с цел да бъде оценена необходимостта от съгласуване с директивата на приетите преди това специални разпоредби, посочени в член 59.

В член 62 се определя задължението държавите-членки да транспонират директивата в своето национално законодателство и да съобщят на Комисията разпоредбите, приети в съответствие с директивата.

В член 63 се определя датата на влизане в сила на директивата.

В член 64 се определят адресатите на настоящата директива.

4.         ОТРАЖЕНИЕ ВЪРХУ БЮДЖЕТА

Законодателната финансова обосновка, придружаваща предложението за Общ регламент за защита на данните, обхваща отражението върху бюджета както на регламента, така и на настоящата директива.

2012/0010 (COD)

Предложение за

ДИРЕКТИВА НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА

относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции и относно свободното движение на такива данни

ЕВРОПЕЙСКИЯТ ПАРЛАМЕНТ И СЪВЕТЪТ НА ЕВРОПЕЙСКИЯ СЪЮЗ,

като взеха предвид Договора за функционирането на Европейския съюз, и по-специално член 16, параграф 2 от него,

като взеха предвид предложението на Европейската комисия,

след предаване на проекта на законодателния акт на националните парламенти,

след консултация с Европейския надзорен орган по защита на данните[33],

в съответствие с обикновената законодателна процедура,

като имат предвид, че:

(1) Защитата на физическите лица във връзка с обработването на лични данни е основно право. Член 8, параграф 1 от Хартата на основните права на Европейския съюз и член 16, параграф 1 от Договора за функционирането на Европейския съюз предвиждат, че всеки има право на защита на личните му данни.

(2) Обработването на личните данни е предназначено да служи на хората; принципите и правилата относно защитата на физическите лица във връзка с обработването на личните им данни следва, независимо от гражданството или местопребиваването на физическите лица, да съблюдават техните основни права и свободи и по-конкретно правото на защита на личните им данни. То следва да допринася за изграждането на пространство на свобода, сигурност и правосъдие.

(3) Бързото технологично развитие и глобализацията изправиха защитата на личните данни пред нови предизвикателства. Забележително се увеличи мащабът на събирането и споделянето на данни. Технологиите позволяват на компетентните органи да използват личните данни в безпрецедентен мащаб, за да извършват своите дейности.

(4) Това изисква улесняване на свободното движение на данни между компетентните органи в Съюза и предаването им на трети държави и международни организации, като същевременно се гарантира високо ниво на защита на личните данни. Тези развития изискват изграждане на стабилна и по-съгласувана рамка за защита на данните в Съюза, подкрепена от силно правоприлагане.

(5) Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 г. за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни[34] се прилага за всички дейности по обработване на лични данни в държавите-членки както в публичния, така и в частния сектор. Въпреки това тя не се прилага за обработването на лични данни „при извършване на дейности извън приложното поле на правото на Общността“, като например дейности в областите на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество.

(6) Рамково решение 2008/977/ПВР на Съвета от 27 ноември 2008 г. относно защитата на личните данни, обработвани в рамките на полицейското и съдебното сътрудничество по наказателноправни въпроси[35] се прилага в областите на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество. Приложното поле на това рамково решение е ограничено до обработването на лични данни, които се предават или предоставят между държавите-членки.

(7) Осигуряването на хомогенно и високо ниво на защита на личните данни на физическите лица и улесняването на обмена на лични данни между компетентните органи на държавите-членки са от решаващо значение за осигуряването на ефективно съдебно сътрудничество по наказателноправни въпроси и полицейско сътрудничество. За тази цел, нивото на защита на правата и свободите на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции трябва да бъде еднакво във всички държави-членки. Ефективната защита на личните данни навсякъде в Съюза изисква укрепване на правата на субектите на данни и на задълженията на онези, които обработват личните данни, но също и еквивалентни правомощия за наблюдение и гарантиране на спазването на правилата за защита на личните данни в държавите-членки.

(8) В член 16, параграф 2 от Договора за функционирането на Европейския съюз се предвижда, че Европейският парламент и Съветът следва да определят правилата относно защитата на физическите лица по отношение на обработването на личните данни, както и правилата относно свободното движение на такива данни.

(9) Въз основа на това в Регламент ЕС ...../2012 на Европейския парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни (общ регламент относно защитата на данните) се определят общи правила за защита на физическите лица във връзка с обработването на лични данни и за гарантиране на свободното движение на такива данни в Съюза.

(10) В Декларация 21 относно защитата на личните данни в областите на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество, приложена към заключителния акт на Междуправителствената конференция, която прие Договора от Лисабон, Конференцията признава, че може да са необходими специални правила относно защитата на личните данни и свободното движение на такива данни в областите на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество въз основа на член 16 от Договора за функционирането на Европейския съюз поради специфичното естество на тези области.

(11) Ето защо специфичното естество на тези области следва да се вземе под внимание в отделна директива, която да установи правила за защита на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции.

(12) С цел да се гарантира еднакво ниво на защита на физическите лица чрез гарантирани от закона права навсякъде в Съюза и да се предотвратят различия, възпрепятстващи обмена на лични данни между компетентните органи, с директивата следва да се предвидят хармонизирани правила за защитата и свободното движение на лични данни в областите на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество.

(13) Настоящата директива дава възможност при прилагане на нейните разпоредби да се взема предвид принципът за публичен достъп до официални документи.

(14) Защитата, предоставяна от настоящата директива, следва да се отнася за физическите лица, независимо от тяхното гражданство или местопребиваване, във връзка с обработването на лични данни.

(15) Защитата на физическите лица следва да бъде неутрална от технологична гледна точка и да не зависи от използваната техника; в противен случай това би създало сериозен риск от заобикаляне на закона. Защитата на физическите лица следва да се прилага за обработването на лични данни с автоматични средства, както и за ръчното им обработване, ако данните се съхраняват или са предназначени да се съхраняват в регистър на лични данни. Досиетата или групите от досиета, както и заглавните им страници, които не са структурирани съгласно специфични критерии, не следва да попадат в приложното поле на настоящата директива. Настоящата директива не следва да се прилага спрямо обработването на лични данни в хода на дейност, която е извън приложното поле на правото на Съюза, по-специално дейност, която се отнася до националната сигурност, или спрямо данни, обработвани от институциите, органите, службите и агенциите на Съюза, като Европол и Евроюст.

(16) Принципите за защита следва да се прилагат по отношение на всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано. За да се определи дали дадено физическо лице може да бъде идентифицирано, следва да се вземат предвид всички средства, които вероятно логично биха били използвани от администратора или от което и да е друго лице за идентифициране на посоченото лице. Принципите за защита на данните не следва да се прилагат по отношение на данни, които са приведени в анонимна форма по такъв начин, че субектът на данните вече не може да бъде идентифициран.

(17) Личните данни, отнасящи се до здравето, следва да обхващат по-специално всички данни, свързани със здравословното състояние на субекта на данните, информацията относно регистрацията на физическото лице за целите на предоставянето на здравно обслужване, информация за плащанията или за правото на ползване на здравно обслужване от лицето, номер, символ или характеристика, присвоени на дадено физическо лице с цел уникалното му идентифициране за здравни цели; всякаква информация за лицето, събрана в хода на предоставянето на здравно обслужване на това лице; информация, получена в резултат от изследването или прегледа на част от тялото или на телесно вещество, включително биологични проби; идентифициране на дадено лице като доставчик на здравно обслужване на физическото лице; или всякаква информация отнасяща се например за: заболяване, увреждане, риск от заболяване, медицинска история, клинично лечение или текущото физиологично или биомедицинско състояние на субекта на данните, независимо от източника на информация, напр. лекар или друг медицински специалист, болница, медицинско изделие или ин витро диагностично изследване.

(18) Всяко обработване на лични данни трябва да бъде добросъвестно и законосъобразно по отношение на засегнатите физически лица. По-специално, конкретните цели, за които се обработват данните следва да бъдат ясно формулирани.

(19) За целите на предотвратяването, разследването и наказателното преследване на престъпленията компетентните органи имат нужда да запазват и обработват лични данни, събрани в контекста на предотвратяването, разследването, разкриването или наказателното преследване на конкретни престъпления, извън този контекст, за да достигнат до разбиране на престъпните феномени и тенденции, да съберат информация относно организираните престъпни мрежи и да установят връзки между различни разкрити престъпления.

(20) Лични данни не следва да се обработват за цели, които са несъвместими с целта, за която данните са били събрани. Личните данни следва да са подходящи, релевантни и да не надвишават необходимото за целите, за които данните се обработват. Следва да се предприемат всички разумни мерки, за да се гарантира коригиране или заличаване на лични данни, които са неточни.

(21) Принципът за точност на данните следва да се прилага като се вземат предвид естеството и целта на съответното обработване. Особено в съдебни производства изявления, съдържащи лични данни, се основават на субективното възприемане от физически лица и в някои случаи не могат винаги да бъдат проверени. По тази причина изискването за точност не следва да се отнася за точността на изявлението, а само за факта, че е направено конкретно изявление.

(22) При тълкуването и прилагането на общите принципи, свързани с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции, следва да се вземат предвид особеностите на съответния сектор, включително конкретните цели, които се преследват.

(23) При обработването на лични данни в областите на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество е нормално да се обработват лични данни, които се отнасят за различни категории субекти на данни. Ето защо трябва да се прави ясно разграничение, доколкото това е възможно, между личните данни на различните категории субекти на данни, например заподозрени, лица, осъдени за престъпление, жертви и трети страни, като свидетели, лица, притежаващи полезна информация или данни за контакт и съучастници на заподозрени и осъдени престъпници.

(24) Личните данни следва да се разграничават въз основа на степента на тяхната точност и надеждност, доколкото това е възможно. Фактите следва да се разграничават от личните оценки, за да се гарантират както защитата на физическите лица, така и качеството и надеждността на информацията, обработвана от компетентните органи.

(25) За да бъде законосъобразно, обработването на лични данни следва да е необходимо за спазването на законово задължение, на което администраторът е обект, за изпълнението от компетентен орган на задача от обществен интерес, предвидена от закона, или за да бъдат защитени жизненоважните интереси на субекта на данните или на друго лице, или за предотвратяване на непосредствена и сериозна заплаха за обществената сигурност.

(26) На личните данни, които по своето естество са особено чувствителни що се отнася до основните права или правото на неприкосновеност на личния живот, включително генетични данни, се полага специална защита. Такива данни не следва да се обработват, освен ако обработването е изрично разрешено със закон, който предвижда подходящи мерки за защита на законните интереси на субекта на данните, или ако обработването е необходимо, за да бъдат защитени жизненоважни интереси на субекта на данните или на друго лице, или ако обработването касае данни, които явно са направени обществено достояние от субекта на данните.

(27) Всяко физическо лице следва да има право да не бъде обект на налагане на мярка, която се основава единствено на автоматизирано обработване, ако тя води до неблагоприятни правни последици за лицето, освен ако това е разрешено от закона и при условие, че са предвидени подходящи мерки за защита на законните интереси на субекта на данните.

(28) За да се даде възможност на засегнатите лица да упражняват правата си, всяка информация, предназначена за тях, следва да бъде лесно достъпна и разбираема, като се използват ясни и недвусмислени формулировки.

(29) Следва да се предвидят условия за улесняване на субектите на данни при упражняването на правата им по настоящата директива, включително механизми за безплатно искане на достъп до данни, коригиране и заличаване. Администраторът следва да бъде задължен да отговаря на исканията на субекта на данни без излишно забавяне.

(30) Принципът на добросъвестно обработване изисква субектите на данни да бъдат информирани по-специално за наличието на дейност по обработване и за нейните цели, за продължителността на съхранение на данните, за съществуването на право на достъп, коригиране или заличаване и за правото да се подават жалби. Когато данните се събират от субекта на данни, същият следва да бъде информиран и относно това дали е задължен да предостави данните и относно последствията, ако не предостави тези данни.

(31) Информацията относно обработването на лични данни, свързани със субекта на данните, следва да се предоставя на субектите в момента на събирането или, ако данните не са получени от субекта на данни, в момента на записване или в рамките на разумен срок след събирането на данните, като се вземат предвид конкретните обстоятелства, при които данните се обработват.

(32) Всяко лице следва да има право на достъп до събраните данни, които го засягат, и да упражнява това право лесно, за да бъде информирано и да проверява законосъобразността на обработването. Поради това всеки субект на данни следва да има правото да е наясно и да получава информация по-специално относно целите, за които се обработват данните, за какъв срок, кои са получателите на данните, включително в трети държави. Субектите на данните следва да могат да получават копие от личните им данни, които се обработват.

(33) На държавите-членки следва да се разреши да приемат законодателни мерки, които забавят, ограничават или водят до пропускане на информирането на субектите на данни или достъпа до техните лични данни до такава степен и за толкова време, за колкото такова частично или пълно ограничаване представлява необходима и пропорционална мярка в едно демократично общество, като надлежно се вземат под внимание законните интереси на засегнатото лице, за да се избегне възпрепятстване на официални или съдебни проучвания, разследвания или процедури, да се избегне засягане на предотвратяването, разкриването, разследването и наказателното преследване на престъпления или изпълнението на наказателни санкции, за да се защити обществената или националната сигурност или за да се защитят субектът на данните или правата и свободите на други лица.

(34) Всеки отказ или ограничаване на достъпа следва да бъдат представени в писмен вид на субекта на данните, включително фактическите или правните основания, на които се основава решението.

(35) Когато държавите-членки са приели законодателни мерки, които ограничават изцяло или частично правото на достъп, субектът на данни следва да има правото да поиска от компетентния национален надзорен орган да провери законосъобразността на обработването. Субектът на данни следва да бъде информиран за това право. Когато правото на достъп се упражнява от надзорния орган от името на субекта на данните, последният следва да бъде информиран от надзорния орган най-малко за това, че посоченият орган е извършил всички необходими проверки, както и за резултатите относно законосъобразността на въпросното обработване.

(36) Всяко лице следва да има право да поиска коригиране на неточни лични данни, отнасящи се за него, както и право на заличаване на данните, когато обработването им не е в съответствие с основните принципи, установени с настоящата директива. Когато личните данни се обработват в хода на наказателно разследване и наказателно производство, правото на получаване на информация, правото на достъп, коригиране, заличаване и ограничаване на обработването могат да се упражняват в съответствие с националните разпоредби относно съдебните производства.

(37) Следва да се въведе цялостна отговорност на администратора за всяко обработване на лични данни, извършено от него самия или от негово име. По-специално администраторът следва да гарантира съответствието на операциите по обработване с разпоредбите, приети съгласно настоящата директива.

(38) Защитата на правата и свободите на субектите на данни с оглед на обработването на лични данни изисква приемане на подходящи технически и организационни мерки, за да се гарантира, че са изпълнени изискванията на директивата. За да се гарантира съответствие с разпоредбите, приети съгласно настоящата директива, администраторът следва да одобри стратегии и да въведе подходящи мерки, които отговарят по-специално на принципите за защита на данните още при проектирането и за защита на данните по подразбиране.

(39) Защитата на правата и свободите на субектите на данни, както и отговорността, която носят администраторите и обработващите лични данни, налагат ясно определяне на отговорностите съгласно настоящата директива, включително в случаите когато администраторът определя целите, условията и средствата на обработването съвместно с други администратори или когато действие по обработване се извършва от името на администратор.

(40) Администраторът или обработващият лични данни следва да водят документация за дейностите по обработване, за да се даде възможност за упражняване на контрол за съответствие с настоящата директива. Всеки администратор и обработващ лични данни следва да бъде задължен да оказва съдействие на надзорния орган и да предоставя тази документация при поискване, за да може тя да бъде използвана при упражняване на контрол върху дейностите по обработване.

(41) За да се гарантира ефективна защита на правата и свободите на субектите на данни посредством превантивни действия, в определени случаи администраторът или обработващият данни следва да се консултират с надзорния орган преди обработването да започне.

(42) Нарушаването на сигурността на личните данни може, ако не бъде овладяно по подходящ начин и навреме, да причини вреди, включително увреждане на репутацията на засегнатото лице. Поради това, веднага щом установи такова нарушение администраторът следва да уведоми за него компетентния национален орган. Физическите лица, за чиито лични данни и неприкосновеност на личния живот подобни нарушения на сигурността могат да имат неблагоприятни последици, следва да бъдат уведомени без излишно забавяне, за да им се даде възможност да предприемат необходимите предпазни мерки. Следва да се счита, че дадено нарушение на сигурността има неблагоприятни последици върху личните данни или неприкосновеността на личния живот на дадено физическо лице, ако то може да доведе например до кражба на самоличност или измама с фалшива самоличност, телесна повреда, значително накърняване на достойнството или на репутацията във връзка с обработването на лични данни.

(43) При установяване на подробни правила за формàта и процедурите, приложими за уведомяването за нарушения на сигурността на личните данни, следва да се отдаде необходимото внимание на обстоятелствата, свързани с нарушението, включително дали личните данни са били защитени чрез подходящи технически мерки за защита, ефективно ограничаващи вероятността за извършване на злоупотреба. Освен това при такива правила и процедури следва да се отчитат законните интереси на компетентните органи в случаи, когато ранното разкриване може ненужно да попречи на разследването на обстоятелствата, свързани с нарушението на сигурността.

(44) Администраторът или обработващият лични данни следва да определи лице, което да го подпомага при осъществяването на контрол за съответствие с разпоредбите, приети съгласно настоящата директива. Едно длъжностно лице по защита на данните може да бъде назначено съвместно от няколко организационни единици на компетентния орган. Длъжностните лица по защита на данните трябва да бъдат в състояние да изпълняват своите задължения и задачи независимо и ефективно.

(45) Държавите-членки следва да гарантират, че данни се предават на трета държава единствено, ако това е необходимо за предотвратяването, разследването, разкриването или наказателното преследване на престъпления или за изпълнението на наказателни санкции и администраторът в третата държава или международната организация представлява компетентен орган по смисъла на настоящата директива. Предаване може да се извърши, ако Комисията е решила, че въпросната трета държава или международна организация гарантира адекватно ниво на защита или когато са представени подходящи гаранции.

(46) Комисията може да реши, с действие по отношение на целия Съюз, че определени трети държави или територия или обработващ данни сектор в трета държава, или международна организация предоставят адекватно ниво на защита на данните, с което се осигуряват правна сигурност и еднообразие навсякъде в Съюза по отношение на третите държави или международни организации, за които се смята, че предоставят такова ниво на защита. В тези случаи предаването на лични данни на тези държави може да се извършва, без да е необходимо допълнително разрешение.

(47) В съответствие с основните ценности, въз основа на които е създаден Съюзът, по-специално защитата на правата на човека, Комисията следва да вземе предвид как се зачитат в дадената трета държава принципите на правовата държава, достъпът до правосъдие, както и международните норми и стандарти за правата на човека.

(48) Комисията следва да може по същия начин да приеме, че дадена трета държава, или територия или обработващ данни сектор в трета държава, или дадена международна организация не предоставя адекватно ниво на защита на данните. В резултат на това предаването на лични данни на тази трета държава следва да бъде забранено, освен когато то се извършва въз основа на международно споразумение, подходящи гаранции или дерогация. Следва да се предвидят процедури за провеждането на консултации между Комисията и такива трети държави или международни организации. Подобно решение на Комисията не премахва обаче възможността за извършване на прехвърляния на данни въз основа на подходящи гаранции или на дерогация, предвидена в директивата.

(49) Прехвърляния, които не се основават на такова решение относно адекватността, следва да бъдат позволени единствено когато в правно обвързващ инструмент са предоставени подходящи гаранции, които осигуряват защитата на личните данни, или когато администраторът или обработващият лични данни е извършил оценка на всички обстоятелства около операцията по прехвърляне на данни или поредицата от такива операции и въз основа на тази оценка счита, че по отношение на защитата на личните данни съществуват подходящи гаранции. В случаите, при които липсват основания за разрешаване на прехвърляне следва да се позволи прилагането на дерогации, ако това е необходимо за защитата на жизненоважни интереси на субекта на данните или на друго лице или за гарантиране на законни интереси на субекта на данните, когато това е предвидено от правото на държавата-членка, прехвърляща личните данни, или когато то е от особено значение за предотвратяването на непосредствена и сериозна заплаха за обществената сигурност на държава-членка или на трета държава, или в отделни случаи – за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции, или в отделни случаи — за установяването, упражняването или защитата на правни претенции.

(50) Трансграничното движение на лични данни може да увеличи риска физическите лица да не могат да упражнят правата на защита на данните, за да се защитят срещу неправомерна употреба или разкриване на тези данни. В същото време надзорните органи могат да бъдат изправени пред невъзможността да разглеждат жалби или да провеждат разследвания, свързани с дейности, извършвани извън техните граници. Техните усилия за сътрудничество в трансграничния контекст могат да бъдат възпрепятствани също от недостатъчни правомощия за предотвратяване или защита, от различаващи се правни режими. Ето защо е необходимо да се насърчава по-тясното сътрудничество между надзорните органи по защита на данните, за им се помогне да обменят информация със своите международни партньори.

(51) Създаването в държавите-членки на надзорни органи, които изпълняват функциите си при пълна независимост, е съществен елемент от защитата на физическите лица по отношение на обработването на личните им данни. Надзорните органи следва да наблюдават прилагането на разпоредбите съгласно настоящата директива и да допринасят за нейното съгласувано прилагане навсякъде в Съюза с цел защита на физическите лица по отношение на обработването на личните им данни. За тази цел надзорните органи следва да си сътрудничат помежду си и с Комисията.

(52) Държавите-членки могат да възложат на надзорен орган, който вече е създаден в съответната държава-членка съгласно Регламент № (ЕС) .../2012, отговорността за изпълнението на задачите, които трябва да бъдат осъществявани от националните надзорни органи, които ще бъдат създадени съгласно настоящата директива.

(53) На държавите-членки следва да бъде разрешено да създават повече от един надзорен орган, за да бъде отразена тяхната конституционна, организационна и административна структура. На всеки надзорен орган следва да бъдат предоставени адекватни финансови и човешки ресурси, служебни помещения и инфраструктура, необходими за ефективното изпълнение на неговите задачи, включително задачите, свързани с взаимопомощ и сътрудничество с други надзорни органи навсякъде в Съюза.

(54) Общите условия за членовете на надзорния орган следва да бъдат определени със закон във всяка държава-членка и следва да предвиждат по-специално, че тези членове се назначават от парламента или от правителството на държавата-членка, като включват и правила относно личната квалификация и длъжността на тези членове.

(55) Макар настоящата директива да се прилага и спрямо дейностите на националните съдилища, компетентността на надзорните органи не следва да обхваща обработването на лични данни когато съдилищата действат при изпълнение на съдебните си функции, за да се гарантира независимостта на съдиите при изпълнението на техните съдебни задължения. Това изключение обаче следва да бъде ограничено до действителните съдебни дейности по съдебни дела и да не се прилага за други дейности, в които съдиите могат да участват съгласно националното право.

(56) За да се гарантира съгласувано наблюдение и прилагане на настоящата директива навсякъде в Съюза, надзорните органи следва да имат еднакви задължения и ефективни правомощия във всяка държава-членка, включително правомощия за разследване, правнообвързваща намеса, вземане на решения и налагане на санкции, особено в случаи на жалби от физически лица, както и правомощие да участват в съдебни производства.

(57) Всеки надзорен орган следва да разглежда жалбите, подадени от субект на данни, и да извършва разследване по въпроса. Разследването въз основа на жалба следва да се извършва под съдебен контрол и в целесъобразна за конкретния случай степен. Надзорният орган следва да информира субекта на данните за напредъка и резултата от жалбата в разумен срок. Ако случаят изисква допълнително разследване или координиране с друг надзорен орган, на субекта на данните следва да бъде предоставена междинна информация.

(58) Надзорните органи следва да си сътрудничат при изпълнението на своите задължения и взаимно да се подпомагат, за да се гарантира съгласуваното прилагане и изпълнение на разпоредбите, приети съгласно настоящата директива.

(59) Европейският комитет по защита на данните, създаден с Регламент (ЕС) № .../2012, следва да допринася за съгласуваното прилагане на настоящия регламент навсякъде в Съюза, включително като съветва Комисията и насърчава сътрудничеството на надзорните органи в Съюза.

(60) Всеки субект на данни следва да има право да подаде жалба до надзорен орган във всяка държава-членка, както и право на средства за съдебна защита, ако счита, че правата му по настоящата директива са нарушени или ако надзорният орган не предприеме действия по подадена жалба или не предприеме действия, когато такива са необходими, за да се защитят правата на субекта на данни.

(61) Всяка структура, организация или сдружение, учредено съгласно правото на държава-членка и чиято цел е да защитава правата и интересите на субектите на данни по отношение на защитата на техните данни, следва да има право да подава жалби или да упражнява правото на съдебна защита от името на субектите на данни, ако е надлежно оправомощено от тях, или да подава жалби от свое име, независимо от жалбата на даден субект на данни, когато счита, че е извършено нарушение на сигурността на личните данни.

(62) Всяко физическо или юридическо лице следва да има право на средства за съдебна защита срещу решенията на надзорен орган, които го засягат. Производствата срещу даден надзорен орган следва да бъдат завеждани пред съдилищата на държавата-членка, в която е установен надзорният орган.

(63) Държавите-членки следва да гарантират, че за да бъдат ефективни, съдебните искове позволяват бързо приемане на мерки за поправяне или предотвратяване на нарушение на настоящата директива.

(64) Всички вреди, които дадено лице може да претърпи в резултат на неправомерно обработване на данни, следва да бъдат обезщетени от администратора или обработващия лични данни, който може да бъде освободен от отговорност, ако докаже, че не е отговорен за вредите, и по-специално когато установи вина от страна на субекта на данни или в случай на непреодолима сила.

(65) На всяко физическо или юридическо лице, което не спазва настоящата директива, следва да се налагат санкции, независимо дали то е субект на частното или публичното право. Държавите-членки следва да гарантират, че санкциите са ефективни, съразмерни и възпиращи, и трябва да предприемат всички мерки за тяхното изпълнение.

(66) С цел да бъдат постигнати целите на настоящата директива, а именно защита на основните права и свободи на физическите лица, и по-специално на тяхното право на защита на личните данни, както и за да се гарантира свободния обмен на лични данни от компетентните органи в рамките на Съюза, на Комисията следва да бъде делегирано правомощието да приема актове в съответствие с член 290 от Договора за функционирането на Европейския съюз. По-специално делегирани актове следва да бъдат приети по отношение на уведомяването на надзорния орган за нарушение на сигурността на личните данни. От особена важност е по време на подготвителната си работа Комисията да проведе подходящи консултации, включително на експертно равнище. При подготовката и изготвянето на делегираните актове Комисията следва да осигури едновременното и своевременно предаване на съответните документи по подходящ начин на Европейския парламент и Съвета.

(67) За да се гарантират еднакви условия за изпълнение на настоящата директива по отношение на изготвянето на документация от администраторите и обработващите лични данни, сигурността на обработването, по-специално във връзка със стандартите за криптиране, както и по отношение на уведомяването на надзорния орган за нарушение на сигурността на личните данни и адекватното ниво на защита на данните, осигурявано от дадена трета държава, или територия или обработващ сектор в тази трета държава, или международна организация, на Комисията следва да бъдат предоставени изпълнителни правомощия. Тези правомощия следва да бъдат упражнявани в съответствие с Регламент (ЕС) № 182/2011 на Европейския парламент и на Съвета от 16 февруари 2011 г. за установяване на общите правила и принципи относно реда и условията за контрол от страна на държавите-членки върху упражняването на изпълнителните правомощия от страна на Комисията[36].

(68) За приемането на мерки по отношение на изготвянето на документация от администраторите и обработващите лични данни, сигурността на обработването, уведомяването на надзорния орган за нарушаване на сигурността на личните данни и адекватното ниво на защита, осигурявано от дадена трета държава, или територия или обработващ сектор в тази трета държава, или международна организация, следва да бъде използвана процедурата по разглеждане, доколкото тези актове са с общ характер.

(69) Комисията следва да приеме актове за изпълнение с незабавно приложение, когато в надлежно обосновани случаи, свързани с трета държава, или територия или обработващ данни сектор в тази трета държава, или международна организация, които не осигуряват адекватно ниво на защита, наложителни причини за спешност изискват това.

(70) Доколкото целите на настоящата директива, а именно да се защитят основните права и свободи на физическите лица и по-специално тяхното право на защита на личните данни, както и да се гарантира свободен обмен на лични данни от компетентните органи в Съюза, не могат да бъдат постигнати в достатъчна степен от държавите-членки и следователно поради обхвата или последиците от действието могат да бъдат по-добре постигнати на равнището на Съюза, Съюзът може да приеме мерки в съответствие с принципа на субсидиарност, уреден в член 5 от Договора за Европейския съюз. В съответствие с принципа на пропорционалност, уреден в същия член, настоящата директива не надхвърля необходимото за постигане на тези цели.

(71) Рамково решение 2008/977/ПВР следва да бъде отменено с настоящата директива.

(72) Специалните разпоредби относно обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции, съдържащи се в актове на Съюза, приети преди датата на приемане на настоящата директива, с които се регламентират обработването на лични данни между държавите-членки или достъпът на определени органи на държавите-членки до информационни системи, създадени съгласно Договорите, следва да не бъдат засегнати. Комисията следва да извърши оценка на ситуацията по отношение на връзката между настоящата директива и актовете, приети преди датата на нейното приемане, които регламентират обработването на лични данни между държавите-членки или достъпа на определените органи на държавите-членки до информационни системи, създадени съгласно Договорите, за да прецени необходимостта от съгласуване на тези специални разпоредби с настоящата директива.

(73) За да се гарантира цялостна и съгласувана защита на личните данни в Съюза международните споразумения, сключени от държавите-членки преди влизането в сила на настоящата директива, следва да бъдат изменени, така че да бъдат хармонизирани с директивата.

(74) Настоящата директива не засяга разпоредбите относно борбата със сексуалното насилие и със сексуалната експлоатация на деца, както и с детската порнография, установени с Директива 2011/93/ЕС на Европейския парламент и на Съвета от 13 декември 2011 г.[37]

(75) В съответствие с член 6а от Протокола относно позицията на Обединеното кралство и Ирландия по отношение на пространството на свобода, сигурност и правосъдие, приложен към Договора за Европейския съюз и към Договора за функционирането на Европейския съюз, Обединеното кралство и Ирландия не са обвързани от разпоредбите на настоящата директива когато Обединеното кралство и Ирландия не са обвързани от правилата, уреждащи формите на съдебно сътрудничество по наказателноправни въпроси или на полицейско сътрудничество, в рамките на които трябва да бъдат съблюдавани разпоредбите, установени въз основа на член 16 от Договора за функционирането на Европейския съюз.

(76) В съответствие с членове 2 и 2а от Протокола относно позицията на Дания, приложен към Договора за Европейския съюз и към Договора за функционирането на Европейския съюз, Дания не е обвързана от настоящата директива, нито от нейното прилагане. Доколкото настоящата директива представлява развитие на достиженията на правото от Шенген, съгласно част трета, дял V от Договора за функционирането на Европейския съюз, в срок от шест месеца след приемането на настоящата директива Дания взема решение, в съответствие с член 4 от посочения Протокол, дали да я въведе в националното си право.

(77) По отношение на Исландия и Норвегия настоящата директива представлява развитие на разпоредбите на достиженията на правото от Шенген по смисъла на Споразумението, сключено от Съвета на Европейския съюз и Република Исландия и Кралство Норвегия за асоциирането на последните в процеса на изпълнение, прилагане и развитие на достиженията на правото от Шенген[38].

(78) По отношение на Швейцария настоящата директива представлява развитие на разпоредбите на достиженията на правото от Шенген по смисъла на Споразумението между Европейския съюз, Европейската общност и Конфедерация Швейцария относно асоциирането на Конфедерация Швейцария към изпълнението, прилагането и развитието на достиженията на правото от Шенген[39].

(79) По отношение на Лихтенщайн настоящата директива представлява развитие на разпоредбите на достиженията на правото от Шенген по смисъла на Протокола между Европейския съюз, Европейската общност, Конфедерация Швейцария и Княжество Лихтенщайн относно присъединяването на Княжество Лихтенщайн към Споразумението между Европейския съюз, Европейската общност и Конфедерация Швейцария относно асоциирането на Конфедерация Швейцария към изпълнението, прилагането и развитието на достиженията на правото от Шенген[40].

(80) Настоящата директива зачита основните права и спазва принципите, признати в Хартата на основните права на Европейския съюз и залегнали в Договора, и по-специално правото на зачитане на личния и семейния живот, правото на защита на личните данни, правото на ефективни правни средства за защита и на справедлив съдебен процес. Ограниченията, наложени върху тези права, са в съответствие с член 52, параграф 1 от Хартата, тъй като са необходими, за да се отговори на признати от Съюза цели от общ интерес или на необходимостта да се защитят правата и свободите на други хора.

(81) Съгласно Съвместната политическа декларация на държавите-членки и на Комисията относно обяснителните документи от 28 септември 2011 г. държавите-членки са се задължили в обосновани случаи да прилагат към съобщението за мерките си за транспониране един или повече документи, обясняващи връзката между компонентите на дадена директива и съответните елементи от националните инструменти за транспониране. По отношение на настоящата директива законодателят смята, че предоставянето на такива документи е обосновано.

(82) Настоящата директива не следва да възпрепятства държавите-членки да привеждат в действие упражняването на правата на субектите на данни във връзка с информацията, достъпа, коригирането, заличаването и ограничаването на личните им данни, обработвани в хода на наказателно производство, и евентуалното ограничаване на тези права, в националните разпоредби относно наказателното производство.

ПРИЕХА НАСТОЯЩАТА ДИРЕКТИВА:

ГЛАВА I

ОБЩИ РАЗПОРЕДБИ

Член 1 Предмет и цели

1.           С настоящата директива се установяват правилата във връзка със защитата на физическите лица по отношение на обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции.

2.           В съответствие с настоящата директива държавите-членки:

а)      защитават основните права и свободи на физическите лица и по-специално правото им на защита на личните данни, и

б)      гарантират, че обменът на лични данни от компетентните органи в Съюза не се ограничава, нито забранява по причини, свързани със защитата на физическите лица по отношение на обработването на лични данни.

Член 2 Приложно поле

1.           Настоящата директива се прилага за обработването на лични данни от компетентните органи за целите, посочени в член 1, параграф 1.

2.           Настоящата директива се прилага за обработването на лични данни изцяло или частично с автоматични средства, както и за обработването с други средства на лични данни, които са част от регистър на лични данни или които са предназначени да съставляват част от такъв регистър.

3.           Настоящата директива не се прилага за обработването на лични данни:

а)      в хода на дейности, които са извън приложното поле на правото на Съюза, и по-специално такива, свързани с националната сигурност;

б)      от институциите, органите, службите и агенциите на Съюза.

Член 3 Определения

За целите на настоящата директива:

1)           „субект на данни“ означава физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или косвено чрез средства, за които с основание се предполага, че е възможно да бъдат използвани от администратора или от всяко друго физическо или юридическо лице, по-специално чрез идентификационен номер, данни за местонахождение, онлайн идентификатори или чрез един или повече признаци, специфични за неговата физическа, физиологична, генетична, психическа, икономическа, културна или социална идентичност;

2)           „лични данни“ означава всяка информация, свързана с даден субект на данни;

3)           „обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друга форма на предоставяне на данните, подреждане или комбиниране, ограничаване, заличаване или унищожаване;

4)           „ограничаване на обработването“ означава маркиране на съхранявани лични данни с цел ограничаване на обработването им в бъдеще;

5)           „регистър на лични данни“ означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;

6)           „администратор“ означава компетентен публичен орган, който сам или съвместно с други определя целите, условията и средствата за обработването на лични данни; когато целите, условията и средствата за обработването се определят от правото на Съюза или от това на държава-членка, администраторът или специалните критерии за неговото назначаване могат да бъдат определени в правото на Съюза или в това на държава-членка;

7)           „обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;

8)           „получател“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни;

9)           „нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;

10)         „генетични данни“ означава всички данни, от всякакъв вид, свързани с белезите на дадено физическо лице, които са наследствени или са придобити по време на ранното пренатално развитие;

11)         „биометрични данни“ означава всички данни, свързани с физическите, физиологичните или поведенческите характеристики на дадено физическо лице, които позволяват неговата уникална идентификация, като лицеви изображения или дактилоскопични данни;

12)         „данни за здравословното състояние“ означава всяка информация, която се отнася до физическото или психическото здраве на дадено физическо лице или до предоставянето на здравни услуги на физическото лице;

13)         „дете“ означава всяко лице на възраст под 18 години;

14)         „компетентни органи“ означава всеки публичен орган, компетентен по отношение на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции;

15)         „надзорен орган“ означава публичен орган, създаден от държава-членка в съответствие с член 39.

ГЛАВА II

ПРИНЦИПИ

Член 4 Принципи, свързани с обработването на лични данни

Държавите-членки предвиждат, че личните данни трябва да бъдат:

а)      обработвани добросъвестно и в съответствие със закона;

б)      събирани за конкретни, изрично указани и законни цели и да не се обработват допълнително по начин, който е несъвместим с тези цели;

в)      подходящи, релевантни и не надхвърлят необходимото във връзка с целите, за които данните се обработват;

г)       точни и, когато е необходимо, актуализирани; трябва да се предприемат всички разумни мерки, за да се гарантира своевременното заличаване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват;

д)      съхранявани във вид, който позволява идентифицирането на субектите на данните за период не по-дълъг от необходимия за целите, за които се обработват личните данни;

е)      обработвани под ръководството и отговорността на администратора, който осигурява спазването на разпоредбите, приети съгласно настоящата директива.

.

Член 5 Разграничение между различните категории субекти на данни

1.           Държавите-членки предвиждат въвеждане на ясно разграничение от страна на администратора, доколкото това е възможно, между личните данни на различни категории субекти на данни, например:

а)      лица, за които има сериозни основания да се счита, че са извършили или ще извършат престъпление;

б)      лица, осъдени за престъпление;

в)      жертви на престъпление или лица, по отношение на които определени факти дават основание да се счита, че той или тя може да е жертва на престъпление;

г)       трети страни по престъпление, например лица, които биха могли да бъдат призовани да свидетелстват при разследвания във връзка с престъпления или при последващи наказателни производства, или лица, които могат да предоставят информация за престъпления, или познати или съучастници на някое от лицата, посочени в букви а) и б); и

д)      лица, които не попадат в никоя от посочените по-горе категории.

Член 6 Различни степени на точност и надеждност на личните данни

1.           Държавите-членки гарантират, че доколкото е възможно се прави разграничение между различните категории лични данни, които се обработват, в съответствие със степента им на точност и надеждност.

2.           Държавите-членки гарантират, че доколкото е възможно се прави разграничение между лични данни, основани на факти, и лични данни, основани на лични оценки.

Член 7 Законосъобразност на обработването

Държавите-членки предвиждат, че обработването на лични данни е законосъобразно само ако и доколкото то е необходимо:

а)           за изпълнението на задача, извършвана от компетентен орган въз основа на закона за целите, определени в член 1, параграф 1, или

б)           за спазването на правно задължение, чийто субект е администраторът, или

в)           за да бъдат защитени жизненоважни интереси на субекта на данните или на друго лице, или

г)            за предотвратяване на непосредствена и сериозна заплаха за обществената сигурност.

Член 8 Обработване на специални категории лични данни

1.           Държавите-членки забраняват обработването на лични данни, които разкриват расов или етнически произход, политически мнения, религия или убеждения, членство в професионални съюзи, като и обработването на генетични данни или данни, свързани със здравословното състояние или половия живот.

2.           Параграф 1 не се прилага, когато:

а)      обработването е разрешено със закон, който предвижда подходящи гаранции; или

б)      обработването е необходимо, за да бъдат защитени жизненоважни интереси на субекта на данни или на друго лице; или

в)      обработването касае данни, които явно са направени обществено достояние от субекта на данните.

Член 9 Мерки, основани на профилиране и автоматизирано обработване

1.           Държавите-членки предвиждат, че мерките, които пораждат неблагоприятни правни последици за субекта на данни или съществено го засягат и които се основават единствено на автоматизирано обработване на лични данни, имащо за цел да се оценят определени лични аспекти, свързани със субекта на данните, са забранени, освен ако не са разрешени от закон, който установява и мерки за гарантиране на законните интереси на субекта на данните.

2.           Автоматизираното обработване на лични данни с цел оценяване на определени лични аспекти, свързани със субекта на данните, не може да се основава единствено на специалните категории лични данни, посочени в член 8.

ГЛАВА III

ПРАВА НА СУБЕКТА НА ДАННИ

Член 10 Условия за упражняване на правата на субекта на данни

1.           Държавите-членки предвиждат задължение за администратора да вземе всички разумни мерки, за да разполага с прозрачни и лесно достъпни вътрешни правила по отношение на обработването на лични данни и за упражняването на правата на субектите на данни.

2.           Държавите-членки предвиждат, че всякаква информация и съобщения, свързани с обработването на лични данни, се предоставят от администратора на субекта на данните в лесна за разбиране форма, като се използват ясни и прости формулировки.

3.           Държавите-членки предвиждат задължение за администратора да вземе всички разумни мерки за въвеждане на процедури за предоставяне на информацията, посочена в член 11, и за упражняване на правата на субектите на данни, посочени в членове 12—17.

4.           Държавите-членки предвиждат задължение за администратора да информира субекта на данните без ненужно забавяне за действията, предприети във връзка с неговото искане.

5.           Държавите-членки предвиждат, че информацията и всички действия, предприети от администратора вследствие на подадено искане по параграфи 3 и 4, са безплатни. Когато исканията са проява на злонамереност, по-специално поради своята повторяемост или размера или обема на искането, администраторът може да поиска заплащането на дадена сума за предоставянето на информацията или за изпълнението на исканото действие, или може да не изпълни исканото действие. В този случай администраторът носи тежестта на доказване на злонамереността на искането.

Член 11 Информация за субекта на данни

1.           Когато се събират лични данни, свързани със субект на данни, държавите-членки гарантират, че администраторът взема всички подходящи мерки, за да предостави на субекта на данните най-малко следната информация:

а)      наименованието и координати за връзка на администратора и на длъжностното лице по защита на данните;

б)      целите на обработването, за които са предназначени личните данни;

в)      срока, за който ще се съхраняват личните данни;

г)       съществуването на право да се изиска от администратора достъп до личните данни, свързани със субекта на данните, както и тяхното коригиране, заличаване или ограничаване на обработването;

д)      правото да се подаде жалба до надзорния орган, посочен в член 39, и неговите координати за връзка;

е)      получателите или категориите получатели на личните данни, включително в трети държави или международни организации;

ж)     всяка допълнителна информация, доколкото такава е необходима, за да се гарантира добросъвестното обработване по отношение на субекта на данните, като се отчитат конкретните обстоятелства, при които се обработват личните данни.

2.           Когато личните данни се събират от субекта на данните, администраторът го информира, в допълнение към информацията, посочена в параграф 1, дали предоставянето на лични данни е задължително или доброволно, както и за възможните последици, ако такива данни не бъдат предоставени.

3.           Администраторът предоставя информацията, посочена в параграф 1:

а)      в момента на получаване на личните данни от субекта на данните, или

б)      когато личните данни не се събират от субекта на данните, в момента на тяхното записване или в разумен срок след събирането им, като се отчитат конкретните обстоятелства, при които се обработват данните.

4.           Държавите-членки могат да приемат законодателни мерки, които забавят, ограничават или водят до пропускане на предоставянето на информация на субекта на данните до такава степен и за толкова време, за колкото такова частично или пълно ограничение представлява необходима и пропорционална мярка в едно демократично общество, като надлежно се вземат под внимание законните интереси на засегнатото лице:

а)      за да се избегне възпрепятстването на официални или съдебни проучвания, разследвания или процедури;

б)      за да се избегне повлияване върху предотвратяването, разкриването, разследването и наказателното преследване на престъпления или изпълнението на наказателни санкции;

в)      за защита на обществената сигурност;

г)       за защита на националната сигурност;

д)      за защита на правата и свободите на други лица.

5.           Държавите-членки могат да определят категории обработване на данни, които могат изцяло или частично да бъдат обект на изключенията по параграф 4.

Член 12 Право на достъп на субекта на данни

1.           Държавите-членки уреждат правото на субекта на данни да получава потвърждение от администратора дали се обработват лични данни, свързани с него. Когато се обработват такива лични данни, администраторът предоставя следната информация:

а)      целите на обработването;

б)      категориите засегнати лични данни;

в)      получателите или категориите получатели, пред които са разкрити личните данни, по-специално получателите в трети държави;

г)       срока, за който ще се съхраняват личните данни;

д)      съществуването на правото да се изиска от администратора коригиране, заличаване или ограничаване на обработването на лични данни, касаещи субекта на данните;

е)      правото да бъде подадена жалба до надзорния орган и да бъдат предоставени неговите координати за връзка;

ж)     съобщаване на личните данни, които са в процес на обработване, и на всякаква налична информация за техния източник.

2.           Държавите-членки уреждат правото на субекта на данни да получи от администратора копие от личните данни, които са процес на обработване.

Член 13 Ограничения на правото на достъп

1. Държавите-членки могат да приемат законодателни мерки, които ограничават изцяло или частично правото на достъп на субекта на данните дотолкова, доколкото такова частично или пълно ограничаване представлява необходима и пропорционална мярка в едно демократично общество, като надлежно се вземат под внимание законните интереси на засегнатото лице:

а)      за да се избегне възпрепятстването на официални или съдебни проучвания, разследвания или процедури;

б)      за да се избегне повлияване върху предотвратяването, разкриването, разследването и наказателното преследване на престъпления или изпълнението на наказателни санкции;

в)      за защита на обществената сигурност;

г)       за защита на националната сигурност;

д)      за защита на правата и свободите на други лица.

2. Държавите-членки могат да определят с нормативен акт категории обработване на данни, които могат изцяло или частично да бъдат обект на изключенията по параграф 1.

3. В случаите по параграфи 1 и 2 държавите-членки предвиждат задължение за администратора да информира в писмена форма субекта на данни за всеки отказ на достъп или ограничаване на достъпа, за причините за отказа, за възможностите за подаване на жалба до надзорния орган и за търсене на защита по съдебен ред. Информацията относно фактическите или правните основания, на които се основава решението, може да бъде пропусната когато предоставянето ѝ би възпрепятствало постигането на цел по параграф 1.

4. Държавите-членки гарантират, че администраторът документира причините да не бъдат съобщени фактическите или правните основания, на които се основава решението.

Член 14 Условия за упражняване на правото на достъп

1.           Държавите-членки регламентират правото на субекта на данни да поиска, по-специално в случаите по член 13, надзорният орган да провери законосъобразността на обработването.

2.           Държавите-членки предвиждат задължение за администратора да информира субекта на данните за правото да поиска намеса на надзорния орган съгласно параграф 1.

3.           Когато е упражнено правото по параграф 1 надзорният орган информира субекта на данните най-малко за това, че е извършил всички необходими проверки, както и за резултата относно законосъобразността на въпросното обработване.

Член 15 Право на коригиране

1.           Държавите-членки уреждат правото на субекта на данни по негово искане администраторът да коригира неточните лични данни, свързани с него. Субектът на данните има право непълните лични данни да бъдат попълнени по негово искане, по-специално чрез декларация за коригиране.

2.           Държавите-членки предвиждат задължение за администратора да информира в писмена форма субекта на данни за всеки отказ за коригиране, за причините за отказа и за възможностите за подаване на жалба до надзорния орган и за търсене на защита по съдебен ред.

Член 16 Право на заличаване

1. Държавите-членки регламентират правото на субекта на данни по негово искане администраторът да заличи личните данни, свързани с него, когато обработването не е в съответствие с разпоредбите, приети съгласно член 4, букви а)—д) и членове 7 и 8 от настоящата директива.

2. Администраторът извършва заличаването незабавно.

3. Вместо да извърши заличаване администраторът маркира личните данни, когато:

а)      точността им се оспорва от субекта на данните, за срок, който позволява на администратора да провери точността на данните;

б)      личните данни трябва да бъдат запазени за доказателствени цели;

в)      субектът на данните не желае те да бъдат заличени, а изисква вместо това ограничаване на използването им.

4. Държавите-членки предвиждат задължение за администратора да информира в писмена форма субекта на данни за всеки отказ за заличаване или маркиране на обработването, за причините за отказа и за възможностите за подаване на жалба до надзорния орган и за търсене на защита по съдебен ред.

Член 17 Права на субектите на данни при наказателно разследване и наказателно производство

Държавите-членки могат да предвидят, че правата на информация, достъп, коригиране, заличаване и ограничаване на обработването, посочени в членове 11—16, се упражняват в съответствие с националните правила относно съдебните производства, когато личните данни се съдържат в съдебно решение или протокол, обработван в хода на наказателно разследване и наказателно производство.

ГЛАВА IV АДМИНИСТРАТОР И ОБРАБОТВАЩ ЛИЧНИ ДАННИ

РАЗДЕЛ 1 ОБЩИ ЗАДЪЛЖЕНИЯ

Член 18 Отговорност на администратора

1.           Държавите-членки предвиждат задължение за администратора да приема вътрешни правила и да предприема подходящи мерки, за да гарантира, че обработването на лични данни се извършва при съблюдаване на разпоредбите, приети съгласно настоящата директива.

2.           Мерките, посочени в параграф 1, включват по-специално:

а)      поддържане на документацията, посочена в член 23;

б)      спазване на изискванията за предварителна консултация съгласно член 26;

в)      изпълнение на изискванията за сигурност на данните, определени в член 27;

г)       определяне на длъжностно лице по защита на данните съгласно член 30.

3.           Администраторът прилага механизми за осигуряване на проверката за ефективност на мерките, посочени в параграф 1 от настоящия член. Ако отговаря на изискването за пропорционалност, тази проверка се извършва от независими вътрешни или външни одитори.

Член 19 Защита на данните още при проектирането и по подразбиране

1.           Държавите-членки предвиждат, че като взема предвид достиженията на техническия прогрес и разходите за тяхното внедряване, администраторът въвежда подходящи технически и организационни мерки и процедури, така че обработването да отговаря на изискванията на разпоредбите, приети съгласно настоящата директива, и да гарантира защитата на правата на субекта на данни.

2.           Администраторът въвежда механизми, за да се гарантира, че по подразбиране се обработват единствено онези лични данни, които са необходими за целите на обработването.

Член 20 Съвместни администратори

Държавите-членки предвиждат, че когато даден администратор определя целите, условията и средствата за обработването на лични данни съвместно с други, съвместните администратори трябва да определят чрез договорености помежду си съответните отговорности за спазване на разпоредбите, приети съгласно настоящата директива, по-специално по отношение на процедурите и механизмите за упражняване на правата на субекта на данните.

Член 21 Обработващ лични данни

1. Държавите-членки предвиждат, че когато операция по обработване се извършва от името на администратора, последният трябва да избере обработващ лични данни, който предоставя достатъчни гаранции, че ще приложи подходящи технически и организационни мерки и процедури, така че обработването да отговаря на изискванията на разпоредбите, приети съгласно настоящата директива, и да гарантира защитата на правата на субекта на данни.

2. Държавите-членки предвиждат, че извършването на обработване от страна на обработващ лични данни трябва да е уредено с правен акт, който обвързва обработващия лични данни с администратора и предвижда по-специално, че обработващият лични данни извършва действия само въз основа на указания от администратора, по-специално когато предаването на използваните лични данни е забранено.

3. Ако обработващ лични данни обработва лични данни, различни от онези, за които е получил указания от администратора, първият се счита за администратор по отношение на това обработване и спрямо него се прилагат правилата за съвместните администратори, установени в член 20.

Член 22 Обработване под ръководството на администратора и обработващия лични данни

Държавите-членки предвиждат, че обработващият лични данни и всяко лице, действащо под ръководството на администратора или на обработващия лични данни, което има достъп до личните данни, може да обработва тези данни само по указание на администратора или когато това се изисква от законодателството на Съюза или на държава-членка.

Член 23 Документация

1.           Държавите-членки предвиждат задължение за всички администратори и обработващи лични данни да поддържат документация за всички системи и процедури за обработване, за които носят отговорност.

2.           Документацията съдържа най-малко следната информация:

а)      наименованието и данните за контакт на администратора или на всеки съвместен администратор или обработващ лични данни;

б)      целите на обработването;

в)      получателите или категориите получатели на лични данни;

г)       предаването на данни на трета държава или международна организация, включително посочване на тази трета държава или международна организация.

3.           При поискване администраторът и обработващият лични данни предоставят тази документация на надзорния орган.

Член 24 Водене на записи

1.           Държавите-членки вземат мерки за гарантиране, че се водят записи най-малко за следните операции по обработване: събиране, промяна, консултиране, разкриване, комбиниране или заличаване. Записите за извършено консултиране или разкриване посочват по-специално целта, датата и часа на такива операции и, доколкото е възможно, самоличността на лицето, което се е консултирало с личните данни или ги е разкрило.

2.           Записите се използват единствено за целите на проверяване на законосъобразността на обработването на данните, за самоконтрол и за гарантиране на непокътнатостта и сигурността на данните.

Член 25 Сътрудничество с надзорния орган

1.           Държавите-членки предвиждат задължение за администратора и обработващия лични данни при поискване да сътрудничат на надзорния орган при изпълнението на неговите задължения, по-специално като предоставят всяка информация, необходима на надзорния орган за изпълнението на неговите задължения.

2.           При упражняване от страна на надзорния орган на правомощията по член 46, букви а) и б) администраторът и обработващият лични данни отговарят на този орган в разумен срок. Отговорът включва описание на предприетите мерки и постигнатите резултати в отговор на отправените от надзорния орган забележки.

Член 26 Предварителна консултация с надзорния орган

1. Държавите-членки вземат мерки, за да гарантират, че администраторът или обработващият лични данни се консултира с надзорния орган преди обработването на лични данни, които ще бъдат част от нов регистър на лични данни, който предстои да бъде създаден, когато:

а)      ще бъдат обработвани специални категории данни, посочени в член 8;

б)      видът обработване, и по-специално използването на нови технологии, механизми или процедури, води до специфични рискове за основните права и свободи, и в частност за защитата на личните данни на субектите на данните.

2. Държавите-членки могат да предвидят задължение за надзорния орган да изготви списък на операциите по обработване, за които е необходима предварителна консултация съгласно параграф 1.

РАЗДЕЛ 2 СИГУРНОСТ НА ДАННИТЕ

Член 27 Сигурност на обработването

1.           Държавите-членки предвиждат задължение за администратора и обработващия лични данни да предприемат подходящи технически и организационни мерки, за да гарантират ниво на сигурност, което отговаря на свързаните с обработването рискове и естеството на подлежащите на защита данни, като вземат предвид достиженията на техническия прогрес и разходите за тяхното внедряване.

2.           По отношение на автоматизираното обработване на данни всяка държава-членка предвижда задължение след извършване на оценка на рисковете администраторът да въвежда мерки, имащи за цел:

а)      да се откаже достъп на неупълномощени лица до оборудването, използвано за обработване на лични данни (контрол на достъпа до оборудване);

б)      да се предотврати четенето, копирането, изменянето или отстраняването на информационни носители от неупълномощени лица (контрол на информационните носители);

в)      да се предотврати въвеждането на данни от неупълномощени лица, както и извършването на проверки, изменянето или заличаването на съхранявани лични данни от неупълномощени лица (контрол на съхраняването);

г)       да се предотврати използването на автоматизирани системи за обработване на данни от неупълномощени лица чрез устройства за предаване на информация (контрол на ползвателите);

д)      да се гарантира, че лицата, на които е разрешено да използват автоматизирана система за обработване на данни, имат достъп само до данните, които са обхванати от тяхното разрешение за достъп (контрол на достъпа до данни);

е)      да се гарантира възможността за проверка и установяване на кои органи са били или могат да бъдат изпратени или предоставени лични данни чрез оборудване за предаване на данни (контрол на комуникацията);

ж)     да се гарантира възможността за последващи проверка и установяване какви лични данни са били въведени в автоматизираните системи за обработване на данни, както и кога и от кого са били въведени тези данни (контрол на въвеждането);

з)       да се предотврати четенето, копирането, изменянето или заличаването на лични данни от неупълномощени лица в хода на предаването на данните или при пренасянето им на информационни носители (контрол на пренасянето);

и)      да се гарантира възможността за възстановяване на инсталираните системи в случай на прекъсване на функционирането (възстановяване);

й)      да се гарантира изпълнението на функциите на системата, докладването за появили се във функциите дефекти (надеждност), както и недопускане на увреждане на съхраняваните лични данни вследствие на неправилно функциониране на системата (непокътнатост).

3.           При необходимост Комисията може да приема актове за изпълнение за уточняване на изискванията, установени в параграфи 1 и 2, за различни ситуации, и по-специално стандарти за криптиране. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 57, параграф 2.

Член 28 Уведомяване на надзорния орган за нарушение на сигурността на личните данни

1.           Държавите-членки предвиждат, че в случай на нарушение на сигурността на личните данни администраторът, без излишно забавяне и, когато това е осъществимо, не по-късно от 24 часа след установяването на такова нарушение, уведомява надзорния орган за нарушението на сигурността на личните данни. При поискване администраторът представя на надзорния орган мотивирана обосновка в случаите, когато уведомлението не е подадено в срок от 24 часа.

2.           Обработващият лични данни предупреждава и уведомява администратора незабавно след установяването на нарушение на сигурността на лични данни.

3.           В уведомлението, посочено в параграф 1, се съдържат най-малко следните данни:

а)      описание на естеството на нарушението на сигурността на личните данни, включително категориите и броя на засегнатите субекти на данни и категориите и количеството на засегнатите записи от данни;

б)      посочване на самоличността и координатите за връзка на длъжностното лице по защита на данните, посочено в член 30, или на друго звено за контакт, от което може да се получи повече информация;

в)      препоръка относно мерките за намаляване на евентуалните неблагоприятни последици от нарушението на сигурността на личните данни;

г)       описание на възможните последици от нарушението на сигурността на личните данни;

д)      описание на предложените или предприетите от администратора мерки за справяне с нарушението на сигурността на личните данни.

4.           Държавите-членки предвиждат задължение за администратора да документира всяко нарушение на сигурността на личните данни, като включва фактите, свързани с нарушението, последиците от него и предприетите действия за справяне с него. Тази документация трябва да позволява на надзорния орган да провери дали е спазен настоящият член. Документацията съдържа единствено информацията, необходима за тази цел.

5.           На Комисията се предоставя правомощието да приема делегирани актове в съответствие с член 56 с цел допълнително уточняване на критериите и изискванията за установяване на нарушението на сигурността на данните, посочено в параграфи 1 и 2, както и на конкретните обстоятелства, при които се изисква администраторът и обработващият лични данни да уведомят за това нарушение на сигурността на личните данни.

6.           Комисията може да установи образеца на такова уведомление до надзорния орган, приложимите процедури за изискването за уведомление, както и образеца и условията за документацията, посочена в параграф 4, включително сроковете за заличаване на съдържащата се в нея информация. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 57, параграф 2.

Член 29 Съобщаване на субекта на данните за нарушение на сигурността на личните данни

1.           Държавите-членки предвиждат, че когато нарушението на сигурността на личните данни има вероятност да повлияе неблагоприятно на защитата на личните данни или на неприкосновеността на личния живот на субекта на данните, администраторът, след като подаде уведомлението по член 28, съобщава на субекта на данните за нарушението на сигурността на личните данни без излишно забавяне.

2.           В съобщението до субекта на данните, посочено в параграф 1, се описва естеството на нарушението на сигурността на личните данни и се съдържат най-малко информацията и препоръките, предвидени член 28, параграф 3, букви б) и в).

3.           Не се изисква съобщаване на субекта на данни за нарушение на сигурността на личните данни, ако администраторът е доказал в удовлетворителна степен пред надзорния орган, че е предприел подходящи технологични мерки за защита и че тези мерки са били приложени спрямо личните данни, засегнати от нарушението на сигурността на лични данни. Такива технологични мерки за защита правят данните неразбираеми за всяко лице, което няма разрешение за достъп до тях.

4.           Съобщаването на субекта на данните може да бъде забавено, ограничено по съдържание или да не бъде извършено, на основанията, посочени в член 11, параграф 4.

РАЗДЕЛ 3 ДЛЪЖНОСТНО ЛИЦЕ ПО ЗАЩИТА НА ДАННИТЕ

Член 30 Определяне на длъжностното лице по защита на данните

1. Държавите-членки предвиждат задължение за администратора или обработващия лични данни да определят длъжностно лице по защита на данните.

2. Длъжностното лице по защита на данните се определя въз основа на неговите професионални качества и по-специално въз основа на експертните му познания в областта на законодателството и практиките в областта на защитата на данните и способността му да изпълнява задачите, посочени в член 32.

3. Длъжностното лице по защита на данните може да бъде назначено да отговаря за няколко структурни звена, като се отчита организационната структура на компетентния орган.

Член 31 Длъжност на длъжностното лице по защита на данните

1. Държавите-членки предвиждат задължение за администратора или обработващия лични данни да гарантира, че длъжностното лице по защита на данните участва по подходящ начин и своевременно във всички въпроси, свързани със защитата на личните данни.

2. Администраторът или обработващият лични данни вземат мерки, за да гарантират, че длъжностното лице по защита на данните разполага със средствата за ефективно изпълнение на задълженията и задачите по член 32 при условия на независимост и не получава указания относно упражняването на функциите си.

Член 32 Задачи на длъжностното лице по защита на данните

Държавите-членки предвиждат задължение за администратора или обработващия лични данни да възлага на длъжностното лице по защита на данните най-малко следните задачи:

а)           да информира и съветва администратора или обработващия лични данни за техните задължения в съответствие с разпоредбите, приети съгласно настоящата директива, и да документира тази дейност и получените отговори;

б)           да наблюдава изпълнението и прилагането на стратегиите по отношение на защитата на личните данни, включително възлагането на отговорности, обучаването на персонала, участващ в операциите по обработване, и свързаните с това одити;

в)           да наблюдава изпълнението и прилагането на разпоредбите, приети съгласно настоящата директива, по-специално по отношение на изискванията, свързани със защитата на данните още при проектирането, защитата на данните по подразбиране и сигурността на данните, както и по отношение на информирането на субектите на данни и техните искания при упражняване на правата им съгласно разпоредбите, приети въз основа на настоящата директива;

г)            да гарантира поддържането на документацията, посочена в член 23;

д)           да наблюдава документирането, уведомяването и съобщаването за нарушения на сигурността на личните данни съгласно членове 28 и 29;

е)           да наблюдава прилагането на процедурата за предварителна консултация с надзорния орган, ако съгласно член 26 се изисква такава;

ж)          да наблюдава отговорите на искания от надзорния орган и, в рамките на компетентността на длъжностното лице по защита на данните, да си сътрудничи с надзорния орган по искане на последния или по своя собствена инициатива;

з)            да действа като звено за контакт за надзорния орган по въпроси, свързани с обработването на данни, и, ако е необходимо, да се консултира с надзорния орган по своя собствена инициатива.

ГЛАВА V ПРЕДАВАНЕ НА ЛИЧНИ ДАННИ НА ТРЕТИ ДЪРЖАВИ ИЛИ МЕЖДУНАРОДНИ ОРГАНИЗАЦИИ

Член 33 Общи принципи за предаване на лични данни

Държавите-членки предвиждат, че предаването от компетентни органи на лични данни, които се обработват или са предназначени за обработване след предаването им на трета държава или на международна организация, включително по-нататъшно предаване на друга трета държава или международна организация, може да се извършва, само ако:

а)      предаването е необходимо за предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции; и

б)      администраторът и обработващият лични данни спазват разпоредбите, установени в настоящата глава.

Член 34 Предаване на данни въз основа на решение относно адекватността

1.           Държавите-членки предвиждат, че предаване на лични данни на трета държава или международна организация може да се осъществи когато Комисията е решила в съответствие с член 41 от Регламент (ЕС) № …./2012 или в съответствие с параграф 3 от настоящия член, че третата държава или територия или обработващ сектор в тази трета държава, или въпросната международна организация гарантира адекватно ниво на защита. За такова предаване не се изисква допълнително разрешение.

2.           Когато няма прието решение съгласно член 41 от Регламент (ЕС) № …/2012, Комисията оценява адекватността на нивото на защита, като отчита следните елементи:

а)      принципите на правовата държава, съответното действащо законодателство — както общото, така и секторното — включително това, което се отнася до обществената сигурност, отбраната, националната сигурност и наказателното право, както и мерките за сигурност, които се спазват в тази държава или от тази международна организация; както и действителните и противопоставимите права, включително правото на ефективна административна и съдебна защита за субектите на данни, по-специално за онези субекти на данни, пребиваващи в Съюза, чиито лични данни се предават;

б)      съществуването и ефективното функциониране на един или повече независими надзорни органи във въпросната трета държава или международна организация, отговорни за гарантиране на спазването на правилата за защита на данните, за подпомагане и консултиране на субектите на данни при упражняването на техните права и за осъществяване на сътрудничество с надзорните органи на Съюза и на държавите-членки; и

в)      международните ангажименти, които въпросната трета държава или международна организация е поела.

3.           Комисията може да реши, в рамките на обхвата на настоящата директива, че дадена трета държава или територия или обработващ сектор в тази трета държава, или дадена международна организация осигурява адекватно ниво на защита по смисъла на параграф 2. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 57, параграф 2.

4.           В акта за изпълнение се посочва неговото географско и секторно приложение и, когато е приложимо, се указва надзорният орган, упоменат в параграф 2, буква б).

5.           Комисията може да реши, в рамките на обхвата на настоящата директива, че дадена трета държава или територия или обработващ сектор в тази трета държава, или дадена международна организация не осигурява адекватно ниво на защита по смисъла на параграф 2, по-специално в случаи, в които съответното законодателство, както общото, така и секторното, което е в сила в третата държава или международната организация, не гарантира действащи и противопоставими права, включително право на ефективна административна и съдебна защита за субектите на данни, по-специално за онези субекти на данни, чиито лични данни се предават. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 57, параграф 2, или, в особено спешни за физическите лица случаи във връзка с правото им на защита на личните данни ― в съответствие с процедурата, посочена в член 57, параграф 3.

6.           Държавите-членки вземат мерки, за да гарантират, че когато Комисията вземе решение съгласно параграф 5 за забрана на всякакво предаване на лични данни на третата държава или територия, или обработващ сектор в тази трета държава, или на въпросната международна организация, това решение не възпрепятства предаването на данни съгласно член 35, параграф 1 или съгласно член 36. В подходящия момент Комисията започва консултации с третата държава или международна организация с цел да коригира ситуацията, произтичаща от решението, взето по силата на параграф 5 от настоящия член.

7.           Комисията публикува в Официален вестник на Европейския съюз списък на тези трети държави, територии и обработващи сектори в трета държава или международни организации, за които е решила, че осигуряват или че не осигуряват адекватно ниво на защита.

8.           Комисията наблюдава прилагането на актовете за изпълнение, посочени в параграфи 3 и 5.

Член 35 Предаване на данни с подходящи гаранции

1.           Когато Комисията не е взела решение по силата на член 34 държавите-членки предвиждат, че може да се извърши предаване на лични данни на получател в трета държава или на международна организация когато:

а)      в правно обвързващ инструмент са предвидени подходящи гаранции във връзка със защитата на личните данни; или

б)      администраторът или обработващият лични данни е извършил оценка на всички обстоятелства около прехвърлянето на лични данни и е стигнал до заключението, че по отношение на защитата на личните данни съществуват подходящи гаранции.

1.           Решението за прехвърляния по параграф 1, буква б) трябва да бъде взето от надлежно оправомощен персонал. Тези прехвърляния трябва да бъдат документирани и документацията трябва да се предостави на надзорния орган при поискване.

Член 36 Дерогации

Чрез дерогация от членове 34 и 35 държавите-членки предвиждат, че предаване на лични данни на трета държава или международна организация може да се извърши само при условие че:

а)       предаването е необходимо, за да бъдат защитени жизненоважни интереси на субекта на данни или на друго лице; или

б)       предаването е необходимо, за да бъдат защитени законни интереси на субекта на данните, когато законодателството на държавата-членка, която предава данните, предвижда това; или

в)       предаването на данните е от съществено значение за предотвратяването на непосредствена и сериозна заплаха за обществената сигурност на държава-членка или на трета държава; или

г)       предаването е необходимо в отделни случаи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или за изпълнението на наказателни санкции; или

д)       предаването е необходимо в отделни случаи за установяването, упражняването или защитата на правни претенции, свързани с предотвратяването, разследването, разкриването или наказателното преследване на конкретно престъпление или за изпълнението на конкретна наказателна санкция.

Член 37 Специални условия за предаването на лични данни

Държавите-членки предвиждат задължение за администратора да информира получателя на личните данни за всички ограничения върху обработването и да вземе всички основателни мерки, за да гарантира, че тези ограничения се спазват.

Член 38 Международно сътрудничество за защита на личните данни

1.           По отношение на трети държави и международни организации Комисията и държавите-членки предприемат подходящи мерки за:

а)      разработване на ефективни механизми за международно сътрудничество с цел улесняване на прилагането на законодателството за защита на личните данни;

б)      осигуряване на международна взаимопомощ при прилагането на законодателството за защита на личните данни, включително чрез уведомяване, препращане на жалби, помощ при разследвания и обмен на информация при условие, че има подходящи гаранции за защитата на личните данни и другите основни права и свободи;

в)      включване на съответните заинтересовани страни в обсъждания и дейности, насочени към допълнително задълбочаване на международното сътрудничество за прилагането на законодателството за защита на личните данни;

г)       насърчаване на обмена и документирането на законодателството и практиките в областта на защитата на личните данни.

2.           За целите на параграф 1 Комисията взема подходящи мерки за укрепване на отношенията с трети държави или международни организации, и по-специално с техните надзорни органи, когато Комисията е решила, че те осигуряват адекватно ниво на защита по смисъла на член 34, параграф 3.

ГЛАВА VI НЕЗАВИСИМИ НАДЗОРНИ ОРГАНИ

РАЗДЕЛ 1 НЕЗАВИСИМ СТАТУТ

Член 39 Надзорен орган

1. Всяка държава-членка предвижда, че един или повече публични органи отговарят за наблюдението на прилагането на разпоредбите, приети съгласно настоящата директива, и допринасят за нейното съгласувано прилагане навсякъде в Съюза с цел да се защитят основните права и свободи на физическите лица във връзка с обработването на личните им данни и да се улесни свободното движение на лични данни в рамките на Съюза. За тази цел надзорните органи си сътрудничат помежду си и с Комисията.

2. Държавите-членки могат да предвидят, че надзорният орган, създаден от тях по силата на Регламент (ЕС) № ..../2012, отговаря за изпълнението на задачите на надзорния орган, които трябва да бъде създаден съгласно параграф 1 от настоящия член.

3. Когато в дадена държава-членка е създаден повече от един надзорен орган, тази държава-членка определя надзорния орган, който ще функционира като единно звено за контакт за ефективното участие на тези органи в Европейския комитет по защита на данните.

Член 40 Независимост

1.           Държавите-членки гарантират, че надзорният орган действа напълно независимо при изпълнението на задълженията и правомощията, които са му възложени.

2.           Всяка държава-членка предвижда, че при изпълнение на своите задължения членовете на надзорния орган не търсят и не приемат указания от никого.

3.           Членовете на надзорния орган се въздържат от всякакви несъвместими с длъжностните им задължения действия и по време на своя мандат не се ангажират с никакви несъвместими функции, независимо дали срещу възнаграждение или безвъзмездно.

4.           Членовете на надзорния орган проявяват почтеност и тактичност по отношение на приемането на назначения и облаги след края на мандата си.

5.           Всяка държава-членка гарантира, че на надзорния орган са предоставени подходящи човешки, технически и финансови ресурси, помещения и инфраструктура, необходими за ефективното изпълнение на неговите задължения и правомощия, включително на тези, които ще бъдат изпълнявани в контекста на взаимопомощта, сътрудничеството и активното участие в Европейския комитет по защита на данните.

6            Всяка държава-членка гарантира, че надзорният орган трябва да има свой собствен персонал, който се назначава от ръководителя на надзорния орган и e подчинен на него.

7.           Държавите-членки гарантират, че по отношение на надзорния орган се извършва финансов контрол, който не накърнява неговата независимост. Държавите-членки гарантират, че надзорният орган има отделни годишни бюджети. Бюджетите се оповестяват публично.

Член 41 Общи условия за членовете на надзорния орган

1.           Държавите-членки предвиждат, че членовете на надзорния орган трябва да се назначават или от парламента, или от правителството на съответната държава-членка.

2.           Членовете се избират измежду лица, чиято независимост не подлежи на съмнение и за които е доказано, че притежават необходимите опит и умения, за да изпълняват задълженията си.

3.           Задълженията на даден член приключват при изтичането на мандата му, подаването на оставка или задължителното му пенсиониране в съответствие с параграф 5.

4.           Член на надзорния орган може да бъде освободен или лишен от правото на пенсия или други облаги от компетентния национален съд, ако този член престане да отговаря на необходимите условия за изпълнение на задълженията или е виновен за извършването на тежко провинение.

5.           При изтичане на мандата или подаване на оставка от даден член, той продължава да изпълнява задълженията си, докато бъде назначен нов член.

Член 42 Правила за създаването на надзорния орган

Всяка държава-членка урежда със закон:

а)           създаването и статута на надзорния орган в съответствие с членове 39 и 40;

б)           необходимите квалификации, опит и умения за изпълнение на задълженията на членовете на надзорния орган;

в)           правилата и процедурите за назначаването на членовете на надзорния орган, както и правилата относно несъвместимите със служебните им задължения действия или функции;

г)            продължителността на мандата на членовете на надзорния орган, която е не по-малко от четири години, с изключение на първите назначения след влизането в сила на настоящата директива, някои от които може да са за по-кратък срок;

д)           дали членовете на надзорния орган могат да бъдат преназначавани;

е)           правилника и общите условия за изпълнение на задълженията на членовете и персонала на надзорния орган;

ж)          правилата и процедурите за прекратяване на задълженията на членовете на надзорния орган, включително ако престанат да отговарят на необходимите условия за изпълнение на техните задължения или са виновни за извършването на тежко провинение.

Член 43 Професионална тайна

Държавите-членки предвиждат, че както по време на мандата си, така и след неговото изтичане, членовете и персоналът на надзорния орган са обвързани със задължение за опазване на професионална тайна по отношение на всякаква поверителна информация, която е стигнала до тяхното знание в хода на изпълнение на служебните им задължения.

РАЗДЕЛ 2 ЗАДЪЛЖЕНИЯ И ПРАВОМОЩИЯ

Член 44 Компетентност

1.           Държавите-членки предвиждат, че всеки надзорен орган упражнява на територията на своята държава-членка правомощията, предоставени му в съответствие с настоящата директива.

2.           Държавите-членки предвиждат, че надзорният орган не е компетентен да осъществява надзор на дейностите по обработване, извършвани от съдилищата при изпълнение на съдебните им функции.

Член 45 Задължения

1.           Държавите-членки предвиждат, че надзорният орган:

а)      наблюдава и гарантира прилагането на разпоредбите, приети съгласно настоящата директива, и мерките за изпълнението ѝ;

б)      разглежда жалбите, подадени от субект на данни или от сдружение, представляващо субекта на данни и надлежно упълномощено от него, в съответствие с член 50, разследва техния предмет дотолкова, доколкото това е целесъобразно, и информира субекта на данни или сдружението за напредъка и резултата от жалбата в разумен срок, особено ако е необходимо по-нататъшно разследване или координиране с друг надзорен орган;

в)      проверява законосъобразността на обработването на данните съгласно член 14 и информира в разумен срок субекта на данните за резултата от проверката или за причините, поради които проверката не е била извършена;

г)       предоставя взаимопомощ на други надзорни органи и осигурява съгласуваното прилагане и изпълнение на разпоредбите, приети по силата на настоящата директива;

д)      провежда разследвания по своя инициатива или въз основа на жалба, или по искане на друг надзорен орган и информира в разумен срок съответния субект на данни, ако той е подал жалба, за резултата от разследванията;

е)      наблюдава съответното развитие, по-специално в областта на информационните и комуникационни технологии, дотолкова доколкото то има въздействие върху защитата на личните данни;

ж)     предоставя консултации на институциите и органите на държавата-членка относно законодателни и административни мерки, отнасящи се до защитата на правата и свободите на физическите лица по отношение на обработването на лични данни;

з)       предоставя консултации относно операциите по обработване съгласно член 26;

(i)      участва в дейностите на Европейския комитет по защита на данните.

2.           Всеки надзорен орган насърчава обществената информираност относно рисковете, правилата, гаранциите и правата, свързани с обработването на лични данни. Обръща се специално внимание на дейностите, конкретно насочени към децата.

3.           При поискване надзорният орган консултира субектите на данни при упражняването на правата, установени с разпоредби, приети съгласно настоящата директива, и ако е целесъобразно, си сътрудничи за тази цел с надзорните органи в други държави-членки.

4.           За жалбите, посочени в параграф 1, буква б), надзорният орган предоставя формуляр за подаване на жалби, който може да бъде попълнен по електронен път, без да се изключват други средства за комуникация.

5.           Държавите-членки предвиждат, че изпълнението на задълженията на надзорния орган е безплатно за субекта на данни.

6.           Когато исканията са проява на злонамереност, по-специално поради своята повторяемост, надзорният орган може да поиска заплащането на дадена сума или да не изпълни поисканото от субекта на данни действие. Надзорният орган носи тежестта на доказване на злонамереността на искането.

Член 46 Правомощия

Държавите-членки предвиждат, че на всеки надзорен орган трябва по-специално да бъдат предоставени:

а)      правомощия за разследване, например правомощия за достъп до данните, които са обект на операциите по обработване, и правомощия да събира цялата информация, необходима за изпълнението на неговите надзорни функции;

б)      действителни правомощия за намеса, например даване на становища преди извършването на обработване и осигуряване на подходящо публикуване на тези становища, даване на разпореждания за ограничаване, заличаване или унищожаване на данни, налагане на временна или окончателна забрана за обработване, отправяне на предупреждения или порицания към администратора или отнасяне на въпроса до националните парламенти или други политически институции;

в)      правомощието да участва в съдебни производства, когато разпоредбите, приети по силата на настоящата директива, са нарушени, или да сезира съдебните органи за нарушение.

Член 47 Доклад за дейността

Държавите-членки предвиждат, че всеки надзорен орган изготвя годишен доклад за дейността си. Докладът се предоставя на Комисията и на Европейския комитет по защита на данните.

ГЛАВА VII СЪТРУДНИЧЕСТВО

Член 48 Взаимопомощ

1.           Държавите-членки предвиждат, че надзорните органи се подпомагат взаимно, за да изпълняват и прилагат разпоредбите съгласно настоящата директива по съгласуван начин, и въвеждат мерки за ефективно сътрудничество помежду си. Взаимопомощта обхваща по-специално искания за информация и мерки за надзор, например искания за извършване на предварителни консултации, проверки и разследвания.

2.           Държавите-членки предвиждат задължение за надзорния орган да взема всички подходящи мерки, които са необходими, за да отговори на исканията на друг надзорен орган.

3.           Надзорният орган, до който е отправено искането, информира искащия надзорен орган за резултатите или, в зависимост от случая, за напредъка или предприетите мерки за изпълнение на искането на искащия надзорен орган.

Член 49 Задачи на Европейския комитет по защита на данните

1.           В рамките на настоящата директива Европейският комитет по защита на данните, създаден с Регламент (ЕС) № …/2012, изпълнява следните задачи във връзка с обработването:

а)      консултира Комисията по всеки въпрос, свързан със защитата на личните данни в Съюза, включително относно всяко предложено изменение на настоящата директива;

б)      разглежда по искане на Комисията, по своя собствена инициатива или по инициатива на някой от своите членове всеки въпрос, който се отнася до прилагането на разпоредбите, приети съгласно настоящата директива, и издава насоки, препоръки и най-добри практики, предназначени за надзорните органи с цел насърчаване на съгласуваното прилагане на тези разпоредби;

в)      извършва преглед на практическото прилагане на насоките, препоръките и най-добрите практики, посочени в буква б), и докладва редовно на Комисията за това;

г)       предоставя на Комисията становища относно нивото на защита в трети държави или международни организации;

д)      насърчава сътрудничеството и ефективния двустранен и многостранен обмен на информация и практики между надзорните органи;

е)      насърчава общите програми за обучение и улеснява обмена на персонал между надзорните органи, както и с надзорните органи на трети държави или на международни организации, когато е целесъобразно;

ж)     насърчава обмена на знания и документация с надзорните органи по защита на данните в цял свят, включително законодателство и практики в областта на защитата на данните.

2.       Когато Комисията поиска съвет от Европейския комитет по защита на данните, тя може да определи срок, в рамките на който последният да предостави такъв съвет, като се взема предвид спешността на въпроса.

3.           Европейският комитет по защита на данните изпраща своите становища, насоки, препоръки и най-добри практики на Комисията и на комитета, посочен в член 57, параграф 1, и ги прави обществено достояние.

4.           Комисията информира Европейския комитет по защита на данните за действията, които е предприела вследствие на становищата, насоките, препоръките и най-добрите практики, издадени от Европейския комитет по защита на данните.

ГЛАВА VIII СРЕДСТВА ЗА ПРАВНА ЗАЩИТА, ОТГОВОРНОСТ ЗА ПРИЧИНЕНИ ВРЕДИ И САНКЦИИ

Член 50 Право на подаване на жалба до надзорен орган

1.           Без да се засягат които и да било други средства за административна или правна защита, държавите-членки предвиждат всеки субект на данни да има право да подаде жалба до надзорен орган в която и да било държава-членка, ако счита, че обработването на личните му данни не е в съответствие с разпоредбите, приети съгласно настоящата директива.

2.           Държавите-членки предвиждат право за всяка структура, организация или сдружение, учредено съгласно правото на държава-членка и чиято цел е да защитава правата и интересите на субектите на данни по отношение на защитата на техните лични данни, да подава жалби до надзорен орган в която и да било държава-членка от името на един или повече субекти на данни, когато счита, че правата на даден субект на данни съгласно настоящата директива са били нарушени вследствие на обработването на лични данни. Организацията или сдружението трябва да бъдат надлежно упълномощени от субекта(ите) на данни.

3.           Държавите-членки предвиждат право за всяка структура, организация или сдружение, посочено в параграф 2, да подаде жалба до надзорен орган в която и да било държава-членка независимо от подадена от субект на данни жалба, когато счита, че е налице нарушение на сигурността на личните данни.

Член 51 Право на средства за съдебна защита срещу надзорен орган

1. Държавите-членки регламентират правото на средства за съдебна защита срещу решенията на надзорен орган.

2. Всеки субект на данни има право на средства за съдебна защита, за да задължи надзорния орган да предприеме действия по жалба, в случай че липсва решение, необходимо за защита на неговите права, или когато надзорният орган не информира субекта на данни в срок от три месеца за напредъка или резултата от жалбата съгласно член 45, параграф 1, буква б).

3. Държавите-членки предвиждат, че производствата срещу надзорните органи се завеждат пред съдилищата на държавата-членка, в която е установен съответния надзорен орган.

Член 52 Право на средства за съдебна защита срещу администратор или обработващ лични данни

Без да се засяга което и да било административно средство за правна защита, което е на разположение, включително правото да се подаде жалба до надзорен орган, държавите-членки регламентират правото на всяко физическо лице на средства за съдебна защита, ако то счита, че правата му, установени в разпоредби, приети съгласно настоящата директива, са нарушени вследствие на обработването на неговите лични данни при неспазване на горепосочените разпоредби.

Член 53 Общи правила за съдебните производства

1.           Държавите-членки предвиждат всички структури, организации или сдружения, посочени в член 50, параграф 2, да имат право да упражняват правата, посочени в членове 51 и 52, от името на един или повече субекти на данни.

2.           Всеки надзорен орган има право да участва в съдебни производства и да завежда дела пред съдилища с цел изпълнение на разпоредбите, приети съгласно настоящата директива, или с цел осигуряване на съгласуваност на защитата на лични данни в рамките на Съюза.

3.           Държавите-членки гарантират, че съдебните производства, които са на разположение съгласно националното право, позволяват бързото приемане на мерки, включително временни мерки, предназначени за преустановяването на предполагаемо нарушение и за предотвратяването на по-нататъшно накърняване на съответните интереси.

Член 54 Отговорност за причинени вреди и право на обезщетение

1.           Държавите-членки предвиждат, че всяко лице, което е претърпяло вреди в резултат на неправомерна операция по обработване или действие, което е несъвместимо с разпоредбите, приети съгласно настоящата директива, има право да получи обезщетение от администратора или обработващия лични данни за претърпените вреди.

2.           Ако в обработването са участвали повече от един администратор или обработващ лични данни, всеки от тях е солидарно отговорен за целия размер на вредите.

3.           Администраторът или обработващият лични данни може да бъде изцяло или частично освободен от такава отговорност, ако докаже, че не носи отговорност за събитието, довело до причиняване на вредите.

Член 55 Санкции

Държавите-членки установяват правилата относно санкциите, които се налагат при нарушения на разпоредбите, приети в съответствие с настоящата директива, и вземат всички необходими мерки за гарантиране на тяхното изпълнение. Предвидените санкции трябва да бъдат ефективни, пропорционални и възпиращи.

ГЛАВА IX ДЕЛЕГИРАНИ АКТОВЕ И АКТОВЕ ЗА ИЗПЪЛНЕНИЕ

Член 56 Упражняване на делегирането

1.           Правомощието да приема делегирани актове се предоставя на Комисията при спазване на предвидените в настоящия член условия.

2.           Правомощието да приема делегирани актове, посочено в член 28, параграф 5, се предоставя на Комисията за неопределен срок, считано от влизането в сила на настоящата директива.

3.           Делегирането на правомощия, посочено в член 28, параграф 5, може да бъде оттеглено по всяко време от Европейския парламент или от Съвета. С решението за оттегляне се прекратява посоченото в него делегиране на правомощия. То поражда действие в деня след публикуването на решението в Официален вестник на Европейския съюз или на по-късна, посочена в решението дата. То не засяга действителността на делегираните актове, които вече са в сила.

4.           Веднага след като приеме делегиран акт, Комисията нотифицира акта едновременно на Европейския парламент и Съвета.

5.           Делегиран акт, приет съгласно член 28, параграф 5, влиза в сила единствено ако нито Европейският парламент, нито Съветът не са представили възражения в срок от два месеца след нотифицирането на акта на Европейския парламент и Съвета или ако преди изтичането на този срок и Европейският парламент, и Съветът са уведомили Комисията, че няма да представят възражения. Този срок се удължава с 2 месеца по инициатива на Европейския парламент или на Съвета.

Член 57 Процедура на комитет

1. Комисията се подпомага от комитет. Този комитет е комитет по смисъла на Регламент (ЕС) № 182/2011.

2. При позоваване на настоящия параграф се прилага член 5 от Регламент (ЕС) № 182/2011.

3. При позоваване на настоящия параграф се прилага член 8 от Регламент (ЕС) № 182/2011 във връзка с член 5 от него.

ГЛАВА X ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ

Член 58 Отмяна

1.           Рамково решение 2008/977/ПВР на Съвета се отменя.

2.           Позоваванията на отмененото рамково решение, посочено в параграф 1, се тълкуват като позовавания на настоящата директива.

Член 59 Връзка с предишни актове на Съюза за съдебно сътрудничество по наказателноправни въпроси и полицейско сътрудничество

Специалните разпоредби относно обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции, съдържащи се в актове на Съюза, приети преди датата на приемане на настоящата директива, с които се регламентират обработването на лични данни между държавите-членки и достъпът на определени органи на държавите-членки до информационни системи, създадени съгласно Договорите, и които попадат в приложното поле на настоящата директива, остават незасегнати.

Член 60 Връзка с по-рано сключени международни споразумения в областта на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество

Международните споразумения, сключени от държавите-членки преди влизането в сила на настоящата директива, се изменят, когато е необходимо, в срок от пет години след влизането в сила на настоящата директива.

Член 61 Оценка

1.           Комисията извършва оценка на прилагането на настоящата директива.

2.           В срок от три години след влизането в сила на настоящата директива Комисията извършва преглед на други актове, приети от Европейския съюз, които регламентират обработването на лични данни от компетентни органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции, по-специално приетите от Съюза актове, посочени в член 59, за да прецени необходимостта от привеждането им в съответствие с настоящата директива и, ако е целесъобразно, да изготви необходимите предложения за изменение на тези актове, така че да се осигури съгласуван подход към защитата на личните данни в рамките на приложното поле на настоящата директива.

3.           Съгласно параграф 1 Комисията редовно представя на Европейския парламент и на Съвета доклади относно оценката и прегледа на настоящата директива. Първите доклади се представят не по-късно от четири години след влизането в сила на настоящата директива. Следващите доклади се представят на всеки четири години след това. Комисията представя, ако е необходимо, подходящи предложения за изменение на настоящата директива и за привеждане в съответствие на други правни инструменти. Докладът се оповестява публично.

Член 62 Изпълнение

1.           Държавите-членки приемат и публикуват най-късно до [дата/две години след влизането в сила] законовите, подзаконовите и административните разпоредби, необходими, за да се съобразят с настоящата директива. Те незабавно съобщават на Комисията текста на тези разпоредби.

Те прилагат посочените разпоредби от xx.xx.201x г. [дата/две години след влизането в сила].

Когато държавите-членки приемат тези разпоредби, в тях се съдържа позоваване на настоящата директива или то се извършва при официалното им публикуване. Условията и редът на позоваване се определят от държавите-членки.

2.           Държавите-членки съобщават на Комисията текста на основните разпоредби в националното право, които те приемат в областта, уредена с настоящата директива.

Член 63 Влизане в сила и прилагане

Настоящата директива влиза в сила на първия ден след деня на публикуването ѝ в Официален вестник на Европейския съюз.

Член 64 Адресати

Адресати на настоящата директива са държавите-членки.

Съставено в Брюксел на 25.1.2012 година.

За Европейския парламент                         За Съвета

Председател                                                Председател

[1]               Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 г. за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни, ОВ L 281/95, стр. 31.

[2]               Вж. пълния списък в приложение 3 към оценката на въздействието (SEC(2012)72).

[3]               Рамково решение 2008/977/ПВР на Съвета от 27 ноември 2008 г. относно защитата на личните данни, обработвани в рамките на полицейското и съдебното сътрудничество по наказателноправни въпроси, ОВ L 350, 30.12.2008 г., стр. 60.

[4]               В Стокхолмската програма, ОВ C 115, 4.5.2010 г., стр. 1.

[5]               Вж. резолюцията на Европейския парламент относно Стокхолмската програма, приета на 25 ноември 2009 г.

[6]               COM(2010)171 окончателен.

[7]               Европейска комисия, Съобщение относно „Всеобхватен подход за защита на личните данни в Европейския съюз“, COM(2010)609 окончателен, 4 ноември 2010 г.

[8]               Декларация 21 относно защитата на личните данни в областта на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество (приложена към заключителния акт на Междуправителствената конференция, която прие Договора от Лисабон, 13.12.2007 г.).

[9]               http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm.

[10]             http://ec.europa.eu/justice/newsroom/data-protection/opinion/101104_en.htm.

[11]             Специално проучване на Евробарометър (ЕБ) 359, Защитата на данните и електронната самоличност в ЕС (2011 г.): http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf.

[12]             Вж. Проучването за икономическите ползи от технологиите за подобряване на защитата на личния живот или Сравнителното проучване на различни подходи към новите предизвикателства пред неприкосновеността на личния живот, по-специално с оглед на технологичното развитие, януари 2010 г.     (http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf).

[13]             Работната група беше създадена през 1996 г. (съгласно член 29 от Директивата) със съвещателен статут и е съставена от представители на националните надзорни органи по защита на данните (ОЗД), Европейския надзорен орган по защита на данните (ЕНОЗД) и Комисията. За повече информация относно нейните дейности, вж. http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm.

[14]             Вж. по-специално следните становища: относно „Бъдещето на неприкосновеността на личния живот“ (2009, WP 168); относно понятията „администратор на лични данни“ и „лице, което обработва данните“ (1/2010, WP 169); относно поведенческите реклами онлайн (2/2010, WP 171); относно принципа на отчетността (3/2010, WP 173); относно приложимото право (8/2010, WP 179); и относно съгласието (15/2011, WP 187). По искане на Комисията тя прие също следните три консултативни документа: относно уведомленията, относно чувствителните данни и относно практическото прилагане на член 28, параграф 6 от Директива 95/46/ЕО. Те могат да бъдат намерени на адрес: http://ec.europa.eu/justice/data-protection/article-29/documentation/index_en.htm.

[15]             Достъпно на уебсайта на ЕНОЗД: http://www.edps.europa.eu/EDPSWEB/.

[16]             Резолюция на ЕП от 6 юли 2011 г. относно всеобхватния подход за защита на личните данни в Европейския съюз (2011/2025(INI), http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P7-TA-2011-0323&language=EN&ring=A7-2011-0244 (докладчик: Axel Voss, член на Европейския парламент (ЕНП) от Германия).

[17]             CESE 999/2011.

[18]             SEC(2012)72.

[19]             COM(2012)12.

[20]             Съд на Европейския съюз, решение от 9 ноември 2010 г. по съединени дела Volker und Markus Schecke (C-92/09) и Eifert (C-93/09), Сборник, стр. I-0000.

[21]             В съответствие с член 52, параграф 1 от Хартата ограничения могат да бъдат налагани върху упражняването на правото на защита на данните, доколкото такива ограничения са предвидени по закон, зачитат основното съдържание на същите права и свободи и, при спазване на принципа на пропорционалност, са необходими и действително отговарят на признати от Европейския съюз цели от общ интерес или на необходимостта да се защитят правата и свободите на други хора.

[22]             Препратка към нея има също така в член 2, буква а) от Директива 2011/92/ЕС на Европейския парламент и на Съвета от 13 декември 2011 г. относно борбата със сексуалното насилие и със сексуалната експлоатация на деца, както и с детската порнография и за замяна на Рамково решение 2004/68/ПВР на Съвета, ОВ L 335, 17.12.2011 г., стр. 1.

[23]             COM(2005) 475 окончателен.

[24]             Член 14 от Решение 2009/371/ПВР за Европол.

[25]             Член 15 от Решение 2009/426/ПВР за Евроюст.

[26]             Член 14 от Решение 2009/371/ПВР за Европол.

[27]             ЕСПЧ, решение от 4.12.2008 г. по дело S. and Marper с/у UK (заявления № 30562/04 и № 30566/04).             

[28]             Приета на 5.11.2009 г. от Международната конференция на комисарите по неприкосновеността на личния живот и защитата на данните.

[29]             Съд на Европейския съюз, решение от 9.3.2010 г. по дело Комисия/Германия (C-518/07, Сборник 2010 г., стр. I-1885).

[30]             Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета от 18 декември 2000 г. относно защитата на лицата по отношение на обработката на лични данни от институции и органи на Общността и за свободното движение на такива данни, ОВ L 8, 12.1.2001 г., стр. 1.

[31]             Цитирано по-горе, бележка под линия 27.

[32]             Директива 2000/31/ЕО на Европейския парламент и на Съвета от 8 юни 2000 г. за някои правни аспекти на услугите на информационното общество, и по-специално на електронната търговия на вътрешния пазар (Директива за електронната търговия), OВ L 178, 17.7.2000 г., стр. 1.

[33]             ОВ C […], […], стр. […].

[34]             OВ L 281, 23.11.1995 г., стр. 31.

[35]             OВ L 350, 30.12.2008 г., стр. 60.

[36]             OВ L 55, 28.2.2011 г., стр. 13.

[37]             ОВ L 335, 17.12.2011 г., стр. 1.

[38]             OВ L 176, 10.7.1999 г., стр. 36.

[39]             OВ L 53, 27.2.2008 г., стр. 52.            

[40]             ОВ L 160, 18.6.2011 г., стр. 19.