interactive GDPR 2016/0679 BG

a)	субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели;

б)	обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;

в)	обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора;

г)	обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице;

д)	обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;

е)

обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете.

Буква е) на първа алинея не се прилага за обработването, което се извършва от публични органи при изпълнението на техните задачи.

2. Държавите членки могат да запазят или въведат по-конкретни разпоредби, за да адаптират прилагането на правилата на настоящия регламент по отношение на обработването, необходимо за спазването на параграф 1, букви в) и д), като установят по-конкретно специални изисквания за обработването и други мерки, за да се гарантира законосъобразно и добросъвестно обработване, включително за други особени случаи на обработване на данни, предвидени в глава IX.

3. Основанието за обработването, посочено в параграф 1, букви в) и д), е установено от:

a)	правото на Съюза или

б)	правото на държавата членка, което се прилага спрямо администратора.

Целта на обработването се определя в това правно основание или доколкото се отнася до обработването по параграф 1, буква д), то трябва да е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора. Това правно основание може да включва конкретни разпоредби за адаптиране на прилагането на разпоредбите на настоящия регламент, inter alia общите условия, които определят законосъобразността на обработването от администратора, видовете данни, които подлежат на обработване, съответните субекти на данни; образуванията, пред които могат да бъдат разкривани лични данни, и целите, за които се разкриват; ограниченията по отношение на целите на разкриването; периодът на съхранение и операциите и процедурите за обработване, включително мерки за гарантиране на законосъобразното и добросъвестно обработване, като тези за други конкретни случаи на обработване съгласно предвиденото в глава IX. Правото на Съюза или правото на държавата членка се съобразява с обществения интерес и е пропорционално на преследваната легитимна цел.

4. Когато обработването за други цели, различни от тези, за които първоначално са били събрани личните данни, не се извършва въз основа на съгласието на субекта на данните или на правото на Съюза или правото на държава членка, което представлява необходима и пропорционална мярка в едно демократично общество за гарантиране на целите по член 23, параграф 1, администраторът, за да се увери дали обработването за други цели е съвместимо с първоначалната цел, за която са били събрани личните данни, inter alia, взема под внимание:

a)	всяка връзка между целите, за които са били събрани личните данни, и целите на предвиденото по-нататъшно обработване;

б)	контекста, в който са били събрани личните данни, по-специално във връзка с отношенията между субекта на данните и администратора;

в)	естеството на личните данни, по-специално дали се обработват специални категории лични данни съгласно член 9 или се обработват лични данни, отнасящи се до присъди и нарушения, съгласно член 10;

г)	възможните последствия от предвиденото по-нататъшно обработване за субектите на данните;

д)	наличието на подходящи гаранции, които могат да включват криптиране или псевдонимизация.

Член 25

Защита на данните на етапа на проектирането и по подразбиране

1. Като взема предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхвата, контекста и целите на обработването, както и породените от обработването рискове с различна вероятност и тежест за правата и свободите на физическите лица, администраторът въвежда, както към момента на определянето на средствата за обработване, така и към момента на самото обработване, подходящи технически и организационни мерки, например псевдонимизация, които са разработени с оглед на ефективното прилагане на принципите за защита на данните, например свеждане на данните до минимум, и интегриране на необходимите гаранции в процеса на обработване, за да се спазят изискванията на настоящия регламент и да се осигури защита на правата на субектите на данни.

2. Администраторът въвежда подходящи технически и организационни мерки, за да се гарантира, че по подразбиране се обработват само лични данни, които са необходими за всяка конкретна цел на обработването. Това задължение се отнася до обема на събраните лични данни, степента на обработването, периода на съхраняването им и тяхната достъпност. По-специално, подобни мерки гарантират, че по подразбиране без намеса от страна на физическото лице личните данни не са достъпни за неограничен брой физически лица.

3. Одобреният механизъм за сертифициране съгласно член 42 може да се използва като елемент, за да се докаже спазването на изискванията, предвидени в параграфи 1 и 2 от настоящия член.

Член 30

Регистри на дейностите по обработване

1. Всеки администратор и — когато това е приложимо — представител на администратор поддържа регистър на дейностите по обработване, за които отговоря. Този регистър съдържа цялата по-долу посочена информация:

a)	името и координатите за връзка на администратора и — когато това е приложимо — на всички съвместни администратори, на представителя на администратора и на длъжностното лице по защита на данните, ако има такива;

б)	целите на обработването;

в)	описание на категориите субекти на данни и на категориите лични данни;

г)	категориите получатели, пред които са или ще бъдат разкрити личните данни, включително получателите в трети държави или международни организации;

д)	когато е приложимо, предаването на лични данни на трета държава или международна организация, включително идентификацията на тази трета държава или международна организация, а в случай на предаване на данни, посочено в член 49, параграф 1, втора алинея, документация за подходящите гаранции;

е)	когато е възможно, предвидените срокове за изтриване на различните категории данни;

ж)	когато е възможно, общо описание на техническите и организационни мерки за сигурност, посочени в член 32, параграф 1.

2. Всеки обработващ лични данни и — когато това е приложимо — представителят на обработващия лични данни поддържа регистър на всички категории дейности по обработването, извършени от името на администратор, в който се съдържат:

a)	името и координатите за връзка на обработващия или обработващите лични данни и на всеки администратор, от чието име действа обработващият лични данни и — когато това е приложимо —на представителя на администратора или обработващия лични данни и на длъжностното лице по защита на данните;

б)	категориите обработване, извършвано от името на всеки администратор;

в)	когато е приложимо, предаването на лични данни на трета държава или международна организация, включително идентификацията на тази трета държава или международна организация, а в случай на предаване на данни, посочено в член 49, параграф 1, втора алинея, документация за подходящите гаранции;

г)	когато е възможно, общо описание на техническите и организационни мерки за сигурност, посочени в член 32, параграф 1.

3. Регистрите, посочени в параграфи 1 и 2, се поддържат в писмена форма, включително в електронен формат.

4. При поискване, администраторът или обработващият лични данни и — когато това е приложимо — представителят на администратора или на обработващия личните данни, осигуряват достъп до регистъра на надзорния орган.

5. Задълженията, посочени в параграфи 1 и 2, не се прилагат по отношение на предприятие или дружество с по-малко от 250 служители, освен ако има вероятност извършваното от тях обработване да породи риск за правата и свободите на субектите на данни, ако обработването не е спорадично или включва специални категории данни по член 9, параграф 1 или лични данни, свързани с присъди и нарушения, по член 10.

Член 36

Предварителна консултация

1. Администраторът се консултира с надзорния орган преди обработването, когато оценката на въздействието върху защитата на данните съгласно член 35 покаже, че обработването ще породи висок риск, ако администраторът не предприеме мерки за ограничаване на риска.

2. Когато надзорният орган е на мнение, че планираното обработване, посочено в параграф 1, нарушава настоящия регламент, особено когато администраторът не е идентифицирал или ограничил риска в достатъчна степен, надзорният орган в срок до осем седмици след получаване на искането за консултация дава писмено становище на администратора или на обработващия лични данни, когато е приложимо, като може да използва всяко от правомощията си, посочени в член 58. Този срок може да бъде удължен с още шест седмици предвид сложността на планираното обработване. Надзорният орган информира администратора и, когато е приложимо, обработващия лични данни за такова удължаване в срок от един месец от получаване на искането за консултация, включително за причините за забавянето. Тези срокове може да спрат да текат, докато надзорният орган получи всяка евентуално поискана от него информация за целите на консултацията.

3. Когато се консултира с надзорния орган съгласно параграф 1, администраторът предоставя на надзорния орган следната информация:

a)	където е приложимо — информация за съответните отговорности на администратора, съвместните администратори и обработващите лични данни, които се занимават с обработването, по-конкретно при обработване на данни в рамките на група предприятия;

б)	целите на планираното обработване и средствата за него;

в)	предвидените мерки и гаранции за защита на правата и свободите на субектите на данни съгласно настоящия регламент;

г)	където е приложимо, координатите за връзка на длъжностното лице по защита на данните;

д)	оценката на въздействието върху защитата на данните по член 35; както и

е)	всякаква друга информация, поискана от надзорния орган.

4. Държавите членки се консултират с надзорния орган по време на изготвянето на предложения за законодателни мерки, които да бъдат приети от националните парламенти, или на регулаторни мерки, основани на такива законодателни мерки, които се отнасят до обработването.

5. Без да се засяга параграф 1, правото на държавите членки може да изисква от администраторите да се консултират с надзорния орган и да получават предварително разрешение от него във връзка с обработването от администратор за изпълнението на задача, осъществявана от администратора в полза на обществения интерес, включително обработване във връзка със социалната закрила и общественото здраве.

Раздел 4

Длъжностно лице по защита на данните

Член 41

Наблюдение на одобрените кодекси за поведение

1. Без да се засягат задачите и правомощията на компетентния надзорен орган по членове 57 и 58, наблюдението на спазването на даден кодекс за поведение съгласно член 40 може да се осъществява от орган, който има съответното ниво на опит във връзка с предмета на кодекса и е акредитиран за тази цел от компетентния надзорен орган.

2. Посоченият в параграф 1 орган може да бъде акредитиран да наблюдава съответствието с кодекс за поведение, ако:

a)	е доказал в задоволителна степен пред компетентния надзорен орган своята независимост и опит във връзка с предмета на кодекса;

б)	е установил процедури, даващи му възможност да направи оценка на допустимостта на съответните администратори и обработващи лични данни да прилагат кодекса, да наблюдава дали те спазват разпоредбите на кодекса и периодично да прави преглед на неговото функциониране;

в)

е установил процедури и структури за обработване на жалби за нарушения на кодекса или за начина, по който кодексът е бил приложен или се прилага от администратор или обработващ лични данни, и за прозрачното довеждане на тези процедури и структури до знанието на субектите на данни и обществеността; и

г)	демонстрира в задоволителна степен пред компетентния надзорен орган, че задачите и задълженията му не водят до конфликт на интереси.

3. Компетентният надзорен орган представя проектокритериите за акредитацията на орган по параграф 1 от настоящия член на Комитета в съответствие с посочения в член 63 механизъм за съгласуваност.

4. Без да се засягат задачите и правомощията на компетентния надзорен орган и разпоредбите на глава VIII, при наличие на адекватни предпазни мерки орган, посочен в параграф 1 от настоящия член, предприема съответните действия в случай на нарушение на кодекса от страна на администратор или обработващ лични данни, включително като суспендира членството в кодекса или изключва от него съответния администратор или обработващ лични данни. Той информира компетентния надзорен орган за тези действия и за мотивите, с които са предприети.

5. Компетентният надзорен орган анулира акредитацията на орган по параграф 1, ако условията за акредитация не са били спазени или вече не се спазват или ако предприетите от органа действия нарушават настоящия регламент.

6. Настоящият член не се прилага по отношение на обработване, извършвано от публичните власти и органи.

Член 64

Становище на Комитета

1. Комитетът дава становище, когато компетентен надзорен орган възнамерява да приеме някоя от мерките, изброени по-долу. За тази цел компетентният надзорен орган предава проекта за решение на Комитета, когато то:

а)	има за цел приемане на списък на операциите по обработване, които подлежат на изискването за оценка на въздействието по отношение на защитата на лични данни в съответствие с член 35, параграф 4;

б)	се отнася до въпрос съгласно член 40, параграф 7 дали проект на кодекс на поведение, негово изменение или допълнение съответства на настоящия регламент;

в)	има за цел одобряване на критериите за акредитиране на орган съгласно член 41, параграф 3 или на орган по сертифициране съгласно член 43, параграф 3;

г)	има за цел определяне на стандартните клаузи за защита на данните, посочени в член 46, параграф 2, буква г) и в член 28, параграф 8;

д)	има за цел даване на разрешение за договорните клаузи, посочени в член 46, параграф 3, буква а); или

е)	има за цел одобряване на задължителни фирмени правила по смисъла на член 47.

2. Всеки надзорен орган, председателят на Комитета или Комисията може да поиска разглеждането на въпрос с общо приложение или с последици в повече от една държава членка от Комитета с цел получаване на становище, по-специално когато даден компетентен надзорен орган не изпълнява задълженията за взаимопомощ съгласно член 61 или за съвместни операции съгласно член 62.

3. В случаите, посочени в параграфи 1 и 2, Комитетът дава становище по отнесения до него въпрос, при условие че все още не е давал становище по същия въпрос. Това становище се приема в срок от осем седмици с обикновено мнозинство от членовете на Комитета. Този срок може да бъде удължен с още шест седмици с оглед на сложността на въпроса. По отношение на посочения в параграф 1 проект за решение, разпространен до членовете на Комитета в съответствие с параграф 5, за член, който не е представил възражение в посочения от председателя разумен срок, се счита, че е съгласен с проекта за решение.

4. Надзорните органи и Комисията предоставят без ненужно забавяне на Комитета, по електронен път и посредством стандартизиран формат, всяка информация, която е от значение, включително, според случая, обобщение на фактите, проекта за решение, основанията, които налагат приемането на такава мярка, и становищата на други засегнати надзорни органи.

5. Председателят на Комитета без ненужно забавяне информира по електронен път:

a)	членовете на Комитета и Комисията за всяка значима информация, която му е била съобщена, като използва стандартизиран формат. При необходимост секретариатът на Комитета предоставя писмен превод на съответната информация; и

б)	надзорния орган, посочен, според случая, в параграфи 1 и 2, и Комисията за становището и го оповестява публично.

6. Компетентният надзорен орган не приема проекта си за решение по параграф 1 в рамките на посочения в параграф 3 срок.

7. Надзорният орган, посочен в параграф 1, в най-голяма степен взема предвид становището на Комитета и в срок от две седмици след получаване на становището информира председателя на Комитета по електронен път дали ще запази или ще измени своя проект за решение и му представя изменения проект за решение, ако има такъв, като използва стандартизиран формат.

8. Когато засегнатият надзорен орган информира председателя на Комитета в посочения в параграф 7 от настоящия член срок, че възнамерява изцяло или отчасти да не се съобрази със становището на Комитета, като представи съответните основания, се прилага член 65, параграф 1.

Член 65

Разрешаване на спорове от Комитета

1. С цел да осигури правилно и последователно прилагане на настоящия регламент в отделните случаи, Комитетът приема решение със задължителен характер в следните случаи:

когато в случаи по член 60, параграф 4 засегнат надзорен орган е повдигнал относимо и обосновано възражение срещу проект за решение на водещия орган или водещият орган е отхвърлил възражението като неотносимо или необосновано. Решението със задължителен характер се отнася за всички въпроси, които са предмет на относимото и обосновано възражение, особено когато има нарушение на настоящия регламент;

б)	когато има противоречиви виждания за това кой от засегнатите надзорни органи е компетентен за основното място на установяване;

в)	когато компетентният надзорен орган не е поискал становището на Комитета в случаите, посочени в член 64, параграф 1, или не се е съобразил със становището на Комитета, дадено по член 564. В този случай всеки засегнат надзорен орган или Комисията може да отнесе въпроса до Комитета.

2. Посоченото в параграф 1 решение се приема в срок от един месец от отнасянето на въпроса от мнозинство от две трети от членовете на Комитета. Посоченият срок може да бъде удължен с още един месец с оглед на сложността на въпроса. Решението по параграф 1 е обосновано, адресирано е до водещия надзорен орган и всички засегнати надзорни органи и е със задължителен характер за тях.

3. Когато Комитетът не е бил в състояние да приеме решение в срока, посочен в параграф 2, той приема решението си в срок от две седмици от изтичането на втория месец, споменат в параграф 2, с обикновено мнозинство от членовете на Комитета. Когато членовете на Комитета са разделени поравно на две, решението се приема с решаващия глас на председателя.

4. Засегнатите надзорни органи не приемат решение по отнесения до Комитета въпрос съгласно параграф 1 в рамките на сроковете, посочени в параграфи 2 и 3.

5. Председателят на Комитета уведомява без ненужно забавяне засегнатите надзорни органи за решението, посочено в параграф 1. Той уведомява и Комисията за него. Решението се публикува на уебсайта на Комитета без забавяне след като надзорният орган е уведомил за окончателното си решение, посочено в параграф 6.

6. Водещият надзорен орган или, според случая, надзорният орган, до който е била подадена жалбата, приема окончателното си решение въз основа на решението, посочено в параграф 1 от настоящия член, без ненужно забавяне и най-късно един месец след като Комитетът е уведомил за решението си. Водещият надзорен орган или, според случая, надзорният орган, до който е била подадена жалбата, информира Комитета за датата, на която администраторът или обработващият лични данни и субектът на данни са били уведомени за неговото окончателно решение. Окончателното решение на засегнатите надзорни органи се приема по реда на член 60, параграфи 7, 8 и 9. Окончателното решение се позовава на решението, посочено в параграф 1 от настоящия член, и в него се уточнява, че посоченото в посочения параграф решение ще бъде публикувано на уебсайта на Комитета в съответствие с параграф 5 от настоящия член. Към окончателното решение се прилага решението, посочено в параграф 1 от настоящия член.

Член 92

Упражняване на делегирането

1. Правомощието да приема делегирани актове се предоставя на Комисията при спазване на предвидените в настоящия член условия.

2. Делегирането на правомощия, посочено в член 12, параграф 8 и член 43, параграф 8, се предоставя на Комисията за неопределен срок, считано от 24 май 2016 г.

3. Делегирането на правомощия, посочено в член 12, параграф 8 и член 43, параграф 8, може да бъде оттеглено по всяко време от Европейския парламент или от Съвета. С решението за отмяна се прекратява посоченото в него делегиране на правомощия. То поражда действие в деня след публикуването му в Официален вестник на Европейския съюз или на по-късна, посочена в решението дата. То не засяга действителността на делегираните актове, които вече са в сила.

4. Веднага след като приеме делегиран акт, Комисията нотифицира акта едновременно на Европейския парламент и на Съвета.

5. Делегиран акт, приет съгласно член 12, параграф 8 и член 43, параграф 8, влиза в сила единствено ако нито Европейският парламент, нито Съветът не са представили възражения в срок от три месеца от нотифицирането за акта на Европейския парламент и Съвета или ако преди изтичането на този срок и Европейският парламент, и Съветът са уведомили Комисията, че няма да представят възражения. Този срок се удължава с три месеца по инициатива на Европейския парламент или на Съвета.

Член 93

Процедура на комитет

1. Комисията се подпомага от комитет. Този комитет е комитет по смисъла на Регламент (ЕС) № 182/2011.

2. При позоваване на настоящия параграф се прилага член 5 от Регламент (ЕС) № 182/2011.

3. При позоваване на настоящия параграф се прилага член 8 от Регламент (ЕС) № 182/2011 във връзка с член 5 от него.

ГЛАВА XI

Заключителни разпоредби

Член 98

Преглед на други правни актове на Съюза за защита на данните

Ако е целесъобразно, Комисията представя законодателни предложения за изменение на други правни актове на Съюза за защита на личните данни, за да гарантира единна и съгласувана защита на физическите лица във връзка с обработването Това се отнася по-специално за правилата по отношение на защитата на физическите лица във връзка с обработването от институции, органи, служби и агенции на Съюза, както и за правилата по отношение на свободното движение на такива данни.

whereas

(32) Съгласие следва да се дава чрез ясно утвърдителен акт, с който да се изразява свободно дадено, конкретно, информирано и недвусмислено заявление за съгласие от страна на субекта на данни за обработване на свързани с него лични данни, например чрез писмена декларация, включително по електронен път, или устна декларация. Това може да включва отбелязване с отметка в поле при посещението на уебсайт в интернет, избиране на технически настройки за услуги на информационното общество или друго заявление или поведение, което ясно показва, че субектът на данни е съгласен с предложеното обработване на неговите лични данни. Поради това мълчанието, предварително отметнатите полета или липсата на действие не следва да представляват съгласие. Съгласието следва да обхваща всички дейности по обработване, извършени за една и съща цел или цели. Когато обработването преследва повече цели, за всички тях следва да бъде дадено съгласие. Ако съгласието на субекта на данни трябва да се даде след искане по електронен път, искането трябва да е ясно, сбито и да не нарушава излишно използването на услугата, за която се предвижда.

- = -

(35) Личните данни за здравословното състояние следва да обхващат всички данни, свързани със здравословното състояние на субекта на данните, които разкриват информация за физическото или психическото здравословно състояние на субекта на данните в миналото, настоящето или бъдещето. Това включва информация относно физическото лице, събрана в хода на регистрацията за здравни услуги или тяхното предоставяне, както е посочено в Директива 2011/24/EС на Европейския парламент и на Съвета (9), на същото физическо лице; номер, символ или характеристика, определени за дадено физическо лице с цел уникалното му идентифициране за здравни цели; информация, получена в резултат от изследването или прегледа на част от тялото или на телесно вещество, включително от генетични данни и биологични проби; и всякаква информация, например за заболяване, увреждане, риск от заболяване, медицинска история, клинично лечение или физиологично или биомедицинско състояние на субекта на данните, независимо от източника на информация, като например лекар или друг медицински специалист, болница, медицинско изделие или ин витро диагностично изследване.

- = -

(36) Основното място на установяване на администратор на данни в Съюза следва да бъде мястото в Съюза, където се намира централното му управление в Съюза, освен ако решенията относно целите и средствата за обработването на лични данни не се вземат на друго място на установяване на администратора на данни в Съюза, в който случай това друго място на установяване следва да се счита за основното място на установяване. Основното място на установяване на администратор в Съюза следва да се определя съгласно обективни критерии и следва да означава ефективното и действително упражняване на управленски дейности, определящи основните решения по отношение на целите и средствата за обработване на данни по силата на стабилни договорености. Този критерий не следва да зависи от това дали обработването на лични данни се извършва на това място. Наличието и употребата на технически средства и технологии за обработване на лични данни или дейностите по обработване не представляват сами по себе си основно място на установяване и следователно не са определящи критерии за понятието „основно място на установяване“. Основното място на установяване на обработващия лични данни следва да бъде мястото, където се намира централното му управление в Съюза, а ако няма централно управление в Съюза, мястото в Съюза, където се осъществяват основните дейности по обработването. В случаи, когато участват и администратор, и обработващ лични данни, компетентният водещ надзорен орган следва да остане надзорният орган на държавата членка, в която се намира основното място на установяване на администратора, а надзорният орган на обработващия лични данни следва да се счита за засегнат надзорен орган и този надзорен орган следва да участва в процедурата за сътрудничество, предвидена в настоящия регламент. При всички положения надзорните органи на държавата членка или държавите членки, където е установен обработващият лични данни, не следва да се считат за засегнати надзорни органи, когато проектът за решение засяга единствено администратора. Когато обработването се извършва от група предприятия, основното място на установяване на контролиращото предприятие следва да се счита за основно място на установяване на групата предприятия, с изключение на случаите, в които целите и средствата на обработването на данни се определят от друго предприятие.

- = -

(39) Всяко обработване на лични данни следва да бъде законосъобразно и добросъвестно. За физическите лица следва да е прозрачно по какъв начин отнасящи се до тях лични данни се събират, използват, консултират или обработват по друг начин, както и в какъв обхват се извършва или ще се извършва обработването на данните. Принципът на прозрачност изисква всяка информация и комуникация във връзка с обработването на тези лични данни да бъде лесно достъпна и разбираема и да се използват ясни и недвусмислени формулировки. Този принципа се отнася в особена степен за информацията, която получават субектите на данни за самоличността на администратора и целите на обработването, и за допълнителната информация, гарантираща добросъвестно и прозрачно обработване на данните по отношение на засегнатите физически лица и тяхното право да получат потвърждение и уведомление за съдържанието на свързани с тях лични данни, които се обработват. Физическите лица следва да бъдат информирани за рисковете, правилата, гаранциите и правата, свързани с обработването на лични данни, и за начините, по които да упражняват правата си по отношение на обработването. По-специално, конкретните цели, за които се обработват лични данни, следва да бъдат ясни и законни и определени към момента на събирането на личните данни. Личните данни следва да са адекватни, релевантни и ограничени до необходимото за целите, за които се обработват. Това налага по-специално да се гарантира, че срокът, за който личните данни се съхраняват, е ограничен до строг минимум. Личните данни следва да се обработват, единствено ако целта на обработването не може да бъде постигната в достатъчна степен с други средства. С цел да се гарантира, че срокът на съхранение на личните данни не е по-дълъг от необходимия, администраторът следва да установи срокове за тяхното изтриване или периодичен преглед. Следва да бъдат предприети всички разумни мерки, за да се гарантира, че неточните лични данни се коригират или заличават. Личните данни следва да се обработват по начин, който гарантира подходяща степен на сигурност и поверителност на личните данни, включително за предотвратяване на непозволен достъп до лични данни и до оборудване за тяхното обработване или за предотвратяване на използването им.

- = -

(49) Обработването на лични данни в степен, която е строго необходима и пропорционална на целите на гарантирането на мрежовата и информационната сигурност, т.е. способността на дадена мрежа или информационна система да издържа, със съответно равнище на доверие, на случайни събития или неправомерни или злонамерени действия, които повлияват на наличността, автентичността, целостта и поверителността на съхраняваните или предаваните лични данни, както и на сигурността на свързаните услуги, предлагани или достъпни посредством тези мрежи и системи, от страна на публични органи, екипи за незабавно реагиране при компютърни инциденти (ЕНРКИ), екипи за реагиране при инциденти с компютърната сигурност (ЕРИКС), доставчици на мрежи и услуги за електронни съобщения и доставчици на технологии и услуги за сигурност, представлява законен интерес на съответния администратор на данни. Това може да включва например предотвратяването на непозволен достъп до електронни съобщителни мрежи и разпространение на зловреден софтуер и спиране на атаки с цел отказване на услугите и вреди за компютрите и електронните съобщителни системи.

- = -

(53) Специални категории лични данни, които се нуждаят от по-голяма защита, могат да бъдат обработвани единствено за здравни цели, когато е необходимо тези цели да бъдат постигнати в полза на отделни физически лица и на обществото като цяло, по-специално в рамките на управлението на услугите и системите за здравеопазване или социални грижи, включително обработването от страна на органите за управление и от централните национални здравни органи на такива данни за целите на контрола на качеството, информацията за управлението и общото наблюдение на национално и местно равнище на системата за здравеопазване или социални услуги, както и за осигуряване на непрекъснатост на здравното обслужване или на социалните услуги и на трансграничното здравно обслужване или за целите на сигурността, наблюдението и предупрежденията в сферата на здравеопазването, или за целите на архивирането в обществен интерес, за целите на научни или исторически изследвания или за статистически цели въз основа на правото на Съюза или националното право, което трябва да отговаря на цел от обществен интерес, както и за проучванията в областта на общественото здраве, провеждани в обществен интерес. Поради това настоящият регламент следва да предвижда хармонизирани условия за обработването на специални категории лични данни за здравословното състояние по отношение на специфични нужди, по-специално когато обработването на тези данни се извършва за определени цели, свързани със здравето, от лица, обвързани от правното задължение за професионална тайна. Правото на Съюза или националното право следва да предвижда конкретни и подходящи мерки за защита на основните права и личните данни на физическите лица. Държавите членки следва да разполагат с възможност да запазят или да въведат допълнителни условия, включително ограничения, по отношение на обработването на генетични, биометрични или данни за здравословното състояние. Това обаче не следва да възпрепятства свободното движение на лични данни в рамките на Съюза, когато тези условия се прилагат за трансгранично обработване на такива данни.

- = -

(58) Принципът на прозрачност изисква всяка информация както за обществеността, така и за субекта на данните да бъде в кратка, прозрачна, разбираема и лесно достъпна форма и да се използват ясни и недвусмислени формулировки, а в допълнение когато е необходимо, да се използва и визуализация. Тази информация може да бъде представена в електронна форма, например чрез уебсайт, когато е адресирана до обществеността. Това важи в особена степен за ситуации, където нарастването на участниците и технологичната сложност на тази практика правят трудно за субекта на данни да узнае и разбере дали се събират свързани с него лични данни, от кого и с каква цел, като в случая на онлайн рекламите. Като се има предвид, че на децата се полага специална защита, когато обработването е насочено към дете, всяка информация и комуникация следва да се предоставя с ясни и недвусмислени формулировки, които да бъдат лесноразбираеми за детето.

- = -

(63) Всяко физическо лице следва да има право на достъп до събраните лични данни, които го засягат, и да упражнява това право лесно и на разумни интервали, за да бъде осведомено за обработването и да провери законосъобразността му. Това включва правото на субектите на данни на достъп до данните за здравословното им състояние, например данните в медицинските им досиета, които съдържат информация като диагнози, резултати от прегледи, становища на лекуващите лекари и проведени лечения или извършени операции. Поради това всеки субект на данни следва да има правото да е запознат и да получава информация, по-специално относно целите, за които се обработват личните данни, когато е възможно — срока, за който се обработват личните данни, получателите на личните данни,логиката на автоматизираното обработване на личните данни и последствията от такова обработване, най-малкото когато се извършва на основата на профилиране. Когато е възможно, администраторът следва да може да предоставя достъп от разстояние до сигурна система, която да предоставя на субекта на данните пряк достъп до неговите лични данни. Това право не следва да влияе неблагоприятно върху правата или свободите на други лица, включително върху търговската тайна или интелектуалната собственост, и по-специално върху авторското право за защита на софтуера. Тези съображения обаче не следва да представляват отказ за предоставяне на цялата информация на съответния субект на данни. Когато администраторът обработва голямо количество информация относно субекта на данни, администраторът следва да може да поиска от субекта на данните, преди да бъде предадена информацията, да посочи точно информацията или дейностите по обработването, за които се отнася искането.

- = -

(65) Субектът на данни следва да има право на коригиране на личните данни, свързани с него, както и правото „да бъде забравено“, когато запазването на тези данни е в нарушение на настоящия регламент или на правото на Съюза или правото на държава членка, под чиято юрисдикция е администраторът. По-специално, субектът на данни следва да има право личните му данни да се изтриват и да не бъдат обработвани повече, когато личните данни престанат да бъдат необходими с оглед на целите, за които те са били събрани или обработвани по друг начин, когато субектът на данните е оттеглил своето съгласие или е възразил срещу обработването на лични данни, свързани с него, или когато обработването на личните му данни по друг начин не е в съответствие с настоящия регламент. Това право е важно особено когато субектът на данни е дал съгласието си като дете и не е осъзнавал напълно рисковете, свързани с обработването, и впоследствие желае да премахне такива лични данни, особено когато са в интернет. Субектът на данни следва да може да упражни това право независимо от факта, че вече не е дете. По-нататъшното запазване на личните данни обаче следва да бъде законно, ако е необходимо за упражняване на правото на свобода на изразяване на мнение и правото на информация, за спазване на правно задължение, за изпълнение на задача от обществен интерес или при изпълнение на официални функции, възложени на администратора, по причини от публичен интерес в областта на общественото здравеопазване, за целите на архивирането в обществен интерес,за целите на научни или исторически изследвания, или за статистически цели, или за установяване, упражняване или защита на правни искове.

- = -

(68) С цел допълнително засилване на контрола над собствените данни, когато обработването на лични данни става по автоматичен начин, субектът на данните следва да има и правото да получава отнасящите се до него лични данни, които той е предоставил на администратора, в структуриран, широко използван, пригоден за машинно четене и оперативно съвместим формат, и да ги предава на друг администратор. Администраторите следва да бъдат насърчавани да разработват оперативно съвместими формати, които позволяват преносимост на данните. Това право следва да се прилага, когато субектът на данни е предоставил личните данни въз основа на собственото си съгласие или обработването е необходимо поради договорно задължение. Правото не следва да се прилага, когато обработването се базира на правно основание, различно от съгласие или договор. Поради самото си естество това право не следва да бъде упражнявано по отношение на администратори, обработващи данни в изпълнение на обществените си задължения. Ето защо това право не следва да се прилага, когато обработването на личните данни е необходимо за спазване на правно задължение, на което е подчинен администраторът, или за изпълнение на задача от обществен интерес, или при упражняване на официално правомощие, предоставено на администратора. Правото на субекта на данни да предава или получава отнасящи се до него лични данни не следва да поражда задължение за администраторите да възприемат или поддържат технически съвместими системи за обработване. Когато в определен пакет от лични данни е засегнат повече от един субект на данни, правото личните данни да бъдат получавани следва да не засяга правата и свободите на други субекти на данни в съответствие с настоящия регламент. Освен това, това право не следва да засяга правото на субекта на данни на изтриване на лични данни и ограниченията на това право, както е посочено в настоящия регламент, и по-специално не следва да включва изтриването на лични данни относно субекта на данните, които той е предоставил в изпълнение на договор, в степента и за сроковете, за които личните данни са необходими за изпълнението на този договор. Когато това е технически осъществимо, субектът на данни следва да има право на пряко прехвърляне на личните данни от един администратор към друг.

- = -

(71) Субектът на данни следва да има право да не бъде обект на решение, което може да включва мярка, за оценка на свързани с него лични аспекти единствено въз основа на автоматично обработване, и което поражда правни последствия за него или го засяга също толкова значително, като например автоматичен отказ на онлайн искания за кредит или електронни практики за набиране на персонал без човешка намеса. Това обработване включва „профилиране“, което се състои от всякакви форми на автоматизирано обработване на лични данни за оценка на личните аспекти във връзка с дадено физическо лице, по-специално анализирането или прогнозирането на различни аспекти, имащи отношение към резултатите в работата на субекта на данни, икономическото състояние, здравето, личните предпочитания или интереси, благонадеждността или поведението, местоположението или движенията, когато то поражда правни последствия по отношение на лицето или го засяга също толкова значително. Въпреки това, вземането на решения въз основа на такова обработване, включително профилиране, следва да бъде позволено, когато е изрично разрешено от правото на Съюза или правото на държава членка, под чиято юрисдикция е администраторът, включително за целите на наблюдението и предотвратяването на измами и укриването на данъци, осъществявани в съответствие с разпоредбите, стандартите и препоръките на институциите на Съюза или националите надзорни органи, и за гарантиране на сигурността и надеждността на услугите, предоставяни от администратора, или когато е необходимо за сключването или изпълнението на договор между субект на данни и администратор, или когато субектът на данни е дал изричното си съгласие. Във всеки случай такова обработване следва да подлежи на подходящи гаранции, които следва да включват конкретна информация за субекта на данните и правото на човешка намеса, на изразяване на мнение, на получаване на обяснение за решението, взето в резултат на такава оценка и на обжалване на решението. Такава мярка не следва да се отнася до дете.

- = -

(80) Когато даден администратор или обработващ лични данни, който не е установен в Съюза, обработва лични данни на субекти на данни, които се намират в Съюза, и дейностите му по обработването са свързани с предлагането на стоки или услуги, независимо дали от субекта на данни се изисква плащане, на такива субекти на данни в Съюза или за наблюдението на тяхното поведение, доколкото поведението им се проявява в рамките на Съюза, администраторът или обработващият лични данни следва да определи представител, освен ако обработването не засяга само отделни случаи, не включва мащабно обработване на специалните категории лични данни или обработване на лични данни, свързани с присъди и нарушения и няма вероятност да породи риск за правата и свободите на физическите лица, предвид естеството, контекста, обхвата и целите на обработването, или ако администраторът е публичен орган или структура. Представителят следва да действа от името на администратора или обработващия лични данни, а надзорният орган може да се обръща към него. Представителят следва да бъде посочен изрично от администратора или от обработващия лични данни с писмен мандат да действа от негово име във връзка с неговите задължения съгласно настоящия регламент. Посочването на такъв представител не засяга отговорностите или задълженията на администратора или на обработващия лични данни съгласно настоящия регламент. Този представител следва да изпълнява задачите си в съответствие с получения от администратора или обработващия лични данни мандат, включително да си сътрудничи с компетентните надзорни органи във връзка с всяко действие, което предприема, за да се осигури спазването на настоящия регламент. Посоченият представител следва да бъде обект на правоприлагащи процедури, в случай на нарушение от страна на администратора или обработващия лични данни.

- = -

(89) В Директива 95/46/ЕО се предвижда общо задължение за уведомяване на надзорните органи относно обработването на лични данни. Това задължение създава административна и финансова тежест и невинаги е допринасяло за подобряването на защитата на личните данни. Ето защо такива неправещи разграничения общи задължения за уведомяване следва да бъдат премахнати и заменени с ефективни процедури и механизми, които да са насочени към онези видове операции по обработване, които има вероятност да доведат до висок риск за правата и свободите на физическите лица поради своето естество, обхват, контекст и цели. Такива могат да бъдат операциите по обработване, които по-конкретно включват използването на нови технологии или представляват нов вид технологии и при които преди това от администратора не е извършвана оценка на въздействието върху защитата на данните или които стават необходими предвид времето, изминало от първоначалното обработване.

- = -

(91) Това следва да се прилага по-специално за широкомащабни операции по обработване, чиято цел е обработване на значителен обем лични данни на регионално, национално и наднационално равнище, които биха могли да засегнат голям брой субекти на данни и които е вероятно да доведат до висок риск, например поради чувствителното си естество, когато в съответствие с постигнатото ниво на технически познания се използва нова технология в голям мащаб, както и за други операции по обработване, които пораждат висок риск за правата и свободите на субектите на данни, по-специално когато тези операции затрудняват субектите на данни да упражняват правата си. Оценка на въздействието върху защитата на данни следва да се извършва и когато личните данни се обработват с цел вземане на решения относно конкретни физически лица след систематична и обстойна оценка на личните аспекти, свързани с физически лица, въз основа на профилирането на тези данни или след обработването на специални категории лични данни, биометрични данни или данни за присъди и нарушения или свързани с това мерки за сигурност. Оценка на въздействието върху защитата на данните се изисква също за широкомащабно наблюдение на публично достъпни зони, особено когато се използват оптичноелектронни уреди, или за всякакви други операции, когато компетентният надзорен орган счита, че има вероятност обработването да доведе до висок риск за правата и свободите на субектите на данни, по-специално поради това, че възпрепятстват субектите на данни да упражняват дадено право или да използват някоя услуга или договор, или поради това, че се извършват систематично в голям мащаб. Обработването на лични данни не следва да се счита за широкомащабно, ако засяга лични данни на пациенти или клиенти на отделен лекар, друг здравен работник или адвокат. В такива случаи оценката на въздействието върху защитата на данните не следва да бъде задължителна.

- = -

(106) Комисията следва да наблюдава изпълнението на решенията относно нивото на защита в дадена трета държава, територия или конкретен сектор в трета държава, или в международна организация, и да наблюдава изпълнението на решения, приети въз основа на член 25, параграф 6 или член 26, параграф 4 от Директива 95/46/ЕО. В решенията си относно адекватното ниво на защита Комисията следва да предвиди механизъм за периодичен преглед на тяхното изпълнение. Този периодичен преглед следва да се извършва в консултация с въпросната трета държава или международна организация и да отчита всички съответни развития в третата държава или международната организация. За целите на наблюдението и извършването на периодичните прегледи Комисията следва да вземе предвид становищата и констатациите на Европейския парламент и на Съвета, както и на други релевантни органи и източници. Комисията следва да направи оценка в рамките на разумен срок на изпълнението на посочените решения и да докладва на Европейския парламент и на Съвета за всякакви отнасящи се до тази оценка констатации на Комитета по смисъла на Регламент (ЕС) № 182/2011 на Европейския парламент и Съвета (12), съгласно установеното в настоящия регламент.

- = -

(115) Някои трети държави приемат закони, подзаконови и други правни актове, които имат за цел пряко да регулират дейностите по обработване на данни на физически и юридически лица под юрисдикцията на държавите членки. Това може да включва решения на съдилища или трибунали или решения на административни органи в трети държави, с които от администратора или обработващия лични данни се изисква да предаде или да разкрие лични данни, и които не се основават на международно споразумение, например договор за правна взаимопомощ, което е в сила между третата държава, отправила искането, и Съюза или негова държава членка. Извънтериториалното прилагане на тези закони, подзаконови и други правни актове може да бъде в нарушение на международното право и да възпрепятства осигуряването на защитата на физическите лица, гарантирана в Съюза с настоящия регламент. Предаванията на данни следва да са разрешени само когато са изпълнени условията на настоящия регламент относно предаването на данни на трети държави. Такъв може да бъде случаят, inter alia, когато разкриването е необходимо поради важно основание от обществен интерес, признато в правото на Съюза или в правото на държава членка, на което е подчинен администраторът.

- = -

(122) Всеки надзорен орган следва да бъде компетентен на територията на своята държава членка да упражнява правомощията и изпълнява задачите, възложени му в съответствие с настоящия регламент. Това следва да обхваща по-специално обработването в контекста на дейностите на място на установяване на администратора или обработващия лични данни на територията на неговата държава членка, обработването на лични данни, извършвано от публични органи или частни структури, действащи в обществен интерес, обработване, което засяга субекти на данни на неговата територия, или обработване, извършвано от администратор или обработващ лични данни, който не е установен в Съюза, когато субектите на данни, към които това обработване е насочено, са с местопребиваване на негова територия. Това следва да включва разглеждане на жалби, внесени от субекти на данни, водене на разследвания за прилагането на настоящия регламент и повишаване на обществената осведоменост за рисковете, правилата, гаранциите и правата, свързани с обработването на лични данни.

- = -

(124) Когато обработването на лични данни се извършва в контекста на дейностите на място на установяване на администратор или обработващ лични данни в Съюза, а администраторът или обработващият лични данни е установен в повече от една държава членка, или когато обработване, което се осъществява в контекста на дейностите на едно-единствено място на установяване на администратор или обработващ лични данни в Съюза, засяга съществено или е вероятно да засегне съществено субекти на данни в повече от една държава членка, надзорният орган на основното място на установяване на администратора или обработващия лични данни или на единственото място на установяване на администратора или обработващия лични данни следва да функционира като водещ орган. Той следва да си сътрудничи с други засегнати органи, тъй като администраторът или обработващият лични данни има място на установяване на територията на тяхната държава членка, тъй като субекти на данни с местопребиваване на тяхната територия са съществено засегнати или тъй като до тях е била подадена жалба. Също когато субект на данни, който не е с местопребиваване в тази държава членка, е подал жалба, надзорният орган, до който е подадена такава жалба, следва също да се счита за засегнат надзорен орган. В рамките на задачите му да дава насоки по всякакви въпроси, отнасящи се до прилагането на настоящия регламент, Комитетът следва да може да дава насоки по-специално относно критериите, които да се вземат предвид, за да се установи дали въпросното обработване засяга съществено субекти на данни в повече от една държава членка и относно това какво представлява едно относимо и обосновано възражение.

- = -

(129) За да се гарантира последователно наблюдение и прилагане на настоящия регламент навсякъде в Съюза, надзорните органи следва да имат еднакви задачи и ефективни правомощия във всяка държава членка, включително правомощия за разследване, корективни правомощия и правомощия за налагане на санкции, правомощия за даване на разрешения и становища, особено в случаи на жалби от физически лица, и без да се засягат правомощията на прокуратурата съгласно правото на държавата членка — правомощието да довеждат нарушения на настоящия регламент до знанието на съдебните органи и да встъпват в съдебни производства. Тези правомощия следва да включват и правомощието за налагане на временно или окончателно ограничаване, включително забрана, на обработването на данни. Държавите членки могат да посочат други конкретни задачи, свързани със защитата на лични данни съгласно настоящия регламент. Надзорните органи следва да упражняват правомощията си в съответствие с подходящите процедурни гаранции, определени в правото на Съюза и правото на държава членка, независимо, справедливо и в разумен срок. По-специално всяка мярка следва да бъде подходяща, необходима и пропорционална с оглед на осигуряването на съответствие с настоящия регламент, като се отчитат обстоятелствата при всеки конкретен случай, зачита се правото на всяко лице да бъде изслушано преди да бъде взета каквато и да е конкретна мярка, която би го засегнала неблагоприятно, и се избягват излишни разходи и прекалени неудобства за засегнатите лица. Правомощията за разследване по отношение на достъпа до помещения следва да се упражняват в съответствие със специфичните изисквания на процесуалното право на държавите членки, като например изискването за получаване на предварително съдебно разрешение. Всяка мярка със задължителен характер на надзорен орган следва да бъде в писмен вид, да бъде ясна и недвусмислена, да посочва надзорния орган, който е издал мярката, датата на издаване на мярката, да е подписана от ръководителя или член на надзорния орган, упълномощен от него, да посочва основанията за мярката и да се позовава на правото на ефективни правни средства за защита. Това не следва да възпрепятства поставянето на допълнителни изисквания съгласно процесуалното право на държавите членки. Приемането на такова решение със задължителен характер предполага, че то може да подлежи на съдебен контрол в държавата членка на надзорния орган, приел решението.

- = -

(131) Когато друг надзорен орган следва да функционира като водещ надзорен орган за дейностите по обработване на администратора или обработващия лични данни, но конкретният предмет на жалбата или възможното нарушение засяга единствено дейностите по обработване на администратора или обработващия лични данни в държавата членка, в която е подадена жалбата или е установено възможното нарушение, и предметът не засяга съществено или няма вероятност да засегне съществено субекти на данни в други държави членки, надзорният орган, който е получил жалба, е установил или е бил информиран по друг начин за ситуации, които водят до възможни нарушения на настоящия регламент, следва да се стреми към уреждане на спора по взаимно съгласие с администратора, а ако този опит се окаже неуспешен, да упражни целия си набор от правомощия. Това следва да включва специфично обработване, извършвано на територията на държавата членка на надзорния орган или по отношение на субекти на данни на територията на тази държава членка; обработване, което се извършва в контекста на предлагането на стоки или услуги, специално предназначени за субекти на данни на територията на държавата членка на надзорния орган; или обработване, което трябва да се прецени, като се вземат предвид съответните правни задължения съгласно правото на държавата членка.

- = -

(135) За да се гарантира последователното прилагане на настоящия регламент навсякъде в Съюза, следва да се създаде механизъм за съгласуваност за осъществяване на сътрудничество между надзорните органи. Този механизъм следва по-специално да се прилага, когато даден надзорен орган възнамерява да приеме мярка, целяща да породи правни последици по отношение на операции по обработване на данни, които засягат съществено значителен брой субекти на данни в няколко държави членки. Той следва да се прилага също, когато засегнатият надзорен орган или Комисията поиска този въпрос да бъде разгледан чрез механизма за съгласуваност. Този механизъм следва да действа, без да се засягат мерките, които Комисията може да предприеме в изпълнение на своите правомощия съгласно Договорите.

- = -

(139) За да се насърчи последователното прилагане на настоящия регламент, Комитетът следва да бъде създаден като независим орган на Съюза. За да изпълнява целите си, Комитетът следва да притежава правосубектност. Комитетът следва да се представлява от своя председател. Той следва да замени Работната група за защита на физическите лица при обработването на лични данни, създадена с Директива 95/46/ЕО. Той следва да е съставен от ръководителите на надзорните органи на всяка държава членка и на Европейския надзорен орган по защита на данните или съответните им представители. Комисията следва да участва в дейностите на Комитета без право на глас, а Европейският надзорен орган по защита на данните следва да има специално право на глас. Комитетът следва да допринася за съгласуваното прилагане на настоящия регламент навсякъде в Съюза, включително като съветва Комисията, по-специално относно нивото на защита в трети държави или международни организации, и като насърчава сътрудничеството на надзорните органи навсякъде в Съюза. Комитетът следва да действа независимо при изпълнението на задачите си.

- = -

(146) Администраторът или обработващият лични данни следва да обезщетят всички вреди, които дадено лице може да претърпи в резултат на обработване на данни, което нарушава настоящия регламент. Администраторът или обработващият лични данни следва да бъде освободен от отговорност, ако докаже, че по никакъв начин не е отговорен за вредите. Понятието „вреда“ следва да се тълкува в по-широк смисъл в контекста на съдебната практика на Съда по начин, който отразява напълно целите на настоящия регламент. Това не засяга евентуални искове за вреди, произтичащи от нарушаване на други правила на правото на Съюза или правото на държава членка. Обработване на данни, което нарушава настоящия регламент, включва и обработване, което нарушава делегираните актове и актовете за изпълнение, приети в съответствие с настоящия регламент, и правото на държава членка, конкретизиращо правилата на настоящия регламент. Субектите на данни следва да получат пълно и действително обезщетение за претърпените от тях вреди. Когато администраторите или обработващите лични данни участват в едно и също обработване на данни, всеки администратор или обработващ лични данни следва да носи отговорност за цялата вреда. Когато обаче те са обединени в едно съдебно производство, в съответствие с правото на държава членка, обезщетението може да се разпределели съобразно отговорността на всеки администратор или обработващ лични данни за причинената от обработването вреда, при условие че на претърпелия вреда субект на данни бъде осигурено пълно и действително обезщетение. Всеки администратор или обработващ лични данни, който е изплатил пълно обезщетение, може впоследствие да предяви регресен иск срещу другите администратори или обработващи лични данни, участвали в същото обработване.

- = -

(153) Правото на държавите членки следва да съвместява разпоредбите, уреждащи свободата на изразяване на мнение и свободата на информация, включително за журналистически, академични, художествени или литературни цели, и правото на защита на личните данни по настоящия регламент. Обработването на лични данни единствено за журналистически цели или за академично, художествено или литературно изразяване следва да подлежи на дерогации или освобождаване от изискванията на някои разпоредби на настоящия регламент, за да се съчетае при необходимост правото на защита на личните данни с правото на свобода на изразяване на мнение и свобода на информация, заложени в член 11 от Хартата. Това следва да се прилага по-специално по отношение на обработването на лични данни в аудио-визуалната област и в новинарските архиви и библиотеките с печатни издания. Поради това държавите членки следва да приемат законодателни мерки, с които да определят освобождаванията и дерогациите, необходими за постигането на баланс между тези основни права. Държавите членки следва да приемат такива освобождавания и дерогации от общите принципи, правата на субекта на данните, администратора и обработващия лични данни, предаването на лични данни на трети държави или международни организации, независимостта на надзорните органи, сътрудничеството и съгласуваността и специалните случаи на обработване на данни. Когато тези освобождавания или дерогации се различават в отделните държави членки, следва да се прилага правото на държавата членка, на което се подчинява администраторът на лични данни. За да се вземе предвид важността на правото на свобода на изразяване на мнение във всяко демократично общество, е необходимо свързаните с тази свобода понятия, като журналистиката например, да се тълкуват широко.

- = -

(160) Когато се обработват лични данни за целите на исторически изследвания, настоящият регламент следва да се прилага и за този вид обработване. Това следва да включва също исторически изследвания и изследвания за генеалогични цели, като се има предвид че настоящият регламент не следва да се прилага за починали лица.

- = -

(164) По отношение на правомощията на надзорните органи да получават от администратора или от обработващия лични данни достъп до лични данни и достъп до помещенията им, държавите членки могат, в рамките на настоящия регламент, да приемат със закон конкретни правила, за да гарантират задължението за опазване на професионална тайна или на други равностойни задължения за опазване на тайна, доколкото това е необходимо за съгласуване на правото на защита на личните данни със задължението за опазване на професионална тайна. Това не засяга съществуващите задължения на държавите членки да приемат правила за професионална тайна, когато това се изисква от правото на Съюза.

- = -

dal 2004 diritto e informatica