13/ 30

BG

Официален вестник на Европейския съюз

142


32001R0045


L 008/1

ОФИЦИАЛЕН ВЕСТНИК НА ЕВРОПЕЙСКИЯ СЪЮЗ


РЕГЛАМЕНТ (ЕО) № 45/2001 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА

от 18 декември 2000 година

относно защитата на лицата по отношение на обработката на лични данни от институции и органи на Общността и за свободното движение на такива данни

ЕВРОПЕЙСКИЯТ ПАРЛАМЕНТ И СЪВЕТЪТ НА ЕВРОПЕЙСКИЯ СЪЮЗ,

като взеха предвид Договора за създаване на Европейската общност, и по-специално член 286 от него,

като взеха предвид предложението на Комисията (1),

като взеха предвид становището на Икономическия и социален комитет (2),

в съответствие с процедурата, предвидена в член 251 от Договора (3),

като имат предвид, че:

(1)

Член 286 от Договора изисква актовете на Общността относно защитата на лицата по отношение на обработката на лични данни и свободното движение на такива данни да се прилагат спрямо институциите и органите на Общността.

(2)

Една напълно функционална система за защита на личните данни изисква да се определят не само права за субектите на данни и задължения за онези, които обработват лични данни, но и подходящи санкции за нарушителите и за наблюдение и контрол от страна на независим надзорен орган.

(3)

Член 286, параграф 2 от Договора изисква създаването на независим надзорен орган, който да отговаря за наблюдението и контрола върху прилагането на тези актове на Общността спрямо институциите и органите на Общността.

(4)

Член 286, параграф 2 от Договора изисква приемането по целесъобразност на всякакви други свързани с това разпоредби.

(5)

Необходим е регламент, който да осигурява на физическите лица законно приложими права, да определя свързаните с обработката на данни задължения на контролните органи в рамките на институциите и органите на Общността и да създаде независим надзорен орган, който да отговаря за наблюдението и контрола на обработката на лични данни от институциите и органите на Общността.

(6)

Проведени са консултации с работната група за защита на лицата по отношение на обработката на лични данни, която е сформирана съгласно член 29 от Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 г. за защита на физическите лица по отношение на обработката на лични данни и за свободното движение на такива данни (4).

(7)

Лицата, които ще бъдат обект на защита са онези, чиито лични данни при каквито и да е обстоятелства се обработват от институции или органи на Общността, например поради това, че са служители на тези институции или органи.

(8)

Принципите за защита на данните следва да се прилагат по отношение на всяка информация, която се отнася за идентифицирано или идентифицируемо лице. За да се определи, дали може да се установи самоличността на дадено лице, следва да се вземат предвид всички приемливи средства, с които може да си послужи контролиращия орган или което и да е друго лице с оглед идентифицирането на посоченото лице. Принципите за защита не следва да се прилагат по отношение на данни с анонимен характер по такъв начин, че субектът на данните не е повече идентифицируем.

(9)

Директива 95/46/ЕО изисква от държавите-членки да защитават основните права и свободи на физическите лица, и по-специално правото им на личен живот по отношение на обработката на лични данни, за да се гарантира свободно движение на лични данни в Общността.

(10)

Директива 97/66/ЕО на Европейския парламент и на Съвета от 15 декември 1997 г. относно обработката на лични данни и защитата на личния живот в телекомуникационния сектор (5) уточнява и допълва Директива 95/46/ЕО по отношение на обработката на лични данни в телекомуникационния сектор.

(11)

Различни други мерки на Общността, в т.ч. мерки за взаимопомощ между националните органи и Комисията, също са предназначени да уточняват и допълват Директива 95/46/ЕО в секторите, за които се отнасят.

(12)

Необходимо е да се гарантира последователно и еднакво прилагане на територията на цялата Общност на правилата за защита на основните права и свободи на физическите лица по отношение на обработката на лични данни.

(13)

Целта е едновременно да се гарантира ефективно спазване на правилата, които уреждат защитата на основните права и свободи на отделните лица и свободното движение на лични данни между държавите-членки и институциите и органите на Общността или между институциите и органите на Общността във връзка с упражняването на съответните им компетенции.

(14)

За целта следва да се приемат мерки, които да са задължителни за институциите и органите на Общността. Тези мерки следва да се прилагат за всички обработки на лични данни от страна на всички институции и органи на Общността дотолкова, доколкото се извършват при упражняване на дейности, които изцяло или частично попадат в обхвата на правото на Общността.

(15)

Когато тази обработка се извършва от институции или органи на Общността при упражняване на дейности, попадащи извън обхвата на настоящия регламент, по-специално посочените в дялове V и VI от Договора за Европейския съюз, защитата на основните права и свободи на отделните лица се гарантира при надлежно съблюдаване на разпоредбите на член 6 от Договора за Европейския съюз. Достъпът до документи, включително и условията за достъп до документи, съдържащи лични данни, се урежда от правилата, които са приети въз основа на член 255 от Договора за създаване на Европейската общност, чийто обхват включва дялове V и VI от Договора за Европейския съюз.

(16)

Мерките не следва да се прилагат спрямо органи, които са установени извън рамките на Общността, а Европейският надзорен орган по защита на данните не следва да е компетентен да наблюдава и контролира обработката на лични данни от такива органи.

(17)

Ефективността на защитата на лицата по отношение на обработката на лични данни в Съюза предполага последователност на съответните правила и процедури, които са приложими за дейности, принадлежащи към различен правен контекст. Разработването на основни принципи за защита на личните данни в областта на правното сътрудничество по наказателни въпроси и полицейското и митническо сътрудничество, както и създаването на секретариат за съвместните надзорни органи, учредени от конвенцията за Европол, Конвенцията за използване на информационни технологии за митнически цели и Шенгенската конвенция представляват първа стъпка в тази посока.

(18)

Настоящият регламент не следва да засяга правата и задълженията на държавите-членки съгласно Директиви 95/46/ЕО и 97/66/ЕО. В съответствие с Протокола за привилегиите и имунитетите на Европейските общности и международното право той няма за цел да променя законно прилагани от държавите-членки действащи процедури и практики в областта на националната сигурност, предотвратяването на безредици или предотвратяването, разкриването, разследването и съдебното преследване на престъпни деяния.

(19)

Институциите и органите на Общността следва да информират компетентните власти на държавите-членки, когато считат, че трябва да се извърши подслушване на съобщения по техните телекомуникационни мрежи при съблюдаване на приложимите национални разпоредби.

(20)

Приложимите разпоредби спрямо институциите и органите на Общността следва да съответстват на разпоредбите, които са предвидени във връзка с хармонизирането на националните законодателства или осъществяването на други политика на Общността, предимно в сферата на взаимната помощ. Все пак, когато става въпрос за гарантиране на защита в случая на обработката на лични данни от институции и органи на Общността, може да се наложи уточняване и допълване на тези разпоредби.

(21)

Същото важи и за правата на лицата, чиито данни се обработват, за задълженията на извършващите обработката институции и органи на Общността и за правомощията, които следва да се предоставят на независимия надзорен орган, който ще отговаря за правилното прилагане на настоящия регламент.

(22)

Предоставените на субекта на данни права и тяхното упражняване не трябва да влияят на наложените на контролиращия орган задължения.

(23)

Независимият надзорен орган следва да упражнява надзорните си функции в съответствие с Договора и при съблюдаване на правата на човека и основните свободи. Той следва да провежда своите разследвания в съответствие с Протокола за привилегиите и имунитетите, Правилника за служителите на Европейските общности и с приложимите условия за наемане на работа на други служители на Общностите.

(24)

Следва да се приемат необходимите технически мерки, които да позволяват достъп чрез независимия надзорен орган до водените от длъжностните лица за защита на данните регистри за извършените операции по обработка на лични данни.

(25)

Решенията на независимия надзорен орган относно отмяната на разпоредби, гаранциите, разрешенията и условията във връзка с операциите по обработка на данни, както са определени в настоящия регламент, следва да се публикуват в отчет за дейността. Независимо от публикуването на годишен отчет за дейността, независимият надзорен орган може да публикува отчети по конкретни теми.

(26)

Някои свързани с обработката на данни операции, които биха могли да крият конкретни опасности по отношение на правата и свободите на субектите на данни, се подлагат на предварителна проверка от независимия надзорен орган. Даденото в контекста на такава предварителна проверка становище, включително и становището, произтичащо от отсъствие на отговор в рамките на определен срок, не засяга последващото упражняване от страна на независимия надзорен орган на неговите правомощия по отношение на въпросната операция по обработка на данни.

(27)

Обработката на лични данни за осъществяване на задачите, които институциите и органи на Общността изпълняват в интерес на обществото, включва обработка на лични данни, които са необходими за управлението и функционирането на тези институции и органи.

(28)

В някои случаи обработката на данни следва да бъде разрешена от разпоредби на Общността или актове, които въвеждат разпоредби на Общността. Въпреки това, през преходния период, по време на който не съществуват такива разпоредби, и докато те бъдат приети, Европейският надзорен орган по защита на данните може да разрешава обработката на такива данни, при условие че бъдат приети подходящи гаранции. В тази връзка той/тя следва да отчита приетите от държавите-членки разпоредби за подобни случаи.

(29)

Тези случаи касаят обработката на данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации и обработката на данни, касаещи здравето или сексуалния живот, които са необходими за спазването на конкретните права и задължения на контролния орган в областта на трудовото законодателство или по причини от значителен обществен интерес. Те касаят и обработката на данни, свързани с нарушения, присъди или мерки за сигурност и разрешение за прилагане спрямо субекта на данните на решение, което създава правни ефекти за него/нея или значително го/я засяга и което се основава единствено на автоматизирана обработка на данни, предназначени за оценяване на определени аспекти на неговата/нейната личност.

(30)

Може да е необходимо да се наблюдават и контролират компютърните мрежи, които се експлоатират под контрола на институциите и органите на Общността с цел предотвратяване на неразрешено използване. Европейският надзорен орган по защита на данните следва да определи, дали и при какви условия е възможно това.

(31)

Отговорността, която произтича от нарушаване на разпоредбите на настоящия регламент, е уредена в член 288, втори параграф от Договора.

(32)

Във всяка институция или орган на Общността трябва да има едно или повече длъжностни лица за защита на данните, които да гарантират прилагането на разпоредбите на настоящия регламент и да съветват контролиращите органи по изпълнението на техните задължения.

(33)

Съгласно член 21 от Регламент (ЕО) № 322/97 на Съвета от 17 февруари 1997 г. относно статистиката на Общността (6), регламентът трябва да се прилага, без да се засягат разпоредбите на Директива 95/46/ЕО.

(34)

Съгласно член 8, параграф 8 от Регламент (ЕО) № 2533/98 на Съвета от 23 ноември 1998 г. относно събирането на статистическа информация от Европейската централна банка (7), регламентът трябва да се прилага, без да се засягат разпоредбите на Директива 95/46/ЕО.

(35)

Съгласно член 1, параграф 2 от Регламент (Евратом, ЕИО) № 1588/90 на Съвета от 11 юни 1990 г. относно изпращането в Статистическата служба на Европейските общности на данни, които са обект на статистическа тайна (8), регламентът не прави изключение от специалните общностни или национални разпоредби във връзка със защитата на поверителна информация, различна от статистическа тайна.

(36)

В съответствие с член 249 от Договора настоящият регламент няма за цел да ограничава свободата на действие на държавите-членки в съставянето на националните им закони за защита на данните, съгласно член 32 от Директива 95/46/ЕО,

ПРИЕХА НАСТОЯЩИЯ РЕГЛАМЕНТ:

ГЛАВА I

ОБЩИ РАЗПОРЕДБИ

Член 1

Предмет на регламента

1.   В съответствие с настоящия регламент институциите и органите, които са създадени от или въз основа на Договорите за създаване на Европейските общности, оттук нататък наричани „институции или органи на Общността“, защитават основните права и свободи на физическите лица, и по-специалноправото им на личен живот по отношение на обработката на лични данни, както и не ограничават или забраняват свободното движение на лични данни помежду си или до получатели, спрямо които се прилага националното право на държавите-членки, които изпълняват Директива 95/46/ЕО.

2.   Учреденият с настоящия регламент независим надзорен орган, оттук нататък наричан „Европейски надзорен орган по защита на данните“, наблюдава и контролира прилагането на разпоредбите на настоящия регламент по отношение на всички операции по обработка на лични данни, извършвани от институция или орган на Общността.

Член 2

Определения

По смисъла на настоящия регламент:

а)

„лични данни“ означава всяка информация, свързана с физическо лице с установена или подлежаща на установяване самоличност, оттук нататък наричано „субект на данни“; лице с подлежаща на установяване самоличност е лице, чиято самоличност може пряко или косвено да се установи, по-специално по идентификационен номер или по един или повече специфични фактора за неговата/нейната физическа, психологическа, психична, икономическа, културна или социална самоличност;

б)

„обработка на лични данни“, оттук нататък наричана „обработка“, означава всяка операция или съвкупност от операции, които се извършват с или без автоматични средства по отношение на личните данни, като събиране, записване, организиране, съхранение, адаптиране или промяна, извличане, справка, използване, разкриване чрез изпращане, разпространение или другояче предоставяне, подреждане или комбиниране, блокиране, заличаване или унищожаване;

в)

„система за архивиране на лични данни“, оттук нататък наричана „архивираща система“, означава всяка структурирана съвкупност от лични данни, достъпът до която се осъществява по специфични критерии, независимо дали тази съвкупност е централизирана, децентрализирана или разделена по функционален или географски принцип;

г)

„контролиращ орган“ означава институцията или органът на Общността, Генералната дирекция, звеното или всяка друга организационна структура, която самостоятелно или съвместно с други определя целите и средствата за обработка на лични данни; когато целите и средствата за обработка са определени със специфичен акт на Общността, с този акт на Общността може да се посочи контролиращият орган или специфичните критерии за неговото определяне.

д)

„обработващо лице“ означава физическо или юридическо лице, публична власт, агенция или всеки друг орган, който извършва обработка на лични данни от името на контролиращия орган;

е)

„трета страна“ означава физическо или юридическо лице, обществен орган, агенция или орган, различен от субекта на данни, контролиращия орган, обработващото лице и лицата, които са упълномощени да обработват данните под прекия контрол на контролиращия орган или обработващото лице;

ж)

„получател“ означава физическо или юридическо лице, публична власт, агенция или друг орган, пред който се разкриват данните, независимо дали той е или не е трета страна; все пак органите, които могат да получават данни в рамките на конкретно следствие не се считат за получатели;

з)

„съгласие на субекта на данни“ означава всеки свободно даден, конкретен и информиран израз на воля, с която той/тя изразява съгласието си да бъдат обработвани личните му/ѝ данни.

Член 3

Обхват

1.   Настоящият регламент се прилага за обработката на данни от всички институции и органи на Общността дотолкова, доколкото тази обработка се извършва при упражняване на дейности, които изцяло или частично попадат в обхвата на правото на Общността.

2.   Настоящият регламент се прилага за обработката на данни, която изцяло или частично се извършва чрез автоматични средства, както и за неавтоматичната обработка на лични данни, които съставляват част от архивираща система или са предназначени да бъдат част от архивираща система.

ГЛАВА II

ОБЩИ ПРАВИЛА ЗА ЗАКОНОСЪОБРАЗНОСТ НА ОБРАБОТКАТА НА ЛИЧНИ ДАННИ

РАЗДЕЛ 1

ПРИНЦИПИ ОТНОСНО КАЧЕСТВОТО НА ДАННИТЕ

Член 4

Качество на данните

1.   Личните данни трябва да бъдат:

а)

безпристрастно и законно обработвани;

б)

събирани за конкретни, изрично указани и законни цели и да не бъдат впоследствие обработвани по несъвместим с тези цели начин. Последващата обработка за исторически, статистически или научни цели не се счита за несъвместима, при условие че контролиращият орган предвиди подходящи защитни мерки, с които по-конкретно да се гарантира, че данните няма да бъдат обработвани за никакви други цели или няма да бъдат използвани в подкрепа на мерки или решения, засягащи конкретно физическо лице;

в)

достатъчни, уместни и не повече от необходимото предвид целите, за които се събират и/или обработват впоследствие;

г)

точни и при необходимост актуализирани; трябва да се предприемат всички разумни стъпки, за да се гарантира заличаването или коригирането на неточни или непълни данни предвид целите, за които те се събират или обработват впоследствие;

д)

съхранявани по начин, който позволява установяване на самоличността на субектите на данни в продължение на период, който не надвишава необходимото за целите, за които се събират или впоследствие обработват данните. Институцията или органът на Общността регламентират съхраняването на лични данни, които трябва да се пазят за по-дълги периоди за исторически, статистически или научни цели да се извършва само в анонимна форма или, ако това не е възможно, само с кодиране на самоличността на субектите на данни. Във всички случаи данните не се използват за никакви други, освен исторически, статистически или научни цели.

2.   Контролиращият орган е длъжен да гарантира спазването на разпоредбите на параграф 1.

РАЗДЕЛ 2

КРИТЕРИИ ЗА ЛЕГИТИМНА ОБРАБОТКА НА ДАННИ

Член 5

Законосъобразност на обработката

Лични данни могат да се обработват само ако:

а)

обработката е необходима за изпълнението на задача, която в интерес на обществото въз основа на Договорите за създаване на Европейските общности или други приети въз основа на тях юридически актове или при легитимно упражняване на официални правомощия, предоставени на институцията или органа на Общността или на трета страна, пред която се разкриват данните, или

б)

обработката е необходима за съобразяване със законно задължение, което се прилага спрямо контролиращия орган, или

в)

обработката е необходима за изпълнението на договор, по който субектът на данни е страна или за предприемане на стъпки по искане на субекта на данните преди сключването на договор, или

г)

субектът на данните недвусмислено е дал своето съгласие, или

д)

обработката е необходима за защита на жизнените интереси на субекта на данните.

Член 6

Промяна на целта

Без да се засягат разпоредбите на членове 4, 5 и 10:

1.

Лични данни се обработват за цели, различни от тези, за които са били събрани само ако промяната на целта е изрично разрешена от вътрешния правилник на институцията или органа на Общността.

2.

Лични данни, които са събрани изключително за гарантиране на сигурността или контрола на обработващите системи или операцаци, не се използват за никакви други цели, с изключение на такива, свързани с предотвратяване, разследване, разкриване и съдебно преследване на тежки криминални престъпления.

Член 7

Предаване на лични данни вътрешно или между институции или органи на Общността

Без да се засягат разпоредбите на членове 4, 5, 6 и 10:

1.

Лични данни се предават вътрешно или на други институции или органи на Общността само ако данните са необходими за законното изпълнение на задачи от компетенциите на получателя.

2.

Когато данните се предават по молба на получателя, контролиращият орган и получателят едновременно носят отговорност за легитимността на предаването.

Контролиращият орган е длъжен да провери компетенциите на получателя и да извърши предварителна оценка на необходимостта от предаване на данните. В случай на възникнали съмнения относно тази необходимост, контролиращият орган изисква допълнителна информация от получателя.

Получателят гарантира, че необходимостта от предаване на данните може да бъде впоследствие проверена.

3.

Получателят обработва личните данни само за целите, за които те са предадени.

Член 8

Предаване на лични данни на получатели, които са различни от институции и органи на Общността и спрямо които се прилагат разпоредбите на Директива 95/46/ЕО

Без да се засягат разпоредбите на членове 4, 5, 6 и 10, лични данни се предават на получатели, които са подчинени на разпоредбите на национално законодателство, прието в изпълнение на Директива 95/46/ЕО само ако:

а)

получателят удостовери, че данните са необходими за изпълнението на задача, която се осъществява в интерес на обществото или е предмет на упражняване на публична власт, или

б)

получателят удостовери необходимостта от предаване на данните, и ако няма основания да се предполага, че биха могли да бъдат засегнати легитимните интереси на субекта на данните.

Член 9

Предаване на лични данни на получатели, които са различни от институции и органи на Общността, спрямо които не се прилагат разпоредбите на Директива 95/46/ЕО

1.   Лични данни се предават на получатели, които са различни от институции и органи на Общността и не са подчинени на разпоредбите на национално право, прието съобразно Директива 95/46/ЕО само ако в страната на получателя или в рамките на международната организация-получател е гарантирана достатъчно ниво на защита и данните се предават единствено с оглед изпълнение на задачи, които са от компетенциите на контролиращия орган.

2.   Достатъчното ниво на защита, която се гарантира от съответната трета страна или международна организация се оценява в светлината на всички обстоятелства около дадена операция или съвкупност от операции по предаване на данни; особено внимание се обръща на естеството на данните, целта и продължителността на предлаганата операция или операции по предаване, третата страна-получател или международната организация-получател, действащите в съответната трета страна или международна организация общи и отраслови правни правила и професионалните правила и мерки за сигурност, които се спазват в тази трета страна или международна организация.

3.   Институциите и органите на Общността информират Комисията и Европейския надзорен орган по защита на данните за случаи, в които те считат, че съответната трета страна или международна организация не гарантира достатъчно ниво на защита по смисъла на параграф 2.

4.   Комисията информира държавите-членки за всички случаи по параграф 3.

5.   Институциите и органите на Общността предприемат необходимите мерки, за да се съобразят с взетите от Комисията решения, когато съгласно член 25, параграфи 4 и 6 от Директива 95/46/ЕО тя установява, че дадена трета страна или международна организация гарантира или не достатъчно ниво на защита.

6.   Чрез дерогация от разпоредбите на параграфи 1 и 2, институцията или органът на Общността може да предава лични данни, ако:

а)

субектът на данните е дал недвусмислено съгласие за предлаганото предаване, или

б)

предаването е необходимо за изпълнението на договор между субекта на данните и контролиращия орган или за изпълнението на мерки преди сключването на договор в отговор на молба от страна на субекта на данните, или

в)

предаването е необходимо за сключването или изпълнението на договор, който е сключен между контролиращия орган и трета страна в интерес на субекта на данните, или

г)

предаването е необходимо или установено по закон на основания, свързани с важен обществен интерес или за установяването, упражняването или защитата на правни искове, или

д)

предаването е необходимо за защита на жизнените интереси на субекта на данните, или

е)

предаването се извършва от регистър, който съгласно правото на Общността е предназначен за предоставяне на информация на обществеността и е открит за извършване на справки от обществеността въобще или от всяко лице, което явно покаже легитимен интерес, при условие че в конкретния случай са изпълнени предвидените в правото на Общността условия за извършване на справки.

7.   Без да се засягат разпоредбите на параграф 6, Европейският надзорен орган по защита на данните може да разрешава предаване или съвкупност от предавания на лични данни на трета страна или международна организация, която не гарантира достатъчно ниво на защита по смисъла на параграфи 1 и 2, когато контролиращият орган дава достатъчни гаранции по отношение на защитата на личния живот и основните права и свободи на физическите лица и по отношение на упражняването на съответните права; по-специално, тези гаранции могат да произтичат от подходящи договорни клаузи.

8.   Институциите и органите на Общността информират Европейския надзорен орган по защита на данните за категориите случаи, в които са приложили разпоредбите на параграфи 6 и 7.

РАЗДЕЛ 3

СПЕЦИАЛНИ КАТЕГОРИИ ОБРАБОТКА

Член 10

Обработка на специални категории данни

1.   Забранява се обработката на лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, членство в синдикални организации, както и данни, свързани със здравето или сексуалния живот.

2.   Разпоредбите на параграф 1 не се прилагат, когато:

а)

субектът на данните е дал своето изрично съгласие за обработка на такива данни, освен в случаите, когато вътрешният правилник на институцията или органа на Общността предвижда, че посочената в параграф 1 забрана не може да се отменя чрез даването на съгласие от страна на субекта на данните, или

б)

обработката е необходима, с цел съобразяване със специфични права и задължения на контролиращия орган в областта на трудовото право дотолкова, доколкото това е разрешено от Договорите за създаване на Европейските общности или други приети въз основа на тях правни актове или при необходимост дотолкова, доколкото това е съгласувано с Европейския надзорен орган по защита на данните при условията на осигуряване на достатъчни мерки за защита, или

в)

обработката е необходима за защита на жизнените интереси на субекта на данните или на друго лице, когато субектът на данните е физически или юридически неспособен да даде своето съгласие, или

г)

обработката касае данни, които са публично обявени от субекта на данните, или ако е необходима за установяване, упражняване или защита на правни искове, или

д)

обработката се извършва в хода на легитимно упражняваните дейности и при подходящи мерки за защита от орган с нестопанска цел, който представлява интегрирана в дадена институция или орган на Общността структура, която по силата на член 4 от Директива 95/46/ЕО не е подчинена на разпоредбите на национално законодателство за защита на данните, както и когато се извършва с политическа, философска, религиозна или синдикална цел и при условие че обработката касае единствено членове на този орган или лица, които редовно контактуват с него във връзка с неговите цели и че данните не се разкриват пред трета страна без съгласието на субектите на данните.

3.   Разпоредбите на параграф 1 не се прилагат, когато обработката на данните е необходима за медицински цели, свързани с профилактика, диагностициране, осигуряване на здравна помощ или лечение или управление на здравни служби, и когато тези данни се обработват от здравен специалист, който е обвързан със задължение за опазване на професионална тайна или от друго лице, което също е обвързано с равностойно задължение за опазване на тайна.

4.   При условие че са осигурени подходящи гаранции и по съображения от значителен обществен интерес, освен предвидените в параграф 2 изключения, при необходимост с решение на Европейския надзорен орган по защита на данните могат да се предвидят допълнителни изключения, които са предвидени от Договорите за създаване на Европейските общности или други приети въз основа на тях правни актове.

5.   Обработката на данни, свързани с престъпления, присъди или мерки за сигурност може да се извършва само ако това е разрешено от Договорите за създаване на Европейските общности или други приети въз основа на тях правни актове или, при необходимост, от Европейския надзорен орган по защита на данните, при условие че са осигурени подходящи специфични гаранции.

6.   Европейският надзорен орган по защита на данните определя условията, при които личен номер или друг идентификатор може да се обработва от институция или орган на Общността.

РАЗДЕЛ 4

ИНФОРМАЦИЯ, КОЯТО СЕ ПРЕДОСТАВЯ НА СУБЕКТА НА ДАННИТЕ

Член 11

Информация, която се предоставя в случаи, когато данните са получени от техния субект

1.   Контролиращият орган предоставя на субекта на данните, от когото са получени свързаните с него данни, най-малко следната информация, освен ако той/тя вече не разполага с нея:

а)

данните за самоличност на контролиращия орган;

б)

целите на процесът по обработка, за който са предназначени данните;

в)

получатели или категории получатели на данните;

г)

дали отговарянето на въпросите е задължително или доброволно, както и възможните последствия при липса на отговор;

д)

наличието на право на достъп до и право на коригиране на касаещите го/я данни;

е)

всякаква друга допълнителна информация, като:

i)

правното основание на обработката, за която са предназначени данните,

ii)

сроковете за съхранение на данните,

iii)

правото да се обръща по всяко време към европейския контрольор за защита на данните,

дотолкова, доколкото такава допълнителна информация е необходима предвид конкретните обстоятелства, при които са събрани данните, за да се гарантира безпристрастност на обработката спрямо субекта на данните.

2.   Чрез дерогация от разпоредбите на параграф 1 предоставянето на информация или част от нея, с изключение на информацията, посочена в параграф 1, букви а), б) и г), може да се отлага за времето, което е необходимо за статистически цели. Информацията трябва да се предостави веднага, след като престанат да съществуват причините да нейното задържане.

Член 12

Информация, която се предоставя в случаи, когато данните не са получени от техния субект

1.   Когато данните не са получени от техния субект, при започване на записването на личните данни, или когато се предвижда те да бъдат разкрити пред трета страна и не по-късно от времето, когато данните се разкриват за първи път, контролиращият орган предоставя на субекта на данните най-малко следната информация, освен ако той/тя вече не разполага с нея:

а)

данните за самоличност на контролиращия орган;

б)

цели на процесът на обработка;

в)

съответните категории данни;

г)

получатели или категории получатели;

д)

наличието на право на достъп до и право на коригиране на касаещите го/я данни;

е)

всякаква друга допълнителна информация, като:

i)

правното основание на обработката, за която са предназначени данните,

ii)

сроковете за съхранение на данните,

iii)

правото да се обръща по всяко време към европейския контрольор за защита на данните,

iv)

произхода на данните, с изключение на случаите, когато контролиращият орган не може да разкрие тази информация от съображения за професионална тайна,

дотолкова, доколкото такава допълнителна информация е необходима предвид специфичните обстоятелства, при които се обработват данните, за да се гарантира безпристрастност на обработката спрямо субекта на данните.

2.   Разпоредбите на параграф 1 не се прилагат по-конкретно при обработката за статистически цели или за целите на исторически или научни изследвания, когато предоставянето на такава информация е невъзможно или би било свързано с несъразмерни усилия или ако записването или разкриването на данни е изрично предвидено от правото на Общността. В тези случаи институцията или органът на Общността предвиждат подходящи гаранции, след консултация с Европейския надзорен орган по защита на данните.

РАЗДЕЛ 5

ПРАВА НА СУБЕКТА НА ДАННИ

Член 13

Право на достъп

В срок от три месеца след получаване на запитването субектът на данните има право безплатно, без ограничения и по всяко време да получи от контролиращия орган:

а)

потвърждение, дали свързаните с него/нея данни се обработват;

б)

информация най-малко за целите на обработката, съответните категории данни и получателите или категориите получатели, пред които се разкриват данните;

в)

съобщение в разбираема форма за данните, които са в процес на обработка и всякаква налична информация за техния източник;

г)

информация за логиката на всеки автоматизиран процес на решение, който го/я касае.

Член 14

Коригиране

Субектът на данните има право да получи от контролиращия орган незабавно коригиране на неточни или непълни лични данни.

Член 15

Блокиране

1.   Субектът на данните има право да получи от контролиращия орган блокиране на данните, когато:

а)

точността им се оспорва от субекта на данните за срок, който позволява на контролиращия орган да провери точността, включително и пълнотата на данните, или

б)

контролиращият орган вече не се нуждае от тях за изпълнение на своите задачи, но те трябва да бъдат запазени за доказателствени цели, или

в)

обработката им е незаконна и субектът на данните не желае те да бъдат заличени, а изисква да бъдат блокирани.

2.   При автоматизирани архивиращи системи блокирането по принцип се осигурява чрез технически средства. Фактът, че личните данни са блокирани се указва в системата по начин, който ясно да показва, че личните данни не могат да се ползват.

3.   Блокираните съгласно разпоредбите на настоящия член лични данни, с изключение на съхранението им, се обработват единствено за доказателствени цели или със съгласието на субекта на данните, или с оглед защита на правата на трета страна.

4.   Преди данните да бъдат блокирани, контролиращият орган информира субекта на данните, който е поискал и получил блокиране на неговите/нейните данни.

Член 16

Заличаване

Субектът на данните има право да получи от контролиращия орган заличаване на данните, ако тяхната обработка е незаконна, особено когато са нарушени разпоредбите на раздели 1, 2 и 3 от глава II.

Член 17

Нотифициране на трети страни

Субектът на данните има право да получи от контролиращия орган нотифициране на трети страни, пред които са били разкрити данните за всяка корекция, заличаване или блокиране по силата на членове от 13 до 16, освен ако това е невъзможно или свързано с несъразмерно големи усилия.

Член 18

Право на възражение от страна на субекта на данните

Субектът на данните има право:

а)

по всяко време на непреодолими легитимни основания, свързани с конкретното му/ѝ положение да възразява срещу обработката на свързани с него/нея данни, освен в случаите по член 5, букви б), в) и г). При наличие на основателно възражение съответните данни не могат повече да бъдат обект на обработка;

б)

да бъде информиран преди личните данни да бъдат разкрити за първи път пред трети страни или преди да бъдат използвани от тях за преки маркетингови цели, както и изрично да му бъде предоставено право на безплатно възражение срещу такова разкриване или използване.

Член 19

Автоматизирани индивидуални решения

Субектът на данните има право да не бъде обект на решение, което има правни последици за него/нея или значително го/я засяга, и което се основава единствено на автоматизирана обработка на данни, които са предназначени за оценка на някои аспекти на неговата/нейната личност, като изпълнение на професионалните му/ѝ задължения, надеждност или поведение, освен ако решението не е изрично разрешено по силата на национално или общностно законодателство или, при необходимост, от Европейския надзорен орган по защита на данните. И в двата случая трябва да се вземат мерки за защита на законните интереси на субекта на данните така че той/тя да може да изразява собствената си гледна точка.

РАЗДЕЛ 6

ИЗКЛЮЧЕНИЯ И ОГРАНИЧЕНИЯ

Член 20

Изключения и ограничения

1.   Институциите и органите на Общността могат да ограничават прилагането на член 4, параграф 1, член 11, член 12, параграф 1, членове от 13 до 17 и член 37, параграф 1, когато това ограничение представлява необходима мярка за гарантиране на:

а)

предотвратяването, разследването, разкриването и съдебното преследване на престъпни деяния;

б)

важен икономически или финансов интерес на дадена държава-членка или на Европейските общности, в т.ч. валутни, бюджетни и данъчни въпроси;

в)

защитата на субекта на данни или на правата и свободите на други лица;

г)

националната сигурност, обществената безопасност или отбраната на държавите-членки;

д)

наблюдение и контрол, инспекция или регулативна функция, която е свързана, макар и случайно, с упражняването на официални правомощия в случаите по букви а) и б).

2.   Разпоредбите на членове от 13 до 16 не се прилагат, когато данните се обработват единствено с цел научни изследвания или се съхраняват под формата на лични данни в продължение на период, който не надвишава необходимия период за съставяне единствено на статистика, при условие че очевидно не съществува опасност от нарушаване на личния живот на субекта на данните и че контролиращият орган предвиди подходящи правни гаранции, с които по-специално да се гарантира, че данните не се използват за вземане на мерки или решения, касаещи конкретни физически лица.

3.   В случай на наложено ограничение по параграф 1, съгласно правото на Общността субектът на данните се информира за основните причини за налагане на ограничението и за правото му/ѝ да се обърне към Европейския надзорен орган по защита на данните.

4.   В случай на наложено ограничение по параграф 1, основаващо се на отказ за предоставяне на субекта на достъп до данните, които го касаят, при разглеждане на жалбата Европейският надзорен орган по защита на данните го/я информира единствено за това, дали данните са били правилно обработени и, ако не са, дали са извършени необходимите корекции.

5.   Предоставянето на посочената в параграфи 3 и 4 информация може да се отлага за такъв период от време, през който информацията би лишила от ефект наложеното ограничение по параграф 1.

РАЗДЕЛ 7

ПОВЕРИТЕЛНОСТ И СИГУРНОСТ НА ОБРАБОТКАТА

Член 21

Поверителност на обработката

Лице, наето на работа в институция или орган на Общността или самата институция или орган на Общността, който действа в качеството на обработващо лице, имащо достъп до лични данни, ги обработва само по нареждане на контролиращия орган, освен ако по силата на националното право или правото на Общността не се изисква друго.

Член 22

Сигурност на обработката

1.   Предвид достиженията на техническия прогрес и разходите за тяхното прилагане, контролиращият орган прилага подходящи технически и организационни мерки, за да гарантира подходящо ниво на сигурност по отношение на свързаните с обработката рискове и естеството на подлежащите на защита лични данни.

По-специално такива мерки се предприемат за предотвратяване на неразрешено разкриване или достъп, случайно или незаконно унищожаване, или случайна загуба или промяна, както и за предотвратяване на всякакви други незаконни форми на обработка.

2.   Когато личните данни се обработват с помощта на автоматизирани средства, се вземат подходящи мерки в зависимост от рисковете, по-конкретно с цел:

а)

предотвратяване на достъпа на неупълномощени лица до компютърните системи, с които се обработват лични данни;

б)

предотвратяване на всякаква неразрешена форма на четене, копиране, промяна или отстраняване на носители на данни;

в)

предотвратяване на всякакво неразрешено въвеждани на данни в паметта, както и всякаква форма на неразрешено разкриване, промяна или заличаване на съхранени лични данни;

г)

предотвратяване на използването на системи за обработка на данни от страна на неупълномощени лица чрез устройства за предаване на данни;

д)

гарантиране, че упълномощените потребители на дадена система за обработка на данни не могат да имат достъп до никакви други лични данни, освен тези, за които се отнася правото им на достъп;

е)

записване кои лични данни са били съобщени, кога и на кого;

ж)

гарантиране, че впоследствие е възможно да се провери кои лични данни са били обработени, кога и от кого;

з)

гарантиране, че обработваните от трети страни лични данни могат да се обработват единствено по начина, който е предписан от институцията или органа възложител;

и)

гарантиране, че по време на съобщаване на лични данни и по време на транспортиране на носители на данни не могат да се четат, копират или заличават данни без разрешение;

й)

структуриране на вътрешната организация на институциите или органите, така че да отговаря на специалните изисквания за защита на данните.

Член 23

Обработка на лични данни от името на контролиращ органи

1.   Когато дадена обработка се извършва от негово име, контролиращият орган избира обработващо лице, което предоставя достатъчни гаранции по отношение на техническите и организационни мерки за сигурност, които се изискват от член 22 и гарантира тяхното спазване.

2.   Извършването на обработка чрез обработващо лице се урежда с договор или юридически акт, който обвързва обработващото лице спрямо контролиращия орган и който по-специално постановява, че:

а)

обработващото лице действа единствено по указания на контролиращия орган;

б)

обработващото лице подлежи и на задълженията, които са посочени в членове 21 и 22, освен ако по силата на член 16 или член 17, параграф 3, второ тире от Директива 95/46/ЕО вече не е обвързан със задължения за поверителност и опазване на тайна, които са предвидени от националното право на една от държавите-членки.

3.   За доказателствени цели частите от договора или юридическия акт във връзка със защитата на данни и изискванията във връзка с посочените в член 22 мерки са в писмена или друга равностойна форма.

РАЗДЕЛ 8

ДЛЪЖНОСТНО ЛИЦЕ ЗА ЗАЩИТА НА ДАННИТЕ

Член 24

Назначаване и задачи на длъжностното лице за защита на данните

1.   Всяка институция и орган на Общността назначава най-малко едно длъжностно лице за защита на данните, което има следните задачи:

а)

да гарантира, че контролиращ органите и субектите на данните са информирани за техните права и задължения съгласно настоящия регламент;

б)

да отговаря на запитвания от страна на Европейския надзорен орган по защита на данните и в рамките на своите компетенции да сътрудничи с Европейския надзорен орган по защита на данните по искане по последния или по своя собствена инициатива;

в)

по независим начин да гарантира вътрешното прилагане на разпоредбите на настоящия регламент;

г)

да води регистър на извършените от контролиращия орган операции по обработка, който да съдържа информацията, посочена в член 25, параграф 2;

д)

да нотифицира Европейския надзорен орган по защита на данните за операциите по обработка, които има вероятност да представляват конкретна опасност по смисъла на член 27.

По този начин това лице гарантира, че операциите по обработка няма вероятност да засегнат неблагоприятно правата и свободите на субектите на данни.

2.   Длъжностното лице за защита на данните се подбира въз основа на неговите/нейните лични и професионални качества и по-специално въз основа на експертните му/ѝ познания в областта на защитата на данни.

3.   Изборът на длъжностно лице за защита на данните не трябва да води до конфликт на интереси между неговите/нейните задължения като длъжностно лице за защита на данните и всякакви други служебни задължения, особено по отношение на прилагането на разпоредбите на настоящия регламент.

4.   Длъжностното лице за защита на данните се назначава за срок между две и пет години. Той/тя може да бъде преназначаван(а), като общата продължителност на мандата му/ѝ не може да надвишава десет години. Той/тя може да бъде освобождаван(а) от длъжността длъжностно лице за защита на данните от институцията или органа на Общността, който го/я е назначил само със съгласието на европейския контрольор за защита на данните, ако престане да отговаря на необходимите условия за изпълнение на своите задължения.

5.   След назначаване на длъжностното лице за защита на данните, институцията или органът, който го/я е назначил го/я регистрира при европейския контрольор за защита на данните.

6.   Институцията или органът на Общността, който е назначил длъжностното лице за защита на данните му/ѝ осигурява необходимия персонал и средства за изпълнение на неговите/нейните задължения.

7.   Длъжностното лице за защита на данните не може да получава никакви инструкции по отношение на изпълнението на своите задължения.

8.   Всяка институция или орган на Общността приема допълнителни правила по изпълнение във връзка с длъжностното лице за защита на данните, в съответствие с разпоредбите на приложението. Нормите за изпълнение касаят по-специално задачите, задълженията и правомощията на длъжностното лице за защита на данните.

Член 25

Нотифициране на длъжностното лице за защита на данните

1.   Контролиращият орган предварително нотифицира длъжностното лице за защита на данните за всяка операция по обработка или съвкупност от такива операции, които са предназначени да обслужват една единствена или няколко свързани цели.

2.   Информацията, която следва да се предоставя включва:

а)

име и адрес на контролиращия орган и посочване на организационните части на дадена институция или орган, на които е поверена обработката на лични данни за конкретна цел;

б)

цел или цели на обработката;

в)

описание на категорията или категориите субекти на данни и на свързаните с тях данни или категории данни;

г)

правното основание на обработката, за която са предназначени данните;

д)

получатели или категории получатели, пред които биха могли да бъдат разкрити данните;

е)

общо указване на сроковете за блокиране и заличаване на различните категории данни;

ж)

предлагано предаване на данни на трети страни или международни организации;

з)

общо описание, позволяващо извършването на предварителна оценка на целесъобразността на предприетите мерки съгласно член 22 за гарантиране на сигурност на обработката.

3.   Длъжностното лице за защита на данните своевременно се уведомява за всяка промяна, засягаща информацията по параграф 2.

Член 26

Регистър

Всяко длъжностно лице за защита на данните води регистър за съобщените в съответствие с член 25 операции по обработка.

Регистрите съдържат най-малко информацията, която е посочена в член 25, параграф 2, букви от а) до ж). Справки в регистрите могат да се правят пряко или косвено от всяко лице чрез европейския контрольор за защита на данните.

РАЗДЕЛ 9

ПРЕДВАРИТЕЛНА ПРОВЕРКА ОТ СТРАНА НА ЕВРОПЕЙСКИЯ НАДЗОРЕН ОРГАН ПО ЗАЩИТА НА ДАННИТЕ И ЗАДЪЛЖЕНИЕ ЗА СЪТРУДНИЧЕСТВО

Член 27

Предварителна проверка

1.   Операции по обработка, които поради своето естество, обхват или цели има вероятност да представляват специфични опасности за правата и свободите на субектите на данни, се подлагат на предварителна проверка от страна на Европейския надзорен орган по защита на данните.

2.   Такава опасност могат да представляват следните операции:

а)

обработка на данни, свързани със здравето и предполагаеми престъпления, престъпления, присъди или мерки за неотклонение;

б)

операции по обработка, които са предназначени за оценка на аспекти на личността на субекта на данните, включително неговите/нейните способности, ефективност и поведение;

в)

операции по обработка, позволяващи връзки между данни, които се обработват за различни цели и които не са предвидени в националното или общностно законодателство;

г)

операции по обработка с цел изключване на лица от право, облага или договор.

3.   Предварителните проверки се извършват от Европейския надзорен орган по защита на данните след получаване на нотификация от длъжностното лице за защита на данните, което в случай на съмнение относно необходимостта от извършване на предварителна проверка се консултира с Европейския надзорен орган по защита на данните.

4.   Европейският надзорен орган по защита на данните представя становището си в срок от два месеца след получаване на нотификацията. Изтичането на този срок може временно да се прекрати, докато Европейският надзорен орган по защита на данните получи всякаква евентуално поискана от него/нея допълнителна информация. Когато сложността на въпроса го изисква, този срок може с решение на Европейския надзорен орган по защита на данните да се удължи с още два месеца. Това решение се нотифицира на контролиращия орган преди изтичане на първоначалния двумесечен срок.

При отсъствие на представено становище до края на двумесечния или евентуално удължен срок, становището се счита за положително.

Ако становището на Европейския надзорен орган по защита на данните е, че нотифицираната обработка може да включва нарушаване на някоя от разпоредбите на настоящия регламент, при необходимост, той прави предложения за избягване на такова нарушение. Когато контролиращият орган не извърши съответни промени в операцията по обработка, Европейският надзорен орган по защита на данните може да упражни правомощията, които са му/ѝ дадени по силата на член 47, параграф 1.

5.   Европейският надзорен орган по защита на данните води регистър на всички операции по обработка, за които е бил(а) уведомен(а) съгласно параграф 2. Регистърът съдържа посочената в член 25 информация и е обществено достъпен за справки.

Член 28

Консултация

1.   Институциите и органите на Общността информират Европейския надзорен орган по защита на данните при съставяне на административни мерки във връзка с обработката на лични данни, в която самостоятелно или съвместно с други участва институция или орган на Общността.

2.   При приемане на законодателно предложение във връзка със защитата на правата и свободите на лицата по отношение на обработката на лични данни, Комисията провежда консултации с Европейския надзорен орган по защита на данните.

Член 29

Задължение за предоставяне на информация

Институциите и органите на Общността информират Европейския надзорен орган по защита на данните за предприетите мерки вследствие на негови/нейни решения или разрешения съгласно член 46, буква з).

Член 30

Задължение за сътрудничество

По искане на Европейския надзорен орган по защита на данните, контролиращият орган го/я подпомага в изпълнението на неговите/нейните задължения, по-специално чрез предоставяне на информацията по член 47, параграф 2, буква а) и чрез предоставяне на предвидения в член 47, параграф 2, буква б) достъп.

Член 31

Задължение за реагиране на твърдения

В отговор на упражняване на правомощията по член 47, параграф 1, буква б) от страна на Европейския надзорен орган по защита на данните, контролиращият орган информира надзорния орган за становището си в рамките на приемлив срок, който се определя от надзорния орган. Отговорът включва и описание на предприетите мерки, ако има такива, в отговор на отправените от Европейския надзорен орган по защита на данните забележки.

ГЛАВА III

СРЕДСТВА ЗА СЪДЕБНА ЗАЩИТА

Член 32

Средства за съдебна защита

1.   Съдът на Европейските общности е компетентен да разглежда всички спорове във връзка с разпоредбите на настоящия регламент, включително искове за вреди.

2.   Без да се засягат средствата за съдебна защита, всеки субект на данни може да подаде жалба до Европейския надзорен орган по защита на данните, ако счита, че са нарушени правата му/ѝ по член 286 от Договора, вследствие на обработка на негови/нейни лични данни от институция или орган на Общността.

При отсъствие на отговор от Европейския надзорен орган по защита на данните в срок от шест месеца, жалбата се счита за отхвърлена.

3.   Решенията на Европейския надзорен орган по защита на данните се обжалват пред Съда на Европейските общности.

4.   Всяко лице, което е претърпяло вреда в резултат на незаконна операция по обработка или всякакво несъвместимо с настоящия регламент действие, има право на обезщетение за нанесените вреди в съответствие с член 288 от Договора.

Член 33

Жалби от служители на Общността

Всяко лице, което е наето на работа в институция или орган на Общността може да подаде жалба до Европейския надзорен орган по защита на данните, без да следва официална процедура, във връзка с предполагаемо нарушение на разпоредбите на настоящия регламент, който урежда обработката на лични данни. Никой не става обект на предубеждения, заради подадена до Европейския надзорен орган по защита на данните молба, в която се твърди за нарушение на разпоредбите, които уреждат обработката на лични данни.

ГЛАВА IV

ЗАЩИТА НА ЛИЧНИТЕ ДАННИ И ЛИЧНИЯ ЖИВОТ В КОНТЕКСТА НА ВЪТРЕШНИТЕ ТЕЛЕКОМУНИКАЦИОННИ МРЕЖИ

Член 34

Обхват

Без да се засягат останалите разпоредби на настоящия регламент, разпоредбите на настоящата глава важат за обработката на лични данни във връзка с използването на телекомуникационни мрежи или терминално оборудване, които се експлоатират под контрола на институция или орган на Общността.

По смисъла на настоящата глава „потребител“ означава всяко физическо лице, което използва телекомуникационна мрежа или терминално оборудване, което се експлоатира под контрола на институция или орган на Общността.

Член 35

Сигурност

1.   Институциите и органите на Общността предприемат подходящи технически и организационни мерки за гарантиране на сигурността при използването на телекомуникационните мрежи и терминално оборудване, при необходимост съвместно с доставчиците на обществени телекомуникационни услуги или доставчиците на обществени телекомуникационни мрежи. Предвид достиженията на техническия прогрес и разходите за тяхното прилагане, тези мерки осигуряват подходящо за съществуващите опасности ниво на сигурност.

2.   В случай на конкретна опасност от нарушаване на сигурността на мрежата и терминалното оборудване съответната институция или орган на Общността информира потребителите за съществуването на такава опасност и за възможните средства за правна защита и алтернативни средства за комуникация.

Член 36

Поверителност на комуникациите

Институциите и органите на Общността осигуряват поверителност на комуникациите с помощта на телекомуникационни мрежи и терминално оборудване в съответствие с общите принципи на правото на Общността.

Член 37

Данни за трафика и сметките

1.   Без да се засягат разпоредбите на параграфи 2, 3 и 4, свързаните с потребителите данни за трафика, които се обработват и съхраняват за установяване на обажданията и други форми на свързване по телекомуникационните мрежи се изтриват или стават анонимни при приключване на обаждането или друга форма на свързване.

2.   При необходимост, данните за трафика, съгласно съгласуван с Европейския надзорен орган по защита на данните списък, могат да се обработват за целите на управлението на телекомуникационния бюджет и трафик, включително проверка за разрешено използване на телекомуникационните системи. Тези данни се изтриват или правят анонимни при първа възможност, но не по-късно от шест месеца след събирането им, освен ако не е необходимо да се съхраняват за по-дълъг период от време за установяване, упражняване или защита на право в случай на заведен съдебен иск.

3.   Обработката на данни за трафика и сметките се извършва само от лица, отговарящи за управлението на сметките, трафика или бюджета.

4.   Потребителите на телекомуникационните мрежи имат право да получават неподробни сметки или други документи за проведените обаждания.

Член 38

Указатели на потребителите

1.   Личните данни, които се съдържат в печатни или електронни указатели на потребителите, и достъпът до тези указатели се ограничава до строго необходимото за специфичните цели на указателя.

2.   Институциите и органите на Общността предприемат всички необходими мерки за предотвратяване на използването за преки маркетингови цели на съдържащите се в тези указатели лични данни, независимо дали те са или не са обществено достъпни.

Член 39

Изписване и ограничаване на идентификацията на търсещата и търсената линия

1.   Когато се предлага услугата изписване на идентификацията на търсещата линия, търсещият потребител има възможност лесно и безплатно да дезактивира изписването на идентификацията на търсещата линия.

2.   Когато се предлага услугата изписване на идентификацията на търсещата линия, търсеният потребител има възможност лесно и безплатно да дезактивира изписването на идентификацията на входящите повиквания.

3.   Когато се предлага услугата изписване на идентификацията на търсената линия, търсеният потребител има възможност лесно и безплатно да дезактивира изписването на идентификацията на търсената линия при търсещия потребител.

4.   Когато се предлага услугата изписване на търсещата или търсената линия, институциите и органите на Общността информират потребителите за тези услуги и за посочените в параграфи 1, 2 и 3 възможности.

Член 40

Дерогиране

Институциите и органите на Общността гарантират наличието на прозрачни процедури, уреждащи начина, по който те могат да отменят дезактивирането на изписването на идентификацията на търсещата линия:

а)

временно, при представяне на молба от потребител, искащ проследяване на злонамерени или досадни обаждания;

б)

за определени линии, при организационни структури, които отговарят на спешни повиквания с оглед отговарянето на такива повиквания.

ГЛАВА V

НЕЗАВИСИМ НАДЗОРЕН ОРГАН: ЕВРОПЕЙСКИ НАДЗОРЕН ОРГАН ПО ЗАЩИТА НА ДАННИТЕ

Член 41

Европейски надзорен орган по защита на данните

1.   Създава се независим надзорен орган, наричан Европейски надзорен орган по защита на данните.

2.   По отношение на обработката на лични данни, задачата на Европейския надзорен орган по защита на данните е да гарантира спазването от страна на институциите и органите на Общността на основните права и свободи на физическите лица, и по-специално правото им на личен живот.

Европейският надзорен орган по защита на данните отговаря за наблюдението и гарантирането на прилагането на разпоредбите на настоящия регламент и всеки друг акт на Общността, който се отнася за защитата на основните права и свободи на физическите лица по отношение на обработката на лични данни от институция или орган на Общността, както и за предоставянето на консултации на институциите и органите на Общността и субектите на данни по всички въпроси, свързани с обработката на лични данни. За целта той/тя изпълнява предвидените в член 46 задължения и упражнява дадените му/ѝ по силата на член 47 правомощия.

Член 42

Назначаване

1.   Европейският надзорен орган по защита на данните се назначава с общо съгласие от Европейския парламент и Съвета за срок от пет години въз основа на съставен от Комисията списък след публично отправена покана за представяне на кандидатури.

По същата процедура и за същия срок се назначава помощник надзорен орган, който подпомага надзорния орган в изпълнението на неговите/нейните задължения и действа като негов/неин заместник, когато надзорният орган отсъства или е възпрепятстван да изпълнява задълженията си.

2.   Европейският надзорен орган по защита на данните се избира измежду лица, чиято независимост не подлежи на съмнение и за които е признато, че притежават необходимите опит и умения, за да изпълняват функциите на Европейски надзорен орган по защита на данните, например поради това, че принадлежат или са принадлежали към контролните органи, посочени в член 28 от Директива 95/46/ЕО.

3.   Европейският надзорен орган по защита на данните може да се назначава повторно.

4.   Освен в случаите на нормална смяна или смърт, задълженията на Европейския надзорен орган по защита на данните приключват при подаване на оставка или принудително освобождаване в съответствие с параграф 5.

5.   Европейският надзорен орган по защита на данните може да бъде освободен или лишен от правото на пенсия или други заместващи пенсията облаги от Съда на Европейските общности по искане на Европейския парламент, Съвета или Комисията, ако престане да отговаря на необходимите условия за изпълнение на своите задължения или в случай на тежко провинение.

6.   В случай на нормална смяна или доброволна оставка Европейският надзорен орган по защита на данните въпреки всичко продължава да заема длъжността си, докато бъде сменен(а).

7.   Разпоредбите на членове от 12 до 15 и член 18 от Протокола за привилегиите и имунитетите на Европейските общности се прилагат и за Европейския надзорен орган по защита на данните.

8.   За помощник надзорния орган се прилагат разпоредбите на параграфи от 2 до 7.

Член 43

Правилник и общи условия за изпълнение на задълженията на Европейския надзорен орган по защита на данните, персонал и финансови средства

1.   Европейският парламент, Съветът и Комисията с общо съгласие определят правилника и общите условия за изпълнение на задълженията на Европейския надзорен орган по защита на данните и по-специално неговата/нейната заплата, надбавки и всякакви други заместващи възнаграждения.

2.   Бюджетният орган гарантира осигуряването на Европейския надзорен орган по защита на данните на необходимите за изпълнение на неговите/нейните задачи човешки и финансови ресурси.

3.   Бюджетът на Европейския надзорен орган по защита на данните фигурира в отделна бюджетна позиция в раздел VIII на общия бюджет на Европейския съюз.

4.   Европейският надзорен орган по защита на данните се подпомага от секретариат. Служителите и останалият персонал на секретариата се назначават от Европейския надзорен орган по защита на данните, който/която е техен висшестоящ ръководител, на когото те са изключително подчинени. Числеността на персонала се решава всяка година като част от бюджетната процедура.

5.   Спрямо служителите и останалия персонал на Европейския надзорен орган по защита на данните се прилагат правилници и наредбите за длъжностните лица и останалия лица, наети на работа в Европейските общности.

6.   По въпроси, касаещи секретарския персонал Европейският надзорен орган по защита на данните има същия статут, както институциите по смисъла на член 1 от Правилника за длъжностните лица на Европейските общности.

Член 44

Независимост

1.   Европейският надзорен орган по защита на данните е напълно независим при изпълнение на своите задължения.

2.   При изпълнение на своите задължения Европейският надзорен орган по защита на данните не търси и не получава инструкции от никого.

3.   Европейският надзорен орган по защита на данните се въздържа от всякакви несъвместими със задълженията му/ѝ действия и по време на своя мандат не упражнява никакви други дейности, независимо дали срещу възнаграждение или безвъзмездно.

4.   След приключване на мандата Европейският надзорен орган по защита на данните има почтено и дискретно поведение при приемането на назначения и облаги.

Член 45

Професионална тайна

По време и след приключване на мандата Европейският надзорен орган по защита на данните и неговият/нейният персонал подлежат на задължение за опазване на професионалната тайна по отношение на всякаква поверителна информация, която е стигнала до тяхното знание в хода на изпълнение на служебните им задължения.

Член 46

Задължения

Европейският надзорен орган по защита на данните:

а)

разглежда и разследва жалби и в разумен срок информира субекта на данните за техния изход;

б)

провежда разследвания по своя инициатива или въз основа на жалба и в разумен срок информира субекта на данните за техния изход;

в)

наблюдава и гарантира прилагането на разпоредбите на настоящия регламент и на всеки друг акт на Общността, който касае защитата на физически лица по отношение на обработката на лични данни от институция или орган на Общността, с изключение на Съда на Европейските общности при изпълнение на съдебните му функции;

г)

по своя инициатива или в отговор на отправена молба за консултация съветва всички институции и органи на Общността по всички въпроси, касаещи обработката на лични данни, по-специално преди те да съставят своите вътрешни правилници във връзка със защитата на основните права и свободи по отношение на обработката на лични данни;

д)

наблюдава развитието по-специално в областта на информационните и комуникационни технологии дотолкова, доколкото те имат въздействие върху защитата на личните данни;

е)

i)

сътрудничи с посочените в член 28 от Директива 95/46/ЕО национални контролни органи в страните, в които се прилага тази директива до необходимата степен за изпълнение на съответните им задължения, по-специално чрез обмен на полезна информация, чрез отправяне на искане към такъв орган да упражни правомощията си или чрез отговаряне на отправено от такъв орган искане;

ii)

сътрудничи и с контролните органи за защита на данните, които са учредени съгласно дял VI от Договора за Европейския съюз, по-специално с оглед подобряване на последователността в прилагането на правилата и процедурите, за чието спазване те съответно отговарят;

ж)

участва в дейността на създадената по силата на член 29 от Директива 95/46/ЕО работна група за защита на физическите лица по отношение на обработката на лични данни;

з)

определя, мотивира и огласява изключенията, гаранциите, разрешенията и условията, които са споменати в член 10, параграф 2, буква б), параграфи 4, 5 и 6, член 12, параграф 2, член 19 и член 37, параграф 2;

и)

води регистър на операциите по обработка, за които е уведомен(а) по силата на член 27, параграф 2 и които са регистрирани в съответствие с член 27, параграф 5, както и осигурява средства за достъп до водените от длъжностните лица за защита на данните регистри съгласно член 26;

й)

извършва предварителна проверка на обработката, за която е уведомен(а);

к)

определя своя процедурен правилник.

Член 47

Правомощия

1.   Европейският надзорен орган по защита на данните може:

а)

да дава съвети на субектите на данни при упражняване на техните права;

б)

да сезира контролиращия орган при твърдение за нарушение на разпоредбите, уреждащи обработката на лични данни, и при необходимост да отправя предложения за изправяне на това нарушение и за подобряване на защитата на субектите на данни;

в)

да разпорежда удовлетворяването на молби за упражняване на определени права във връзка с данни, когато такива молби са били отхвърлени в нарушение на разпоредбите на членове от 13 до 19;

г)

да отправя предупреждения и мъмрене до контролиращия орган;

д)

да разпорежда коригиране, блокиране, заличаване или унищожаване на всички данни, които са били обработени в нарушение на разпоредбите, уреждащи обработката на лични данни, както и уведомяване за тези действия на трети страни, пред които са били разкрити данните;

е)

да налага временна или постоянна забрана за обработка;

ж)

да сезира съответната институция или орган на Общността, а при необходимост и до Европейския парламент, Съвета и Комисията;

з)

да сезира Съда на Европейските общности при предвидените в Договора условия;

и)

да взема участие в заведени пред Съда на Европейските общности дела.

2.   Европейският надзорен орган по защита на данните има правомощия:

а)

да получава от контролиращ орган или институция или орган на Общността цялата информация, която е необходима за неговите/нейните разследвания;

б)

да получава достъп до всички помещения, в които контролиращ орган или институция или орган на Общността осъществява своята дейност, когато са налице основателни причини да се предполага, че в тях се осъществява дейност, която е предмет на настоящия регламент.

Член 48

Отчет за дейността

1.   Европейският надзорен орган по защита на данните представя годишен отчет за дейността си пред Европейския парламент, Съвета и Комисията, който същевременно се огласява публично.

2.   Европейският надзорен орган по защита на данните изпраща отчет за дейността си на другите институции и органи на Общността, които могат да представят коментари с оглед на евентуалното разглеждане на отчета в Европейския парламент, по-специално по отношение на описанието на предприетите мерки в отговор на отправените съгласно член 31 забележки от европейския контрольор за защита на данните.

ГЛАВА VI

ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ

Член 49

Санкции

Всяко неспазване на задължения съгласно настоящия регламент от страна на служител или друго длъжностно лице на Европейските общности, независимо дали преднамерено или по непредпазливост, води до дисциплинарни санкции в съответствие с правилата и процедурите, които са предвидени в Правилника за длъжностните лица на Европейските общности или в съответствие с приложимите за други длъжностни лица условия за наемане на работа.

Член 50

Преходен период

Институциите и органите на Общността гарантират, че операциите по обработка, които вече са в ход в деня на влизане в сила на настоящия регламент, ще бъдат приведени в съответствие с настоящия регламент в срок от една година от тази дата.

Член 51

Влизане в сила

Настоящият регламент влиза в сила на двадесетия ден след публикуването му в Официален вестник на Европейските общности.

Настоящият регламент е задължителен в своята цялост и се прилага пряко във всички държави-членки.

Съставено в Брюксел на 18 декември 2000 година.

За Европейския парламент

Председател

N. FONTAINE

За Съвета

Председател

D. VOYNET


(1)  ОВ С 376 Е, 28.12.1999 г., стр. 24.

(2)  ОВ С 51, 23.2.2000 г., стр. 48.

(3)  Становище на Европейския парламент от 14 ноември 2000 г. и решение на Съвета от 30 ноември 2000 г.

(4)  ОВ L 281, 23.11.1995 г., стр. 31.

(5)  ОВ L 24, 30.1.1998 г., стр. 1.

(6)  ОВ L 52, 22.2.1997 г., стр. 1.

(7)  ОВ L 318, 27.11.1998 г., стр. 8.

(8)  ОВ L 151, 15.6.1990 г., стр. 1. Регламент, последно изменен с Регламент (ЕО) № 322/97 (ОВ L 52, 22.2.1997 г., стр. 1).


ПРИЛОЖЕНИЕ

1.

Длъжностното лице за защита на данните може да отправя препоръки за практическото подобряване на защитата на данни към институцията или органа на Общността, който го/я е назначил, както и да дава съвети на последните и на съответния контролиращ орган по въпроси, касаещи прилагането на разпоредби относно защитата на данни. Освен това той/тя може по своя инициатива или по молба на институцията или органа на Общността, който го/я е назначил, на контролиращия орган, на съответния комитет на служителите или всяко физическо лице да разследва пряко свързани с неговите/нейните задължения въпроси и факти, за които е уведомен(а) и да докладва обратно на лицето, което е възложило разследването или на контролиращия орган.

2.

Институцията или органът на Общността, който е назначил длъжностното лице за защита на данните, съответният контролиращ орган, съответният комитет на служителите и всяко физическо лице може да се консултира с длъжностното лице за защита на данните, без да е необходимо да следва официална процедура, по всички въпроси, касаещи тълкуването на настоящия регламент.

3.

Никой не става обект на предубеждение, заради отнесен до вниманието на компетентното длъжностно лице за защита на данните въпрос, по който се твърди за извършено нарушение на разпоредбите на настоящия регламент.

4.

Всеки съответен контролиращ орган е длъжен да оказва съдействие на длъжностното лице за защита на данните при изпълнение на неговите/нейните задължения, както и да предоставя информация в отговор на поставени въпроси. При изпълнение на своите задължения длъжностното лице за защита на данните има по всяко време достъп до данните, които са обект на операции по обработка, както и до всички помещения, инсталации за обработка на данни и носители на данни.

5.

Длъжностното лице за защита на данните е освободено до необходимата степен от извършването на други дейности. Длъжностното лице за защита на данните и неговият/нейният персонал, за които важат разпоредбите на член 287 от Договора са длъжни да не разгласяват информация или документи, които са получили в хода на изпълнението на своите задължения.