interactive GDPR 2016/0679 BG

whereas    Комитетът:

definitions:

Член 40

Кодекси за поведение

1.   Държавите членки, надзорните органи, Комитетът и Комисията насърчават изготвянето на кодекси за поведение, които имат за цел да допринесат за правилното прилагане на настоящия регламент, като се отчитат специфичните характеристики на различните обработващи данни сектори и конкретните нужди на микропредприятията, малките и средните предприятия.

2.   Сдруженията и други структури, представляващи категории администратори или обработващи лични данни, могат да изготвят кодекси за поведение или да изменят или допълват такива кодекси с цел да бъде уточнено прилагането на настоящия регламент, като по отношение на:

a)	добросъвестното и прозрачно обработване;

б)	законните интереси, преследвани от администраторите в конкретни аспекти;

в)	събирането на лични данни;

г)	псевдонимизацията на лични данни;

д)	информирането на обществеността и на субектите на данни;

е)	упражняването на правата на субектите на данни;

ж)	информирането и закрилата на децата и начина за получаване на съгласие от носещите родителска отговорност за детето;

з)	мерките и процедурите, посочени в членове 24 и 25, и мерките за осигуряване на посочената в член 32 сигурност на обработването;

и)	уведомяването на надзорните органи за нарушения на сигурността на личните данни и съобщаването за такива нарушения на сигурността на личните данни на субектите на данни;

й)	предаването на лични данни на трети държави или международни организации; или

к)	извънсъдебните производства и другите процедури за разрешаване на спорове между администраторите и субектите на данни по отношение на обработването, без да се засягат правата на субектите на данни съгласно членове 77 и 79.

3.   Освен спазването на настоящия регламент от администратора или обработващия лични данни, към които се прилага настоящият регламент, кодекси за поведение, одобрени съгласно параграф 5 от настоящия член и общовалидни съгласно параграф 9 от настоящия член, могат също така да се прилагат към администратори или обработващи лични данни, непопадащи в обхвата на настоящия регламент съгласно член 3, с цел да се осигурят подходящи гаранции в рамките на предаването на лични данни на трети държави или международни организации съгласно условията, посочени в член 46, параграф 2, буква д). Тези администратори или обработващи лични данни поемат задължителни ангажименти с изпълнителна сила, чрез договорни или други инструменти със задължителен характер, да прилагат тези подходящи гаранции, включително по отношение на правата на субектите на данни.

4.   Кодексът за поведение, посочен в параграф 2 от настоящия член съдържа механизми, които позволяват на посочения в член 41, параграф 1 орган да извършва задължителното наблюдение на спазването на неговите разпоредби от администраторите или обработващите лични данни, които приемат да го прилагат, без да се засягат задълженията и правомощията на надзорните органи, компетентни по силата на член 55 или 56.

5.   Сдруженията и другите структури, посочени в параграф 2 от настоящия член, които възнамеряват да изготвят кодекс за поведение или да изменят или допълнят съществуващ кодекс, представят проекта на кодекс, негово изменение или допълнение на надзорния орган, който е компетентен съгласно член 55 Надзорният орган дава становище дали проектът за кодекс, негово изменение или допълнение съответстват на настоящия регламент и одобрява този проект на кодекс, негово изменение или допълнение, ако установи, че той осигурява достатъчно подходящи гаранции.

6.   Когато проектът на кодекс, негово изменение или допълнение е одобрено в съответствие с параграф 5 и когато съответният кодекс за поведение няма отношение към дейности по обработване в няколко държави членки, надзорният орган регистрира и публикува кодекса.

7.   Ако проект на кодекс за поведение има отношение към дейности по обработване в няколко държави членки, надзорният орган, който е компетентен съгласно член 55, преди одобряването на проекта на кодекс, негово изменение или допълнение, го представя, по посочената в член 63 процедура, на Комитета, който дава становище дали проектът на кодекс, негово изменение или допълнение съответстват на настоящия регламент, или, в случаите, посочени в параграф 3 от настоящия член, осигуряват подходящи гаранции.

8.   Ако посоченото в параграф 7 становище потвърди, че проектът на кодекс, негово изменение или допълнение съответстват на настоящия регламент или, в случаите, посочени в параграф 3, осигуряват подходящи гаранции, Комитетът представя становището си на Комисията.

9.   Комисията може чрез актове за изпълнение да реши дали одобрения кодек за поведение, негово изменение или допълнение, който ѝ е представен по силата на параграф 8 от настоящия член, е общовалиден в рамките на Съюза. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 93, параграф 2.

10.   Комисията осигурява подходяща публичност на одобрените кодекси, за които е решено, че са общовалидни в съответствие с параграф 9.

11.   Комитетът събира всички одобрени кодекси за поведение, техните изменения и допълнения в регистър и ги прави обществено достъпни чрез всички подходящи средства.

Член 42

Сертифициране

1.   Държавите членки, надзорните органи, Комитетът по защита на данните и Комисията насърчават, особено на равнището на Съюза, създаването на механизми за сертифициране за защита на данните и на печати и маркировки за защита на данните с цел да се демонстрира спазването на настоящия регламент при операциите по обработване от страна на администраторите и обработващите лични данни. Отчитат се конкретните нужди на микропредприятията, на малките и средните предприятия.

2.   Освен спазването на настоящия регламент от администратора или обработващия лични данни, към които се прилага настоящият регламент, може да се установяват механизми за сертифициране, печати или маркировки за защита на данните, одобрени съгласно параграф 5 от настоящия член, с цел да се демонстрира наличието на подходящи гаранции, осигурени от администраторите и обработващите лични данни, които не са обект на настоящия регламент съгласно член 3, в рамките на предаването на лични данни на трети държави или международни организации съгласно условията, посочени в член 46, параграф 2, буква е). Тези администратори или обработващи лични данни поемат задължителни ангажименти с изпълнителна сила, чрез договорни или други инструменти със задължителен характер, да прилагат тези подходящи гаранции, включително по отношение на правата на субектите на данни.

3.   Сертифицирането е доброволно и е достъпно чрез процедура, която е прозрачна.

4.   Сертифицирането по настоящия член не води до намаляване на отговорността на администратора или на обработващия лични данни за спазване на настоящия регламент и не засяга задачите и правомощията на надзорните органи, които са компетентни съгласно член 55 или член 56.

5.   Сертифицирането по силата на настоящия член се издава от сертифициращите органи, посочени в член 43, или от компетентния надзорен орган, въз основа на критериите, одобрени от компетентния надзорен орган съгласно член 58, параграф 3, или, от Комитета съгласно член 63. Когато критериите са одобрени от Комитета, това може да доведе до единно сертифициране — „Европейски печат за защита на данните“.

6   Администраторът или обработващият лични данни, който подлага своето обработване на механизма за сертифициране, осигурява на сертифициращия орган, посочен в член 43, или ако е приложимо — на компетентния надзорен орган, цялата информация и достъп до своите дейности по обработване, които са необходими за извършване на процедурата по сертифициране.

7.   Сертификатът се издава на администратора или обработващия лични данни за максимален срок от три години и може да бъде подновен при същите условия, ако съответните изисквания продължават да са спазени. Сертификатът се оттегля, ако е приложимо, от сертифициращите органи, посочени в член 43, или от компетентния надзорен орган, ако изискванията за сертифицирането не са спазени или вече не се спазват.

8.   Комитетът обединява всички механизми за сертифициране и всички печати и маркировки за защита на данните в регистър и осигурява публичен достъп до тях по подходящ начин.

Член 64

Становище на Комитета

1.   Комитетът дава становище, когато компетентен надзорен орган възнамерява да приеме някоя от мерките, изброени по-долу. За тази цел компетентният надзорен орган предава проекта за решение на Комитета, когато то:

а)	има за цел приемане на списък на операциите по обработване, които подлежат на изискването за оценка на въздействието по отношение на защитата на лични данни в съответствие с член 35, параграф 4;

б)	се отнася до въпрос съгласно член 40, параграф 7 дали проект на кодекс на поведение, негово изменение или допълнение съответства на настоящия регламент;

в)	има за цел одобряване на критериите за акредитиране на орган съгласно член 41, параграф 3 или на орган по сертифициране съгласно член 43, параграф 3;

г)	има за цел определяне на стандартните клаузи за защита на данните, посочени в член 46, параграф 2, буква г) и в член 28, параграф 8;

д)	има за цел даване на разрешение за договорните клаузи, посочени в член 46, параграф 3, буква а); или

е)	има за цел одобряване на задължителни фирмени правила по смисъла на член 47.

2.   Всеки надзорен орган, председателят на Комитета или Комисията може да поиска разглеждането на въпрос с общо приложение или с последици в повече от една държава членка от Комитета с цел получаване на становище, по-специално когато даден компетентен надзорен орган не изпълнява задълженията за взаимопомощ съгласно член 61 или за съвместни операции съгласно член 62.

3.   В случаите, посочени в параграфи 1 и 2, Комитетът дава становище по отнесения до него въпрос, при условие че все още не е давал становище по същия въпрос. Това становище се приема в срок от осем седмици с обикновено мнозинство от членовете на Комитета. Този срок може да бъде удължен с още шест седмици с оглед на сложността на въпроса. По отношение на посочения в параграф 1 проект за решение, разпространен до членовете на Комитета в съответствие с параграф 5, за член, който не е представил възражение в посочения от председателя разумен срок, се счита, че е съгласен с проекта за решение.

4.   Надзорните органи и Комисията предоставят без ненужно забавяне на Комитета, по електронен път и посредством стандартизиран формат, всяка информация, която е от значение, включително, според случая, обобщение на фактите, проекта за решение, основанията, които налагат приемането на такава мярка, и становищата на други засегнати надзорни органи.

5.   Председателят на Комитета без ненужно забавяне информира по електронен път:

a)	членовете на Комитета и Комисията за всяка значима информация, която му е била съобщена, като използва стандартизиран формат. При необходимост секретариатът на Комитета предоставя писмен превод на съответната информация; и

б)	надзорния орган, посочен, според случая, в параграфи 1 и 2, и Комисията за становището и го оповестява публично.

6.   Компетентният надзорен орган не приема проекта си за решение по параграф 1 в рамките на посочения в параграф 3 срок.

7.   Надзорният орган, посочен в параграф 1, в най-голяма степен взема предвид становището на Комитета и в срок от две седмици след получаване на становището информира председателя на Комитета по електронен път дали ще запази или ще измени своя проект за решение и му представя изменения проект за решение, ако има такъв, като използва стандартизиран формат.

8.   Когато засегнатият надзорен орган информира председателя на Комитета в посочения в параграф 7 от настоящия член срок, че възнамерява изцяло или отчасти да не се съобрази със становището на Комитета, като представи съответните основания, се прилага член 65, параграф 1.

Член 68

Европейски комитет по защита на данните

1.   Създава се Европейски комитет по защита на данните („Комитетът“), който е орган на Съюза и притежава правосубектност.

2.   Комитетът се представлява от своя председател.

3.   Комитетът е съставен от ръководителите на по един надзорен орган от всяка държава членка и Европейския надзорен орган по защита на данните, или от съответните им представители.

4.   Когато в дадена държава членка повече от един надзорен орган отговаря за наблюдението на прилагането на разпоредбите съгласно настоящия регламент, в съответствие с правото на тази държава членка се назначава общ представител.

5.   Комисията има право да участва в дейностите и заседанията на Комитета без право на глас. Комисията посочва свой представител. Председателят на Комитета уведомява Комисията за дейностите на Комитета.

6.   В случаите, посочени с член 65, Европейският надзорен орган по защита на данните има право на глас само във връзка с решения, които се отнасят до принципите и правилата, приложими за институциите, органите, службите и агенциите на Съюза, които съответстват по същество на предвидените в настоящия регламент.

Член 69

Независимост

1.   Комитетът действа независимо при изпълнението на задачите си или упражняването на правомощията си съгласно членове 70 и 71.

2.   Без да се засягат исканията на Комисията, посочени в член 70, параграф 1, буква б) и член 70, параграф 2, Комитетът не търси и не приема указания от никого при изпълнението на своите задачи или упражняването на своите правомощия.

Член 70

Задачи на Комитета

1.   Комитетът осигурява съгласуваното прилагане на настоящия регламент. За тази цел Комитетът по своя собствена инициатива или, ако е целесъобразно, по искане на Комисията, по-специално:

a)	наблюдава и гарантира правилното прилагане на настоящия регламент в случаите, предвидени в членове 64 и 65, без да се засягат задачите на националните надзорни органи;

б)	консултира Комисията по всеки въпрос, свързан със защитата на личните данни в Съюза, включително относно всяко предложено изменение на настоящия регламент;

в)	консултира Комисията относно формàта и процедурите за обмен на информация между администраторите, обработващите лични данни и надзорните органи за задължителните фирмени правила;

г)	издава насоки, препоръки и най-добри практики относно процедурите за изтриване на връзки, копия или преписи на лични данни от обществено достъпни съобщителни услуги, както е посочено в член 17, параграф 2;

д)	разглежда по своя собствена инициатива, по искане на някой от своите членове или по искане на Комисията всеки въпрос, който се отнася до прилагането на настоящия регламент, и издава насоки, препоръки и най-добри практики с цел насърчаване на съгласуваното прилагане на настоящия регламент;

е)	издава насоки, препоръки и най-добри практики в съответствие с буква д) от настоящия параграф за допълнително уточняване на критериите и условията във връзка с решенията, основани на профилиране на данни съгласно член 22, параграф 2;

ж)

издава насоки, препоръки и най-добри практики в съответствие с буква д) от настоящия параграф за установяване на нарушения на сигурността на данните и определяне на ненужното забавяне по член 33, параграфи 1 и 2, както и за определяне на конкретните обстоятелства, при които от администратора или обработващия лични данни се изисква да уведомяват за нарушението на сигурността на личните данни;

з)	издава насоки, препоръки и най-добри практики в съответствие с буква д) от настоящия параграф по отношение на обстоятелствата, при които нарушение на сигурността на личните данни има вероятност да доведе до висок риск за правата и свободите на физическите лица, посочени в член 34, параграф 1;

и)

издава насоки, препоръки и най-добри практики в съответствие с буква д) от настоящия параграф за целите на допълнително уточняване на критериите и изискванията за предаване на лични данни въз основа на задължителни фирмени правила, които се спазват от администраторите, и задължителни фирмени правила, които се спазват от обработващите лични данни, както и на необходимите допълнителни изисквания за осигуряване на защита на личните данни на съответните субекти на данни, посочени в член 47;

й)	издава насоки, препоръки и най-добри практики в съответствие с буква д) от настоящия параграф за целите на допълнително уточняване на критериите и изискванията за предаване на лични данни въз основа на член 49, параграф 1;

к)	изготвя насоки за надзорните органи относно прилагането на мерките, посочени в член 58, параграфи 1, 2 и 3, и определянето на размера на административните наказания „глоба“ или „имуществена санкция“ съгласно член 83;

л)	извършва преглед на практическото прилагане на насоките, препоръките и най-добрите практики, посочени в букви д) и е);

м)	издава насоки, препоръки и най-добри практики в съответствие с буква д) от настоящия параграф за установяване на общи процедури за подаване на сигнали от физически лица за нарушения на настоящия регламент съгласно член 54, параграф 2;

н)	насърчава изготвянето на кодекси на поведение и установяването на механизми за сертифициране за защита на данните и печати и маркировки за защита на данните съгласно членове 40 и 42;

о)	извършва акредитацията на сертифициращи органи и периодичния ѝ преглед съгласно член 43 и поддържа публичен регистър на акредитираните органи съгласно член 43, параграф 6 и на акредитираните администратори и обработващи лични данни, установени в трети държави, съгласно член 42, параграф 7;

п)	уточнява изискванията, посочени в член 43, параграф 3, с оглед на акредитацията на сертифициращи органи съгласно член 42;

р)	предоставя на Комисията становище относно изискванията за сертифициране, посочени в член 43, параграф 8;

с)	предоставя на Комисията становище относно иконите, посочени в член 12, параграф 7;

т)

предоставя на Комисията становище за оценка на адекватността на нивото на защита на данните в трета държава или международна организация, включително за оценка на това дали третата държава, територията или един или повече конкретни сектори в рамките на тази трета държава, или международната организация, са престанали да осигуряват адекватно ниво на защита. За тази цел Комисията предоставя на Комитета цялата необходима документация, включително кореспонденцията с правителството на третата държава, по отношение на тази трета държава, територия или конкретен сектор или с международната организация;

у)	дава становища по проекти за решения на надзорните органи по силата на механизма за съгласуваност, посочен в член 64, параграф 1, по въпроси, изпратени съгласно член 64, параграф 2 и приема решения със задължителен характер съгласно член 65, включително по въпроси, разглеждани съгласно член 66;

ф)	насърчава сътрудничеството и ефективния двустранен и многостранен обмен на информация и добрите практики между надзорните органи;

х)	насърчава общите програми за обучение и улеснява обмена на персонал между надзорните органи и — когато това е целесъобразно —с надзорните органи на трети държави или международни организации;

ц)	насърчава обмена на знания и документация относно законодателството и практиките в областта на защитата на данни с надзорните органи по защита на данните в цял свят;

ч)	дава становища по кодексите за поведение, съставяни на равнището на Съюза в съответствие с член 40, параграф 9; и

ш)	поддържа обществено достъпен електронен регистър на решенията, взети от надзорните органи и съдилищата по въпроси, разглеждани в рамките на механизма за съгласуваност.

2.   Когато Комисията поиска съвет от Комитета, тя може да посочи срок, като се взема предвид спешността на въпроса.

3.   Комитетът изпраща своите становища, насоки, препоръки и най-добри практики на Комисията и на комитета, посочен в член 93, и ги прави обществено достояние.

4.   Комитетът се консултира по целесъобразност със заинтересованите страни и им предоставя възможност да направят коментари в рамките на разумен срок. Без да се засягат разпоредбите на член 76, Комитетът оповестява публично резултатите от процедурата на консултации.

Член 71

Доклади

1.   Комитетът изготвя годишен доклад относно защитата на физическите лица по отношение на обработването в Съюза и, когато е от значение — в трети държави и международни организации. Докладът се оповестява публично и се предава на Европейския парламент, на Съвета и на Комисията.

2.   В годишния доклад се включва преглед на практическото прилагане на насоките, препоръките и най-добрите практики, посочени в член 70, параграф 1, буква л), както и на решенията със задължителен характер, посочени в член 65.

Член 72

Процедура

1.   Комитетът взема решения с обикновено мнозинство на членовете си, освен ако не е предвидено друго в настоящия регламент.

2.   Комитетът приема свой процедурен правилник с мнозинство от две трети от своите членове и определя своите методи на работа.

Член 73

Председател

1.   Комитетът избира с обикновено мнозинство председател и двама заместник-председатели измежду своите членове.

2.   Мандатът на председателя и на заместник-председателите е пет години и може да бъде подновяван еднократно.

Член 74

Задачи на председателя

1.   Председателят има следните задачи:

a)	да свиква заседанията на Комитета и да изготвя дневния ред;

б)	да уведомява водещия надзорен орган и засегнатите надзорни органи за решенията, приети от Комитета съгласно член 58а;

в)	да осигурява своевременното изпълнение на задачите на Комитета, по-специално във връзка с механизма за съгласуваност, посочен в член 63.

2.   Комитетът определя разпределението на задачите между председателя и заместник-председателите в своя процедурен правилник.

Член 75

Секретариат

1.   Комитетът разполага със секретариат, който се осигурява от Европейския надзорен орган по защита на данните.

2.   Секретариатът изпълнява задачите си изключително под ръководството на председателя на Комитета.

3.   Служителите на Европейския надзорен орган по защита на данните, участващи в изпълнението на задачи, възложени на Комитета с настоящия регламент, са организационно отделени от служителите, участващи в изпълнението на задачи, възложени на Европейския надзорен орган по защита на данните.

4.   Когато е целесъобразно, Комитетът и Европейският надзорен орган по защита на данните изготвят и публикуват меморандум за разбирателство за прилагане на настоящия член, в който се определят условията за сътрудничеството помежду им и който се прилага за служителите на Европейския надзорен орган по защита на данните, участващи в изпълнението на задачи, възложени на Комитета с настоящия регламент.

5.   Секретариатът предоставя аналитична, административна и логистична подкрепа на Комитета.

6.   Секретариатът отговаря по-специално за:

a)	ежедневната работа на Комитета;

б)	комуникацията между членовете на Комитета, неговия председател и Комисията;

в)	комуникацията с други институции и с обществеността;

г)	използването на електронни средства за вътрешна и външна комуникация;

д)	превода на значима информация;

е)	подготовката на заседанията на Комитета и последващите действия във връзка с тях;

ж)	подготовката, изготвянето и публикуването на становища, решения относно уреждането на спорове между надзорни органи и други текстове, приети от Комитета.