(1)

Вътрешният пазар е едно от най-забележителните достижения на Съюза. Той предлага нови възможности за гражданите и предприятията, като осигурява възможност хората, стоките, услугите и капиталите да се движат свободно. Настоящият регламент представлява ключов елемент от стратегията за единния пазар, утвърдена в съобщението на Комисията от 28 октомври 2015 г., озаглавено „Осъвременяване на единния пазар: повече възможности за гражданите и предприятията“. Тази стратегия има за цел разгръщането на пълния потенциал на вътрешния пазар, като се улесняват гражданите и предприятията да се движат в рамките на Съюза и да извършват търговия, да се установят и разширяват стопанската си дейност в чужбина.

(2)

В съобщението на Комисията от 6 май 2015 г., озаглавено „Стратегия за цифров единен пазар за Европа“, се признава ролята на интернет и на цифровите технологии за преобразяването на живота ни и промяната на начина, по който гражданите и предприятията получават достъп до информация, придобиват знания, купуват стоки и услуги, участват на пазара и работят, като по този начин улесняват появата на възможности за иновации, растеж и създаване на работни места. В това съобщение и в няколко резолюции, приети от Европейския парламент, се признава, че потребностите на гражданите и предприятията в техните държави и в чужбина могат да бъдат удовлетворени по-добре чрез разширяване и интегриране на съществуващите на европейско ниво портали, уебсайтове, мрежи, услуги и системи и чрез свързването им с различните национални решения, с което да се създаде „единна цифрова платформа“, която да служи за единна европейска входна точка (наричана по-долу „платформата“). В съобщението на Комисията от 19 април 2016 г., озаглавено „План за действие на ЕС за електронно управление през периода 2016—2020 г. Ускоряване на цифровото преобразуване на управлението“, платформата е посочена като едно от предвидените действия за 2017 г. В доклада на Комисията от 24 януари 2017 г., озаглавен „Укрепване на правата на гражданите в Съюз на демократична промяна — Доклад за гражданството на ЕС, 2017 г.“, платформата се отбелязва като приоритет във връзка с правата на гражданите на Съюза.

(3)

Европейският парламент и Съветът многократно са призовавали за по-цялостен и лесен за ползване пакет от информация и помощ, за съдействие на гражданите и предприятията да се ориентират на вътрешния пазар и за укрепване и рационализиране на инструментите за вътрешния пазар с цел да се отговори по-добре на потребностите на гражданите и предприятията в техните трансгранични дейности.

(4)

С настоящия регламент се отговаря на тези призиви, като на гражданите и предприятията се предоставя лесен достъп до информацията, процедурите и услугите за оказване на помощ и решаване на проблеми, от които те се нуждаят, за да упражняват правата си в рамките на вътрешния пазар. Платформата би могла да допринесе за по-голямата прозрачност на правилата и разпоредбите, свързани с различните събития от стопански и житейски характер, в области, като например пътуване, пенсиониране, образование, заетост, здравеопазване, права на потребителите и на семействата. Освен това тя може да спомогне за повишаване на доверието на потребителите, да разреши проблема с непознаването на правилата за защита на потребителите и на правилата на вътрешния пазар и да намали разходите на предприятията за постигането на съответствие. С настоящия регламент се създава лесна за ползване, интерактивна платформа, която въз основа на потребностите на потребителите следва да ги насочва към най-подходящите услуги. В този контекст Комисията и държавите членки следва да изпълняват важни функции при постигането на тези цели.

(5)

Платформата следва да улеснява взаимодействията между гражданите и предприятията, от една страна, и компетентните органи, от друга страна, чрез предоставянето на достъп до онлайн решения, улесняващи ежедневните дейности на гражданите и предприятията и свеждащи до минимум срещнатите пречки на вътрешния пазар. Съществуването на единна цифрова платформа, която осигурява онлайн достъп до точна и актуална информация, до процедури и до услуги за оказване на помощ и решаване на проблеми, може да спомогне за повишаване на осведомеността на потребителите относно различните съществуващи онлайн услуги, както и да им спести време и разходи.

(6)

Настоящият регламент има три цели, а именно да намали допълнителната административна тежест за гражданите и предприятията, които упражняват или искат да упражняват своите права, свързани с вътрешния пазар, включително свободното движение на гражданите, при пълно спазване на националните правила и процедури, да премахне дискриминацията и да осигури функционирането на вътрешния пазар по отношение на осигуряването на информация, процедури и услуги за оказване на помощ и решаване на проблеми. Тъй като настоящият регламент обхваща свободното движение на гражданите и не може да се счита със само допълващ характер, той следва да се основава на член 21, параграф 2 и член 114, параграф 1 от Договора за функционирането на Европейския съюз (ДФЕС).

(7)

За да могат гражданите и предприятията от Съюза да се възползват от правото си на свободно движение в рамките на вътрешния пазар, Съюзът следва да приеме конкретни, недискриминиращи мерки, които да осигурят на гражданите и предприятията възможност за лесен достъп до достатъчно изчерпателна и надеждна информация относно техните права съгласно правото на Съюза и до информация относно приложимите национални правила и процедури, с които те трябва да се съобразяват, когато се преместват, живеят или учат, или когато се установяват или извършват стопанска дейност в държава членка, различна от тяхната собствена. Информацията следва да се счита за достатъчно изчерпателна, ако включва цялата информация, необходима, за да могат потребителите да разберат своите права и задължения и да определят правилата, които се прилагат във връзка с дейностите, които желаят да предприемат като трансгранични потребители. Информацията следва да бъде изложена по ясен, кратък и разбираем начин и да бъде от полза и добре адаптирана към целевата група потребители. Информацията относно процедурите следва да обхваща всички предвидими процедурни стъпки, които са от значение за потребителя. От значение за гражданите и предприятията, сблъскващи се с комплексна регулаторна среда, например в областта на електронната търговия и икономиката на сътрудничеството, е да могат лесно да определят приложимите правила и как те се прилагат за техните дейности. Лесният и удобен за потребителите достъп до информация означава достъп, който дава на потребителя възможност лесно да намира информацията, лесно да определя кои части от нея са от значение в неговия конкретен случай и лесно да разбере съответната информация. Информацията, която трябва да се осигури на национално равнище, следва да се отнася не само до националните правила за прилагане на правото на Съюза, но и до всички други национални правила, които се прилагат както по отношение на нетрансграничните, така и по отношение на трансграничните потребители.

(8)

Правилата за осигуряване на информация в настоящия регламент не следва да се прилагат за националните съдебни системи, тъй като информацията в тази област, която е от значение за трансграничните потребители, вече е включена в портала за електронно правосъдие. В някои случаи, обхванати от настоящия регламент, съдилищата следва да бъдат считани за компетентни органи, например когато управляват търговски регистри. Освен това принципът на недискриминация следва да се прилага и за онлайн процедури, които дават достъп до съдебни производства.

(9)

Ясно е, че гражданите и предприятията от други държави членки могат да бъдат в неизгодно положение поради непознаване на националните правила и административните системи, използването на различни езици и липсата на географска близост с компетентните органи в държава членка, различна от тяхната собствена. Най-ефективният начин за намаляване на произтичащите от това пречки пред вътрешния пазар е да се даде възможност на трансграничните и нетрансграничните потребители да получат достъп до онлайн информация на език, който те разбират, за да могат да извършват процедурите за постигане на съответствие с националните правила изцяло онлайн и да им се предложи помощ, когато правилата и процедурите не са достатъчно ясни или когато срещат пречки при упражняването на правата си.

(10)

Редица актове на Съюза имаха за цел да осигурят решения посредством създаването на секторни звена за обслужване на едно гише, включително чрез единичните звена за контакт, създадени съгласно Директива 2006/123/ЕО на Европейския парламент и на Съвета (3), които предлагат онлайн информация, услуги за оказване на помощ и достъп до процедурите, които са от значение за предоставянето на услуги; звената за контакт относно продуктите, създадени с Регламент (ЕО) № 764/2008 на Европейския парламент и на Съвета (4), и звената за контакт относно продукти в строителството, създадени с Регламент (ЕС) № 305/2011 на Европейския парламент и на Съвета (5), които осигуряват на достъп до специфични за отделни продукти технически правила, както и националните помощни центрове във връзка с професионалните квалификации, създадени с Директива 2005/36/ЕО на Европейския парламент и на Съвета (6), които оказват помощ на специалистите при преместването им през граница. Освен това бяха създадени мрежи, като европейските потребителски центрове, с цел разясняване на правата на потребителите в Съюза и оказване на помощ при разглеждане на жалби във връзка с покупки в други държави членки в рамките на мрежата, при пътуване или пазаруване онлайн. Освен това SOLVIT, посочена в Препоръка 2013/461/ЕС на Комисията (7), има за цел да осигурява бързи, ефективни и неформални решения на гражданите и предприятията, когато публичните органи отказват да признаят техните права, свързани с вътрешния пазар. И на последно място, бяха създадени редица информационни портали, като „Вашата Европа“ във връзка с вътрешния пазар и портала за електронно правосъдие във връзка с пространството на правосъдие, за да се информират потребителите за правилата на Съюза и националните правила.

(11)

Поради секторния характер на тези актове понастоящем осигуряването на онлайн информация и на услуги за оказване на помощ и решаване на проблеми заедно с онлайн процедури за граждани и предприятия продължава да бъде силно фрагментирано. Съществуват несъответствия в наличието на онлайн информация и процедури, има проблеми по отношение на качеството на услугите и липсва осведоменост относно тази информация и тези услуги за оказване на помощ и решаване на проблеми. Трансграничните потребители също изпитват затруднения при намирането и получаването на достъп до тези услуги.

(12)

С настоящия регламент следва да се създаде единна цифрова платформа, чрез която гражданите и предприятията да получат достъп до информация за правилата и изискванията, които те трябва да спазват съгласно правото на Съюза или на националното право. С платформата следва да се опрости контактът на гражданите и предприятията с услугите за оказване на помощ и решаване на проблеми, установени на равнището на Съюза или на национално равнище, и да се подобри ефективността на този контакт. Тази платформа следва също така да улеснява достъпа до онлайн процедури и тяхното извършване. Настоящият регламент по никакъв начин не следва да засяга съществуващите права и задължения съгласно правото на Съюза или националното право в тези области на политиката. По отношение на процедурите, изброени в приложение II към настоящия регламент, както и процедурите, предвидени в директиви 2005/36/ЕО и 2006/123/ЕО, както и в директиви 2014/24/ЕС (8) и 2014/25/ЕС (9) на Европейския парламент и на Съвета, настоящият регламент следва да подкрепя прилагането на принципа на еднократност и следва напълно да зачита основното право на защита на личните данни за целите на обмена на удостоверителни документи между компетентните органи в различните държави членки.

(13)

Платформата и нейното съдържание следва да бъдат насочени към потребителите и да са лесни за ползване. Платформата следва да има за цел да се избегнат припокривания и следва да включва хипервръзки към съществуващите услуги. Тя следва да позволява на гражданите и предприятията да си взаимодействат с публичните органи на национално равнище и на равнището на Съюза, като им осигурява възможност да изпращат обратна информация във връзка с предлаганите чрез платформата услуги и функционирането на вътрешния пазар съобразно техния опит. Инструментът за обратна информация следва да дава възможност на потребителя да посочва забелязаните проблеми, пропуски и потребности с цел да се насърчи непрекъснатото подобряване на качеството на услугите по начин, който позволява на потребителя да остане анонимен.

(14)

Успехът на платформата ще зависи от съвместните усилия на Комисията и на държавите членки. Платформата следва да включва общ потребителски интерфейс, интегриран в съществуващия портал „Вашата Европа“, който ще се управлява от Комисията. Общият потребителски интерфейс следва да включва хипервръзки към наличните на управлявания от компетентните органи на държавите членки и Комисията портал информация, процедури и услуги за оказване на помощ или решаване на проблеми. За да се улесни използването на платформата, общият потребителски интерфейс следва да бъде достъпен на всички официални езици на институциите на Съюза (наричани по-долу „официалните езици на Съюза“). Съществуващият портал „Вашата Европа“ и главната му интернет страница за достъп, адаптирани към изискванията на платформата, следва да запазят този многоезичен подход към осигуряваната информация. Функционирането на платформата следва да бъде основано на технически инструменти, разработени от Комисията в тясно сътрудничество с държавите членки.

(15)

В Хартата за електронните единични звена за контакт съгласно Директива 2006/123/ЕО, която беше одобрена от Съвета през 2013 г., държавите членки са поели доброволен ангажимент да прилагат насочен към потребителя подход при осигуряването на информация чрез единичните звена за контакт, за да бъдат обхванати областите от особено значение за предприятията, включително изискванията във връзка с ДДС, данъците върху доходите, социалната сигурност или трудовото право. Въз основа на Хартата и предвид опита с портала „Вашата Европа“ тази информация следва да съдържа и описание на услугите за оказване на помощ и решаване на проблеми. Гражданите и предприятията следва да могат да използват тези услуги, когато имат проблеми с разбирането на информацията, с нейното приложение в техния случай или с извършването на дадена процедура.

(16)

В настоящия регламент следва да се изброят областите на информация, които са от значение за гражданите и предприятията при упражняването на техните права и изпълнението на техните задължения в рамките на вътрешния пазар. В тези области следва да бъде осигурявана достатъчно изчерпателна информация на национално равнище, включително на регионално и местно равнище, и на равнището на Съюза, за разясняване на приложимите правила и задължения, както и на процедурите, които трябва да извършат гражданите и предприятията, за да се съобразят с тези правила и задължения. За да се гарантира качеството на предлаганите услуги, осигуряваната чрез платформата информация следва да бъде ясна, точна и актуална, използването на сложни понятия следва да се сведе до минимум, а използването на съкращения да се ограничи до тези, които предоставят опростени, лесноразбираеми понятия, които не изискват предварителни познания по въпроса или в тази област на правото. Тази информация следва да е представена по начин, който позволява на потребителите лесно да разберат основните правила и изисквания, приложими в техния случай в посочените области. Също така потребителите следва да бъдат информирани относно липсата в някои държави членки на национални правила в информационните области, изброени в приложение I, особено когато тези области са предмет на национални правила в други държави членки. Такава информация относно липсата на национални правила би могла да бъде включена в портала „Вашата Европа“.

(17)

При възможност информацията, която Комисията вече е събрала от държавите членки съгласно действащото право на Съюза или доброволни договорености, като например информация, събрана за целите на портала на Европейските служби по заетостта (EURES), създаден с Регламент (ЕС) 2016/589 на Европейския парламент и на Съвета (10), европейския портал за електронно правосъдие, създаден с Решение 2001/470/ЕО на Съвета (11), или базата данни за регулираните професии, създадена с Директива 2005/36/ЕО, следва да се използва за получаване на част от информацията, която ще се осигурява на гражданите и предприятията на равнището на Съюза и на национално равнище в съответствие с настоящия регламент. От държавите членки не следва да се изисква да осигуряват на своите национални уебсайтове информация, която вече е налична в съответните бази данни, управлявани от Комисията. Когато държавите членки вече трябва да предоставят онлайн информация съгласно други актове на Съюза, като например Директива 2014/67/ЕС на Европейския парламент и на Съвета (12), следва да е достатъчно държавите членки да включат хипервръзки към съществуващата онлайн информация. Когато определени области на политиката вече са напълно хармонизирани чрез правото на Съюза, например правата на потребителите, осигурената на равнището на Съюза информация следва по принцип да е достатъчна, за да могат потребителите да разберат своите съответни права или задължения. В тези случаи от държавите членки следва да се изисква само да осигурят допълнителна информация относно националните си административни процедури и услуги за оказване на помощ или всякакви други национални административни правила, ако това е от значение за потребителите. Така например информацията относно правата на потребителите не следва да засяга договорното право, а следва само да информира потребителите за техните права съгласно правото на Съюза и националното право в контекста на търговските сделки.

(18)

Настоящият регламент следва да засили свързаното с вътрешния пазар измерение на онлайн процедурите, като по този начин допринесе за цифровизацията на вътрешния пазар, при зачитане на общия принцип на недискриминация, наред с другото — и във връзка с достъпа на гражданите или предприятията до онлайн процедури, които вече са установени на национално равнище въз основа на правото на Съюза или на националното право, както и до процедури, които трябва да бъдат достъпни изцяло онлайн в съответствие с настоящия регламент. Ако потребител, чийто случай е ограничен изцяло до една държава членка, може да получи достъп и да извърши процедура онлайн в тази държава членка в област, попадаща в обхвата на настоящия регламент, то трансграничният потребител също следва да може да получи достъп и да извърши тази процедура онлайн или чрез същото, или чрез алтернативно, обособено от техническа гледна точка решение, което води до същия резултат, без никакви дискриминационни пречки. Тези пречки могат да се състоят от национално разработени решения, като например полета на формуляри, в които се изисква вписването на национални телефонни номера, национални префикси за телефонни номера или национални пощенски кодове, плащане на такси, което може да бъде осъществено единствено чрез системи, при които е невъзможно извършването на трансгранични плащания, липсата на подробни обяснения на език, разбиран от трансграничните потребители, липсата на възможности за представяне на удостоверителен документ в електронен формат от органи, намиращи се в друга държава членка, и неприемането на електронни средства за идентификация, издадени в други държави членки. Държавите членки следва да осигурят решения за преодоляването на тези пречки.

(19)

Когато потребителите извършват трансгранични онлайн процедури, те следва да могат да получат всички необходими разяснения на официален език на Съюза, който в голяма степен се разбира от възможно най-широк кръг трансгранични потребители. Това не означава, че от държавите членки се изисква да преведат административните си формуляри, свързани с процедурата, или резултата от тази процедура на този език. Държавите членки обаче се насърчават да използват технически решения, които дават възможност на потребителите да извършат процедурите във възможно най-голяма степен на този език, при зачитане на правилата на държавите членки по отношение на използването на езиците.

(20)

Националните онлайн процедури, които са от значение за трансгранични потребители, за да могат те да упражнят правата си, свързани с вътрешния пазар, се определят в зависимост от това дали потребителите пребивават или са установени в съответната държава членка, или искат достъп до процедурите на тази държава членка, като същевременно пребивават или са установени в друга държава членка. Настоящият регламент не следва да възпрепятства държавите членки да изискват от трансграничните потребители, пребиваващи или установени на тяхната територия, да получат национален идентификационен номер, за да получат достъп до националните онлайн процедури, при условие че това не води до неоправдана допълнителна тежест или разходи за тези потребители. За трансгранични потребители, които не пребивават или не са установени в съответната държава членка, националните онлайн процедури, които нямат значение за упражняването на правата им, свързани с единния пазар — например регистрация с цел да се ползват от местни услуги като събиране на отпадъци или получаване на разрешения за паркиране — не е необходимо да бъдат изцяло достъпни онлайн.

(21)

Настоящият регламент следва да се основава на Регламент (ЕС) № 910/2014 на Европейския парламент и на Съвета (13), с който се определят условията, при които държавите членки признават някои средства за електронна идентификация на физически и юридически лица, обхванати от нотифицирана схема за електронна идентификация на друга държава членка. В Регламент (ЕС) № 910/2014 са предвидени условията, при които на потребителите е разрешено да използват своите средства за електронна идентификация и установяване на автентичност, за да получат онлайн достъп до обществени услуги в трансгранични ситуации. Институциите, органите, службите и агенциите на Съюза се насърчават да приемат средствата за електронна идентификация и установяване на автентичност за процедурите, за които отговарят.

(22)

В редица секторни актове на Съюза, като например директиви 2005/36/ЕО, 2006/123/ЕО, 2014/24/ЕС и 2014/25/ЕС се изисква процедурите да бъдат изцяло осъществими онлайн. С настоящия регламент следва да се изисква редица други процедури от ключово значение за мнозинството от гражданите и предприятията при упражняването на трансграничните им права и спазването на техните задължения да станат изцяло осъществими онлайн.

(23)

За да се даде възможност на гражданите и предприятията да извличат пряка полза от вътрешния пазар, без да понасят излишна допълнителна административна тежест, с настоящия регламент следва да се изиска пълна цифровизация на потребителския интерфейс на някои ключови за трансграничните потребители процедури, които са изброени в приложение II към настоящия регламент. С настоящия регламент следва също така да се предвидят критериите за определяне на начина, по който тези процедури се квалифицират като изцяло осъществими онлайн. Задължението подобна процедура да бъде изцяло осъществима онлайн следва да се прилага само когато процедурата е предвидена във въпросната държава членка. Настоящият регламент не следва да обхваща първоначалната регистрация на стопанска дейност, процедурите, водещи до учредяване на дружества като правни субекти, или последващо подаване на документи от такива дружества, тъй като тези процедури изискват всеобхватен подход, насочен към улесняване на въвеждането на цифрови решения през всичките етапи на съществуването на дружествата. Когато предприятията се установяват в друга държава членка, от тях се изисква да се регистрират към схема за социална сигурност и към осигурителна схема, за да регистрират своите служители и да плащат вноски и към двете схеми. Може да се наложи те да съобщят своите стопански дейности, да получат разрешения или да регистрират промени в своята стопанска дейност. Тези процедури са общи за предприятията, извършващи дейност в много икономически сектори, и поради това е целесъобразно да се изисква тези процедури да станат осъществими онлайн.

(24)

В настоящия регламент следва да се поясни до какво води предлагането на процедура, изцяло осъществима онлайн. Дадена процедура следва да се счита за изцяло осъществима онлайн, когато потребителят може да предприеме всички стъпки — от достъпа до процедурата до приключването ѝ, като взаимодейства с компетентния орган — „фронт офиса“, по електронен път, от разстояние и чрез онлайн услуга. Чрез тази онлайн услуга потребителят следва да бъде направляван по списък с всички изисквания, които трябва да бъдат изпълнени, и всички удостоверителни документи, които трябва да бъдат представени, като даде възможност на потребителя да предостави информацията и доказателствата за съответствие с всички тези изисквания, както и да му получи автоматично потвърждение за прието искане, освен ако резултатът от процедурата не се съобщава незабавно. Това не следва да възпрепятства компетентните органи да осъществяват пряк контакт с потребителите, когато е необходимо с цел да получат допълнителни разяснения, които са нужни във връзка с процедурата. Съгласно настоящия регламент резултатът от процедурата следва да се предостави от компетентните органи на потребителя и по електронен път, когато е възможно съгласно приложимото право на Съюза и приложимото национално право.

(25)

Настоящият регламент не следва да засяга същността на процедурите, изброени в приложение II, които са установени на национално, регионално или местно равнище, и не предвижда материалноправни разпоредби или процедурни правила в областите, попадащи в обхвата на приложение II, включително в областта на данъчното облагане. Целта на настоящия регламент е да се определят техническите изисквания, за да се гарантира, че такива процедури, в случай че те съществуват в съответната държава членка, са изцяло осъществими онлайн.

(26)

Настоящият регламент следва да не засяга компетентността по отношение на всяка процедура, включително проверката на точността и верността на информацията или представените удостоверителни документи, както и проверката на автентичността, в случай че удостоверителните документи са представени чрез средства, различни от техническата система, основавана на принципа за еднократност. Настоящият регламент не следва да засяга и процедурните работни процеси в рамките на и между компетентните органи — „бек офиса“, независимо дали са цифровизирани или не. Когато е необходимо като част от някои от процедурите за регистриране на промени в стопанската дейност, държавите членки следва да продължат да могат да изискват участието на нотариуси или адвокати, които биха могли да поискат да използват средства за проверка, включително видеоконферентна връзка или други онлайн средства, които осигуряват аудио-визуална връзка в реално време. Такова участие обаче следва да не възпрепятства извършването на процедурите за регистрация на такива промени изцяло онлайн.

(27)

В някои случаи от потребителите може да се изисква да представят удостоверителни документи в подкрепа на факти, които не могат да бъдат установени онлайн. Тези удостоверителни документи могат да включват медицинско свидетелство, доказателство, че лицето е живо, доказателство за техническа изправност на моторните превозни средства или потвърждение на номера на рамата. Ако тези удостоверителни документи могат да бъдат представени в електронен формат, това не би представлявало изключение от принципа, че процедурата следва да е осъществима изцяло онлайн. В други случаи потребителите по дадена процедура все още може да е необходимо да се явяват лично пред компетентния орган като част от онлайн процедура. Всяко подобно изключение, различно от онези, които произтичат от правото на Съюза, следва да бъде ограничено до положения, които са оправдани от императивно съображение, свързано с обществения интерес в областта на обществената сигурност, общественото здраве или борбата с измамите. За да се осигури прозрачност, държавите членки следва да споделят с Комисията и с другите държави членки информация за такива изключения, както и за съображенията за тези изключения и обстоятелствата, при които те могат да се прилагат. От държавите членки не следва да се изисква да докладват за всеки отделен случай, в който личното явяване е било необходимо по изключение, а по-скоро следва да съобщят националните разпоредби, които предвиждат такива случаи. Най-добрите практики на национално равнище и техническите новости, даващи възможност за по-нататъшна цифровизация в това отношение, следва да се обсъждат редовно от координационна група по въпросите на платформата.

(28)

В трансгранични ситуации процедурата за регистрация на промяна на адрес може да обхваща две отделни процедури — една в държавата членка на произход, за да се поиска отписването от стария адрес, и друга в държавата членка на местоназначение, за да се поиска регистрацията на новия адрес. Настоящият регламент следва да обхваща и двете процедури.

(29)

Тъй като цифровизацията на изискванията, процедурите и формалностите, свързани с признаването на професионалните квалификации, вече е обхваната от Директива 2005/36/ЕО, настоящият регламент следва да обхваща само цифровизацията на процедурата за искане на академично признаване на дипломи, свидетелства или други доказателства за завършени курсове на лице, което желае да започне или да продължи да учи, или да използва академично звание, извън формалностите по признаването на професионални квалификации.

(30)

Настоящият регламент следва да не засяга правилата за координация на социалната сигурност, предвидени в регламенти (ЕО) № 883/2004 (14) и (ЕО) № 987/2009 (15) на Европейския парламент и на Съвета, които определят правата и задълженията на осигурените лица и институциите в областта на социалната сигурност, както и процедурите, приложими в областта на координацията на социалната сигурност.

(31)

На равнището на Съюза и на национално равнище бяха създадени няколко мрежи и услуги за оказване на помощ на гражданите и предприятията в трансграничната им дейност. Важно е тези услуги, включително съществуващите услуги за оказване на помощ или решаване на проблеми, установени на равнището на Съюза, като например европейските потребителски центрове, „Вашата Европа — Съвети“, SOLVIT, бюрото за помощ относно правата на интелектуална собственост, Europe Direct и мрежата Enterprise Europe, да са част от платформата, за да се гарантира, че всички потенциални потребители могат да ги открият. Услугите, изброени в приложение III, са създадени с правно обвързващи актове на Съюза, докато други услуги се предоставят на доброволна основа. Услугите, създадени с правно обвързващи актове на Съюза, следва да бъдат обвързани с предвидените в настоящия регламент изисквания за качество. Услугите, предоставяни на доброволна основа, следва да съответстват на тези изисквания за качество, ако се планира те да бъдат достъпни чрез платформата. Настоящият регламент не следва да изменя обхвата и естеството на тези услуги, механизмите на тяхното управление, съществуващите срокове и доброволната, договорна или друга основа, на която се предоставят. Например когато помощта, която се оказва чрез тях, е с неформален характер, настоящият регламент не следва да води до промяна на тази помощ в правен съвет с обвързващ характер.

(32)

Освен това държавите членки и Комисията следва да могат да добавят в платформата други национални услуги за оказване на помощ или решаване на проблеми, които се предоставят от компетентните органи или от частни или подобни на частните организации, или от публични органи, като например търговски камари или неправителствени служби за оказване на помощ за граждани, при предвидените в настоящия регламент условия. По принцип компетентните органи следва да носят отговорност за оказването на помощ на гражданите и предприятията по всякакви техни въпроси по отношение на приложимите правила и процедури, на които не може да се отговори напълно чрез онлайн услугите. Но в тясно специализирани области и когато предоставяната от частните или подобните на частните организации услуга отговаря на потребностите на потребителите, държавите членки могат да предложат на Комисията да включи такива услуги в платформата, при условие че тези услуги отговарят на всички предвидени в настоящия регламент условия и не се припокриват с вече включените услуги за оказване на помощ или решаване на проблеми.

(33)

За да се подпомогнат потребителите при търсенето на подходяща услуга, с настоящия регламент следва да се предвиди инструмент за търсене на услуги за оказване на помощ, който автоматично да ги насочва към нея.

(34)

Постигането на съответствие с минимален списък от изисквания за качество е от основно значение за успеха на платформата, за да се гарантира, че осигуряването на информация или услуги е надеждно, защото в противен случай доверието в платформата като цяло би било сериозно подкопано. Основната цел на постигането на съответствие е да се гарантира, че информацията или услугата е осигурена по ясен и лесен за ползване начин. Държавите членки са отговорни за определянето на начина, по който информацията се осигурява по време на навигацията на потребителя с оглед на постигането на тази цел. Например, макар че е полезно потребителите да бъдат информирани преди започването на процедура за общодостъпните средства за правна защита в случай на отрицателен резултат от процедурата, е много по-удобно за потребителите да им се предостави конкретна информация за възможните стъпки, които трябва да се предприемат в такъв случай, в края на процедурата.

(35)

Достъпността на информацията за трансграничните потребители може да бъде значително подобрена, ако тази информация се предоставя на официален език на Съюза, който в голяма степен се разбира от възможно най-широк кръг трансгранични потребители. Този език следва в повечето случаи да бъде най-често изучаваният от потребителите в целия Съюз чужд език, но в някои особени случаи, по-специално по отношение на информацията, която трябва да бъде осигурявана на местно равнище от малки общини в близост до границата на държава членка, най-подходящият език може да бъде използваният като първи език от трансграничните потребители от съседната държава членка. Преводът от официалния език или езици на въпросната държава членка на този друг официален език на Съюза следва да отразява точно съдържанието на информацията, предоставена на оригиналния език или езици. Преводът може да е ограничен до информацията, необходима на потребителите, за да разберат основните правила и изисквания, приложими в техния случай. Въпреки че държавите членки следва да бъдат насърчавани да превеждат възможно най-много информация на официален език на Съюза, който в голяма степен се разбира от възможно най-широк кръг трансгранични потребители, обемът на информацията, която трябва да се превежда съгласно настоящия регламент, ще зависи от наличните за тази цел финансови ресурси, по-специално тези от бюджета на Съюза. Комисията следва да вземе подходящи мерки, за да се гарантира ефикасното осигуряване на превод на държавите членки по тяхно искане. Координационната група по въпросите на платформата следва да обсъди и да предостави насоки относно официалния език или езици на Съюза, на които следва да бъде преведена тази информация.

(36)

Съгласно Директива (ЕС) 2016/2102 на Европейския парламент и на Съвета (16) държавите членки трябва да гарантират, че уебсайтовете на техните публични органи са достъпни в съответствие с принципите на лесно разпознаване на елементите, оперативност, разбираемост и стабилност, и че те са съобразени с изискванията, предвидени в тази директива. Комисията и държавите членки следва да гарантират съответствието с Конвенцията на Организацията на обединените нации за правата на хората с увреждания, и по-специално членове 9 и 21 от нея, и за да се насърчи достъпът до информация за хора с интелектуална недостатъчност, следва да се осигурят алтернативи на лесен за четене език във възможно най-голяма степен и в съответствие с принципа на пропорционалност. С ратифицирането на тази конвенция от страна на държавите членки и сключването ѝ от страна на Съюза (17) държавите членки и Съюзът са се ангажирали да предприемат подходящи мерки за осигуряване на достъп за хората с увреждания, равноправно с всички останали, до нови информационни и комуникационни технологии и системи, включително интернет, чрез улесняване на достъпа до информация за хора с интелектуална недостатъчност, с осигуряване на алтернативи на лесен за четене език във възможно най-голяма степен и пропорционално.

(37)

Директива (ЕС) 2016/2102 относно достъпността на уебсайтовете не се прилага за уебсайтове и мобилни приложения на институциите, органите, службите и агенциите на Съюза, но Комисията следва да гарантира, че общият потребителски интерфейс и интернет страниците, за които тя носи отговорност и които ще бъдат включени в платформата, са достъпни за лица с увреждания, което означава, че те са с лесно разпознаваеми елементи, оперативни, разбираеми и стабилни. Лесно разпознаване на елементите означава информацията и компонентите на общия потребителски интерфейс да бъдат представени на потребителите във вид, който могат да възприемат; оперативност означава компонентите на общия потребителски интерфейс и навигацията да бъдат използваеми; разбираемост означава информацията и използването на потребителския интерфейс да бъдат разбираеми; а стабилност означава съдържанието да е достатъчно стабилно, така че да може да бъде надеждно тълкувано от най-различни потребителски агенти, включително помощни технологии. По отношение на понятията „лесно разпознаваеми“, „функционално пригодни“, „разбираеми“ и „стабилни“ Комисията се насърчава да спазва съответните хармонизирани стандарти.

(38)

С цел да се улесни плащането на такси, което се изисква в рамките на онлайн процедури или за предоставяне на услуги за оказване на помощ или решаване на проблеми, трансграничните потребители следва да могат да използват кредитни преводи или директни дебити, посочени в Регламент (ЕС) № 260/2012 на Европейския парламент и на Съвета (18), или други широко използвани трансгранични платежни средства, включително дебитни или кредитни карти.

(39)

От полза за потребителите ще е да бъдат информирани за очакваното време, което може да отнеме дадена процедура. С оглед на това, потребителите следва да бъдат информирани за приложимите крайни срокове или административните или други механизми за даване на мълчаливо съгласие, или, ако няма такива, най-малко за очакваното или приблизителното време, което въпросната процедура обичайно изисква. Тези прогнози или указания следва само да помагат на потребителите при планирането на техните дейности или на всякакви последващи административни действия и не следва да имат никакви правни последици.

(40)

Настоящият регламент следва също така да осигурява възможност за проверка на удостоверителни документи, предоставени в електронен формат от потребителите, когато тези документи са изпратени без електронен печат или сертификат от издаващия компетентен орган или когато не е на разположение техническият инструмент, създаден с настоящия регламент или с друга система, позволяваща пряк обмен или проверка на удостоверителни документи между компетентните органи на различни държави членки. За такива случаи в настоящия регламент следва да се предвиди ефикасен механизъм за административно сътрудничество между компетентните органи на държавите членки, основаващо се на Информационната система за вътрешния пазар (IMI), създадена с Регламент (ЕС) № 1024/2012 на Европейския парламент и на Съвета (19). В такива случаи решението на компетентния орган да използва IMI следва да бъде доброволно, но след като този орган е отправил искане за информация или за сътрудничество чрез IMI, получилият искането компетентен орган следва да бъде задължен да сътрудничи и да даде отговор. Искането може да бъде изпратено чрез IMI до компетентния орган, издаващ удостоверителния документ, или до централния орган, определен от държавите членки в съответствие с административните им правила. За да се избегне излишно дублиране и като се има предвид, че Регламент (ЕС) 2016/1191 на Европейския парламент и на Съвета (20) обхваща част от удостоверителните документи, приложими за процедурите, които попадат в обхвата на настоящия регламент, механизмите за сътрудничество във връзка с IMI, определени в Регламент (ЕС) 2016/1191, може да бъдат използвани и за целите на други удостоверителни документи, необходими за обхванатите от настоящия регламент процедури. Регламент (ЕС) № 1024/2012 следва да бъде изменен, за да се даде възможност на органите, службите или агенциите на Съюза да станат участници в IMI.

(41)

Онлайн услугите, предоставяни от компетентните органи, са от решаващо значение за повишаване на качеството и сигурността на услугите, предоставяни на гражданите и предприятията. Публичните администрации в държавите членки все по-често полагат усилия за повторно използване на данните, като не изискват гражданите и предприятията да предоставят една и съща информация неколкократно. Повторното използване на данните следва да бъде улеснено за трансграничните потребители с цел намаляване на допълнителната тежест.

(42)

За да се даде възможност за законосъобразен трансграничен обмен на удостоверителни документи и информация чрез прилагане на принципа на еднократност на територията на целия Съюз, прилагането на настоящия регламент и на принципа на еднократност следва е съобразено с всички приложими правила за защита на личните данни, включително принципите на свеждане на данните до минимум, точност, ограничение на съхранението, цялостност и поверителност, необходимост, пропорционалност и ограничаване по отношение на целите. Прилагането му следва да се извършва и при пълно спазване на принципите за сигурност и неприкосновеност на личния живот още при проектирането и зачитането на основните права на физическите лица, включително тези, свързани със справедливостта и прозрачността.

(43)

Държавите членки следва да гарантират, че на потребителите на процедурите е осигурена ясна информация относно начина, по който ще бъдат обработени отнасящите се до тях лични данни в съответствие с членове 13 и 14 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета (21) и членове 15 и 16 от Регламент (ЕС) 2018/1725 (22).

(44)

С цел допълнително улесняване на използването на онлайн процедурите в съответствие с принципа на еднократност настоящият регламент следва да осигури основата за създаването и използването на напълно оперативна, безопасна и сигурна техническа система за автоматизирания трансграничен обмен на удостоверителни документи между участниците в процедурата, когато е постъпило изрично искане за това от гражданите и предприятията. Когато обменът на удостоверителни документи включва лични данни, искането следва да се счита за изрично, ако съдържа свободно изразено, конкретно, информирано и недвусмислено волеизявление на лицето за обмен на съответните лични данни, със заявление или с потвърдително действие. Ако потребителят не е лицето, за което се отнасят данните, онлайн процедурата не следва да засяга правата му съгласно Регламент (ЕС) 2016/679. Трансграничното прилагане на принципа на еднократност следва да доведе до това гражданите и предприятията да не трябва да предоставят едни и същи данни на публичните органи повече от веднъж, като следва също така да бъде възможно тези данни да се използват по искане на потребителя за целите на извършването на трансгранични онлайн процедури, в които участват трансгранични потребители. За издаващия компетентен орган задължението за използване на техническата система за автоматизиран обмен на удостоверителни документи между различни държави членки следва да се прилага само тогава, когато органи законосъобразно издават в собствената си държава членка удостоверителни документи в електронен формат, който позволява такъв автоматичен обмен.

(45)

Всеки трансграничен обмен на удостоверителни документи следва да има подходящо правно основание, като например директива 2005/36/ЕО, 2006/123/ЕО, 2014/24/ЕС или 2014/25/ЕС, а за процедурите, изброени в приложение II —друго приложимо право на Съюза или национално право.

(46)

Целесъобразно е настоящият регламент да установи като общо правило, че трансграничният автоматизиран обмен на удостоверителни документи се извършва по изрично искане на потребителя. Това изискване обаче не следва да се прилага, когато съответното право на Съюза или национално право дава възможност за автоматичен трансграничен обмен на данни без изрично искане на потребителя.

(47)

Използването на техническата система, създадена с настоящия регламент, следва да продължи да бъде доброволно и потребителят следва да разполага с възможността да представи удостоверителни документи чрез други средства, различни от техническата система. Потребителят следва да има възможност да прегледа удостоверителните документи и право да избере да не се пристъпва към обмен на удостоверителни документи, когато след предварителен преглед на удостоверителните документи, които трябва да бъдат обменени, потребителят установи, че информацията е неточна, остаряла или надхвърля необходимото за целите на въпросната процедура. Данните, включени в прегледа, не следва да се съхраняват за срок, по-дълъг от необходимия в техническо отношение.

(48)

Сигурната техническа система, която следва да бъде създадена, за да се направи възможен обменът на удостоверителни документи съгласно настоящия регламент, следва също така да гарантира на отправилите искането компетентни органи, че удостоверителните документи са представени от правилния издаващ орган. Преди да приеме информацията, предоставена от потребител в рамките на процедура, компетентният орган следва да може да провери информацията, в случай че тя поражда съмнения, и да се увери, че тя е точна.

(49)

Съществуват редица компоненти, които предлагат базови функционалности, които могат да се използват за създаване на техническата система, например Механизмът за свързване на Европа, създаден с Регламент (ЕС) № 1316/2013 на Европейския парламент и на Съвета (23), както и компонентите електронна доставка и електронна идентификация, които са част от посочения механизъм. Тези компоненти се състоят от технически спецификации, модели на софтуер и услуги по поддръжката и имат за цел осигуряването на оперативна съвместимост между съществуващите системи за информационни и комуникационни технологии (ИКТ) на различните държави членки, така че гражданите, предприятията и администрациите да могат да се ползват от безпроблемни цифрови обществени услуги, където и да се намират в Съюза.

(50)

Техническата система, създадена с настоящия регламент, следва да бъде налична в допълнение към други системи за осигуряване на механизми за сътрудничество между съответните органи, като например IMI, и не следва да засяга други системи, включително системата, предвидена в Регламент (ЕО) № 987/2009, единния европейски документ за обществени поръчки съгласно Директива 2014/24/ЕС, системата за електронен обмен на данни за социалната сигурност съгласно Регламент (ЕО) № 987/2009, европейската професионална карта съгласно Директива 2005/36/ЕО, взаимното свързване на националните регистри, взаимното свързване на централните, търговските и дружествените регистри съгласно Директива (ЕС) 2017/1132 на Европейския парламент и на Съвета (24) и взаимното свързване на регистрите по несъстоятелност съгласно Регламент (ЕС) 2015/848 на Европейския парламент и на Съвета (25).

(51)

С цел да се осигурят еднакви условия за прилагането на техническа система, която дава възможност за автоматизиран обмен на удостоверителни документи, на Комисията следва да бъдат предоставени изпълнителни правомощия за определяне по-специално на техническите и оперативните спецификации на система за обработване на исканията от потребител за обмен на удостоверителни документи и за прехвърлянето на такива документи, както и на правилата, необходими за гарантиране на целостта и поверителността на прехвърлянето. Тези правомощия следва да бъдат упражнявани в съответствие с Регламент (ЕС) № 182/2011 на Европейския парламент и на Съвета (26).

(52)

За да се гарантира, че техническата система осигурява високо ниво на сигурност за трансграничното прилагане на принципа на еднократност, при приемането на актове за изпълнение за определяне на спецификациите на тази техническа система Комисията следва да взема надлежно предвид стандартите и техническите спецификации, разработвани в рамките на европейските и международните организации и органи по стандартизация, по-специално Европейския комитет по стандартизация (CEN), Европейския институт за стандарти в далекосъобщенията (ETSI), Международната организация по стандартизация (ISO) и Международния съюз по далекосъобщения (ITU), както и стандартите за сигурност, посочени в член 32 от Регламент (ЕС) 2016/679 и член 22 от Регламент (ЕС) 2018/1725.

(53)

При необходимост, с цел осигуряване на разработването, достъпността, поддръжката, надзора, наблюдението и управлението на сигурността на частите от техническата система, за които отговорност носи Комисията, Комисията следва да поиска становището на Европейския надзорен орган по защита на данните.

(54)

Компетентните органи и Комисията следва да гарантират, че информацията, процедурите и услугите, за които те отговарят, са в съответствие с критериите за качество. Националните координатори, определени съгласно настоящия регламент, и Комисията следва редовно да осъществяват надзор за съответствието с критериите за качество и сигурност, съответно на национално равнище и на равнището на Съюза, и да решават всички възникващи проблеми. Националните координатори следва също така да подпомагат Комисията при наблюдението на функционирането на техническата система, позволяваща трансграничния обмен на удостоверителни документи. Настоящият регламент следва да осигури на Комисията набор от средства за справяне с евентуално влошаване на качеството на предлаганите чрез платформата услуги, в зависимост от сериозността и продължителността на това влошаване, като се предвиди възможност за участието на координационната група по въпросите на платформата при необходимост. Това не следва да засяга общата отговорност на Комисията по отношение на наблюдението на спазването на настоящия регламент.

(55)

В настоящия регламент следва да се определят основните функционални възможности на техническите инструменти, които подпомагат функционирането на платформата, и по-специално на общият потребителски интерфейс, регистърът за хипервръзките и общият инструмент за търсене на услуги за оказване на помощ. Общият потребителски интерфейс следва да гарантира, че потребителите могат лесно да намерят информацията, процедурите и услугите за оказване на помощ и решаване на проблеми на националните уебсайтове и уебсайтовете на Съюза. Държавите членки и Комисията следва да се стремят да включват хипервръзки към единен източник на информацията, необходима за платформата, за да се избегне объркване сред потребителите поради наличието на различни, напълно или частично припокриващи се източници на една и съща информация. Това не следва да препятства включването на хипервръзки към аналогична информация, предлагана от местни или регионални компетентни органи по отношение на различни географски области. Това не следва да препятства и известно припокриване на информацията, което е неизбежно или желателно, например когато някои права, задължения и правила в рамките на Съюза са повторени или описани на национални интернет страници, за да се улесни използването им от потребителите. С цел да се сведе до минимум човешката намеса при актуализирането на хипервръзките, които се използват от общия потребителски интерфейс, следва да се установи пряка връзка между съответните технически системи на държавите членки и регистъра за хипервръзки, когато това е технически осъществимо. В общите помощни ИКТ инструменти може да се използва Речникът на основните обществени услуги (CPSV), за да се улесни оперативната съвместимост с каталозите на услугите и семантиката на национално равнище. Държавите членки следва да се насърчават да използват CPSV, но могат да изберат да използват национални решения. До информацията, включена в регистъра за хипервръзки, следва да се осигури публичен достъп в отворен, широко използван и машинночетим формат, например чрез интерфейси за приложно програмиране, за да се даде възможност за нейното повторно използване.

(56)

Системата за търсене на общия потребителски интерфейс следва да отвежда потребителите към информацията, от която се нуждаят, независимо дали тя се намира на интернет страници на Съюза или на национални интернет страници. В допълнение, като друг начин за насочване на потребителите към полезна информация, ще бъде от полза да се създадат хипервръзки между съществуващи и допълнителни уебсайтове или интернет страници, като те се рационализират и групират във възможно най-голяма степен, както и да се създадат хипервръзки между интернет страници на Съюза или национални интернет страници, които осигуряват достъп до онлайн услугите и информацията.

(57)

Настоящият регламент следва също така да установи изисквания за качество за общия потребителски интерфейс. Комисията следва да гарантира, че общият потребителски интерфейс отговаря на тези изисквания, по-специално следва да бъде наличен и достъпен онлайн посредством различни пътища и да е лесен за ползване.

(58)

С цел да се осигурят еднакви условия за прилагането на техническите решения, които подпомагат функционирането на платформата, на Комисията следва да бъдат предоставени изпълнителни правомощия за определяне, когато е необходимо, на приложими стандарти и изисквания за оперативна съвместимост с цел улесняване на намирането на информацията за правилата и задълженията, за процедурите и за услугите за оказване на помощ и решаване на проблеми в рамките на отговорностите на държавите членки и на Комисията. Тези правомощия следва да се упражняват в съответствие с Регламент (ЕС) № 182/2011.

(59)

Настоящият регламент следва също така ясно да разпределя отговорността между Комисията и държавите членки във връзка с разработването, достъпността, поддръжката и сигурността на ИКТ приложенията, които подпомагат функционирането на платформата. Като част от задачите им по поддръжка, Комисията и държавите членки следва редовно да наблюдават правилното функциониране на тези ИКТ приложения.

(60)

С цел оползотворяване на пълния потенциал на различните области на информация, процедурите и услугите за оказване на помощ и решаване на проблеми, които следва да бъдат включени в платформата, значително трябва да се подобри информираността на целевата аудитория относно тяхното наличие и функциониране. Тяхното включване в платформата следва да направи много по-лесно за потребителите намирането на информацията, процедурите и услугите за оказване на помощ и решаване на проблеми, от които се нуждаят, дори когато не са запознати с тях. Освен това ще са необходими съгласувани дейности за популяризиране, за да се гарантира, че гражданите и предприятията в целия Съюз са запознати със съществуването на платформата и с предлаганите от нея предимства. Тези дейности за популяризиране следва да включват оптимизиране на търсачката и други онлайн мерки за повишаване на осведомеността, тъй като те се отличават с най-висока разходна ефективност и потенциал да достигнат до възможно най-широката целева аудитория. За постигане на максимална ефективност тези дейности за популяризиране следва да бъдат координирани в рамките на координационната група по въпросите на платформата и държавите членки следва да адаптират своите усилия в тази насока, така че да се наложи обща марка във всички съответни контексти, с възможност за използване на обща марка на платформата и национални инициативи.

(61)

Всички институции, органи и агенции на Съюза следва да се насърчават да популяризират платформата чрез включване на нейното лого и на хипервръзки към нея във всички съответни интернет страници, за които те са отговорни.

(62)

Наименованието, с което платформата ще бъде известна и популяризирана сред широката общественост, следва да бъде „Your Europe“. Общият потребителски интерфейс следва да бъде видим и лесен за намиране, особено на съответните национални интернет страници и интернет страници на Съюза. Логото на платформата следва да бъде видимо на съответните национални уебсайтове и уебсайтове на Съюза.

(63)

С цел получаване на подходяща информация за измерване и подобряване на ефективността на платформата в настоящия регламент следва да се изисква компетентните органи и Комисията да събират и анализират данните, свързани с използването на предлаганите чрез платформата различни области на информация, процедури и услуги. Събирането на статистически данни за потребителите — например данни относно броя посещения на конкретни интернет страници, броя на потребителите в дадена държава членка спрямо броя им в други държави членки, ключовите думи, използвани за търсене, най-посещаваните интернет страници, индексиращи интернет страници или броя, произхода и предмета на заявленията на услуги за оказване на помощ — следва да подобри функционирането на платформата, като спомогне за определяне на аудиторията, разработването на дейности за популяризиране и подобряване на качеството на предлаганите услуги. При събирането на тези данни следва да се взема предвид годишната сравнителна оценка на електронното управление, извършвана от Комисията, с цел да се избегне всякакво дублиране.

(64)

С цел да се осигурят еднакви условия за прилагането на настоящия регламент на Комисията следва да бъдат предоставени изпълнителни правомощия за определяне на еднакви правила относно метода за събиране и обмен на статистически данни за потребителите. Тези правомощия следва да се упражняват в съответствие с Регламент (ЕС) № 182/2011.

(65)

Качеството на платформата зависи от качеството на услугите на Съюза и националните услуги, предоставяни чрез платформата. Следователно качеството на информацията, процедурите и услугите за оказване на помощ и решаване на проблеми, до които има достъп чрез платформата, следва да се наблюдава редовно и чрез инструмента за обратна информация от потребителите, с който от потребителите се иска да правят оценка и да дават обратна информация за обхвата и качеството на използваните от тях информация, процедури или услуги за оказване на помощ и решаване на проблеми. Тази обратна информация следва да бъде събирана в един общ инструмент, до който следва да имат достъп Комисията, компетентните органи и националните координатори. На Комисията следва да бъдат предоставени изпълнителни правомощия с цел гарантиране на еднакви условия за прилагането на настоящия регламент във връзка с общите функционални възможности на инструментите за обратна информация от потребителите, както и с подробните правила за събиране и обмен на обратната информация. Тези правомощия следва да се упражняват в съответствие с Регламент (ЕС) № 182/2011. Комисията следва да публикува в анонимизирана форма онлайн обобщения на проблемите, породени от информацията, на основните статистически данни за потребителите и на основната обратна информация от потребителите, събирани в съответствие с настоящия регламент.

(66)

В допълнение платформата следва да включва инструмент за обратна информация, който да дава възможност на потребителите да сигнализират доброволно и анонимно за всякакви проблеми и трудности, срещани от тях при упражняване на правата им, свързани с вътрешния пазар. Този инструмент следва да се разглежда само като допълващ механизмите за разглеждане на жалби, тъй като с него не може да се предложи персонализиран отговор на потребителите. Получената информация следва да бъде съчетавана с обобщена информация, получена във връзка с услугите за оказване на помощ и решаване на проблеми относно случаите на тяхното ползване, за да се направи общ преглед на вътрешния пазар, така както той се възприема от потребителите, и да се определят проблемните области, в които е възможно предприемането на бъдещи действия за подобряване на функционирането на вътрешния пазар. Този общ преглед следва да бъде свързан със съществуващите инструменти за докладване, като информационното табло за единния пазар.

(67)

Настоящият регламент не следва да засяга правото на държавите членки да решават кой следва да изпълнява функциите на национален координатор. Държавите членки следва да могат да адаптират свързаните с платформата функции и отговорности на своите национални координатори към своите вътрешни административни структури. Държавите членки следва да могат да определят допълнителни национални координатори, които да изпълняват задачите съгласно настоящия регламент самостоятелно или съвместно с другите, като отговарят за административно подразделение или географски регион, или като се определят съгласно друг критерий. Държавите членки следва да съобщят на Комисията идентификационните данни на определения от тях единствен национален координатор за контакти с Комисията.

(68)

Следва да бъде създадена координационна група по въпросите на платформата, съставена от националните координатори и председателствана от Комисията, с цел да се улесни прилагането на настоящия регламент, по-специално чрез обмен на най-добри практики и съвместна работа за постигане на по-добра съгласуваност на представянето на информацията съгласно изискванията на настоящия регламент. Работата на координационната група по въпросите на платформата следва да е съобразена с целите, определени в годишната работна програма, която Комисията следва да ѝ представи за разглеждане. Годишната работна програма следва да бъде представена под формата на насоки или препоръки с незадължителен характер за държавите членки. Комисията, по искане на Европейския парламент, може да реши да го покани да изпрати експерти, които да присъстват на заседанията на координационната група по въпросите на платформата.

(69)

В настоящия регламент следва да се посочи кои части на платформата се финансират от бюджета на Съюза и кои се поемат от държавите членки. Комисията следва да подпомага държавите членки при набелязването на повторно използваеми ИКТ компоненти и финансиране по линия на различни фондове и програми на Съюза, които могат да допринесат за покриване на разходите за ИКТ адаптации и разработки, необходими на национално равнище с цел спазване на настоящия регламент. Бюджетът, необходим за прилагането на настоящия регламент, следва да бъде съвместим с приложимата многогодишна финансова рамка.

(70)

Държавите членки се насърчават да установят по-тясна координация, обмен и сътрудничество помежду си, за да увеличат своите стратегически, оперативни, научноизследователски и развойни способности в областта на киберсигурността, по-специално чрез прилагането на мрежовата и информационната сигурност съгласно Директива (ЕС) 2016/1148 на Европейския парламент и на Съвета (27), с цел укрепване на сигурността и устойчивостта на тяхната публична администрация и услуги. Държавите членки се насърчават да повишат сигурността на операциите и да осигурят достатъчна степен на доверие в електронните средства, като използват рамката eIDAS, установена с Регламент (ЕС) № 910/2014, и по-специално подходящи нива на осигуреност. Държавите членки могат да предприемат мерки в съответствие с правото на Съюза за гарантиране на киберсигурността и предотвратяване на измами с фалшива самоличност или други форми на злоупотреба.

(71)

Когато прилагането на настоящия регламент налага обработването на лични данни, то следва да се извършва в съответствие с правото на Съюза относно защитата на личните данни, и по-специално Регламент (ЕС) 2016/679 и Регламент (ЕС) 2018/1725. Директива (ЕС) 2016/680 на Европейския парламент и на Съвета (28) следва също да се прилага в контекста на настоящия регламент. В съответствие с Регламент (ЕС) 2016/679 държавите членки могат да запазят или да въведат допълнителни условия, включително ограничения, по отношение на обработването на данни, свързани със здравословното състояние, и могат да предвидят по-специални правила относно обработването на личните данни на служителите във връзка със заетостта.

(72)

Настоящият регламент следва да насърчава и улеснява рационализирането на механизмите за управление на предлаганите на платформата услуги. За тази цел Комисията следва, в тясно сътрудничество с държавите членки, да направи преглед на съществуващите механизми за управление и да ги адаптира, когато е необходимо, с цел да се избегнат дублиране и неефективност.

(73)

Целта на настоящия регламент е да се гарантира, че потребителите, които извършват дейност в други държави членки, имат онлайн достъп до изчерпателна, надеждна, достъпна и разбираема национална информация и информация на Съюза относно правата, правилата и задълженията, до онлайн процедури, които могат да се извършват напълно трансгранично, и до услуги за оказване на помощ и решаване на проблеми. Тъй като тази цел не може да бъде постигната в достатъчна степен от държавите членки, а поради обхвата и последиците на настоящия регламент, може да бъде постигната по-добре на равнището на Съюза, Съюзът може да приема мерки в съответствие с принципа на субсидиарност, уреден в член 5 от Договора за Европейския съюз. В съответствие с принципа на пропорционалност, уреден в същия член, настоящият регламент не надхвърля необходимото за постигане на тази цел.

(74)

За да могат държавите членки и Комисията да разработят и приложат необходимите инструменти за осигуряване на действието от настоящия регламент, прилагането на някои от разпоредбите в него следва да започне две години след датата на влизането му в сила. Общинските органи следва да разполагат с най-много четири години след датата на влизане в сила на настоящия регламент за изпълнение на изискването за осигуряване на информация относно правилата, процедурите и услугите за оказване на помощ и решаване на проблеми, за които отговарят. Разпоредбите на настоящия регламент относно процедурите, които ще се предлагат изцяло онлайн, относно трансграничния достъп до онлайн процедури и относно техническата система за трансграничен обмен на удостоверителни документи в съответствие с принципа на еднократност следва започнат да се прилагат най-късно след изтичането на пет години след влизането в сила на настоящия регламент.

(75)

Настоящият регламент зачита основните права и спазва принципите, признати по-специално от Хартата на основните права на Европейския съюз, и следва да се прилага в съответствие с тези права и принципи.

(76)

Беше проведена консултация с Европейския надзорен орган по защита на данните в съответствие с член 28, параграф 2 от Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета (29), който прие становище на 1 август 2017 г. (30),

(1)

Защитата на физическите лица във връзка с обработването на лични данни е основно право. Член 8, параграф 1 от Хартата на основните права на Европейския съюз („Хартата“) и член 16, параграф 1 от Договора за функционирането на Европейския съюз (ДФЕС) предвиждат, че всеки има право на защита на своите лични данни. Това право е гарантирано също така от член 8 от Европейската конвенция за защита правата на човека и основните свободи.

(2)

Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета (3) осигурява на физическите лица гарантирани от закона права, определя свързаните с обработването на данни задължения на администраторите в рамките на институциите и органите на Общността и създава независим надзорен орган, Европейския надзорен орган по защита на данните, който отговаря за наблюдението на обработването на лични данни от институциите и органите на Съюза. Той не се прилага обаче за обработването на лични данни при извършването на дейност на институциите и органите на Съюза, попадаща извън обхвата на правото на Съюза.

(3)

Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета (4) и Директива (ЕС) 2016/680 на Европейския парламент и на Съвета (5) бяха приети на 27 април 2016 г. Докато в регламента се установяват общи правила за защита на физическите лица във връзка с обработването на лични данни и за гарантиране на свободното движение на лични данни в рамките на Съюза, с директивата се установяват специални правила за защита на физическите лица във връзка с обработването на лични данни и за гарантиране на свободното движение на лични данни в рамките на Съюза в областта на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество.

(4)

В Регламент (ЕС) 2016/679 се предвижда адаптирането на Регламент (ЕО) № 45/2001, за да се осигури силна и съгласувана рамка за защита на данните в Съюза и да се даде възможност за едновременното му прилагането с Регламент (ЕС) 2016/679.

(5)

Привеждането, доколкото е възможно, на правилата относно защитата на данните от страна на институциите, органите, службите и агенциите на Съюза в съответствие с правилата относно защита на данните, приети за публичния сектор в държавите членки, е в интерес както на постигането на съгласуван подход към защитата на личните данни навсякъде в Съюза, така и на свободното движение на лични данни навсякъде в Съюза. Когато разпоредбите на настоящия регламент следват същите принципи като разпоредбите на Регламент (ЕС) 2016/679, тълкуването на тези две групи от разпоредби, съгласно практиката на Съда на Европейския съюз („Съда“), следва да бъде еднообразно, по-специално защото структурата на настоящия регламент следва да се разбира като еквивалентна на структурата на Регламент (ЕС) 2016/679.

(6)

Лицата, чиито лични данни се обработват от институциите и органите на Съюза в някаква връзка, например поради това, че са служители на тези институции и органи, следва да бъдат защитени. Настоящият регламент не следва да се прилага за обработването на лични данни на починали лица. Настоящият регламент не обхваща обработването на лични данни, които засягат юридически лица, и по-специално предприятия, установени като юридически лица, включително наименованието и правната форма на юридическото лице и данните за връзка на юридическото лице.

(7)

За да се избегне създаването на сериозен риск от заобикаляне на закона, защитата на физическите лица следва да бъде технологично неутрална и следва да не зависи от използваната техника.

(8)

Настоящият регламент следва да се прилага за обработването на лични данни от всички институции, органи, служби и агенции на Съюза. Той следва да се прилага за обработването на лични данни, — изцяло или частично с автоматични средства, както и за обработването с други средства на лични данни, които са част от регистър с лични данни или са предназначени да съставляват част от регистър с лични данни. Досиетата или групите от досиета, както и заглавните им страници, които не са структурирани съгласно специфични критерии, не следва да попадат в обхвата на настоящия регламент.

(9)

В Декларация № 21 относно защитата на личните данни в областта на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество, приложена към заключителния акт на Междуправителствената конференция, която прие Договора от Лисабон, конференцията признава, че биха могли да са необходими специални правила относно защитата на личните данни и относно свободното движение на лични данни в областите на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество въз основа на член 16 от ДФЕС поради специфичното естество на тези области. Ето защо отделна глава от настоящия регламент, съдържаща общи правила, следва да се прилага за обработването на лични данни от оперативен характер, като например лични данни, обработвани за целите на наказателното разследване от органи, служби или агенции на Съюза при извършването на дейности в областите на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество.

(10)

С Директива (ЕС) 2016/680 се установяват хармонизирани правила за защитата и свободното движение на личните данни, обработвани за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или на изпълнението на наказания, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване. С цел да се осигури еднакво ниво на защита на физическите лица чрез гарантирани от закона права навсякъде в Съюза и да се предотвратят различията, възпрепятстващи обмена на лични данни между органите, службите или агенциите на Съюза при извършването на дейности, попадащи в обхвата на част трета, дял V, глава 4 или глава 5 от ДФЕС, и компетентните органи, правилата за защитата и свободното движение на лични данни от оперативен характер, обработвани от тези органи, служби или агенции на Съюза, следва да бъдат в съответствие с Директива (ЕС) 2016/680.

(11)

Общите правила на главата от настоящия регламент, отнасяща се до обработването на лични данни от оперативен характер, следва да се прилагат, без да се засягат специалните правила относно обработването на лични данни от оперативен характер от органите, службите или агенциите на Съюза при извършването на дейности, попадащи в обхвата на част трета, дял V, глава 4 или глава 5 от ДФЕС. Тези специални правила следва да се разглеждат като lex specialis по отношение на разпоредбите в главата от настоящия регламент, отнасяща се до обработването на лични данни от оперативен характер (lex specialis derogat legi generali). С цел да се намали правната разпокъсаност, специалните правила относно обработването на лични данни от оперативен характер от органите, службите или агенциите на Съюза при извършването на дейности, попадащи в обхвата на част трета, дял V, глава 4 или глава 5 от ДФЕС, следва да бъдат съгласувани с принципите, залегнали в основата на главата от настоящия регламент, отнасяща се до обработването на лични данни от оперативен характер, както и с разпоредбите на настоящия регламент, отнасящи се до независимия надзор, средствата за правна защита, отговорността за причинени вреди и санкциите.

(12)

Главата от настоящия регламент, отнасяща се до обработването на лични данни от оперативен характер, следва да се прилага към органите, службите и агенциите на Съюза при извършването на дейности, които попадат в обхвата на част трета, дял V, глава 4 или глава 5 от ДФЕС, независимо дали те упражняват тези дейност като свои основни или допълнителни задачи за целите на предотвратяването, разкриването, разследването или наказателното преследване на престъпления. Тя обаче не следва да се прилага за Европол или за Европейската прокуратура, докато правните актове за създаване на Европол и Европейската прокуратура не бъдат изменени с оглед въвеждането, със съответните адаптации, на глава в настоящия регламент, отнасяща се до обработването на лични данни от оперативен характер„ приложима по отношение на тях.

(13)

Комисията следва да извърши преглед на настоящия регламент, по-специално на главата от настоящия регламент, отнасяща се до обработването на лични данни от оперативен характер. Комисията следва да извърши преглед и на други правни актове, приети въз основа на Договорите, които уреждат обработването на лични данни от оперативен характер от органите, службите или агенциите на Съюза при извършването на дейности, които попадат в обхвата на част трета, дял V, глава 4 или глава 5 от ДФЕС. След такъв преглед, с цел да се гарантира единна и съгласувана защита на физическите лица във връзка с обработването на лични данни, Комисията следва да може да прави всякакви подходящи законодателни предложения, включително необходимите адаптации на главата от настоящия регламент, отнасяща се до обработването на личните данни от оперативен характер, с оглед нейното прилагане по отношение на Европол и Европейската прокуратура. Адаптациите следва да бъдат съобразени с разпоредбите относно независимия надзор, средствата за правна защита, отговорността за причинени вреди и санкциите.

(14)

Настоящият регламент следва да обхваща обработването на лични данни от административен характер, като например данни за персонала, обработвани от органите, службите или агенциите на Съюза при извършването на дейности, които попадат в обхвата на част трета, дял V, глава 4 или глава 5 от ДФЕС.

(15)

Настоящият регламент следва да се прилага за обработването на лични данни от институциите, органите, службите или агенциите на Съюза при извършването на дейности, които попадат в обхвата на дял V, глава 2 от Договора за Европейския съюз (ДЕС). Настоящият регламент не следва да се прилага за обработването на лични данни от мисиите, посочени в член 42, параграф 1 и членове 43 и 44 от ДЕС, които осъществяват общата политика за сигурност и отбрана. Когато е целесъобразно, следва да се представят подходящи предложения за по-нататъшно регламентиране на обработването на личните данни в областта на общата политика за сигурност и отбрана.

(16)

Принципите за защита на данните следва да се прилагат по отношение на всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано. Личните данни, които са били подложени на псевдонимизация, които могат да бъдат свързани с дадено физическо лице чрез използването на допълнителна информация, следва да се считат за информация, отнасяща се до физическо лице, което може да бъде идентифицирано. За да се определи дали дадено физическо лице може да бъде идентифицирано, следва да се вземат предвид всички средства, като например подбирането на лица за извършване на проверка, с които е най-вероятно да си послужи администраторът или друго лице, за да идентифицира пряко или непряко даденото физическо лице. За да се уточни дали има разумна вероятност дадени средства да бъдат използвани за идентифициране на физическото лице, следва да се вземат предвид всички обективни фактори, като например разходите и времето, необходими за идентифицирането, като се отчитат както наличните към момента на обработване на данните технологии, така и тяхното развитие. Поради това принципите на защита на данните не следва да се прилагат по отношение на анонимна информация, а именно информация, която не е свързана с идентифицирано или подлежащо на идентифициране физическо лице, или по отношение на лични данни, които са анонимизирани по такъв начин, че субектът на данните вече не може да бъде идентифициран. Ето защо настоящият регламент не се отнася до обработването на такава анонимна информация, включително за статистически или изследователски цели.

(17)

Прилагането на псевдонимизация на личните данни може да намали рисковете за съответните субекти на данни и да помогне на администраторите и на обработващите лични данни да изпълняват своите задължения за защита на данните. Изричното въвеждане на псевдонимизация в настоящия регламент не е предназначено да изключи други мерки за защита на данните.

(18)

Физическите лица могат да бъдат свързани с онлайн идентификатори, предоставени от техните устройства, приложения, инструменти и протоколи, като адресите по интернет протокол (IP адреси) или идентификаторите, наричани „бисквитки“, или други идентификатори, например етикетите за радиочестотна идентификация. По този начин може да бъдат оставени следи, които в съчетание по-специално с уникални идентификатори и с друга информация, получена от сървърите, може да се използват за създаването на профили на физическите лица и за тяхното идентифициране.

(19)

Съгласие следва да се дава чрез ясно утвърдителен акт, с който да се изразява свободно дадено, конкретно, информирано и недвусмислено заявление за съгласие от страна на субекта на данни за обработване на свързани с него лични данни, например чрез писмена декларация, включително по електронен път, или устна декларация. Това може да включва отбелязване с отметка в поле при посещението на уебсайт в интернет, избиране на технически настройки за услуги на информационното общество или друго заявление или поведение, което ясно показва, че субектът на данни е съгласен с предложеното обработване на неговите лични данни. Поради това мълчанието, предварително отметнатите полета или липсата на действие не следва да представляват съгласие. Съгласието следва да обхваща всички дейности по обработване, извършени за една и съща цел или цели. Когато обработването преследва повече цели, за всички тях следва да бъде дадено съгласие. Ако съгласието на субекта на данни трябва да се даде след искане по електронен път, искането трябва да е ясно, сбито и да не нарушава излишно използването на услугата, за която се предвижда. Същевременно субектът на данните следва да има правото да оттегли съгласието си по всяко време, без това да засяга законосъобразността на обработката на данните, основаваща се на съгласие преди неговото оттегляне. За да се гарантира, че е дадено свободно, съгласието не следва да представлява валидно правно основание за обработването на лични данни в конкретна ситуация, когато е налице очевидна неравнопоставеност между субекта на данните и администратора и поради това изглежда малко вероятно съгласието да е дадено свободно предвид всички обстоятелства на конкретната ситуация. Често в момента на събиране на данните целта на обработването на лични данни за научноизследователски цели не може да бъде напълно установена. Поради това на субектите на данни следва да бъде дадена възможност да дадат съгласието си за определени области на научни изследвания, когато те са в съответствие с признатите етични норми, отнасящи се за научните изследвания. Субектите на данни следва да имат възможност да дадат съгласието си само за определени области на научни изследвания или части от научноизследователски проекти, доколкото позволява набелязаната цел.

(20)

Всяко обработване на лични данни следва да бъде законосъобразно и добросъвестно. За физическите лица следва да е прозрачно по какъв начин отнасящи се до тях лични данни се събират, използват, консултират или обработват по друг начин, както и в какъв обхват се извършва или ще се извършва обработването на данните. Принципът на прозрачност изисква всяка информация и комуникация във връзка с обработването на тези лични данни да бъде лесно достъпна и разбираема и да се използват ясни и недвусмислени формулировки. Този принцип се отнася в особена степен за информацията, която получават субектите на данни за самоличността на администратора и целите на обработването, и за допълнителната информация, гарантираща добросъвестно и прозрачно обработване на данните по отношение на засегнатите физически лица и тяхното право да получат потвърждение и уведомление за съдържанието на свързани с тях лични данни, които се обработват. Физическите лица следва да бъдат информирани за рисковете, правилата, гаранциите и правата, свързани с обработването на лични данни, и за начините, по които да упражняват правата си по отношение на обработването. По-специално конкретните цели, за които се обработват лични данни, следва да бъдат ясни и законни и определени към момента на събирането на личните данни. Личните данни следва да са адекватни, релевантни и ограничени до необходимото за целите, за които се обработват. Това налага по-специално да се гарантира, че срокът, за който личните данни се съхраняват, е ограничен до строг минимум. Личните данни следва да се обработват, единствено ако целта на обработването не може да бъде постигната в достатъчна степен с други средства. С цел да се гарантира, че срокът на съхранение на личните данни не е по-дълъг от необходимия, администраторът следва да установи срокове за тяхното изтриване или периодичен преглед. Следва да бъдат предприети всички разумни мерки, за да се гарантира, че неточните лични данни се коригират или заличават. Личните данни следва да се обработват по начин, който гарантира подходяща степен на сигурност и поверителност на личните данни, включително за предотвратяване на непозволен достъп до лични данни или на тяхното използване и на оборудването за тяхното обработване, и за предотвратяване на неразрешеното им разкриване, когато те бъдат предавани.

(21)

В съответствие с принципа на отчетност, когато институциите и органите на Съюза предават лични данни в рамките на същата институция или орган на Съюза и получателят не е част от администратора, или на други институции или органи на Съюза, те следва да проверяват дали тези лични данни са необходими за законосъобразното изпълнение на задачи в рамките на компетентността на получателя. По-специално, след искане на получател за предаване на лични данни, администраторът следва да удостовери наличието на съответно основание за законосъобразно обработване на лични данни от получателя, както и неговата компетентност. Администраторът следва също да извърши предварителна оценка на необходимостта от предаването на данните. В случай на възникнали съмнения относно тази необходимост администраторът следва да изисква допълнителна информация от получателя. Получателят следва да гарантира, че необходимостта от предаване на данните може да бъде впоследствие проверена.

(22)

За да бъде обработването законосъобразно, личните данни следва да бъдат обработвани въз основа на необходимостта от изпълнение на задача от обществен интерес от страна на институции и органи на Съюза или при упражняването на техните официални правомощия, необходимостта от спазване на правно задължение, наложено на администратора на лични данни, или на друго законно основание съгласно настоящия регламент, включително съгласието на субекта на данни, необходимостта от изпълнение на договор, по който субектът на данни е страна, или с оглед предприемане на стъпки по искане на субекта на данни преди встъпване в договорни отношения. Обработването на лични данни за изпълнението на задачи от обществен интерес от страна на институции и органи на Съюза включва обработването на лични данни, които са необходими за управлението и функционирането на тези институции и органи. Обработването на лични данни следва да се счита за законосъобразно и когато е необходимо, за да се защити интерес от първостепенно значение за живота на субекта на данните или на друго физическо лице. Обработването на лични данни единствено въз основа на жизненоважен интерес на друго физическо лице следва да се състои по принцип само когато обработването не може явно да се базира на друго правно основание. Някои видове обработване могат да обслужват както важни области от обществен интерес, така и жизненоважните интереси на субекта на данните, например когато обработването е необходимо за хуманитарни цели, включително за наблюдение на епидемии и тяхното разпространение, или при спешни хуманитарни ситуации, по-специално в случай на природни или причинени от човека бедствия.

(23)

Правото на Съюза, посочено в настоящия регламент, следва да бъде ясно и точно и прилагането му следва да бъде предвидимо за лицата, за които се прилага, в съответствие с изискванията, определени в Хартата и в Европейската конвенция за защита на правата на човека и основните свободи.

(24)

Вътрешните правила, посочени в настоящия регламент, следва да бъдат ясни и точни актове с обща приложимост, които са предназначени да породят правни последици по отношение на субектите на данни. Те следва да бъдат приети на най-високото равнище на управление на институциите и органите на Съюза в рамките на тяхната компетентност и да се отнасят до въпроси, свързани с тяхното функциониране. Те следва да бъдат публикувани в Официален вестник на Европейския съюз. Прилагането на тези правила следва да бъде предвидимо за лицата, които са техни адресати, в съответствие с изискванията, определени в Хартата и в Европейската конвенция за защита на правата на човека и основните свободи. Вътрешните правила могат да бъдат под формата на решения, по-специално когато се приемат от институции на Съюза.

(25)

Обработването на лични данни за цели, различни от тези, за които първоначално са събрани личните данни, следва да бъде разрешено единствено когато обработването е съвместимо с целите, за които първоначално са събрани личните данни. В такъв случай не се изисква отделно правно основание, различно от това, с което е било разрешено събирането на личните данни. Ако обработването е необходимо за изпълнението на задача от обществен интерес или свързана с упражняването на официални правомощия, които са предоставени на администратора, в правото на Съюза могат да бъдат определени и уточнени задачите и целите, за които по-нататъшното обработване следва да се счита за съвместимо и законосъобразно. По-нататъшното обработване за целите на архивирането в обществен интерес, за целите на научни или исторически изследвания, или за статистически цели следва да се разглежда като съвместима законосъобразна операция по обработване. Правното основание, предвидено от правото на Съюза за обработване на лични данни, може да предостави и правно основание за по-нататъшно обработване. За да установи дали дадена цел на по-нататъшно обработване е съвместима с целта, за която първоначално са събрани личните данни, администраторът на лични данни, след като е спазил всички изисквания относно законосъобразността на първоначалното обработване, следва да отчете, inter alia: всички връзки между тези цели и целите на предвиденото по-нататъшно обработване; в какъв контекст са събрани личните данни, по-специално основателните очаквания на субектите на данните въз основа на техните взаимоотношения с администратора по отношение на по-нататъшно използване на личните данни; естеството на личните данни; последствията от предвиденото по-нататъшно обработване на данни за субектите на данни; и наличието на подходящи гаранции при операциите по първоначалното и предвиденото по-нататъшно обработване.

(26)

Когато обработването се извършва въз основа на съгласието на субекта на данните, администраторът следва да може да докаже, че субектът на данните е дал съгласието си за операцията по обработване. По-специално, в случай на писмена декларация по друг въпрос, с гаранциите следва да се обезпечи, че субектът на данни е информиран за това, че дава съгласието си, и в каква степен го дава. В съответствие с Директива 93/13/ЕИО на Съвета (6) следва да бъде осигурена предварително съставена от администратора декларация за съгласие в разбираема и лесно достъпна форма, на ясен и прост език, която не следва да съдържа неравноправни клаузи. За да бъде съгласието информирано, субектът на данни следва да знае поне самоличността на администратора и целите на обработването, за което са предназначени личните данни. Съгласието не следва да се разглежда като свободно дадено, ако субектът на данни няма истински и свободен избор и не е в състояние да откаже или да оттегли съгласието си, без това да доведе до вредни последици за него.

(27)

На децата се полага специална защита на личните данни, тъй като те не познават достатъчно добре съответните рискове, последици и гаранции, както и своите права, свързани с обработването на лични данни. Тази специална защита следва да се прилага по-специално за създаването на личностни профили и за събирането на лични данни по отношение на деца при пряко предлагане на услуги на деца на уебсайтове на институции и органи на Съюза, като например междуличностни съобщителни услуги или онлайн продажба на билети, и обработването на лични данни се основава на съгласие.

(28)

Когато установени в Съюза получатели, различни от институциите и органите на Съюза, искат институции и органи на Съюза да им предадат лични данни, тези получатели следва да докажат, че предаването е необходимо за изпълнението на тяхна задача, която се осъществява в обществен интерес, или за упражняването на официалните им правомощия. Като алтернатива тези получатели следва да докажат, че предаването е необходимо за конкретна цел в обществен интерес, като администраторът следва да установи дали има основание да се предполага, че законните интереси на субекта на данните могат да бъдат накърнени. В такива случаи администраторът следва да претегли по доказуем начин различните конкуриращи се интереси, за да прецени пропорционалността на поисканото предаване на лични данни. Конкретните цели в обществен интерес могат да се отнасят до прозрачността на институциите и органите на Съюза. Институциите и органите на Съюза следва да докажат такава необходимост, когато те самите предприемат предаването на данни, в съответствие с принципите на прозрачност и добро управление. Определените в настоящия регламент изисквания във връзка с предаването на данни на установени в Съюза получатели, различни от институциите и органите на Съюза, следва да се разбират като допълнителни по отношение на условията за законосъобразно обработване.

(29)

На личните данни, които по своето естество са особено чувствителни от гледна точка на основните права и свободи, се полага специална защита, тъй като контекстът на тяхното обработване би могъл да създаде значителни рискове за основните права и свободи. Такива лични данни не следва да бъдат обработвани, освен ако са изпълнени специфичните условия, определени в настоящия регламент. Посочените лични данни следва да включват личните данни, разкриващи расов или етнически произход, като използването на понятието „расов произход“ в настоящия регламент не означава, че Съюзът приема теориите, които се опитват да установят съществуването на отделни човешки раси. Обработването на снимки не следва систематично да се счита за обработване на специални категории лични данни, тъй като снимките се обхващат от определението за биометрични данни единствено когато се обработват чрез специални технически средства, позволяващи уникална идентификация на дадено физическо лице или удостоверяване на автентичността. В допълнение към специфичните изисквания за обработване на чувствителни данни следва да се прилагат общите принципи и другите правила, залегнали в настоящия регламент, по-специално по отношение на условията за законосъобразно обработване. Дерогации от общата забрана за обработване на такива специални категории лични данни следва изрично да бъдат предвидени, inter alia, когато субектът на данните даде изричното си съгласие или във връзка с конкретни нужди, по-специално когато обработването се извършва в хода на законната дейност на някои сдружения или фондации, чиято цел е да се позволи упражняването на основните свободи.

(30)

Специалните категории лични данни, за които е обоснована по-голяма защита, следва да бъдат обработвани за здравни цели само когато това е необходимо за постигането на тези цели в полза на физическите лица и на обществото като цяло, по-специално в рамките на управлението на услуги и системи за здравни или социални грижи. Поради това настоящият регламент следва да предвижда хармонизирани условия за обработването на специални категории лични данни за здравословното състояние по отношение на специфични потребности, по-специално когато обработването на тези данни се извършва за определени здравни цели от лица, обвързани от правното задължение за професионална тайна. Правото на Съюза следва да предвижда конкретни и подходящи мерки за защита на основните права и личните данни на физическите лица.

(31)

Обработването на специални категории лични данни може да е необходимо по съображения от обществен интерес в областта на общественото здраве без съгласието на субекта на данните. Такова обработване следва да бъде предмет на подходящи и конкретни мерки с оглед защита на правата и свободите на физическите лица. В този контекст понятието „обществено здраве“ следва да се тълкува по смисъла на Регламент (ЕО) № 1338/2008 на Европейския парламент и на Съвета (7) и означава всички елементи, свързани със здравето, а именно здравословно състояние, включително заболеваемост и инвалидност, решаващи фактори, които оказват влияние върху това здравословно състояние, потребности от здравно обслужване, средства, отделени за здравно обслужване, предоставяне на здравни грижи и всеобщ достъп до тях, разходи и финансиране на здравното обслужване, както и причини за смъртност. Такова обработване на данни за здравето по съображения от обществен интерес не следва да води до обработването на лични данни за други цели.

(32)

Ако обработваните от администратора лични данни не му позволяват да идентифицира дадено физическо лице, администраторът на данни не следва да е задължен да се сдобие с допълнителна информация, за да идентифицира субекта на данните единствено с цел спазване на някоя от разпоредбите на настоящия регламент. Администраторът обаче не следва да отказва да приеме допълнителна информация, подадена от субекта на данни, за да подпомогне упражняването на неговите права. Идентификацията следва да включва цифровата идентификация на субекта на данни, например чрез механизъм за удостоверяване на автентичността като използването от субекта на данни на една и съща информация за удостоверяване на идентичността при регистрация за онлайн услуга, предлагана от администратора на лични данни.

(33)

Обработването на лични данни за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели следва да се извършва при прилагане на подходящи гаранции за правата и свободите на субекта на данните в съответствие с настоящия регламент. Посочените гаранции следва да осигурят наличието на технически и организационни мерки, по-специално с оглед на спазването на принципа за свеждане на данните до минимум. По-нататъшното обработване на лични данни за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели се извършва, когато администраторът е преценил възможността за постигане на тези цели чрез обработването на лични данни, които не позволяват или повече не позволяват идентифицирането на субекта на данните, при условие че съществуват подходящи гаранции (като напр. псевдонимизацията на данните). Институциите и органите на Съюза следва да предвидят подходящи гаранции за обработването на лични данни за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели в правото на Съюза, което може да включва вътрешни правила, приети от институциите и органите на Съюза по въпроси, свързани с тяхното функциониране.

(34)

Следва да бъдат предвидени ред и условия за улесняване на упражняването на правата на субектите на данни съгласно настоящия регламент, включително механизми за искане и ако е приложимо — получаване, без заплащане, по-специално на достъп до, коригиране или изтриване на лични данни и упражняване на правото на възражение. Администраторът следва да предостави и средства за подаване на искания по електронен път, особено когато личните данни се обработват електронно. Администраторът следва да бъде задължен да отговоря на исканията на субекта на данни без ненужно забавяне и най-късно в рамките на един месец, както и да посочи причините, ако не възнамерява да се съобрази с тези искания.

(35)

Принципите на добросъвестно и прозрачно обработване изискват субектът на данни да бъде информиран за съществуването на операция по обработване и за нейните цели. Администраторът следва да предостави на субекта на данните всяка допълнителна информация, която е необходима, за да се гарантира добросъвестно и прозрачно обработване на данните, като се вземат предвид конкретните обстоятелства и контекст, в които се обработват личните данни. Освен това субектът на данни следва да бъде информиран за извършването на профилиране и за последствията от това профилиране. Когато личните данни се събират от субекта на данни, той следва да бъде информиран и за това дали е задължен да предостави личните данни и за последствията, в случай че не ги предостави. Тази информация може да бъде предоставена в комбинация със стандартизирани икони, така че по лесно видим, разбираем и ясно четим начин да се представи съдържателен преглед на планираното обработване. Ако иконите се представят в електронен вид, те следва да бъдат машинночитаеми.

(36)

Информацията за обработването на лични данни, свързани със субекта на данните, следва да му бъде предоставена в момента на събирането ѝ от субекта на данните или ако личните данни са получени от друг източник — в рамките на разумен срок, в зависимост от обстоятелствата на конкретния случай. В случаите, в които личните данни могат да бъдат законно разкрити на друг получател, субектът на данните следва да бъде информиран, когато личните данни се разкриват за първи път на получателя. Когато администраторът възнамерява да обработва личните данни за цел, различна от тази, за която те са събрани, той следва да предостави на субекта на данните преди това по-нататъшно обработване информация за въпросната друга цел и друга необходима информация. Когато на субекта на данните не може да се предостави информация за произхода на личните данни поради използването на различни източници, се представя обобщена информация.

(37)

Всяко физическо лице следва да има право на достъп до събраните лични данни, които го засягат, и да упражнява това право лесно и на разумни интервали, за да бъде осведомено за обработването и да провери законосъобразността му. Това включва правото на субектите на данни на достъп до данните за здравословното им състояние, например данните в медицинските им досиета, които съдържат информация като диагнози, резултати от прегледи, становища на лекуващите лекари и проведени лечения или извършени операции. Поради това всеки субект на данни следва да има правото да е запознат и да получава информация, по-специално относно целите, за които се обработват личните данни, когато е възможно — срока, за който се обработват личните данни, получателите на личните данни, логиката на автоматизираното обработване на личните данни и последствията от такова обработване, най-малкото когато се извършва на основата на профилиране. Това право не следва да влияе неблагоприятно върху правата или свободите на други лица, включително върху търговската тайна или интелектуалната собственост, и по-специално върху авторското право за защита на софтуера. Тези съображения обаче не следва да представляват отказ за предоставяне на цялата информация на съответния субект на данни. Когато администраторът обработва голямо количество информация относно субекта на данни, администраторът следва да може да поиска от субекта на данните, преди да бъде предадена информацията, да посочи точно информацията или дейностите по обработването, за които се отнася искането.

(38)

Субектът на данни следва да има право на коригиране на личните данни, свързани с него, както и правото „да бъде забравен“, когато запазването на тези данни е в нарушение на настоящия регламент или на правото на Съюза, което се прилага спрямо администратора. Субектът на данни следва да има право личните му данни да се изтриват и да не бъдат обработвани повече, когато личните данни престанат да бъдат необходими с оглед на целите, за които те са били събрани или обработвани по друг начин, когато субектът на данните е оттеглил своето съгласие или е възразил срещу обработването на лични данни, свързани с него, или когато обработването на личните му данни по друг начин не е в съответствие с настоящия регламент. Това право е важно особено когато субектът на данни е дал съгласието си като дете и не е осъзнавал напълно рисковете, свързани с обработването, и впоследствие желае да премахне такива лични данни, особено когато са в интернет. Субектът на данни следва да може да упражни това право независимо от факта, че вече не е дете. По-нататъшното запазване на личните данни обаче следва да бъде законно, ако е необходимо за упражняване на правото на свобода на изразяване на мнение и правото на информация, за спазване на правно задължение, за изпълнение на задача от обществен интерес или при изпълнение на официални функции, възложени на администратора, по причини от обществен интерес в областта на общественото здравеопазване, за целите на архивирането в обществен интерес, за целите на научни или исторически изследвания, или за статистически цели, или за установяване, упражняване или защита на правни претенции.

(39)

С цел утвърждаване на „правото да бъдеш забравен“ в онлайн средата правото на изтриване следва да бъде разширено, като от администратора, който е направил личните данни обществено достъпни, следва да се изисква да информира администраторите, които обработват такива лични данни, да изтрият всякакви връзки към тези лични данни или техните копия или реплики. За тази цел администраторът следва да предприеме разумни мерки, като вземе предвид наличните технологии и средствата на разположение на администратора, включително технически мерки, за да информира администраторите, които обработват личните данни, за искането на субекта на данните.

(40)

Методите за ограничаване на обработването на лични данни биха могли да включват, inter alia, временно преместване на избраните лични данни в друга система за обработване, прекратяване на достъпа на ползвателите до тях или временно премахване на публикуваните данни от уебсайт. В автоматизираните регистри на лични данни ограничаването на обработването следва по принцип да бъде осигурено с технически средства, така че личните данни да не подлежат на операции по по-нататъшно обработване и да не могат да се променят. Фактът, че обработването на лични данни е ограничено, следва да бъде ясно посочен в системата.

(41)

С цел допълнително засилване на контрола над собствените данни, когато обработването на лични данни става с автоматични средства, субектът на данните следва да има и правото да получава отнасящите се до него лични данни, които той е предоставил на администратора, в структуриран, широко използван, пригоден за машинно четене и оперативно съвместим формат и да ги предава на друг администратор. Администраторите следва да бъдат насърчавани да разработват оперативно съвместими формати, които позволяват преносимост на данните. Това право следва да се прилага, когато субектът на данни е предоставил личните данни въз основа на собственото си съгласие или обработването е необходимо поради договорно задължение. Ето защо това право не следва да се прилага, когато обработването на личните данни е необходимо за спазване на правно задължение на администратора, или за изпълнение на задача от обществен интерес, или при упражняване на официално правомощие, предоставено на администратора. Правото на субекта на данни да предава или получава отнасящи се до него лични данни не следва да поражда задължение за администраторите да възприемат или поддържат технически съвместими системи за обработване. Когато в определен пакет от лични данни е засегнат повече от един субект на данни, правото личните данни да бъдат получавани следва да не засяга правата и свободите на други субекти на данни в съответствие с настоящия регламент. Освен това, това право не следва да засяга правото на субекта на данни на изтриване на лични данни и ограниченията на това право, както е посочено в настоящия регламент, и по-специално не следва да включва изтриването на лични данни относно субекта на данните, които той е предоставил в изпълнение на договор, в степента и за сроковете, за които личните данни са необходими за изпълнението на този договор. Когато това е технически осъществимо, субектът на данни следва да има право на пряко прехвърляне на личните данни от един администратор към друг.

(42)

Когато личните данни биха могли да се обработват законносъобразно, тъй като обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официално правомощие, предоставено на администратора, всеки субект на данни следва все пак да има право на възражение срещу обработването на лични данни, свързани с неговото конкретно положение. Администраторът следва да докаже, че неговите неоспорими законни интереси имат предимство пред интересите или основните права и свободи на субекта на данни.

(43)

Субектът на данни следва да има право да не бъде адресат на решение, което може да включва мярка за оценка на свързани с него лични аспекти единствено въз основа на автоматизирано обработване и което поражда правни последствия за него или го засяга също толкова значително, като например електронни практики за набиране на персонал без човешка намеса. Това обработване включва „профилиране“, което се състои от всякакви форми на автоматизирано обработване на лични данни за оценка на личните аспекти във връзка с дадено физическо лице, по-специално анализирането или прогнозирането на различни аспекти, имащи отношение към изпълнението на професионалните задължения на субекта на данни, неговото икономическо състояние, здраве, лични предпочитания или интереси, надеждност или поведение, местонахождение или движения, когато то поражда правни последствия по отношение на лицето или го засяга също толкова значително.

Въпреки това вземането на решения въз основа на такова обработване, включително профилиране, следва да бъде позволено, когато е изрично разрешено от правото на Съюза. Във всеки случай такова обработване следва да подлежи на подходящи гаранции, които следва да включват конкретна информация за субекта на данните и правото на човешка намеса, на изразяване на мнение, на получаване на обяснение за решението, взето в резултат на такава оценка, и на обжалване на решението. Такава мярка не следва да се отнася до дете. С цел да се осигури добросъвестно и прозрачно обработване по отношение на субекта на данните, като се отчитат конкретните обстоятелства и контекстът, при които се обработват личните данни, администраторът следва да използва подходящи математически или статистически процедури за профилирането, да прилага съответните технически и организационни мерки, по-специално за да гарантира, че факторите, които водят до неточности в личните данни, се коригират, а рискът от грешки се свежда до минимум, да защити личните данни по начин, който отчита потенциалните заплахи за интересите и правата на субекта на данните и да предотврати, inter alia, ефект на дискриминация на физически лица въз основа на тяхната раса или етнически произход, политически възгледи, вероизповедание или убеждения, членство в синдикални организации, генетичен или здравен статус или сексуална ориентация или обработване, от което произтичат мерки с такъв ефект. Автоматизираното вземане на решения и профилирането на базата на специални категории лични данни следва да бъде разрешено само при определени условия.

(44)

Правни актове, приети въз основа на Договорите, или вътрешни правила, приети от институции и органи на Съюза по въпроси, свързани с тяхната дейност, могат да налагат ограничения относно специални принципи и относно правото на информация, достъп до и коригиране или изтриване на лични данни, правото на преносимост на данните, поверителността на данните от електронните съобщения, както и уведомяването на субекта на данни за нарушение на сигурността на личните данни и определени свързани с това задължения на администраторите, доколкото това е необходимо и пропорционално в едно демократично общество с оглед защитата на обществената сигурност и за предотвратяването, разследването и наказателното преследване на престъпления или изпълнението на наказания. Това включва защитата срещу заплахи за обществената сигурност и тяхното предотвратяване, защитата на човешкия живот, особено при природни или предизвикани от човека бедствия, вътрешната сигурност на институциите и органите на Съюза, други важни цели от общ обществен интерес на Съюза или на държава членка, по-специално целите на общата външна политика и политика на сигурност на Съюза или важен икономически или финансов интерес на Съюза или на държава членка, и поддържането на публични регистри поради причини от широк обществен интерес или защитата на субекта на данни или на правата и свободите на други лица, включително социалната защита, общественото здраве и хуманитарните цели.

(45)

Следва да бъдат установени отговорностите и задълженията на администратора за всяко обработване на лични данни, извършено от администратора или от негово име. По-специално администраторът следва да е длъжен да прилага подходящи и ефективни мерки и да е в състояние да докаже, че дейностите по обработването са в съответствие с настоящия регламент, включително ефективността на мерките. Тези мерки следва да отчитат естеството, обхвата, контекста и целите на обработването, както и риска за правата и свободите на физическите лица.

(46)

Рискът за правата и свободите на физическите лица, с различна вероятност и тежест, може да произтича от обработване на лични данни, което би могло да доведе до физически, имуществени или неимуществени вреди, по-специално: когато обработването може да породи дискриминация, кражба на самоличност или измама с фалшива самоличност, финансови загуби, накърняване на репутацията, нарушаване на поверителността на лични данни, защитени от професионална тайна, неразрешено премахване на псевдонимизация или други значителни икономически или социални неблагоприятни последствия; когато субектите на данни могат да бъдат лишени от свои права и свободи или от упражняване на контрол върху техните лични данни; когато се обработват лични данни, които разкриват расов или етнически произход, политически възгледи, религиозни или философски убеждения, членство в професионална организация, и когато се обработват генетични данни, данни за здравословното състояние или данни за сексуалния живот или за присъди и престъпления или свързани с тях мерки за сигурност; когато се оценяват лични аспекти, по-специално анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения, икономическото състояние, здравето, личните предпочитания или интереси, надеждността или поведението, местонахождението или движенията, с цел създаване или използване на лични профили; когато се обработват лични данни на уязвими лица, по-специално на деца; когато обработването включва голям обем лични данни и засяга голям брой субекти на данни.

(47)

Вероятността и тежестта на риска за правата и свободите на субекта на данни следва да се определят с оглед на естеството, обхвата, контекста и целта на обработването. Рискът следва да се оценява въз основа на обективна оценка, с която се определя дали операцията по обработването на данни води до риск или до висок риск.

(48)

Защитата на правата и свободите на физическите лица с оглед на обработването на лични данни изисква приемане на подходящи технически и организационни мерки, за да се гарантира изпълнението на изискванията на настоящия регламент. За да може да докаже спазването на настоящия регламент, администраторът следва да приеме вътрешни политики и да приложи мерки, които отговарят по-специално на принципите за защита на данните на етапа на проектирането и защита на данните по подразбиране. Такива мерки могат да се изразяват, inter alia, в свеждане до минимум на обработването на лични данни, псевдонимизиране на лични данни на възможно най-ранен етап, прозрачност по отношение на функциите и обработването на лични данни, създаване на възможност за субекта на данни да наблюдава обработването на данни, възможност за администратора да създава и подобрява елементите на сигурността. Принципите на защита на данните на етапа на проектирането и по подразбиране следва да се вземат предвид и в контекста на процедурите за възлагане на обществени поръчки.

(49)

Регламент (ЕС) 2016/679 изисква от администраторите да докажат, че спазват задълженията си, като се придържат към одобрени механизми за сертифициране. Институциите и органите на Съюза също така следва да могат да докажат, че спазват настоящия регламент, като получат сертифициране в съответствие с член 42 от Регламент (ЕС) 2016/679.

(50)

Защитата на правата и свободите на субектите на данни, както и отговорността и задълженията на администраторите и обработващите лични данни изискват ясно определяне на отговорностите съгласно настоящия регламент, включително когато администраторът определя целите и средствата на обработването съвместно с други администратори или когато дадена операция по обработване се извършва от името на даден администратор.

(51)

За да се гарантира спазването на изискванията на настоящия регламент по отношение на обработването, извършвано от обработващия лични данни от името на администратора, когато на обработващия лични данни се възлагат дейности по обработването, администраторът следва да използва само такива обработващи лични данни, които предоставят достатъчни гаранции, по-специално по отношение на експертни знания, надеждност и ресурси, че предприемат технически и организационни мерки, които отговарят на изискванията на настоящия регламент, включително на изискванията за сигурността на обработването. Придържането от страна на обработващите лични данни, различни от институциите и органите на Съюза, към одобрен кодекс на поведение или одобрен механизъм за сертифициране може да се използва като елемент за доказване, че са спазени задълженията на администратора. Извършването на обработването от обработващ лични данни, различен от институция или орган на Съюза, следва да се урежда с договор или, в случай че обработването се извършва от институции или органи на Съюза — с договор или друг правен акт съгласно правото на Съюза, който обвързва обработващия лични данни с администратора, регламентира предмета и продължителността на обработването, естеството и целите на обработването, вида лични данни и категориите субекти на данни, като се вземат предвид конкретните задачи и отговорности на обработващия лични данни в контекста на обработването, което следва да се извърши, както и рискът за правата и свободите на субекта на данни. Администраторът и обработващият лични данни следва да могат да изберат да използват индивидуален договор или стандартни договорни клаузи, приети или пряко от Комисията, или от Европейския надзорен орган по защита на данните и впоследствие приети от Комисията. След приключване на обработването от името на администратора обработващият личните данни следва, по избор на администратора, да ги върне или заличи, освен ако не е налице изискване за съхраняване на въпросните лични данни по силата на правото на Съюза или правото на държава членка, което се прилага спрямо обработващия лични данни.

(52)

За да докажат спазването на настоящия регламент, както администраторите, така и обработващите лични данни следва да поддържат регистри на всички категории дейности по обработване, за които отговарят. Институциите и органите на Съюза следва да са длъжни да си сътрудничат с Европейския надзорен орган по защита на данните и да му предоставят своите регистри при поискване, за да могат да бъдат използвани за наблюдение на тези операции по обработване. Освен ако е нецелесъобразно, като се вземе предвид размерът на институцията или органа на Съюза, институциите и органите на Съюза следва да могат да създадат централен регистър на своите дейности по обработване на данни. От съображения за прозрачност те следва също така да могат да направят този регистър публичен.

(53)

С цел да се поддържа сигурността и да се предотврати обработване, което е в нарушение на настоящия регламент, администраторът или обработващият лични данни следва да извърши оценка на рисковете, свързани с обработването, и да предприеме мерки за ограничаване на тези рискове, например криптиране. Тези мерки следва да гарантират подходящо ниво на сигурност, включително поверителност, като се вземат предвид достиженията на техническия прогрес и разходите по изпълнението спрямо рисковете и естеството на личните данни, които трябва да бъдат защитени. При оценката на риска за сигурността на данните следва да се разгледат рисковете, произтичащи от обработването на лични данни, като случайно или неправомерно унищожаване, загуба, промяна, неправомерно разкриване или достъп до предадени, съхранявани или обработвани по друг начин лични данни, което може по-конкретно да доведе до физически, имуществени или неимуществени вреди.

(54)

Институциите и органите на Съюза следва да гарантират поверителността на електронните съобщения, предвидена в член 7 от Хартата. По-специално институциите и органите на Съюза следва да гарантират сигурността на своите електронни съобщителни мрежи. Те следва да защитават информацията, свързана с крайните устройства на ползвателите, осъществяващи достъп до техните обществено достъпни уебсайтове и мобилни приложения в съответствие с Директива 2002/58/ЕО на Европейския парламент и на Съвета (8). Те следва да защитават също и личните данни, съхранявани в указателите на ползвателите.

(55)

Нарушението на сигурността на личните данни може, ако по отношение на него не бъдат взети подходящи и своевременни мерки, да доведе до физически, имуществени или неимуществени вреди за физическите лица. Поради това, веднага след като установи нарушение на сигурността на личните данни, администраторът следва да уведоми Европейския надзорен орган по защита на данните за нарушението на сигурността на личните данни без ненужно забавяне и когато това е осъществимо — не по-късно от 72 часа, след като е разбрал за него, освен ако администраторът е в състояние да докаже в съответствие с принципа на отчетност, че няма вероятност нарушението на сигурността на личните данни да доведе до риск за правата и свободите на физическите лица. Когато такова уведомление не може да бъде подадено в срок от 72 часа, то следва да посочва причините за забавянето и информацията може да се подаде поетапно без излишно допълнително забавяне. Когато такова забавяне е основателно, не толкова чувствителната или конкретна информация относно нарушението следва да бъде предоставена на възможно най-ранен етап, вместо преди уведомяването да се изчаква цялостно разрешаване на инцидента, който е в основата на нарушението.

(56)

Администраторът следва да уведоми субекта на данни за нарушението на сигурността на личните данни без ненужно забавяне, когато има вероятност нарушението на сигурността на личните данни да доведе до висок риск за правата и свободите на физическото лице, за да му се даде възможност да предприеме необходимите предпазни мерки. В уведомлението следва да се посочва естеството на нарушението на сигурността на личните данни, както и да се дават препоръки на засегнатото физическо лице за това как да ограничи потенциалните неблагоприятни последици. Такива уведомления до субектите на данни следва да бъдат правени веднага щом това е разумно осъществимо и в тясно сътрудничество с Европейския надзорен орган по защита на данните, като се спазват насоките, предоставени от него или от други съответни органи, като например правоприлагащите органи.

(57)

Регламент (ЕО) № 45/2001 предвижда общо задължение на администратора да уведоми за обработването на лични данни длъжностното лице по защита на данните. Освен ако е нецелесъобразно, като се вземе предвид размерът на институцията или органа на Съюза, длъжностното лице по защита на данните води регистър на операциите по обработване, за които е направено уведомление. Наред с това общо задължение следва да се въведат ефективни процедури и механизми за наблюдение на онези видове операции по обработване, които има вероятност да доведат до висок риск за правата и свободите на физическите лица поради своето естество, обхват, контекст и цели. Такива процедури следва да бъдат прилагани по-специално, когато видовете операции по обработване включват използването на нови технологии или представляват нов вид технологии, във връзка с които преди това от администратора не е извършвана оценка на въздействието върху защитата на данните или които стават необходими предвид времето, изминало от първоначалното обработване. В такива случаи преди обработването администраторът следва да извърши оценка на въздействието върху защитата на данните, за да се оценят конкретната вероятност и тежестта на високия риск, като се вземат предвид естеството, обхватът, контекстът и целите на обработването и източниците на риска. Посочената оценка на въздействието следва да включва по-специално предвидените мерки, гаранции и механизми за ограничаване на този риск, с които се осигурява защитата на личните данни и се доказва спазването на настоящия регламент.

(58)

Когато в оценката на въздействието върху защитата на данните е указано, че при липса на гаранции, мерки за сигурност и механизми за ограничаване на риска обработването би довело до висок риск за правата и свободите на физическите лица, и администраторът счита, че рискът не може да бъде ограничен с разумни средства от гледна точка на наличните технологии и разходи за прилагане, преди началото на дейностите по обработването следва да се осъществи консултация с Европейския надзорен орган по защита на данните. Има вероятност такъв висок риск да бъде породен от определени видове обработване и от степента и честотата на обработване, които могат да доведат и до нанасяне на вреди или до възпрепятстване на упражняването на правата и свободите на физическото лице. Европейският надзорен орган по защита на данните следва да отговори на искането за консултация в рамките на определен срок. Въпреки това отсъствието на отговор от Европейския надзорен орган по защита на данните в рамките на този срок не следва да препятства евентуалната намеса на Европейския надзорен орган по защита на данните в съответствие със задълженията и правомощията му, установени в настоящия регламент, включително правомощието да забранява операции по обработване. Като част от този процес на консултации следва да бъде възможно да се представи на Европейския надзорен орган по защита на данните резултатът от оценка на въздействието върху защитата на данните, извършена във връзка с въпросното обработване, и по-конкретно мерките, предвидени за ограничаване на възможните рискове за правата и свободите на физическите лица.

(59)

Европейският надзорен орган по защита на данните следва да бъде информиран за административните мерки и с него да бъдат провеждани консултации относно вътрешните правила, приемани от институциите и органите на Съюза по въпроси, свързани с тяхната дейност, когато те предвиждат обработването на лични данни, определят условия за ограничаване на правата на субекта на данни или предоставят подходящи гаранции за правата на субекта на данни, за да се гарантира, че планираното обработване отговаря на изискванията на настоящия регламент, по-специално относно ограничаването на рисковете, свързани със субекта на данни.

(60)

С Регламент (ЕС) 2016/679 бе създаден Европейският комитет по защита на данните като независим орган на Съюза, притежаващ правосубектност. Комитетът следва да допринася за съгласуваното прилагане на Регламент (ЕС) 2016/679 и Директива (ЕС) 2016/680 навсякъде в Съюза, включително като съветва Комисията. В същото време Европейският надзорен орган по защита на данните следва да продължи да упражнява своите надзорни и консултативни функции по отношение на всички институции и органи на Съюза, включително по своя собствена инициатива или при поискване. С цел да се гарантира съгласуваност на правилата за защита на данните навсякъде в Съюза, Комисията следва да полага усилия за консултация с Европейския надзорен орган по защита на данните при подготовката на предложения или препоръки. Комисията следва да извършва задължително консултация след приемането на законодателни актове или при подготовката на делегирани актове и актове за изпълнение, определени в членове 289, 290 и 291 от ДФЕС, и след приемането на препоръки и предложения, свързани със споразумения с трети държави и международни организации, предвидени в член 218 от ДФЕС, които имат въздействие върху правото на защита на личните данни. В тези случаи Комисията следва да бъде задължена да се консултира с Европейския надзорен орган по защита на данните, с изключение на случаите, при които Регламент (ЕС) 2016/679 предвижда задължителна консултация с Европейския комитет по защита на данните, например във връзка с решения относно адекватното ниво на защита или делегирани актовете относно стандартизирани икони и изисквания за механизмите за сертифициране. Когато въпросният акт има особено значение за защитата на правата и свободите на физическите лица по отношение на обработването на лични данни, Комисията следва да може също така да се консултира с Европейския комитет по защита на данните. В тези случаи Европейският надзорен орган по защита на данните следва, като член на Европейския комитет по защита на данните, да координира работата си с него с оглед на изготвянето на съвместно становище. Европейският надзорен орган по защита на данните и когато е приложимо, Европейският комитет по защита на данните следва да представят писменото си становище в срок от осем седмици. Този срок следва да бъде намален за спешни случаи или когато това е уместно, например когато Комисията подготвя делегирани актове и актове за изпълнение.

(61)

В съответствие с член 75 от Регламент (ЕС) 2016/679 Европейският надзорен орган по защита на данните следва да осигурява секретариата на Европейския комитет по защита на данните.

(62)

Във всички институции и органи на Съюза трябва да има длъжностно лице по защита на данните, което да гарантира прилагането на разпоредбите на настоящия регламент и да съветва администраторите и обработващите лични данни по изпълнението на техните задължения. Длъжностното лице по защита на данните следва да бъде лице с експертни познания в областта на правото и практиките за защита на данните, което следва да се определя по-специално в съответствие с извършваните операции по обработване на данни от администратора или обработващия лични данни и защитата, която е необходима за личните данни. Тези длъжностни лица по защита на данните следва да са в състояние да изпълняват своите задължения и задачи по независим начин.

(63)

Когато лични данни се предават от институциите или органите на Съюза на администратори, обработващи лични данни или други получатели в трети държави или на международни организации, нивото на защита на физическите лица, осигурено в Съюза с настоящия регламент, следва да бъде гарантирано. Същите гаранции следва да се прилагат в случаите на последващо предаване на лични данни от третата държава или международната организация на администратори или обработващи лични данни в същата или друга трета държава или международна организация. Във всеки случай предаването на данни на трети държави и международни организации може да се извършва единствено в пълно съответствие с настоящия регламент и при спазване на основните права и свободи, заложени в Хартата. Предаването може да се извършва само ако администраторът или обработващият лични данни изпълняват условията, установени в разпоредбите на настоящия регламент, относно предаването на лични данни на трети държави или международни организации, при спазване на другите разпоредби на настоящия регламент.

(64)

Комисията може да реши в съответствие с член 45 от Регламент (ЕС) 2016/679 или с член 36 от Директива (ЕС) 2016/680, че дадена трета държава, територия или конкретен сектор в трета държава или дадена международна организация предоставя адекватно ниво на защита на данните. В тези случаи предаването на лични данни на такава трета държава или международна организация от институция или орган на Съюза може да се извършва, без да е необходимо допълнително разрешение.

(65)

При липсата на решение относно адекватното ниво на защита администраторът или обработващият лични данни следва да предприеме мерки, за да компенсира липсата на защита на данни в дадена трета държава чрез подходящи гаранции за субекта на данните. Тези подходящи гаранции може да се състоят от стандартни клаузи за защита на данните, приети от Комисията, стандартни клаузи за защита на данните, приети от Европейския надзорен орган по защита на данните, или договорни клаузи, разрешени от Европейския надзорен орган по защита на данните. Когато обработващият лични данни не е институция или орган на Съюза, тези подходящи гаранции може също така да се състоят от задължителни фирмени правила, кодекси за поведение и механизми за сертифициране, използвани за международното предаване на данни по силата на Регламент (ЕС) 2016/679. Тези гаранции следва да осигуряват спазването на изискванията относно защитата на данните и на правата на субектите на данни, подходящи при обработване в рамките на Съюза, включително наличието на изпълняеми права на субектите на данни и на ефективни средства за правна защита, включително с цел получаване на ефективна административна или съдебна защита и предявяване на искове за обезщетение в Съюза или в трета държава. Те следва да се отнасят по-специално до спазването на общите принципи, свързани с обработването на лични данни, и до принципите за защита на данните на етапа на проектирането и по подразбиране. Данни може да се предават и от институциите или органите на Съюза на публични органи или организации в трети държави или на международни организации със съответните задължения или функции, включително въз основа на разпоредбите, които ще бъдат включени в административните договорености, като например меморандум за разбирателство, с които да се предоставят изпълняеми и ефективни права за субектите на данни. Когато гаранциите са предвидени в административни договорености, които нямат задължителен характер, следва да се получи разрешение от Европейския надзорен орган по защита на данните.

(66)

Възможността администраторът или обработващият лични данни да използва стандартни клаузи за защита на данните, приети от Комисията или от Европейския надзорен орган по защита на данните, не следва да възпрепятства администраторите или обработващите лични данни да включат стандартни клаузи за защита на данните в договор с по-голям обхват, като договор между обработващия лични данни и друг обработващ лични данни, нито да добавят други клаузи или допълнителни гаранции, при условие че същите не противоречат пряко или косвено на стандартните договорни клаузи, приети от Комисията или от Европейския надзорен орган по защита на данните, нито засягат основните права или свободи на субектите на данни. Администраторите и обработващите лични данни следва да бъдат насърчавани да предоставят допълнителни гаранции чрез договорни ангажименти, които допълват стандартните клаузи за защита на данните.

(67)

Някои трети държави приемат закони, подзаконови и други правни актове, които имат за цел пряко да регулират дейностите по обработване на данни от страна на институциите или органите на Съюза. Това може да включва решения на съдилища или трибунали или решения на административни органи в трети държави, с които от администратора или обработващия лични данни се изисква да предаде или да разкрие лични данни и които не се основават на международно споразумение, което е в сила между третата държава, отправила искането, и Съюза. Извънтериториалното прилагане на тези закони, подзаконови и други правни актове може да бъде в нарушение на международното право и да възпрепятства осигуряването на защитата на физическите лица, гарантирана в Съюза с настоящия регламент. Предаването на данни следва да е разрешено само когато са изпълнени условията на настоящия регламент относно предаването на данни на трети държави. Такъв може да бъде случаят, inter alia, когато разкриването е необходимо поради важно съображение от обществен интерес, признато в правото на Съюза.

(68)

Следва да се предвиди възможността в особени случаи да се предават данни при определени обстоятелства, когато субектът на данните е дал изричното си съгласие, когато предаването засяга отделни случаи и е необходимо във връзка с договор или правна претенция, независимо от това дали е в рамките на съдебна, административна или друга извънсъдебна процедура, включително процедура пред регулаторни органи. Следва да се предвиди и възможността да се предават данни, когато това се налага поради важни съображения от обществен интерес, предвидени в правото на Съюза, или когато предаването се извършва от регистър, създаден със закон и предназначен за справки от обществеността или от лица, които имат законен интерес. В този случай, освен ако това е разрешено от правото на Съюза, предаването не следва да включва всички лични данни или цели категории данни, съдържащи се в регистъра, а когато регистърът е предназначен за справка от лица, които имат законен интерес, предаването следва да се извършва единствено по искане на тези лица или ако те са получателите, като се вземат изцяло под внимание интересите и основните права на субекта на данните.

(69)

Тези дерогации следва да се прилагат по-специално за предаването на данни, което се изисква и е необходимо по важни причини от обществен интерес, например при международен обмен на данни между институциите и органите на Съюза и органи по защита на конкуренцията, данъчни или митнически власти, органи за финансов надзор и служби, компетентни по въпросите на социалната сигурност или общественото здраве, например в случай на проследяване на контакти при заразни болести или с цел намаляване и/или премахване на употребата на допинг в спорта. Предаването на лични данни следва също да се разглежда като законосъобразно, когато е необходимо за защитата на интерес от съществено значение за жизненоважни интереси на субекта на данни или на друго лице, включително физическата неприкосновеност или живота, ако субектът на данните не е в състояние да даде съгласие. При липсата на решение относно адекватното ниво на защита правото на Съюза може по важни причини от обществен интерес изрично да определи ограничения за предаването на специални категории от данни на трета държава или международна организация. Всяко предаване на международна хуманитарна организация на лични данни на субект на данни, който е физически или юридически неспособен да даде своето съгласие, с оглед на изпълнението на задължение по силата на Женевските конвенции или прилагането на международното хуманитарно право, приложимо в условията на военни конфликти, може да се счита за необходимо поради важна причина от обществен интерес или защото е от жизненоважен интерес за субекта на данни.

(70)

Във всеки случай, когато Комисията не е взела решение относно адекватното ниво на защита на данните в трета държава, администраторът или обработващият данни следва да използва решения, които предоставят изпълняеми и ефективни права на субектите на данни по отношение на обработването на техните данни в Съюза след предаването на тези данни, така че те да продължат да се ползват от основните права и гаранциите.

(71)

Трансграничното движение на лични данни извън Съюза може да увеличи риска физическите лица да не могат да упражнят правата на защита на данните, по-специално да се защитят срещу неправомерна употреба или разкриване на тези данни. В същото време националните надзорни органи и Европейският надзорен орган по защита на данните, могат да бъдат изправени пред невъзможността да разглеждат жалби или да провеждат разследвания, свързани с дейности, извършвани извън тяхната юрисдикция. Техните усилия за сътрудничество в трансграничния контекст могат да бъдат възпрепятствани и от недостатъчни правомощия за предотвратяване или защита, различаващи се правни режими, както и от практически пречки като ограничения на ресурсите. Поради това по-тясното сътрудничество между Европейския надзорен орган по защита на данните и националните надзорни органи следва да бъде насърчавано, за да им се помогне да обменят информация със своите международни партньори.

(72)

Създаването с Регламент (ЕО) № 45/2001 на Европейския надзорен орган по защита на данните, който е оправомощен да изпълнява своите задачи и упражнява своите правомощия при пълна независимост, е първостепенен елемент от защитата на физическите лица във връзка с обработването на личните им данни. Настоящият регламент следва допълнително да укрепи и да изясни неговите роля и независимост. Европейският надзорен орган по защита на данните следва да бъде лице, чиято независимост не подлежи на съмнение и за което е признато, че притежава необходимите опит и умения, за да изпълнява задълженията на Европейски надзорен орган по защита на данните, например поради това, че е работило в един от надзорните органи, създадени по силата на член 51 от Регламент (ЕС) 2016/679.

(73)

За да се гарантира съгласувано наблюдение и прилагане на правилата за защита на данните навсякъде в Съюза, Европейският надзорен орган по защита на данните следва да има еднакви задачи и ефективни правомощия с националните надзорни органи, включително правомощия за разследване, корективни правомощия и правомощия за налагане на санкции, правомощия за даване на разрешения и становища, особено в случаи на жалби от физически лица, правомощия за довеждане на нарушенията на настоящия регламент до знанието на Съда и правомощия за участие в съдебни производства в съответствие с първичното право. Тези правомощия следва да включват и правомощието за налагане на временно или окончателно ограничаване, включително забрана, на обработването на данни. С цел избягване на излишни разходи и прекалени неудобства за лицата, които могат да бъдат засегнати по неблагоприятен начин, всяка мярка на Европейския надзорен орган по защита на данните следва да бъде подходяща, необходима и пропорционална с оглед на осигуряването на съответствие с настоящия регламент, като се отчитат обстоятелствата при всеки конкретен случай и се зачита правото на всяко лице да бъде изслушано, преди да бъде взета каквато и да е конкретна мярка. Всяка мярка със задължителен характер на Европейския надзорен орган по защита на данните следва да бъде в писмена форма, да бъде ясна и недвусмислена, да посочва датата на издаване на мярката, да е подписана от Европейския надзорен орган по защита на данните, да посочва основанията за мярката и да се позовава на правото на ефективни правни средства за защита.

(74)

Компетентността на Европейския надзорен орган по защита на данните във връзка с надзора не следва да обхваща обработването на лични данни от Съда, когато той действа при изпълнение на своите съдебни функции, за да се гарантира независимостта на Съда при изпълнението на съдебните му задължения, включително вземането на решения. За такива операции по обработване Съдът следва да установи независим надзор в съответствие с член 8, параграф 3 от Хартата, например чрез вътрешен механизъм.

(75)

Решенията на Европейския надзорен орган по защита на данните относно изключенията, гаранциите, разрешенията и условията във връзка с операциите по обработване на данни, както са определени в настоящия регламент, следва да се публикуват в доклад за дейността. Независимо от публикуването на годишен доклад за дейността, Европейският надзорен орган по защита на данните може да публикува доклади по конкретни теми.

(76)

Европейският надзорен орган по защита на данните следва да спазва Регламент (ЕО) № 1049/2001 на Европейския парламент и на Съвета (9).

(77)

Националните надзорни органи наблюдават прилагането на Регламент (ЕС) 2016/679 и допринасят за неговото съгласувано прилагане навсякъде в Съюза с цел защита на физическите лица по отношение на обработването на личните им данни и улесняване на свободното движение на личните данни в рамките на вътрешния пазар. С цел да се повиши съгласуваността при прилагане на правилата за защита на данните, приложими в държавите членки, и на правилата за защита на данните, приложими за институциите и органите на Съюза, Европейският надзорен орган по защита на данните следва да си сътрудничи ефективно с националните надзорни органи.

(78)

В някои случаи правото на Съюза предвижда модел на споделен между Европейския надзорен орган по защита на данните и националните надзорни органи координиран надзор. Европейският надзорен орган по защита на данните е също и надзорният орган на Европол и за тези цели, а посредством съвет за сътрудничеството, който има консултативни функции, е създаден конкретен модел на сътрудничество с националните надзорни органи. С цел подобряване на ефективния надзор и прилагане на материалноправните разпоредби за защита на данните, в Съюза следва да бъде въведен единен, съгласуван модел на координиран надзор. Поради това Комисията следва да направи, когато е целесъобразно, законодателни предложения за изменение на правните актове на Съюза, които предвиждат модел на координиран надзор, за да се приведат в съответствие с модела за координиран надзор от настоящия регламент. Европейският комитет по защита на данните следва да служи като единен форум за гарантиране на ефективен координиран надзор във всички области.

(79)

Всеки субект на данни следва да има право да подаде жалба до Европейския надзорен орган по защита на данните, както и право на ефективни правни средства за защита пред Съда в съответствие с Договорите, ако счита, че правата му по настоящия регламент са нарушени или ако Европейският надзорен орган по защита на данните не предприема действия по подадена жалба, изцяло или частично отхвърля или оставя без разглеждане жалба или не предприема действия, когато такива са необходими, за да се защитят правата на субекта на данни. Разследването въз основа на жалби следва да подлежи на съдебен контрол и да се извършва в целесъобразна за конкретния случай степен. Европейският надзорен орган по защита на данните следва да информира субекта на данните за напредъка в процеса на разглеждане и резултата от жалбата в разумен срок. Ако случаят изисква допълнително координиране с национален надзорен орган, на субекта на данните следва да бъде предоставена междинна информация. За да се улесни подаването на жалбите, Европейският надзорен орган по защита на данните следва да вземе мерки, като например осигуряване на формуляр за подаване на жалби, който да може да бъде попълнен и по електронен път, без да се изключват други средства за комуникация.

(80)

Всяко лице, което е претърпяло имуществени или неимуществени вреди в резултат на нарушение на настоящия регламент, следва да има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди при спазване на условията, предвидени в Договорите.

(81)

С цел да се укрепи надзорната роля на Европейския надзорен орган по защита на данните и ефективното прилагане на настоящия регламент Европейският надзорен орган по защита на данните следва да има правомощието да налага като санкция в краен случай административна имуществена санкция. Тя следва да имат за цел санкционирането на институцията или органа на Съюза, а не на физически лица, за неспазване на настоящия регламент, възпирането на бъдещи нарушения на настоящия регламент, както и насърчаването на култура на защита на личните данни в рамките на институциите и органите на Съюза. В настоящия регламент следва да се посочат нарушенията, за които се налага административна имуществена санкция, както и горните граници и критериите за определяне на свързаните имуществени санкции. Европейският надзорен орган по защита на данните следва да определи размера на имуществената санкция във всеки отделен случай, като взема предвид всички обстоятелства, свързани с конкретната ситуация, по-специално при надлежно отчитане на естеството, тежестта и продължителността на нарушението, на последиците от него и на мерките, предприети, за да се гарантира спазване на задълженията по настоящия регламент и за да се предотвратят или смекчат последиците от нарушението. При налагането на административна имуществена санкция на институция или орган на Съюза Европейския надзорен орган по защита на данните следва да прецени пропорционалността на размера на имуществената санкция. Административното производство за налагането на имуществени санкции на институции и органи на Съюза следва да зачита общите принципи на правото на Съюза, както се тълкуват от Съда.

(82)

Когато субектът на данни смята, че правата му по настоящия регламент са нарушени, той следва да има право да възложи на структура, организация или сдружение с нестопанска цел, което е учредено съгласно правото на Съюза или правото на държава членка, има уставни цели, които са в обществен интерес, и работи в областта на защитата на личните данни, да подаде жалба от негово име до Европейския надзорен орган по защита на данните. Тази структура, организация или сдружение следва също така да може да упражнява правото на съдебна защита от името на субектите на данни или да упражнява правото за обезщетение от името на субектите на данни.

(83)

Длъжностно лице или друг служител на Съюза, който не спазва задълженията, предвидени в настоящия регламент, подлежи на дисциплинарна или друга мярка в съответствие с правилата и процедурите, установени в Правилника за длъжностните лица на Европейския съюз и Условията за работа на другите служители на Съюза, установени в Регламент (ЕИО, Евратом, ЕОВС) № 259/68 (10) („Правилник за длъжностните лица“).

(84)

За да се гарантират еднакви условия за прилагането на настоящия регламент, на Комисията следва да бъдат предоставени изпълнителни правомощия. Тези правомощия следва да бъдат упражнявани в съответствие с Регламент (ЕС) № 182/2011 на Европейския парламент и на Съвета (11). За приемането на стандартните договорни клаузи между администратори и обработващи лични данни и между обработващи лични данни, за приемането на списък на операциите по обработване, за които е необходима предварителна консултация с Европейския надзорен орган по защита на данните от администраторите, обработващи лични данни при изпълнението на задача от обществен интерес и за приемането на стандартни договорни клаузи, предвиждащи подходящи гаранции за международно предаване на данни, следва да бъде използвана процедурата по разглеждане.

(85)

Поверителната информация, която статистическите органи на национално равнище и на равнището на Съюза събират за изготвянето на официална европейска и официална национална статистика, следва да бъде защитена. Европейската статистика следва да се разработва, изготвя и разпространява в съответствие със статистическите принципи, установени в член 338, параграф 2 от ДФЕС. Регламент (ЕО) № 223/2009 на Европейския парламент и на Съвета (12) конкретизира допълнително изискванията относно поверителността на данните на европейската статистика.

(86)

Регламент (ЕО) № 45/2001 и Решение № 1247/2002/ЕО на Европейския парламент, на Съвета и на Комисията (13) следва да бъдат отменени. Позоваванията на отменения регламент и на отмененото решение следва да се считат за позовавания на настоящия регламент.

(87)

За да се гарантира пълната независимост на членовете на независимия надзорен орган, мандатите на настоящия Европейски надзорен орган по защита на данните и неговия заместник следва да не бъдат засегнати от настоящия регламент. Настоящият заместник следва да продължи да изпълнява мандата си до края на срока му, освен ако е изпълнено някое от условията за преждевременно прекратяване на мандата на Европейския надзорен орган по защита на данните, определени в настоящия регламент. До края на мандата на заместника спрямо него следва да се прилагат съответните разпоредби на настоящия регламент.

(88)

В съответствие с принципа на пропорционалност е необходимо и подходящо за постигането на основната цел за осигуряване на еквивалентно ниво на защита на физическите лица във връзка с обработването на лични данни и свободното движение на лични данни навсякъде в Съюза да бъдат установени правила относно обработването на лични данни в институциите и органите на Съюза. С настоящия регламент не се надхвърля необходимото за постигането на поставените цели в съответствие с член 5, параграф 4 от ДЕС.

(89)

В съответствие с член 28, параграф 2 от Регламент (ЕО) № 45/2001 беше проведена консултация с Европейския надзорен орган по защита на данните, който представи становище на 15 март 2017 г. (14),