13/ 17

BG

Официален вестник на Европейския съюз

10


31995L0046


L 281/31

ОФИЦИАЛЕН ВЕСТНИК НА ЕВРОПЕЙСКИЯ СЪЮЗ


ДИРЕКТИВА 95/46/ЕО НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА

от 24 октомври 1995 година

за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни

ЕВРОПЕЙСКИЯТ ПАРЛАМЕНТ И СЪВЕТЪТ НА ЕВРОПЕЙСКИЯ СЪЮЗ,

като взеха предвид Договора за създаване на Европейската общност, и по-специално член 100а от него,

като взеха предвид предложението на Комисията (1),

като взеха предвид становището на Икономическия и социален комитет (2),

в съответствие с процедурата, предвидена в член 189б на Договора (3),

(1)

като имат предвид, че целите на Общността, посочени в Договора, изменен с Договора за Европейския съюз, включват създаване на все по-тесен съюз между европейските народи, насърчаване на по-тесни връзки между държавите, които Общността обединява, гарантиране на икономически и социален напредък чрез общи действия с цел премахване на бариерите, които разделят Европа, насърчаване на непрекъснато подобряване на условията на живот на европейските народи, запазване и укрепване на мира и свободата и насърчаване на демокрацията въз основа на основните права, признати в конституциите и законодателството на държавите-членки и в Европейската конвенция за защита на правата на човека и основните свободи;

(2)

като имат предвид, че системите за обработка на данни са създадени с цел да служат на хората; като имат предвид, че независимо от националността или местожителството на физическите лица, те трябва да зачитат техните основни права и свободи и по-конкретно правото на личен живот, и да допринасят за икономическия и социален прогрес, развитието на търговията и благосъстоянието на хората;

(3)

като имат предвид, че създаването и функционирането на вътрешен пазар, в който, съгласно член 7а от Договора, е гарантирано свободното движение на стоки, хора, услуги и капитали, изискват не само личните данни да могат да се предават от една държава-членка в друга, но и основните права и свободи на лицата да бъдат гарантирани;

(4)

като имат предвид, че в Общността все по-често се прибягва до обработване на лични данни в различни сфери на икономическия и социален живот; като имат предвид, че напредъкът на информационните технологии съществено улеснява обработването и обмена на такива данни;

(5)

като имат предвид, че икономическата и социалната интеграция, произтичаща от създаването и функционирането на вътрешния пазар по смисъла на член 7а от Договора, ще доведе безусловно до съществено увеличение на трансграничните потоци от лични данни между всички участници в икономическия и социален живот в държавите-членки; като имат предвид, че обменът на лични данни между предприятия, установени в различните държави-членки, се развива; като имат предвид, че националните власти в отделните държави-членки са призовани, по силата на правото на Общността, да си сътрудничат и обменят лични данни с цел да изпълняват своите задължения или да осъществят задачи от името на орган на друга държава-членка в контекста на пространството без вътрешни граници, което съставлява вътрешния пазар;

(6)

като имат предвид, освен това, че засилването на научно-техническото сътрудничество и координираното въвеждане в Общността на нови далекосъобщителни мрежи изисква и улеснява трансграничните потоци от лични данни;

(7)

като имат предвид, че различните степени на защита на правата и свободите на лицата и по-конкретно правото на личен живот при обработването на лични данни, разрешено в държавите-членки, могат да предотвратят предаването на такива данни от територията на една държава-членка до територията на друга държава-членка; като има предвид, че тези различия могат поради това да се превърнат в препятствие за осъществяването на множество икономически дейности на равнище Общност, да нарушат конкуренцията и да възпрепятстват органите на властта при изпълнението на техните отговорности съгласно правото на Общността; като имат предвид, че различието в степента на защита се дължи на съществуването на голямо многообразие от национални законови, подзаконови и административни разпоредби;

(8)

като имат предвид, че с цел да се премахнат препятствията пред потоците от лични данни, степента на защита на правата и свободите на лицата при обработването на такива данни трябва да бъде еднаква във всички държави-членки; като имат предвид, че тази цел, която е от първостепенно значение за вътрешния пазар, но не може да се постигне единствено с усилията на държавите-членки, особено с оглед на мащабите на различията, които съществуват понастоящем между съответните закони на държавите-членки, и на потребността от съгласуване на законодателствата на държавите-членки, за да се гарантира, че трансграничният поток от лични данни е регламентиран по последователен начин и в съответствие с целта на вътрешния пазар, предвидена в член 7а от Договора; като имат предвид, че поради това е необходимо да се предприемат действия на равнище Общност с цел сближаване на законодателствата в тази област;

(9)

като имат предвид, че поради еднаквата защита, произтичаща от сближаването на националните законодателства, държавите-членки няма вече да могат да възпрепятстват свободното движение на лични данни помежду си, основавайки се на защитата на правата и свободите на лицата, и по-конкретно на правото им на личен живот; като имат предвид, че държавите-членки ще имат известна свобода на действие, която би могла, в контекста на прилагането на директивата, да се използва също така и от икономическите и социални партньори; като имат предвид, че следователно държавите-членки ще могат да конкретизират в своето национално законодателство общите условия, които определят законосъобразността на обработването на данни; като имат предвид, че по този начин държавите-членки се стремят да подобрят защитата, осигурена понастоящем от тяхното законодателство; като имат предвид, че в рамките на тази свобода на действие и в съответствие с правото на Общността биха могли да възникнат несъответствия при прилагането на директивата, което би оказало влияние върху движението на данни в дадена държава-членка и в Общността;

(10)

като имат предвид, че предмет на националните законодателства, отнасящи се до обработването на данни, е осигуряване спазването на основните права и свободи и по-конкретно правото на личен живот, което се признава както в член 8 на Европейската конвенция за защита на правата на човека и основните свободи, така и от общите принципи на правото на Общността; като имат предвид, че поради тази причина сближаването на тези законодателства не трябва да доведе до намаляване степента на защита, която те осигуряват, а обратно — да има за цел гарантиране на висока степен на защита в Общността;

(11)

като имат предвид, че принципите на защита на правата и свободите на лицата и по-конкретно правото на личен живот, които се съдържат в настоящата директива, дават съдържание и разширяват принципите, съдържащи се в Конвенцията на Съвета на Европа за защита на лицата при автоматизираната обработка на данни от 28 януари 1981 г.;

(12)

като имат предвид, че принципите на защита трябва да се прилагат за всякакво обработване на лични данни, извършвано от всяко лице, чиято дейност се урежда от правото на Общността; като имат предвид, че трябва да се изключи обработването на данни, извършвано от физическо лице при упражняване на дейности, които са изключително лични или домашни, например кореспонденция и поддържане на адресни указатели;

(13)

като имат предвид, че дейностите, посочени в дялове V и VI на Договора за Европейския съюз, които се отнасят до обществената сигурност, отбраната, държавната сигурност или дейностите на държавата в областта на наказателното право, са извън приложното поле на правото на Общността, без да се засягат задълженията на държавите-членки съгласно член 56, параграф 2, член 57 и член 100а от Договора за създаване на Европейската общност; като имат предвид, че обработването на лични данни, необходимо за гарантиране на икономическото благосъстояние на държавите, не попада в приложното поле на настоящата директива, когато това обработване се отнася до въпроси, свързани с държавната сигурност;

(14)

като имат предвид, че поради значимостта на извършващото се понастоящем развитие в рамките на информационното общество, на техниките, използвани за улавяне, предаване, манипулиране, запис, съхранение и предаване на звук и картина, отнасящи се до физическите лица, настоящата директива следва да се прилага за обработването на такива данни;

(15)

като имат предвид, че обработката на такива данни се обхваща от настоящата директива, само ако тя е автоматизирана или ако обработваните данни се съдържат или са предназначени да се съдържат във файлова система, структурирана съгласно определени критерии, отнасящи се до лица, с цел осигуряване на лесен достъп до въпросните лични данни;

(16)

като имат предвид, че обработването на звук и картина, например при видео- наблюдение, не попада в приложното поле на настоящата директива при условие че то се извършва за целите на обществената сигурност, отбраната, националната сигурност или при държавни дейности, свързани с областта на наказателното право или с други дейности, които не попадат в приложното поле на правото на Общността;

(17)

като имат предвид, че що се отнася до обработването на звук и картина, извършвано за целите на журналистическа дейност или на литературно или художествено изразяване, и по-конкретно в областта на аудиовизията, принципите на директивата се прилагат по ограничен начин, в съответствие с разпоредбите на член 9;

(18)

като имат предвид, че с оглед да се гарантира, че лицата няма да бъдат лишени от защитата, която им се полага по силата на настоящата директива, всяко обработване на лични данни в Общността се извършва в съответствие със законодателството на една от държавите-членки; като имат предвид, в тази връзка, че обработването, извършено под ръководството на администратор, установен в дадена държава-членка, се урежда от законодателството на тази държава;

(19)

като имат предвид, че установяването на територията на държава-членка предполага ефективно и действително упражняване на дейност по силата на стабилни договорености; като имат предвид, че правната форма на подобно установяване, независимо дали става дума за обикновен клон или дъщерно дружество с правосубектност, не е решаващ фактор в това отношение; като имат предвид, че когато на територията на няколко държави-членки е установен един-единствен администратор, по-конкретно чрез дъщерни дружества, той трябва да гарантира, за да избегне всякакво заобикаляне на националните правила, че всеки от клоновете изпълнява задълженията, наложени му от националното законодателство по отношение на неговата дейност;

(20)

като имат предвид, че фактът, че обработването на данни се извършва от лице, установено в трета страна, не трябва да възпрепятства защитата на лицата, предвидена от настоящата директива; като имат предвид, че в тези случаи обработването следва да се урежда от законите на държавата-членка, в която се намират средствата, използвани за обработването на данни, и че следва да има гаранции за действително спазване на правата и задълженията, предвидени в настоящата директива;

(21)

като имат предвид, че настоящата директива не накърнява правилата за териториалност, приложими в наказателното право;

(22)

като имат предвид, че държавите-членки ще определят по-точно в приеманите от тях закони или при въвеждане в действие на мерките, предприети съгласно настоящата директива, общите обстоятелства, при които обработването на данни е законосъобразно; като имат предвид, в частност, че член 5, във връзка с членове 7 и 8, позволява на държавите-членки, независимо от общите правила, да предвидят специални условия за обработването на данни, отнасящи се до конкретни сектори и до различните категории данни, обхванати от член 8;

(23)

като имат предвид, че държавите-членки са оправомощени да гарантират прилагането на защитата на лицата, както чрез общ закон за защита на лицата при обработването на лични данни, така и чрез секторни закони, например закони, отнасящи се до статистическите институти;

(24)

като имат предвид, че законодателството, отнасящо се до защитата на юридически лица при обработването на данни, които се отнасят до тях, не се обхваща от настоящата директива;

(25)

като имат предвид, че принципите на защита трябва да бъдат отразени, от една страна, в задълженията, наложени на лицата, държавните органи, предприятията, агенциите и другите органи, отговорни за обработването, в частност по отношение на качеството на данните, техническата надеждност, уведомяването на надзорния орган и обстоятелствата, при които може да се извършва подобна обработка, и от друга страна, в правата, предоставени на лицата, чиито данни са подложени на обработване, да бъдат уведомявани за извършването на такава обработка, да имат достъп до данните, да могат да поискат поправка и дори да възразят срещу обработването на данни при определени обстоятелства;

(26)

като имат предвид, че принципите на защита трябва да се прилагат за всяка информация, отнасяща се до идентифицирано лице или подлежащо на идентификация лице; като имат предвид, че за да се определи дали едно лице подлежи на идентификация, следва да се разглежда съвкупността от всички средства, които биха могли да бъдат използвани разумно от администратора или от друго лице с цел идентифицирането на даденото лице; като имат предвид, че принципите на защита не се отнасят до данни, които са направени анонимни по начин, който прави невъзможно идентифицирането на съответното физическо лице; като имат предвид, че кодексите за поведение по смисъла на член 27 могат да бъдат полезно средство за предоставяне на указания относно начините, по които данните могат да бъдат направени анонимни и да бъдат съхранени във форма, която прави невъзможно идентифицирането на съответното физическо лице;

(27)

като имат предвид, че защитата на лицата трябва да се отнася в еднаква степен до автоматизираната обработка на данни и до ръчната им обработка; като имат предвид, че обхватът на тази защита не трябва на практика да зависи от използваните техники, защото в противен случай това би създало сериозен риск от заобикаляне на закона; като имат предвид, при все това, че що се отнася до ръчната обработка, настоящата директива обхваща само файловите системи, а не неструктурираните досиета; като имат предвид, в частност, че съдържанието на файловата система трябва да бъде структурирано според конкретни критерии, отнасящи се до лица, позволяващи лесен достъп до личните данни; като имат предвид, че в съответствие с определението в член 2, буква в) различните критерии за определяне на съставните елементи на структурирания набор от досиета, както и отделните критерии, уреждащи достъп до такъв набор, могат да бъдат определени от всяка държава-членка; като имат предвид, че досиетата или групите от досиета, както и заглавните им страници, които не са структурирани съгласно определените критерии, в никакъв случай не попадат в приложното поле на настоящата директива;

(28)

като имат предвид, че всяко обработване на лични данни трябва да бъде законосъобразно и почтено по отношение на съответните лица; като имат предвид, по-конкретно, че данните трябва да бъдат достатъчни, релевантни и да не бъдат прекомерни по отношение на целите, за които се обработват; като имат предвид, че тези цели трябва да бъдат ясно формулирани и законосъобразни и че трябва да бъдат установени при събирането на данни; като имат предвид, че целите на обработването, последващи събирането, не трябва да бъдат несъвместими с целите, определени първоначално;

(29)

като имат предвид, че по-нататъшното обработване на лични данни с историческа, статистическа или научна цел не се разглежда по принцип като несъвместимо с целите, за които тези данни са събирани, при условие че държавата-членка даде подходящи гаранции; като имат предвид, че тези гаранции трябва, в частност, да попречат на използването на данни в подкрепа на мерки или решения, отнасящи се до дадено лице;

(30)

като имат предвид, че за да бъде законосъобразно, обработването на лични данни трябва, освен това, да се извършва със съгласието на съответното физическо лице или да бъде необходимо за сключване или изпълнение на договор, задължителен за съответното физическо лице, или по отношение на законово задължение, или за изпълнението на дадена задача, която е от обществен интерес или е необходима за упражняване на публична власт, или да бъде в законен интерес на физическо или юридическо лице, при условие че интересите или правата и свободите на съответното физическо лице нямат преимущество; като имат предвид, в частност, че за да се поддържа баланс между интересите, като едновременно с това се гарантира ефективна конкуренция, държавите-членки могат да определят обстоятелствата, при които е възможно личните данни да бъдат използвани или разкривани пред трети лица в контекста на обичайните законни търговски дейности на дружествата и на други органи; като имат предвид, че държавите-членки могат също така да определят условията, при които личните данни могат да бъдат разкривани пред трети лица с цел пазарно проучване, независимо дали се извършва от организация с търговска цел или от благотворителна организация или от каквото и да е друго сдружение или фондация, примерно с политически характер, при условията на разпоредбите, позволяващи на съответното физическо лице да възрази срещу обработването на неговите данни, без каквито и да е разходи и без да е необходимо да излага съображенията си за това;

(31)

като имат предвид, че обработването на лични данни трябва също така да се счита за законосъобразно, когато се извършва с цел да бъдат защитени интереси, които са жизненоважни за съответното физическо лице;

(32)

като имат предвид, че националното законодателство следва да определи дали администраторът, изпълняващ тази задача в интерес на обществото или упражняващ публична власт, трябва да бъде държавна администрация или друго физическо или юридическо лице, подчинено на публичното право или на частно право, например професионална асоциация;

(33)

като имат предвид, че данни, които по своя характер могат да нарушат основните свободи или личния живот, не могат да бъдат обработвани, освен ако съответното физическо лице не даде изричното си съгласие за това; като имат предвид, обаче, че трябва изрично да бъдат предвидени дерогации по отношение на тази забрана, за да се задоволят конкретни нужди, в частност, когато обработването на тези данни се извършва за цели, свързани със здравословно състояние, от лица, които са задължени да пазят професионална тайна, или в хода на законосъобразна дейност на някои дружества или фондации, чиято цел е да се позволи упражняването на основните свободи;

(34)

като имат предвид, че държавите-членки трябва също така да имат право да предвидят дерогации по отношение на забраната за обработка на чувствителни категории данни, когато това се оправдава по съображения от важен обществен интерес, в области като общественото здраве и социалната закрила – особено с цел да се гарантира качеството и рентабилността на процедурите за уреждане на искове за обезщетения и услуги в системата на здравното осигуряване – при научните изследвания и държавната статистика; като имат предвид, че тяхно задължение е да осигурят специфични и подходящи гаранции за защита на основните права и личния живот на лицата;

(35)

като имат предвид, освен това, че обработването на лични данни от официални власти за постигането на цели, залегнали в конституционното право или в международното публично право, от официално признати религиозни сдружения, се извършва по съображения от значим обществен интерес;

(36)

като имат предвид, че когато демократичната система в някои държави-членки предполага по време на предизборна дейност политическите партии да събират данни за политическите възгледи на гражданите, обработването на такива данни може да бъде разрешено по съображения от значим обществен интерес, при условие че са предвидени съответни гаранции;

(37)

като имат предвид, че обработването на лични данни за целите на журналистиката или за цели, свързани с литературно или художествено изразяване, и по-конкретно в областта на аудиовизията, трябва да отговарят на условията за освобождаване от изискванията на някои разпоредби на настоящата директива, доколкото това е необходимо, за да се постигне баланс между основните права на лицето и свободата на информация, и по-конкретно на пра вото на всяко лице да получава и предава информация, както е гарантирано изрично в член 10 от Европейската конвенция за защита на правата на човека и основните свободи; като имат предвид, че държавите-членки са длъжни поради тази причина да приемат изключения и дерогации, необходими за постигането на равновесие между основните права по отношение на общите мерки за законосъобразност на обработването на данни, мерките за предаване на данни на трети страни и правомощията на надзорния орган; като имат предвид, че това не може обаче да накара държавите-членки да предвидят изключения от мерките за гарантиране на надеждност на обработването; като имат предвид, че поне на надзорния орган, отговарящ за този сектор, трябва също да се предоставят последващи правомощия, например да публикува редовен доклад или да отнася въпроси до съдебните власти;

(38)

като имат предвид, че за да може процесът на обработка на данните да бъде справедлив, съответното физическо лице трябва да може да научи за съществуването на операция по обработката, и когато данните се събират от него, трябва да получи точна и пълна информация, като се отчитат обстоятелствата по събирането на тези данни;

(39)

като имат предвид, че някои операции по обработката се отнасят до данни, които администраторът не е събирал непосредствено от съответното физическо лице; като имат предвид освен това, че данните могат да се съобщават законно на трети лица, дори в случаите, когато това не е било предвидено при събирането им от съответното физическо лице; като имат предвид, че при всички тези случаи, съответното физическо лице трябва да бъде уведомено за това, кога данните са записани или, най-малкото, кога данните са били съобщени за първи път на трето лице;

(40)

като имат предвид, обаче, че не е необходимо да се налага това задължение, ако съответното физическо лице вече притежава необходимата информация; като имат предвид също така че това задължение не е предвидено, ако записването или разкриването на данните са изрично предвидени от закона или ако предоставянето на информация на съответното физическо лице е невъзможно или е свързано с прекомерни усилия, какъвто например би бил случаят, когато обработването на данни се извършва с историческа, статистическа или научна цел; като имат предвид в тази връзка, че броят на съответните физически лица, възрастта на данните, както и приетите компенсационни мерки могат да се вземат под внимание;

(41)

като имат предвид, че всяко лице трябва да може да упражнява правото си на достъп до данните, свързани с него, които се обработват, за да провери, в частност, точността на данните и законосъобразността на обработването; като имат предвид, поради същите съображения, че всяко физическо лице трябва също да има право да познава логиката, залегнала в автоматичната обработка на данните, отнасящи се до него, най-малкото в случаите на автоматични решения, посочени в член 15, параграф 1; като имат предвид, че това право не трябва да влияе неблагоприятно върху търговската тайна или интелектуалната собственост и по-конкретно върху авторското право, закрилящо софтуера; като имат предвид, от друга страна, че настоящите съображения не трябва да водят до отказ на информация за съответното физическо лице;

(42)

като имат предвид, че държавите-членки, в интерес на съответното физическо лице или с оглед защита на правата и свободите на други лица, могат да ограничат правата на достъп и на информация; като имат предвид, че те могат, например, да уточнят, че достъпът до медицински данни може да бъде получен единствено чрез медицински служител;

(43)

като имат предвид, че държавите-членки могат също така да предвидят ограничения по отношение на правата на достъп и на информация и на някои задължения на администратора, доколкото те са необходими за гарантиране, примерно, на националната сигурност, отбраната, обществената сигурност или на важни икономически или финансови интереси на държава-членка или на Съюза, както и за наказателно разследване, преследване и искове, свързани с нарушение на етиката при регламентираните професии; като имат предвид, че списъкът с изключенията и ограниченията съдържа задачи, свързани с контрол, проверка и регламентиране, необходими в трите последно упоменати по-горе области, отнасящи се до обществената сигурност, икономическите и финансовите интереси и превенцията на престъпността; като имат предвид, че изброяването на задачите в тези три области не засяга законосъобразността на изключенията или ограниченията по съображения, свързани с държавната сигурност или отбраната;

(44)

като имат предвид, че държавите-членки могат също, по силата на разпоредбите на правото на Общността, да решат да дерогират разпоредбите на настоящата директива по отношение на правото на достъп, задължението за уведомление на лицата и качеството на данните, за да гарантират някои от горепосочените цели;

(45)

като имат предвид, че в случаите, когато данните биха могли законно да бъдат обработени по съображения, свързани с обществен интерес, с упражняване на дейността на държавен орган или със законните интереси на дадено физическо или юридическо лице, всяко физическо лице би трябвало, при все това, да има право, въз основа на законни и първостепенни съображения, свързани с особеното му положение, на възражение срещу обработването на данни, свързани с него; като имат предвид, че въпреки това, държавите-членки могат да предвидят национални разпоредби в обратен смисъл;

(46)

като имат предвид, че защитата на правата и свободите на съответните физически лица, по отношение на обработването на лични данни, изисква да бъдат взети съответни технически и организационни мерки, както при разработването на системата за обработка, така и по време на самата обработка, и по-конкретно с цел да се поддържа сигурността и по такъв начин да се предотврати всякаква неразрешена обработка; като имат предвид, че държавите-членки са длъжни да гарантират, че администраторите съблюдават тези мерки; като имат предвид, че тези мерки осигуряват подходящо ниво на сигурност, като отчитат нивото на развитие на техниката и разходите за прилагането им по отношение на рисковете, свързани с обработването и с естеството на данните, които следва да бъдат защитени;

(47)

като имат предвид, че когато съобщение, съдържащо лични данни, се предава чрез телекомуникационна услуга или по електронна поща, чиято единствената цел е да предава такива съобщения, обикновено лицето, което предава съобщението, а не лицето, което предлага услуги за предаване, се счита за администратор по отношение на обработването на личните данни, съдържащи се в съобщението; като имат предвид, въпреки това, че лицата, предлагащи подобни услуги, обикновено се считат за администратори по отношение на обработването на допълнителни лични данни, необходими за извършването на услугата;

(48)

като имат предвид, че процедурите за уведомление на надзорния орган са предназначени да гарантират разкриване на целите и основните характеристики на всяка операция за обработка на данни, за да се провери, че операцията е в съответствие с националните мерки, предприети съгласно настоящата директива;

(49)

като имат предвид, че за да се избегнат някои неподходящи административни формалности, държавите-членки могат да предвидят освобождаване от задължението за уведомление или опростяване на процедурата на уведомление в случаите, когато обработването не би могло да накърнява правата и свободите на съответните физически лица, при условие че това е в съответствие с мярка, предприета от държавата-членка, която определя границите ѝ; като имат предвид, че освобождаването или опростяването могат да бъдат предвидени по същия начин от държавата-членка и в случаите, когато лице, назначено от администратора, гарантира, че обработването на данни не може да накърнява правата и свободите на съответните физически лица; като имат предвид, че такъв служител, който отговаря за защитата на данните, независимо от това, дали е подчинен на администратора или не, трябва да е в състояние да упражнява своите функции напълно независимо;

(50)

като имат предвид, че освобождаването или опростяването биха могли да бъдат предвидени в случаи на операции по обработването, които имат за цел единствено поддържането на регистър, чието предназначение, съгласно националното право, е да предоставя информация на обществеността и да бъде достъпен за справки за гражданите или всяко друго лице, което предявява законен интерес;

(51)

като имат предвид, че въпреки това, опростяването или освобождаването от задължението за уведомление не освобождава администратора от нито едно от другите му задължения, произтичащи от настоящата директива;

(52)

като имат предвид, че в този контекст извършваната от компетентните власти последваща проверка трябва, по принцип, да се счита за достатъчна мярка;

(53)

като имат предвид, въпреки това, че някои операции по обработката могат да създадат конкретен риск за правата и свободите на съответните физически лица поради тяхното естество, обхвата или целите им, като изключване на дадено лице от ползване на конкретно право, помощи или договор, или поради специфичното използване на нови технологии; като имат предвид, че държавите-членки са в правото си да конкретизират тези рискове в тяхното законодателство, ако желаят това;

(54)

като имат предвид, че по отношение на всички обработки, осъществявани в обществото, броят на тези, които създават такива специфични рискове, трябва да бъде силно ограничен; като имат предвид, че държавите-членки трябва да предвидят, че надзорният орган или длъжностното лице, отговарящо за защитата на данните съвместно с този орган, проверяват обработката, преди тя да бъде осъществена; като имат предвид, че след тази първоначална проверка надзорният орган може, в съответствие с националното законодателство, да даде становище или разрешение за обработката; като имат предвид, че тази проверка може да се извърши също така по време на изготвянето на законодателна мярка от националния парламент или на мярка, основаваща се на такава законодателна мярка, която определя естеството на обработката и уточнява подходящи гаранции;

(55)

като имат предвид, че националното законодателство трябва да предвиди средство за правна защита в случай, че администраторът не зачита правата на съответните физически лица; като имат предвид, че всички вреди, които дадено лице би претърпяло в резултат на незаконосъобразната обработка, трябва да бъдат възстановени от администратора, който може да бъде освободен от отговорност, ако докаже, че не е виновен за вредите, в частност в случаите, когато той установи грешка от страна на съответното физическо лице или в случай на непреодолима сила; като имат предвид, че трябва да се налагат санкции, както от частното така и от публичното право, на всяко лице, което не спазва националните мерки, приети в съответствие с настоящата директива;

(56)

като имат предвид, че трансграничните потоци от лични данни са необходими за разширяването на международната търговия; като имат предвид, че защитата на лицата, гарантирана в Общността от настоящата директива, не възпрепятства предаването на лични данни на трети страни, които гарантират подходяща степен на защита; като имат предвид, че трябва да се прецени адекватността на степента на защита, предоставяна от трета страна, в светлината на всички обстоятелства, свързани с операцията по предаването или с набора операции по предаването;

(57)

като имат предвид, от друга страна, че предаването на лични данни в трета страна, която не гарантира достатъчно висока степен на защита, трябва да бъде забранено;

(58)

като имат предвид, че трябва да се предвидят изключения от тази забрана при някои обстоятелства, например, когато съответното физическо лице е дало съгласието си, когато предаването е необходимо във връзка с договор или предявен иск, когато това се налага във връзка с важни обществени интереси, например в случаи на международно предаване на данни между данъчни или митнически администрации или между служби, компетентни в областта на общественото осигуряване, или когато предаването се извършва от регистър, създаден по закон и предназначен за обществен достъп или за достъп до него на лица, които имат законен интерес; като имат предвид, че в такива случаи предаването не би трябвало да включва всички данни или всички категории от данни, съдържащи се в регистъра, а когато регистърът е предназначен за достъп до него на лица, които имат законен интерес, предаването се извършва единствено по молба на тези лица или ако те са получателите;

(59)

като имат предвид, че могат да бъдат предприети конкретни мерки за компенсиране на липсата на защита в трета страна в случаите, когато администраторът предлага подходящи гаранции; като имат предвид, още повече, че е необходимо да се предвидят процедури за преговори между Общността и такива трети страни;

(60)

като имат предвид, че във всички случаи предаването за трети страни може да се извършва единствено при пълно спазване на разпоредбите, приети от държавите-членки съгласно настоящата директива, и по-конкретно на член 8 от директивата;

(61)

като имат предвид, че държавите-членки и Комисията, в съответните си сфери на компетентност, трябва да насърчават търговските сдружения и другите заинтересовани представителни организации да разработват кодекси на поведение с цел да улесняват изпълнението на настоящата директива, като отчитат спецификата на обработването на данни в някои сектори и спазват националните разпоредби, приети за прилагането на директивата;

(62)

като имат предвид, че създаването в държавите-членки на надзорни органи, които изпълняват функциите при пълна независимост, е съществен елемент от защитата на лицата по отношение на обработването на личните им данни;

(63)

като имат предвид, че тези органи трябва да разполагат с необходимите средства, за да изпълняват своите задължения, включително правомощия за разследване и намеса, особено в случаи на жалби от лица, както и правомощия за участие в съдебни производства; като имат предвид, че тези органи трябва да допринесат за осигуряване на прозрачност при обработването в държавите-членки, под чиято юрисдикция попадат;

(64)

като имат предвид, че властите в различните държави-членки ще бъдат призовани да си съдействат взаимно при изпълнението на техните задължения, за да гарантират, че правилата на защита се спазват надлежно на цялата територия на Европейския съюз;

(65)

като имат предвид, че на равнище Общност трябва да се създаде работна група за защита на лицата при обработването на лични данни, и тя да бъде напълно независима при изпълнението на своите задачи; като имат предвид, че с оглед на специфичния си характер тя трябва да съветва Комисията и по-конкретно да допринася за еднаквото прилагане на националните правила, приети въз основа на настоящата директива;

(66)

като имат предвид, че по отношение на предаването на данни за трети страни, прилагането на настоящата директива е свързано с предоставянето на правомощия за изпълнение от страна на Комисията и с разработването на процедура съгласно Решение на Съвета 87/373/ЕИО (4);

(67)

като имат предвид, че на 20 декември 1994 г. беше подписано споразумение за modus vivendi между Европейския парламент, Съвета и Комисията относно мерките за прилагане на актовете, приети в съответствие с процедурата, постановена в член 189б от Договора за ЕО;

(68)

като имат предвид, че принципите, залегнали в настоящата директива, по отношение на защитата на правата и свободите на лицата и по-конкретно на правото им на личен живот при обработването на лични данни, могат да бъдат допълвани или доизяснявани, в частност, по отношение на някои сектори, чрез конкретни правила, основаващи се на тези принципи;

(69)

като имат предвид, че следва да се предостави на държавите-членки срок, който да не е по-дълъг от три години след влизането в сила на националните мерки, въвеждащи настоящата директива, за да могат да приложат постепенно нови национални правила за всички операции на обработката, която се извършва в момента; като имат предвид, че с цел да се улесни рентабилното им прилагане, се предоставя допълнителен период от 12 години след датата на приемане на настоящата директива, за да се гарантира съответствие между съществуващите ръчни файлови системи с някои разпоредби на директивата; като имат предвид, че в случаите, когато данните, съдържащи се в подобни файлови системи, се обработват ръчно по време на удължения преходен период, то тези системи трябва да бъдат приведени в съответствие с настоящите разпоредби при извършване на обработването;

(70)

като имат предвид, че не е необходимо след влизането в сила на националните разпоредби в съответствие с настоящата директива съответното физическо лице да дава отново съгласието си, за да позволи на администратора да продължи обработването на всякакви чувствителни данни, необходими за изпълнението на даден договор, сключен въз основа на свободното и съзнателно съгласие, дадено от същото лице преди влизането в сила на тези разпоредби;

(71)

като имат предвид, че настоящата директива не пречи на държава-членка да регулира дейности, свързани с пазарни проучвания, насочени към потребителите, живущи на нейна територия, доколкото подобно регулиране не се отнася до защитата на лицата при обработването на личните им данни;

(72)

като имат предвид, че настоящата директива позволява да се вземе под внимание принципът на обществения достъп до официалните документи при прилагането на правилата, определени в настоящата директива,

ПРИЕХА НАСТОЯЩАТА ДИРЕКТИВА:

ГЛАВА I

ОБЩИ РАЗПОРЕДБИ

Член 1

Предмет на директивата

1.   В съответствие с настоящата директива държавите-членки защищават основните права и свободи на физическите лица и в частност правото им на личен живот при обработването на лични данни.

2.   Държавите-членки не могат нито да ограничават, нито да забраняват свободното движение на лични данни между държавите-членки по съображения, свързани със защитата, предоставяна съгласно параграф 1.

Член 2

Определения

По смисъла на настоящата директива:

a)

„лични данни“ означава всяка информация, свързана с идентифицирано или подлежащо на идентификация лице („съответно физическо лице“); за подлежащо на идентифициране лице се смята това лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификационен номер или един или повече специфични признаци, отнасящи се до неговата физическа, физиологическа, психологическа, умствена, икономическа, културна или социална самолично ст;

б)

„обработване на лични данни“ („обработване“) означава всяка операция или набор от операции, извършвани или не с автоматични средства, прилагани към личните данни, като събиране, запис, организиране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друга форма на предоставяне на данните, актуализиране или комбиниране, блокиране, изтриване или унищожаване;

в)

„файл с лични данни“ („файл“) означава всеки структуриран набор от лични данни, достъпен по определени критерии, централизиран, децентрализиран или разпределен по функционален или географски принцип;

г)

„администратор“ означава физическо или юридическо лице, държавен орган, агенция или друг орган, който сам или съвместно с други определя целите и средствата на обработка на лични данни; когато целите и средствата на обработката се определят от национални или общностни законови или подзаконови разпоредби, администраторът или специфичните критерии за неговото назначаване могат да бъдат определени в националното право или в правото на Общността;

д)

„обработващ лични данни“ означава физическо или юридическо лице, държавен орган, агенция или друг орган, който обработва личните данни от името на администратора;

е)

„трето лице“ означава всяко физическо или юридическо лице, държавен орган, агенция или друг орган, различни от съответното физическо лице, администратора, обработващия данните и лицата, които под прякото ръководство на администратора или обработващия данните, имат право да обработват данните;

ж)

„получател“ означава физическо или юридическо лице, държавен орган, агенция или друг орган, пред което се разкриват данни, независимо дали е трето лице или не; от друга страна, органите, които могат да получават данни в рамките на конкретно проучване, не се считат за получатели;

з)

„съгласие на съответното физическо лице“ означава всяко свободно изразено, конкретно и информирано указание за волята на съответното физическо лице, с което то дава израз на своето съгласие за обработка на личните данни, които се отнасят до него.

Член 3

Приложно поле

1.   Настоящата директива се прилага към пълната или частична обработка на лични данни с автоматизирани средства, както и към обработката със средства, които не са автоматизирани, на лични данни, съставляващи част от файлова система, или които са предназначени да съставляват част от файлова система.

2.   Настоящата директива не се прилага за обработването на лични данни:

при извършване на дейности, извън приложното поле на правото на Общността, например дейностите, предвидени в дял V и дял VI от Договора за Европейския съюз, и във всички случаи при дейности по обработването на данни, отнасящи се до обществената сигурност, отбраната, държавната сигурност (включително икономическото благосъстояние на държавата, когато процесът на обработка е свързани с държавната сигурност) и при дейности на държавата в областта на наказателното право,

когато се извършва от физическо лице в хода на предимно лични или домашни занимания.

Член 4

Приложимо национално право

1.   Всяка държава-членка прилага националните разпоредби, които приема в съответствие с настоящата директива, по отношение на обработването на лични данни, когато:

а)

обработването се извършва в контекста на дейностите на клон на администратора на територията на държавата-членка; когато същият администратор е установен на територията на няколко държави-членки, той трябва да вземе необходимите мерки, за да гарантира, че всеки от тези клонове спазва задълженията, установени от националното право;

б)

администраторът не е установен на територията на държава-членка, но се намира на място, в което националното право е приложимо по силата на международното публично право;

в)

администраторът не е установен на територията на Общността, и за целите на обработването на лични данни използва автоматизирано или друго оборудване, намиращо се на територията на дадената държава-членка, освен ако оборудването се използва само за целите на транзитното преминаване през територията на Общността.

2.   При обстоятелствата, посочени в параграф 1, буква в), администраторът трябва да посочи представител, установен на територията на тази държава-членка, без това да засяга съдебни искове, които биха могли да бъдат предявени срещу самия администратор.

ГЛАВА II

ОБЩИ ПРАВИЛА ОТНОСНО ЗАКОННОСТТА НА ОБРАБОТВАНЕТО НА ЛИЧНИ ДАННИ

Член 5

Държавите-членки в границите на разпоредбите на настоящата глава определят по-точно условията, при които обработването на данни е законно.

РАЗДЕЛ I

ПРИНЦИПИ, ОТНАСЯЩИ СЕ ДО КАЧЕСТВОТО НА ДАННИТЕ

Член 6

1.   Държавите-членки предвиждат, че личните данни трябва:

а)

да се обработват справедливо и законно;

б)

да се събират за конкретни, ясно формулирани и законни цели и да не бъдат допълнително обработени по начин, който е несъвместим с тези цели. Допълнителната обработка на данните за исторически, статистически или научни цели няма да се разглежда като несъвместима, при условие че държавите-членки предоставят необходимите гаранции за това;

в)

да бъдат адекватни, релевантни, и да не са прекомерни по отношение на целите, за които се събират и/или обработват допълнително;

г)

да бъдат точни и при необходимост да се актуализират; трябва да се предприемат всички възможни разумни стъпки, за да се гарантира, че данни, които са неточни или непълни по отношение на целите, за които са събрани, или за които се обработват допълнително, се изтриват или поправят;

д)

да се поддържат във форма, която позволява идентифицирането на съответните физически лица за срок не по-дълъг от необходимия за целите, за които тези данни са събрани или обработени допълнително. Държавите-членки предвиждат подходящи гаранции за личните данни, съхранявани за по-дълъг срок за исторически, статистически или научни цели.

2.   Администраторът осигурява спазването на параграф 1.

РАЗДЕЛ II

КРИТЕРИИ ЗА ЗАКОНОСЪОБРАЗНОСТ НА ОБРАБОТВАНЕТО НА ЛИЧНИ ДАННИ

Член 7

Държавите-членки предвиждат, че обработването на лични данни може да се извършва, само ако:

а)

съответното физическо лице е дало недвусмислено своето съгласие за това; или

б)

обработването е необходимо за изпълнението на договор, по който съответното физическо лице е страна, или за да се предприемат стъпки по искане на съответното физическо лице преди сключването на договора; или

в)

обработването е необходимо за спазването на правно задължение, чийто субект е администраторът; или

г)

обработването е необходимо, за да бъдат защитени жизнено важни интереси на съответното физическо лице; или

д)

обработването е необходимо за изпълнението на задача, която се осъществява в обществен интерес или при упражняване на официалните правомощия, които са предоставени на администратора или трето лице, на което се разкриват данните; или

е)

обработването е необходимо за целите на законните интереси, преследвани от администратора или от трето лице или лица, на които се разкриват данните, с изключение на случаите, когато пред тези интереси имат преимущество интереси, свързани с основните права и свободи на съответното физическо лице, които изискват защита по силата на член 1, параграф 1.

РАЗДЕЛ III

СПЕЦИАЛНИ КАТЕГОРИИ ОБРАБОТВАНЕ

Член 8

Обработване на специални категории от данни

1.   Държавите-членки забраняват обработването на лични данни, разкриващи расов или религиозен произход, политически идеи, религиозни или философски убеждения, членство в професионални съюзи, като и обработването на данни, свързани със здравословното състояние и половия живот.

2.   Параграф 1 не се прилага, когато:

а)

съответното физическо лице е дало изричното си съгласие за обработването на такива данни, освен ако законодателството на държавата-членка предвижда, че забраната, посочена в параграф 1, не може да бъде вдигната чрез съгласието на съответното физическо лице; или

б)

обработването е необходимо за целите на изпълнението на задълженията и специфичните права на администратора в областта на трудовото право, доколкото това е позволено от националното законодателство, което предвижда достатъчни гаранции за защита; или

в)

обработването е необходимо за защита на жизнените интереси на съответното физическо лице или на друго лице, ако съответното физическо лице е физически или юридически неспособно да даде своето съгласие; или

г)

обработването се извършва в хода на законосъобразната му дейност и с подходящи гаранции от фондация, сдружение или друга организация с нестопанска цел, с политическа, философска, религиозна или профсъюзна цел, при условие че обработването е свързано единствено с членовете на тази организация или с лица, които поддържат редовни контакти с нея във връзка с нейните цели, и че данните не се разкриват на трети лица без съгласието на съответното физическо лице; или

д)

обработването е свързано с данни, които явно са направени публично достояние от съответното физическо лице, или ако то е необходимо за установяването, упражняването или защитата на правните искове.

3.   Параграф 1 не се прилага, когато обработването на данни е необходимо за целите на профилактичната медицина, поставяне на медицинска диагноза, предоставяне на грижи или лечение, или за управлението на здравни служби, когато данните се обработват от медицинско лице, което, по силата на националното законодателство или на правила, установени от компетентни национални органи, е длъжно да спазва професионална тайна, или от друго лице, което е също обвързано с равностойно задължение за пазене на тайна.

4.   При условие, че съществуват подходящи гаранции, държавите-членки могат по съображения, свързани със значим обществен интерес, да определят други изключения, в допълнение към тези, посочени в параграф 2, или в националното законодателство, или с решение на надзорния орган.

5.   Обработването на данни, отнасящи се до закононарушения, наказателни присъди или мерки за сигурност, може да се извършва само под контрола на официален орган, или ако националното законодателство предвижда подходящи гаранции, предмет на дерогации, които могат да бъдат предоставяни от държавата-членка съгласно националните разпоредби, предвиждащи подходящи конкретни гаранции. Въпреки това, пълен списък на наказателни присъди може да се съхранява само под контрола на официален орган.

Държавите-членки могат да предвидят, че данните, отнасящи се до административни санкции или до решения по граждански дела, също се обработват под контрола на официален орган.

6.   Дерогациите от параграф 1, предвидени в параграфи 4 и 5, се съобщават на Комисията.

7.   Държавите-членки определят условията, при които може да се обработва национален идентификационен номер или какъвто и да е друг идентификатор с общо приложение.

Член 9

Обработка на личните данни и свобода на словото

Държавите-членки предвиждат изключения или дерогации от разпоредбите на настоящата глава, глава IV и глава VI относно обработването на лични данни, когато то се извършва единствено за целите на журналистическа дейност или на литературно или художествено изразяване, само ако са необходими за съгласуване на правото на личен живот и правилата, регулиращи свободата на словото.

РАЗДЕЛ IV

ИНФОРМАЦИЯ, КОЯТО СЪОТВЕТНОТО ФИЗИЧЕСКО ЛИЦЕ СЛЕДВА ДА ПОЛУЧИ

Член 10

Информация при събиране на данни от съответното физическо лице

Държавите-членки предвиждат, че администраторът или неговият представител трябва да предостави на съответното физическо лице, от което се събират данни, отнасящи се за самия него, най-малкото следната информация, освен в случаите, когато то вече я притежава:

а)

самоличността на администратора или на неговия представител, когато има такъв;

б)

целта на обработването, за което данните са предназначени;

в)

всякаква друга информация, например:

получателите или категориите получатели на данни,

дали отговорите на въпросите са задължителни или доброволни, както и евентуалните последици при липса на отговор,

наличието на право на достъп и на право на поправка на данните, които се отнасят до него,

доколкото подобна допълнителна информация е необходима като се отчитат конкретните обстоятелства, при които се събират данните, за гарантиране на справедливата им обработка по отношение на съответното физическо лице.

Член 11

Информация в случаите, когато данните не са получени от съответното физическо лице

1.   Когато данните не са получени от съответното физическо лице, държавите-членки предвиждат, че администраторът или негов представител трябва, при записването на личните данни или ако се предвижда разкриването им на трета страна не по-късно от момента, когато данните се разкриват за пръв път, да предостави на съответното физическо лице най-малко следната информация, освен в случаите, когато то вече я притежава:

а)

самоличността на администратора или на неговия представител, когато има такъв;

б)

целите на обработването;

в)

всякаква допълнителна информация, като:

категориите данни,

получателите или категориите получатели на данни,

наличието на право на достъп и на право на поправка на данните, които се отнасят до него,

доколкото подобна информация е необходима, като се отчитат конкретните обстоятелства, при които се обработват данните, за гарантиране на справедливата им обработка по отношение на съответното физическо лице.

2.   Параграф 1 не се прилага в случаите, когато, в частност, при обработка за статистически цели или за целите на историческо или научно изследване, предоставянето на подобна информация се оказва невъзможно или е свързано с прекомерно усилие, или ако записът или разкриването е постановено изрично от закона. В тези случаи държавите-членки предоставят подходящи гаранции.

РАЗДЕЛ V

ПРАВО НА СЪОТВЕТНОТО ФИЗИЧЕСКО ЛИЦЕ НА ДОСТЪП ДО ДАННИТЕ

Член 12

Право на достъп

Държавите-членки гарантират на всяко физическо лице правото да получи от администратора:

а)

без принуда, на разумни интервали от време и без прекалено забавяне или разходи:

потвърждение за това, дали отнасящи се до него данни се обработват, както и информация най-малкото за целите на тази обработка, категориите данни и получателите или категориите получатели, на които данните се разкриват,

съобщение до него в разбираема форма относно данните, които се обработват, както и за всяка налична информация за техния източник,

познания за логиката на всяка автоматизирана обработка на данни, отнасяща се до него, най-малкото за автоматизираните решения, упоменати в член 15, параграф 1;

б)

според случая, поправянето, изтриването или блокирането на данните, чиято обработка не е в съответствие с разпоредбите на настоящата директива, и по-конкретно поради непълнота или неточност на самите данни;

в)

уведомление до трети страни, на които е разкрита информация за каквото и да е поправяне, изтриване или блокиране, извършени в съответствие с разпоредбите на буква б), освен ако това се окаже невъзможно или е свързано с прекомерни усилия.

РАЗДЕЛ VI

ИЗКЛЮЧЕНИЯ И ОГРАНИЧЕНИЯ

Член 13

Изключения и ограничения

1.   Държавите-членки могат да приемат законодателни мерки за ограничаване на обхвата на правата и задълженията, предвидени в член 6, параграф 1, член 10, член 11, параграф 1, член 12 и член 21, ако подобно ограничаване представлява необходима мярка за гарантиране на:

а)

националната сигурност;

б)

отбраната;

в)

обществената сигурност;

г)

предотвратяването, разследването, разкриването и преследването на углавни престъпления или за нарушения на етичните кодекси при регламентираните професии;

д)

важни икономически и финансови интереси на държавата-членка или на Европейския съюз, включително валутни, бюджетни и данъчни въпроси;

е)

функции по наблюдение, проверка или регламентиране, свързани, дори случайно, с упражняването на официални правомощия в случаите, посочени в букви в), г) и д);

ж)

защита на съответното физическо лице или на правата и свободите на други лица.

2.   При условие, че са налице адекватни законови гаранции, и в частност, че данните не се използват за предприемане на мерки или вземане на решения относно конкретно лице, държавите-членки могат, когато очевидно не съществува никакъв риск от накърняване на личния живот на съответното физическо лице, да ограничат чрез законодателна мярка правата, предвидени в член 12, ако данните се обработват единствено за целите на научни изследвания или се съхраняват под формата на лични данни за период, който не превишава периода, необходим единствено за създаване на статистически данни.

РАЗДЕЛ VII

ПРАВО НА СЪОТВЕТНОТО ФИЗИЧЕСКО ЛИЦЕ НА ВЪЗРАЖЕНИЕ

Член 14

Право на съответното физическо лице на възражение

Държавите-членки предоставят на съответното физическо лице правото:

а)

най-малкото в случаите, упоменати в член 7, букви д) и е), на възражение по всяко време, въз основа на неопровержими законови основания, свързани с неговото конкретно положение във връзка с обработваните данни, освен ако националното законодателство не е предвидило друго. В случаите, когато възражението е оправдано, обработването, започнато от администратора, не може вече да съдържа посочените данни;

б)

да възрази, с молба и безплатно, срещу обработването на личните данни, отнасящи се до него, които администраторът очаква да бъдат обработени за целите на директен маркетинг, или да бъде уведомено, преди личните данни да бъдат разкрити за пръв път на трети страни или да бъдат използвани от тяхно име за целите на директен маркетинг, както и изрично да ползва правото на безплатно възражение срещу подобно разкриване или употреба.

Държавите-членки предприемат необходимите мерки, за да гарантират, че съответните физически лица знаят за съществуването на правото, посочено в буква б) на първа алинея.

Член 15

Индивидуални автоматизирани решения

1.   Държавите-членки предоставят на всяко лице правото да не бъде обект на решение, което има правни последици за него или го засяга съществено, и което се основава единствено на автоматизираната обработка на данни, имаща за цел да се оценяват някои лични аспекти, свързани с него, като резултатите от работата му, кредитоспособност, надеждност, поведение, и т.н.

2.   При условията на другите членове на настоящата директива, държавите-членки постановяват, че дадено лице може да бъде предмет на решение, посочено в параграф 1 по-горе, при условие че това решение:

а)

е взето по време на сключването или изпълнението на договор, при условие че молбата за сключване или изпълнение на договора, подадена от съответното физическо лице, е била удовлетворена или че съществуват подходящи мерки за гарантиране на неговите законни интереси, като възможности, които му позволяват да изложи своето мнение; или

б)

е разрешено от закона, който също постановява мерки за гарантиране на законните интереси на съответното физическо лице.

РАЗДЕЛ VIII

ПОВЕРИТЕЛЕН ХАРАКТЕР И НАДЕЖДНОСТ НА ОБРАБОТВАНЕТО

Член 16

Поверителен характер на обработването

Всяко лице, действащо под ръководството на администратора или на обработващия данни, включително самият обработващ данни, и което има достъп до личните данни, може да ги обработва, само по указание на администратора, освен ако не е задължено да извърши това по закон.

Член 17

Надеждност на обработването

1.   Държавите-членки предвиждат, че администраторът трябва да прилага подходящи технически и организационни мерки за защита на личните данни срещу случайно или неправомерно унищожаване или случайна загуба, промяна, неразрешено разкриване или достъп, в частност, когато обработването включва предаване на данните по мрежа, както и срещу всякакви други незаконни форми на обработка.

Като се взима под внимание съвременното ниво на развитие и разходите за осъществяването им, тези мерки гарантират такова ниво на сигурност, което съответства на рисковете, свързани с обработването и с естеството на данните, които следва да бъдат защитени.

2.   Държавите-членки предвиждат, че администраторът трябва, когато обработването се извършва от негово име, да избере обработващ данните, който осигурява достатъчни гаранции по отношение на мерките за техническа безопасност и организационните мерки, регулиращи обработването, което следва да се извърши и да осигури спазването на тези мерки.

3.   Осъществяването на обработването от обработващ данните трябва да е уредено с договор или правен акт, който обвързва обработващия данни с администратора и постановява, в частност, че:

обработващият данни действа само по указания на администратора,

задълженията, посочени в параграф 1 и определени от законодателството на държавата-членка, в която е установен обработващият данни, също са възложени на обработващия данни.

4.   За целите на съхраняване на доказателства, частите от договора или от правния акт, които се отнасят до защитата на данните, както и изискванията, свързани с мерките, посочени в параграф 1, са в писмена или в друга равностойна форма.

РАЗДЕЛ IХ

УВЕДОМЛЕНИЕ

Член 18

Задължение за уведомяване на надзорния орган

1.   Държавите-членки предвиждат, че администраторът или неговият представител, ако има такъв, трябва да уведомят надзорния орган, посочен в член 28, преди извършването изцяло или частично на операция по автоматизирана обработка или серия от такива операции, предназначени за една и съща или няколко свързани помежду си цели.

2.   Държавите-членки могат да предвидят опростяване или освобождаване от уведомление само в следните случаи и при следните условия:

когато по отношение на категории операции по обработването, за които няма вероятност, като се имат предвид данните, подлежащи на обработка, че могат да окажат неблагоприятно влияние върху правата и свободите на съответните физически лица, се посочват целите на обработването, данните или категориите данни, подлежащи на обработка, категорията или категориите физически лица, получателите или категориите получатели, пред които следва да се разкриват данните, както и срока, на съхраняване на данните, и/или

когато администраторът, в съответствие с националното право, на което е подчинен, назначи служебно лице за защита на личните данни, което отговаря, в частност, за следното:

гарантиране по независим начин на вътрешното прилагане на националните разпоредби, приети съгласно настоящата директива,

водене на регистър на извършваните от администратора операции по обработката, който съдържа информацията, упомената в член 21, параграф 2,

като по този начин гарантират, че няма вероятност правата и свободите на съответните физически лица да бъдат неблагоприятно засегнати от операциите по обработката.

3.   Държавите-членки могат да предвидят, че параграф 1 не се прилага за обработката, чиято единствена цел е воденето на регистър, който съгласно законовите или подзаконови разпоредби има за цел да предостави информация на обществеността и е открит за достъп с цел справка, както от обществеността най-общо, така и от което и да е лице, проявяващо законен интерес.

4.   Държавите-членки могат да предвидят освобождаване от задължението за уведомяване или опростяване на уведомяването при операциите по обработката, упоменати в член 8, параграф 2, буква г).

5.   Държавите-членки могат да постановят, че някои или всички неавтоматизирани операции по обработката на лични данни се съобщават или предвиждат тези операции по обработката да са предмет на опростено уведомяване.

Член 19

Съдържание на нотифицирането

1.   Държавите-членки определят информацията, която следва да бъде посочена в нотифицирането. Тя съдържа най-малко следното:

а)

името и адреса на администратора и неговия представител, ако има такъв;

б)

целта или целите на обработването;

в)

описание на категорията или категориите на съответното физическо лице и на данните или категориите от данни, свързани с него;

г)

получателите или категориите получатели, пред които данните биха могли да бъдат разкрити;

д)

предлагано предаване на данни за трети страни;

е)

общо описание, което позволява изготвянето на предварителна оценка на целесъобразността на мерките, предприети съгласно член 17, за осигуряване надеждността на обработването.

2.   Държавите-членки определят процедурите, при които всяка промяна, отнасяща се до информацията, упомената в параграф 1, трябва да бъде съобщена на надзорния орган.

Член 20

Предварителна проверка

1.   Държавите-членки определят операциите по обработката, които могат да създадат конкретен риск за правата и свободите на съответните физически лица, и проверяват дали тези операции по обработката са били разгледани преди да бъдат започнати.

2.   Такива предварителни проверки се извършват само от надзорния орган, след получаване на уведомление от администратора или от служебното лице по защита на данните, което при колебание трябва да се консултира с органа по надзора.

3.   Държавите-членки могат също да извършват такива проверки в контекста на подготовката на мярка на националния парламент или на мярка, основаваща се на такава законодателна мярка, която определя характера на обработването и постановява подходящи гаранции.

Член 21

Публичност на операциите по обработката

1.   Държавите-членки вземат мерки, за да гарантират публичността на операциите по обработката.

2.   Държавите-членки предвиждат, че регистър със съобщените операции по обработката в съответствие с член 18, се поддържа от надзорния орган.

Регистърът съдържа най-малко сведенията, изброени в член 19, параграф 1, букви а) до д).

Всяко лице може да направи справка с регистъра.

3.   Държавите-членки предвиждат, че по отношение на операциите по обработката, които не са предмет на уведомление, администраторите или друг орган, назначен от държавите-членки, предоставят най-малко информацията, упомената в член 19, параграф 1 букви а) до д), в подходяща форма, на всяко лице, което е подало молба за това.

Държавите-членки могат да постановят, че тази разпоредба не се прилага за обработка, чиято единствена цел е воденето на регистър, който съгласно законовите или подзаконови разпоредби има за цел да дава информация на обществеността и който е достъпен с цел справка, както за обществеността най-общо, така и за всяко лице, което може да докаже легитимен интерес.

ГЛАВА III

СРЕДСТВА ЗА ПРАВНА ЗАЩИТА, ОТГОВОРНОСТ И САНКЦИИ

Член 22

Средства за правна защита

Без това да засяга и да е административно средство за правна защита, което може да бъде предвидено, inter alia, пред надзорния орган, посочен в член 28, преди сезиране на съдебен орган, държавите-членки предвиждат правото на всяко лице на правна защита за всяко нарушение на правата, гарантирани от националното право, приложимо към въпросната обработка.

Член 23

Отговорност

1.   Държавите-членки предвиждат, че всяко лице, което е понесло вреди в резултат на неправомерна операция по обработката или на каквото и да е действие, което е несъвместимо с националните разпоредби, приети съгласно настоящата директива, има право да получи обезщетение от администратора за понесените вреди.

2.   Администраторът може да бъде изцяло или частично освободен от такава отговорност, ако докаже, че не носи отговорност за събитието, довело до причиняване на вредите.

Член 24

Санкции

Държавите-членки вземат подходящи мерки, за да гарантират пълното прилагане на разпоредбите на настоящата директива и в частност определят санкциите, които се налагат в случай на нарушаване на разпоредбите, приети в съответствие с настоящата директива.

ГЛАВА IV

ПРЕДАВАНЕ НА ЛИЧНИ ДАННИ НА ТРЕТИ СТРАНИ

Член 25

Принципи

1.   Държавите-членки предвиждат, че предаването на лични данни, които са подложени на обработка или са предназначени за обработка след предаването им на трета страна, може да се извършва, само ако без да се засяга спазването на националните разпоредби, приети в съответствие с другите разпоредби на настоящата директива, въпросната трета страна гарантира достатъчна степен на защита.

2.   Достатъчният характер на степента на защита, предоставяна от трета страна, се преценява в светлината на всички обстоятелства, свързани с операцията по предаването на данни или набор от операции по предаване на данни; специално внимание се обръща на характера на данните, целта и продължителността на предлаганата операция или операции по обработката им, на страната по произхода и страната по крайното местоназначение, на законовите правила, както общи, така и секторни, които са в сила във въпросната трета страна, както и на професионалните правила и мерките за сигурност, които се спазват в тази страна.

3.   Държавите-членки и Комисията се информират взаимно за случаите, в които считат, че трета страна не гарантира достатъчна степен на защита по смисъла на параграф 2.

4.   Ако Комисията констатира, съгласно процедурата, предвидена в член 31, параграф 2, че дадена трета страна не осигурява достатъчна степен на защита по смисъла на параграф 2 на настоящия член, държавите-членки взимат необходимите мерки за предотвратяване на всякакво предаване на данни от същия вид на въпросната трета страна.

5.   В подходящия момент Комисията започва преговори с цел да поправи състоянието на нещата, произтичащо от заключенията, направени съгласно параграф 4.

6.   Комисията може да констатира, в съответствие с процедурата, посочена в член 31, параграф 2, че трета страна гарантира достатъчна степен на защита по смисъла на параграф 2 на настоящия член, по силата на вътрешното си законодателство или на международните споразумения, сключени от нея, и по-конкретно след приключване на преговорите, упоменати в параграф 5, за защитата на личния живот и на основните свободи и права на лицата.

Държавите-членки предприемат необходимите мерки за спазване на решението на Комисията.

Член 26

Дерогации

1.   По пътя на дерогация от член 25 и ако друго не е постановено от националното законодателство, уреждащо особени случаи, държавите-членки постановяват, че предаването или набора от предавания на лични данни на трета страна, която не осигурява достатъчна степен на защита по смисъла на член 25, параграф 2, може да бъде извършено, при условие че:

а)

съответното физическо лице е дало изричното си съгласие за предлаганото предаване на данни; или

б)

предаването е необходимо за изпълнението на договор между съответното физическо лице и администратора или за изпълнението на мерки по предварителен договор, предприети по искане на съответното физическо лице; или

в)

предаването е необходимо за сключването или изпълнението на договор, сключен в интерес на съответното физическо лице между администратора и трета страна; или

г)

предаването е необходимо или изисквано от закона по съображения от важен обществен интерес или за установяването, упражняването или защитата на правото на иск; или

д)

предаването е необходимо за защита на жизнените интереси на съответното физическо лице; или

е)

предаването се извършва от регистър, който съгласно законови или подзаконови разпоредби, е предназначен да предоставя информация на обществеността и е достъпен за справка от обществеността по принцип или от всяко лице, което може да докаже, че има законен интерес за това, доколкото условията за справка, посочени в закона, са изпълнени в конкретния случай.

2.   Без да се засягат разпоредбите на параграф 1, дадена държава-членка може да разреши предаването или набора от предавания за трета страна, която не осигурява достатъчна степен на защита по смисъла на член 25, параграф 2, ако администраторът предостави достатъчни гаранции по отношение на защитата на личния живот и основните права и свободи на лицата и по отношение на упражняването на съответните права; такива гаранции могат, в частност, да произтичат от съответни договорни клаузи.

3.   Държавата-членка информира Комисията и другите държави-членки за разрешителните, които предоставя в съответствие с разпоредбите на параграф 2.

Ако някоя държава-членка или Комисията направи обосновано възражение във връзка със защитата на личния живот и на основните права и свободи на лицата, Комисията взима подходящи мерки в съответствие с процедурата, постановена в член 31, параграф 2.

Държавите-членки предприемат необходимите мерки, за да спазят решението на Комисията.

4.   Ако Комисията реши, в съответствие с процедурата, предвидена в член 31, параграф 2, че някои стандартни договорни клаузи предлагат достатъчни гаранции, както изисква параграф 2, държавите-членки вземат необходимите мерки, за да спазят решението на Комисията.

ГЛАВА V

КОДЕКСИ ЗА ПОВЕДЕНИЕ

Член 27

1.   Държавите-членки и Комисията насърчават разработването на кодекси за поведение, които имат за цел да допринесат за правилното прилагане на националните разпоредби, приети от държавите-членки съгласно настоящата директива, като се отчитат специфичните характеристики на отделните сектори.

2.   Държавите-членки предвиждат, че търговските сдружения и другите органи, представляващи други категории администратори, които са разработвали проекти на национални кодекси или които имат намерение да изменят или допълнят съществуващите национални кодекси, могат да ги представят на вниманието на националния орган.

Държавите-членки предвиждат този орган да установи, наред с другото, дали проектите, които са му представени, са в съответствие с националните разпоредби, приети съгласно настоящата директива. Ако счете за уместно, органът може да поиска становището на съответните физически лица или на техни представители.

3.   Проектокодексите на Общността, както и измененията и допълненията към съществуващите кодекси на Общността, могат да се предават на работната група, посочена в член 29. Работната група определя, наред с другото, дали внесените проекти са в съответствие с националните разпоредби, приети в съответствие с настоящата директива. Ако счете за уместно, органът се обръща към съответните физически лица или техните представители за становище. Комисията може да осигури съответна публичност на кодексите, които са одобрени от работната група.

ГЛАВА VI

НАДЗОРЕН ОРГАН И РАБОТНА ГРУПА ЗА ЗАЩИТА НА ЛИЦАТА ПРИ ОБРАБОТВАНЕТО НА ЛИЧНИ ДАННИ

Член 28

Надзорен орган

1.   Всяка държава-членка предвижда, че на нейната територия един или повече държавни органи отговарят за контрола на прилагането на разпоредбите, приети от държавите-членки, съгласно настоящата директива.

Тези органи се ползват с пълна независимост при упражняване на функциите, които са им възложени.

2.   Всяка държава-членка предвижда, че надзорните органи се консултират при разработването на административни мерки или разпоредби, отнасящи се до защитата на правата и свободите на лицата, по отношение на обработването на лични данни.

3.   В частност, на всеки орган са предоставени:

правомощия по разследване, като право на достъп до данните, съставляващи предмет на операциите по обработка, както и право на събиране на цялата информация, необходима за изпълнението на функциите по надзора,

ефективни правомощия на намеса, като например право на предоставяне на становища, преди извършването на операции по обработка на данни съгласно член 20, и гарантиране на подходяща публичност на подобни становища; право на разпореждане на блокиране, изтриване или унищожаване на данни, на въвеждане на временна или окончателна забрана върху обработването, на отправяне на предупреждение или строга забележка към администратора, както и право да сезира националния парламент или други политически институции,

правомощие да води съдебни дела, когато са нарушени националните разпоредби, приети в съответствие с настоящата директива, или свеждане на тези нарушения до знанието на съдебните власти.

Решенията на надзорния орган, предмет на жалби, могат да бъдат обжалвани по съдебен ред.

4.   Всеки надзорен орган разглежда искове, подадени от което и да е лице, от дружество, представляващо това лице, отнасящи се до защита на неговите права и свободи при обработването на лични данни. Лицето се уведомява за хода на иска.

Всеки надзорен орган, в частност, разглежда искове за проверка на законосъобразността на обработването на данни, подадени от което и да е лице, когато се прилагат националните разпоредби, приети съгласно член 13 на настоящата директива. Във всички случаи лицето се уведомява за извършената проверка.

5.   Всеки надзорен орган изготвя периодично доклад за дейността си. Докладите са публично достояние.

6.   Независимо от националното право, приложимо към въпросната обработка, всеки надзорен орган може да упражнява на територията на своята държава-членка правомощията, предоставени в съответствие с параграф 3. От всеки орган може да бъде поискано да упражни своите правомощия от страна на орган от друга държава-членка.

Надзорните органи си сътрудничат, доколкото е необходимо за изпълнението на техните функции, в частност, чрез обмен на полезна информация.

7.   Държавите-членки предвиждат, че дори след изтичане на техните трудови правоотношения, членовете и персоналът на надзорния орган следва да подлежат на задължението да пазят професионална тайна по отношение на поверителната информация, до която имат достъп.

Член 29

Работна група за защита на лицата при обработването на лични данни

1.   Създава се работна група за защита на лицата при обработването на лични данни, наричана по-нататък „работната група“.

Тя има съвещателен статут и действа независимо.

2.   Работната група се състои от представител на надзорния орган или органи, определен от всяка държава-членка, и от представител на органа или властите, създадени за институциите и органите на Общността, както и от представител на Комисията.

Всеки член на работната група се определя от институцията, органа или властите, които представлява. Когато държава-членка е определила повече от един надзорен орган, те определят свой общ представител. Същото се отнася за органите, създадени за институциите и организациите на Общността.

3.   Работната група взема решения с обикновено мнозинство на представителите на надзорните органи.

4.   Работната група избира свой председател. Мандатът на председателя е две години. Мандатът му подлежи на подновяване.

5.   Секретариатът на работната група се осигурява от Комисията.

6.   Работната група приема правилник за своята дейност.

7.   Работната група разглежда въпросите, включени в дневния ред от председателя по негова инициатива, по искане на представител на надзорните органи или по искане на Комисията.

Член 30

1.   Работната група:

а)

разглежда всеки въпрос, отнасящ се до прилагането на националните мерки, приети съгласно настоящата директива, с цел да допринесе за еднаквото прилагане на тези мерки;

б)

предоставя на Комисията становище относно степента на защита в Общността и в трети страни;

в)

дава съвет на Комисията във връзка с всяко предложение за изменение на настоящата директива, за всички допълнителни или конкретни мерки за гарантиране на правата и свободите на физическите лица при обработването на лични данни, както и всякакви други предложени общностни мерки, засягащи тези права и свободи;

г)

дава становище относно кодексите за поведение, разработвани на равнище на Общността.

2.   Ако работната група констатира, че в законодателството или практиките на държавите-членки има различия, които биха могли да засегнат равностойността на степента на защита на лицата при обработването на лични данни в Общността, тя уведомява съответно Комисията за това.

3.   Работната група може по своя инициатива да прави препоръки по всички въпроси, свързани със защитата на лицата при обработването на лични данни в Общността.

4.   Становищата и препоръките на работната група се изпращат на Комисията и на комитета, посочен в член 31.

5.   Комисията уведомява работната група за предприетите от нея действия в отговор на становищата и препоръките на групата. Това става с доклад, който също се изпраща на Европейския парламент и на Съвета. Докладът се прави публично достояние.

6.   Работната група изготвя годишен доклад за ситуацията относно защитата на физическите лица при обработването на лични данни в Общността и в трети страни, който изпраща на Комисията, Европейския парламент и Съвета. Докладът се прави публично достояние.

ГЛАВА VII

ИЗПЪЛНИТЕЛНИ МЕРКИ НА ОБЩНОСТТА

Член 31

Комитет

1.   Комисията се подпомага от комитет, съставен от представители на държавите-членки и председателстван от представител на Комисията.

2.   Представителят на Комисията внася в комитета проектомерките, които трябва да бъдат взети. Комитетът се произнася по проекта в срок, който председателят може да определи в зависимост от спешността на въпроса.

Становището се приема с мнозинство, определено в член 148, параграф 2 от Договора. Гласовете на представителите на държавите-членки в комитета се претеглят в съответствие с начина, определен в този член. Председателят няма право на глас.

Комисията приема мерки, които се прилагат незабавно. Въпреки това, ако тези мерки не са в съответствие със становището на комитета, Комисията ги съобщава на Съвета незабавно. В този случай:

Комисията отлага прилагането на мерките, за които е взела решение, за период от три месеца от датата на съобщаването,

Съветът може да вземе различно решение с квалифицирано мнозинство в срока, посочен по-горе.

ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ

Член 32

1.   Държавите-членки въвеждат в сила необходимите законови, подзаконови и административни разпоредби, за да приведат законодателството си в съответствие с настоящата директива, най-късно до три години от датата на нейното приемане.

Когато държавите-членки приемат тези мерки, последните съдържат позоваване на настоящата директива или то се извършва при официалното им публикуване. Условията и редът на позоваване се определят от държавите-членки.

2.   Държавите-членки гарантират, че обработването, което вече е започнало преди датата, на която национални разпоредби, приети съгласно настоящата директива, влизат в сила, се привежда в съот ветствие с настоящите разпоредби в срок до три години след тази дата.

По пътя на дерогация от предходния параграф, държавите-членки могат да предвидят, че обработването на данни, което вече се извършва чрез ръчни файлови системи към датата на влизане в сила на националните разпоредби, приети съгласно настоящата директива, се привежда в съответствие с членове 6, 7 и 8 от настоящата директива в срок до 12 години от датата на приемането ѝ. Държавите-членки, обаче, предоставят на съответното физическо лице правото да получи, по негова молба и в частност по времето, когато упражнява правото си на достъп, поправяне, изтриване или блокиране на онези данни, които са непълни, неточни или съхранявани по начин, който е несъвместим със законните цели, преследвани от администратора.

3.   По пътя на дерогация от параграф 2, държавите-членки могат да предвидят, при наличието на подходящи гаранции, че не е необходимо данните, съхранявани единствено за целите на исторически изследвания, да се привеждат в съответствие с членове 6, 7 и 8 от настоящата директива.

4.   Държавите-членки съобщават на Комисията текста на разпоредбите от националното право, които приемат в областта, уредена от настоящата директива.

Член 33

Комисията докладва периодично на Съвета и Европейския парламент, започвайки не по-късно от три години след датата, посочена в член 32, параграф 1, за изпълнението на настоящата директива, като прилага към своя доклад подходящи предложения за изменения, ако това е необходимо. Докладите се правят публично достояние.

В частност, Комисията разглежда прилагането на настоящата директива при обработването на звук и картина, свързани с физическите лица, и представя подходящи предложения, каквито се налагат според случая, като отчита развитието на информационните технологии и в светлината на развитието на информационното общество.

Член 34

Адресати на настоящата директива са държавите-членки.

Съставено в Люксембург на 24 октомври 1995 година.

За Европейския парламент

Председател

K. HÄNSCH

За Съвета

Председател

L. ATIENZA SERNA


(1)  ОВ С 277, 5.11.1990 г., стр. 3 и

ОВ С 311, 27.11.1992 г., стр. 30.

(2)  ОВ С 159, 17.6.1991 г., стр. 38.

(3)  Становище на Европейския парламент от 11 март 1992 г. (ОВ С 94, 13.4.1992 г., стр. 198), потвърдено на 2 декември 1993 г. (ОВ С 342, 20.12.1993 г., стр. 30); Обща позиция на Съвета от 20 февруари 1995 г. (ОВ С 93, 13.4.1995 г., стр. 1) и Решение на Европейския парламент от 15 юни 1995 г. (ОВ С 166, 3.7.1995 г.).

(4)  ОВ L 197, 18.7.1987 г., стр. 33.