ISSN 1977-0855

Официален вестник

на Европейския съюз

C 158

European flag  

Издание на български език

Информация и известия

Година 59
3 май 2016 г.


Известие №

Съдържание

Страница

 

III   Подготвителни актове

 

СЪВЕТ

2016/C 158/01

Позиция (ЕС) № 5/2016 на Съвета на първо четене с оглед приемането на директива на Европейския парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания и относно свободното движение на такива данни и за отмяна на Рамково решение 2008/977/ПВР на Съвета
Приета от Съвета на 8 април 2016 година

1

2016/C 158/02

Изложение на мотивите на Съвета: Позиция (ЕС) № 5/2016 на Съвета на първо четене с оглед на приемането на директива на Европейския парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления, или изпълнението на наказателни санкции, и относно свободното движение на такива данни и за отмята на Рамково решение 2008/977/ПВР на Съвета

46


BG

 


III Подготвителни актове

СЪВЕТ

3.5.2016   

BG

Официален вестник на Европейския съюз

C 158/1


ПОЗИЦИЯ (ЕС) № 5/2016 НА СЪВЕТА НА ПЪРВО ЧЕТЕНЕ

с оглед приемането на директива на Европейския парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания и относно свободното движение на такива данни и за отмяна на Рамково решение 2008/977/ПВР на Съвета

Приета от Съвета на 8 април 2016 година

(2016/C 158/01)

ЕВРОПЕЙСКИЯТ ПАРЛАМЕНТ И СЪВЕТЪТ НА ЕВРОПЕЙСКИЯ СЪЮЗ,

като взеха предвид Договора за функционирането на Европейския съюз, и по-специално член 16, параграф 2 от него,

като взеха предвид предложението на Европейската комисия,

след предаване на проекта на законодателния акт на националните парламенти,

като взеха предвид становището на Комитета на регионите (1),

в съответствие с обикновената законодателна процедура (2),

като имат предвид, че:

(1)

Защитата на физическите лица във връзка с обработването на лични данни е основно право. Член 8, параграф 1 от Хартата на основните права на Европейския съюз („Хартата“) и член 16, параграф 1 от Договора за функционирането на Европейския съюз (ДФЕС) предвиждат, че всеки има право на защита на личните му данни.

(2)

Принципите и правилата относно защитата на физическите лица във връзка с обработването на личните им данни следва, независимо от тяхното гражданство или пребиваване, да са съобразени с техните основни права и свободи и по-конкретно с правото на защита на личните им данни. Целта на настоящата директива е да допринесе за изграждането на пространство на свобода, сигурност и правосъдие.

(3)

Бързото технологично развитие и глобализацията създадоха нови предизвикателства пред защитата на личните данни. Значително нарасна мащабът на обмена и събирането на лични данни. Технологиите позволяват личните данни да се обработват в безпрецедентен мащаб, за да се извършват дейности като предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания.

(4)

Свободният поток на лични данни между компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления, или изпълнението на наказания, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване в рамките на Съюза и предаването на тези лични данни на трети държави и международни организации, следва да се улесни като същевременно се гарантира високо равнище на защита на личните данни. Тези развития изискват изграждане на стабилна и по-съгласувана рамка за защита на личните данни в Съюза, подкрепена от силно правоприлагане.

(5)

Директива 95/46/ЕО на Европейския парламент и на Съвета (3) се прилага за всички дейности, свързани с обработване на лични данни в държавите членки както в публичния, така и в частния сектор. Въпреки това тя не се прилага за обработването на лични данни „при извършване на дейности извън приложното поле на правото на Общността“, като например дейности в областите на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество.

(6)

Рамково решение 2008/977/ПВР на Съвета (4) се прилага в областите на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество. Приложното поле на това рамково решение е ограничено до обработването на лични данни, които се предават или предоставят между държавите членки.

(7)

Осигуряването на хомогенно и високо ниво на защита на личните данни на физическите лица и улесняването на обмена на лични данни между компетентните органи на държавите членки са от решаващо значение за осигуряването на ефективно съдебно сътрудничество по наказателноправни въпроси и полицейско сътрудничество. За тази цел нивото на защита на правата и свободите на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления, или изпълнението на наказания, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване, следва да бъде еднакво във всички държави членки. Ефективната защита на личните данни навсякъде в Съюза изисква укрепване на правата на субектите на данни и на задълженията на обработващите лични данни, но също и укрепване на правомощията за наблюдение и гарантиране на спазването на правилата за защита на личните данни в държавите членки.

(8)

В член 16, параграф 2 от ДФЕС на Европейския парламент и на Съвета се възлага задачата да определят правилата за защитата на физическите лица по отношение на обработката на личните данни, както и правилата за свободното движение на такива данни.

(9)

Въз основа на това в Регламент (ЕС) 2016/… на Европейския парламент и на Съвета (5)  (*) се определят общи правила за защита на физическите лица във връзка с обработването на лични данни и за гарантиране на свободното движение на такива данни в Съюза.

(10)

В Декларация № 21 относно защитата на личните данни в областта на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество, приложена към заключителния акт на Междуправителствената конференция, която прие Договора от Лисабон, конференцията признава, че може да са необходими специални правила относно защитата на личните данни и свободното движение на лични данни в областите на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество въз основа на член 16 от ДФЕС, поради специфичното естество на тези области.

(11)

Поради това е уместно тези области да бъдат предмет на директива, която установява правила за защита на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления, или изпълнението на наказания, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване, като се отчита специфичният характер на тези дейности. Такива компетентни органи могат да включват не само публични органи, например съдебните органи, полицията и други правоприлагащи органи, но и всеки друг орган или образувание, който по силата на правото на държавите членки упражнява публична власт и публични правомощия за целите на настоящата директива. Когато обаче подобен орган или образувание обработва лични данни за цели, различни от целите на настоящата директива, се прилага Регламент (ЕС) 2016/… (**). Поради това Регламент (ЕС) 2016/… (**) се прилага в случаите, в които даден орган или образувание събира лични данни за други цели и допълнително обработва тези лични данни, за да се съобрази с правно задължение, с което е обвързан. За целите на разследването, разкриването или наказателното преследване на престъпления например финансови институции задържат определени лични данни, обработвани от тях, и предоставят тези лични данни единствено на компетентните национални органи в специфични случаи и в съответствие с правото на държавите членки. Орган или образувание, който обработва лични данни от името на компетентните национални органи в рамките на обхвата на настоящата директива, следва да бъде обвързан от договор или друг правен акт и от разпоредбите, приложими към обработващите лични данни съгласно настоящата директива, докато Регламент (ЕС)2016/… (**) продължава да се прилага по отношение на обработването на лични данни от обработващ лични данни извън обхвата на настоящата директива.

(12)

Дейностите, извършвани от полицията или други правоприлагащи органи, включително полицейски дейности, без предварително да е известно дали даден инцидент съставлява престъпление, основно се съсредоточават върху предотвратяването, разследването, разкриването или наказателното преследване на престъпления, включително полицейски дейности, без предварително да е известно дали даден инцидент съставлява престъпление. Тези дейности могат да включват упражняване на правомощия чрез предприемане на принудителни мерки, като полицейски дейности по време на демонстрации, големи спортни събития и безредици. Те включват и поддържането на законността и реда като задача, възложена на полицията или други правоприлагащи органи, когато е необходимо да се вземат предпазни мерки и да се предотвратят заплахи за обществената сигурност и основните интереси на обществото, защитени от закона, които могат да доведат до извършването на престъпление. Държавите членки могат да възложат на компетентните органи други задачи, чието изпълнение не е непременно свързано с целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване, като обработването на лични данни за тези цели, доколкото то е обхванато от правото на Съюза, попада в приложното поле на Регламент (ЕС) 2016/… (**).

(13)

„Престъпление“ по смисъла на настоящата директива следва да бъде автономно понятие в правото на Съюза, което съответства на тълкуването на Съда на Европейския съюз („Съдът“).

(14)

Тъй като настоящата директива не следва да се прилага за обработването на лични данни в рамките на дейност, попадаща извън приложното поле на правото на Съюза, дейностите, засягащи националната сигурност, дейностите на агенции или звена, които се занимават с въпроси на националната сигурност, и обработването на лични данни от държавите членки, когато извършват дейности, попадащи в приложното поле на дял V, глава 2 от Договора за Европейския съюз (ДЕС), не следва да се считат за дейности, попадащи в обхвата на настоящата директива.

(15)

С цел да се осигури еднакво равнище на защита на физическите лица чрез гарантирани от закона права навсякъде в Съюза и да се предотвратят различията, възпрепятстващи обмена на лични данни между компетентните органи, в настоящата директива следва да се предвидят хармонизирани правила за защита и свободно движение на лични данни, обработвани за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления, или изпълнението на наказания, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване. Сближаването на законодателствата на държавите членки не би следвало да води до понижаване на равнището на предоставяната от тях защита на личните данни, а напротив, следва да цели осигуряване на високо равнище на защита в рамките на Съюза. Държавите членки не следва да бъдат възпрепятствани да предвиждат по-строги предпазни мерки от установените в настоящата директива за защитата на правата и свободите на субекта на данните по отношение на обработването на лични данни от компетентните органи.

(16)

Настоящата директива не засяга принципа на публичен достъп до официални документи. Съгласно Регламент (ЕС) 2016/… (**) лични данни в официални документи, държани от публичен орган или публична или частна структура за изпълнение на задача от обществен интерес, могат да бъдат разкривани от този орган или структура в съответствие с правото на Съюза или на държава членка, на което се подчинява публичният орган или структура, за да се съгласува публичният достъп до официални документи с правото на защита на личните данни.

(17)

Защитата, предоставена с настоящата директива, следва да се прилага за физическите лица, независимо от тяхното гражданство или местопребиваване, във връзка с обработването на техните лични данни.

(18)

За да се предотврати създаването на сериозен риск от заобикаляне на закона, защитата на физическите лица следва да бъде технологично неутрална и следва да не зависи от използваната техника, . Защитата на физическите лица следва да се прилага за обработването на лични данни с автоматични средства, както и за ръчното им обработване, ако личните данни се съхраняват или са предназначени да се съхраняват в регистър с лични данни. Досиетата или групите от досиета, както и заглавните им страници, които не са структурирани съгласно специфични критерии, не следва да попадат в обхвата на настоящата директива.

(19)

Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета (6) се прилага за обработването на лични данни от институциите, органите, службите и агенциите на Съюза. Регламент (ЕО) № 45/2001 и другите правни актове на Съюза, приложими за такова обработване на лични данни, следва да бъдат адаптирани към принципите и правилата, установени в Регламент (ЕС) 2016/… (**).

(20)

Настоящата директива не възпрепятства държавите членки да определят операции по обработване и процедури за обработване в национални правила за наказателноправните процедури във връзка с обработването на лични данни от съдилища и други съдебни органи, по-специално по отношение на лични данни, съдържащи се в съдебно решение или документация, свързани с наказателни производства.

(21)

Принципите за защита на данните следва да се прилагат по отношение на всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано. За да се определи дали дадено физическо лице може да бъде идентифицирано, следва да се вземат предвид всички средства, като например „подбиране на лица за извършване на проверка“, с които е най-вероятно да си послужи администраторът или друго лице, за да идентифицира пряко или непряко даденото физическо лице. За да се уточни дали има разумна вероятност дадени средства да бъдат използвани за идентифициране на физическото лице, следва да се вземат предвид всички обективни фактори, като разходите и времето, необходими за идентифицирането, като се отчитат както наличните към момента на обработване на данните технологии, така и тяхното развитие. Поради това принципите на защита на данните не следва да се прилагат по отношение на анонимна информация, а именно информация, която не е свързана с идентифицирано или подлежащо на идентифициране физическо лице, или по отношение на лични данни, които са анонимизирани по такъв начин, че субектът на данните вече не може да бъде идентифициран.

(22)

Публични органи, пред които се разкриват лични данни в съответствие с правно задължение за упражняване на официалната им функция, например данъчни и митнически органи, звена за финансово разследване, независими административни органи или органи за финансовите пазари, отговарящи за регулирането и надзора на пазарите на ценни книжа, не следва да се разглеждат като получатели, ако получават лични данни, които са необходими за провеждането на конкретно разследване от общ интерес, в съответствие с правото на Съюза или на държава членка. Исканията за разкриване на данни, изпратени от публичните органи, следва винаги да бъдат в писмена форма, да са обосновани и да засягат само отделни случаи и не следва да се отнасят до целия регистър с лични данни или да водят до свързване на регистри на лични данни. Обработването на личните данни от посочените публични органи следва да е в съответствие с приложимите правила за защита на данните съобразно целите на обработването.

(23)

Генетичните данни следва да се определят като лични данни, свързани с наследени или придобити генетични белези на дадено физическо лице и предоставят уникална информация относно физиологията или здравето на това физическо лице и които са получени в резултат на анализ на биологична проба от въпросното физическо лице, по-специално чрез хромозомен анализ на дезоксирибонуклеиновата киселина (ДНК) или на рибонуклеиновата киселина (РНК) или анализ на всеки друг елемент, позволяващ получаване на равностойна информация. Като се имат предвид комплексният характер и чувствителността на генетичната информация, има голям риск от злоупотреба и повторна употреба за различни цели от страна на администратора. Всяка дискриминация, основана на генетични белези, следва по принцип да бъде забранена.

(24)

Личните данни за здравословното състояние следва да обхващат всички данни, свързани със здравословното състояние на субекта на данните, които разкриват информация за физическото или психическото здравословно състояние на субекта на данните в миналото, настоящето или бъдещето. Това включва информация относно физическото лице, събрана в хода на регистрацията за здравни услуги или тяхното предоставяне, както е посочено в Директива 2011/24/ЕС на Европейския парламент и на Съвета (7), на същото физическо лице; номер, символ или характеристика, определени за дадено физическо лице с цел уникалното му идентифициране за здравни цели; информация, получена в резултат от изследването или прегледа на част от тялото или на телесно вещество, включително от генетични данни и биологични проби; и всякаква информация, например за заболяване, увреждане, риск от заболяване, медицинска история, клинично лечение или физиологично или биомедицинско състояние на субекта на данните, независимо от източника на информация, например лекар или друг медицински специалист, болница, медицинско изделие или ин витро диагностично изследване.

(25)

Всички държави членки участват в Международната организация на криминалната полиция (Интерпол). За да изпълнява мисията си, Интерпол получава, съхранява и обменя лични данни в помощ на компетентните органи с цел предотвратяване и борба с международната престъпност. Поради това е уместно да се засили сътрудничеството между Съюза и Интерпол чрез насърчаването на ефективен обмен на лични данни, като същевременно се гарантира спазването на основните права и свободи по отношение на автоматизирано обработване на лични данни. При предаването на лични данни от Съюза на Интерпол и на държави, които имат делегирани членове в Интерпол, следва да се прилага настоящата директива, по-специално разпоредбите относно международното предаване на данни. Настоящата директива следва да не засяга специфичните разпоредби, установени в Обща позиция 2005/69/ПВР на Съвета (8) и Решение 2007/533/ПВР на Съвета (9).

(26)

Всяко обработване на лични данни трябва да бъде законосъобразно, добросъвестно и прозрачно по отношение на засегнатите физически лица и извършено единствено за конкретните цели, предвидени от закона. Това само по себе си не възпрепятства правоприлагащите органи да извършват дейности като разследвания под прикритие или видео наблюдение. Тези дейности могат да се извършват за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления, или изпълнението на наказания, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване, стига те да са предвидени със закон и да представляват необходима и пропорционална мярка в едно демократично общество, като надлежно се вземат под внимание легитимните интереси на засегнатото физическо лице. Принципът на добросъвестно обработване във връзка със защитата на данните е различно понятие от правото на справедлив съдебен процес, както е предвидено в член 47 от Хартата и в член 6 от Европейската конвенция за защита на правата на човека и основните свободи („ЕКПЧ“). Физическите лица следва да бъдат информирани за рисковете, правилата, гаранциите и правата, свързани с обработването на личните им данни, и за начините, по които да упражняват правата си по отношение на обработването. По-специално, конкретните цели, за които се обработват личните данни, следва да бъдат изрично указани и легитимни и определени към момента на събирането на личните данни. Личните данни следва да са подходящи и релевантни за целите, за които се обработват. По-специално следва да се гарантира, че събраните лични данни не надхвърлят необходимото и че не се съхраняват за период, по-дълъг от необходимото за целите, за които се обработват. Личните данни следва да се обработват единствено ако целта на обработването не може разумно да бъде постигната с други средства. С цел да се гарантира, че срокът на съхранение на данните не е по-дълъг от необходимия, администраторът следва да установи срокове за тяхното изтриване или периодичен преглед. Държавите членки следва да установят подходящи гаранции за личните данни, съхранявани за по-дълги периоди за целите на архивирането в обществен интерес и за използването с научен, статистически или исторически характер.

(27)

За целите на предотвратяването, разследването и наказателното преследване на престъпленията компетентните органи имат нужда да обработват лични данни, събрани в контекста на предотвратяването, разследването, разкриването или наказателното преследване на конкретни престъпления, извън този контекст, за да достигнат до разбиране на престъпните действия и да установят връзки между различни разкрити престъпления.

(28)

За да се поддържа сигурността на обработването и да се предотврати обработване в нарушение на настоящата директива, личните данни следва да се обработват по начин, който гарантира подходящо ниво на сигурност и поверителност, включително предотвратяване на неразрешен достъп или използване на личните данни и оборудването, използвано за обработването и който взема предвид наличните технологии, разходите за прилагане по отношение на рисковете и естеството на личните данни, които трябва да се защитят.

(29)

Личните данни следва да се събират за конкретни, изрично указани и легитимни цели, попадащи в обхвата на настоящата директива, и следва да не се обработват за цели, несъвместими с целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване. Ако лични данни се обработват от същия или друг администратор за цел, попадаща в обхвата на настоящата директива и различна от целта, за която данните са били събрани, това обработване следва да е допустимо, при условие че е разрешено в съответствие с приложимите правни разпоредби и е необходимо и пропорционално на тази друга цел.

(30)

Принципът за точност на данните следва да се прилага като се вземат предвид естеството и целта на съответното обработване. Особено в съдебни производства изявления, съдържащи лични данни, се основават на субективното възприемане от физически лица и не могат винаги да бъдат проверени. По тази причина изискването за точност не следва да се отнася за точността на изявлението, а само за факта, че е направено конкретно изявление.

(31)

При обработването на лични данни в областите на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество е нормално да се обработват лични данни, които се отнасят за различни категории субекти на данни. Поради това следва да се прави ясно разграничение, където това е приложимо и доколкото е възможно, между личните данни на различните категории субекти на данни, като например заподозрени, лица, осъдени за престъпление, пострадали от престъпление и други трети страни, като свидетели, лица, притежаващи релевантна информация или данни за контакт, и съучастници на заподозрени и осъдени престъпници. Това не следва да възпрепятства прилагането на презумпцията за невиновност, гарантирана от Хартата и ЕКПЧ, както се тълкува съответно в практиката на Съда и на Европейския съд по правата на човека.

(32)

Компетентните органи следва да гарантират, че лични данни, които са неточни, непълни или които вече не са актуални, не се предават или предоставят. За да се гарантира както защитата на физическите лица, така и точността, пълнотата или степента на актуалност и надеждността на предаваните или предоставяните лични данни, компетентните органи следва, доколкото е възможно, да добавят необходимата информация при всички случаи на предаване на лични данни.

(33)

Когато в настоящата директива се прави позоваване на правото на държава членка, правно основание или законодателна мярка, това не налага непременно приемането на законодателен акт от парламент, без да се засягат изискванията съгласно конституционния ред на съответната държава членка. При все това правото на държавата членка, правното основание или законодателната мярка обаче следва да бъдат ясни и точни и прилагането им да бъде предвидимо за правните субекти, както изисква съдебната практика на Съда и на Европейския съд по правата на човека. Правото на държава членка, уреждащо обработването на лични данни в рамките на приложното поле на настоящата директива, следва да посочва най-малко общите цели на обработването, личните данни, които се обработват, конкретните цели на обработването, процедурите за опазване на цялостността и поверителността на личните данни и процедурите за тяхното унищожаване, като по този начин се предоставят достатъчни гаранции срещу риска от злоупотреба и произвол.

(34)

Обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления, или изпълнението на наказания, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване, следва да обхваща всяка операция или съвкупност от операции, извършвани с лични данни или набор от лични данни за тези цели, чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, сравняване или комбиниране, ограничаване на обработването, заличаване или унищожаване. По-специално правилата на настоящата директива следва да се прилагат за предаването на лични данни за целите на настоящата директива на получател, за когото настоящата директива не се прилага. Подобен получател следва да означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която личните данни се разкриват законосъобразно от компетентния орган. Когато компетентен орган е събрал първоначално лични данни за една от целите на настоящата директива, за обработването на тези данни за цели, различни от целите на настоящата директива следва да се приложи Регламент (ЕС) 2016/… (**), когато това обработване е разрешено от правото на Съюза или правото на държава членка. По-специално, правилата на Регламент (ЕС) 2016/… (**) следва да се прилагат за предаването на лични данни за цели, които не попадат в обхвата на настоящата директива. За обработването на лични данни от получател, който не е компетентен орган или не действа като такъв по смисъла на настоящата директива и на когото личните данни се разкриват законосъобразно от компетентен орган, следва да се прилага Регламент (ЕС) 2016/…. (**). При прилагането на настоящата директива държавите членки следва също да могат да уточнят в допълнителна степен прилагането на правилата на Регламент (ЕС) 2016/… (**), при спазване на условията, определени в него.

(35)

За да бъде законосъобразно, обработването на лични данни съгласно настоящата директива следва да бъде необходимо за изпълнението на задача в обществен интерес от компетентен орган въз основа на правото на Съюза или на държава членка за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления, или изпълнението на наказания, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване. Тези дейности следва да обхващат защитата на жизненоважни интереси на субекта на данните. Изпълнението на задачите по предотвратяване, разследване, разкриване или наказателно преследване на престъпления, институционално възложено със закон на компетентните органи, им позволява да изискват или нареждат на физическите лица да се съобразяват с направените искания. В този случай съгласието на субекта на данните съгласно определението в Регламент (ЕС) 2016/… (**) не следва да предоставя правно основание за обработването на личните данни от компетентните органи. Когато от субекта на данните се изисква да се съобрази с правно задължение, субектът на данните не разполага с истински и свободен избор, така че реакцията на субекта на данните не би могла да се счита за свободно изразяване на неговите желания. Това не следва да възпрепятства държавите членки да предвидят в националното си право, че субектът на данните може да даде съгласието си за обработване на неговите лични данни за целите на настоящата директива, като например данни от ДНК тестове в рамките на наказателни разследвания или наблюдение на местоположението на субекта на данни посредством електронен уред при изпълнението на наказания.

(36)

Държавите членки следва да предвидят, в случаите, когато правото на Съюза или на държава членка, приложимо за предаващия данните компетентен орган, предвижда специфични условия, приложими при специфични обстоятелства към обработването на личните данни, като използването на кодове за обработване, предаващият компетентен орган да уведоми получателя на тези лични данни, за тези условия и изискването за тяхното спазване. Тези условия биха могли да включват например забрана за предаване на лични данни на други лица или за използването им за цели, различни от тези, за които данните са били предадени на получателя, или да не се информира субекта на данните, в случай на ограничение на правото на информация, без предварителното съгласие на предаващия компетентен орган. Тези задължения следва да се прилагат и за предаването на данни от предаващия данните компетентен орган на получатели в трети държави или международни организации. Държавите членки следва да гарантират, че предаващият компетентен орган не прилага спрямо получатели в други държави членки или агенции, служби и органи, създадени съгласно дял V, глави 4 и 5 от ДФЕС условия, различни от тези, които се прилагат при подобно предаване на данни в рамките на държавата членка на посочения компетентен орган.

(37)

На личните данни, които по своето естество са особено чувствителни от гледна точка на основните права и свободи, се полага специална защита, тъй като контекстът на тяхното обработване би могъл да създаде значителни рискове за основните права и свободи. Посочените лични данни следва да включват личните данни, разкриващи расов или етнически произход, като използването на понятието „расов произход“ в настоящия регламент не означава, че Съюзът приема теориите, които се опитват да установят съществуването на отделни човешки раси. Тези лични данни не следва да се обработват, освен ако обработването не е свързано с подходящи гаранции за установените със закон права и свободи на субекта на данни и не е разрешено в определени от закона случаи; ако не е разрешено със закон, но е необходимо за защита на жизненоважни интереси на субекта на данни или на друго лице; или ако обработването се отнася за данни, които очевидно са направени обществено достояние от субекта на данните. Подходящите гаранции за правата и свободите на субекта на данни биха могли да включват възможността тези данни да се събират само във връзка с други данни за засегнатото физическо лице, възможността събраните данни да се защитят по подходящ начин, да се въведат по-строги правила относно достъпа на служители на компетентните органи до данните и да се забрани предаването на тези данни. Обработването на такива данни следва да бъде разрешено и от закона, когато субектът на данни изрично се е съгласил на обработване на данните, което представлява особено груба намеса в живота му. Въпреки това, съгласието на субекта на данни не следва да предоставя само по себе си правно основание за обработването на чувствителни лични данни от компетентните органи.

(38)

Субектът на данни следва да има правото да не бъде обект на решение, съдържащо оценка на свързани с него лични аспекти въз основа единствено на автоматизирано обработване и което поражда неблагоприятни правни последствия за него или го засяга в значителна степен. Във всеки случай такова обработване следва да подлежи на подходящи гаранции, включително предоставянето на конкретна информация на субекта на данните и правото на човешка намеса, по-специално за изразяване на неговото мнение, за получаване на обяснение за решението, взето в резултат на такава оценка и за обжалване на решението. Профилиране, което води до дискриминация на физически лица въз основа на лични данни, които по своето естество са особено чувствителни, що се отнася до основните права и свободи, следва да бъде забранено при условията, определени в членове 21 и 52 от Хартата.

(39)

За да се даде възможност на засегнатите лица да упражняват правата си, всяка информация, предоставена на субекта на данни, следва да бъде леснодостъпна, включително на уебсайта на администратора, и разбираема и да използва ясен и прост език. Тази информация следва да бъде съобразена с нуждите на уязвимите лица, например децата.

(40)

Следва да се предвидят ред и условия за улесняване на упражняването на правата на субектите на данни в съответствие с разпоредбите, приети съгласно настоящата директива, включително механизми за искане, и ако е приложимо — получаване, без заплащане, по-специално на достъп до, коригиране или изтриване на лични данни и ограничаване на обработването. Администраторът следва да бъде задължен да отговаря на исканията на субектите на данни без излишно забавяне, освен ако администраторът прилага ограничения на правата на субекта на данни в съответствие с настоящата директива. Освен това, ако исканията са очевидно неоснователни или прекомерни, например когато субектът на данни необосновано и многократно иска информация, или когато субектът на данни злоупотребява с правото си да получава информация, например като предоставя невярна или подвеждаща информация при подаване на искането, администраторът следва да може да наложи разумна такса или да откаже да предприеме действия по искането.

(41)

Когато администраторът поиска предоставянето на допълнителна информация, необходима за потвърждаване на самоличността на субекта на данните, тази информация следва да се обработва само за тази конкретна цел и да не се съхранява по-дълго от необходимото за тази цел.

(42)

Най-малко следната информация следва да бъде предоставена на субекта на данните: данни, идентифициращи администратора, съществуването на операция по обработване, целите на обработването, правото да подаде жалба и наличието на право да изиска от администратора достъп до личните данни, както и тяхното коригиране или изтриване, или ограничаване на обработването. Това би могло да се извърши на интернет страницата на компетентния орган. Освен това в конкретни случаи и с цел да се даде възможност на субекта на данните да упражни своите права, той следва да бъде информиран за правното основание на обработването и за продължителността на съхранение на данните, доколкото подобна допълнителна информация е необходима като се отчитат конкретните обстоятелства, при които се обработват данните, за да се гарантира добросъвестно обработване по отношение на субекта на данните.

(43)

Всяко физическо лице следва да има право на достъп до събраните данни, които го засягат, и да упражнява това право лесно и на разумни интервали, за да бъде осведомено за обработването и да провери законосъобразността му. Поради това всеки субект на данни следва да има правото да знае и да бъде осведомен относно целите, за които се обработват данните, срокът, за който се обработват и получателите на данните, включително в трети държави. Когато тези сведения включват информация за произхода на личните данни, тя не следва да разкрива самоличността на физически лица, и по-специално на поверителни източници. За да бъде спазено това право, е достатъчно субектът на данни да притежава пълно обобщение на тези данни в разбираема форма, т.е. форма, която позволява на въпросния субект на данни да се запознае с тези данни и да провери дали те са точни и обработени в съответствие с настоящата директива, така че той да може да упражни правата, предоставени му по силата на настоящата директива. Подобно обобщение би могло да бъде представено под формата на копие на личните данни, които са в процес на обработване.

(44)

Държавите членки следва да могат да приемат законодателни мерки, които забавят, ограничават или водят до пропускане на информирането на субектите на данни или до пълно или частично ограничаване на достъпа до техните лични данни до такава степен и за толкова време, за колкото дадена мярка е необходима и пропорционална в едно демократично общество, като надлежно се вземат под внимание основните права и легитимните интереси на засегнатото физическо лице, така че да се избегне възпрепятстването на официални или съдебни проучвания, разследвания или процедури, да се избегне засягане на предотвратяването, разследването, разкриването или наказателното преследване на престъпления, или изпълнението на наказания, да се защитят обществената или националната сигурност или правата и свободите на други лица. Администраторът следва да прецени, като разгледа конкретно и индивидуално всеки случай, дали правото на достъп следва да бъде напълно или частично ограничено.

(45)

Всеки отказ или ограничаване на достъпа следва по принцип да бъдат представени в писмен вид на субекта на данните и да включват фактическите или правните основания, на които се основава решението.

(46)

Всяко ограничаване на правата на субекта на данни трябва да бъде в съответствие с Хартата и с ЕКПЧ, както се тълкуват съответно в практиката на Съда и на Европейския съд по правата на човека, и по-специално като се зачита същността на тези права и свободи.

(47)

Физическо лице следва да има право да поиска коригиране на неточни лични данни, които го засягат, особено когато същите се отнасят до факти, както и право на изтриване на данните, когато обработването им е в нарушение на настоящата директива. Въпреки това правото на коригиране не следва да засяга например съдържанието на свидетелски показания. Физическо лице следва също да има право да ограничи обработването, когато оспорва точността на личните данни и тяхната точност или неточност не може да бъде установена или когато личните данни трябва да бъдат запазени за целите на доказването. По-специално обработването на личните данни следва да се ограничи, вместо данните да се заличават, ако в конкретен случай са налице разумни основания да се смята, че изтриването им би могло да засегне легитимните интереси на субекта на данните. В този случай данните, чието обработване е ограничено следва да се обработват само за целта, която е препятствала изтриването им. Методите за ограничаване на обработването на лични данни биха могли да включват, наред с другото, преместване на подбраните данни в друга система за обработване, например за целите на архивирането, или прекратяване на достъпа до тях. В системите за автоматизирано архивиране ограничаването на обработването следва по принцип да бъде осигурено с технически средства. Фактът, че обработването на лични данни е ограничено, следва да бъде посочен в системата по начин, който ясно показва, че обработването на лични данни подлежи на ограничения. Подобно коригиране или изтриване на лични данни, или ограничаване на обработването следва да се съобщава на получателите, на които са били разкрити данните, както и на компетентните органи, от които произхождат неточните данни. Администраторите следва също така се въздържат от по-нататъшно разпространение на такива данни.

(48)

Когато администраторът отказва на субекта на данни право на информация, достъп до или коригиране или изтриване на лични данни, или ограничаване на обработването, субектът на данни следва да има правото да поиска от националния надзорен орган да провери законосъобразността на обработването. Субектът на данни следва да бъде информиран за това право. Когато надзорният орган действа от името на субекта на данни, субектът на данни следва да бъде информиран от надзорния орган най-малко за това, че всички необходими проверки или прегледи от страна на надзорния орган са били извършени. Надзорният орган също така следва да информира субекта на данните за неговото право да потърси защита по съдебен ред.

(49)

Когато личните данни се обработват в хода на наказателно разследване и съдебно производство по наказателно дело, държавите членки следва да могат да гарантират, че правото на информация, достъп до и коригиране или изтриване на лични данни и ограничаване на обработването се упражнява в съответствие с националните правила относно съдебните производства.

(50)

Следва да бъдат установени отговорностите и задълженията на администратора за всяко обработване на лични данни, извършено от администратора или от негово име. По-конкретно, администраторът следва да бъде задължен да прилага подходящи и ефективни мерки и следва да е в състояние да докаже, че дейностите по обработването съответстват на настоящата директива. Тези мерки следва да отчитат естеството, обхвата, контекста и целите на обработването, както и риска за правата и свободите на физическите лица. Взетите от администратора мерки следва да включват изготвянето и прилагането на специфични гаранции по отношение на обработването на лични данни на уязвими физически лица, по-специално деца.

(51)

Рискът за правата и свободите на физическите лица с различна вероятност и тежест, може да произтича от обработване на данни, което би могло да доведе до физически, материални или нематериални вреди, по-специално когато обработването може да породи дискриминация, кражба на самоличност или измама чрез използване на фалшива самоличност, финансови загуби, накърняване на репутацията, нарушаване на поверителността на данни, защитени от професионална тайна, неразрешено премахване на псевдонимизация или други значителни икономически или социални неблагоприятни последствия; когато субектите на данни могат да бъдат лишени от техните права и свободи или от упражняването на контрол върху техните лични данни; когато се обработват лични данни, които разкриват расов или етнически произход, политически възгледи, религиозни или философски убеждения, членство в професионална организация; когато се обработват генетични или биометрични данни с цел уникално идентифициране на дадено лице или когато се обработват данни за здравословното състояние или данни за сексуалния живот и сексуалната ориентация или за присъди и престъпления или свързани с тях мерки за сигурност; когато се оценяват лични аспекти, по-конкретно анализиране и прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения, икономическото положение, здравето, личните предпочитания или интереси, надеждността или поведението, местонахождението или движението с цел създаване или използване на лични профили; когато се обработват лични данни на уязвими физически лица, по-специално деца; или когато обработването включва голям обем лични данни и засяга голям брой субекти на данни.

(52)

Вероятността и тежестта на риска следва да се определят с оглед на естеството, обхвата, контекста и целите на обработването. Рискът следва да е предмет на обективна оценка, с която се определя дали операциите по обработване на данни водят до висок риск. Високият риск е специфичен риск, който засяга правата и свободите на субектите на данни.

(53)

Защитата на правата и свободите на физическите лица с оглед на обработването на лични данни изисква предприемането на подходящи технически и организационни мерки, за да се гарантира, че са изпълнени изискванията на настоящата директива. Прилагането на такива мерки не следва да се ръководи единствено от икономически съображения. С цел да докаже съответствие с настоящата директива администраторът следва да приеме вътрешни политики и да прилага мерки, които зачитат по-специално принципите за защита на данните на етапа на проектирането и по подразбиране. Когато администраторът е извършил оценка на въздействието върху защитата на данните съгласно настоящата директива, резултатите следва да се вземат предвид при разработването на тези мерки и процедури. Тези мерки могат да се изразяват, наред с другото, в използването на псевдонимизация на възможно най-ранен етап. Използването на псевдонимизация за целите на настоящата директива може да служи като инструмент, който би могъл да улесни по-специално свободния поток на лични данни в рамките на пространството на свобода, сигурност и правосъдие.

(54)

Защитата на правата и свободите на субектите на данни, както и отговорността и задълженията на администраторите и обработващите лични данни, наред с другото във връзка с наблюдението и мерките от страна на надзорните органи, изискват ясно определяне на отговорностите, установени в настоящата директива, включително когато администраторът определя целите и средствата на обработването съвместно с други администратори или когато дадена операция по обработване се извършва от името на даден администратор.

(55)

Обработването, извършвано от обработващ лични данни, следва да бъде уредено с правен акт, включително договор, който обвързва обработващия лични данни с администратора и постановява, по-специално, че обработващият лични данни следва да извършва действия само въз основа на указания от администратора. Обработващият лични данни следва да вземе под внимание принципа на защита на данните на етапа на проектирането и по подразбиране.

(56)

За да докаже съответствие с настоящата директива, администраторът или обработващият лични данни следва да поддържа регистри за всички категории дейности по обработване, за които отговаря. Всеки администратор и обработващ лични данни следва да бъде задължен да си сътрудничи с надзорния орган и да му предоставя тези регистри при поискване, за да може те да бъдат използвани за наблюдение на операциите по обработване. Администраторът или обработващият лични данни, който обработва лични данни в системи за неавтоматизирано обработване, следва да прилага ефективни методи за доказване на законосъобразността на обработването, за прилагане на самоконтрол и за гарантиране на цялостността и сигурността на данните, например записи или други форми на водене на регистър.

(57)

Записите следва да се съхраняват в системите за автоматизирано обработване поне за операции като събиране, промяна, консултиране, разкриване, включително предаване, комбиниране или изтриване. Идентификацията на лицето, което е направило справка с лични данни или ги е разкрило, следва да се записва и от нея следва да се установят причините за операциите по обработване. Записите следва да се използват единствено за проверяване на законосъобразността на обработването, за самоконтрол, за гарантиране на цялостността и сигурността на данните и при наказателни производства. Самоконтролът следва да включва вътрешни дисциплинарни процедури на компетентните органи.

(58)

Администраторът следва да извърши оценка на въздействието, когато има вероятност операциите по обработването да породят висок риск за правата и свободите на субектите на данни поради тяхното естество, обхвата или целите им, като тази оценка следва да включва по-специално мерки, гаранции и механизми, предназначени да осигуряват защитата на личните данни и да доказват съответствието с настоящата директива. Оценките на въздействието следва да обхващат съответните системи и процеси на операциите по обработване, а не отделни случаи.

(59)

За да се гарантира ефективната защита на правата и свободите на субектите на данни, в определени случаи администраторът или обработващият лични данни следва да се консултира с надзорния орган преди обработването.

(60)

С цел да се поддържа сигурността и да се предотврати обработване, което е в нарушение на настоящата директива, администраторът или обработващият лични данни следва да извърши оценка на рисковете, свързани с обработването, и да прилага мерки за ограничаване на тези рискове, например криптиране. Тези мерки следва да гарантират подходящо ниво на сигурност, включително поверителност, като се вземат предвид съвременните възможности, разходите по изпълнението спрямо риска и естеството на личните данни, които трябва да бъдат защитени. При оценката на рисковете за сигурността на данните, следва да се разгледат рисковете, произтичащи от обработването на данни, като случайно или неправомерно унищожаване, загуба, промяна, неправомерно разкриване или неправомерен достъп до предадени, съхранявани или обработвани по друг начин лични данни, което може по-конкретно да доведе до физически, материални или нематериални вреди. Администраторът и обработващият лични данни следва да гарантират, че обработването на лични данни не се извършва от неоправомощени лица.

(61)

Нарушаването на сигурността на личните данни може, ако не бъде овладяно по подходящ и навременен начин, да доведе до физически, материални или нематериални вреди за физическите лица, като загуба на контрол върху личните им данни или ограничаване на правата им, дискриминация, кражба на самоличност или измама чрез използване на фалшива самоличност, финансови загуби, неразрешено премахване на псевдонимизацията, накърняване на репутацията, нарушаване на поверителността на лични данни, защитени от професионална тайна, или всякакви други значителни икономически или социални неблагоприятни последствия за засегнатото физическо лице. Поради това, веднага след като администраторът установи нарушение на сигурността на личните данни, администраторът следва да уведоми надзорния орган за нарушението на сигурността на личните данни, без излишно забавяне и, когато това е осъществимо — не по-късно от 72 часа след като е разбрал за него, освен ако администраторът не е в състояние да докаже в съответствие с принципа на отчетност, че няма вероятност нарушението на сигурността на личните данни да доведе до риск за правата и свободите на физическите лица. Когато такова уведомление не може да бъде подадено в срок от 72 часа, то следва да посочва причините за забавянето и информацията може да се подаде поетапно без излишно допълнително забавяне.

(62)

Физическите лица следва да бъдат уведомявани без излишно забавяне, когато нарушение на сигурността на личните данни вероятно ще доведе до висок риск за правата и свободите на физическите лица, за да могат да вземат необходимите предпазни мерки. В уведомлението следва да се посочва естеството на нарушението на сигурността на личните данни, както и да се дават препоръки на засегнатото физическо лице за това, как да ограничи потенциалните неблагоприятни последици. Субектите на данни следва да бъдат уведомявани веднага щом това е разумно осъществимо, в тясно сътрудничество с надзорния орган и като се спазват насоките, предоставени от него или от други релевантни органи. Така например необходимостта да се ограничи непосредственият риск от вреди би наложила незабавното уведомяване на субектите на данните, докато необходимостта от прилагането на целесъобразни мерки срещу продължаването на нарушения на сигурността на данните или срещу подобни нарушения би оправдало по-дълги срокове за уведомяването. Когато чрез забавяне или ограничаване на информацията за нарушение на сигурността на личните данни, подавана до засегнатото лице, не могат да се избегнат възпрепятстването на официални или съдебни проучвания, разследвания или процедури, засягането на предотвратяването, разкриването, разследването или наказателното преследване на престъпления, или изпълнението на наказания, нито да се защитят обществената или националната сигурност или правата и свободите на засегнатото физическо лице, при изключителни обстоятелства подаването на тази информация би могло да се пропусне.

(63)

Администраторът следва да определи лице, което да го подпомага при наблюдението на вътрешното спазване на разпоредбите, приети съгласно настоящата директива, освен ако дадена държава членка не реши да освободи съдилищата и други независими съдебни органи, когато действат при изпълнение на своите съдебни функции. Това лице би могло да е член на съществуващия персонал на администратора, преминал специално обучение по правото и практиките в областта на защитата на данните с цел да придобие експертни знания по тази материя. Необходимото ниво на експертни знания следва да се определя по-специално в съответствие с извършваното обработване на данни и защитата, която е необходима за личните данни, обработвани от администратора. Неговите задачи биха могли да се изпълняват в рамките на непълно или пълно работно време. Длъжностното лице по защита на данните може да бъде назначено съвместно от няколко администратора, като се взема предвид тяхната организационна структура и мащаб, например при общи ресурси на централните звена. Освен това лицето би могло да бъде назначено на различни длъжности в рамките на структурата на съответните администратори. Това длъжностно лице следва да подпомага администратора и служителите, обработващи лични данни, като ги информира и консултира относно изпълнението на съответните им задължения за защита на данните. Тези длъжностни лица по защита на данните следва да са в състояние да изпълняват своите задължения и задачи по независим начин в съответствие с правото на държавите членки.

(64)

Държавите членки следва да гарантират, че предаването на данни на трета държава или на международна организация се осъществява само ако е необходимо за предотвратяването, разследването, разкриването или наказателното преследване на престъпления, или изпълнението на наказания, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване, а администраторът в третата държава или международната организация е компетентен орган по смисъла на настоящата директива. Предаване на данни следва да се извършва само от компетентните органи, действащи като администратори, освен ако обработващите лични данни не са изрично инструктирани да извършат предаването от името на администраторите. Такова предаване на данни може да се извърши, когато Комисията е решила, че въпросната трета държава или международна организация гарантира адекватно ниво на защита, когато са предоставени подходящи гаранции, или когато се прилагат дерогации за особени случаи. Когато лични данни се предават от Съюза на администратори, обработващи лични данни или други получатели в трети държави или международни организации, нивото на защита на физическите лица, предвидено в Съюза с настоящата директива, не следва да бъде застрашено, включително в случаите на последващо предаване на лични данни от третата държава или международната организация на администратори или обработващи лични данни в същата или друга трета държава или международна организация.

(65)

Когато лични данни се предават от държава членка на трети държави или международни организации, предаването следва да се извършва по принцип само след като държавата членка, от която са получени данните, даде разрешение за това. Интересите на ефикасното сътрудничество в областта на правоприлагането изискват, когато заплахата за обществената сигурност на държава членка или на трета държава, или за основните интереси на държава членка е толкова непосредствена, че да направи своевременното получаване на предварително разрешение невъзможно, компетентният орган да може да предаде съответните лични данни на заинтересованата трета държава или международна организация без такова предварително разрешение. Държавите членки следва да предвидят всички специфични условия, засягащи предаването на лични данни, да бъдат съобщавани на трети държави или международни организации. Последващото предаване на лични данни следва да подлежи на предварително разрешение от компетентния орган, извършил първоначалното предаване. Когато взема решение по искане за разрешаване на последващо предаване на лични данни, компетентният орган, извършил първоначалното предаване, следва надлежно да вземе предвид всички съответни фактори, включително тежестта на престъплението, приложимите специфични условия и целите на първоначалното предаване на данните, естеството и условията на изпълнението на наказанието, както и нивото на защита на личните данни в третата държава или международната организация, към която се извършва последващото предаване на лични данни. Компетентният орган, извършил първоначалното предаване, следва да може да обвърже също така последващото предаване със специфични условия. Тези специфични условия могат да бъдат описани например в кодовете за обработване.

(66)

Комисията следва да може да реши, с действие по отношение на целия Съюз, че определени трети държави или територия, или един, или повече конкретни сектори в трета държава, или международна организация предоставят адекватно ниво на защита на данните, като по този начин гарантира правна сигурност и еднообразно прилагане навсякъде в Съюза по отношение на третите държави или международни организации, за които се смята, че предоставят такова ниво на защита. В тези случаи предаването на лични данни към тези държави следва да може да се извърши без да е необходимо специално разрешение, освен ако друга държава членка, от която са получени данни, не трябва да даде разрешение за предаването.

(67)

В съответствие с основните ценности, на които се основава Съюзът, по-специално защитата на правата на човека, в оценката си на третата държава или на територията или на конкретния сектор в третата държава Комисията следва да вземе предвид как се зачитат в конкретната трета държава принципите на правовата държава, достъпът до правосъдие, както и международните норми и стандарти за правата на човека, както и съответното общо и секторно право, включително законодателството в областта на обществената сигурност, отбраната и националната сигурност, а също и обществения ред и наказателното право. При приемането на решение относно адекватното ниво на защита на личните данни за територия или конкретен сектор в трета държава, следва да се вземат предвид ясни и обективни критерии, като например специфични дейности по обработване и обхвата на приложимите правни стандарти и на действащото законодателство в третата държава. Третата държава следва да предостави гаранции, които осигуряват адекватно ниво на защита, по същество равностойно на гарантираното в рамките на Съюза, по-специално когато данните се обработват в един или повече конкретни сектори. Третата държава следва по-специално да осигури ефективен независим надзор в областта на защитата на данните и да предвиди механизми за сътрудничество с органите на държавите членки за защита на данните, а на субектите на данни следва да бъдат предоставени действителни и приложими права и ефективни средства за административна и съдебна защита.

(68)

Освен международните ангажименти, които третата държава или международната организация е поела, Комисията също така следва да вземе предвид задълженията, произтичащи от участието на третата държава или международната организация в многостранни или регионални системи, по-специално по отношение на защитата на личните данни, както и изпълнението на тези задължения. По-специално следва да се вземе предвид присъединяването на третата държава към Конвенцията на Съвета на Европа от 28 януари 1981 г. за защита на лицата при автоматизираното обработване на лични данни и допълнителния протокол към нея. Комисията следва да провежда консултации с Европейския комитет по защита на данните, създаден с Регламент (ЕС) 2016/… (**) („Комитетът“) при оценяването на нивото на защита в трети държави или международни организации. Комисията следва също да взема предвид имащи отношение решения на Комисията относно адекватното ниво на защита на личните данни, приети в съответствие с член 45 от Регламент (ЕС) 2016/… (**).

(69)

Комисията следва да наблюдава как функционират решенията относно нивото на защита на данните в дадена трета държава, територия, или конкретен сектор в трета държава, или международна организация. В своите решения относно адекватното ниво на защита на личните данни Комисията следва да предвиди механизъм за периодичен преглед на тяхното функциониране. Този периодичен преглед следва да се осъществява в консултации с въпросната трета държава или международна организация и следва да отчита всички имащи отношение събития в третата държава или международната организация.

(70)

Комисията следва да може също така да приеме, че дадена трета държава, територия, или конкретен сектор в трета държава, или дадена международна организация вече не предоставя адекватно ниво на защита на данните. В резултат на това предаването на лични данни на тази трета държава или международна организация следва да бъде забранено, докато не бъдат изпълнени изискванията в настоящата директива относно предаването на данни, предмет на подходящи гаранции и дерогации за особени случаи. Следва да се предвидят процедури за провеждането на консултации между Комисията и такива трети държави или международни организации. Комисията следва своевременно да уведоми третата държава или международната организация за основанията и да започне консултации с нея с цел да намери решение на този проблем.

(71)

Предаване на данни, което не се основава на такова решение относно адекватното ниво на защита на личните данни, следва да бъде позволено единствено когато в правно обвързващ инструмент са предоставени подходящи гаранции, които осигуряват защитата на личните данни, или когато администраторът е извършил оценка на всички обстоятелства около предаването на данните и въз основа на тази оценка счита, че по отношение на защитата на личните данни съществуват подходящи гаранции. Такива правно обвързващи инструменти биха могли да бъдат например правно обвързващи двустранни споразумения, които са сключени от държавите членки и се прилагат в техния правов ред и биха могли да бъдат приведени в изпълнение от техните субекти на данни, гарантиращи спазване на изискванията относно защитата на данните и на правата на субектите на данни, включително правото на ефективна административна и съдебна защита. Администраторът следва да може да вземе предвид споразуменията за сътрудничество, сключени между Европол или Евроюст и трети държави, които позволяват обмена на лични данни, когато се осъществява оценка на всички обстоятелства около предаването на данните. Администраторът следва да може да вземе предвид и това, че предаването на лични данни ще подлежи на задълженията за поверителност и принципа на специфичност, като се гарантира, че данните не се обработват за други цели, освен за целите на предаването. Освен това администраторът следва да вземе предвид факта, че личните данни няма да бъдат използвани за искане, постановяване или изпълнение на смъртно наказание или каквато и да е форма на жестоко и нечовешко отношение. Въпреки че тези условия биха могли да се счетат за подходящи гаранции, позволяващи предаването на данни, администраторът следва да може да поиска допълнителни гаранции.

(72)

При липса на решение за адекватност или подходящи гаранции предаването или категорията предавания на данни би могло да се осъществи единствено в особени случаи, ако е необходимо за да се защитят жизненоважните интереси на субекта на данните или друго лице, или да се гарантират легитимните интереси на субекта на данните, когато това е предвидено в законодателството на държавата членка, предаваща данните; за предотвратяването на непосредствена и сериозна заплаха за обществената сигурност на държава членка или на трета държава; в отделен случай за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления, или изпълнението на наказания, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване; или в отделен случай за установяването, упражняването или защитата на правни претенции. Тези дерогации следва да се тълкуват стеснително и да не се позволява често, масово и структурно предаване на лични данни или мащабно предаване на данни, а то следва да бъде ограничено до строго необходимото. Това предаване следва да бъде документирано и да се предостави на надзорния орган при поискване с цел наблюдение на законосъобразността на предаването.

(73)

Компетентните органи на държавите членки прилагат действащите двустранни или многостранни международни споразумения, сключени с трети държави в областта на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество, за обмена на съответната информация, за да им се даде възможност да изпълняват своите задачи, възложени от закона. По принцип това се извършва посредством или поне в сътрудничество с компетентните органи на засегнатите трети държави за целите на настоящата директива, понякога дори ако няма сключено двустранно или многостранно споразумение. При все това в отделни, специфични случаи редовните процедури, според които се изисква да бъде установен контакт с такъв орган в третата държава, могат да бъдат неефективни и неподходящи, по-специално когато предаването не би могло да се осъществи навреме или когато този орган в третата държава не зачита принципите на правовата държава или международните норми и стандарти за правата на човека, така че компетентните органи на държавата членка биха могли да решат да предадат личните данни пряко на получателите, установени в тези трети държави. Такъв може да е случаят, когато спешно се налага лични данни да бъдат предадени с цел спасяване на живота на лице, което е заплашено да стане пострадал от престъпление, или в интерес на предотвратяването на непосредствено предстоящо престъпление, включително тероризъм. Дори такова предаване между компетентните органи и получателите, установени в трети държави, да се извършва само в отделни конкретни случаи, настоящата директива следва да предвиди условия за уреждането на тези случаи. Тези разпоредби не следва да се разглеждат като дерогации от съществуващи двустранни или многостранни международни споразумения в областта на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество. Тези правила следва да се прилагат в допълнение към другите правила от настоящата директива, по-специално свързаните със законосъобразността на обработването, и правилата от глава V.

(74)

Трансграничното движение на лични данни може да увеличи риска физическите лица да не могат да упражнят правата на защита на данните, за да се защитят срещу неправомерна употреба или разкриване на тези данни. В същото време надзорните органи могат да бъдат изправени пред невъзможността да разглеждат жалби или да провеждат разследвания, свързани с дейности, извършвани извън техните граници. Техните усилия за сътрудничество в трансграничен контекст могат да бъдат възпрепятствани също от недостатъчни правомощия за предотвратяване или защита и от различаващи се правни режими. Ето защо е необходимо да се насърчава по-тясното сътрудничество между надзорните органи по защита на данните, за им се помогне да обменят информация със своите международни партньори.

(75)

Създаването в държава членка на надзорни органи, които могат да изпълняват функциите си при пълна независимост, е съществен елемент от защитата на физическите лица по отношение на обработването на личните им данни. Надзорните органи следва да наблюдават прилагането на разпоредбите, приети съгласно настоящата директива, и следва да допринасят за тяхното съгласувано прилагане навсякъде в Съюза с цел защита на физическите лица по отношение на обработването на личните им данни. За тази цел надзорните органи следва да си сътрудничат помежду си и с Комисията.

(76)

Държавите членки могат да възложат на надзорен орган, който вече е създаден съгласно Регламент (ЕС) 2016/… (**), отговорността за изпълнението на задачите, които трябва да бъдат осъществявани от националните надзорни органи, които трябва да бъдат създадени съгласно настоящата директива.

(77)

На държавите членки следва да бъде разрешено да създават повече от един надзорен орган, за да бъде отразена тяхната конституционна, организационна и административна структура. Всеки надзорен орган следва да получи финансовите и човешките ресурси, помещенията и инфраструктурата, необходими за ефективното изпълнение на неговите задачи, включително задачите по линия на взаимопомощта и сътрудничеството с други надзорни органи навсякъде в Съюза. За всеки надзорен орган следва да има отделен, публичен годишен бюджет, който може да е част от общия държавен или национален бюджет.

(78)

Надзорните органи следва да бъдат подлагани на независими механизми за контрол или наблюдение по отношение на финансовите им разходи, стига този финансов контрол да не засяга тяхната независимост.

(79)

Общите условия за члена или членовете на надзорния орган следва да бъдат определени в правото на държава членка и по-специално да предвиждат тези членове да се назначават от парламента или от правителството или от държавния глава на държавата членка въз основа на предложение от правителството или член на правителството, или от парламента или негова камара, или от независим орган, комуто съгласно правото на държава членка е възложено да прави назначенията посредством прозрачна процедура. За да се гарантира независимостта на надзорния орган, членът или членовете следва да действат почтено, да се въздържат от всякакви несъвместими със задълженията им действия и по време на своя мандат да не се ангажират с никакви несъвместими функции, независимо дали срещу възнаграждение или безвъзмездно. За да се гарантира независимостта на надзорния орган, персоналът следва да е обект на подбор от надзорния орган, което може да включва и участие на независим орган, комуто това е възложено съгласно правото на държава членка.

(80)

Макар настоящата директива да се прилага и спрямо дейностите на националните съдилища и други съдебни органи, компетентността на надзорните органи не следва да обхваща обработването на лични данни, когато съдилищата действат при изпълнение на съдебните си функции, за да се гарантира независимостта на съдиите при изпълнението на техните съдебни задължения. Това изключение следва да бъде ограничено до съдебните дейности по съдебни дела и да не се прилага за други дейности, в които съдиите могат да участват съгласно правото на държава членка. Държавите членки следва да могат също така да предвидят, че компетентността на надзорния орган не може да обхваща обработването на лични данни от други независими органи, които са част от съдебната система, когато действат при изпълнение на правомощията им, например прокуратурата. Във всеки случай, спазването на разпоредбите на настоящата директива от съдилищата и другите независими органи, които са част от съдебната система винаги подлежи на независим надзор в съответствие с член 8, параграф 3 от Хартата.

(81)

Всеки надзорен орган следва да разглежда жалбите, подадени от субект на данни, и да извършва разследване по тях или да ги предаде на компетентния надзорен орган. Разследването въз основа на жалби следва да подлежи на съдебен контрол и да се извършва в целесъобразна за конкретния случай степен. Надзорният орган следва да информира субекта на данните за напредъка и резултата от жалбата в разумен срок. Ако случаят изисква допълнително разследване или координиране с друг надзорен орган, на субекта на данните следва да бъде предоставена междинна информация.

(82)

За да се гарантира ефективно, надеждно и съгласувано наблюдение на спазването и привеждането в изпълнение на настоящата директива навсякъде в Съюза в съответствие с ДФЕС съгласно тълкуването на Съда, надзорните органи следва да имат във всяка държава членка еднакви задачи и ефективни правомощия, включително разследващи, корективни и консултативни правомощия, които представляват необходими средства за изпълнение на техните задачи. Техните правомощия обаче не следва да засягат специфични разпоредби относно наказателните производства, включително за разследването и наказателното преследване на престъпления, или независимостта на съдебната система. Без да се засягат правомощията на прокуратурата съгласно правото на държава членка, надзорните органи следва също да имат правомощието да сезират съдебните органи за нарушения на настоящата директива или да участват в съдебни производства. Надзорните органи следва да упражняват правомощията си съгласно съответните процесуални гаранции, определени в правото на Съюза и в правото на държавите членки, безпристрастно, справедливо и в разумен срок. По-специално всяка мярка следва да бъде подходяща, необходима и пропорционална с оглед осигуряването на съответствие с настоящата директива, като се отчитат обстоятелствата при всеки конкретен случай, зачита се правото на всяко лице да бъде изслушано преди да бъде взета каквато и да е индивидуална мярка, която би го засегнала неблагоприятно, и се избягват излишните разходи и прекалените неудобства за засегнатото лице. Разследващите правомощия по отношение на достъпа до помещения следва да се упражняват в съответствие със специфичните изисквания на правото на държава членка, като например изискването за получаване на предварително съдебно разрешение. Приемането на правно обвързващо решение следва да подлежи на съдебен контрол в държавата членка на надзорния орган, приел решението.

(83)

Надзорните органи следва да си сътрудничат при изпълнението на своите задачи и взаимно да се подпомагат, за да се гарантира съгласуваното прилагане и привеждане в изпълнение на разпоредбите, приети съгласно настоящата директива.

(84)

Комитетът следва да допринася за съгласуваното прилагане на настоящата директива навсякъде в Съюза, включително като съветва Комисията и насърчава сътрудничеството на надзорните органи в Съюза.

(85)

Всеки субект на данни следва да има право да подаде жалба до един-единствен надзорен орган, както и право на ефективна съдебна защита в съответствие с член 47 от Хартата, ако субектът на данните счита, че са нарушени правата му, предвидени в разпоредбите, приети съгласно настоящата директива, или ако надзорният орган не предприема действия по подадена жалба, изцяло или частично отхвърля или оставя без разглеждане жалба или не предприема действия, когато такива са необходими, за да се защитят правата на субекта на данните. Разследването въз основа на жалби следва да подлежи на съдебен контрол и да се извършва в целесъобразна за конкретния случай степен. Компетентният надзорен орган следва да информира субекта на данните за напредъка и резултата от жалбата в разумен срок. Ако случаят изисква допълнително разследване или координиране с друг надзорен орган, на субекта на данните следва да бъде предоставена междинна информация. За да се улесни подаването на жалбите, всеки надзорен орган следва да вземе мерки, като например осигуряване на формуляр за подаване на жалби, който може да бъде попълнен също и по електронен път, без да се изключват други средства за комуникация.

(86)

Всяко физическо или юридическо лице следва да има право на ефективна съдебна защита пред компетентния национален съд срещу решение на надзорен орган, което поражда правни последици за това лице. Подобно решение се отнася по-специално за упражняването на правомощията за разследване, даване на разрешение и корективните правомощия на надзорния орган или оставянето без разглеждане или отхвърлянето на жалби. Същевременно това право не обхваща други мерки на надзорните органи, които не са с правно задължителен характер, като становища или консултации, предоставени от надзорния орган. Производствата срещу надзорния орган следва да се завеждат пред съдилищата на държавата членка, в която е установен надзорният орган, и следва да се водят в съответствие с правото на тази държава членка. Тези съдилища следва да разполагат с пълна компетентност, която следва да включва компетентност за разглеждане на всички фактически и правни въпроси, свързани с разглеждания спор.

(87)

Когато субектът на данни смята, че са нарушени правата му по настоящата директива, той следва да има право да възложи на орган, който е учреден съгласно правото на държава членка и чиято цел е да защитава правата и интересите на субектите на данни по отношение на защитата на техните данни, да подаде жалба от негово име до надзорен орган и да упражни правото на съдебна защита. Правото на субектите на данни да бъдат представлявани не следва да засяга процесуалното право на държава членка, съгласно което може да се изисква субектите на данни да бъдат представлявани пред националните съдилища задължително от адвокат, както е предвидено в Директива 77/249/ЕИО на Съвета (10).

(88)

Всички вреди, които дадено лице може да претърпи в резултат на обработване, което нарушава настоящата директива, следва да бъдат обезщетени от администратора или всеки друг орган, компетентен съгласно правото на държава членка. Понятието „вреда“ следва да се тълкува в широк смисъл в контекста на съдебната практика на Съда по начин, който да отразява напълно целите на настоящата директива. Посоченото по-горе не засяга евентуални искове за вреди, произтичащи от нарушаване на други правила на правото на Съюза или на държавата членка. Когато се прави позоваване на обработване, което не е законосъобразно или не е в съответствие с разпоредбите, приети съгласно настоящата директива, то обхваща и обработване, което нарушава актовете за изпълнение, приети съгласно настоящата директива. Субектите на данни следва да получат пълно и действително обезщетение за претърпените от тях вреди.

(89)

На всяко физическо или юридическо лице, което нарушава настоящата директива, следва да се налагат наказания, независимо дали то е субект на частното или публичното право. Държавите членки следва да гарантират, че наказанията са ефективни, пропорционални и възпиращи, и следва да предприемат всички мерки за тяхното изпълнение.

(90)

За да се гарантират еднакви условия за изпълнение на настоящата директива, на Комисията следва да бъдат предоставени изпълнителни правомощия по отношение на адекватното ниво на защита на данните, осигурявано от дадена трета държава, територия или конкретен сектор в трета държава, или международна организация; и за формата и процедурите за взаимопомощ и договореностите за обмена на информация чрез електронни средства между надзорните органи, както и между надзорните органи и Комитета. Тези правомощия следва да бъдат упражнявани в съответствие с Регламент (ЕС) № 182/2011 на Европейския парламент и на Съвета (11).

(91)

Процедурата по разглеждане следва да бъде използвана за приемането на актове за изпълнение относно адекватното ниво на защита, осигурявано от дадена трета държава, територия или конкретен сектор в трета държава, или международна организация и относно формата и процедурите за взаимопомощ и договореностите за обмена на информация чрез електронни средства между надзорните органи, както и между надзорните органи и Комитета, при условие че тези актове са от общ характер.

(92)

Комисията следва да приеме актове за изпълнение с незабавно приложение, когато в надлежно обосновани случаи, свързани с трета държава, територия или конкретен сектор в трета държава, или международна организация, които вече не осигуряват адекватно ниво на защита, наложителни причини за спешност изискват това.

(93)

Доколкото целите на настоящата директива, а именно да се защитят основните права и свободи на физическите лица и по-специално тяхното право на защита на личните данни, както и да се гарантира свободен обмен на лични данни от компетентните органи в Съюза, не могат да бъдат постигнати в достатъчна степен от държавите членки, а поради обхвата или последиците от действието, могат да бъдат по-добре постигнати на равнището на Съюза, Съюзът може да приеме мерки в съответствие с принципа на субсидиарност, уреден в член 5 от ДЕС. В съответствие с принципа на пропорционалност, уреден в същия член, настоящата директива не надхвърля необходимото за постигане на тези цели.

(94)

Специалните разпоредби от актове на Съюза в областта на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество, приети преди датата на приемане на настоящата директива, с които се регламентират обработването на лични данни между държавите членки и достъпът на определени органи на държавите членки до информационни системи, създадени съгласно Договорите, следва да останат незасегнати, като например специалните разпоредби, засягащи защитата на лични данни, прилагани съгласно Решение 2008/615/ПВР на Съвета (12) или член 23 от Конвенцията за взаимопомощ по наказателноправни въпроси между държавите — членки на Европейския съюз (13). Тъй като член 8 от Хартата и член 16 от ДФЕС изискват основното право на защита на личните данни да се гарантира по съгласуван начин на цялата територия на Съюза, Комисията следва да извърши оценка на ситуацията по отношение на връзката между настоящата директива и актовете, приети преди датата на нейното приемане, които регламентират обработването на лични данни между държавите членки или достъпа на определените органи на държавите членки до информационните системи, създадени съгласно Договорите, за да прецени необходимостта от привеждането на тези специални разпоредби в съответствие с настоящата директива. Когато е уместно, Комисията следва да направи предложения с оглед осигуряването на съгласувани правни норми относно обработването на лични данни.

(95)

За да се гарантира цялостна и съгласувана защита на личните данни в Съюза, международните споразумения, сключени от държавите членки преди датата на влизане в сила на настоящата директива и които са в съответствие със съответното право на Съюза, приложимо преди посочената дата, следва да останат в сила докато не бъдат изменени, заменени или отменени.

(96)

На държавите членки следва да се даде срок, не по-дълъг от две години от датата на влизане в сила на настоящата директива, за транспонирането й. Обработването, което вече е в ход към посочената дата, следва да се приведе в съответствие с нея в срок от две години след влизането в сила на настоящата директива. При все това когато това обработване е в съответствие с правото на Съюза, приложимо преди датата на влизане в сила на настоящата директива, изискванията на настоящата директива относно извършването на предварителната консултация с надзорния орган следва да не се прилагат за операциите по обработване, които са в ход преди посочената дата, предвид това, че тези изисквания, поради тяхното естество, би трябвало да са изпълнени преди да започне обработването. Когато държавите членки използват по-дългия срок за изпълнение, който изтича седем години след датата на влизане в сила на настоящата директива, за да изпълнят задълженията във връзка със записите по отношение на системите за автоматизирано обработване, създадени преди посочената дата, администраторът или обработващият лични данни следва да разполага с ефективни методи за доказване на законосъобразността на обработването на данните, за прилагане на самоконтрол и за гарантиране на цялостността и сигурността на данните, като например различни форми на записи.

(97)

Настоящата директива не засяга разпоредбите относно борбата със сексуалното насилие и със сексуалната експлоатация на деца, както и с детската порнография, установени с Директива 2011/93/ЕС на Европейския парламент и на Съвета (14).

(98)

Поради това Рамково решение 2008/977/ПВР следва да бъде отменено.

(99)

В съответствие с член 6а от Протокол № 21 относно позицията на Обединеното кралство и Ирландия по отношение на пространството на свобода, сигурност и правосъдие, приложен към ДЕС и към ДФЕС, Обединеното кралство и Ирландия не са обвързани от заложените в настоящата директива правила относно обработването на лични данни от държавите членки при осъществяване на дейности, попадащи в приложното поле на трета част, дял V, глава 4 или глава 5 от ДФЕС, когато Обединеното кралство и Ирландия не са обвързани от правилата, уреждащи формите на съдебно сътрудничество по наказателноправни въпроси или на полицейско сътрудничество, в рамките на които трябва да бъдат съблюдавани разпоредбите, установени въз основа на член 16 от ДФЕС.

(100)

В съответствие с членове 2 и 2а от Протокол № 22 относно позицията на Дания, приложен към ДЕС и към ДФЕС, Дания не е обвързана от заложените в настоящата директива правила относно обработването на лични данни от държавите членки при осъществяването на дейности, попадащи в приложното поле на трета част, дял V, глава 4 или глава 5 от ДФЕС, нито от тяхното прилагане. Доколкото настоящата директива представлява развитие на достиженията на правото от Шенген, съгласно трета част, дял V от ДФЕС, в срок от шест месеца след приемането на настоящата директива Дания взема решение, в съответствие с член 4 от посочения Протокол, дали да я въведе в националното си право.

(101)

По отношение на Исландия и Норвегия настоящата директива представлява развитие на разпоредбите на достиженията на правото от Шенген по смисъла на Споразумението, сключено от Съвета на Европейския съюз и Република Исландия и Кралство Норвегия за асоциирането на последните към изпълнението, прилагането и развитието на достиженията на правото от Шенген (15).

(102)

По отношение на Швейцария настоящата директива представлява развитие на разпоредбите на достиженията на правото от Шенген по смисъла на Споразумението между Европейския съюз, Европейската общност и Конфедерация Швейцария относно асоциирането на Конфедерация Швейцария към изпълнението, прилагането и развитието на достиженията на правото от Шенген (16).

(103)

По отношение на Лихтенщайн настоящата директива представлява развитие на разпоредбите на достиженията на правото от Шенген по смисъла на Протокола между Европейския съюз, Европейската общност, Конфедерация Швейцария и Княжество Лихтенщайн относно присъединяването на Княжество Лихтенщайн към Споразумението между Европейския съюз, Европейската общност и Конфедерация Швейцария относно асоциирането на Конфедерация Швейцария към изпълнението, прилагането и развитието на достиженията на правото от Шенген (17).

(104)

Настоящата директива зачита основните права и спазва принципите, признати в Хартата и залегнали в ДФЕС, по-специално правото на зачитане на личния и семейния живот, правото на защита на личните данни, правото на ефективни правни средства за защита и на справедлив съдебен процес. Ограниченията, наложени върху тези права, са в съответствие с член 52, параграф 1 от Хартата, тъй като са необходими, за да се отговори на признати от Съюза цели от общ интерес или на необходимостта да се защитят правата и свободите на други хора.

(105)

Съгласно Съвместната политическа декларация от 28 септември 2011 г. на държавите членки и на Комисията относно обяснителните документи държавите членки са поели ангажимент в обосновани случаи да прилагат към съобщението за своите мерки за транспониране един или повече документи, обясняващи връзката между елементите на дадена директива и съответстващите им части от националните мерки за транспониране. По отношение на настоящата директива законодателят смята, че предоставянето на такива документи е обосновано.

(106)

Европейския надзорен орган за защита на данните беше консултиран в съответствие с член 28, параграф 2 от Регламент (ЕО) № 45/2001 и прие становище на 7 март 2012 г. (18).

(107)

Настоящата директива не следва да възпрепятства държавите членки да привеждат в действие упражняването на правата на субектите на данните във връзка с информацията, достъпа до обработването и коригирането или изтриването на лични данни и ограничаването на обработването в хода на наказателно производство, и евентуалното ограничаване на тези права, в националните разпоредби относно наказателното производство,

ПРИЕХА НАСТОЯЩАТА ДИРЕКТИВА:

ГЛАВА I

Общи разпоредби

Член 1

Предмет

1.   С настоящата директива се установяват правилата във връзка със защитата на физическите лица по отношение на обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване.

2.   В съответствие с настоящата директива държавите членки:

а)

защитават основните права и свободи на физическите лица и по-специално правото им на защита на личните данни; и

б)

гарантират, че обменът на лични данни от компетентните органи в Съюза, когато такъв обмен се изисква по силата на правото на Съюза или на държава членка, не се ограничава, нито забранява по причини, свързани със защитата на физическите лица по отношение на обработването на лични данни.

3.   Настоящата директива не възпрепятства държавите членки да предвиждат по-строги предпазни мерки от установените в настоящата директива за защитата на правата и свободите на субекта на данните по отношение на обработването на лични данни от компетентните органи.

Член 2

Обхват

1.   Настоящата директива се прилага за обработването на лични данни от компетентните органи за целите, посочени в член 1, параграф 1.

2.   Настоящата директива се прилага за обработването на лични данни изцяло или частично с автоматични средства, както и за обработването с други средства на лични данни, които са част от регистър с лични данни или са предназначени да съставляват част от такъв регистър.

3.   Настоящата директива не се прилага за обработването на лични данни:

а)

в хода на дейности, които са извън приложното поле на правото на Съюза;

б)

от институциите, органите, службите и агенциите на Съюза.

Член 3

Определения

За целите на настоящата директива:

(1)

„лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата и умствената, икономическата, културната или социалната идентичност на това физическо лице;

(2)

„обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друга форма на осигуряване на достъп до данните, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

(3)

„ограничаване на обработването“ означава маркиране на съхранявани лични данни с цел ограничаване на обработването им в бъдеще;

(4)

„профилиране“ означава всяка форма на автоматизирано обработване на лични данни, изразяващо се в използване на лични данни за оценяване на някои лични аспекти, свързани с дадено физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение ;

(5)

„псевдонимизация“ означава обработването на лични данни по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано ;

(6)

„регистър с лични данни“ означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;

(7)

„компетентен орган“ означава:

а)

всеки публичен орган, който е компетентен за предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване; или

б)

всякакъв друг орган или образувание, който по силата на правото на държава членка разполага с публична власт и публични правомощия за целите предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване;

(8)

„администратор“ означава компетентният орган, който сам или съвместно с други органи определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държавата членка;

(9)

„обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;

(10)

„получател“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на държава членка, не се считат за получатели; обработването на тези данни от тези публични органи отговаря на приложимите правила за защита на данните съгласно целите на обработването;

(11)

„нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;

(12)

„генетични данни“ означава лични данни, свързани с наследени или придобити генетични белези на дадено физическо лице, които дават уникална информация относно физиологията или здравето на това физическо лице и които са получени по-специално чрез анализ на биологична проба от въпросното физическо лице;

(13)

„биометрични данни“ означава лични данни, получени в резултат на специфично техническо обработване, които са свързани с физическите, физиологичните или поведенческите характеристики на дадено физическо лице и които позволяват или потвърждават уникалната идентификация на това физическо лице, като лицеви изображения или дактилоскопични данни;

(14)

„данни за здравословното състояние“ означава лични данни, свързани с физическото или психическото здраве на физическо лице, включително предоставянето на здравни услуги, които дават информация за здравословното му състояние;

(15)

„надзорен орган“ означава независим публичен орган, създаден от държава членка съгласно член 41;

(16)

,,международна организация“ означава организация и нейните подчинени органи, регламентирани от международното публично право, или друг орган, създаден чрез или въз основа на споразумение между две или повече държави.

ГЛАВА II

Принципи

Член 4

Принципи, свързани с обработването на лични данни

1.   Държавите членки гарантират, че личните данни са:

а)

обработвани законосъобразно и добросъвестно;

б)

събирани за конкретни, изрично указани и легитимни цели и не се обработват по начин, който е несъвместим с тези цели;

в)

подходящи, релевантни и не надхвърлят необходимото във връзка с целите, за които данните се обработват;

г)

точни и, при необходимост, поддържани в актуален вид; трябва да се предприемат всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват;

д)

съхранявани във вид, който позволява идентифицирането на субектите на данните за период не по-дълъг от необходимия за целите, за които те се обработват;

е)

обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки.

2.   Обработването от същия или друг администратор за която и да е от целите, посочени в член 1, параграф 1, различна от целта, за която личните данни са събрани, се разрешава, при условие че:

а)

администраторът е оправомощен да обработва такива лични данни за такава цел в съответствие с правото на Съюза или правото на държава членка; и

б)

обработването е необходимо и пропорционално на тази различна цел в съответствие с правото на Съюза или правото на държава членка.

3.   Обработването от същия или друг администратор може да включва архивиране в обществен интерес, използване за научни, статистически или исторически цели съгласно посоченото в член 1, параграф 1, при прилагането на подходящи гаранции за правата и свободите на субектите на данните.

4.   Администраторът носи отговорност за спазването на параграфи 1, 2 и 3 и е в състояние да го докаже.

Член 5

Срокове за съхранение и проверка

Държавите членки предвиждат да бъдат определени подходящи срокове за изтриването на лични данни или за периодична проверка на необходимостта от съхранението на лични данни. Спазването на тези срокове се гарантира чрез процедурни мерки.

Член 6

Разграничение между различните категории субекти на данни

Държавите членки предвиждат, когато е приложимо и доколкото е възможно, администраторът да прави ясно разграничение между личните данни на различни категории субекти на данни, например:

а)

лица, за които има сериозни основания да се счита, че са извършили или ще извършат престъпление;

б)

лица, осъдени за престъпление;

в)

пострадали от престъпление или лица, по отношение на които определени факти дават основание да се счита, че може да са пострадали от престъпление; и

г)

други лица по отношение на престъпление, например лица, които биха могли да бъдат призовани да свидетелстват при разследване на престъпления или при последващи наказателни производства, лица, които могат да предоставят информация за престъпления или свързани лица, или съучастници на някое от лицата, посочени в букви а) и б).

Член 7

Разграничение между лични данни и проверка на качеството на личните данни

1.   Държавите членки предвиждат доколкото е възможно да се прави разграничение между лични данни, основани на факти, и лични данни, основани на лични оценки.

2.   Държавите членки предвиждат компетентните органи да предприемат всички разумни стъпки, за да гарантират, че лични данни, които са неточни, непълни или вече не са актуални, не се предават или не се предоставят. За тази цел всеки компетентен орган, доколкото това е практически възможно, проверява качеството на личните данни преди тяхното предаване или предоставяне. Доколкото е възможно, при всяко предаване на лични данни се добавя необходимата информация, позволяваща на получаващия компетентен орган да оцени степента на точност, пълнота и надеждност на личните данни и до каква степен са актуални.

3.   Ако се окаже, че са предадени неверни лични данни или че личните данни са предадени незаконосъобразно, получателят се уведомява незабавно. В такъв случай личните данни се коригират или заличават или обработването им се ограничава в съответствие с член 16.

Член 8

Законосъобразност на обработването

1.   Държавите членки предвиждат обработването да бъде законосъобразно само ако и доколкото то е необходимо за изпълнението на задача, осъществявана от компетентен орган за целите, определени в член 1, параграф 1, и е въз основа на правото на Съюза или правото на държава членка.

2.   В правото на държавата членка, регламентиращо обработването в обхвата на настоящата директива, посочва най-малко общите цели на обработването, личните данни, които се обработват, и конкретните цели на обработването.

Член 9

Специфични условия за обработване

1.   Личните данни, събирани от компетентните органи за целите, посочени в член 1, параграф 1, не се обработват за други цели, освен посочените в член 1, параграф 1, освен когато това обработване е разрешено от правото на Съюза или от правото на държава членка. Когато личните данни се обработват за такива други цели се прилага Регламент (ЕС) 2016/… (**) освен ако обработването се извършва в хода на дейност, която е извън обхвата на правото на Съюза.

2.   Когато съгласно правото на държава членка компетентните органи са натоварени с изпълнението на задачи, различни от тези за изпълнението на целите, посочени в член 1, параграф 1, за обработването за такива цели се прилага Регламент (ЕС) 2016/… (**), включително за целите на архивирането в обществен интерес,за научни или исторически изследвания или за статистически цели, освен ако обработването се извършва в хода на дейност, която е извън обхвата на правото на Съюза.

3.   Държавите членки предвиждат, че когато правото на Съюза или на държава членка, приложимо за предаващия компетентен орган, предвижда специфични условия за обработването, предаващият компетентен орган уведомява получателя на тези лични данни, за тези условия и за изискването за съобразяването с тях.

4.   Държавите членки предвиждат предаващият компетентен орган да не прилага условията по параграф 3 към получатели в други държави членки или към агенции, служби и органи, създадени съгласно дял V, глави 4 и 5 от ДФЕС, ако са различни от тези, които се прилагат при подобно предаване на данни в рамките на държавата членка на предаващия компетентен орган.

Член 10

Обработване на специални категории лични данни

Обработването на лични данни, разкриващо расов или етнически произход, политически възгледи, религиозни или философски убеждения, членство в професионални съюзи, обработването на генетични данни, биометрични данни с цел уникално идентифициране на физическото лице, данни, свързани със здравето или сексуалния живот и сексуалната ориентация на лицето, е разрешено само когато това е абсолютно необходимо и при подходящи гаранции за правата и свободите на субекта на данни и само ако:

а)

е разрешено съгласно правото на Съюза или на държава членка;

б)

трябва да бъдат защитени жизненоважни интереси на субекта на данните или на друго физическо лице; или

в)

обработването касае данни, които очевидно са направени обществено достояние от субекта на данните.

Член 11

Автоматизирано вземане на индивидуални решения

1.   Държавите членки предвиждат вземането на решение, основано единствено на автоматизирано обработване, включително профилиране, което поражда неблагоприятни правни последици за субекта на данните или съществено го засяга, да бъде забранено освен ако това не е разрешено от правото на Съюза или на държава членка, което се прилага спрямо администратора и което осигурява подходящи гаранции за правата и свободите на субекта на данните, най-малко правото да получи човешка намеса от страна на администратора.

2.   Решенията по параграф 1 от настоящия член не се основават на специалните категории лични данни, посочени в член 10, освен ако не са въведени подходящи мерки за защита на правата и свободите и легитимните интереси на субекта на данните.

3.   В съответствие с правото на Съюза се забранява профилирането, което води до дискриминация на физически лица въз основа на специалните категории лични данни, посочени в член 10.

ГЛАВА III

Права на субекта на данни

Член 12

Комуникация и ред и условия за упражняването на правата на субекта на данни

1.   Държавите членки предвиждат администраторът да предприема разумни мерки за предоставяне на субекта на данни на информация по член 13 и за осигуряване на комуникацията, посочена в членове 11, 14—18 и 31 относно обработването в сбита, разбираема и леснодостъпна форма, като използва ясен и прост език. Информацията се предоставя по всякакъв подходящ начин, включително по електронен път. Като общо правило администраторът предоставя информацията в същата форма като тази на искането.

2.   Държавите членки предвиждат администраторът да улеснява упражняването на правата на субекта на данни, посочени в членове 11 и 14—18.

3.   Държавите членки предвиждат администраторът да информира писмено и без излишно забавяне субекта на данните за действията, предприети във връзка с неговото искане.

4.   Държавите членки предвиждат информацията, предоставена по член 13, и комуникацията или действията, предприети съгласно членове 11, 14—18 и 31, да се предоставят безплатно. Когато исканията от даден субект на данни са очевидно неоснователни или прекомерни, по-специално поради своята повторяемост, администраторът може:

а)

да начисли такса в разумен размер, като взема предвид административните разходи за предоставяне на информация или на комуникация или за предприемане на действия по искането; или

б)

да откаже да предприеме действия по искането.

Администраторът носи тежестта на доказване на очевидно неоснователния или прекомерен характер на искането.

5.   Когато администраторът има основателни опасения във връзка със самоличността на физическото лице, което подава искане по членове 14 или 16, той може да поиска да се предостави допълнителна информация, необходима за потвърждаване на самоличността на субекта на данните.

Член 13

Информация, до която се осигурява достъп или която се предоставя на субекта на данните

1.   Държавите членки предвиждат администраторът да предоставя на субектите на данни най-малко следната информация:

а)

данни за идентифициране и координатите за връзка на администратора;

б)

координатите за връзка на длъжностното лице по защита на данните, когато е приложимо;

в)

целите на обработването, за които са предназначени личните данни;

г)

правото да бъде подадена жалба до надзорен орган и да бъдат предоставени неговите координати за връзка;

д)

съществуването на право да се изиска от администратора достъп до, ,коригиране или изтриване на лични данни и ограничаване на обработването на лични данни, свързано със субекта на данните.

2.   Освен информацията, посочена в параграф 1, държавите членки предвиждат със закон администраторът да предоставя на субекта на данните, в конкретни случаи и с цел да му се даде възможност да упражни правата си, следната допълнителна информация:

а)

правното основание на обработването;

б)

срока, за който ще се съхраняват личните данни, а ако това е невъзможно, — критериите, използвани за определяне на този срок;

в)

когато е приложимо, категориите получатели на личните данни, включително в трети държави или международни организации;

г)

когато е необходимо, допълнителна информация, по-специално когато личните данни са събрани без знанието на субекта на данните.

3.   Държавите членки могат да приемат законодателни мерки, които забавят, ограничават или водят до пропускане на предоставянето на информация на субекта на данните съгласно параграф 2, до такава степен и за толкова време, за колкото тази мярка е необходима и пропорционална в едно демократично общество, като надлежно се вземат под внимание основните права и легитимните интереси на засегнатото физическо лице, за да:

а)

се избегне възпрепятстването на официални или съдебни проучвания, разследвания или процедури;

б)

не се допусне неблагоприятно влияние върху предотвратяването, разкриването, разследването или наказателното преследване на престъпления или изпълнението на наказания;

в)

се защити обществената сигурност;

г)

се защити националната сигурност;

д)

се защитят правата и свободите на други лица.

4.   Държавите членки могат да приемат законодателни мерки, за да определят категориите обработване, които могат изцяло или частично да попадат в обхвата на параграф 3, букви а)-д).

Член 14

Право на достъп на субекта на данни

При спазване на член 15 държавите членки предвиждат право за субекта на данните да получи от администратора потвърждение дали се обработват лични данни, които го засягат, и ако случаят е такъв, да получи достъп до личните данни и следната информация:

а)

целите и правното основание за обработването;

б)

обработваните категории лични данни;

в)

получателите или категориите получатели, пред които са разкрити личните данни, по-специално получателите в трети държави или международни организации;

г)

когато е възможно, предвидения срок, за който ще се съхраняват личните данни, или ако това не е възможно, критериите за определяне на този срок;

д)

съществуването на право да се изиска от администратора коригиране или изтриване на лични данни, или ограничаване на обработването на лични данни, свързано със субекта на данните;

е)

правото да се подаде жалба до надзорния орган и неговите координати за връзка;

ж)

съобщаване на личните данни, които са в процес на обработване, и на всякаква налична информация за техния произход.

Член 15

Ограничения на правото на достъп

1.   Държавите членки могат да приемат законодателни мерки, които ограничават изцяло или частично правото на достъп на субекта на данните, до степен и срок, при които такова частично или пълно ограничаване представлява необходима и пропорционална мярка в едно демократично общество, като надлежно се вземат под внимание основните права и легитимните интереси на засегнатото физическо лице, за да:

а)

се избегне възпрепятстването на официални или съдебни проучвания, разследвания или процедури;

б)

не се допусне неблагоприятно влияние върху предотвратяването, разкриването, разследването или наказателното преследване на престъпления или изпълнението на наказания;

в)

се защити обществената сигурност;

г)

се защити националната сигурност;

д)

се защитят правата и свободите на други лица.

2.   Държавите членки могат да приемат законодателни мерки, за да определят категориите обработване, които могат изцяло или частично да попадат в обхвата на параграф 1, букви а)-д).

3.   В случаите, посочени в параграфи 1 и 2, държавите членки предвиждат администраторът да информира без излишно забавяне в писмена форма субекта на данните за всеки отказ на достъп или ограничаване на достъпа и за причините за отказа или ограничаването. Тази информация може да бъде пропусната, когато предоставянето на такава информация би възпрепятствало постигането на някоя от целите, посочени в параграф 1. Държавите членки предвиждат администраторът да информира субекта на данните за възможността за подаване на жалба до надзорен орган или за търсене на защита по съдебен ред.

4.   Държавите членки предвиждат администраторът да документира фактическите или правните основания, на които се основава решението. Тази информация се предоставя на надзорните органи.

Член 16

Право на коригиране или изтриване на лични данни и ограничаване на обработването

1.   Държавите членки предвиждат правото на субекта на данните да поиска администраторът да коригира без излишно забавяне неточните лични данни, свързани с него. Като се има предвид целта на обработването, държавите членки предвиждат субектът на данните да има право да поиска непълните лични данни да бъдат попълнени, включително чрез предоставяне на допълнителна декларация.

2.   Държавите членки изискват администраторът да изтрие личните данни без излишно забавяне и предвиждат правото на субекта на данните да поиска администраторът да изтрие без излишно забавяне личните данни, които го засягат, когато обработването нарушава разпоредбите, приети съгласно член 4, член 8 или член 10, или когато личните данни трябва да бъдат изтрити с цел спазване на правно задължение, което се прилага спрямо администратора.

3.   Вместо да извърши изтриване администраторът ограничава обработването, когато:

а)

точността на личните данни се оспорва от субекта на данните и тяхната точност или неточност не може да бъде проверена; или

б)

личните данни трябва да бъдат запазени за доказателствени цели.

Когато обработването е ограничено съгласно първа алинея, буква а), администраторът информира субекта на данните, преди да премахне ограничаването на обработването.

4.   Държавите членки предвиждат администраторът да информира в писмена форма субекта на данните за всеки отказ за коригиране или изтриване на лични данни, или ограничаване на обработването и за причините за отказа. Държавите членки могат да приемат законодателни мерки, които ограничават изцяло или частично задължението за предоставяне на такава информация, в степен, при която такова ограничаване представлява необходима и пропорционална мярка в едно демократично общество, като надлежно се вземат под внимание основните права и легитимните интереси на засегнатото физическо лице, за да:

а)

се избегне възпрепятстването на официални или съдебни проучвания, разследвания или процедури;

б)

не се допусне неблагоприятно влияние върху предотвратяването, разкриването, разследването или наказателното преследване на престъпления или изпълнението на наказания;

в)

се защити обществената сигурност;

г)

се защити националната сигурност;

д)

се защитят правата и свободите на други лица.

Държавите членки предвиждат администраторът да информира субекта на данните за възможността за подаване на жалба до надзорен орган и за търсене на защита по съдебен ред.

5.   Държавите членки предвиждат администраторът да съобщава коригирането на неточни лични данни на компетентния орган, от който произхождат неточните лични данни.

6.   Държавите членки предвиждат, че когато лични данни са коригирани или изтрити, или обработването им е ограничено съгласно параграфи 1 и 3, администраторът уведомява получателите и получателите коригират или изтриват личните данни, или ограничават обработването на личните данни, за което носят отговорност.

Член 17

Упражняване на правата от субекта на данните и проверка от надзорния орган

1.   В случаите, посочени в член 13, параграф 3, член 15, параграф 3 и член 16, параграф 4, държавите членки приемат мерки, които предвиждат правата на субекта на данните да могат да бъдат упражнявани и чрез компетентния надзорен орган.

2.   Държавите членки предвиждат администраторът да информира субекта на данните за възможността да упражни правата си чрез надзорния орган съгласно параграф 1.

3.   Когато е упражнено правото по параграф 1, надзорният орган информира субекта на данните най-малко за това, че е извършил всички необходими проверки или нужния преглед. Надзорният орган също така информира субекта на данните за неговото право да потърси защита по съдебен ред.

Член 18

Права на субектите на данни при наказателно разследване и наказателно производство

Държавите членки могат да предвидят упражняването на правата, посочени в членове 13, 14 и 16, да се извършва в съответствие с правото на държава членка, когато личните данни се съдържат в съдебно решение, регистър или досие, обработвани в хода на наказателно разследване и наказателно производство.

ГЛАВА IV

Администратор и обработващ лични данни

Раздел 1

Общи задължения

Член 19

Задължения на администратора

1.   Държавите членки предвиждат, като отчитат естеството, обхватът, контекстът и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът да прилага подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с настоящата директива. Тези мерки се преразглеждат и актуализират при необходимост.

2.   Когато това е пропорционално на дейностите по обработване, посочените в параграф 1 мерки включват прилагане от страна на администратора на подходящи политики за защита на данните.

Член 20

Защита на данните на етапа на проектирането и по подразбиране

1.   Държавите членки предвиждат, като отчитат достиженията на техническия прогрес, разходите за прилагане и естеството, обхвата, контекста и целите на обработването, както и породените от обработването рискове с различна вероятност и тежест за правата и свободите на физическите лица, администраторът да прилага както към момента на определянето на средствата за обработването на данни, така и към момента на самото обработване, подходящи технически и организационни мерки, например псевдонимизация, разработени с оглед на ефективното прилагане на принципите за защита на данните, например свеждане на данните до минимум, и интегриране на необходимите гаранции в процеса на обработване, за да се спазят изискванията на настоящата директива и да се осигури защита на правата на субектите на данни.

2.   Държавите членки предвиждат администраторът да прилага подходящи технически и организационни мерки, за да се гарантира, че по подразбиране се обработват само лични данни, които са необходими за всяка конкретна цел на обработването. Това задължение се отнася до обема на събраните лични данни, степента на обработването, срока на съхраняването им и тяхната достъпност. По-специално, подобни мерки гарантират, че по подразбиране без намеса от страна на физическото лице личните данни не са достъпни за неограничен брой физически лица.

Член 21

Съвместни администратори

1.   Държавите членки предвиждат, когато двама или повече администратори съвместно определят целите и средствата на обработването, те да са съвместни администратори. Те определят по прозрачен начин съответните си отговорности за съобразяване с настоящата директива, по-специално що се отнася до упражняването на правата на субекта на данни, и съответните си задължения за предоставяне на информацията, посочена в член 13, посредством договореност помежду си, освен ако и доколкото съответните отговорности на администраторите не са определени от правото на Съюза или на държава членка, което се прилага спрямо администраторите. В договореността се определя точката за контакт за субектите на данни. Държавите членки могат да посочат кой от съвместните администратори може да действа като единна точка за контакт, така че субектите на данните да упражняват правата си.

2.   Независимо от условията на договореността, посочена в параграф 1, държавите членки могат да предвидят субектът на данни да упражнява своите права съгласно разпоредбите, приети съгласно настоящата директива, по отношение на всеки и срещу всеки от администраторите.

Член 22

Обработващ личните данни

1.   Държавите членки предвиждат, когато операция по обработване се извършва от името на администратора, той да възлага само на обработващи лични данни, които предоставят достатъчни гаранции, че ще прилагат подходящи технически и организационни мерки, по такъв начин че обработването да отговаря на изискванията на настоящата директива и да се гарантира защитата на правата на субекта на данни.

2.   Държавите членки предвиждат обработващият лични данни да не добавя друг обработващ лични данни без предварителното конкретно или общо писмено разрешение на администратора. В случай на общо писмено разрешение, обработващият лични данни информира администратора за всякакви планирани промени за добавяне или замяна на други обработващи лични данни, като по този начин дава възможност на администратора да възрази срещу тези промени.

3.   Държавите членки предвиждат обработването от страна на обработващия лични данни да се урежда с договор или друг правен акт съгласно правото на Съюза или на държава членка, който обвързва обработващия лични данни с администратора и регламентира предмета и срока на обработването, естеството и целта на обработването, вида лични данни и категориите субекти на данни, задълженията и правата на администратора. Посоченият договор или друг правен акт предвижда по-специално, че обработващият лични данни:

а)

действа единствено по указания на администратора;

б)

гарантира, че лицата, оправомощени да обработват личните данни, са поели ангажимент за поверителност или са задължени по закон да спазват поверителност;

в)

подпомага администратора с всички подходящи средства, за да се гарантира спазването на разпоредбите относно правата на субекта на данни;

г)

по избор на администратора заличава или връща на администратора всички лични данни след приключване на предоставянето на услуги по обработване на данни и заличава съществуващите копия, освен ако правото на Съюза или на държава членка не изисква съхранение на личните данни;

д)

предоставя на администратора цялата информация, необходима за доказване на спазването на настоящия член;

е)

спазва условията по параграфи 2 и 3 за включване на друг обработващ лични данни.

4.   Договорът или другият правен акт, посочен в параграф 3, се изготвя в писмена форма, включително в електронна форма.

5.   Ако обработващ лични данни определи в нарушение на настоящата директива целите и средствата на обработването, обработващият личните данни се счита за администратор по отношение на това обработване.

Член 23

Обработване под ръководството на администратора или обработващия лични данни

Държавите членки предвиждат обработващият лични данни и всяко лице, действащо под ръководството на администратора или на обработващия лични данни, което има достъп до личните данни, да не обработва тези данни без указание на администратора, освен ако обработването не се изисква от правото на Съюза или на държава членка.

Член 24

Регистри на дейности по обработване на лични данни

1.   Държавите членки предвиждат администраторите да поддържат регистър с всички категории дейности по обработване под тяхна отговорност. Този регистър съдържа следната информация:

а)

наименованието и координатите за връзка на администратора, и когато е приложимо, на съвместните администратори и на длъжностното лице по защитата на данните;

б)

целите на обработването;

в)

категориите получатели, пред които са или ще бъдат разкрити личните данни, включително получателите в трети държави или международни организации;

г)

описание на категориите субекти на данни и на категориите лични данни;

д)

когато е приложимо, използването на профилиране;

е)

когато е приложимо, категориите предаване на лични данни на трета държава или международна организация;

ж)

посочване на правното основание за операцията по обработване, включително предаването на данни, за която са предназначени личните данни;

з)

когато е възможно, предвидените срокове за изтриване на различните категории лични данни;

и)

когато е възможно, общо описание на техническите и организационните мерки за сигурност, посочени в член 29, параграф 1.

2.   Държавите членки предвиждат всеки обработващ лични данни да поддържа регистър с всички категории дейности по обработване, извършени от името на администратор, в който се съдържат:

а)

наименованието и координатите за връзка на обработващия или обработващите лични данни, на всеки администратор, от чието име действа обработващият лични данни и на длъжностното лице за защита на данните, когато е приложимо;

б)

категориите обработване, извършени от името на всеки администратор;

в)

когато е приложимо, предаването на лични данни на трета държава или на международна организация, когато има изрични указания от администратора за това, включително идентификацията на тази трета държава или международна организация;

г)

когато е възможно, общо описание на техническите и организационните мерки за сигурност, посочени в член 29, параграф 1.

3.   Регистрите, посочени в параграфи 1 и 2, се поддържат в писмена форма, включително в електронен формат.

При поискване администраторът и обработващият лични данни предоставят регистрите на надзорния орган.

Член 25

Записи за проследимост на действията в автоматизираните системи

1.   Държавите членки предвиждат в системите за автоматизирано обработване да се водят записи най-малко за следните операции по обработване: събиране, промяна, справки, разкриване, включително предаване, комбиниране и изтриване. Записите за извършена справка или разкриване дават възможност за установяване на обосновката, датата и часа на такива операции и доколкото е възможно — идентификацията на лицето, което е направило справка или е разкрило лични данни, както и данни, идентифициращи получателите на тези лични данни.

2.   Записите се използват единствено за проверяване на законосъобразността на обработването, за самоконтрол, за гарантиране на цялостността и сигурността на личните данни и при наказателни производства.

3.   При поискване администраторът и обработващият лични данни предоставят тези записи на надзорния орган.

Член 26

Сътрудничество с надзорния орган

Държавите членки предвиждат администраторът и обработващият лични данни да сътрудничат при поискване с надзорния орган при изпълнението на задачите му.

Член 27

Оценка на въздействието върху защитата на данните

1.   Когато съществува вероятност определен вид обработване, по-специално при което се използват нови технологии, и предвид естеството, обхвата, контекста и целите на обработването, да породи висок риск за правата и свободите на физическите лица, държавите членки предвиждат, преди да бъде извършено обработването, администраторът да извършва оценка на въздействието на предвидените операции по обработването върху защитата на личните данни.

2.   Оценката, посочена в параграф 1, съдържа най-малко общо описание на предвидените операции по обработване, оценка на рисковете за правата и свободите на субектите на данните, мерките, предвидени за справяне с тези рискове, гаранции, мерки за сигурност и механизми за гарантиране на защитата на личните данни и за доказване на съответствие с настоящата директива, като се вземат предвид правата и легитимните интереси на субектите на данните и другите засегнати лица.

Член 28

Предварителна консултация с надзорния орган

1.   Държавите членки предвиждат администраторът или обработващият лични данни да се консултира с надзорния орган преди обработването на лични данни, което ще бъдат част от нов регистър с лични данни, който предстои да бъде създаден, когато:

а)

оценката на въздействието върху защитата на данните съгласно член 27 покаже, че обработването ще породи висок риск, ако администраторът не предприеме мерки за ограничаване на риска; или

б)

видът обработване, по-специално когато се използват нови технологии, механизми или процедури, включва висока степен на риск за правата и свободите на субектите на данните.

2.   Държавите членки предвиждат провеждането на консултации с надзорния орган при изготвянето на предложение за законодателна мярка, което да бъде прието от националните парламенти, или на регулаторна мярка, основана на такава законодателна мярка, която се отнася до обработването.

3.   Държавите членки предвиждат надзорният орган да може да изготви списък на операциите по обработване, за които е необходима предварителна консултация съгласно параграф 1.

4.   Държавите членки предвиждат администраторът да предоставя на надзорния орган оценката на въздействието върху защитата на данните, предвидена в член 27, и при поискване — всякаква друга информация, която позволява на надзорния орган да извърши оценка на съответствието на обработването, и по-специално на рисковете за защитата на личните данни на субекта на данните и на съответните гаранции.

5.   Държавите членки предвиждат, когато надзорният орган е на мнение, че планираното обработване, посочено в параграф 1 от настоящия член, би нарушило разпоредбите, приети съгласно настоящата директива, по-специално когато администраторът не е идентифицирал или ограничил риска в достатъчна степен, надзорният орган да предостави — в рамките на период до шест седмици след получаване на искането за консултация — писмено становище на администратора и — когато това е приложимо — на обработващия лични данни, като може да използва всяко от правомощията си, посочени в член 47. Този срок може да бъде удължен с още един месец, в зависимост от сложността на планираното обработване. В срок от един месец от получаване на искането за консултация надзорният орган уведомява администратора и — когато е приложимо — обработващия лични данни за всяко такова удължаване, включително и за причините за забавянето.

Раздел 2

Сигурност на личните данни

Член 29

Сигурност на обработването

1.   Държавите членки предвиждат, като отчитат достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекстът и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът и обработващият лични данни да прилагат подходящи технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност, по-специално по отношение на обработването на специални категории лични данни, посочени в член 10.

2.   По отношение на автоматизираното обработване всяка държава членка предвижда, след оценка на рисковете администраторът или обработващият лични данни да прилага мерки, имащи за цел:

а)

да се откаже достъп на неоправомощени лица до оборудването, използвано за обработване(контрол върху достъпа до оборудване);

б)

да се предотврати четенето, копирането, изменянето или отстраняването на носители на данни от неоправомощени лица (контрол върху носителите на данни);

в)

да се предотврати въвеждането на лични данни от неоправомощени лица, както и извършването на проверки, изменянето или заличаването на съхранявани лични данни от неоправомощени лица (контрол върху съхраняването);

г)

да се предотврати използването на автоматизирани системи за обработване от неоправомощени лица чрез използване на оборудване за предаване на данни (контрол върху потребителите);

д)

да се гарантира, че лицата, на които е разрешено да използват автоматизирана система за обработване, имат достъп само до личните данни, които са обхванати от тяхното разрешение за достъп (контрол върху достъпа до данни);

е)

да се гарантира възможността за проверка и установяване на кои органи са били или могат да бъдат предадени или имат достъп до лични данни чрез оборудване за предаване на данни (контрол върху комуникацията);

ж)

да се гарантира възможността за последваща проверка и установяване на това какви лични данни са били въведени в автоматизираните системи за обработване, както и кога и от кого са били въведени тези лични данни (контрол върху въвеждането на данни);

з)

да се предотврати четенето, копирането, изменянето или заличаването на лични данни от неоправомощени лица при предаването на лични данни или при пренасянето на носители на данни (контрол върху пренасянето);

и)

да се гарантира възможността за възстановяване на инсталираните системи в случай на отказ на функциите на системите (възстановяване);

й)

да се гарантира изпълнението на функциите на системата, докладването за появили се във функциите дефекти (надеждност), както и недопускане на увреждане на съхраняваните лични данни вследствие на неправилно функциониране на системата (цялостност).

Член 30

Уведомяване на надзорния орган за нарушение на сигурността на личните данни

1.   Държавите членки предвиждат, в случай на нарушение на сигурността на личните данни администраторът, без излишно забавяне и когато това е осъществимо — не по-късно от 72 часа след като е разбрал за него, да уведомява надзорния орган за нарушението на сигурността на личните данни, освен ако няма вероятност нарушението на сигурността на личните данни да доведе до риск за правата и свободите на физическите лица. Когато уведомлението до надзорния орган не е подадено в срок от 72 часа, то се придружава от причините за забавянето.

2.   Обработващият лични данни уведомява администратора без излишно забавяне, след като е установил нарушение на сигурността на лични данни.

3.   В уведомлението, посочено в параграф 1, се съдържа най-малко следното:

а)

описание на естеството на нарушението на сигурността на личните данни, включително, когато това е възможно, категориите и приблизителния брой на засегнатите субекти на данни и категориите и приблизителния брой на засегнатите записи на лични данни;

б)

посочване на името и координатите за връзка на длъжностното лице по защита на данните или на друга точка за контакт, от която може да се получи повече информация;

в)

описание на евентуалните последици от нарушението на сигурността на личните данни;

г)

описание на предприетите или предложените от администратора мерки за справяне с нарушението на сигурността на личните данни, включително по целесъобразност мерки за намаляване на евентуалните неблагоприятни последици.

4.   Когато и доколкото не е възможно информацията да се подаде едновременно, информацията може да се подаде поетапно без по-нататъшно ненужно забавяне.

5.   Държавите членки предвиждат администраторът да документира всяко нарушение на сигурността на личните данни, посочено в параграф 1, като включва фактите, свързани с нарушението на сигурността на личните данни, последиците от него и предприетите действия за справяне с него. Тази документация дава възможност на надзорния орган да провери дали е спазен настоящият член.

6.   Държавите членки предвиждат, когато нарушението на сигурността на личните данни засяга лични данни, които са били изпратени от или на администратора на друга държава членка, посочената в параграф 3 информация да се съобщава на администратора на въпросната държава членка без излишно забавяне.

Член 31

Съобщаване на субекта на данните за нарушение на сигурността на личните данни

1.   Държавите членки предвиждат, когато има вероятност нарушението на сигурността на личните данни да доведе до висок риск за правата и свободите на физическите лица, администраторът без излишно забавяне да съобщава на субекта на данните за нарушението на сигурността на личните данни.

2.   В съобщението до субекта на данните, посочено в параграф 1 от настоящия член, на ясен и прост език се описва естеството на нарушението на сигурността на личните данни и се съдържат най-малко информацията и препоръките, предвидени в член 30, параграф 3, букви б), в) и г).

3.   Посоченото в параграф 1 съобщение до субекта на данните не се изисква, ако е изпълнено някое от следните условия:

а)

администраторът е предприел подходящи технически и организационни мерки за защита и тези мерки са били приложени по отношение на личните данни, засегнати от нарушението на сигурността на личните данни, по-специално мерките, които правят личните данни неразбираеми за всяко лице, което няма разрешение за достъп до тях, като например криптиране;

б)

администраторът е взел впоследствие мерки, които гарантират, че вече няма вероятност да се материализира високият риск за правата и свободите на субектите на данни, посочен в параграф 1;

в)

то би довело до непропорционални усилия. В такъв случай се прави публично съобщение или се взема друга подобна мярка, така че субектите на данни да бъдат в еднаква степен ефективно информирани.

4.   Ако администраторът все още не е съобщил на субекта на данните за нарушението на сигурността на личните данни, надзорният орган може, след като отчете каква е вероятността нарушението на сигурността на личните данни да породи висок риск, да изиска от администратора да направи съобщението или да реши, че е изпълнено някое от условията по параграф 3.

5.   Съобщението до субекта на данните, посочено в параграф 1 от настоящия член, може да бъде забавено, ограничено или пропуснато, при условията и на основанията, посочени в член 13, параграф 3.

Раздел 3

Длъжностно лице по защита на данните

Член 32

Определяне на длъжностното лице по защита на данните

1.   Държавите членки предвиждат администраторът да определя длъжностно лице по защита на данните. Държавите членки могат да освободят съдилищата и други независими съдебни органи от това задължение, когато действат в изпълнение на съдебните си функции.

2.   Длъжностното лице по защита на данните се определя въз основа на неговите професионални качества и по-специално въз основа на експертните му познания в областта на законодателството и практиките в областта на защитата на данните и способността му да изпълнява задачите, посочени в член 34.

3.   Едно длъжностно лице по защита на данните може да бъде назначено съвместно за няколко компетентни органа, като се отчитат организационната им структура и мащабът им.

4.   Държавите членки предвиждат администраторът да публикува координатите за връзка на длъжностното лице по защита на данните и да ги съобщава на надзорния орган.

Член 33

Длъжност на длъжностното лице по защита на данните

1.   Държавите членки предвиждат администраторът да гарантира, че длъжностното лице по защита на данните участва по подходящ начин и своевременно по всички въпроси, свързани със защитата на личните данни.

2.   Администраторът подпомага длъжностното лице по защита на данните при изпълнението на посочените в член 34 задачи, като осигурява ресурсите, необходими за изпълнение на тези задачи и достъп до личните данни и операциите по обработването, а също така и при поддържането на неговите експертни знания.

Член 34

Задачи на длъжностното лице по защита на данните

Държавите членки предвиждат администраторът да възлага на длъжностното лице по защита на данните най-малко следните задачи:

а)

да информира и съветва администратора и служителите, които извършват обработването, за техните задължения по силата на настоящата директива и на други разпоредби за защита на данните от правото на Съюза или на държавите членки;

б)

да наблюдава спазването на настоящата директива и на други разпоредби за защита на данните от правото на Съюза или на държавите членки и на политиките на администратора по отношение на защитата на личните данни, включително възлагането на отговорности, повишаването на осведомеността и обучението на персонала, участващ в операциите по обработване, и съответните одити;

в)

при поискване да предоставя съвети по отношение на оценката на въздействието върху защитата на данните и да наблюдава извършването на оценката съгласно член 27;

г)

да си сътрудничи с надзорния орган;

д)

да действа като точка за контакт за надзорния орган по въпроси, свързани с обработването, включително преди консултацията, посочена в член 28, и ако е необходимо да се консултира по всякакви други въпроси.

ГЛАВА V

Предаване на лични данни на трети държавиили международни организации

Член 35

Общи принципи за предаване на лични данни

1.   Държавите членки предвиждат предаването от компетентния орган на лични данни, които са в процес на обработване или са предназначени за обработване след предаването, на трета държава или на международна организация, включително за последващо предаване на друга трета държава или международна организация, да се осъществява при условие че е в съответствие с националните разпоредби, приети съгласно други разпоредби на настоящата директива, само ако са спазени условията, установени в настоящата глава, а именно:

а)

предаването е необходимо за целите, посочени в член 1, параграф 1;

б)

личните данни се предават на администратор в трета държава или на международна организация — орган, компетентен за целите, посочени в член 1, параграф 1;

в)

когато се предават или се предоставят лични данни от друга държава членка, тази държава членка е дала своето предварително разрешение за предаването в съответствие с националното си право;

г)

Комисията е приела решение относно адекватното ниво на защита на личните данни съгласно член 36 или при отсъствието на такова решение са предвидени или съществуват подходящи гаранции съгласно член 37, или при отсъствието на решение относно адекватното ниво на защита на личните данни съгласно член 36 и на подходящи гаранции в съответствие с член 37, се прилагат дерогации за особени случаи съгласно член 38; и

д)

при последващо предаване на лични данни на друга трета държава или международна организация компетентният орган, извършил първоначалното предаване, или друг компетентен орган на същата държава членка разрешава последващото предаване на данни, след като надлежно е взел предвид всички значими фактори, включително тежестта на престъплението, целта на първоначалното предаване на личните данни, нивото на защита на личните данни в третата държава или международната организация, към която се извършва последващото предаване на лични данни.

2.   Държавите членки предвиждат предаването на данни без предварителното разрешение на друга държава членка в съответствие с параграф 1, буква в) да се разрешава само ако предаването на личните данни е необходимо за предотвратяването на непосредствена и сериозна заплаха за обществената сигурност на държава членка или на трета държава, или за основните интереси на държава членка и предварителното разрешение не може да бъде получено своевременно. Органът, отговорен за даването на предварително разрешение, се уведомява незабавно.

3.   Всички разпоредби на настоящата глава се прилагат, за да се гарантира, че нивото на защита на физическите лица, гарантирано от настоящата директива, не се излага на риск.

Член 36

Предаване на данни въз основа на решение относно адекватното ниво на защита на личните данни

1.   Държавите членки предвиждат да може да има предаване на лични данни на трета държава или международна организация, ако Комисията реши, че въпросната трета държава, територия, или един или повече конкретни сектори в тази трета държава, или въпросната международна организация осигуряват адекватно ниво на защита. За такова предаване не се изисква специално разрешение.

2.   При оценяване на адекватността на нивото на защита Комисията отчита по-специално следните елементи:

а)

върховенството на закона, спазването на правата на човека и основните свободи, съответното законодателство — както общо, така и секторно, включително в областта на обществената сигурност, отбраната, националната сигурност и наказателното право и достъпа на публичните органи до лични данни, а също и прилагането на това законодателство, правилата за защита на данните, професионалните правила и мерките за сигурност, включително правилата за последващо предаване на лични данни на друга трета държава или международна организация, които са в сила във въпросната държава или международна организация, съдебната практика, както и наличието на ефективни и приложими права на субектите на данни и ефективни административни и съдебни средства за защита за субектите на данни, чиито лични данни се прехвърлят;

б)

наличието и ефективното функциониране на един или повече независими надзорни органи във въпросната трета държава, или органи, на чийто надзор подлежи дадена международна организация, отговорни за осигуряване и привеждане в изпълнение на правилата за защита на данните, включително адекватни изпълнителни правомощия, за подпомагане и консултиране на субектите на данни при упражняването на техните права и за сътрудничество с надзорните органи на държавите членки; и

в)

международните ангажименти, които съответната трета държава или международна организация е поела, или други задължения, произтичащи от правно обвързващи конвенции или инструменти, както и от участието ѝ в многостранни или регионални системи, по-конкретно по отношение на защитата на личните данни.

3.   След оценка на адекватността на нивото на защита Комисията може да реши посредством акт за изпълнение, че дадена трета държава, територия, или един или повече конкретни сектори в дадена трета държава, или дадена международна организация осигуряват адекватно ниво на защита по смисъла на параграф 2 от настоящия член. В акта за изпълнение се предвижда механизъм за периодичен преглед най-малко веднъж на четири години, при който се отчитат всички имащи отношение промени в третата държава или международната организация. В акта за изпълнение се уточнява неговото териториално и секторно приложение и когато е приложимо, се посочва надзорният орган или надзорните органи, посочени в параграф 2, буква б) от настоящия член. Актът за изпълнение се приема в съответствие с процедурата по разглеждане, посочена в член 58, параграф 2.

4.   Комисията осъществява постоянно наблюдение на развитието в трети държави и международни организации, което би могло да повлияе на действието на решенията, приети съгласно параграф 3.

5.   При наличие на съответна информация, по-специално след прегледа по параграф 3 от настоящия член, Комисията взема решение, че дадена трета държава, територия или един или повече конкретни сектори в дадена трета държава, или дадена международна организация е престанала да осигурява адекватно ниво на защита по смисъла на параграф 2 от настоящия член, при което Комисията в необходимата степен отменя, изменя или спира действието на решението, посочено в параграф 3 от настоящия член, посредством акт за изпълнение без обратна сила. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 58, параграф 2.

По надлежно обосновани наложителни причини за спешност Комисията приема актове за изпълнение с незабавно приложение в съответствие с процедурата, посочена в член 58, параграф 3.

6.   Комисията започва консултации с третата държава или международната организация с цел да коригира положението, довело до решението, взето по силата на параграф 5.

7.   Държавите членки предвиждат решението по параграф 5 да не засяга предаването на лични данни на третата държава, на територията или на един или повече конкретни сектори в тази трета държава, или на въпросната международна организация съгласно членове 37 и 38.

8.   Комисията публикува в Официален вестник на Европейския съюз и на своя уебсайт списък на тези трети държави, територии и конкретни сектори в трета държава и международни организации, за които е решила, че осигуряват или че вече не осигуряват адекватно ниво на защита.

Член 37

Предаване на данни с подходящи гаранции

1.   При липса на решение съгласно член 36, параграф 3 държавите членки предвиждат, че предаване на лични данни на трета държава или международна организация може да се осъществи, когато:

а)

в правно обвързващ инструмент са предвидени подходящи гаранции във връзка със защитата на личните данни; или

б)

администраторът е извършил оценка на всички обстоятелства около предаването на лични данни и е стигнал до заключението, че по отношение на защитата на личните данни съществуват подходящи гаранции.

2.   Администраторът информира надзорния орган за категориите предавания по параграф 1, буква б).

3.   Когато дадено предаване се основава на параграф 1, буква б), то се документира и документацията трябва да бъде достъпна за надзорния орган при поискване, включително датата и момента на предаване, информация относно получаващия компетентен орган, обосновка на предаването и предадените лични данни.

Член 38

Дерогации за особени случаи

1.   При липса на решение относно адекватното ниво на защита на личните данни съгласно член 36 или на подходящи гаранции съгласно член 37 държавите членки предвиждат, че предаване или категория предавания на лични данни на трета държава или международна организация могат да се извършват само при условие че предаването е необходимо:

а)

за да бъдат защитени жизненоважни интереси на субекта на данни или на друго лице;

б)

за да бъдат защитени легитимни интереси на субекта на данните, когато законодателството на държавата членка, която предава данните, предвижда това;

в)

за предотвратяването на непосредствена и сериозна заплаха за обществената сигурност на държава членка или на трета държава;

г)

в отделни случаи за целите, посочени в член 1, параграф 1; или

д)

в отделен случай за установяването, упражняването или защитата на правни претенции, свързани с целите, посочени в член 1, параграф 1.

2.   Лични данни не могат да бъдат предавани, ако предаващият компетентен орган реши, че основните права и свободи на въпросния субект на данните надделяват над обществения интерес от предаването, посочено в букви г) и д) от параграф 1.

3.   Когато дадено предаване се основава на параграф 1, то се документира и документацията се предоставя на надзорния орган при поискване, включително датата и момента на предаване, информация относно получаващия компетентен орган, обосновка на предаването и предадените лични данни.

Член 39

Предаване на лични данни на получатели, установени в трети държави

1.   Чрез дерогация от член 35, параграф 1, буква б) и без да се засяга никое международно споразумение, посочено в параграф 2 от настоящия член, правото на Съюза или на държава членка може да предвиди възможността компетентните органи, посочени в член 3, точка 7, буква а), в отделни и специфични случаи да предават лични данни пряко на получателите, установени в трети държави, само ако са спазени останалите разпоредби на настоящата директива и е изпълнено всяко едно от следните условия:

а)

предаването е строго необходимо за изпълнението на задача на предаващия компетентен орган, както е предвидено в правото на Съюза или на държава членка за целите, посочени в член 1, параграф 1;

б)

предаващият компетентен орган реши, че никои основни права и свободи на въпросния субект на данни не надделяват над обществения интерес, който налага предаването в конкретния случай;

в)

предаващият компетентен орган счита, че предаването на орган, който е компетентен в третата държава по отношение на целите, посочени в член 1, параграф 1, е неефективно или неподходящо, по-специално тъй като предаването не може да се осъществи навреме;

г)

органът на третата държава, който е компетентен за целите, посочени в член 1, параграф 1, е уведомен без излишно забавяне, освен ако това е неефективно или неподходящо;

д)

предаващият компетентен орган уведомява получателя за конкретната цел или цели, единствено за които последният обработва личните данни, при условие че такова обработване е необходимо.

2.   Международното споразумение, посочено в параграф 1, е всяко двустранно или многостранно международно споразумение, което е в сила между държави членки и трети държави в областта на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество.

3.   Предаващият компетентен орган уведомява надзорния орган за предаванията по настоящия член.

4.   Когато предаването се основава на параграф 1, това предаване се документира.

Член 40

Международно сътрудничество за защита на личните данни

По отношение на трети държави и международни организации Комисията и държавите членки предприемат подходящи мерки за:

а)

разработване на механизми за международно сътрудничество с цел подпомагане на ефективното прилагане на законодателството за защита на личните данни;

б)

осигуряване на международна взаимопомощ при прилагането на законодателството за защита на личните данни, включително чрез уведомяване, препращане на жалби, помощ при разследвания и обмен на информация, при условие че има подходящи гаранции за защитата на личните данни и другите основни права и свободи;

в)

включване на съответните заинтересовани страни в обсъждания и дейности, насочени към допълнително задълбочаване на международното сътрудничество за прилагането на законодателството за защита на личните данни;

г)

насърчаване на обмена и документирането на законодателство и практики в областта на защитата на личните данни, включително във връзка със спорове за компетентност с трети държави.

ГЛАВА VI

Независими надзорни органи

Раздел 1

Независим статут

Член 41

Надзорен орган

1.   Всяка държава членка предвижда, че един или повече независими публични органи отговарят за наблюдението на прилагането на настоящата директива, с цел да се защитят основните права и свободи на физическите лица във връзка с обработването и да се улесни свободното движение на лични данни в рамките на Съюза.

2.   Всеки надзорен орган допринася за последователното прилагане на настоящата директива в рамките на Съюза. За тази цел надзорните органи сътрудничат помежду си и с Комисията в съответствие с глава VII.

3.   Държавите членки могат да предвидят надзорният орган, създаден по силата на Регламент (ЕС) 2016/… (**) да бъде надзорният орган, посочен в настоящата директива, и да отговаря за изпълнението на задачите на надзорния орган, който трябва да бъде създаден съгласно параграф 1 от настоящия член.

4.   Когато в дадена държава членка е създаден повече от един надзорен орган, тази държава членка определя надзорния орган, който представлява тези органи в Комитета, посочен в член 51.

Член 42

Независимост

1.   Всяка държава членка гарантира, че всеки надзорен орган действа напълно независимо при изпълнението на задачите си и при упражняването на правомощията си в съответствие с настоящата директива.

2.   Държавите членки предвиждат, че при изпълнението на своите задачи и упражняването на своите правомощия в съответствие с настоящата директива, членът или членовете на техните надзорни органи остават независими от външно влияние, било то пряко или непряко, и че нито търсят, нито приемат инструкции от когото и да било.

3.   Членовете на надзорните органи на държавите членки се въздържат от всякакви несъвместими със служебните им задължения действия и по време на своя мандат не се ангажират с никакви несъвместими функции, независимо дали срещу възнаграждение или безвъзмездно.

4.   Всяка държава членка гарантира, че на всеки надзорен орган са предоставени човешките, техническите и финансовите ресурси, помещенията и инфраструктурата, които са необходими за ефективното изпълнение на неговите задачи и упражняването на неговите правомощия, включително на тези, които ще бъдат изпълнявани в контекста на взаимопомощта, сътрудничеството и участието в Комитета.

5.   Всяка държава членка гарантира, че всеки надзорен орган подбира и разполага със свой собствен персонал, който е подчинен изключително на члена или членовете на съответния надзорен орган.

6.   Всяка държава членка гарантира, че всеки надзорен орган е предмет на финансов контрол, който не засяга неговата независимост и че той има отделен, публичен годишен бюджет, който може да бъде част от общия държавен или национален бюджет.

Член 43

Общи условия за членовете на надзорния орган

1.   Държавите членки предвиждат, че всеки член на техните надзорни органи се назначава чрез прозрачна процедура от:

техния парламент;

тяхното правителството;

техния държавния глава; или

независим орган, на когото съгласно правото на държавата членка е възложено да извършва назначенията.

2.   Всеки член трябва да има квалификациите, опита и уменията — по-специално в областта на защитата на личните данни — необходими, за да изпълнява своите задължения и да упражнява своите правомощия.

3.   Задълженията на даден член приключват при изтичането на мандата му, подаването на оставка или задължителното му пенсиониране съгласно правото на съответната държава членка.

4.   Даден член се уволнява само в случай на тежко провинение или ако вече не отговаря на необходимите условия за изпълнение на служебните си задължения.

Член 44

Правила за създаването на надзорния орган

1.   Всяка държава членка урежда със закон всяко едно от следните:

а)

създаването на всеки надзорен орган;

б)

квалификациите и условията за допустимост, на които кандидатът се изисква да отговаря, за да бъде назначен за член на всеки надзорен орган;

в)

правилата и процедурите за назначаването на члена или членовете на всеки надзорен орган;

г)

продължителността на мандата на члена или членовете на всеки надзорен орган, която не е по-малко от четири години, с изключение на първите назначения след … [ОВ: моля въведете датата на влизането в сила на настоящата директива], някои от които може да са за по-кратък срок, когато това е необходимо, за да се защити независимостта на надзорния орган посредством процедура за постепенно назначаване;

д)

дали и за колко мандата се допуска преназначаване на члена или членовете на всеки надзорен орган;

е)

условията, регламентиращи задълженията на члена или членовете и на персонала на всеки надзорен орган, забранените действия, функции и облаги, които са несъвместими с тези задължения по време на мандата и след неговото приключване, и правилата, от които се ръководи прекратяването на трудовите правоотношения.

2.   Както по време на мандата си, така и след неговото приключване, членът или членовете и персоналът на всеки надзорен орган, в съответствие с правото на Съюза или на държава членка, са обвързани от задължението за опазване на професионалната тайна по отношение на всяка поверителна информация, която е стигнала до тяхното знание в хода на изпълнението на техните задачи или упражняването на техните правомощия. По време на мандата им това задължение за професионална тайна се прилага по-специално за докладваните от физически лица нарушения на настоящата директива.

Раздел 2

Компетентност, задачи и правомощия

Член 45

Компетентност

1.   Всяка държава членка предвижда всеки надзорен орган да бъде компетентен да изпълнява задачите и да упражнява правомощията, възложени му в съответствие с настоящата директива, на територията на своята държава членка.

2.   Всяка държава членка предвижда всеки надзорен орган да не бъде компетентен да осъществява надзор на дейностите по обработване на данни, извършвани от съдилищата при изпълнение на съдебните им функции. Държавите членки могат да предвидят всеки надзорен орган да бъде компетентен да осъществява надзор на дейностите по обработване на данни, извършвани от други независими съдебни органи при изпълнение на съдебните им функции.

Член 46

Задачи

1.   Всяка държава-членка, на своята територия, предвижда всеки надзорен орган да:

а)

наблюдава и гарантира прилагането на разпоредбите, приети съгласно настоящата директива, и мерките за изпълнението ѝ;

б)

насърчава обществената информираност и разбиране на рисковете, правилата, гаранциите и правата, свързани с обработване;

в)

дава становища, в съответствие с правото на държава членка, на националния парламент, правителството и други институции и органи относно законодателните и административните мерки, свързани със защитата на правата и свободите на физическите лица по отношение на обработването;

г)

осведомява администраторите и обработващите лични данни за техните задължения съгласно настоящата директива;

д)

предоставя информация на всеки субект на данни във връзка с упражняването на правата му съгласно настоящата директива при поискване и, ако е уместно, да си сътрудничи за тази цел с надзорните органи в други държави членки;

е)

разглежда жалбите, подадени от субект на данни или от орган, организация или сдружение съгласно член 55, и разследва предмета на жалбата, доколкото това е целесъобразно, и информира жалбоподателя за напредъка и резултатите от разследването в разумен срок, особено ако е необходимо по-нататъшно разследване или координиране с друг надзорен орган;

ж)

проверява законосъобразността на обработването съгласно член 17 и информира в разумен срок субекта на данните за резултата от проверката съгласно член 17, параграф 3 или за причините, поради които проверката не е била извършена;

з)

си сътрудничи с други надзорни органи, включително чрез обмен на информация, и им предоставя взаимна помощ с оглед осигуряване на съгласуваното прилагане и привеждане в изпълнение на настоящата директива;

и)

извършва проучвания по прилагането на настоящата директива, включително въз основа на информация, получена от друг надзорен или публичен орган;

й)

наблюдава съответното развитие, по-специално в областта на развитието на информационните и комуникационни технологии, дотолкова доколкото то има въздействие върху защитата на личните данни;

к)

дава становища по операциите за обработване на данни, посочени в член 28; и

л)

допринася за дейностите на Комитета;

2.   Всеки надзорен орган улеснява подаването на жалбите, посочени в параграф 1, буква е), чрез мерки като например осигуряване на формуляр за подаване на жалби, който може да бъде попълнен по електронен път, без да се изключват други средства за комуникация.

3.   Изпълнението на задачите от страна на всеки надзорен орган е безплатно за субекта на данни и за длъжностното лице по защита на данните.

4.   Когато исканията са очевидно неоснователни или прекомерни, по-специално поради своята повторяемост, надзорният орган може да начисли такса в разумен размер въз основа на административните разходи или може да откаже да предприеме действия по искането. Надзорният орган носи тежестта на доказване на очевидно неоснователния или прекомерния характер на искането.

Член 47

Правомощия

1.   Всяка държава членка урежда със закон, че всеки надзорен орган притежава ефективни разследващи правомощия. Тези правомощия включват най-малко правомощието да получава от администратора или обработващия лични данни достъп до всички лични данни, които се обработват, и до цялата информация, необходима за изпълнението на неговите задачи.

2.   Всяка държава членка урежда със закон, че всеки надзорен орган притежава ефективни корективни правомощия, например:

а)

да отправя предупреждения до администратора или обработващия лични данни, когато има вероятност планираните операции по обработване на данни да нарушат разпоредбите, приети съгласно настоящата директива;

б)

да разпорежда на администратора или на обработващия лични данни да приведат операциите по обработване на данни в съответствие с разпоредбите, приети съгласно настоящата директива, ако е уместно, по указан начин и в определен срок, по-специално като разпорежда коригирането, изтриването на лични данни или ограничаването на обработването съгласно член 16;

в)

да налага временно или окончателно ограничаване, включително забрана, на обработването.

3.   Всяка държава членка урежда със закон, че всеки надзорен орган притежава ефективните консултативни правомощия да дава становища на администратора в съответствие с процедурата по предварителна консултация, посочена в член 28, и да издава по собствена инициатива или при поискване на становища до своите национални парламенти и своето правителство или, в съответствие с националното право, до други институции и органи, както и до обществеността по всякакви въпроси, свързани със защитата на личните данни.

4.   Упражняването на правомощията, предоставени на надзорния орган по силата на настоящия член, се осъществява при осигуряване на подходящи гаранции, в т.ч. ефективни средства за съдебна защита и справедлив съдебен процес, определени в правото на Съюза и на държавите членки в съответствие с Хартата.

5.   Всяка държава членка урежда със закон, че всеки надзорен орган разполага с правомощието да сезира съдебните органи за нарушения на разпоредбите, приети съгласно настоящата директива, и когато е уместно — да инициира или по друг начин да участва в съдебни производства с цел привеждането в изпълнение на разпоредбите, приети съгласно настоящата директива.

Член 48

Докладване за нарушения

Държавите членки предвиждат, че компетентните органи въвеждат ефективни механизми за насърчаване на поверителното докладване за нарушения на настоящата директива.

Член 49

Доклади за дейността

Всеки надзорен орган изготвя годишен доклад за дейността си, който може да включва списък на видовете докладвани нарушения и видовете наложени наказания. Тези доклади се предават на националния парламент, правителството и други органи, посочени в правото на държава членка. Те се предоставят на обществеността, Комисията и Комитета.

ГЛАВА VII

Сътрудничество

Член 50

Взаимопомощ

1.   Всяка държава членка предвижда нейните надзорни органи да си предоставят имаща отношение информация и взаимопомощ, за да изпълняват и прилагат настоящата директива съгласувано, и да въвеждат мерки за ефективно сътрудничество помежду си. Взаимопомощта обхваща по-специално искания за информация и мерки за надзор, например искания за извършване на консултации, проверки и разследвания.

2.   Всяка държава членка предвижда всеки надзорен орган да предприема всички подходящи мерки, които са необходими, за да се отговори на искането на друг надзорен орган без излишно забавяне и не по-късно от един месец след получаване на искането. Тези мерки могат да включват по-специално предаване на информация, имаща отношение към хода на дадено разследване.

3.   Исканията за помощ съдържат цялата необходима информация, включително целта и основанията на искането. Обменената информация се използва единствено за целите, за които е поискана.

4.   Надзорен орган, до който е изпратено искане за помощ, няма право да откаже да го изпълни, освен ако:

а)

е некомпетентен относно предмета на искането или мерките, които се изисква да изпълни; или

б)

удовлетворяването на искането би нарушило настоящата директива или правото на Съюза или на държавата членка, което се прилага спрямо надзорния орган, до който е отправено искането.

5.   Надзорният орган, до който е отправено искането, информира искащия надзорен орган за резултатите или, в зависимост от случая, за напредъка на предприетите мерки в отговор на искането. Надзорният орган, до който е отправено искането излага мотивите си за всеки отказ да удовлетвори искането съгласно параграф 4.

6.   Надзорните органи, до които е отправено искане по правило предоставят информацията, поискана от други надзорни органи, по електронен път, като използват стандартизиран формат.

7.   Надзорните органи, до които е отправено искане не събират такси за действията, предприети от тях в отговор на искане за взаимопомощ. Надзорните органи могат да се споразумеят относно правила за взаимно обезщетение за конкретни разходи, свързани с предоставянето на взаимопомощ при извънредни обстоятелства.

8.   Комисията може да определи посредством актове за изпълнение формàта и процедурите за взаимопомощ по настоящия член, както и договореностите за обмена на информация по електронен път между надзорните органи и между надзорните органи и Комитета. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 58, параграф 2.

Член 51

Задачи на Комитета

1.   Комитетът, създаден с Регламент (ЕС) 2016/ … (**) , изпълнява следните задачи във връзка с обработването в рамките на обхвата на настоящата директива:

а)

консултира Комисията по всеки въпрос, свързан със защитата на личните данни в Съюза, включително относно всяко предложено изменение на настоящата директива;

б)

разглежда по своя собствена инициатива, по искане на някой от своите членове или по искане на Комисията всеки въпрос, който се отнася до прилагането на настоящата директива, и предоставя насоки, препоръки и най-добри практики с цел насърчаване на съгласуваното прилагане на настоящата директива;

в)

изготвя насоки за надзорните органи относно прилагането на мерките, посочени в член 47, параграфи 1 и 3;

г)

предоставя насоки, препоръки и най-добри практики съгласно буква б) от настоящия параграф за установяване на нарушения на сигурността на личните данни и определяне на излишното забавяне, посочено в член 30, параграфи 1 и 2, и за конкретните обстоятелства, при които администраторът или обработващият лични данни е длъжен да уведоми за нарушение на сигурността на лични данни;

д)

предоставя насоки, препоръки и най-добри практики съгласно буква б) от настоящия параграф относно обстоятелствата, при които има вероятност нарушението на сигурността на личните данни да изложи на значителен риск правата и свободите на физическите лица, посочени в член 31, параграф 1;

е)

извършва преглед на практическото прилагане на насоките, препоръките и най-добрите практики, посочени в букви б) и в);

ж)

предоставя на Комисията становище за оценка на адекватността на нивото на защита на данните в трета държава, територия или един или повече конкретни сектори в тази трета държава или международна организация, включително за оценка на това дали дадена трета държава, територия, конкретен сектор, или международна организация са престанали да осигуряват адекватно ниво на защита.

з)

насърчава сътрудничеството и ефективния двустранен и многостранен обмен на информация и най-добри практики между надзорните органи;

и)

насърчава общите програми за обучение и улеснява обмена на персонал между надзорните органи, и, когато е уместно, с надзорните органи на трети държави или с международни организации;

й)

насърчава обмена на знания и документация относно правото и практиката в областта на защитата на данните с надзорните органи по защита на данните в цял свят.

Във връзка с първа алинея, буква ж), Комисията предоставя на Комитета цялата необходима документация, включително кореспонденцията с правителството на третата държава, с територията или конкретния сектор в тази трета държава, или с международната организация.

2.   Когато Комисията поиска съвет от Комитета, тя може да посочи срок, като отчита спешността на въпроса.

3.   Комитетът изпраща своите становища, насоки, препоръки и най-добри практики на Комисията и на комитета, посочен в член 58, параграф 1, и ги прави обществено достояние.

4.   Комисията информира Комитета за действията, които е предприела вследствие на становищата, насоките, препоръките и най-добрите практики, дадени от Комитета.

ГЛАВА VIII

Средства за правна защита, отговорност за причинени вреди и наказания

Член 52

Право на подаване на жалба до надзорен орган

1.   Без да се засягат другите административни или съдебни средства за защита, държавите членки предвиждат, че всеки субект на данни има право да подаде жалба до един надзорен орган, ако субектът на данни счита, че отнасящото се до него обработване на лични данни нарушава разпоредбите, приети съгласно настоящата директива.

2.   Държавите членки предвиждат, че надзорният орган, до който е подадена жалбата, я предава на компетентния надзорен орган без излишно забавяне, ако жалбата не е подадена пред надзорния орган, който е компетентен съгласно член 45, параграф 1. Субектът на данните се уведомява за това.

3.   Държавите членки предвиждат надзорният орган, пред който е подадена жалбата, да предоставя допълнителна помощ по искане на субекта на данните.

4.   Компетентният надзорен орган уведомява субекта на данните за напредъка и резултата във връзка с жалбата, включително възможността за съдебна защита съгласно член 53.

Член 53

Право на ефективна съдебна защита срещу надзорен орган

1.   Без да се засягат другите средства за административна или извънсъдебна защита, държавите членки предвиждат правото на всяко физическо или юридическо лице на ефективна съдебна защита срещу правно обвързващо решение на надзорен орган, което го засяга.

2.   Без да се засягат другите средства за административна или извънсъдебна защита, всеки субект на данни има право на ефективна съдебна защита, ако надзорният орган, компетентен съгласно член 45, параграф 1, не разгледа жалбата или не информира субекта на данните в срок от три месеца за напредъка или резултата от жалбата, подадена съгласно член 52.

3.   Държавите членки предвиждат, че производствата срещу надзорните органи се образуват пред съдилищата на държавата членка, в която е установен съответният надзорен орган.

Член 54

Право на ефективна съдебна защита срещу администратор или обработващ лични данни

Без да се засягат наличните средства за административна или извънсъдебна защита, включително правото да се подаде жалба до надзорен орган съгласно член 52, държавите членки предвиждат правото на субектите на данни на ефективна съдебна защита, ако считат, че правата им, установени в разпоредби, приети съгласно настоящата директива, са нарушени вследствие на обработването на личните им данни при неспазване на посочените разпоредби.

Член 55

Представителство на субектите на данни

Държавите членки, в съответствие с процесуалното право на държава членка, предвиждат, че субектът на данни има право да възложи на орган, организация или сдружение с нестопанска цел, което е учредено правомерно в съответствие с правото на държава членка, има уставни цели от обществен интерес и развива дейност в областта на защитата на правата и свободите на субектите на данни по отношение на защитата на техните лични данни, да подаде жалбата от негово име и да упражни от негово име правата, посочени в членове 52, 53 и 54.

Член 56

Право на обезщетение

Държавите членки предвиждат, че всяко лице, което е претърпяло материални или нематериални вреди в резултат на незаконосъобразна операция по обработване или на действие, което нарушава националните разпоредби, приети съгласно настоящата директива, има право да получи обезщетение за претърпените вреди от администратора или от друг компетентен съгласно правото на държава членка орган.

Член 57

Наказания

Държавите членки установяват правилата относно наказанията, които се налагат при нарушения на разпоредбите, приети съгласно настоящата директива, и вземат всички необходими мерки за гарантиране на тяхното изпълнение. Предвидените наказания трябва да бъдат ефективни, пропорционални и възпиращи.

ГЛАВА IX

Актове за изпълнение

Член 58

Процедура на комитет

1.   Комисията се подпомага от комитета, създаден с член 93 от Регламент (ЕС) 2016/… (**). Този комитет е комитет по смисъла на Регламент (ЕС) № 182/2011.

2.   При позоваване на настоящия параграф се прилага член 5 от Регламент (ЕС) № 182/2011.

3.   При позоваване на настоящия параграф се прилага член 8 от Регламент (ЕС) № 182/2011 във връзка с член 5 от него.

ГЛАВА X

Заключителни разпоредби

Член 59

Отмяна на Рамково решение 2008/977/ПВР

1.   Рамково решение 2008/977/ПВР се отменя, считано от … [две години след датата на влизане в сила на настоящата директива].

2.   Позоваванията на отмененото решение, посочено в параграф 1, се тълкуват като позовавания на настоящата директива.

Член 60

Влезли в сила правни актове на Съюза

Специалните разпоредби за защита на личните данни, съдържащи се в правни актове на Съюза, които са влезли в сила на или преди … [датата на влизане в сила на настоящата директива] в областта на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество, с които се регламентира обработването между държавите членки и достъпът на определени органи на държавите членки до информационни системи, създадени съгласно Договорите, и които попадат в обхвата на настоящата директива, остават незасегнати.

Член 61

Връзка с по-рано сключени международни споразумения в областта на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество

Международните споразумения за предаване на лични данни на трети държави или международни организации, които са сключени от държавите членки преди … [датата на влизането в сила на настоящата директива] и които са в съответствие с правото на Съюза, приложимо преди … [датата на влизането в сила на настоящата директива], остават в сила докато не бъдат изменени, заменени или отменени.

Член 62

Доклади на Комисията

1.   До … [6 години след датата на влизане в сила на настоящата директива] и на всеки четири години след това, Комисията редовно представя на Европейския парламент и на Съвета доклад относно оценката и прегледа на настоящата директива. Докладите се оповестяват публично.

2.   В контекста на оценките и прегледите, посочени в параграф 1, Комисията разглежда по-специално прилагането и действието на глава V относно предаването на лични данни на трети държави или международни организации, като отделя специално внимание на решенията, приети съгласно член 36, параграф 3 и член 39.

3.   За целите на параграфи 1 и 2, Комисията може да поиска информация от държавите членки и надзорните органи.

4.   При извършване на посочените в параграфи 1 и 2 оценки и прегледи Комисията взема предвид позициите и констатациите на Европейския парламент, Съвета и на други имащи отношение органи или източници.

5.   При необходимост Комисията представя подходящи законодателни предложения за изменение на настоящата директива, като отчита по-специално развитието на информационните технологии и напредъка на информационното общество.

6.   До … [три години след влизането в сила на настоящата директива] Комисията извършва преглед на други правни актове, приети от Съюза, които регламентират обработването от компетентните органи за целите, посочени в член 1, параграф 1, включително на посочените в член 60, за да прецени необходимостта от привеждането им в съответствие с настоящата директива и, ако е целесъобразно, да изготви необходимите предложения за изменение на тези актове, така че да се осигури съгласуван подход към защитата на личните данни от обхвата на настоящата директива.

Член 63

Транспониране

1.   Държавите членки приемат и публикуват до … [дата/две години след датата на влизане в сила на настоящата директива] законовите, подзаконовите и административните разпоредби, необходими, за да се съобразят с настоящата директива. Те незабавно съобщават на Комисията текста на тези разпоредби. Те прилагат посочените разпоредби от … [дата/две години след датата на влизане в сила на настоящата директива].

Когато държавите членки приемат тези разпоредби, в тях се съдържа позоваване на настоящата директива или то се извършва при официалното им публикуване. Условията и редът на позоваване се определят от държавите членки.

2.   Чрез дерогация от параграф 1 дадена държава членка може да предвиди по изключение, когато това предполага несъразмерни усилия, системите за автоматизирано обработване, създадени преди … [датата на влизане в сила на настоящата директива], да се привеждат в съответствие с член 25, параграф 1 до … [7 години от датата на влизане в сила на настоящата директива].

3.   Чрез дерогация от параграфи 1 и 2 от настоящия член дадена държава членка може, при изключителни обстоятелства, да приведе дадена система за автоматизирано обработване, посочена в параграф 2 от настоящия член, в съответствие с член 25, параграф 1 в рамките на определен срок след срока, посочен в параграф 2 от настоящия член, ако в противен случай това би причинило сериозни затруднения за функционирането на тази конкретна система за автоматизирано обработване. Съответната държава членка уведомява Комисията за основанията за тези сериозни затруднения и за основанията за определения срок, в рамките на който тя привежда тази конкретна система за автоматизирано обработване в съответствие с член 25, параграф 1. Определеният срок в никакъв случай не е по-късно от … [10 години след датата на влизане в сила на настоящата директива].

4.   Държавите членки съобщават на Комисията текста на основните разпоредби в националното право, които те приемат в областта, уредена с настоящата директива.

Член 64

Влизане в сила

Настоящата директива влиза в сила в деня след публикуването ѝ в Официален вестник на Европейския съюз.

Член 65

Адресати

Адресати на настоящата директива са държавите членки.

Съставено в

За Европейския парламент

Председател

[…] […]

За Съвета

Председател

[…] […]


(1)  ОВ С 391, 18.12.2012 г., стр. 127.

(2)  Позиция на Европейския парламент от 12 март 2014 г. (все още непубликувана в Официален вестник) и позиция на Съвета на първо четене от 8 април 2016 г. Позиция на Европейския парламент от … и решение на Съвета от … .

(3)  Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 г. за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (ОВ L 281, 23.11.1995 г., стр. 31).

(4)  Рамково решение 2008/977/ПВР на Съвета от 27 ноември 2008 г. относно защитата на личните данни, обработвани в рамките на полицейското и съдебното сътрудничество по наказателноправни въпроси (ОВ L 350, 30.12.2008 г., стр. 60).

(5)  Регламент (ЕС) 2016/… на Европейския парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (общ регламент относно защитата на данните) (ОВ L …).

(*)  Регламентът, съдържащ се в документ st 5419/16 (ОВ С 159, 3.5.2016 г., стр. 1).

(**)  Регламентът в док. st 5419/16.

(6)  Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета от 18 декември 2000 г. относно защитата на лицата по отношение на обработката на лични данни от институции и органи на Общността и за свободното движение на такива данни (ОВ L 8, 12.1.2001 г., стр. 1).

(7)  Директива 2011/24/ЕС на Европейския парламент и на Съвета от 9 март 2011 г. за упражняване на правата на пациентите при трансгранично здравно обслужване (ОВ L 88, 4.4.2011 г., стp. 45).

(8)  Обща позиция 2005/69/ПВР на Съвета от 24 февруари 2005 г. за обмен на някои данни с Интерпол (ОВ L 27, 29.1.2005 г., стр. 61).

(9)  Решение 2007/533/ПВР на Съвета от 12 юни 2007 г. относно създаването, функционирането и използването на Шенгенска информационна система от второ поколение (ШИС II) (ОВ L 205, 7.8.2007 г., стр. 63).

(10)  Директива 77/249/ЕИО на Съвета от 22 март 1977 г. относно улесняване на ефективното упражняване от адвокатите на свободата на предоставяне на услуги (ОВ L 78, 26.3.1977 г., стp. 17).

(11)  Регламент (ЕС) № 182/2011 на Европейския парламент и на Съвета от 16 февруари 2011 г. за установяване на общите правила и принципи относно реда и условията за контрол от страна на държавите-членки върху упражняването на изпълнителните правомощия от страна на Комисията (ОВ L 55, 28.2.2011 г., стр. 13).

(12)  Решение 2008/615/ПВР на Съвета от 23 юни 2008 г. за засилване на трансграничното сътрудничество, по-специално в борбата срещу тероризма и трансграничната престъпност (ОВ L 210, 6.8.2008 г., стр. 1).

(13)  Акт на Съвета от 29 май 2000 г. за съставяне на Конвенция за взаимопомощ по наказателноправни въпроси между държавите-членки на Европейския съюз в съответствие с член 34 от Договора за Европейския съюз (ОВ C 197, 12.7.2000 г., стр. 1).

(14)  Директива 2011/93/ЕС на Европейския парламент и на Съвета от 13 декември 2011 г. относно борбата със сексуалното насилие и със сексуалната експлоатация на деца, както и с детската порнография и за замяна на Рамково решение 2004/68/ПВР на Съвета (ОВ L 335, 17.12.2011 г., стр. 1).

(15)  ОВ L 176, 10.7.1999 г., стр. 36.

(16)  ОВ L 53, 27.2.2008 г., стр. 52.

(17)  ОВ L 160, 18.6.2011 г., стр. 21.

(18)  ОВ C 192, 30.6.2012 г., стр. 7.


3.5.2016   

BG

Официален вестник на Европейския съюз

C 158/46


Изложение на мотивите на Съвета: Позиция (ЕС) № 5/2016 на Съвета на първо четене с оглед на приемането на директива на Европейския парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления, или изпълнението на наказателни санкции, и относно свободното движение на такива данни и за отмята на Рамково решение 2008/977/ПВР на Съвета

(2016/C 158/02)

I.   ВЪВЕДЕНИЕ

На 25 януари 2012 г. Комисията направи предложение за всеобхватен пакет в областта на защитата на данните, който се състои от:

предложение за общ регламент относно защитата на данните, който трябва да замени Директивата за защита на данните от 1995 г. (бивш първи стълб) (наричан по-нататък „проектът за регламент“).

горепосочената Директива относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции и относно свободното движение на такива данни (1), която трябва да замени Рамковото решение относно защитата на данните от 2008 г. (бивш трети стълб) (наричана по-нататък „проектът за директива“).

Европейският парламент прие становището си по проекта за директива през март 2014 г. (2)

Съветът постигна съгласие по общ подход на 9 октомври 2015 г. (3), с който на председателството бе предоставен мандат за започване на тристранни разговори с Европейския парламент.

Европейският парламент и Съветът, на равнището съответно на Комисията по граждански свободи, правосъдие и вътрешни работи и Комитета на постоянните представители, потвърдиха постигането на съгласие по компромисния текст в резултат от преговорите в рамките на тристранните разговори, проведени съответно на 17 и 18 декември 2015 г.

На заседанието си от 12 февруари Съветът постигна политическо съгласие по проекта за директива (4). На 8 април 2016 г. Съветът прие своята позиция на първо четене, която изцяло съответства на компромисния текст на директивата, договорен по време на неформалните преговори между Съвета и Европейския парламент.

Комитетът на регионите представи становище по регламента (ОВ C 391, 18.12.2012 г., стр. 127).

Беше проведена консултация с Европейския надзорен орган по защита на данните, който представи първо становище през 2012 г. (ОВ C 192, 30.6.2012 г., стр. 7) и второ становище през 2015 г. (ОВ C 301, 12.9.2015 г., стр. 1-8).

Агенцията за основните права даде становище на 1 октомври 2012 г.

II.   ЦЕЛ НА ПРЕДЛОЖЕНИЕТО

Целта на проекта за директива е да се осигури ефективно съдебно сътрудничество по наказателноправни въпроси и полицейско сътрудничество и да се улесни обменът на лични данни между компетентните органи на държавите членки, като същевременно се гарантира съгласувано високо ниво на защита на личните данни на физическите лица. За разлика от Рамково решение 2008/977/ПВР на Съвета, което проектът за директива ще замени, проектът за директива ще обхваща и националното обработване на лични данни.

С член 16 от Договора за функционирането на Европейския съюз се въвежда ново специално правно основание за приемането на правила за защита на личните данни, което се отнася и за обработването на лични данни в областта на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество.

III.   АНАЛИЗ НА ПОЗИЦИЯТА НА СЪВЕТА НА ПЪРВО ЧЕТЕНЕ

A.    Общи бележки

Проектът за директива е част от пакета в областта на защитата на данните. Другото предложение е гореспоменатият Общ регламент относно защитата на данните.

Въз основа на предложението на Комисията за директива Европейският парламент и Съветът проведоха неформални преговори с оглед на сключването на споразумение на етапа на позицията на Съвета на първо четене. Текстът на позицията на Съвета на първо четене по проекта за директива напълно отразява компромиса, постигнат по директивата между двата съзаконодателни органа с помощта на Европейската комисия. При тези обстоятелства позоваването на позицията на Съвета на първо четене следва да се разбира като позоваване на компромиса, постигнат по време на тристранните разговори.

Защитата на физическите лица по отношение на обработването на лични данни е основно право. Член 8, параграф 1 от Хартата на основните права на Европейския съюз и член 16, параграф 1 от Договора за функционирането на Европейския съюз предвиждат, че всеки има право на защита на личните му данни. На тази основа позицията на Съвета на първо четене определя принципите и правилата за защитата на физическите лица по отношение на обработването на личните им данни. Тези принципи и правила трябва да са съобразени с основните права и свободи на физическите лица, и по-конкретно правото на защита на личните им данни, независимо от тяхното гражданство или местопребиваване.

В позицията на Съвета на първо четене са запазени целите на рамковото решение (5) и на предложението на Комисията, например запазва се принципът на минимална хармонизация от рамковото решение. Текстът на проекта за директива съдържа по-ясни и по-конкретни разпоредби по повечето от разпоредбите в рамковото решение, по-специално доразвити и разширени са разпоредбите относно предаването на трети държави или международни организации.

Съветът постигна общ подход по проекта за регламент през юни 2015 г. и общ подход по проекта за директива през октомври 2015 г.

Новото правно основание в Договора за функционирането на Европейския съюз относно защитата на личните данни се прилага за всички области на политиката, без да се засягат специалните правила, които трябва да се определят в областта на общата външна политика и политика на сигурност. Същевременно в Декларация 21, приложена към Договора от Лисабон, се признава, че могат да се окажат необходими специфични правила в областта на съдебното сътрудничество по наказателноправни въпроси и на полицейското сътрудничество. Поради това и имайки предвид, че проектът за директива е част от пакета в областта на защитата на данните, Съветът се постара да съгласува текста на проекта за директива с текста на проекта за регламент по отношение на редица разпоредби в проекта за директива. Това се отнася особено за определенията, принципите, главата за администратора и обработващия лични данни, решенията относно адекватността, както и главата за независимите надзорни органи. Ето защо тези части са по-слабо засегнати в настоящата бележка.

Б.    Ключови въпроси на политиката

1.    Приложно поле (материално и персонално)

С позицията на Съвета на първо четене се определя материалното приложно поле на проекта за директива в член 1, параграф 1. То обхваща обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването и наказателното преследване на престъпления или изпълнението на наказателни санкции, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване. Това означава, че за разлика от Рамково решение 2008/977/ПВР проектът за директива се прилага и за националното обработване на лични данни.

Другата част от пакета в областта на защитата на личните данни — проектът за регламент, изключва приложното поле на директивата от своя обхват, което ги прави взаимно изключващи се. Проектът за регламент съдържа общите правила, докато проектът за директива се прилага към специфичния сектор на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество.

Работата на полицията и другите правоприлагащи органи включва също упражняване на правомощия чрез предприемане на принудителни мерки, например полицейски действия по време на демонстрации, големи спортни събития и безредици. Позицията на Съвета на първо четене се стреми да създаде възможност за тези органи, основно полицията, да обработват данни в рамките на един-единствен правен акт, а именно правото на държавата членка, с което се транспонира проектът за директива. Същевременно в случаите когато полицията обработва лични данни извън приложното поле на проекта за директива, се прилага проектът за регламент, както е посочено в точка 7 по-долу. За да се постигне тази цел, позицията на Съвета на първо четене изяснява приложното поле на проекта за директива чрез добавяне на „предпазването от заплахи за обществената сигурност и тяхното предотвратяване“.

Що се отнася до персоналното приложно поле, позицията на Съвета на първо четене разширява това приложно поле отвъд публичните органи, компетентни за предотвратяването, разследването, разкриването и наказателното преследване на престъпления или изпълнението на наказателни санкции, така че да обхване и органите и образуванията, които по силата на правото на държава членка разполагат с публична власт и упражняват публични правомощия за горепосочените цели. Същевременно само публични органи имат право да предават лични данни на получатели, различни от органите, компетентни за целите на проекта за директива, установени в трети държави.

2.    Принципи по отношение на личните данни

а)   прозрачност

За разлика от позицията на Съвета на първо четене по проекта за регламент, позицията на Съвета на първо четене по проекта за директива не включва понятието „прозрачност“ сред принципите, свързани с обработването на лични данни, защото в областта на правоприлагането прозрачността би могла да изложи на риск текущите разследвания. Понятието „прозрачност“ обаче е въведено в съображението относно принципите, като същевременно ясно се посочва, че могат да се извършват дейности като разследвания под прикритие или видеонаблюдение.

б)   сигурност на обработването

В позицията на Съвета на първо четене се добавя, че личните данни следва да бъдат обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане. В позицията на Съвета на първо четене се добавя също, че за тази цел следва да се използват подходящи технически и организационни мерки. Това е съобразено с текста на проекта за регламент.

3.    Допълнително обработване

а)   съвместимост

Въпросът за допълнителното обработване и дали то може да се извършва единствено от същия администратор или и от друг администратор, както и въпросът за съвместимите цели създадоха трудности при обсъжданията на проекта за регламент. В крайна сметка в позицията на Съвета на първо четене по проекта за директива се възприема становището, че всяко обработване, извършено за някоя от целите, посочени в член 1, параграф 1, следва да се счита за разрешено, доколкото администраторът е бил упълномощен да обработва личните данни за тази цел съгласно правото на Съюза или правото на държава членка и обработването е било необходимо и пропорционално на различната цел в съответствие с правото на Съюза или правото на държава членка.

б)   обработване за други цели в рамките на приложното поле на проекта за директива

Позицията на Съвета на първо четене определя, че обработването от същия или друг администратор за която и да е от целите, посочени в член 1, параграф 1, различна от целта, за която личните данни са били събрани, се разрешава единствено, при условие че администраторът е упълномощен да обработва такива лични данни за такава цел в съответствие с правото на Съюза или правото на държава членка, и обработването е необходимо и пропорционално на тази различна цел в съответствие с правото на Съюза или правото на държава членка и това позволява, например, прокурор да обработва за целите на наказателно преследване на престъпление същите лични данни като тези, които полицията обработва за целите на разкриване на престъпления, като се има предвид, че двете цели в примера са обхванати от член 1, параграф 1.

4.    Срокове за съхранение и проверка

Позицията на Съвета на първо четене предвижда, че трябва да се установят подходящи срокове за изтриване на лични данни или за периодичен преглед на съхранявани лични данни, за да се провери дали е необходимо те да бъдат запазени. В рамковото решение вече има разпоредба относно сроковете за съхранение и според позицията на Съвета на първо четене въвеждането на подобна разпоредба има предимства.

Тази разпоредба утвърждава установения в член 4 принцип, че данните трябва да се съхраняват за период не по-дълъг от необходимия за целите, за които се обработват личните данни.

5.    Различни категории субекти на данни

В позицията на Съвета на първо четене се предвижда, че държавите членки трябва, „когато е приложимо и доколкото това е възможно“ да предвидят ясно разграничение от страна на администратора между личните данни на различни категории субекти на данни. Същевременно позицията на Съвета на първо четене създава условия прилагането на презумпцията за невиновност, гарантирана от Хартата на основните права на Европейския съюз, да не бъде възпрепятствано от поставянето на субектите на данни в различни категории, особено категорията лица, за които има сериозни основания да се счита, че са извършили или ще извършат престъпление.

6.    Законосъобразност на обработването

В позицията на Съвета на първо четене се предвижда, че обработването на лични данни е законосъобразно само ако и доколкото това обработване е необходимо за изпълнението на задача от компетентен орган за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления, или изпълнението на наказателни санкции, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване, и се основава на правото на Съюза или на правото на държава членка. В съображенията изрично се посочва, че тези дейности обхващат защитата на жизненоважни интереси на субекта на данните.

В позицията на Съвета на първо четене се определят елементите, които трябва да съдържат законите за защита на данните на държавите членки, например различните видове цели на обработването.

7.    Специфични условия за обработване

Основното правило е, че личните данни, които първоначално са били събрани от компетентен орган за целите на член 1, параграф 1 от проекта за директива, трябва да се обработват единствено за някоя от целите на проекта за директива. Същевременно личните данни, първоначално събрани от такива органи за целите на проекта за директива, могат да се обработват въз основа на проекта за регламент, ако такова обработване е разрешено от правото на Съюза или правото на държава членка, освен ако обработването се извършва в хода на дейност, която е извън обхвата на правото на Съюза. В позицията на Съвета на първо четене се изясняват и два случая, при които се прилага проектът за регламент. На първо място, когато съгласно правото на държава членка компетентните органи са натоварени с изпълнението на задачи, различни от тези, посочени в член 1, параграф 1. На второ място, регламентът се прилага и за обработването за целите на архивирането в обществен интерес, за научни или исторически изследвания и за статистически цели, освен ако обработването се извършва в хода на дейност, която е извън обхвата на правото на Съюза.

8.    Специални категории лични данни

На личните данни, които по своето естество са особено чувствителни от гледна точка на основните права и свободи, се полага специална защита, тъй като контекстът на тяхното обработване би могъл да създаде значителни рискове за основните права и свободи. Позицията на Съвета на първо четене разрешава обработването на такива данни, но само когато това е абсолютно необходимо и са налице подходящи гаранции за правата и свободите на субекта на данни. Освен това такова обработване се разрешава само когато това е разрешено съгласно правото на ЕС или на държава членка, за да бъде защитен жизненоважен интерес на субекта на данни или ако обработването касае данни, които очевидно са направени обществено достояние от субекта на данните.

Тъй като проектът за директива и проектът за регламент са част от пакет, що се отнася до списъка на категориите в позицията на Съвета на първо четене по проекта за директива са възприети предвидените в проекта за регламент категории, като към списъка са добавени категориите „биометрични данни“ и „сексуална ориентация“.

9.    Автоматизирано вземане на индивидуални решения, включително профилиране

Друг принцип, заложен в проекта за директива, е, че трябва да бъде забранено вземането на решение, основано единствено на автоматично обработване, включително профилиране, което поражда неблагоприятни правни последици за субекта на данните или съществено го засяга, освен ако това не е разрешено от правото на Съюза или на държавите членки, и когато са налице подходящи гаранции за правата и свободите на субекта на данните. Тези гаранции трябва да включват най-малко правото на получаване на човешка намеса от страна на администратора. В позицията на Съвета на първо четене ясно се посочва, че решение, основано единствено на автоматизирано обработване, не може да се основава на специалните категории лични данни, посочени в член 10, освен ако не са налице подходящи гаранции за правата и свободите и легитимните интереси на субектите на данните. Освен това изрично се посочва, че трябва да бъде забранено профилирането въз основа на специалните категории данни по член 10, което би довело до дискриминация.

10.    Права на субектите на данни

а)   Съобщение до субекта на данните

В позицията на Съвета на първо четене са предвидени разпоредби за правата на субектите на данни. За да може субектът на данни да упражни правата си, той трябва да е информиран, че личните му данни се обработват. Тази информация трябва да се съобщи така, че да е разбираема, в сбита, понятна и леснодостъпна форма, и да използва ясен и прост език. За разлика от текста на проекта за регламент в позицията на Съвета на първо четене по проекта за директива не се изисква тази информация да се дава по прозрачен начин. Например в областта, обхваната от директивата, целта на разследването може да бъде застрашена, ако на ранен етап от разследването на субекта на данните се предостави информация за конкретната мярка, свързана с разследването.

б)   Информация, предназначена за субекта на данните

В позицията на Съвета на първо четене се определя каква информация трябва винаги да се предоставя на субекта на данните, например самоличността и координатите за връзка на администратора, както и целта на обработването. Това би могло да се извърши на интернет страницата на компетентния орган. В позицията на Съвета на първо четене се посочва и каква допълнителна информация трябва да бъде предоставена в особени случаи. Това включва правното основание, срока за съхранение на данните и категориите получатели. При определени обстоятелства е възможно допълнителната информация да се забави, ограничи или изпусне, например когато ограничаването представлява необходима и пропорционална мярка в едно демократично общество, като се вземат предвид основните права и легитимните интереси на засегнатото физическо лице. Наред с това и що се отнася до допълнителната информация, държавите членки следва да могат да предвидят със закон, че определени категории обработване на лични данни могат да бъдат освободени от задължението за подаване на информация.

в)   Право на достъп

В позицията на Съвета на първо четене се предвижда както правото на достъп до личните данни, така и ограниченията на това право. Държавите членки следва да могат да ограничават правото на достъп при същите условия, при които допълнителната информация може да се забавя, ограничава или изпуска. Когато правото на достъп е било ограничено, държавите членки трябва да предвидят администраторът да информира субекта на данните за причините за отказа, освен в случаите, когато целта на мярката, например разследване, би била застрашена, ако субектът на данните бива информиран за основанията за ограничението.

г)   Специални случаи на ограничаване на обработването на лични данни

Държавите членки трябва да предвидят, че субектът на данни има право на коригиране, изтриване или ограничаване на обработването на личните му данни. В позицията на Съвета на първо четене се добавя възможността субектът на данните да ограничи личните си данни, вместо да ги изтрие, в два конкретни случая. Първият случай е, когато субектът на данните оспорва точността на данните и тяхната точност или неточност не може да бъде проверена. Вторият случай е свързан със ситуация, при която личните данни трябва да бъдат запазени за доказателствени цели. В съответното съображение се посочва, че пример за последния случай може да бъде ситуация, при която са налице разумни основания да се смята, че биха могли да бъдат засегнати легитимните интереси на субекта на данните. В такъв случай данните могат да бъдат обработвани единствено за целите, които са препятствали изтриването им.

11.    Упражняване на правата на субектите на данни и проверка

Когато правата на субектите на данни във връзка с информацията, достъпа, коригирането, изтриването или ограничаването на обработването са ограничени, държавите членки трябва да приемат мерки, съгласно които правата на субекта на данни следва също така да могат да бъдат упражнявани и чрез компетентния надзорен орган.

12.    Администратор и обработващ лични данни

Проектът за директива ще се прилага от компетентните органи или на национално равнище, или при предаване на лични данни между държавите — членки на ЕС, или при предаване на лични данни на трети държави или международни организации. Компетентните органи се определят като публични органи или всякакъв друг орган или образувание, който по силата на правото на държава членка разполага с публична власт и публични правомощия. Разпоредбите на проекта за директива ще се прилагат от публични органи, а при определени обстоятелства — от частни органи. Когато компетентните органи съгласно определението в този проект за директива обработват лични данни не за целите на директивата, те трябва да прилагат проекта за регламент. Ето защо, както вече беше споменато във въведението към настоящия текст, в позицията на Съвета на първо четене разпоредбите на проекта за директива до известна степен са съгласувани с разпоредбите на проекта за регламент.

В съответствие с проекта за регламент позицията на Съвета на първо четене предвижда, че администраторът трябва да прилага подходящи технически и организационни мерки, така че да гарантира и да бъде в състояние да докаже, че обработването на лични данни се извършва в съответствие с разпоредбите. В позицията на Съвета на първо четене изрично се формулират задълженията на обработващия лични данни, например:

да действа единствено по указания на администратора;

да гарантира, че лицата, оправомощени да обработват данните, спазват поверителността;

да предоставя на администратора цялата информация, която доказва спазването на задълженията им.

13.    Регистри на дейности по обработване на лични данни

В позицията на Съвета на първо четене се определят по-малко задължения за обработващия лични данни по отношение на регистрите и поради това задълженията на администратора и обработващия данни са изброени в два отделни параграфа. Позицията на Съвета на първо четене предвижда, че не трябва да се поддържа регистър за всяка отделна дейност по обработване от администратора или от обработващия лични данни, а само за категориите обработване. В позицията на Съвета на първо четене с другите части на параграфа се задължава администраторът да предостави достатъчно информация, така че да бъде изпълнена целта на регистрите. Например за администратора е задължително да добави информация за категориите получатели, на които личните данни са били или ще бъдат разкрити, категориите предаване на лични данни на трета държава или международна организация или, където е възможно, предвидените срокове за изтриване на различните категории лични данни. Администраторът трябва да предостави информация и за профилирането, което не се изисква в проекта за регламент. Позицията на Съвета на първо четене предвижда обработващият лични данни да поддържа единствено регистър, например, с категориите обработване, извършено от името на всеки администратор и, когато е възможно, общо описание на техническите и организационните мерки за сигурност.

14.    Записи

Съхраняването на записи е важно, за да бъде възможно да се установи обосновката, датата и часът на някои операции по обработване в системите за автоматизирано обработване, например събиране, справки, разкриване и предаване. Записите за справка или разкриване позволяват също да се установи самоличността на лицето, което е извършило справката или разкриването на лични данни, както и самоличността на получателя. В съответствие с рамковото решение записите трябва да се използват единствено за проверка на законосъобразността на обработването, за самоконтрол, за гарантиране на цялостността и сигурността на личните данни. Нов елемент в проекта за директива е, че записите могат да се използват и за наказателни производства. Привеждането на системите за автоматизирано обработване в съответствие обаче е много тромав, дълъг и скъп процес. Поради това в позицията на Съвета на първо четене се предвижда удължаване по изключение на периода за транспониране по отношение на привеждането в съответствие на системите за автоматизирано обработване, създадени преди датата на влизане в сила на проекта за директива, когато това би довело до несъразмерни усилия. Допълнително удължаване за привеждането в съответствие на системите за автоматизирано обработване е предвидено при изключителни обстоятелства за конкретна система за автоматизирано обработване, създадена преди датата на влизане в сила на проекта за директива, ако в противен случай това би причинило сериозни затруднения за функционирането на тази конкретна система за автоматизирано обработване.

15.    Оценка на въздействието

Докато първоначалното предложение на Комисията не предвижда оценка на въздействието върху защитата на данните, текстът на проекта за регламент съдържа член относно оценка на въздействието; така е и в позицията на Съвета на първо четене във връзка с проекта за директива. В позицията на Съвета на първо четене се определя задължение за администратора да извърши оценка на въздействието. Необходимо е администраторът да направи оценка на въздействието, преди да може да пристъпи към обработване, ако това обработване вероятно би довело до висок риск за правата и свободите на физическите лица.

В проекта за директива се предвиждат ситуациите, при които оценката на съответствието е задължителна, формулирано по сходен начин с текста на проекта за регламент. Текстът относно елементите, които трябва да съдържа оценката на въздействието, обаче е с по-малко подробности в сравнение с проекта за регламент. Оценката трябва да съдържа най-малко общо описание на обработването, което предстои да бъде извършено, оценка на рисковете за правата и свободите на субектите на данни, гаранции, мерки за сигурност и механизми за осигуряване на защита на личните данни и за доказване на съответствие с разпоредбите на проекта за директива.

16.    Длъжностно лице по защита на данните

В позицията на Съвета на първо четене се посочва, че държавите членки трябва да предвидят администраторът да определя длъжностно лице по защита на данните. Държавите членки обаче следва да могат да освободят съдилищата и други съдебни органи от това задължение, когато действат в изпълнение на съдебните си функции. Длъжностното лице по защита на данните се назначава с цел подобряване на спазването на проекта за директива.

17.    Предаване

За да се осъществява обмен на данни с трети държави и международни организации, е необходимо да има правила за предаването. По отношение на общите принципи за предаването на лични данни позицията на Съвета на първо четене допълва условията, предложени от Комисията, като изисква получаващият орган да бъде компетентен за целите, посочени в член 1, параграф 1, както и че когато се предават или предоставят данни от друга държава членка, тази държава членка е дала своето предварително разрешение. В позицията на Съвета на първо четене освен това ясно е посочено, че всички разпоредби на главата относно предаването трябва да се прилагат, за да се гарантира, че нивото на защита на физическите лица, гарантирано в проекта за директива, не се излага на риск.

В члена, посветен на общите принципи, са изброени в низходящ ред от най-предпочитания вариант до най-малко предпочитания възможностите пред администратора да предаде лични данни, като се започва с решение относно адекватността. На следващо място са случаите на предаване, при които се прилагат подходящи гаранции, следвани от случаи на предаване, при които се прилагат дерогации за особени случаи. Членът, посветен на решенията относно адекватността, понастоящем се отнася единствено за решенията, взети по силата на самия проект за директива, и вече не обхваща решенията, взети по силата на регламента. Посочените в проекта за директива елементи, които Комисията трябва да отчита при оценяване на адекватността на нивото на защита, са идентични с елементите, посочени в проекта за регламент.

В членовете за предаване на данни с подходящи гаранции и за дерогации за особени случаи от позицията на Съвета на първо четене се уточнява, че такова предаване трябва да се документира и документацията трябва да бъде достъпна за надзорния орган, и се изброяват елементите, които документацията трябва да съдържа.

В позицията на Съвета на първо четене се добавя основание за предаване, а именно възможността компетентните органи, но само онези, които са публични органи (а не органи и образувания, които по силата на правото на държава членка упражняват публични правомощия), да предават лични данни на получатели, установени в трети държави. Тази възможност представлява изключение от общия принцип, че личните данни се предават само ако администраторът в третата държава или международната организация е орган, компетентен за целите по член 1, параграф 1 от проекта за директива. За тази цел в позицията на Съвета на първо четене се разрешава на гореспоменатите компетентни органи, в отделни и специфични случаи и при спазване на останалите разпоредби на директивата и на редица изчерпателно изброени условия, да предават лични данни пряко на получателите, тъй като международните споразумения не винаги позволяват да се даде бързият отговор, който може да е нужен. Тези условия включват предаването да е строго необходимо за изпълнението на задача на предаващия компетентния орган, съгласно предвиденото в правото на Съюза или на държава членка за целите, посочени в член 1, параграф 1, предаващият компетентен орган да смята, че предаването на орган, който е компетентен за целите по член 1, параграф 1 в трета държава е неефективно или неподходящо, по-специално поради това, че предаването не може да бъде осъществено своевременно, и предаващият орган да уведоми получателя за конкретната цел или цели, за които трябва да бъдат обработени личните данни. Подобно на предаването въз основа на гаранции и въз основа на дерогации за особени случаи е добавено задължението за документиране на предаването. Такова предаване може да е особено полезно, когато спешно се налага лични данни да бъдат предадени с цел спасяване на живота на лице, което е заплашено да стане жертва на престъпление, или в интерес на предотвратяването на непосредствено предстоящо престъпление, включително тероризъм.

18.    Надзорни органи

С цел да се гарантира спазването на правилата на проекта за директива, мониторингът на проекта за директива, както и на проекта за регламент, ще се осъществява от надзорни органи. Правилата относно надзорните органи в проекта за директива до голяма степен са заимствани от текста на проекта за регламент. Държавите членки имат правото да предвидят възможността надзорните органи, установени в проекта за регламент, да могат да осъществяват надзор и върху проекта за директива. Проектът за директива обаче изключва осъществяването на надзор от надзорните органи по смисъла на проекта за директива на дейностите по обработване на данни, извършвани от съдилищата при изпълнение на съдебните им функции. Държавите членки следва да имат право да изключат осъществяването на надзор от компетентните органи по смисъла на проекта за директива на дейностите по обработване на данни, извършвани от други независими съдебни органи при изпълнение на съдебните им функции. Това обаче не означава, че обработването от такива органи не подлежи на надзор. Затова в съответното съображение е добавено, че дейностите по обработване на данни от съдилищата и други независими съдебни органи подлежат, в съответствие с Хартата на основните права на Европейския съюз, на независим надзор.

19.    Правомощия на надзорните органи

Позицията на Съвета на първо четене предвижда надзорните органи да имат във всяка държава членка еднакви задачи и ефективни правомощия, за да могат да изпълнят задачите, свързани с ефективното, надеждното и последователното наблюдение на спазването и привеждането в изпълнението на проекта за директива навсякъде в Съюза.

Според позицията на Съвета на първо четене правомощията на надзорните органи, които трябва да бъдат определени със закон, са разпределени в три различни категории, а именно разследващи, корективни и консултативни правомощия, както и правомощието за сезиране на съдебните органи за нарушения на разпоредбите, приети съгласно проекта за директива.

20.    Връзка с по-рано сключени международни споразумения

В позицията на Съвета на първо четене, и в съответствие с позицията на Съвета на първо четене по проекта за регламент, се предвижда международните споразумения, които са сключени от държавите членки преди датата на влизане в сила на проекта за директива и са в съответствие с правото на Съюза, приложимо преди датата на влизане в сила на този проект за директива, да останат в сила, докато не бъдат изменени, заменени или отменени. Както се посочва в проекта за регламент, запазването на споразуменията в сила гарантира правната сигурност за администраторите.

IV.   ЗАКЛЮЧЕНИЕ

Позицията на Съвета на първо четене отразява компромиса, постигнат при преговорите между Съвета и Европейския парламент със съдействието на Комисията. Одобрявайки позицията на Съвета на първо четене без изменения, Европейският парламент установява заедно със Съвета високи стандарти за защита на данните на национално и трансгранично равнище, което създава условия за засилено сътрудничество между правоприлагащите органи.


(1)  док. 5833/12.

(2)  док. 7428/14.

(3)  док. 12555/15.

(4)  док. 5463/16.

(5)  Рамково решение 2008/977/ПВР на Съвета от 27 ноември 2008 г. относно защитата на личните данни, обработвани в рамките на полицейското и съдебното сътрудничество по наказателноправни въпроси (ОВ L 350, 30.12.2008 г., стр. 60).