1.   С настоящия регламент се определят правилата по отношение на защитата на физическите лица във връзка с обработването на лични данни от институциите и органите на Съюза, както и правилата по отношение на свободното движение на лични данни между тях или до други получатели, установени в Съюза.

2.   С настоящия регламент се защитават основни права и свободи на физическите лица, и по-специално тяхното право на защита на личните данни.

3.   Европейският надзорен орган по защита на данните следи за прилагането на разпоредбите на настоящия регламент по отношение на всички операции по обработване на лични данни, извършвани от институция или орган на Съюза.

1.   Настоящият регламент се прилага за обработването на лични данни от всички институции и органи на Съюза.

2.   Само член 3 и глава IХ от настоящия регламент се прилагат за обработването на лични данни от оперативен характер от страна на органите, службите и агенциите на Съюза при извършването на дейности, които попадат в обхвата на част трета, дял V, глава 4 или глава 5 от ДФЕС.

3.   Настоящият регламент не се прилага за обработването на лични данни от оперативен характер от страна на Европол и Европейската прокуратура, преди да се адаптират Регламент (ЕС) 2016/794 на Европейския парламент и на Съвета (15) и Регламент (ЕС) 2017/1939 на Съвета (16) в съответствие с член 98 от настоящия регламент.

4.   Настоящият регламент не се прилага за обработването на лични данни от мисиите, посочени в член 42, параграф 1 и членове 43 и 44 от ДЕС.

5.   Настоящият регламент се прилага за обработването на лични данни изцяло или частично с автоматични средства, както и за обработването с други средства на лични данни, които са част от регистър с лични данни или които са предназначени да съставляват част от регистър с лични данни.

1.   Личните данни:

2.   Администраторът носи отговорност за спазването на параграф 1 и трябва да е в състояние да го докаже („отчетност“).

1.   Обработването е законосъобразно само ако и доколкото е приложимо поне едно от следните условия:

2.   Основанието за обработването, посочено в параграф 1, букви а) и б), се установява в правото на Съюза.

1.   Когато обработването се извършва въз основа на съгласие, администраторът трябва да е в състояние да докаже, че субектът на данни е дал съгласие за обработване на личните му данни.

2.   Ако съгласието на субекта на данните е дадено в рамките на писмена декларация, която се отнася и до други въпроси, искането за съгласие се представя по начин, който ясно да го отличава от другите въпроси, в разбираема и лесно достъпна форма, като се използва ясен и прост език. Никоя част от такава декларация, която представлява нарушение на настоящия регламент, не е обвързваща.

3.   Субектът на данни има правото да оттегли съгласието си по всяко време. Оттеглянето на съгласието не засяга законосъобразността на обработването, основано на дадено съгласие преди неговото оттегляне. Преди да даде съгласие, субектът на данни трябва да бъде информиран за това. Оттеглянето на съгласие трябва да е също толкова лесно, колкото и даването му.

4.   Когато се прави оценка дали съгласието е било свободно изразено, се отчита най-вече дали, inter alia, изпълнението на даден договор, включително предоставянето на дадена услуга, е поставено в зависимост от съгласието за обработване на лични данни, което не е необходимо за изпълнението на този договор.

1.   Когато се прилага член 5, параграф 1, буква г) във връзка с прякото предлагане на услуги на информационното общество на деца, обработването на данни на дете е законосъобразно, ако детето е поне на 13 години. Ако детето е под 13 години, това обработване е законосъобразно само ако и доколкото такова съгласие е дадено или потвърдено от носещия родителска отговорност за детето.

2.   В такива случаи администраторът полага разумни усилия за удостоверяване, че съгласието е дадено или потвърдено от носещия родителска отговорност за детето, като взема предвид наличната технология.

3.   Параграф 1 не засяга общото договорно право на държавите членки като разпоредбите относно действителността, сключването или последиците от даден договор по отношение на дете.

1.   Без да се засягат членове 4—6 и член 10, лични данни се предават само на установени в Съюза получатели, различни от институции и органи на Съюза, ако:

2.   Когато администраторът започва предаването по силата на настоящия член, той доказва, че предаването на лични данни е необходимо и пропорционално за целите на предаването, като прилага критериите, определени в параграф 1, буква а) или буква б).

3.   Институциите и органите на Съюза съгласуват правото на защита на личните данни с правото на достъп до документи в съответствие с правото на Съюза.

1.   Забранява се обработването на лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в професионални съюзи, както и обработването на генетични данни, биометрични данни с цел уникално идентифициране на физическото лице, данни, свързани със здравето или сексуалния живот и сексуалната ориентация на лицето.

2.   Параграф 1 не се прилага, ако е налице едно от следните условия:

3.   Личните данни, посочени в параграф 1, може да бъдат обработвани за целите, посочени в параграф 2, буква з), когато въпросните данни се обработват от или под ръководството на професионален работник, обвързан от задължението за опазване на професионална тайна по силата на правото на Съюза или на държава членка или на правилата, установени от националните компетентни органи, или от друго лице, което също е обвързано от задължение за опазване на тайна по силата на правото на Съюза или на държава членка или на правилата, установени от националните компетентни органи.

1.   Ако целите, за които администратор обработва лични данни, не изискват или вече не изискват идентифициране на субекта на данните от администратора, администраторът не е задължен да поддържа, да се сдобие с или да обработи допълнителна информация, за да идентифицира субекта на данни с единствената цел да бъде спазен настоящият регламент.

2.   Когато в случаи, посочени в параграф 1 от настоящия член, администраторът може да докаже, че не е в състояние да идентифицира субекта на данни, администраторът уведомява съответно субекта на данни, ако това е възможно. В такива случаи членове 17 — 22 не се прилагат, освен когато субектът на данни, с цел да упражни правата си по тези членове, предостави допълнителна информация, позволяваща неговото идентифициране.

1.   Администраторът предприема необходимите мерки за предоставяне на субекта на данните на всякаква информация по членове 15 и 16 и на всякаква комуникация по членове 17—24 и член 35, която се отнася до обработването, в кратка, прозрачна, разбираема и лесно достъпна форма, на ясен и прост език, особено що се отнася до всяка информация, конкретно насочена към деца. Информацията се предоставя писмено или по друг начин, включително, когато е целесъобразно, с електронни средства. Ако субектът на данните е поискал това, информацията може да бъде дадена устно, при условие че идентичността на субекта на данните е доказана с други средства.

2.   Администраторът съдейства за упражняването на правата на субекта на данните по членове 17—24. В случаите, посочени в член 12, параграф 2, администраторът не отказва да предприеме действия по искане на субекта на данните за упражняване на правата му по членове 17—24, освен ако докаже, че не е в състояние да идентифицира субекта на данните.

3.   Администраторът предоставя на субекта на данни информация относно действията, предприети във връзка с искане по членове 17—24, без ненужно забавяне и във всички случаи в срок от един месец от получаване на искането. При необходимост този срок може да бъде удължен с още два месеца, като се вземат предвид сложността и броят на исканията. Администраторът информира субекта на данните за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето. Когато субектът на данни подава искане с електронни средства, по възможност информацията се предоставя с електронни средства, освен ако субектът на данни е поискал друго.

4.   Ако администраторът не предприеме действия по искането на субекта на данни, администраторът уведомява субекта на данни без забавяне и най-късно в срок от един месец от получаване на искането за причините да не предприеме действия и за възможността за подаване на жалба до Европейския надзорен орган по защита на данните и търсене на защита по съдебен ред.

5.   Информацията по членове 15 и 16 и всякаква комуникация и действия по членове 17—24 и член 35 се предоставят безплатно. Когато исканията на субект на данни са явно неоснователни или прекомерни, по-специално поради своята повторяемост, администраторът може да откаже да предприеме действия по искането. Администраторът носи тежестта на доказване на явно неоснователния или прекомерен характер на искането.

6.   Без да се засягат разпоредбите на член 12, когато администраторът има основателни съмнения във връзка със самоличността на физическото лице, което подава искане по членове 17—23, той може да поиска предоставянето на допълнителна информация, необходима за потвърждаване на самоличността на субекта на данните.

7.   Информацията, която трябва да се предостави на субектите на данни съгласно членове 15 и 16, може да бъде предоставена в комбинация със стандартизирани икони, чрез което по лесно видим, разбираем и ясно четим начин да се представи смислен преглед на планираното обработване. Ако иконите се представят в електронен вид, те трябва да бъдат машинночитаеми.

8.   Ако Комисията приеме съгласно член 12, параграф 8 от Регламент (ЕС) 2016/679 делегирани актове за определяне на информацията, която трябва да бъде представена под формата на икони, и на процедурите за предоставяне на стандартизирани икони, институциите и органите на Съюза предоставят, когато е целесъобразно, в комбинация с тези стандартизирани икони информацията по членове 15 и 16 от настоящия регламент.

1.   Когато лични данни, свързани с даден субект на данни, се събират от субекта на данните, в момента на получаване на личните данни администраторът предоставя на субекта на данните цялата посочена по-долу информация:

2.   Освен информацията, посочена в параграф 1, в момента на получаване на личните данни администраторът предоставя на субекта на данните следната допълнителна информация, която е необходима за осигуряване на добросъвестно и прозрачно обработване:

3.   Когато администраторът възнамерява да обработва по-нататък личните данни за цел, различна от тази, за която са събрани, той предоставя на субекта на данните преди това по-нататъшно обработване информация за тази друга цел и всякаква друга необходима информация, както е посочено в параграф 2.

4.   Параграфи 1, 2 и 3 не се прилагат, когато и доколкото субектът на данните вече разполага с информацията.

1.   Когато личните данни не са получени от субекта на данните, администраторът предоставя на субекта на данните следната информация:

2.   Освен информацията, посочена в параграф 1, администраторът предоставя на субекта на данните следната допълнителна информация, необходима за осигуряване на добросъвестно и прозрачно обработване на данните по отношение на субекта на данните:

3.   Администраторът предоставя информацията, посочена в параграфи 1 и 2:

4.   Когато администраторът възнамерява да обработва по-нататък личните данни за цел, различна от тази, за която са придобити, той предоставя на субекта на данните преди това по-нататъшно обработване информация за тази друга цел и всякаква друга необходима информация, както е посочено в параграф 2.

5.   Параграфи 1—4 не се прилагат, когато и доколкото:

6.   В случаите по параграф 5, буква б) администраторът взема подходящи мерки за защита на правата, свободите и законните интереси на субекта на данните, включително като предоставя обществен достъп до информацията.

1.   Субектът на данните има право да получи от администратора потвърждение дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните и следната информация:

2.   Когато личните данни се предават на трета държава или на международна организация, субектът на данните има право да бъде информиран относно подходящите гаранции по член 48 във връзка с предаването.

3.   Администраторът предоставя копие от личните данни, които са в процес на обработване. Когато субектът на данни подава искане с електронни средства, информацията се предоставя в широко използвана електронна форма, освен ако субектът на данни е поискал друго.

4.   Правото на получаване на копие, посочено в параграф 3, не влияе неблагоприятно върху правата и свободите на други лица.

1.   Субектът на данни има правото да поиска от администратора изтриване на свързаните с него лични данни без ненужно забавяне, а администраторът има задължението да изтрие без ненужно забавяне личните данни, когато е приложимо някое от следните основания:

2.   Когато администраторът е направил личните данни обществено достояние и е задължен съгласно параграф 1 да изтрие личните данни, той, като отчита наличната технология и разходите по изпълнението, предприема разумни стъпки, включително технически мерки, за да уведоми администраторите или администраторите, различни от институции и органи на Съюза, обработващи личните данни, че субектът на данните е поискал изтриване от тези администратори на всички връзки, копия или реплики на тези лични данни.

3.   Параграфи 1 и 2 не се прилагат, доколкото обработването е необходимо:

1.   Субектът на данните има право да изиска от администратора ограничаване на обработването, когато е налице едно от следните условия:

2.   Когато обработването е ограничено съгласно параграф 1, такива данни се обработват, с изключение на тяхното съхранение, само със съгласието на субекта на данните или за установяването, упражняването или защитата на правни претенции, или за защита на правата на друго физическо или юридическо лице, или поради важни причини от обществен интерес за Съюза или държава членка.

3.   Когато субект на данните е изискал ограничаване на обработването съгласно параграф 1, администраторът го информира преди отмяната на ограничаването на обработването.

4.   В автоматизираните регистри с лични данни ограничаването на обработването по принцип се осигурява с технически средства. Фактът, че обработването на личните данни е ограничено, се указва в регистъра по начин, който ясно показва, че личните данни не могат да се ползват.

1.   Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на администратор, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от администратора, на когото личните данни са предоставени, когато:

2.   Когато упражнява правото си на преносимост на данните по параграф 1, субектът на данните има право да получи пряко прехвърляне на личните данни от един администратор към друг или към администратори, различни от институции и органи на Съюза, когато това е технически осъществимо.

3.   Упражняването на правото, посочено в параграф 1 от настоящия член, не засяга член 19. Посоченото право не се отнася до обработването, необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора.

4.   Правото, посочено в параграф 1, не влияе неблагоприятно върху правата и свободите на други лица.

1.   Субектът на данните има право по всяко време и на основания, свързани с неговата конкретна ситуация, на възражение срещу обработване на лични данни, отнасящи се до него, което се основава на член 5, параграф 1, буква а), включително профилиране, основаващо се на посочената разпоредба. Администраторът прекратява обработването на личните данни, освен ако докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.

2.   Най-късно в момента на първото осъществяване на контакт със субекта на данните той изрично се уведомява за съществуването на правото по параграф 1, което му се представя по ясен начин и отделно от всяка друга информация.

3.   Без да се засягат членове 36 и 37, в контекста на използването на услугите на информационното общество субектът на данните може да упражнява правото си на възражение чрез автоматични средства, като се използват технически спецификации.

4.   Когато лични данни се обработват за целите на научни или исторически изследвания или за статистически цели, субектът на данните има право, въз основа на конкретното си положение, да възрази срещу обработването на лични данни, отнасящи се до него, освен ако обработването е необходимо за изпълнението на задача, осъществявана по причини от обществен интерес.

1.   Субектът на данните има право да не бъде адресат на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последици за него или по подобен начин го засяга в значителна степен.

2.   Параграф 1 не се прилага, ако решението:

3.   В случаите, посочени в параграф 2, букви а) и в), администраторът прилага подходящи мерки за защита на правата, свободите и законните интереси на субекта на данните, най-малко правото на човешка намеса от страна на администратора, правото да изрази гледната си точка и да оспори решението.

4.   Решенията по параграф 2 от настоящия член не се основават на специалните категории лични данни, посочени в член 10, параграф 1, освен ако се прилага член 10, параграф 2, буква а) или буква ж) и са въведени подходящи мерки за защита на правата, свободите и законните интереси на субекта на данните.

1.   Правни актове, приети въз основа на Договорите, или по въпроси, свързани с дейността на институциите и органите на Съюза, вътрешни правила, установени от тези органи и институции, могат да ограничават прилагането на членове 14—22, членове 35 и 36, както и на член 4, доколкото неговите разпоредби съответстват на правата и задълженията, предвидени в членове 14—22, когато подобно ограничение е съобразено със същността на основните права и свободи и представлява необходима и пропорционална мярка в едно демократично общество с цел да се гарантират:

2.   По-специално, всички правни актове или вътрешни правила, посочени в параграф 1, съдържат специални разпоредби, където е целесъобразно, по отношение на:

3.   Когато личните данни се обработват за целите на научни или исторически изследвания или за статистически цели, в правото на Съюза, което може да включва вътрешни правила, приети от институции и органи на Съюза по въпроси, свързани с тяхната дейност, могат да бъдат предвидени дерогации от правата, посочени в членове 17, 18, 20 и 23, при спазване на условията и гаранциите, посочени в член 13, доколкото има вероятност тези права да направят невъзможно или сериозно да затруднят постигането на конкретните цели и посочените дерогации са необходими за постигането на тези цели.

4.   Когато личните данни се обработват за целите на архивирането в обществен интерес, в правото на Съюза, което може да включва вътрешни правила, приети от институции и органи на Съюза по въпроси, свързани с тяхната дейност, може да бъдат предвидени дерогации от правата, посочени в членове 17, 18, 20, 21, 22 и 23, при спазване на условията и гаранциите, посочени в член 13, доколкото има вероятност тези права да направят невъзможно или сериозно да затруднят постигането на конкретните цели и посочените дерогации са необходими за постигането на тези цели.

5.   Вътрешните правила, посочени в параграфи 1, 3 и 4, са ясни и точни актове от общ характер, които са предназначени да породят правни последици по отношение на субектите на данни, приети са на най-високото равнище на управление на институциите и органите на Съюза и подлежат на публикуване в Официален вестник на Европейския съюз.

6.   Ако бъде наложено ограничение съгласно параграф 1, субектът на данните се информира в съответствие с правото на Съюза за основните причини, на които се основава прилагането на ограничението, и за правото му да подаде жалба до Европейския надзорен орган по защита на данните.

7.   Ако ограничение, наложено съгласно параграф 1, се използва за обосноваване на отказ на достъп на субекта на данните, при разглеждане на жалбата Европейският надзорен орган по защита на данните го информира единствено за това дали данните са били правилно обработени и ако не са, дали са извършени необходимите корекции.

8.   Предоставянето на информацията, посочена в параграфи 6 и 7 от настоящия член и в член 45, параграф 2, може да бъде отложено, пропуснато или отказано, ако предоставянето би премахнало ефекта от ограничението, наложено съгласно параграф 1 от настоящия член.

1.   Като взема предвид естеството, обхвата, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът въвежда подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с настоящия регламент. Тези мерки се преразглеждат и при необходимост се актуализират.

2.   Когато това е пропорционално на дейностите по обработване, посочените в параграф 1 мерки включват прилагане от страна на администратора на подходящи политики за защита на данните.

3.   Придържането към одобрени механизми за сертифициране, посочени в член 42 от Регламент (ЕС) 2016/679, може да се използва като елемент, с който да се докаже спазването на задълженията на администратора.

1.   Като взема предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхвата, контекста и целите на обработването, както и породените от обработването рискове с различна вероятност и тежест за правата и свободите на физическите лица, администраторът въвежда, както към момента на определянето на средствата за обработване, така и към момента на самото обработване, подходящи технически и организационни мерки, например псевдонимизация, които са разработени с оглед на ефективното прилагане на принципите за защита на данните, например свеждане на данните до минимум, и интегриране на необходимите гаранции в процеса на обработване, за да се спазят изискванията на настоящия регламент и да се осигури защита на правата на субектите на данни.

2.   Администраторът въвежда подходящи технически и организационни мерки, за да се гарантира, че по подразбиране се обработват само лични данни, които са необходими за всяка конкретна цел на обработването. Това задължение се отнася до обема на събраните лични данни, степента на обработването, срока на съхраняването им и тяхната достъпност. По-специално подобни мерки гарантират, че по подразбиране без намеса от страна на физическото лице личните данни не са достъпни за неограничен брой физически лица.

3.   Като елемент за доказване на спазването на изискванията, предвидени в параграфи 1 и 2 от настоящия член, може да се използва одобрен механизъм за сертифициране съгласно член 42 от Регламент (ЕС) 2016/679.

1.   Когато двама или повече администратори или един или повече администратори, или съвместно с един или повече администратори, различни от институции и органи на Съюза, съвместно определят целите и средствата на обработването, те са съвместни администратори. Те определят по прозрачен начин съответните си отговорности за изпълнение на задълженията си за защита на данните, по-специално що се отнася до упражняването на правата на субекта на данни и съответните си задължения за предоставяне на информацията, посочена в членове 15 и 16, посредством договореност помежду си, освен ако и доколкото съответните отговорности на съвместните администратори не са определени от правото на Съюза или правото на държава членка, което се прилага спрямо съвместните администратори. В договореността може да се посочи точка за контакт за субектите на данни.

2.   Договореността, посочена в параграф 1, надлежно отразява съответните роли и връзки на съвместните администратори спрямо субектите на данни. Съществените характеристики на договореността са достъпни за субекта на данните.

3.   Независимо от условията на договореността, посочена в параграф 1, субектът на данните може да упражнява своите права съгласно настоящия регламент по отношение на всеки и срещу всеки от администраторите.

1.   Когато обработването се извършва от името на даден администратор, администраторът използва само обработващи лични данни, които предоставят достатъчни гаранции за прилагането на подходящи технически и организационни мерки по такъв начин, че обработването да протича в съответствие с изискванията на настоящия регламент и да гарантира защитата на правата на субектите на данни.

2.   Обработващият лични данни не включва друг обработващ лични данни без предварителното конкретно или общо писмено разрешение на администратора. В случай на общо писмено разрешение обработващият лични данни винаги информира администратора за всякакви планирани промени за включване или замяна на други обработващи лични данни, като по този начин дава възможност на администратора да оспори тези промени.

3.   Обработването от страна на обработващия лични данни се урежда с договор или с друг правен акт съгласно правото на Съюза или правото на държава членка, който е задължителен за обработващия лични данни спрямо администратора и който регламентира предмета и срока на действие на обработването, естеството и целта на обработването, вида лични данни и категориите субекти на данни и задълженията и правата на администратора. В този договор или друг правен акт се предвижда по-специално, че обработващият лични данни:

Предвид буква з) от първа алинея обработващият лични данни незабавно уведомява администратора, ако според него дадено нареждане нарушава настоящия регламент или други разпоредби на Съюза или на държавите членки относно защитата на данни.

4.   Когато обработващ лични данни включва друг обработващ лични данни за извършването на специфични дейности по обработване от името на администратора, чрез договор или друг правен акт съгласно правото на Съюза или правото на държава членка на това друго лице се налагат същите задължения за защита на данните, както задълженията, предвидени в договора или друг правен акт между администратора и обработващия лични данни, както е посочено в параграф 3, по-специално да предостави достатъчно гаранции за прилагане на подходящи технически и организационни мерки, така че обработването да отговаря на изискванията на настоящия регламент. Когато другият обработващ лични данни не изпълни задължението си за защита на данните, първоначалният обработващ данните продължава да носи пълна отговорност пред администратора за изпълнението на задълженията на този друг обработващ лични данни.

5.   Когато обработващ лични данни не е институция или орган на Съюза, придържането на този обработващ към одобрен кодекс за поведение, посочен в член 40, параграф 5 от Регламент (ЕС) 2016/679, или към одобрен механизъм за сертифициране, посочен в член 42 от Регламент (ЕС) 2016/679, може да се използва като доказателство за предоставянето на достатъчно гаранции съгласно параграфи 1 и 4 от настоящия член.

6.   Без да се засягат разпоредбите на индивидуален договор между администратора и обработващия лични данни, договорът или другият правен акт, посочени в параграфи 3 и 4 от настоящия член, може да се основават изцяло или отчасти на стандартни договорни клаузи, посочени в параграфи 7 и 8 от настоящия член, включително когато са част от сертифициране, предоставено на обработващия лични данни, различен от институция или орган на Съюза, съгласно член 42 от Регламент (ЕС) 2016/679.

7.   Комисията може да установява стандартни договорни клаузи по въпроси, посочени в параграфи 3 и 4 от настоящия член, и в съответствие с процедурата по разглеждане, посочена в член 96, параграф 2.

8.   Европейският надзорен орган по защита на данните може да приема стандартни договорни клаузи по въпросите, посочени в параграфи 3 и 4.

9.   Договорът или другият правен акт, посочени в параграфи 3 и 4, се изготвят в писмена форма, включително в електронна форма.

10.   Без да се засягат членове 65 и 66, ако обработващ лични данни наруши настоящия регламент, определяйки целите и средствата на обработването, обработващият личните данни се счита за администратор по отношение на това обработване.

1.   Всеки администратор поддържа регистър на дейностите по обработване, за които отговоря. Този регистър съдържа цялата по-долу посочена информация:

2.   Всеки обработващ лични данни поддържа регистър на всички категории дейности по обработването, извършени от името на администратор, в който се съдържат:

3.   Регистрите, посочени в параграфи 1 и 2, се поддържат в писмена форма, включително в електронен формат.

4.   Институциите и органите на Съюза предоставят на Европейския надзорен орган по защита на данните достъп до регистрите при поискване от негова страна.

5.   Освен ако това не е целесъобразно, като се има предвид размерът на институцията или органа на Съюза, институциите и органите на Съюза съхраняват своите регистри на дейностите по обработване в централен регистър. Те предоставят обществен достъп до този регистър.

1.   Като се имат предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекстът и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът и обработващият лични данни прилагат подходящи технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност, включително, inter alia, когато е целесъобразно:

2.   При оценката на подходящото ниво на сигурност се вземат предвид по-специално рисковете, които са свързани с обработването, по-специално от случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до прехвърлени, съхранявани или обработени по друг начин лични данни.

3.   Администраторът и обработващият лични данни предприемат стъпки всяко физическо лице, действащо под ръководството на администратора или на обработващия лични данни, което има достъп до лични данни, да обработва тези данни само по указание на администратора, освен ако от въпросното лице се изисква да прави това по силата на правото на Съюза.

4.   Придържането към одобрен механизъм за сертифициране, посочен в член 42 от Регламент (ЕС) 2016/679, може да се използва като елемент, за да се докаже спазването на изискванията, предвидени в параграф 1 от настоящия член.

1.   В случай на нарушение на сигурността на личните данни администраторът, без ненужно забавяне и когато това е осъществимо — не по-късно от 72 часа след като е разбрал за него, уведомява за нарушението на сигурността на личните данни Европейския надзорен орган по защита на данните, освен ако не съществува вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица. Уведомлението до Европейския надзорен орган по защита на данните съдържа причините за забавянето, когато не е подадено в срок от 72 часа.

2.   Обработващият лични данни уведомява администратора без ненужно забавяне, след като узнае за нарушаване на сигурността на лични данни.

3.   В уведомлението, посочено в параграф 1, се съдържа най-малко следното:

4.   Когато и доколкото не е възможно информацията да се подаде едновременно, информацията може да се подаде поетапно без по-нататъшно ненужно забавяне.

5.   Администраторът уведомява длъжностното лице по защита на данните за нарушението на сигурността на личните данни.

6.   Администраторът документира всяко нарушение на сигурността на личните данни, включително фактите, свързани с нарушението на сигурността на личните данни, последиците от него и предприетите действия за справяне с него. Тази документация дава възможност на Европейския надзорен орган по защита на данните да провери дали е спазен настоящият член.

1.   Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, администраторът без ненужно забавяне съобщава на субекта на данните за нарушението на сигурността на личните данни.

2.   В съобщението до субекта на данните, посочено в параграф 1 от настоящия член, на ясен и прост език се описва естеството на нарушението на сигурността на личните данни и се посочват най-малко информацията и мерките, посочени в член 34, параграф 3, букви б), в) и г).

3.   Посоченото в параграф 1 съобщение до субекта на данните не се изисква, ако е изпълнено някое от следните условия:

4.   Ако администраторът все още не е съобщил на субекта на данните за нарушението на сигурността на личните данни, Европейският надзорен орган по защита на данните може, след като отчете каква е вероятността нарушението на сигурността на личните данни да породи висок риск, да изиска от администратора да съобщи за нарушението или да реши, че е изпълнено някое от условията, посочени в параграф 3.

1.   Личните данни, които се съдържат в указатели на ползвателите, както и достъпът до такива указатели се ограничават до степента, която е строго необходима за специфичните цели на указателите.

2.   Институциите и органите на Съюза предприемат всички необходими мерки за предотвратяване на използването на съдържащите се в посочените указатели лични данни за целите на директния маркетинг, независимо дали те са достъпни за обществеността или не.

1.   Когато съществува вероятност определен вид обработване, по-специално при което се използват нови технологии, и предвид естеството, обхвата, контекста и целите на обработването, да породи висок риск за правата и свободите на физическите лица, преди да бъде извършено обработването, администраторът извършва оценка на въздействието на предвидените операции по обработването върху защитата на личните данни. В една оценка може да бъде разгледан набор от сходни операции по обработване, които представляват сходни високи рискове.

2.   При извършването на оценка на въздействието върху защитата на данните администраторът иска становището на длъжностното лице по защита на данните.

3.   Оценката на въздействието върху защитата на данните, посочена в параграф 1, се изисква по-специално в случай на:

4.   Европейският надзорен орган по защита на данните съставя и оповестява списък на видовете операции по обработване, за които се изисква оценка на въздействието върху защитата на данните съгласно параграф 1.

5.   Европейският надзорен орган по защита на данните може също да състави и оповести списък на видовете операции по обработване, за които не се изисква оценка на въздействието върху защитата на данните.

6.   Преди приемането на списъците, посочени в параграфи 4 и 5 от настоящия член, Европейският надзорен орган по защита на данните отправя исканe до Европейския комитет по защита на данните, създаден с член 68 от Регламент (ЕС) 2016/679, да проучи тези списъци в съответствие с член 70, параграф 1, буква д) от посочения регламент, когато тези списъци се отнасят до операции по обработване от администратор, действащ съвместно с един или повече администратори, различни от институции и органи на Съюза.

7.   Оценката съдържа най-малко:

8.   При оценката на въздействието на операциите по обработване, извършвани от съответните обработващи лични данни, различни от институции и органи на Съюза, надлежно се отчита и спазването от тяхна страна на одобрените кодекси за поведение, посочени в член 40 от Регламент (ЕС) 2016/679, по-специално за целите на оценката на въздействието върху защитата на данните.

9.   Когато е целесъобразно, администраторът се обръща към субектите на данните или техните представители за становище относно планираното обработване, без да се засяга защитата на обществените интереси или сигурността на операциите по обработване.

10.   Когато обработването съгласно член 5, параграф 1, буква а) или б) има правно основание в правен акт, приет въз основа на Договорите, който регулира конкретната операция по обработване или набор от такива операции, и вече е извършена оценка на въздействието върху защитата на личните данни като част от общата оценка на въздействието, предшестваща приемането на въпросния правен акт, параграфи 1 6 от настоящия член не се прилагат, освен ако във въпросния правен акт не е предвидено друго.

11.   При необходимост администраторът прави преглед, за да прецени дали обработването е в съответствие с оценката на въздействието върху защитата на данни, най-малкото когато има промяна в риска, с който са свързани операциите по обработване.

1.   Администраторът се консултира с Европейския надзорен орган по защита на данните преди обработването, когато оценката на въздействието върху защитата на данните съгласно член 39 покаже, че при липса на гаранции, мерки за сигурност и механизми за ограничаване на риска обработването би довело до висок риск за правата и свободите на физическите лица, и администраторът счита, че рискът не може да бъде ограничен с разумни средства с оглед на наличните технологии и разходи за прилагане. Администраторът иска становището на длъжностното лице по защита на данните относно необходимостта от предварителна консултация.

2.   Когато Европейският надзорен орган по защита на данните е на мнение, че планираното обработване, посочено в параграф 1, нарушава настоящия регламент, особено когато администраторът не е идентифицирал или ограничил риска в достатъчна степен, Европейският надзорен орган по защита на данните в срок до осем седмици от получаване на искането за консултация дава писмено становище на администратора и когато е приложимо, на обработващия лични данни, като може да използва всяко от правомощията си, посочени в член 58. Този срок може да бъде удължен с още шест седмици предвид сложността на планираното обработване. Европейският надзорен орган по защита на данните информира администратора и когато е приложимо, обработващия лични данни за такова удължаване в срок от един месец от получаване на искането за консултация, включително за причините за забавянето. Тези срокове могат да бъдат спрени, докато Европейският надзорен орган по защита на данните получи поисканата от него информация за целите на консултацията.

3.   Когато се консултира с Европейския надзорен орган по защита на данните в съответствие с параграф 1, администраторът предоставя на Европейския надзорен орган по защита на данните следната информация:

4.   Комисията може посредством акт за изпълнение да определи списък от случаи, в които администраторите трябва да се консултират с Европейския надзорен орган по защита на данните или да получат неговото предварително разрешение във връзка с обработването на лични данни за целите на изпълнението на задача, осъществявана от администратора в обществен интерес, включително обработването на такива данни във връзка със социалната закрила и общественото здраве.

1.   Институциите и органите на Съюза информират Европейския надзорен орган по защита на данните при изготвяне на административни мерки и вътрешни правила във връзка с обработването на лични данни от институция или орган на Съюза, независимо дали това обработване става самостоятелно или съвместно с други.

2.   Институциите и органите на Съюза провеждат консултации с Европейския надзорен орган по защита на данните, когато изготвят вътрешните правила, посочени в член 25.

1.   След приемането на предложения за законодателен акт и на препоръки или предложения до Съвета съгласно член 218 от ДФЕС или при подготовката на делегирани актове или актове за изпълнение„ Комисията се консултира с Европейския надзорен орган по защита на данните, когато има въздействие върху защитата на правата и свободите на физическите лица по отношение на обработването на лични данни.

2.   Когато акт, посочен в параграф 1, има особено значение за защита на правата и свободите на физическите лица по отношение на обработката на лични данни, Комисията може също така да се консултира с Европейския комитет по защита на данните. В тези случаи Европейският надзорен орган по защита на данните и Европейския комитет по защита на данните координират работата си с оглед на издаването на съвместно становище.

3.   Консултациите, посочени в параграфи 1 и 2, се предоставят в писмена форма в срок до осем седмици от получаване на искането за провеждане на консултация, посочена в параграфи 1 и 2. В спешни случаи или при друга необходимост Комисията може да съкрати крайния срок.

4.   Настоящият член не се прилага, когато Комисията е длъжна в съответствие с Регламент (ЕС) 2016/679 да се консултира с Европейския комитет по защита на данните.

1.   Всяка институция или орган на Съюза определя длъжностно лице по защита на данните.

2.   Няколко институции и органи на Съюза могат да определят за себе си едно-единствено длъжностно лице по защита на данните, като вземат предвид своите организационна структура и размер.

3.   Длъжностното лице по защита на данните се определя въз основа на неговите професионални качества, и по-специално въз основа на експертните му познания в областта на законодателството и практиките в областта на защитата на данните и способността му да изпълнява задачите, посочени в член 45.

4.   Длъжностното лице по защита на данните е член на персонала на институцията или органа на Съюза. Като се вземе предвид числения им състав и ако не е упражнено правото на избор посочено в параграф 2, институциите и органите на Съюза могат да определят длъжностно лице по защита на данните, което да изпълнява задачите си въз основа на договор за услуги.

5.   Институциите и органите на Съюза публикуват координатите за връзка на длъжностното лице по защита на данните и ги съобщават на Европейския надзорен орган по защита на данните.

1.   Институциите и органите на Съюза гарантират, че длъжностното лице по защита на данните участва по подходящ начин и своевременно по всички въпроси, свързани със защитата на личните данни.

2.   Институциите и органите на Съюза подпомагат длъжностното лице по защита на данните при изпълнението на посочените в член 45 задачи, като осигуряват ресурсите, необходими за изпълнението на тези задачи, и достъп до личните данни и операциите по обработване, а така също поддържат неговите експертни знания.

3.   Институциите и органите на Съюза гарантират, че длъжностното лице по защита на данните да не получава никакви указания във връзка с изпълнението на тези задачи. Длъжностното лице по защита на данните не може да бъде освобождавано от длъжност, нито санкционирано от администратора или обработващия лични данни за изпълнението на своите задачи. Длъжностното лице по защита на данните се отчита пряко пред най-висшето ръководно ниво на администратора или обработващия лични данни.

4.   Субектите на данни могат да се обръщат към длъжностното лице по защита на данните по всички въпроси, свързани с обработването на техните лични данни и с упражняването на техните права съгласно настоящия регламент.

5.   Длъжностното лице по защита на данните и неговият персонал са длъжни да спазват секретността или поверителността на изпълняваните от тях задачи в съответствие с правото на Съюза.

6.   Длъжностното лице по защита на данните може да изпълнява и други задачи и задължения. Администраторът или обработващият лични данни гарантира, че тези задачи и задължения не водят до конфликт на интереси.

7.   Администраторът и обработващият личните данни, съответният комитет по персонала и всяко физическо лице могат да се консултират с длъжностното лице по защита на данните по всеки въпрос, отнасящ се до тълкуването или прилагането на настоящия регламент, без да е необходимо да следват официална процедура. Никой не трябва да претърпява неблагоприятни последици, поради това че е отнесъл до вниманието на компетентното длъжностно лице по защита на данните въпрос, твърдейки за наличие на извършено нарушение на разпоредбите на настоящия регламент.

8.   Длъжностното лице по защита на данните се назначава за срок от три до пет години и може да бъде преназначавано. Длъжностното лице по защита на данните може да бъде освободено от длъжността от институцията или органа на Съюза, който го е назначил, ако престане да отговаря на необходимите условия за изпълнение на своите задължения, само със съгласието на Европейския надзорен орган по защита на данните.

9.   След назначаване на длъжностното лице по защита на данните институцията или органът, който го е назначил, го регистрира при Европейския надзорен орган по защита на данните.

1.   Длъжностното лице по защита на данните изпълнява следните задачи:

2.   Длъжностното лице по защита на данните може да отправя на администратора и на обработващия лични данни препоръки за практическото подобряване на защитата на данните и да ги съветва по въпроси, свързани с прилагането на разпоредби относно защитата на данните. Освен това длъжностното лице по защита на данните може по своя инициатива или по искане на администратора или на обработващия лични данни, на съответния комитет по персонала или на всяко физическо лице да разследва пряко свързани с неговите задачи въпроси и факти, достигнали до знанието му, и да докладва обратно на лицето, което е възложило разследването, или на администратора или обработващия лични данни.

3.   Всяка институция или орган на Съюза приема допълнителни правила за прилагане, отнасящи се до длъжностното лице по защита на данните. Правилата за прилагане се отнасят в частност до задачите, задълженията и правомощията на длъжностното лице по защита на данните.

1.   Предаване на лични данни на трета държава или на международна организация може да се осъществява, ако Комисията е решила в съответствие с член 45, параграф 3 от Регламент (ЕС) 2016/679 или член 36, параграф 3 от Директива (ЕС) 2016/680, че съответната трета държава, територия, или един или повече конкретни сектори в тази трета държава или съответната международна организация осигуряват адекватно ниво на защита и ако личните данни се предават единствено, за да стане възможно изпълнението на задачи от компетентността на администратора.

2.   Институциите и органите на Съюза информират Комисията и Европейския надзорен орган по защита на данните за случаи, в които те считат, че съответната трета държава, територия, или един или повече конкретни сектори в трета държава, или съответната международна организация не осигурява адекватно ниво на защита по смисъла на параграф 1.

3.   Институциите и органите на Съюза предприемат необходимите мерки, за да се съобразят с взетите от Комисията решения, когато съгласно член 45, параграфи 3 или 5 от Регламент (ЕС) 2016/679 или член 36, параграф 3 или 5 от Директива (ЕС) 2016/680, тя установява, че дадена трета държава територия, или един или повече конкретни сектори в трета държава, или международна организация осигурява или вече не осигурява адекватно ниво на защита.

1.   При липса на решение съгласно член 45, параграф 3 от Регламент (ЕС) 2016/679 или съгласно член 36, параграф 3 от Директива (ЕС) 2016/680, администраторът или обработващият лични данни може да предава лични данни на трета държава или на международна организация само ако администраторът или обработващият лични данни са предвидили подходящи гаранции и при условие че на субекта на данни са предоставени изпълняеми права в това негово качество и ефективни правни средства за защита.

2.   Подходящите гаранции, посочени в параграф 1, могат да бъдат предвидени, без да се изисква специално разрешение от Европейския надзорен орган по защита на данните, посредством:

3.   При условие че Европейският надзорен орган по защита на данните е дал разрешение, подходящите гаранции, посочени в параграф 1, могат да бъдат предвидени по-специално и посредством:

4.   Разрешенията, издадени от Европейския надзорен орган по защита на данните въз основа на член 9, параграф 7 от Регламент (ЕО) № 45/2001, остават валидни, докато не бъдат изменени, заменени или отменени, ако е необходимо, от Европейския надзорен орган по защита на данните.

5.   Институциите и органите на Съюза информират Европейския надзорен орган по защита на данните за категориите случаи, в които настоящият член е бил приложен.

1.   При липсата на решение относно адекватното ниво на защита съгласно член 45, параграф 3 от Регламент (ЕС) 2016/679 или съгласно член 36, параграф 3 от Директива (ЕС) 2016/680 или на подходящи гаранции съгласно член 48 от настоящия регламент, предаване или съвкупност от предавания на лични данни на трета държава или международна организация се извършва само при едно от следните условия:

2.   Параграф 1, букви а), б) и в) не се прилага за дейности, извършвани от институциите и органите на Съюза при упражняването на техните публични правомощия.

3.   Общественият интерес, посочен в параграф 1, буква г), трябва да е признат в правото на Съюза.

4.   Предаването съгласно параграф 1, буква ж) не трябва да включва всички лични данни или всички категории лични данни, съдържащи се в регистъра, освен ако това е разрешено от правото на Съюза. Когато регистърът е предназначен за справка от лица, които имат законен интерес, предаването се извършва единствено по искане на тези лица или ако те са получателите.

5.   При липсата на решение относно адекватното ниво на защита правото на Съюза може по важни причини от обществен интерес изрично да определи ограничения за предаването на специални категории от лични данни на трета държава или международна организация.

6.   Институциите и органите на Съюза информират Европейския надзорен орган по защита на данните за категориите случаи, в които настоящият член е бил приложен.

1.   Създава се Европейският надзорен орган по защита на данните.

2.   По отношение на обработването на лични данни задачата на Европейския надзорен орган по защита на данните е да гарантира спазването от страна на институциите и органите на Съюза на основните права и свободи на физическите лица, и по-специално правото им на защита на данните.

3.   Европейският надзорен орган по защита на данните отговаря за наблюдението и гарантирането на прилагането на разпоредбите на настоящия регламент и всеки друг акт на Съюза, който се отнася до защитата на основните права и свободи на физическите лица по отношение на обработването на лични данни от институция или орган на Съюза, както и за предоставянето на консултации на институциите и органите на Съюза и субектите на данни по всички въпроси, свързани с обработването на лични данни. За тази цел Европейският надзорен орган по защита на данните изпълнява задачите, определени в член 57, и упражнява правомощията, предоставени съгласно член 58.

4.   Регламент (ЕО) № 1049/2001 се прилага по отношение на документите, съхранявани от Европейския надзорен орган по защита на данните. Европейският надзорен орган по защита на данните приема подробни правила за прилагането на Регламент (ЕО) № 1049/2001 по отношение на тези документи.

1.   Европейският надзорен орган по защита на данните се назначава с общо съгласие от Европейския парламент и Съвета за срок от пет години въз основа на съставен от Комисията списък след публично отправена покана за представяне на кандидатури. Поканата за представяне на кандидатури предоставя възможност на всички заинтересовани страни в Съюза да представят своите кандидатури. Съставеният от Комисията списък на кандидатите е публичен и включва най-малко трима кандидати. Въз основа на списъка, съставен от Комисията, компетентната комисия на Европейския парламент може да реши да проведе изслушване, за да получи възможност да изрази предпочитанията си.

2.   Списъкът от кандидатите, посочен в параграф 1, се състои от лица, чиято независимост не подлежи на съмнение и за които е признато, че притежават експертни познания в областта на защитата на данни, както и необходимите опит и умения, за да изпълняват задълженията на Европейски надзорен орган по защита на данните.

3.   Мандатът на Европейския надзорен орган по защита на данните може да бъде подновен еднократно.

4.   Задълженията на Европейския надзорен орган по защита на данните се прекратяват при следните обстоятелства:

5.   Европейският надзорен орган по защита на данните може да бъде освободен от длъжност или лишен от правото на пенсия или други заместващи пенсията облаги от Съда по искане на Европейския парламент, Съвета или Комисията, ако престане да отговаря на необходимите условия за изпълнение на своите задължения или в случай на тежко провинение.

6.   В случай на нормална смяна или доброволна оставка Европейският надзорен орган по защита на данните въпреки всичко продължава да заема длъжността си, докато бъде сменен.

7.   Разпоредбите на членове 11 — 14 и член 17 от Протокола за привилегиите и имунитетите на Европейския съюз се прилагат за Европейския надзорен орган защита на данните.

1.   Счита се, че Европейският надзорен орган по защита на данните има статут, равностоен на този на съдия от Съда, що се отнася до определяне на размера на възнаграждението, надбавките, пенсията за осигурителен стаж и възраст и всякакви други обезщетения, които заместват възнаграждението.

2.   Бюджетният орган гарантира осигуряването на Европейския надзорен орган по защита на данните на необходимите за изпълнение на неговите задачи човешки и финансови ресурси.

3.   Бюджетът на Европейския надзорен орган по защита на данните фигурира в отделна бюджетна позиция в раздела за административни разходи на общия бюджет на Съюза.

4.   Европейският надзорен орган по защита на данните се подпомага от секретариат. Длъжностните лица и другите служители в секретариата се назначават от Европейския надзорен орган по защита на данните, който е и техен ръководител. Те са изцяло под негово ръководство. Числеността на персонала се определя всяка година като част от бюджетната процедура. Член 75, параграф 2 от Регламент (ЕС) 2016/679 се прилага за служителите на Европейския надзорен орган по защита на данните, участващи в изпълнението на задачите, възложени на Европейския комитет по защита на данните съгласно правото на Съюза.

5.   За длъжностните лица и другите служители в секретариата на Европейския надзорен орган по защита на данните се прилагат правилата и разпоредбите, приложими за длъжностните лица и другите служители на Съюза.

6.   Седалището на Европейския надзорен орган по защита на данните е в Брюксел.

1.   Европейският надзорен орган по защита на данните действа напълно независимо при изпълнението на задачите си и упражняването на правомощията си съгласно настоящия регламент.

2.   При изпълнението на задачите си и упражняването на правомощията си в съответствие с настоящия регламент Европейският надзорен орган по защита на данните остава независим от външно влияние, било то пряко или непряко, и нито търси, нито приема инструкции от когото и да било.

3.   Европейският надзорен орган по защита на данните се въздържа от всякакви несъвместими със задълженията му действия и по време на своя мандат не упражнява никакви други дейности, независимо дали срещу възнаграждение, или безвъзмездно.

4.   След приключване на мандата си Европейският надзорен орган по защита на данните проявява почтеност и въздържаност относно приемането на постове и облаги.

1.   Без да се засягат останалите задачи, определени в настоящия регламент, Европейският надзорен орган по защита на данните:

2.   Европейският надзорен орган по защита на данните улеснява подаването на жалбите, посочени в параграф 1, буква д), посредством формуляр за подаване на жалби, който може да бъде попълнен и по електронен път, без да се изключват други средства за комуникация.

3.   Изпълнението на задълженията на Европейския надзорен орган по защита на данните е безплатно за субекта на данни.

4.   Когато исканията са явно неоснователни или прекомерни, по-специално поради своята повторяемост, Европейският надзорен орган по защита на данните може да откаже да предприеме действия по искането. Европейският надзорен орган по защита на данните носи тежестта на доказване на явно неоснователния или прекомерен характер на искането.

1.   Европейският надзорен орган по защита на данните има следните правомощия за разследване:

2.   Европейският надзорен орган по защита на данните има следните корективни правомощия:

3.   Европейският надзорен орган по защита на данните има следните правомощия по отношение на даване на разрешения и съвети:

4.   Европейският надзорен орган по защита на данните разполага с правомощието да сезира Съда при условията, предвидени в Договорите, и да встъпва по дела, заведени пред Съда.

5.   Упражняването на правомощията, предоставени на Европейския надзорен орган по защита на данните съгласно настоящия член, подлежи на подходящи гаранции, включително ефективни средства за съдебна защита и справедлив съдебен процес, определени в правото на Съюза.

1.   Европейският надзорен орган по защита на данните представя на Европейския парламент, на Съвета и на Комисията годишен доклад за дейността си и същевременно го публикува.

2.   Европейският надзорен орган по защита на данните изпраща посочения в параграф 1 доклад на другите институции и органи на Съюза, които могат да представят коментари с оглед на евентуално разглеждане на доклада от Европейския парламент.

1.   В случаите, когато даден акт на Съюза препраща към настоящия член, Европейският надзорен орган по защита на данните и националните надзорни органи, всеки от тях действащ в обхвата на съответните си правомощия, си сътрудничат активно в рамките на отговорностите си, за осигуряване на ефективен надзор на мащабни информационни системи и на органи, служби и агенции на Съюза.

2.   Действайки в обхвата на съответните си правомощия и в рамките на отговорностите си, когато е необходимо те осъществяват обмен на съответна информация, оказват си съдействие при извършването на одити и проверки, разглеждат трудности при тълкуването или прилагането на настоящия регламент и други приложими правни актове на Съюза, проучват проблеми, свързани с упражняването на независим надзор или с упражняването на правата на субектите на данни, изготвят хармонизирани предложения за разрешаване на проблеми и насърчават информираността относно правата на защита на данните.

3.   За целите, посочени в параграф 2, Европейският надзорен орган по защита на данните и националните надзорни органи провеждат заседания най-малко два пъти в годината в рамките на Европейския комитет по защита на данните. За тези цели Европейският комитет по защита на данните може да разработи допълнителни методи на работа, когато е необходимо.

4.   Веднъж на всеки две години Европейският комитет по защита на данните изпраща на Европейския парламент, на Съвета и на Комисията съвместен доклад за дейностите по координиран надзор.

1.   Без да се засягат които и да било средства за съдебна, административна или извънсъдебна защита, всеки субект на данни има право да подаде жалба до Европейския надзорен орган по защита на данните, ако счита, че обработването на лични данни, отнасящи се до него, нарушава настоящия регламент.

2.   Европейският надзорен орган по защита на данните информира жалбоподателя за напредъка в разглеждането на жалбата и за резултата от нея, включително за възможността за съдебна защита съгласно член 64.

3.   Ако Европейският надзорен орган по защита на данните в срок от три месеца не разгледа жалбата или не информира субекта на данните за напредъка в разглеждането на жалбата или за резултата от нея, се счита, че Европейският надзорен орган по защита на данните е взел отрицателно решение.

1.   Съдът е компетентен да разглежда всички спорове, свързани с разпоредбите на настоящия регламент, включително искове за вреди.

2.   Решенията на Европейския надзорен орган по защита на данните, включително решенията съгласно член 63, параграф 3, се обжалват пред Съда.

3.   Съдът разполага с неограничена компетентност за преглед на административната имуществена санкция, посочено в член 66. Той може да отмени, намали или увеличи наложените имуществени санкции в рамките на член 66.

1.   Европейският надзорен орган по защита на данните може да налага административна имуществена санкция на институции и органи на Съюза, в зависимост от обстоятелствата по всеки отделен случай, когато институция или орган на Съюза не изпълни разпореждане на Европейския надзорен орган по защита на данните, издадено съгласно член 58, параграф 2, букви а)—з) и буква й). Когато се взема решение дали да бъде наложена административна имуществена санкция и се определя нейният размер, във всеки конкретен случай надлежно се разглеждат следните елементи:

2.   В съответствие с параграф 1 от настоящия член, на институция или орган на Съюза, които нарушат задълженията си съгласно членове 8, 12, 27—35, 39, 40, 43, 44 и 45, се налага административна имуществена санкция в размер до 25 000 EUR за всяко отделно нарушение и в общ размер до 250 000 EUR годишно.

3.   В съответствие с параграф 1 на институция или орган на Съюза, които нарушат следните разпоредби, се налага административна имуществена санкция в размер до 50 000 EUR за всяко отделно нарушение и в общ размер до 500 000 EUR годишно:

4.   Ако институция или орган на Съюза при една и съща операция или при свързани или непрекъснати операции по обработване наруши няколко разпоредби на настоящия регламент или една и съща разпоредба няколко пъти, общият размер на административната имуществената санкция не може да надвишава сумата, определена за най-тежкото нарушение.

5.   Преди да вземе решения съгласно настоящия член, Европейският надзорен орган по защита на данните дава на институцията или органа на Съюза, по отношение на които се провеждат производствата от Европейският надзорен орган, възможността да бъдат изслушани във връзка с въпросите, по които Европейският надзорен орган е изразил възражения. Европейският надзорен орган по защита на данните основава своите решения единствено на възражения, по които засегнатите страни са имали възможност да изразят становище. Жалбоподателите се привличат за тясно сътрудничество в рамките на производството.

6.   Правото на защита на засегнатите страни се съблюдава в хода на цялото производство. Те имат правото на достъп до преписката на Европейския надзорен орган по защита на данните, при условие че се зачита законният интерес на физическите лица или на предприятията за защита на техните лични данни или търговски тайни.

7.   Средствата, събрани чрез налагането на имуществени санкции съгласно настоящия член, представляват приход в общия бюджет на Съюза.

1.   Личните данни от оперативен характер:

2.   Обработване от същия или друг администратор за която и да е от целите, посочени в правния акт за създаване на институция, орган или агенция на Съюза, различна от целта, за която личните данни от оперативен характер са събрани, се разрешава, при условие че:

3.   Обработването от същия или друг администратор може да включва архивиране в обществен интерес, използване за научни, статистически или исторически цели съгласно посоченото в правния акт за създаване на институция, орган или агенция на Съюза, при прилагането на подходящи гаранции за правата и свободите на субектите на данните.

4.   Администраторът носи отговорност за спазването на параграфи 1, 2 и 3 и трябва да е в състояние да го докаже.

1.   Обработването на лични данни е законосъобразно само ако и доколкото то е необходимо за изпълнението на задача, която се осъществява от органите, службите и агенциите на Съюза при извършването на дейности, които попадат в обхвата на част трета, дял V, глави 4 и 5 от ДФЕС и е въз основа на правото на Съюза.

2.   Специалните правни актове на Съюза, уреждащи обработването в рамките на посочената глава, посочват най-малко целите на обработването, личните данни от оперативен характер, които се обработват, задачите на обработването и сроковете за съхранение на лични данни от оперативен характер или за периодично преразглеждане на необходимостта от продължаване на съхраняването на лични данни от оперативен характер.

1.   Администраторът разграничава, доколкото е възможно, личните данни от оперативен характер, основани на факти, от лични данни от оперативен характер, основани на лични преценки.

2.   Администраторът предприема всички разумни стъпки, за да гарантира, че не се предават или предоставят лични данни от оперативен характер, които са неточни, непълни или неактуални. За тази цел администраторът трябва, доколкото е възможно и където е приложимо, да проверява качеството на личните данни от оперативен характер, преди тяхното предаване или предоставяне, например чрез консултация с компетентния орган, от когото произхождат данните. Доколкото е възможно, при всяко предаване на лични данни от оперативен характер администраторът добавя необходимата информация, позволяваща на получателя да оцени степента на точност, пълнота и надеждност на личните данни от оперативен характер, както и степента им на актуалност.

3.   Ако се окаже, че са предадени неверни лични данни от оперативен характер или че личните данни от оперативен характер са предадени незаконосъобразно, получателят се уведомява незабавно. В този случай съответните лични данни се коригират или изтриват или обработването им се ограничава в съответствие с член 82.

1.   В случаите, когато правото на Съюза, приложимо по отношение на администратора, предаващ данните, предвижда специални условия за обработването, администраторът информира получателя на личните данни от оперативен характер за тези условия и за изискването те да бъдат изпълнени.

2.   Администраторът спазва специалните условия за обработване, предвидени от компетентния орган, предаващ данните в съответствие с член 9, параграфи 3 и 4 от Директива (ЕС) 2016/680.

1.   Обработването на лични данни от оперативен характер, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, членство в професионални съюзи, и обработването на генетични данни, биометрични данни с цел уникално идентифициране на физическото лице, лични данни от оперативен характер, отнасящи се до здравето или сексуалния живот и сексуалната ориентация на лицето, е разрешено само когато това е абсолютно необходимо за оперативни цели, обхванато е от правомощията на съответния орган, служба или агенция на Съюза, и при подходящи гаранции за правата и свободите на субекта на данни. Забранява се дискриминацията на физически лица въз основа на посочените лични данни.

2.   Длъжностното лице по защита на данните се уведомява без излишно забавяне за прибягването до настоящия член.

1.   Забранява се вземането на решение, което се основава единствено на автоматизирано обработване, включително профилиране, което поражда неблагоприятни правни последици за субекта на данните или оказва значително въздействие върху него, освен ако това се допуска от правото на Съюза, което се прилага спрямо администратора и което предоставя подходящи гаранции за правата и свободите на субекта на данни, най-малкото правото на получаване на човешка намеса от страна на администратора.

2.   Решенията по параграф 1 от настоящия член не се основават на специалните категории лични данни, посочени в член 76, освен ако не са въведени подходящи мерки за защита на правата и свободите и законните интереси на субекта на данните.

3.   В съответствие с правото на Съюза се забранява профилирането, което води до дискриминация на физически лица въз основа на специалните категории лични данни, посочени в член 76.

1.   Администраторът предприема разумни мерки за предоставяне на субекта на данни на всякаква информация по член 79 и за осигуряване на комуникацията във връзка с членове 80—84 и 92 относно обработването в сбита, разбираема и леснодостъпна форма, като използва ясен и прост език. Информацията се предоставя по всякакъв подходящ начин, включително по електронен път. Като общо правило администраторът предоставя информацията в същата форма като тази на искането.

2.   Администраторът улеснява упражняването на правата на субекта на данните съгласно членове 79—84.

3.   Администраторът уведомява писмено субекта на данните за отговора на неговото искане без необосновано забавяне и при всички случаи най-късно в срок от три месеца след получаване на искането му.

4.   Администраторът предоставя безплатно информацията по член 79 и комуникацията или действията, предприети съгласно членове 80 — 84 и 92. Когато исканията на субект на данни са явно неоснователни или прекомерни, по-специално поради своята повторяемост, администраторът може да откаже да предприеме действия по искането. Администраторът носи тежестта на доказване на явно неоснователния или прекомерен характер на искането.

5.   Когато администраторът има основателни опасения във връзка със самоличността на физическото лице, което подава искане по членове 80 или 82, администраторът може да поиска да се предостави допълнителна информация, необходима за потвърждаване на самоличността на субекта на данните.

1.   Администраторът предоставя на субекта на данните най-малко следната информация:

2.   Освен информацията, посочена в параграф 1, администраторът предоставя на субекта на данните, в конкретни случаи, предвидени от правото на Съюза и с цел да му се даде възможност да упражни правата си, следната допълнителна информация:

3.   Администраторът може да забавя, ограничава или пропуска предоставянето на информация на субекта на данните съгласно параграф 2, до такава степен и за толкова време, за колкото тази мярка е необходима и пропорционална в едно демократично общество, като надлежно се вземат предвид основните права и законните интереси на засегнатото физическо лице, за да:

1.   Администраторът може да ограничи изцяло или частично правото на достъп на субекта на данните, до степен и срок, при които такова частично или пълно ограничаване представлява необходима и пропорционална мярка в едно демократично общество, като надлежно се вземат под внимание основните права и законните интереси на засегнатото физическо лице, за да:

2.   В случаите, посочени в параграф 1, администраторът информира без излишно забавяне в писмена форма субекта на данните за всеки отказ на достъп или ограничаване на достъпа и за причините за отказа или ограничаването. Тази информация може да бъде пропусната, когато предоставянето ѝ би възпрепятствало постигането на някоя от целите, посочени в параграф 1. Администраторът уведомява субекта на данните за възможността за подаване на жалба до Европейския надзорен орган по защита на данните или за търсене на защита по съдебен ред пред Съда. Администраторът документира фактическите или правните основания, на които се основава решението. При поискване, тази информация се предоставя на разположение на Европейския надзорен орган по защита на данните.

1.   Всеки субект на данни има право да поиска от администратора да коригира без ненужно забавяне неточните лични данни от оперативен характер, свързани с него. Като се имат предвид целите на обработването, субектът на данните има право непълните лични данни от оперативен характер да бъдат попълнени, включително чрез предоставяне на допълнителна декларация.

2.   Администраторът изтрива личните данни от оперативен характер без ненужно забавяне, а субектът на данни има право да поиска от администратора да изтрие негови лични данни от оперативен характер без ненужно забавяне, в случай че обработването се извършва в нарушение на членове 71, 72, параграф 1 или 76 или когато личните данни от оперативен характер трябва да бъдат изтрити с цел спазване на правно задължение, което се прилага спрямо администратора.

3.   Вместо да извърши изтриване, администраторът ограничава обработването, когато:

Когато обработването е ограничено съгласно първа алинея, буква а), администраторът информира субекта на данните, преди да премахне ограничаването на обработването.

Ограничените данни се обработват единствено с оглед на целта, поради която тяхното изтриване е било възпрепятствано.

4.   Администраторът информира писмено субекта на данните за всеки отказ за коригиране или изтриване на лични данни от оперативен характер, или за ограничено обработване и за причините за отказа. Администраторът може да ограничи изцяло или частично предоставянето на такава информация, в степента, в която такова ограничаване представлява необходима и пропорционална мярка в едно демократично общество, като надлежно се вземат под внимание основните права и законните интереси на засегнатото физическо лице, за да:

Администраторът уведомява субекта на данните за възможността за подаване на жалба до Европейския надзорен орган по защита на данните или за търсене на защита по съдебен ред пред Съда.

5.   Администраторът уведомява за коригирането на неточни лични данни от оперативен характер компетентния орган, от който произхождат неточните лични данни от оперативен характер.

6.   Когато лични данни от оперативен характер са коригирани или изтрити, или обработването им е ограничено съгласно параграфи 1, 2 или 3, администраторът уведомява получателите и ги информира, че те трябва да коригират или изтрият личните данни от оперативен характер, или да ограничат обработването на личните данни от оперативен характер, за което носят отговорност.

1.   В случаите, посочени в член 79, параграф 3, член 81 и член 82, параграф 4, правата на субекта на данните могат да бъдат упражнявани и чрез Европейския надзорен орган по защита на данните.

2.   Администраторът информира субекта на данните за възможността да упражнява правата си чрез Европейския надзорен орган по защита на данните в съответствие с параграф 1.

3.   Когато е упражнено правото по параграф 1, Европейският надзорен орган по защита на данните информира субекта на данните най-малко за това, че е извършил всички необходими проверки или нужния преглед. Европейският надзорен орган по защита на данните информира също така субекта на данните за правото му да потърси защита по съдебен ред пред Съда.

1.   Като взема предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхвата, контекста и целите на обработването, както и породените от обработването рискове с различна вероятност и тежест за правата и свободите на физическите лица, администраторът въвежда, както към момента на определянето на средствата за обработване, така и към момента на самото обработване, подходящи технически и организационни мерки, например псевдонимизация, които са разработени с оглед на ефективното прилагане на принципите за защита на данните, например свеждане на данните до минимум, и с оглед на включване на необходимите гаранции в процеса на обработване, за да се спазят изискванията на настоящия регламент и на правния акт за създаването му, и да се гарантира защитата на правата на субектите на данни.

2.   Администраторът въвежда подходящи технически и организационни мерки, за да се гарантира, че по правило се обработват само лични данни от оперативен характер, които са подходящи, относими и не надхвърлят необходимото във връзка с целта на обработването. Това задължение се отнася до обема на събраните лични данни от оперативен характер, степента на обработването, срока на съхраняването им и тяхната достъпност. По-специално, подобни мерки гарантират, че по подразбиране личните данни от оперативен характер не са достъпни за неограничен брой физически лица без намеса от страна на съответното физическо лице.

1.   Когато двама или повече администратори или един или повече администратори съвместно с един или повече администратори, различни от институции и органи на Съюза, съвместно определят целите и средствата на обработването, те са съвместни администратори. Те определят по прозрачен начин съответните си отговорности за изпълнение на задълженията си за защита на данните, по-специално що се отнася до упражняването на правата на субекта на данни и съответните им задължения за предоставяне на информацията, посочена в член 79, посредством договореност помежду си, освен ако и доколкото съответните отговорности на съвместните администратори не са определени от правото на Съюза или правото на държава членка, което се прилага спрямо съвместните администратори. В договореността може да се посочи точка за контакт за субектите на данни.

2.   Договореността, посочена в параграф 1, надлежно отразява съответните роли и връзки на съвместните администратори спрямо субекта на данни. Съществените характеристики на договореността са достъпни за субекта на данните.

3.   Независимо от условията на договореността, посочена в параграф 1, субектът на данни може да упражнява своите права по настоящия регламент по отношение на всеки и срещу всеки от администраторите.

1.   Когато обработването се извършва от името на даден администратор, администраторът използва само обработващи лични данни, които предоставят достатъчни гаранции за прилагането на подходящи технически и организационни мерки по такъв начин, че обработването да протича в съответствие с изискванията на настоящия регламент и на правния акт за създаване на администратора, и да гарантира защитата на правата на субектите на данни.

2.   Обработващият лични данни не включва друг обработващ лични данни без предварителното конкретно или общо писмено разрешение от администратора. В случай на общо писмено разрешение обработващият лични данни информира администратора за всякакви планирани промени за включване или замяна на други обработващи лични данни, като по този начин дава възможност на администратора да се противопостави на тези промени.

3.   Обработването от страна на обработващия лични данни се урежда с договор или с друг правен акт съгласно правото на Съюза или правото на държава членка, който е задължителен за обработващия лични данни в отношенията му с администратора и който урежда предмета и срока на обработването, естеството и целта на обработването, вида лични данни от оперативен характер и категориите субекти на данни, както и задълженията и правата на администратора. В този договор или друг правен акт се предвижда по-специално, че обработващият лични данни:

4.   Договорът или другият правен акт, посочен в параграф 3, се изготвя в писмена форма, включително в електронна форма.

5.   Ако обработващ лични данни наруши настоящия регламент или правния акт за създаване на администратора, като определи целите и средствата на обработването, обработващият личните данни се счита за администратор по отношение на това обработване.

1.   Администраторът води записи за всяка от следните операции по обработване на данни в автоматизираните системи за обработка на данни: събиране, промяна, достъп, справки, разкриване, включително предаване, комбиниране и изтриване на лични данни от оперативен характер. Записите за извършена справка или разкриване дават възможност за установяване на обосновката за това, както и датата и часа на такива операции, идентификацията на лицето, което е направило справка или е разкрило лични данни, и — доколкото е възможно, самоличността на получателите на тези лични данни от оперативен характер.

2.   Записите се използват единствено за проверяване на законосъобразността на обработването, за вътрешен контрол, за гарантиране на цялостността и сигурността на личните данни от оперативен характер и при наказателни производства. Тези записи се заличават след три години, освен ако са необходими за целите на текущия контрол.

3.   Администраторът предоставя, при поискване, записите на своето длъжностно лице по защита на данните и на Европейския надзорен орган по защита на данните.

1.   Когато съществува вероятност определен вид обработване, по-специално при което се използват нови технологии, и предвид естеството, обхвата, контекста и целите на обработването, да породи висок риск за правата и свободите на физическите лица, администраторът, преди да пристъпи към обработването, извършва оценка на въздействието на предвидените операции по обработването върху защитата на личните данни от оперативен характер.

2.   Оценката, посочена в параграф 1, съдържа най-малко общо описание на предвидените операции по обработване, оценка на рисковете за правата и свободите на субектите на данните, мерките, предвидени за справяне с тези рискове, гаранции, мерки за сигурност и механизми за гарантиране на защитата на личните данни от оперативен характер и за доказване на съответствие с правилата относно защитата на данни, като се вземат предвид правата и законните интереси на субектите на данните и другите засегнати лица.

1.   Администраторът се консултира с Европейския надзорен орган по защита на данните преди обработването на лични данни от оперативен характер, което ще бъде част от нов регистър, чието създаване предстои, когато:

2.   Европейският надзорен орган по защита на данните може да изготви списък на операциите по обработване, за които е необходима предварителна консултация съгласно параграф 1.

3.   Администраторът предоставя на Европейския надзорен орган по защита на данните оценката на въздействието върху защитата на данните, посочена в член 89, и при поискване — всякаква друга информация, която позволява на Европейския надзорен орган по защита на данните да направи оценка на съответствието на обработването, и по-специално на рисковете за защитата на личните данни от оперативен характер на субекта на данните и на съответните гаранции.

4.   Когато Европейският надзорен орган по защита на данните счита, че планираното обработване, посочено в параграф 1, би било в нарушение на настоящия регламент или на правния акт за създаване на органа, службата или агенцията на Съюза, по-специално когато администраторът не е идентифицирал или ограничил риска в достатъчна степен, Европейският надзорен орган по защита на данните предоставя на администратора писмено становище в срок до шест седмици след получаване на искането за консултация. Този срок може да бъде удължен с още един месец, в зависимост от сложността на планираното обработване. В срок от един месец от получаване на искането за консултация Европейският надзорен орган по защита на данните уведомява администратора за всяко такова удължаване, включително и за причините за забавянето.

1.   Администраторът и обработващият лични данни, като отчитат достиженията на техническия прогрес, разходите за прилагане и естеството, обхвата, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, прилагат подходящи технически и организационни мерки за осигуряване на съобразено с тези рискове ниво на сигурност, по-специално по отношение на обработването на специалните категории лични данни от оперативен характер.

2.   По отношение на автоматизираното обработване, администраторът и обработващият лични данни след оценка на рисковете прилагат мерки, имащи за цел:

1.   В случай на нарушение на сигурността на личните данни администраторът, без ненужно забавяне и когато това е осъществимо — не по-късно от 72 часа след като е разбрал за него, уведомява за нарушението на сигурността на личните данни Европейския надзорен орган по защита на данните, освен ако е малко вероятно нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица. Когато уведомлението до Европейския надзорен орган по защита на данните не е подадено в срок от 72 часа, то се придружава от информация за причините за забавянето.

2.   В уведомлението, посочено в параграф 1, се съдържа най-малко следното:

3.   Когато и доколкото не е възможно информацията, посочена в параграф 2, да се подаде едновременно, тя може да се подаде поетапно без по-нататъшно ненужно забавяне.

4.   Администраторът документира всяко нарушение на сигурността на личните данни, посочено в параграф 1, като включва фактите, свързани с нарушението на сигурността на личните данни, последиците от него и предприетите действия за справяне с него. Тази документация дава възможност на Европейския надзорен орган по защита на данните да провери дали е спазен настоящият член.

5.   Когато нарушението на сигурността на личните данни засяга лични данни от оперативен характер, които са били предадени от или на компетентните органи, администраторът съобщава посочената в параграф 2 информация на компетентните органи без излишно забавяне.

1.   Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, администраторът без ненужно забавяне съобщава на субекта на данните за нарушението на сигурността на личните данни.

2.   В съобщението до субекта на данните, посочено в параграф 1 от настоящия член, на ясен и прост език се описва естеството на нарушението на сигурността на личните данни и се съдържат най-малко информацията и препоръките, предвидени в член 92, параграф 2, букви б), в) и г).

3.   Посоченото в параграф 1 съобщение до субекта на данните не се изисква, ако е изпълнено някое от следните условия:

4.   Ако администраторът все още не е съобщил на субекта на данните за нарушението на сигурността на личните данни, Европейският надзорен орган по защита на данните може, след като отчете каква е вероятността нарушението на сигурността на личните данни да породи висок риск, да изиска от администратора да съобщи за нарушението или да реши, че е изпълнено някое от условията по параграф 3.

5.   Съобщението до субекта на данните, посочено в параграф 1 от настоящия член, може да бъде забавено, ограничено или пропуснато, при условията и на основанията, посочени в член 79, параграф 3.

1.   При спазване на ограниченията и условията, предвидени в правните актове за създаване на орган, служба или агенция на Съюза, администраторът може да предава лични данни от оперативен характер на орган на трета държава или на международна организация, доколкото това предаване е необходимо за изпълнението на задачите на администратора и само когато условията, предвидени в настоящия член, са изпълнени, а именно:

2.   Правните актове за създаване на органи, служби или агенции на Съюза могат да запазят или да въведат по-конкретни разпоредби относно условията за международно предаване на лични данни от оперативен характер, по-специално относно предаването на данни с подходящи гаранции и относно дерогации за особени ситуации.

3.   Администраторът публикува на своя уебсайт и актуализира списък на решения относно адекватното ниво на защита, посочени в параграф 1, буква а), споразумения, административни договори и други инструменти, отнасящи се до предаването на лични данни от оперативен характер в съответствие с параграф 1.

4.   Администраторът документира подробно всички случаи на предаване съгласно настоящия член.

1.   Комисията се подпомага от комитета, създаден съгласно член 93 от Регламент (ЕС) 2016/679. Този комитет е комитет по смисъла на Регламент (ЕС) № 182/2011.

2.   При позоваване на настоящия параграф се прилага член 5 от Регламент (ЕС) № 182/2011.

1.   До 30 април 2022 г. Комисията извършва преглед на правните актове, приети въз основа на Договорите, които уреждат обработването на лични данни от оперативен характер от органи, служби или агенции на Съюза при извършването на дейности, които попадат в обхвата на част трета, дял V, глава 4 или глава 5 от ДФЕС, за да:

2.   Въз основа на прегледа, с цел да се гарантира единна и съгласувана защита на физическите лица във връзка с обработването, Комисията може да представи подходящи законодателни предложения, по-специално с оглед прилагането на глава IХ от настоящия регламент по отношение на Европол и на Европейската прокуратура, включително адаптиране на глава IХ от настоящия регламент, ако е необходимо.

1.   Решение № 2014/886/ЕС на Европейския парламент и на Съвета (20) и текущият мандат на Европейския надзорен орган по защита на данните и на заместника на надзорния орган не се засягат от настоящия регламент.

2.   Счита се, че заместникът на надзорния орган има статут, равностоен на този на секретаря на Съда, що се отнася до определяне на размера на възнаграждението, надбавките, пенсията за осигурителен стаж и възраст и всякакви други обезщетения, които заместват възнаграждението.

3.   Член 53, параграфи 4, 5 и 7, както и членове 55 и 56 от настоящия регламент се прилагат по отношение на настоящия заместник на надзорния орган до изтичането на мандата му.

4.   Заместникът на надзорния орган подпомага Европейския надзорен орган по защита на данните при изпълнението на неговите задължения и го замества, когато Европейският надзорен орган по защита на данните отсъства или е възпрепятстван да изпълнява задълженията си, до изтичането на мандата на настоящия заместник на надзорния орган.

1.   Настоящият регламент влиза в сила на двадесетия ден след публикуването му в Официален вестник на Европейския съюз.

2.   Въпреки това, настоящият регламент се прилага за обработването на лични данни от Евроюст, считано от 12 декември 2019 г..