Този текст служи само за информационни цели и няма правно действие. Институциите на Съюза не носят отговорност за неговото съдържание. Автентичните версии на съответните актове, включително техните преамбюли, са версиите, публикувани в Официален вестник на Европейския съюз и налични в EUR-Lex. Тези официални текстове са пряко достъпни чрез връзките, публикувани в настоящия документ

ДИРЕКТИВА (ЕС) 2016/680 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА

относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания и относно свободното движение на такива данни, и за отмяна на Рамково решение 2008/977/ПВР на Съвета

1. С настоящата директива се установяват правилата във връзка със защитата на физическите лица по отношение на обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване.

2. В съответствие с настоящата директива държавите членки:

б) гарантират, че обменът на лични данни от компетентните органи в Съюза, когато такъв обмен се изисква по силата на правото на Съюза или на държава членка, не се ограничава, нито забранява по причини, свързани със защитата на физическите лица по отношение на обработването на лични данни.

3. Настоящата директива не възпрепятства държавите членки да предвиждат по-строги предпазни мерки от установените в настоящата директива за защитата на правата и свободите на субекта на данните по отношение на обработването на лични данни от компетентните органи.

1. Настоящата директива се прилага за обработването на лични данни от компетентните органи за целите, посочени в член 1, параграф 1.

2. Настоящата директива се прилага за обработването на лични данни изцяло или частично с автоматични средства, както и за обработването с други средства на лични данни, които са част от регистър с лични данни или са предназначени да съставляват част от такъв регистър.

3. Настоящата директива не се прилага за обработването на лични данни:

1) „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата и умствената, икономическата, културната или социалната идентичност на това физическо лице;

2) „обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друга форма на осигуряване на достъп до данните, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

4) „профилиране“ означава всяка форма на автоматизирано обработване на лични данни, изразяващо се в използване на лични данни за оценяване на някои лични аспекти, свързани с дадено физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение;

5) „псевдонимизация“ означава обработването на лични данни по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано;

6) „регистър с лични данни“ означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;

а) всеки публичен орган, който е компетентен за предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване; или

б) всякакъв друг орган или образувание, който по силата на правото на държава членка разполага с публична власт и публични правомощия за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване;

8) „администратор“ означава компетентният орган, който сам или съвместно с други органи определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държавата членка;

9) „обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;

10) „получател“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на държава членка, не се считат за получатели; обработването на тези данни от тези публични органи отговаря на приложимите правила за защита на данните съгласно целите на обработването;

11) „нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;

12) „генетични данни“ означава лични данни, свързани с наследени или придобити генетични белези на дадено физическо лице, които дават уникална информация относно физиологията или здравето на това физическо лице и които са получени по-специално чрез анализ на биологична проба от въпросното физическо лице;

13) „биометрични данни“ означава лични данни, получени в резултат на специфично техническо обработване, които са свързани с физическите, физиологичните или поведенческите характеристики на дадено физическо лице и които позволяват или потвърждават уникалната идентификация на това физическо лице, като лицеви изображения или дактилоскопични данни;

14) „данни за здравословното състояние“ означава лични данни, свързани с физическото или психическото здраве на физическо лице, включително предоставянето на здравни услуги, които дават информация за здравословното му състояние;

16) „международна организация“ означава организация и нейните подчинени органи, регламентирани от международното публично право, или друг орган, създаден чрез или въз основа на споразумение между две или повече държави.

Принципи, свързани с обработването на лични данни

1. Държавите членки гарантират, че личните данни са:

г) точни и, при необходимост, поддържани в актуален вид; трябва да се предприемат всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват;

д) съхранявани във вид, който позволява идентифицирането на субектите на данните за период не по-дълъг от необходимия за целите, за които те се обработват;

е) обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки.

2. Обработването от същия или друг администратор за която и да е от целите, посочени в член 1, параграф 1, различна от целта, за която личните данни са събрани, се разрешава, при условие че:

а) администраторът е оправомощен да обработва такива лични данни за такава цел в съответствие с правото на Съюза или правото на държава членка; и

3. Обработването от същия или друг администратор може да включва архивиране в обществен интерес, използване за научни, статистически или исторически цели съгласно посоченото в член 1, параграф 1, при прилагането на подходящи гаранции за правата и свободите на субектите на данните.

4. Администраторът носи отговорност за спазването на параграфи 1, 2 и 3 и е в състояние да го докаже.

Държавите членки предвиждат да бъдат определени подходящи срокове за изтриването на лични данни или за периодична проверка на необходимостта от съхранението на лични данни. Спазването на тези срокове се гарантира чрез процедурни мерки.

Разграничение между различните категории субекти на данни

Държавите членки предвиждат, когато е приложимо и доколкото е възможно, администраторът да прави ясно разграничение между личните данни на различни категории субекти на данни, например:

в) лица, пострадали от престъпление или лица, по отношение на които определени факти дават основание да се счита, че може да са пострадали от престъпление; и

г) други трети лица по отношение на престъпление, например лица, които биха могли да бъдат призовани да свидетелстват при разследване на престъпления или при последващи наказателни производства, лица, които могат да предоставят информация за престъпления или свързани лица, или съучастници на някое от лицата, посочени в букви а) и б).

Разграничение между лични данни и проверка на качеството на личните данни

1. Държавите членки предвиждат доколкото е възможно да се прави разграничение между лични данни, основани на факти, и лични данни, основани на лични оценки.

2. Държавите членки предвиждат компетентните органи да предприемат всички разумни стъпки, за да гарантират, че лични данни, които са неточни, непълни или вече не са актуални, не се предават или не се предоставят. За тази цел всеки компетентен орган, доколкото това е практически възможно, проверява качеството на личните данни преди тяхното предаване или предоставяне. Доколкото е възможно, при всяко предаване на лични данни се добавя необходимата информация, позволяваща на получаващия компетентен орган да оцени степента на точност, пълнота и надеждност на личните данни и до каква степен са актуални.

3. Ако се окаже, че са предадени неверни лични данни или че личните данни са предадени незаконосъобразно, получателят се уведомява незабавно. В такъв случай личните данни се коригират или заличават или обработването им се ограничава в съответствие с член 16.

1. Държавите членки предвиждат обработването да бъде законосъобразно само ако и доколкото то е необходимо за изпълнението на задача, осъществявана от компетентен орган за целите, определени в член 1, параграф 1, и е въз основа на правото на Съюза или правото на държава членка.

2. В правото на държавата членка, регламентиращо обработването, попадащо в обхвата на настоящата директива, се посочват най-малко общите цели на обработването, личните данни, които се обработват, и конкретните цели на обработването.

1. Личните данни, събирани от компетентните органи за целите, посочени в член 1, параграф 1, не се обработват за други цели, освен посочените в член 1, параграф 1, освен когато това обработване е разрешено от правото на Съюза или правото на държава членка. Когато личните данни се обработват за такива други цели се прилага Регламент (ЕС) 2016/679 освен ако обработването се извършва в хода на дейност, която е извън обхвата на правото на Съюза.

2. Когато съгласно правото на държава членка компетентните органи са натоварени с изпълнението на задачи, различни от тези за изпълнението на целите, посочени в член 1, параграф 1, за обработването за такива цели се прилага Регламент (ЕС) 2016/679, включително за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели, освен ако обработването се извършва в хода на дейност, която е извън обхвата на правото на Съюза.

3. Държавите членки предвиждат, че когато правото на Съюза или на държава членка, приложимо за предаващия компетентен орган, предвижда специфични условия за обработването, предаващият компетентен орган уведомява получателя на тези лични данни, за тези условия и за изискването за съобразяването с тях.

4. Държавите членки предвиждат предаващият компетентен орган да не прилага условията по параграф 3 към получатели в други държави членки или към агенции, служби и органи, създадени съгласно дял V, глави 4 и 5 от ДФЕС, ако са различни от тези, които се прилагат при подобно предаване на данни в рамките на държавата членка на предаващия компетентен орган.

Обработване на специални категории лични данни

Обработването на лични данни, разкриващо расов или етнически произход, политически възгледи, религиозни или философски убеждения, членство в професионални съюзи, обработването на генетични данни, биометрични данни с цел уникално идентифициране на физическото лице, данни, свързани със здравето или сексуалния живот и сексуалната ориентация на лицето, е разрешено само когато това е абсолютно необходимо и при подходящи гаранции за правата и свободите на субекта на данни и само ако:

Автоматизирано вземане на индивидуални решения

1. Държавите членки предвиждат вземането на решение, основано единствено на автоматизирано обработване, включително профилиране, което поражда неблагоприятни правни последици за субекта на данните или съществено го засяга, да бъде забранено освен ако това не е разрешено от правото на Съюза или правото на държава членка, което се прилага спрямо администратора и което осигурява подходящи гаранции за правата и свободите на субекта на данните, най-малко правото да получи човешка намеса от страна на администратора.

2. Решенията по параграф 1 от настоящия член не се основават на специалните категории лични данни, посочени в член 10, освен ако не са въведени подходящи мерки за защита на правата и свободите и легитимните интереси на субекта на данните.

3. В съответствие с правото на Съюза се забранява профилирането, което води до дискриминация на физически лица въз основа на специалните категории лични данни, посочени в член 10.

Комуникация и ред и условия за упражняването на правата на субекта на данни

1. Държавите членки предвиждат администраторът да предприема разумни мерки за предоставяне на субекта на данни на информация по член 13 и за осигуряване на комуникацията във връзка с членове 11, 14—18 и 31 относно обработването в сбита, разбираема и леснодостъпна форма, като използва ясен и прост език. Информацията се предоставя по всякакъв подходящ начин, включително по електронен път. Като общо правило администраторът предоставя информацията в същата форма като тази на искането.

2. Държавите членки предвиждат администраторът да улеснява упражняването на правата на субекта на данни, посочени в членове 11 и 14—18.

3. Държавите членки предвиждат администраторът да информира писмено и без излишно забавяне субекта на данните за действията, предприети във връзка с неговото искане.

4. Държавите членки предвиждат информацията, предоставена по член 13, и комуникацията или действията, предприети съгласно членове 11, 14—18 и 31, да се предоставят безплатно. Когато исканията от даден субект на данни са очевидно неоснователни или прекомерни, по-специално поради своята повторяемост, администраторът може:

а) да начисли такса в разумен размер, като взема предвид административните разходи за предоставяне на информация или на комуникация или за предприемане на действия по искането; или

Администраторът носи тежестта на доказване на очевидно неоснователния или прекомерен характер на искането.

5. Когато администраторът има основателни опасения във връзка със самоличността на физическото лице, което подава искане по членове 14 или 16, той може да поиска да се предостави допълнителна информация, необходима за потвърждаване на самоличността на субекта на данните.

Информация, до която се осигурява достъп или която се предоставя на субекта на данните

1. Държавите членки предвиждат администраторът да предоставя на субектите на данни най-малко следната информация:

д) съществуването на право да се изиска от администратора достъп до, коригиране или изтриване на лични данни и ограничаване на обработването на лични данни, свързано със субекта на данните.

2. Освен информацията, посочена в параграф 1, държавите членки предвиждат със закон администраторът да предоставя на субекта на данните, в конкретни случаи и с цел да му се даде възможност да упражни правата си, следната допълнителна информация:

3. Държавите членки могат да приемат законодателни мерки, които забавят, ограничават или водят до пропускане на предоставянето на информация на субекта на данните съгласно параграф 2, до такава степен и за толкова време, за колкото тази мярка е необходима и пропорционална в едно демократично общество, като надлежно се вземат под внимание основните права и легитимните интереси на засегнатото физическо лице, за да:

б) не се допусне неблагоприятно влияние върху предотвратяването, разкриването, разследването или наказателното преследване на престъпления или изпълнението на наказания;

4. Държавите членки могат да приемат законодателни мерки, за да определят категориите обработване, които могат изцяло или частично да попадат в обхвата на всяка една от буквите на параграф 3.

При спазване на член 15 държавите членки предвиждат право за субекта на данните да получи от администратора потвърждение дали се обработват лични данни, които го засягат, и ако случаят е такъв, да получи достъп до личните данни и следната информация:

в) получателите или категориите получатели, пред които са разкрити личните данни, по-специално получателите в трети държави или международни организации;

г) когато е възможно, предвидения срок, за който ще се съхраняват личните данни, или ако това не е възможно, критериите за определяне на този срок;

д) съществуването на право да се изиска от администратора коригиране или изтриване на лични данни, или ограничаване на обработването на лични данни, свързано със субекта на данните;

1. Държавите членки могат да приемат законодателни мерки, които ограничават изцяло или частично правото на достъп на субекта на данните, до степен и срок, при които такова частично или пълно ограничаване представлява необходима и пропорционална мярка в едно демократично общество, като надлежно се вземат под внимание основните права и легитимните интереси на засегнатото физическо лице, за да:

2. Държавите членки могат да приемат законодателни мерки, за да определят категориите обработване, които могат изцяло или частично да попадат в обхвата на параграф 1, букви а) — д).

3. В случаите, посочени в параграфи 1 и 2, държавите членки предвиждат администраторът да информира без излишно забавяне в писмена форма субекта на данните за всеки отказ на достъп или ограничаване на достъпа и за причините за отказа или ограничаването. Тази информация може да бъде пропусната, когато предоставянето на такава информация би възпрепятствало постигането на някоя от целите, посочени в параграф 1. Държавите членки предвиждат администраторът да информира субекта на данните за възможността за подаване на жалба до надзорен орган или за търсене на защита по съдебен ред.

4. Държавите членки предвиждат администраторът да документира фактическите или правните основания, на които се основава решението. Тази информация се предоставя на надзорните органи.

Право на коригиране или изтриване на лични данни и ограничаване на обработването

1. Държавите членки предвиждат правото на субекта на данните да поиска администраторът да коригира без излишно забавяне неточните лични данни, свързани с него. Като се има предвид целта на обработването, държавите членки предвиждат субектът на данните да има право да поиска непълните лични данни да бъдат попълнени, включително чрез предоставяне на допълнителна декларация.

2. Държавите членки изискват администраторът да изтрие личните данни без излишно забавяне и предвиждат правото на субекта на данните да поиска администраторът да изтрие без излишно забавяне личните данни, които го засягат, когато обработването нарушава разпоредбите, приети съгласно член 4, член 8 или член 10, или когато личните данни трябва да бъдат изтрити с цел спазване на правно задължение, което се прилага спрямо администратора.

3. Вместо да извърши изтриване администраторът ограничава обработването, когато:

Когато обработването е ограничено съгласно първа алинея, буква а), администраторът информира субекта на данните, преди да премахне ограничаването на обработването.

4. Държавите членки предвиждат администраторът да информира в писмена форма субекта на данните за всеки отказ за коригиране или изтриване на лични данни, или ограничаване на обработването и за причините за отказа. Държавите членки могат да приемат законодателни мерки, които ограничават изцяло или частично задължението за предоставяне на такава информация, в степен, при която такова ограничаване представлява необходима и пропорционална мярка в едно демократично общество, като надлежно се вземат под внимание основните права и легитимните интереси на засегнатото физическо лице, за да:

Държавите членки предвиждат администраторът да информира субекта на данните за възможността за подаване на жалба до надзорен орган и за търсене на защита по съдебен ред.

5. Държавите членки предвиждат администраторът да съобщава коригирането на неточни лични данни на компетентния орган, от който произхождат неточните лични данни.

6. Държавите членки предвиждат, че когато лични данни са коригирани или изтрити, или обработването им е ограничено съгласно параграфи 1, 2 и 3, администраторът уведомява получателите и получателите коригират или изтриват личните данни, или ограничават обработването на личните данни, за което носят отговорност.

Упражняване на правата от субекта на данните и проверка от надзорния орган

1. В случаите, посочени в член 13, параграф 3, член 15, параграф 3 и член 16, параграф 4, държавите членки приемат мерки, които предвиждат правата на субекта на данните да могат да бъдат упражнявани и чрез компетентния надзорен орган.

2. Държавите членки предвиждат администраторът да информира субекта на данните за възможността да упражни правата си чрез надзорния орган съгласно параграф 1.

3. Когато е упражнено правото по параграф 1, надзорният орган информира субекта на данните най-малко за това, че е извършил всички необходими проверки или нужния преглед. Надзорният орган също така информира субекта на данните за неговото право да потърси защита по съдебен ред.

Права на субектите на данни при наказателно разследване и наказателно производство

Държавите членки могат да предвидят упражняването на правата, посочени в членове 13, 14 и 16, да се извършва в съответствие с правото на държава членка, когато личните данни се съдържат в съдебно решение, регистър или досие, обработвани в хода на наказателно разследване и наказателно производство.

1. Държавите членки предвиждат, като отчитат естеството, обхватът, контекстът и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът да прилага подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с настоящата директива. Тези мерки се преразглеждат и актуализират при необходимост.

2. Когато това е пропорционално на дейностите по обработване, посочените в параграф 1 мерки включват прилагане от страна на администратора на подходящи политики за защита на данните.

Защита на данните на етапа на проектирането и по подразбиране

1. Държавите членки предвиждат, като отчитат достиженията на техническия прогрес, разходите за прилагане и естеството, обхвата, контекста и целите на обработването, както и породените от обработването рискове с различна вероятност и тежест за правата и свободите на физическите лица, администраторът да прилага както към момента на определянето на средствата за обработването на данни, така и към момента на самото обработване, подходящи технически и организационни мерки, например псевдонимизация, разработени с оглед на ефективното прилагане на принципите за защита на данните, например свеждане на данните до минимум, и интегриране на необходимите гаранции в процеса на обработване, за да се спазят изискванията на настоящата директива и да се осигури защита на правата на субектите на данни.

2. Държавите членки предвиждат администраторът да прилага подходящи технически и организационни мерки, за да се гарантира, че по подразбиране се обработват само лични данни, които са необходими за всяка конкретна цел на обработването. Това задължение се отнася до обема на събраните лични данни, степента на обработването, срока на съхраняването им и тяхната достъпност. По-специално подобни мерки гарантират, че по подразбиране без намеса от страна на физическото лице личните данни не са достъпни за неограничен брой физически лица.

1. Държавите членки предвиждат, когато двама или повече администратори съвместно определят целите и средствата на обработването, те да са съвместни администратори. Те определят по прозрачен начин съответните си отговорности за съобразяване с настоящата директива, по-специално що се отнася до упражняването на правата на субекта на данни, и съответните си задължения за предоставяне на информацията, посочена в член 13, посредством договореност помежду си, освен ако и доколкото съответните отговорности на администраторите не са определени от правото на Съюза или правото на държава членка, което се прилага спрямо администраторите. В договореността се определя точката за контакт за субектите на данни. Държавите членки могат да посочат кой от съвместните администратори може да действа като единна точка за контакт, така че субектите на данните да упражняват правата си.

2. Независимо от условията на договореността, посочена в параграф 1, държавите членки могат да предвидят субектът на данни да упражнява своите права съгласно разпоредбите, приети съгласно настоящата директива, по отношение на всеки и срещу всеки от администраторите.

1. Държавите членки предвиждат, когато операция по обработване се извършва от името на администратора, той да възлага само на обработващи лични данни, които предоставят достатъчни гаранции, че ще прилагат подходящи технически и организационни мерки, по такъв начин че обработването да отговаря на изискванията на настоящата директива и да се гарантира защитата на правата на субекта на данни.

2. Държавите членки предвиждат обработващият лични данни да не добавя друг обработващ лични данни без предварителното конкретно или общо писмено разрешение на администратора. В случай на общо писмено разрешение, обработващият лични данни информира администратора за всякакви планирани промени за добавяне или замяна на други обработващи лични данни, като по този начин дава възможност на администратора да възрази срещу тези промени.

3. Държавите членки предвиждат обработването от страна на обработващия лични данни да се урежда с договор или друг правен акт съгласно правото на Съюза или на държава членка, който обвързва обработващия лични данни с администратора и регламентира предмета и срока на обработването, естеството и целта на обработването, вида лични данни и категориите субекти на данни, задълженията и правата на администратора. Посоченият договор или друг правен акт предвижда по-специално, че обработващият лични данни:

б) гарантира, че лицата, оправомощени да обработват личните данни, са поели ангажимент за поверителност или са задължени по закон да спазват поверителност;

в) подпомага администратора с всички подходящи средства, за да се гарантира спазването на разпоредбите относно правата на субекта на данни;

г) по избор на администратора заличава или връща на администратора всички лични данни след приключване на предоставянето на услуги по обработване на данни и заличава съществуващите копия, освен ако правото на Съюза или правото на държава членка не изисква съхранение на личните данни;

4. Договорът или другият правен акт, посочен в параграф 3, се изготвя в писмена форма, включително в електронна форма.

5. Ако обработващ лични данни определи в нарушение на настоящата директива целите и средствата на обработването, обработващият личните данни се счита за администратор по отношение на това обработване.

Обработване под ръководството на администратора или обработващия лични данни

Държавите членки предвиждат обработващият лични данни и всяко лице, действащо под ръководството на администратора или на обработващия лични данни, което има достъп до личните данни, да не обработва тези данни без указание на администратора, освен ако обработването не се изисква от правото на Съюза или правото на държава членка.

Регистри на дейности по обработване на лични данни

1. Държавите членки предвиждат администраторите да поддържат регистър с всички категории дейности по обработване под тяхна отговорност. Този регистър съдържа следната информация:

а) наименованието и координатите за връзка на администратора, и когато е приложимо, на съвместните администратори и на длъжностното лице по защитата на данните;

в) категориите получатели, пред които са или ще бъдат разкрити личните данни, включително получателите в трети държави или международни организации;

ж) посочване на правното основание за операцията по обработване, включително предаването на данни, за която са предназначени личните данни;

2. Държавите членки предвиждат всеки обработващ лични данни да поддържа регистър с всички категории дейности по обработване, извършени от името на администратор, в който се съдържат:

а) наименованието и координатите за връзка на обработващия или обработващите лични данни, на всеки администратор, от чието име действа обработващият лични данни и на длъжностното лице за защита на данните, когато е приложимо;

в) когато е приложимо, предаването на лични данни на трета държава или на международна организация, когато има изрични указания от администратора за това, включително идентификацията на тази трета държава или международна организация;

3. Регистрите, посочени в параграфи 1 и 2, се поддържат в писмена форма, включително в електронен формат.

При поискване администраторът и обработващият лични данни предоставят регистрите на надзорния орган.

1. Държавите членки предвиждат в системите за автоматизирано обработване да се водят записи най-малко за следните операции по обработване: събиране, промяна, справки, разкриване, включително предаване, комбиниране и изтриване. Записите за извършена справка или разкриване дават възможност за установяване на обосновката, датата и часа на такива операции и доколкото е възможно — идентификацията на лицето, което е направило справка или е разкрило лични данни, както и данни, идентифициращи получателите на тези лични данни.

2. Записите се използват единствено за проверяване на законосъобразността на обработването, за самоконтрол, за гарантиране на цялостността и сигурността на личните данни и при наказателни производства.

3. При поискване администраторът и обработващият лични данни предоставят тези записи на надзорния орган.

Държавите членки предвиждат администраторът и обработващият лични данни да сътрудничат при поискване с надзорния орган при изпълнението на задачите му.

Оценка на въздействието върху защитата на данните

1. Когато съществува вероятност определен вид обработване, по-специално при което се използват нови технологии, и предвид естеството, обхвата, контекста и целите на обработването, да породи висок риск за правата и свободите на физическите лица, държавите членки предвиждат, преди да бъде извършено обработването, администраторът да извършва оценка на въздействието на предвидените операции по обработването върху защитата на личните данни.

2. Оценката, посочена в параграф 1, съдържа най-малко общо описание на предвидените операции по обработване, оценка на рисковете за правата и свободите на субектите на данните, мерките, предвидени за справяне с тези рискове, гаранции, мерки за сигурност и механизми за гарантиране на защитата на личните данни и за доказване на съответствие с настоящата директива, като се вземат предвид правата и легитимните интереси на субектите на данните и другите засегнати лица.

Предварителна консултация с надзорния орган

1. Държавите членки предвиждат администраторът или обработващият лични данни да се консултира с надзорния орган преди обработването на лични данни, което ще бъде част от нов регистър с лични данни, който предстои да бъде създаден, когато:

а) оценката на въздействието върху защитата на данните съгласно член 27 покаже, че обработването ще породи висок риск, ако администраторът не предприеме мерки за ограничаване на риска; или

б) видът обработване, по-специално когато се използват нови технологии, механизми или процедури, включва висока степен на риск за правата и свободите на субектите на данните.

2. Държавите членки предвиждат провеждането на консултации с надзорния орган при изготвянето на предложение за законодателна мярка, което да бъде прието от националните парламенти, или на регулаторна мярка, основана на такава законодателна мярка, която се отнася до обработването.

3. Държавите членки предвиждат надзорният орган да може да изготви списък на операциите по обработване, за които е необходима предварителна консултация съгласно параграф 1.

4. Държавите членки предвиждат администраторът да предоставя на надзорния орган оценката на въздействието върху защитата на данните, предвидена в член 27, и при поискване — всякаква друга информация, която позволява на надзорния орган да извърши оценка на съответствието на обработването, и по-специално на рисковете за защитата на личните данни на субекта на данните и на съответните гаранции.

5. Държавите членки предвиждат, когато надзорният орган е на мнение, че планираното обработване, посочено в параграф 1 от настоящия член, би нарушило разпоредбите, приети съгласно настоящата директива, по-специално когато администраторът не е идентифицирал или ограничил риска в достатъчна степен, надзорният орган да предостави — в рамките на период до шест седмици след получаване на искането за консултация — писмено становище на администратора и — когато това е приложимо — на обработващия лични данни, като може да използва всяко от правомощията си, посочени в член 47. Този срок може да бъде удължен с още един месец, в зависимост от сложността на планираното обработване. В срок от един месец от получаване на искането за консултация надзорният орган уведомява администратора и — когато е приложимо — обработващия лични данни за всяко такова удължаване, включително и за причините за забавянето.

1. Държавите членки предвиждат, като отчитат достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекстът и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът и обработващият лични данни да прилагат подходящи технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност, по-специално по отношение на обработването на специални категории лични данни, посочени в член 10.

2. По отношение на автоматизираното обработване всяка държава членка предвижда, след оценка на рисковете администраторът или обработващият лични данни да прилага мерки, имащи за цел:

б) да се предотврати четенето, копирането, изменянето или отстраняването на носители на данни от неоправомощени лица („контрол върху носителите на данни“);

в) да се предотврати въвеждането на лични данни от неоправомощени лица, както и извършването на проверки, изменянето или заличаването на съхранявани лични данни от неоправомощени лица („контрол върху съхраняването“);

г) да се предотврати използването на автоматизирани системи за обработване от неоправомощени лица чрез използване на оборудване за предаване на данни („контрол върху потребителите“);

д) да се гарантира, че лицата, на които е разрешено да използват автоматизирана система за обработване, имат достъп само до личните данни, които са обхванати от тяхното разрешение за достъп („контрол върху достъпа до данни“);

е) да се гарантира възможността за проверка и установяване на кои органи са били или могат да бъдат предадени или имат достъп до лични данни чрез оборудване за предаване на данни („контрол върху комуникацията“);

ж) да се гарантира възможността за последваща проверка и установяване на това какви лични данни са били въведени в автоматизираните системи за обработване, както и кога и от кого са били въведени тези лични данни („контрол върху въвеждането на данни“);

з) да се предотврати четенето, копирането, изменянето или заличаването на лични данни от неоправомощени лица при предаването на лични данни или при пренасянето на носители на данни („контрол върху пренасянето“);

и) да се гарантира възможността за възстановяване на инсталираните системи в случай на отказ на функциите на системите („възстановяване“);

й) да се гарантира изпълнението на функциите на системата, докладването за появили се във функциите дефекти („надеждност“), както и недопускане на увреждане на съхраняваните лични данни вследствие на неправилно функциониране на системата („цялостност“).

Уведомяване на надзорния орган за нарушение на сигурността на личните данни

1. Държавите членки предвиждат, в случай на нарушение на сигурността на личните данни администраторът, без излишно забавяне и когато това е осъществимо — не по-късно от 72 часа след като е разбрал за него, да уведомява надзорния орган за нарушението на сигурността на личните данни, освен ако няма вероятност нарушението на сигурността на личните данни да доведе до риск за правата и свободите на физическите лица. Когато уведомлението до надзорния орган не е подадено в срок от 72 часа, то се придружава от причините за забавянето.

2. Обработващият лични данни уведомява администратора без излишно забавяне, след като е установил нарушение на сигурността на лични данни.

3. В уведомлението, посочено в параграф 1, се съдържа най-малко следното:

а) описание на естеството на нарушението на сигурността на личните данни, включително, когато това е възможно, категориите и приблизителния брой на засегнатите субекти на данни и категориите и приблизителния брой на засегнатите записи на лични данни;

б) посочване на името и координатите за връзка на длъжностното лице по защита на данните или на друга точка за контакт, от която може да се получи повече информация;

г) описание на предприетите или предложените от администратора мерки за справяне с нарушението на сигурността на личните данни, включително по целесъобразност мерки за намаляване на евентуалните неблагоприятни последици.

4. Когато и доколкото не е възможно информацията да се подаде едновременно, информацията може да се подаде поетапно без по-нататъшно ненужно забавяне.

5. Държавите членки предвиждат администраторът да документира всяко нарушение на сигурността на личните данни, посочено в параграф 1, като включва фактите, свързани с нарушението на сигурността на личните данни, последиците от него и предприетите действия за справяне с него. Тази документация дава възможност на надзорния орган да провери дали е спазен настоящият член.

6. Държавите членки предвиждат, когато нарушението на сигурността на личните данни засяга лични данни, които са били изпратени от или на администратора на друга държава членка, посочената в параграф 3 информация да се съобщава на администратора на въпросната държава членка без излишно забавяне.

Съобщаване на субекта на данните за нарушение на сигурността на личните данни

1. Държавите членки предвиждат, когато има вероятност нарушението на сигурността на личните данни да доведе до висок риск за правата и свободите на физическите лица, администраторът без излишно забавяне да съобщава на субекта на данните за нарушението на сигурността на личните данни.

2. В съобщението до субекта на данните, посочено в параграф 1 от настоящия член, на ясен и прост език се описва естеството на нарушението на сигурността на личните данни и се съдържат най-малко информацията и мерките, посочени в член 30, параграф 3, букви б), в) и г).

3. Посоченото в параграф 1 съобщение до субекта на данните не се изисква, ако е изпълнено някое от следните условия:

а) администраторът е предприел подходящи технически и организационни мерки за защита и тези мерки са били приложени по отношение на личните данни, засегнати от нарушението на сигурността на личните данни, по-специално мерките, които правят личните данни неразбираеми за всяко лице, което няма разрешение за достъп до тях, като например криптиране;

б) администраторът е взел впоследствие мерки, които гарантират, че вече няма вероятност да се материализира високият риск за правата и свободите на субектите на данни, посочен в параграф 1;

в) то би довело до непропорционални усилия. В такъв случай се прави публично съобщение или се взема друга подобна мярка, така че субектите на данни да бъдат в еднаква степен ефективно информирани.

4. Ако администраторът все още не е съобщил на субекта на данните за нарушението на сигурността на личните данни, надзорният орган може, след като отчете каква е вероятността нарушението на сигурността на личните данни да породи висок риск, да изиска от администратора да направи съобщението или да реши, че е изпълнено някое от условията по параграф 3.

5. Съобщението до субекта на данните, посочено в параграф 1 от настоящия член, може да бъде забавено, ограничено или пропуснато, при условията и на основанията, посочени в член 13, параграф 3.

Определяне на длъжностното лице по защита на данните

1. Държавите членки предвиждат администраторът да определя длъжностно лице по защита на данните. Държавите членки могат да освободят съдилищата и други независими съдебни органи от това задължение, когато действат в изпълнение на съдебните си функции.

2. Длъжностното лице по защита на данните се определя въз основа на неговите професионални качества и по-специално въз основа на експертните му познания в областта на законодателството и практиките в областта на защитата на данните и способността му да изпълнява задачите, посочени в член 34.

3. Едно длъжностно лице по защита на данните може да бъде назначено съвместно за няколко компетентни органа, като се отчитат организационната им структура и мащабът им.

4. Държавите членки предвиждат администраторът да публикува координатите за връзка на длъжностното лице по защита на данните и да ги съобщава на надзорния орган.

Длъжност на длъжностното лице по защита на данните

1. Държавите членки предвиждат администраторът да гарантира, че длъжностното лице по защита на данните участва по подходящ начин и своевременно по всички въпроси, свързани със защитата на личните данни.

2. Администраторът подпомага длъжностното лице по защита на данните при изпълнението на посочените в член 34 задачи, като осигурява ресурсите, необходими за изпълнение на тези задачи и достъп до личните данни и операциите по обработването, а също така и при поддържането на неговите експертни знания.

Задачи на длъжностното лице по защита на данните

Държавите членки предвиждат администраторът да възлага на длъжностното лице по защита на данните най-малко следните задачи:

а) да информира и съветва администратора и служителите, които извършват обработването, за техните задължения по силата на настоящата директива и на други разпоредби за защита на данните от правото на Съюза или правото на държавите членки;

б) да наблюдава спазването на настоящата директива и на други разпоредби за защита на данните от правото на Съюза или правото на държавите членки и на политиките на администратора по отношение на защитата на личните данни, включително възлагането на отговорности, повишаването на осведомеността и обучението на персонала, участващ в операциите по обработване, и съответните одити;

в) при поискване да предоставя съвети по отношение на оценката на въздействието върху защитата на данните и да наблюдава извършването на оценката съгласно член 27;

д) да действа като точка за контакт за надзорния орган по въпроси, свързани с обработването, включително преди консултацията, посочена в член 28, и ако е необходимо да се консултира по всякакви други въпроси.

Предаване на лични данни на трети държави или международни организации

1. Държавите членки предвиждат предаването от компетентния орган на лични данни, които са в процес на обработване или са предназначени за обработване след предаването, на трета държава или на международна организация, включително за последващо предаване на друга трета държава или международна организация, да се осъществява при условие че е в съответствие с националните разпоредби, приети съгласно други разпоредби на настоящата директива, само ако са спазени условията, установени в настоящата глава, а именно:

б) личните данни се предават на администратор в трета държава или на международна организация — орган, компетентен за целите, посочени в член 1, параграф 1;

в) когато се предават или се предоставят лични данни от друга държава членка, тази държава членка е дала своето предварително разрешение за предаването в съответствие с националното си право;

г) Комисията е приела решение относно адекватното ниво на защита на личните данни съгласно член 36 или при отсъствието на такова решение са предвидени или съществуват подходящи гаранции съгласно член 37, или при отсъствието на решение относно адекватното ниво на защита на личните данни съгласно член 36 и на подходящи гаранции в съответствие с член 37, се прилагат дерогации за особени случаи съгласно член 38; и

д) при последващо предаване на лични данни на друга трета държава или международна организация компетентният орган, извършил първоначалното предаване, или друг компетентен орган на същата държава членка разрешава последващото предаване на данни, след като надлежно е взел предвид всички значими фактори, включително тежестта на престъплението, целта на първоначалното предаване на личните данни, нивото на защита на личните данни в третата държава или международната организация, към която се извършва последващото предаване на лични данни.

2. Държавите членки предвиждат предаването на данни без предварителното разрешение на друга държава членка в съответствие с параграф 1, буква в) да се разрешава само ако предаването на личните данни е необходимо за предотвратяването на непосредствена и сериозна заплаха за обществената сигурност на държава членка или на трета държава, или за основните интереси на държава членка и предварителното разрешение не може да бъде получено своевременно. Органът, отговорен за даването на предварително разрешение, се уведомява незабавно.

3. Всички разпоредби на настоящата глава се прилагат, за да се гарантира, че нивото на защита на физическите лица, гарантирано от настоящата директива, не се излага на риск.

Предаване на данни въз основа на решение относно адекватното ниво на защита на личните данни

1. Държавите членки предвиждат да може да има предаване на лични данни на трета държава или международна организация, ако Комисията реши, че въпросната трета държава, територия, или един или повече конкретни сектори в тази трета държава, или въпросната международна организация осигуряват адекватно ниво на защита. За такова предаване не се изисква специално разрешение.

2. При оценяване на адекватността на нивото на защита Комисията отчита по-специално следните елементи:

а) върховенството на закона, спазването на правата на човека и основните свободи, съответното законодателство — както общо, така и секторно, включително в областта на обществената сигурност, отбраната, националната сигурност и наказателното право и достъпа на публичните органи до лични данни, а също и прилагането на това законодателство, правилата за защита на данните, професионалните правила и мерките за сигурност, включително правилата за последващо предаване на лични данни на друга трета държава или международна организация, които са в сила във въпросната държава или международна организация, съдебната практика, както и наличието на ефективни и приложими права на субектите на данни и ефективни административни и съдебни средства за защита за субектите на данни, чиито лични данни се прехвърлят;

б) наличието и ефективното функциониране на един или повече независими надзорни органи във въпросната трета държава, или органи, на чийто надзор подлежи дадена международна организация, отговорни за осигуряване и привеждане в изпълнение на правилата за защита на данните, включително адекватни изпълнителни правомощия, за подпомагане и консултиране на субектите на данни при упражняването на техните права и за сътрудничество с надзорните органи на държавите членки; и

в) международните ангажименти, които съответната трета държава или международна организация е поела, или други задължения, произтичащи от правно обвързващи конвенции или инструменти, както и от участието ѝ в многостранни или регионални системи, по-конкретно по отношение на защитата на личните данни.

3. След оценка на адекватността на нивото на защита Комисията може да реши посредством акт за изпълнение, че дадена трета държава, територия, или един или повече конкретни сектори в дадена трета държава, или дадена международна организация осигуряват адекватно ниво на защита по смисъла на параграф 2 от настоящия член. В акта за изпълнение се предвижда механизъм за периодичен преглед най-малко веднъж на четири години, при който се отчитат всички имащи отношение промени в третата държава или международната организация. В акта за изпълнение се уточнява неговото териториално и секторно приложение и когато е приложимо, се посочва надзорният орган или надзорните органи, посочени в параграф 2, буква б) от настоящия член. Актът за изпълнение се приема в съответствие с процедурата по разглеждане, посочена в член 58, параграф 2.

4. Комисията осъществява постоянно наблюдение на развитието в трети държави и международни организации, което би могло да повлияе на действието на решенията, приети съгласно параграф 3.

5. При наличие на съответна информация, по-специално след прегледа по параграф 3 от настоящия член, Комисията взема решение, че дадена трета държава, територия или един или повече конкретни сектори в дадена трета държава, или дадена международна организация е престанала да осигурява адекватно ниво на защита по смисъла на параграф 2 от настоящия член, при което Комисията в необходимата степен отменя, изменя или спира действието на решението, посочено в параграф 3 от настоящия член, посредством акт за изпълнение без обратна сила. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 58, параграф 2.

По надлежно обосновани наложителни причини за спешност Комисията приема актове за изпълнение с незабавно приложение в съответствие с процедурата, посочена в член 58, параграф 3.

6. Комисията започва консултации с третата държава или международната организация с цел да коригира положението, довело до решението, взето по силата на параграф 5.

7. Държавите членки предвиждат решението по параграф 5 да не засяга предаването на лични данни на третата държава, на територията или на един или повече конкретни сектори в тази трета държава, или на въпросната международна организация съгласно членове 37 и 38.

8. Комисията публикува в Официален вестник на Европейския съюз и на своя уебсайт списък на тези трети държави, територии и конкретни сектори в трета държава и международни организации, за които е решила, че осигуряват или че вече не осигуряват адекватно ниво на защита.

1. При липса на решение съгласно член 36, параграф 3 държавите членки предвиждат, че предаване на лични данни на трета държава или международна организация може да се осъществи, когато:

б) администраторът е извършил оценка на всички обстоятелства около предаването на лични данни и е стигнал до заключението, че по отношение на защитата на личните данни съществуват подходящи гаранции.

2. Администраторът информира надзорния орган за категориите предавания по параграф 1, буква б).

3. Когато дадено предаване се основава на параграф 1, буква б), то се документира и документацията е достъпна за надзорния орган при поискване, включително датата и момента на предаване, информация относно получаващия компетентен орган, обосновка на предаването и предадените лични данни.

1. При липса на решение относно адекватното ниво на защита на личните данни съгласно член 36 или на подходящи гаранции съгласно член 37 държавите членки предвиждат, че предаване или категория предавания на лични данни на трета държава или международна организация могат да се извършват само при условие че предаването е необходимо:

б) за да бъдат защитени легитимни интереси на субекта на данните, когато законодателството на държавата членка, която предава данните, предвижда това;

2. Лични данни не могат да бъдат предавани, ако предаващият компетентен орган реши, че основните права и свободи на въпросния субект на данните надделяват над обществения интерес от предаването, посочено в букви г) и д) от параграф 1.

3. Когато дадено предаване се основава на параграф 1, то се документира и документацията се предоставя на надзорния орган при поискване, включително датата и момента на предаване, информация относно получаващия компетентен орган, обосновка на предаването и предадените лични данни.

Предаване на лични данни на получатели, установени в трети държави

1. Чрез дерогация от член 35, параграф 1, буква б) и без да се засяга никое международно споразумение, посочено в параграф 2 от настоящия член, правото на Съюза или на държава членка може да предвиди възможността компетентните органи, посочени в член 3, точка 7, буква а), в отделни и специфични случаи да предават лични данни пряко на получателите, установени в трети държави, само ако са спазени останалите разпоредби на настоящата директива и е изпълнено всяко едно от следните условия:

а) предаването е строго необходимо за изпълнението на задача на предаващия компетентен орган, както е предвидено в правото на Съюза или на държава членка за целите, посочени в член 1, параграф 1;

б) предаващият компетентен орган реши, че никои основни права и свободи на въпросния субект на данни не надделяват над обществения интерес, който налага предаването в конкретния случай;

в) предаващият компетентен орган счита, че предаването на орган, който е компетентен в третата държава по отношение на целите, посочени в член 1, параграф 1, е неефективно или неподходящо, по-специално тъй като предаването не може да се осъществи навреме;

г) органът на третата държава, който е компетентен за целите, посочени в член 1, параграф 1, е уведомен без излишно забавяне, освен ако това е неефективно или неподходящо;

д) предаващият компетентен орган уведомява получателя за конкретната цел или цели, единствено за които последният обработва личните данни, при условие че такова обработване е необходимо.

2. Международното споразумение, посочено в параграф 1, е всяко двустранно или многостранно международно споразумение, което е в сила между държави членки и трети държави в областта на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество.

3. Предаващият компетентен орган уведомява надзорния орган за предаванията по настоящия член.

4. Когато предаването се основава на параграф 1, това предаване се документира.

Международно сътрудничество за защита на личните данни

По отношение на трети държави и международни организации Комисията и държавите членки предприемат подходящи мерки за:

а) разработване на механизми за международно сътрудничество с цел подпомагане на ефективното прилагане на законодателството за защита на личните данни;

б) осигуряване на международна взаимопомощ при прилагането на законодателството за защита на личните данни, включително чрез уведомяване, препращане на жалби, помощ при разследвания и обмен на информация, при условие че има подходящи гаранции за защитата на личните данни и другите основни права и свободи;

в) включване на съответните заинтересовани страни в обсъждания и дейности, насочени към допълнително задълбочаване на международното сътрудничество за прилагането на законодателството за защита на личните данни;

г) насърчаване на обмена и документирането на законодателство и практики в областта на защитата на личните данни, включително във връзка със спорове за компетентност с трети държави.

1. Всяка държава членка предвижда, че един или повече независими публични органи отговарят за наблюдението на прилагането на настоящата директива, с цел да се защитят основните права и свободи на физическите лица във връзка с обработването и да се улесни свободното движение на лични данни в рамките на Съюза („надзорен орган“).

2. Всеки надзорен орган допринася за последователното прилагане на настоящата директива в рамките на Съюза. За тази цел надзорните органи сътрудничат помежду си и с Комисията в съответствие с глава VII.

3. Държавите членки могат да предвидят надзорният орган, създаден по силата на Регламент (ЕС) 2016/679 да бъде надзорният орган, посочен в настоящата директива, и да отговаря за изпълнението на задачите на надзорния орган, който трябва да бъде създаден съгласно параграф 1 от настоящия член.

4. Когато в дадена държава членка е създаден повече от един надзорен орган, тази държава членка определя надзорния орган, който представлява тези органи в Комитета, посочен в член 51.

1. Всяка държава членка гарантира, че всеки надзорен орган действа напълно независимо при изпълнението на задачите си и при упражняването на правомощията си в съответствие с настоящата директива.

2. Държавите членки предвиждат, че при изпълнението на своите задачи и упражняването на своите правомощия в съответствие с настоящата директива, членът или членовете на техните надзорни органи остават независими от външно влияние, било то пряко или непряко, и че нито търсят, нито приемат инструкции от когото и да било.

3. Членовете на надзорните органи на държавите членки се въздържат от всякакви несъвместими със служебните им задължения действия и по време на своя мандат не се ангажират с никакви несъвместими функции, независимо дали срещу възнаграждение или безвъзмездно.

4. Всяка държава членка гарантира, че на всеки надзорен орган са предоставени човешките, техническите и финансовите ресурси, помещенията и инфраструктурата, които са необходими за ефективното изпълнение на неговите задачи и упражняването на неговите правомощия, включително на тези, които ще бъдат изпълнявани в контекста на взаимопомощта, сътрудничеството и участието в Комитета.

5. Всяка държава членка гарантира, че всеки надзорен орган подбира и разполага със свой собствен персонал, който е подчинен изключително на члена или членовете на съответния надзорен орган.

6. Всяка държава членка гарантира, че всеки надзорен орган е предмет на финансов контрол, който не засяга неговата независимост и че той има отделен, публичен годишен бюджет, който може да бъде част от общия държавен или национален бюджет.

Общи условия за членовете на надзорния орган

1. Държавите членки предвиждат, че всеки член на техните надзорни органи се назначава чрез прозрачна процедура от:

2. Всеки член трябва да има квалификациите, опита и уменията — по-специално в областта на защитата на личните данни — необходими, за да изпълнява своите задължения и да упражнява своите правомощия.

3. Задълженията на даден член приключват при изтичането на мандата му, подаването на оставка или задължителното му пенсиониране съгласно правото на съответната държава членка.

4. Даден член се уволнява само в случай на тежко провинение или ако вече не отговаря на необходимите условия за изпълнение на служебните си задължения.

1. Всяка държава членка урежда със закон всяко едно от следните:

б) квалификациите и условията за допустимост, на които кандидатът се изисква да отговаря, за да бъде назначен за член на всеки надзорен орган;

г) продължителността на мандата на члена или членовете на всеки надзорен орган, която не е по-малко от четири години, с изключение на първите назначения след 6 май 2016 г., някои от които може да са за по-кратък срок, когато това е необходимо, за да се защити независимостта на надзорния орган посредством процедура за постепенно назначаване;

е) условията, регламентиращи задълженията на члена или членовете и на персонала на всеки надзорен орган, забранените действия, функции и облаги, които са несъвместими с тези задължения по време на мандата и след неговото приключване, и правилата, от които се ръководи прекратяването на трудовите правоотношения.

2. Както по време на мандата си, така и след неговото приключване, членът или членовете и персоналът на всеки надзорен орган, в съответствие с правото на Съюза или на държава членка, са обвързани от задължението за опазване на професионалната тайна по отношение на всяка поверителна информация, която е стигнала до тяхното знание в хода на изпълнението на техните задачи или упражняването на техните правомощия. По време на мандата им това задължение за професионална тайна се прилага по-специално за докладваните от физически лица нарушения на настоящата директива.

1. Всяка държава членка предвижда всеки надзорен орган да бъде компетентен да изпълнява задачите и да упражнява правомощията, възложени му в съответствие с настоящата директива, на територията на своята държава членка.

2. Всяка държава членка предвижда всеки надзорен орган да не бъде компетентен да осъществява надзор на дейностите по обработване на данни, извършвани от съдилищата при изпълнение на съдебните им функции. Държавите членки могат да предвидят всеки надзорен орган да бъде компетентен да осъществява надзор на дейностите по обработване на данни, извършвани от други независими съдебни органи при изпълнение на съдебните им функции.

1. Всяка държава-членка, на своята територия, предвижда всеки надзорен орган да:

в) дава становища, в съответствие с правото на държава членка, на националния парламент, правителството и други институции и органи относно законодателните и административните мерки, свързани със защитата на правата и свободите на физическите лица по отношение на обработването;

д) предоставя информация на всеки субект на данни във връзка с упражняването на правата му съгласно настоящата директива при поискване и, ако е уместно, да си сътрудничи за тази цел с надзорните органи в други държави членки;

е) разглежда жалбите, подадени от субект на данни или от орган, организация или сдружение съгласно член 55, и разследва предмета на жалбата, доколкото това е целесъобразно, и информира жалбоподателя за напредъка и резултатите от разследването в разумен срок, особено ако е необходимо по-нататъшно разследване или координиране с друг надзорен орган;

ж) проверява законосъобразността на обработването съгласно член 17 и информира в разумен срок субекта на данните за резултата от проверката съгласно параграф 3 от посочения член, или за причините, поради които проверката не е била извършена;

з) си сътрудничи с други надзорни органи, включително чрез обмен на информация, и им предоставя взаимна помощ с оглед осигуряване на съгласуваното прилагане и привеждане в изпълнение на настоящата директива;

и) извършва проучвания по прилагането на настоящата директива, включително въз основа на информация, получена от друг надзорен или публичен орган;

й) наблюдава съответното развитие, по-специално в областта на развитието на информационните и комуникационни технологии, дотолкова доколкото то има въздействие върху защитата на личните данни;

2. Всеки надзорен орган улеснява подаването на жалбите, посочени в параграф 1, буква е), чрез мерки като например осигуряване на формуляр за подаване на жалби, който може да бъде попълнен и по електронен път, без да се изключват други средства за комуникация.

3. Изпълнението на задачите от страна на всеки надзорен орган е безплатно за субекта на данни и за длъжностното лице по защита на данните.

4. Когато исканията са очевидно неоснователни или прекомерни, по-специално поради своята повторяемост, надзорният орган може да начисли такса в разумен размер въз основа на административните разходи или може да откаже да предприеме действия по искането. Надзорният орган носи тежестта на доказване на очевидно неоснователния или прекомерния характер на искането.

1. Всяка държава членка урежда със закон, че всеки надзорен орган притежава ефективни разследващи правомощия. Тези правомощия включват най-малко правомощието да получава от администратора или обработващия лични данни достъп до всички лични данни, които се обработват, и до цялата информация, необходима за изпълнението на неговите задачи.

2. Всяка държава членка урежда със закон, че всеки надзорен орган притежава ефективни корективни правомощия, например:

а) да отправя предупреждения до администратора или обработващия лични данни, когато има вероятност планираните операции по обработване на данни да нарушат разпоредбите, приети съгласно настоящата директива;

б) да разпорежда на администратора или на обработващия лични данни да приведат операциите по обработване на данни в съответствие с разпоредбите, приети съгласно настоящата директива, ако е уместно, по указан начин и в определен срок, по-специално като разпорежда коригирането, изтриването на лични данни или ограничаването на обработването съгласно член 16;

3. Всяка държава членка урежда със закон, че всеки надзорен орган притежава ефективните консултативни правомощия да дава становища на администратора в съответствие с процедурата по предварителна консултация, посочена в член 28, и да издава по собствена инициатива или при поискване на становища до своите национални парламенти и своето правителство или, в съответствие с националното право, до други институции и органи, както и до обществеността по всякакви въпроси, свързани със защитата на личните данни.

4. Упражняването на правомощията, предоставени на надзорния орган по силата на настоящия член, се осъществява при осигуряване на подходящи гаранции, в т.ч. ефективни средства за съдебна защита и справедлив съдебен процес, определени в правото на Съюза и на държавите членки в съответствие с Хартата.

5. Всяка държава членка урежда със закон, че всеки надзорен орган разполага с правомощието да сезира съдебните органи за нарушения на разпоредбите, приети съгласно настоящата директива, и когато е уместно — да инициира или по друг начин да участва в съдебни производства с цел привеждането в изпълнение на разпоредбите, приети съгласно настоящата директива.

Държавите членки предвиждат, че компетентните органи въвеждат ефективни механизми за насърчаване на поверителното докладване за нарушения на настоящата директива.

Всеки надзорен орган изготвя годишен доклад за дейността си, който може да включва списък на видовете докладвани нарушения и видовете наложени наказания. Тези доклади се предават на националния парламент, правителството и други органи, посочени в правото на държава членка. Те се предоставят на обществеността, Комисията и Комитета.

1. Всяка държава членка предвижда нейните надзорни органи да си предоставят имаща отношение информация и взаимопомощ, за да изпълняват и прилагат настоящата директива съгласувано, и да въвеждат мерки за ефективно сътрудничество помежду си. Взаимопомощта обхваща по-специално искания за информация и мерки за надзор, например искания за извършване на консултации, проверки и разследвания.

2. Всяка държава членка предвижда всеки надзорен орган да предприема всички подходящи мерки, които са необходими, за да се отговори на искането на друг надзорен орган без излишно забавяне и не по-късно от един месец след получаване на искането. Тези мерки могат да включват по-специално предаване на информация, имаща отношение към хода на дадено разследване.

3. Исканията за помощ съдържат цялата необходима информация, включително целта и основанията на искането. Обменената информация се използва единствено за целите, за които е поискана.

4. Надзорен орган, до който е изпратено искане за помощ, няма право да откаже да го изпълни, освен ако:

б) удовлетворяването на искането би нарушило настоящата директива или правото на Съюза или на държавата членка, което се прилага спрямо надзорния орган, до който е отправено искането.

5. Надзорният орган, до който е отправено искането, информира искащия надзорен орган за резултатите или, в зависимост от случая, за напредъка на предприетите мерки в отговор на искането. Надзорният орган, до който е отправено искането излага мотивите си за всеки отказ да удовлетвори искането съгласно параграф 4.

6. Надзорните органи, до които е отправено искане по правило предоставят информацията, поискана от други надзорни органи, по електронен път, като използват стандартизиран формат.

7. Надзорните органи, до които е отправено искане не събират такси за действията, предприети от тях в отговор на искане за взаимопомощ. Надзорните органи могат да се споразумеят относно правила за взаимно обезщетение за конкретни разходи, свързани с предоставянето на взаимопомощ при извънредни обстоятелства.

8. Комисията може да определи посредством актове за изпълнение формàта и процедурите за взаимопомощ по настоящия член, както и договореностите за обмена на информация по електронен път между надзорните органи и между надзорните органи и Комитета. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 58, параграф 2.

1. Комитетът, създаден с Регламент (ЕС) 2016/679, изпълнява следните задачи във връзка с обработването в рамките на обхвата на настоящата директива:

а) консултира Комисията по всеки въпрос, свързан със защитата на личните данни в Съюза, включително относно всяко предложено изменение на настоящата директива;

б) разглежда по своя собствена инициатива, по искане на някой от своите членове или по искане на Комисията всеки въпрос, който се отнася до прилагането на настоящата директива, и предоставя насоки, препоръки и най-добри практики с цел насърчаване на съгласуваното прилагане на настоящата директива;

г) предоставя насоки, препоръки и най-добри практики съгласно буква б) от настоящата алинея за установяване на нарушения на сигурността на личните данни и определяне на излишното забавяне, посочено в член 30, параграфи 1 и 2, и за конкретните обстоятелства, при които администраторът или обработващият лични данни е длъжен да уведоми за нарушение на сигурността на лични данни;

д) предоставя насоки, препоръки и най-добри практики съгласно буква б) от настоящата алинея относно обстоятелствата, при които има вероятност нарушението на сигурността на личните данни да изложи на значителен риск правата и свободите на физическите лица, посочени в член 31, параграф 1;

ж) предоставя на Комисията становище за оценка на адекватността на нивото на защита на данните в трета държава, територия или един или повече конкретни сектори в тази трета държава или международна организация, включително за оценка на това дали дадена трета държава, територия, конкретен сектор, или международна организация са престанали да осигуряват адекватно ниво на защита.

и) насърчава общите програми за обучение и улеснява обмена на персонал между надзорните органи, и, когато е уместно, с надзорните органи на трети държави или с международни организации;

й) насърчава обмена на знания и документация относно правото и практиката в областта на защитата на данните с надзорните органи по защита на данните в цял свят.

Във връзка с първа алинея, буква ж), Комисията предоставя на Комитета цялата необходима документация, включително кореспонденцията с правителството на третата държава, с територията или конкретния сектор в тази трета държава, или с международната организация.

2. Когато Комисията поиска съвет от Комитета, тя може да посочи срок, като отчита спешността на въпроса.

3. Комитетът изпраща своите становища, насоки, препоръки и най-добри практики на Комисията и на комитета, посочен в член 58, параграф 1, и ги прави обществено достояние.

4. Комисията информира Комитета за действията, които е предприела вследствие на становищата, насоките, препоръките и най-добрите практики, дадени от Комитета.

Средства за правна защита, отговорност за причинени вреди и наказания

Право на подаване на жалба до надзорен орган

1. Без да се засягат другите административни или съдебни средства за защита, държавите членки предвиждат, че всеки субект на данни има право да подаде жалба до един надзорен орган, ако субектът на данни счита, че отнасящото се до него обработване на лични данни нарушава разпоредбите, приети съгласно настоящата директива.

2. Държавите членки предвиждат, че надзорният орган, до който е подадена жалбата, я предава на компетентния надзорен орган без излишно забавяне, ако жалбата не е подадена пред надзорния орган, който е компетентен съгласно член 45, параграф 1. Субектът на данните се уведомява за това.

3. Държавите членки предвиждат надзорният орган, пред който е подадена жалбата, да предоставя допълнителна помощ по искане на субекта на данните.

4. Компетентният надзорен орган уведомява субекта на данните за напредъка и резултата във връзка с жалбата, включително възможността за съдебна защита съгласно член 53.

Право на ефективна съдебна защита срещу надзорен орган

1. Без да се засягат другите средства за административна или извънсъдебна защита, държавите членки предвиждат правото на всяко физическо или юридическо лице на ефективна съдебна защита срещу правно обвързващо решение на надзорен орган, което го засяга.

2. Без да се засягат другите средства за административна или извънсъдебна защита, всеки субект на данни има право на ефективна съдебна защита, ако надзорният орган, компетентен съгласно член 45, параграф 1, не разгледа жалбата или не информира субекта на данните в срок от три месеца за напредъка или резултата от жалбата, подадена съгласно член 52.

3. Държавите членки предвиждат, че производствата срещу надзорните органи се образуват пред съдилищата на държавата членка, в която е установен съответният надзорен орган.

Право на ефективна съдебна защита срещу администратор или обработващ лични данни

Без да се засягат наличните средства за административна или извънсъдебна защита, включително правото да се подаде жалба до надзорен орган съгласно член 52, държавите членки предвиждат правото на субектите на данни на ефективна съдебна защита, ако считат, че правата им, установени в разпоредби, приети съгласно настоящата директива, са нарушени вследствие на обработването на личните им данни при неспазване на посочените разпоредби.

Държавите членки, в съответствие с процесуалното право на държава членка, предвиждат, че субектът на данни има право да възложи на орган, организация или сдружение с нестопанска цел, което е учредено правомерно в съответствие с правото на държава членка, има уставни цели от обществен интерес и развива дейност в областта на защитата на правата и свободите на субектите на данни по отношение на защитата на техните лични данни, да подаде жалбата от негово име и да упражни от негово име правата, посочени в членове 52, 53 и 54.

Държавите членки предвиждат, че всяко лице, което е претърпяло материални или нематериални вреди в резултат на незаконосъобразна операция по обработване или на действие, което нарушава националните разпоредби, приети съгласно настоящата директива, има право да получи обезщетение за претърпените вреди от администратора или от друг компетентен съгласно правото на държава членка орган.

Държавите членки установяват правилата относно наказанията, които се налагат при нарушения на разпоредбите, приети съгласно настоящата директива, и вземат всички необходими мерки за гарантиране на тяхното изпълнение. Предвидените наказания трябва да бъдат ефективни, пропорционални и възпиращи.

1. Комисията се подпомага от комитета, създаден с член 93 от Регламент (ЕС) 2016/679. Този комитет е комитет по смисъла на Регламент (ЕС) № 182/2011.

2. При позоваване на настоящия параграф се прилага член 5 от Регламент (ЕС) № 182/2011.

3. При позоваване на настоящия параграф се прилага член 8 от Регламент (ЕС) № 182/2011 във връзка с член 5 от него.

1. Рамково решение 2008/977/ПВР се отменя, считано от 6 май 2018 г.

2. Позоваванията на отмененото решение, посочено в параграф 1, се тълкуват като позовавания на настоящата директива.

Специалните разпоредби за защита на личните данни, съдържащи се в правни актове на Съюза, които са влезли в сила на или преди 6 май 2016 г. в областта на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество, с които се регламентира обработването между държавите членки и достъпът на определени органи на държавите членки до информационни системи, създадени съгласно Договорите, и които попадат в обхвата на настоящата директива, остават незасегнати.

Връзка с по-рано сключени международни споразумения в областта на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество

Международните споразумения за предаване на лични данни на трети държави или международни организации, които са сключени от държавите членки преди 6 май 2016 г. и които са в съответствие с правото на Съюза, приложимо преди посочената дата, остават в сила, докато не бъдат изменени, заменени или отменени.

1. До 6 май 2022 г. и на всеки четири години след това Комисията представя на Европейския парламент и на Съвета доклад относно оценката и прегледа на настоящата директива. Докладите се оповестяват публично.

2. В контекста на оценките и прегледите, посочени в параграф 1, Комисията разглежда по-специално прилагането и действието на глава V относно предаването на лични данни на трети държави или международни организации, като отделя специално внимание на решенията, приети съгласно член 36, параграф 3 и член 39.

3. За целите на параграфи 1 и 2 Комисията може да поиска информация от държавите членки и надзорните органи.

4. При извършване на посочените в параграфи 1 и 2 оценки и прегледи Комисията взема предвид позициите и констатациите на Европейския парламент, Съвета и на други имащи отношение органи или източници.

5. При необходимост Комисията представя подходящи законодателни предложения за изменение на настоящата директива, като отчита по-специално развитието на информационните технологии и напредъка на информационното общество.

6. До 6 май 2019 г. Комисията извършва преглед на други правни актове, приети от Съюза, които регламентират обработването от компетентните органи за целите, посочени в член 1, параграф 1, включително на посочените в член 60, за да прецени необходимостта от привеждането им в съответствие с настоящата директива и, ако е целесъобразно, да изготви необходимите предложения за изменение на тези актове, така че да се осигури съгласуван подход към защитата на личните данни от обхвата на настоящата директива.

1. Държавите членки приемат и публикуват до 6 май 2018 г. законовите, подзаконовите и административните разпоредби, необходими, за да се съобразят с настоящата директива. Те незабавно съобщават на Комисията текста на тези разпоредби. Те прилагат посочените разпоредби от 6 май 2018 г.

Когато държавите членки приемат тези разпоредби, в тях се съдържа позоваване на настоящата директива или то се извършва при официалното им публикуване. Условията и редът на позоваване се определят от държавите членки.

2. Чрез дерогация от параграф 1 дадена държава членка може да предвиди по изключение, когато това предполага несъразмерни усилия, системите за автоматизирано обработване, създадени преди 6 май 2016 г., да се привеждат в съответствие с член 25, параграф 1 до 6 май 2023 г.

3. Чрез дерогация от параграфи 1 и 2 от настоящия член дадена държава членка може, при изключителни обстоятелства, да приведе дадена система за автоматизирано обработване, посочена в параграф 2 от настоящия член, в съответствие с член 25, параграф 1 в рамките на определен срок след срока, посочен в параграф 2 от настоящия член, ако в противен случай това би причинило сериозни затруднения за функционирането на тази конкретна система за автоматизирано обработване. Съответната държава членка уведомява Комисията за основанията за тези сериозни затруднения и за основанията за определения срок, в рамките на който тя привежда тази конкретна система за автоматизирано обработване в съответствие с член 25, параграф 1. Определеният срок в никакъв случай не е по-късно от 6 май 2026 г.

4. Държавите членки съобщават на Комисията текста на основните разпоредби от националното право, които те приемат в областта, уредена с настоящата директива.

Настоящата директива влиза в сила в деня след публикуването ѝ в Официален вестник на Европейския съюз.

Адресати на настоящата директива са държавите членки.