interactive GDPR 2016/0679 BG

„лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;

„обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

3)	„ограничаване на обработването“ означава маркиране на съхранявани лични данни с цел ограничаване на обработването им в бъдеще;

„профилиране“ означава всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение;

„псевдонимизация“ означава обработването на лични данни по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано;

6)	„регистър с лични данни“ означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;

„администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;

8)	„обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;

„получател“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели“; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването;

10)	„трета страна“ означава физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;

11)	„съгласие на субекта на данните“ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;

12)	„нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;

13)

„генетични данни“ означава лични данни, свързани с наследени или придобити генетичните белези на дадено физическо лице, които дават уникална информация за отличителните черти или здравето на това физическо лице и които са получени, по-специално, от анализ на биологична проба от въпросното физическо лице;

14)

„биометрични данни“ означава лични данни, получени в резултат на специфично техническо обработване, които са свързани с физическите, физиологичните или поведенческите характеристики на дадено физическо лице и които позволяват или потвърждават уникалната идентификация на това физическо лице, като лицеви изображения или дактилоскопични данни;

15)	„данни за здравословното състояние“ означава лични данни, свързани с физическото или психическото здраве на физическо лице, включително предоставянето на здравни услуги, които дават информация за здравословното му състояние;

16)

„основно място на установяване“ означава:

по отношение на администратор, установен в повече от една държава членка — мястото, където се намира централното му управление в Съюза, освен в случаите, когато решенията по отношение на целите и средствата за обработването на лични данни се вземат на друго място на установяване на администратора в Съюза и на това място на установяване има правомощия за прилагане на тези решения, в който случай мястото на установяване, където са взети тези решения, се счита за основно място на установяване;

б)

по отношение на обработващ лични данни, установен в повече от една държава членка — мястото, където се намира централното му управление в Съюза, или ако обработващият лични данни няма централно управление в Съюза, мястото на установяване на обработващия лични данни в Съюза, където се осъществяват основните дейности по обработването в контекста на дейностите на дадено място на установяване на обработващия лични данни, доколкото обработващият има специфични задължения съгласно настоящия регламент;

17)	„представител“ означава физическо или юридическо лице, установено в Съюза, което, назначено от администратора или обработващия лични данни в писмена форма съгласно член 27, представлява администратора или обработващия лични данни във връзка със съответните им задължения по настоящия регламент;

18)	„дружество“ означава физическо или юридическо лице, което осъществява икономическа дейност, независимо от правната му форма, включително партньорствата или сдруженията, които редовно осъществяват икономическа дейност;

19)	„група предприятия“ означава контролиращо предприятие и контролираните от него предприятия;

20)

„задължителни фирмени правила“ означава политики за защита на личните данни, които се спазват от администратор или обработващ лични данни, установен на територията на държава членка, при предаване или съвкупност от предавания на лични данни до администратор или обработващ лични данни в една или повече трети държави в рамките на група предприятия или група дружества, участващи в съвместна стопанска дейност;

21)	„надзорен орган“ означава независим публичен орган, създаден от държава членка съгласно член 51;

22)

„засегнат надзорен орган“ означава надзорен орган, който е засегнат от обработването на лични данни, тъй като:

a)	администраторът или обработващият лични данни е установен на територията на държавата членка на този надзорен орган;

б)	субектите на данни с местопребиваване в държавата членка на този надзорен орган са засегнати съществено или е вероятно да бъдат засегнати съществено от обработването; или

в)	до този надзорен орган е подадена жалба;

23)

„трансгранично обработване“ означава или:

a)	обработване на лични данни, което се осъществява в контекста на дейностите на местата на установяване в повече от една държава членка на администратор или обработващ лични данни в Съюза, като администраторът или обработващият лични данни е установен в повече от една държава членка; или

б)	обработване на лични данни, което се осъществява в контекста на дейностите на едно-единствено място на установяване на администратор или обработващ лични данни в Съюза, но което засяга съществено или е вероятно да засегне съществено субекти на данни в повече от една държава членка;

24)

„относимо и обосновано възражение“ означава възражение срещу проект на решение относно това дали е налице нарушение на настоящия регламент или не, или дали предвижданото действие по отношение на администратора или обработващия лични данни отговаря на изискванията на настоящия регламент, което ясно доказва, че проектът за решение води до значителни рискове за основните права и свободи на субектите на данни и, където е приложимо, за свободното движение на лични данни в рамките на Съюза;

25)	„услуга на информационното общество“ означава услуга по смисъла на член 1, параграф 1, точка б) от Директива (ЕС) 2015/1535 на Европейския парламент и на Съвета (19);

26)	„международна организация“ означава организация и нейните подчинени органи, регламентирани от международното публично право, или друг орган, създаден чрез или въз основа на споразумение между две или повече държави.

ГЛАВА II

Принципи

Член 5

Принципи, свързани с обработването на лични данни

1. Личните данни са:

a)	обработвани законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните („законосъобразност, добросъвестност и прозрачност“);

б)

събирани за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели; по-нататъшното обработване за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели не се счита, съгласно член 89, параграф 1, за несъвместимо с първоначалните цели („ограничение на целите“);

в)	подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват („свеждане на данните до минимум“);

г)	точни и при необходимост да бъдат поддържани в актуален вид; трябва да се предприемат всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват („точност“);

д)

съхранявани във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни; личните данни могат да се съхраняват за по-дълги срокове, доколкото ще бъдат обработвани единствено за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели съгласно член 89, параграф 1, при условие че бъдат приложени подходящите технически и организационни мерки, предвидени в настоящия регламент с цел да бъдат гарантирани правата и свободите на субекта на данните („ограничение на съхранението“);

е)

обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки („цялостност и поверителност“);

2. Администраторът носи отговорност и е в състояние да докаже спазването на параграф 1 („отчетност“).

Член 9

Обработване на специални категории лични данни

1. Забранява се обработването на лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице.

2. Параграф 1 не се прилага, ако е налице едно от следните условия:

a)	субектът на данни е дал своето изрично съгласие за обработването на тези лични данни за една или повече конкретни цели, освен когато в правото на Съюза или правото на държава членка се предвижда, че посочената в параграф 1 забрана не може да бъде отменена от субекта на данни;

б)

обработването е необходимо за целите на изпълнението на задълженията и упражняването на специалните права на администратора или на субекта на данните по силата на трудовото право и правото в областта на социалната сигурност и социалната закрила, дотолкова, доколкото това е разрешено от правото на Съюза или правото на държава членка, или съгласно колективна договореност в съответствие с правото на държава членка, в което се предвиждат подходящи гаранции за основните права и интересите на субекта на данните;

в)	обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице, когато субектът на данните е физически или юридически неспособен да даде своето съгласие;

г)

обработването се извършва при подходящи гаранции в хода на законните дейности на фондация, сдружение или друга структура с нестопанска цел, с политическа, философска, религиозна или синдикална цел, при условие че обработването е свързано единствено с членовете или бившите членове на тази структура или с лица, които поддържат редовни контакти с нея във връзка с нейните цели, и че личните данни не се разкриват без съгласието на субектите на данните;

д)	обработването е свързано с лични данни, които явно са направени обществено достояние от субекта на данните;

е)	обработването е необходимо с цел установяване, упражняване или защита на правни претенции или винаги, когато съдилищата действат в качеството си на правораздаващи органи;

ж)

обработването е необходимо по причини от важен обществен интерес на основание правото на Съюза или правото на държава членка, което е пропорционално на преследваната цел, зачита същността на правото на защита на данните и предвижда подходящи и конкретни мерки за защита на основните права и интересите на субекта на данните;

з)

обработването е необходимо за целите на превантивната или трудовата медицина, за оценка на трудоспособността на служителя, медицинската диагноза, осигуряването на здравни или социални грижи или лечение, или за целите на управлението на услугите и системите за здравеопазване или социални грижи въз основа на правото на Съюза или правото на държава членка или съгласно договор с медицинско лице и при условията и гаранциите, посочени в параграф 3;

и)

обработването е необходимо от съображения от обществен интерес в областта на общественото здраве, като защитата срещу сериозни трансгранични заплахи за здравето или осигуряването на високи стандарти за качество и безопасност на здравните грижи и лекарствените продукти или медицинските изделия, въз основа на правото на Съюза или правото на държава членка, в което са предвидени подходящи и конкретни мерки за гарантиране на правата и свободите на субекта на данните, по-специално опазването на професионална тайна;

й)

обработването е необходимо за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели съгласно член 89, параграф 1, на основание правото на Съюза или правото на държава членка, което е пропорционално на преследваната цел, зачита същността на правото на защита на данните и предвижда подходящи и конкретни мерки за защита на основните права и интересите на субекта на данните.

3. Личните данни, посочени в параграф 1, могат да бъдат обработвани за целите, посочени в параграф 2, буква з), когато въпросните данни се обработват от или под ръководството на професионален работник, обвързан от задължението за професионална тайна по силата на правото на Съюза или правото на държавата членка или правилата, установени от националните компетентни органи или от друго лице, също обвързано от задължение за тайна по силата на правото на Съюза или правото на държавата членка или правилата, установени от националните компетентни органи.

4. Държавите членки могат да запазят или да въведат допълнителни условия, включително и ограничения, по отношение на обработването на генетични данни, биометрични данни или данни за здравословното състояние.

Член 22

Автоматизирано вземане на индивидуални решения, включително профилиране

1. Субектът на данните има право да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последствия за субекта на данните или по подобен начин го засяга в значителна степен.

2. Параграф 1 не се прилага, ако решението:

a)	е необходимо за сключването или изпълнението на договор между субект на данни и администратор;

б)	е разрешено от правото на Съюза или правото на държава членка, което се прилага спрямо администратора, и в което се предвиждат също подходящи мерки за защита на правата и свободите, и легитимните интереси на субекта на данните; или

в)	се основава на изричното съгласие на субекта на данни.

3. В случаите, посочени в параграф 2, букви а) и в), администраторът прилага подходящи мерки за защита на правата и свободите и легитимните интереси на субекта на данните, най-малко правото на човешка намеса от страна на администратора, правото да изрази гледната си точка и да оспори решението.

4. Решенията по параграф 2 не се основават на специалните категории лични данни, посочени в член 9, параграф 1, освен ако не се прилага член 9, параграф 2, буква а) или буква ж) и не са въведени подходящи мерки за защита на правата и свободите и легитимните интереси на субекта на данните.

Раздел 5

Ограничения

Член 47

Задължителни фирмени правила

1. Компетентният надзорен орган одобрява задължителни фирмени правила в съответствие с механизма за съгласуваност, определен в член 63, ако те:

a)	са със задължителен характер, прилагат се спрямо и се привеждат в изпълнение от всеки съответен член на групата предприятия или групата дружества, участващи в съвместна стопанска дейност, включително техните служители;

б)	изрично предоставят на субектите на данни приложими права по отношение на обработването на техните лични данни; и

в)	изпълняват изискванията, установени в параграф 2.

2. В посочените в параграф 1 задължителни фирмени правила се уточнява най-малко следното:

a)	структурата и координатите за връзка на групата предприятия или групата дружества, участващи в съвместна стопанска дейност и на всеки техен член;

б)	предаването или съвкупността от предавания на данни, включително категориите лични данни, видът на обработването и неговите цели, видът на засегнатите субекти на данни, и се посочва въпросната трета държава или държави;

в)	тяхното правно обвързващо естество както на вътрешно, така и на външно равнище;

г)

прилагането на общите принципи за защита на данните, по-специално ограничението на целите, свеждането на данните до минимум, ограничените периоди на съхранение, качеството на данните, защитата на данните на етапа на проектирането и по подразбиране, правното основание за обработването, обработването на специални категории лични данни, мерките за гарантиране сигурността на данните, както и изискванията по отношение на последващото предаване на данни на образувания, които не са обвързани от задължителните фирмени правила;

д)

правата на субектите на данни по отношение на обработването и средствата за упражняване на тези права, включително правото на субекта на данни да не бъде обект на решения, основани единствено на автоматизирано обработване, включително профилиране в съответствие с член 22, правото на подаване на жалба до компетентния надзорен орган и до компетентните съдилища на държавите членки в съответствие с член 79, както и правото на съдебна защита, и когато е приложимо — на обезщетение за нарушаване на задължителните фирмени правила;

е)

поемането от администратора или обработващия лични данни, установен на територията на държава членка, на отговорност за всяко нарушение на задължителните фирмени правила от който и да е член на съответната група, който не е установен в Съюза; администраторът или обработващият лични данни е изцяло или частично освободен от такава отговорност само ако докаже, че този член не носи отговорност за събитието, довело до причиняването на вреда;

ж)	начинът, по който информацията относно задължителните фирмени правила, по-специално относно разпоредбите, посочени в букви г), д) и е) от настоящия параграф, се предоставя на субектите на данни в допълнение към информацията по членове 13 и 14;

з)

задачите на всяко длъжностно лице за защита на данните, определено в съответствие с член 37, или всяко друго лице или образувание, натоварено да наблюдава спазването на задължителните фирмени правила в рамките на групата предприятия или групата дружества, участващи в съвместна стопанска дейност, както и да наблюдава обучението и разглеждането на жалбите;

и)	процедурите по отношение на жалбите;

й)

механизмите в рамките на групата предприятия или групата дружества, участващи в съвместна стопанска дейност за осигуряване на проверка на спазването на задължителните фирмени правила. Тези механизми включват одити на защитата на данните и методи за осигуряване на коригиращи действия за защита на правата на субекта на данни. Резултатите от тази проверка следва да се съобщават на лицето или образуванието, посочено в буква з), и на управителния съвет на контролиращото предприятие на групата предприятия или на групата дружества, участващи в съвместна стопанска дейност, и следва при поискване да се предоставят на компетентния надзорен орган;

к)	механизмите за докладване и записване на промени в правилата и докладването на надзорния орган за тези промени;

л)

механизмът за сътрудничество с надзорния орган с цел осигуряване на спазването на правилата от всеки член на групата предприятия или на групата дружества, участващи в съвместна стопанска дейност, по-специално чрез предоставяне на надзорния орган на резултатите от проверките на мерките, посочени в буква й);

м)

механизмите за докладване на компетентния надзорен орган за всякакви правни изисквания, приложими към член на групата предприятия или групата дружества, участващи в съвместна стопанска дейност, в трета държава, които е вероятно да доведат до значими неблагоприятни последици за гаранциите, предоставяни от задължителните фирмени правила; както и

н)	подходящото обучение за защита на данните за персонала, който постоянно или редовно има достъп до лични данни.

3. Комисията може да определя формáта и процедурите за обмена на информация между администраторите, обработващите лични данни и надзорните органи относно задължителните фирмени правила по смисъла на настоящия член. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 93, параграф 2.

Член 49

Дерогации в особени случаи

1. При липса на решение относно адекватното ниво на защита съгласно член 45, параграф 3 или на подходящи гаранции съгласно член 46, включително задължителни фирмени правила, предаване или съвкупност от предавания на лични данни на трета държава или международна организация се извършва само при едно от следните условия:

a)	субектът на данните изрично е дал съгласието си за предлаганото предаване на данни, след като е бил информиран за свързаните с предаването възможни рискове за субекта на данните поради липсата на решение относно адекватното ниво на защита и на подходящи гаранции;

б)	предаването е необходимо за изпълнението на договор между субекта на данните и администратора или за изпълнението на преддоговорни мерки, взети по искане на субекта на данните;

в)	предаването е необходимо за сключването или изпълнението на договор, сключен в интерес на субекта на данните между администратора и друго физическо или юридическо лице;

г)	предаването е необходимо поради важни причини от обществен интерес;

д)	предаването е необходимо за установяването, упражняването или защитата на правни претенции;

е)	предаването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на други лица, когато субектът на данните е физически или юридически неспособен да даде своето съгласие;

ж)

предаването се извършва от регистър, която съгласно правото на Съюза или правото на държавите членки е предназначена да предоставя информация на обществеността и е достъпна за справка от обществеността по принцип или от всяко лице, което може да докаже, че има законен интерес за това, но само доколкото условията за справка, установени в правото на Съюза или правото на държавите членки, са изпълнени в конкретния случай.

Когато предаването не може да се основава на разпоредба на членове 45 или 46, включително разпоредби относно задължителни фирмени правила, и не е приложима нито една от дерогациите в особени случаи, посочени в първата алинея на настоящия параграф, предаването на данни на трета държава или международна организация може да се извършва само ако предаването не е повторяемо, засяга само ограничен брой субекти на данни, необходимо е за целите на неоспоримите законни интереси, преследвани от администратора, над които не стоят интересите или правата и свободите на субекта на данни и администраторът е оценил всички обстоятелства, свързани с предаването на данните, и въз основа на тази оценка е предоставил подходящи гаранции във връзка със защитата на личните данни. Администраторът уведомява надзорния орган за предаването на данни. В допълнение към предоставянето на информацията, посочена в членове 13 и 14, администраторът информира субекта на данни за предаването, както и за преследваните неоспоримите законни интереси.

2. Предаването съгласно параграф 1, първа алинея, буква ж) не трябва да включва всички лични данни или всички категории лични данни, съдържащи се в регистъра. Когато регистърът е предназначен за справка от лица, които имат законен интерес, предаването се извършва единствено по искане на тези лица или ако те са получателите.

3. Параграф 1, първа алинея, букви а), б) и в) и параграф 1, втора алинея не се прилагат за дейности, извършвани от публичните органи при упражняването на техните публични правомощия.

4. Общественият интерес, посочен в параграф 1, първа алинея, буква г) се признава в правото на Съюза или правото на държавата членка, което се прилага спрямо администратора.

5. При липсата на решение относно адекватното ниво на защита, правото на Съюза или правото на държава членка може, по важни причини от обществен интерес, изрично да определи ограничения за предаването на специални категории данни на трета държава или международна организация. Държавите членки съобщават тези разпоредби на Комисията.

6. Администраторът или обработващият лични данни документира оценката, както и подходящите гаранции по параграф 1, втора алинея от настоящия член в регистрите, посочени в член 30.

Член 56

Компетентност на водещия надзорен орган

1. Без да се засяга член 55, надзорният орган на основното място на установяване или на единственото място на установяване на администратора или обработващия лични данни е компетентен да действа като водещ надзорен орган за трансграничното обработване, извършвано от посочения администратор или обработващ лични данни в съответствие с процедурата по член 60.

2. Чрез дерогация от параграф 1 всеки надзорен орган е компетентен да разглежда внесена при него жалба или евентуални нарушения на настоящия регламент, ако случаят се отнася единствено до място на установяване в държавата членка на надзорния орган или засяга в значителна степен субекти на данни единствено в тази държава членка.

3. В посочените в параграф 2 от настоящия член случаи надзорният орган незабавно уведомява за тях водещия надзорен орган. В срок от три седмици след като е бил уведомен, водещият надзорен орган взема решение за това дали той самият ще разгледа или не случая в съответствие с процедурата, предвидена в член 60, като отчита дали администраторът или обработващият лични данни е установен в държавата членка на надзорния орган, който го е уведомил.

4. Когато водещият надзорен орган реши да разгледа случая, се прилага процедурата по член 60. Надзорният орган, уведомил водещия надзорен орган, може да му предостави на проект за решение. Водещият надзорен орган отчита в максимална степен този проект при изготвянето на проекта за решение, посочен в член 60, параграф 3.

5. Ако водещият надзорен орган реши да не разгледа случая, надзорният орган, уведомил водещия надзорен орган, го разглежда в съответствие с членове 61 и 62.

6. За трансграничното обработване, което извършва, администраторът или обработващият лични данни комуникира единствено с водещия надзорен орган.

Член 60

Сътрудничество между водещия надзорен орган и другите засегнати надзорни органи

1. Водещият надзорен орган си сътрудничи с другите засегнати надзорни органи в съответствие с настоящия член и се стреми към постигането на консенсус. Водещият надзорен орган и засегнатите надзорни органи обменят всяка имаща отношение информация помежду си.

2. Водещият надзорен орган може да поиска по всяко време от другите засегнати надзорни органи да предоставят взаимопомощ съгласно член 61 и може да провежда съвместни операции съгласно член 62, по-специално за да извършва разследвания или да наблюдава изпълнението на мярка, засягаща администратор или обработващ лични данни, установен в друга държава членка.

3. Водещият надзорен орган незабавно предава информация за това на другите засегнати надзорни органи. Водещият надзорен орган незабавно представя на другите засегнати надзорни органи проект за решение, за да получи тяхното становище и да вземе надлежно предвид вижданията им.

4. Ако някой от другите засегнати надзорни органи изрази относимо и обосновано възражение срещу проекта за решение в срок от четири седмици, след като е било поискано мнението му в съответствие с параграф 3 от настоящия член, водещият надзорен орган, в случай че не приема относимото и обосновано възражение или счита, че това възражение не е относимо или обосновано, отнася въпроса до механизма за съгласуваност, посочен в член 63.

5. Ако водещият надзорен орган възнамерява да приеме направено относимо и обосновано възражение, той изпраща на другите засегнати надзорни органи преработен проект за решението, за да получи тяхното становище. За този преработен проект на решението се следва процедурата, посочена в параграф 4, за срок от две седмици.

6. Когато нито един от другите засегнати органи не е възразил срещу проекта на решение, представен от водещия надзорен орган в посочения в параграфи 4 и 5 срок, се счита, че водещият надзорен орган и засегнатите надзорни органи са съгласни с този проект на решение и са обвързани от него.

7. Водещият надзорен орган приема решението и уведомява за него основното място на установяване или единственото място на установяване на администратора или обработващия лични данни, според случая, и информира другите засегнати надзорни органи и Комитета за въпросното решение, като включва резюме на съответните факти и основания. Надзорният орган, до когото е била подадена жалбата, информира жалбоподателя за решението.

8. Чрез дерогация от параграф 7, когато дадена жалба е оставена без разглеждане или отхвърлена, надзорният орган, до който е била подадена жалбата, приема решението и уведомява жалбоподателя за него, като информира и администратора

9. Когато водещият надзорен орган и засегнатите надзорни органи постигнат съгласие определени части от жалбата да бъдат оставени без разглеждане или отхвърлени, а по други части от тази жалба да се предприемат действия, за всяка от тези части се приема отделно решение. Водещият надзорен орган приема решението относно частта, за която се предприемат действия във връзка с администратора, уведомява за него основното място на установяване или единственото място на установяване на администратора или обработващия лични данни на територията на неговата държава членка и информира жалбоподателя за това, а надзорният орган по жалбата приема решението относно частта, с която е свързано оставянето без разглеждане или отхвърлянето на тази жалба, уведомява за него жалбоподателя и информира за това администратора или обработващия лични данни.

10. След като е бил уведомен за решението на водещия надзорен орган съгласно параграфи 7 и 9, администраторът или обработващият лични данни взема необходимите мерки, за да осигури съответствие с решението по отношение на дейностите по обработването на всички места, на които е установен в Съюза. Администраторът или обработващият лични данни уведомява водещия надзорен орган за мерките, взети с цел осигуряване на съответствие с решението, а водещият орган информира другите засегнати надзорни органи.

11. Когато при изключителни обстоятелства засегнат надзорен орган има основания да счита, че са необходими спешни действия, за да се защитят интересите на субекти на данни, се прилага процедурата по спешност по член 66.

12. Водещият надзорен орган и другите засегнати надзорни органи си предават информацията, изисквана съгласно настоящия член, по електронен път, използвайки стандартизиран формат.

Член 61

Взаимопомощ

1. Надзорните органи си предоставят взаимно значима информация и помощ, за да изпълняват и прилагат настоящия регламент по съгласуван начин, и въвеждат мерки за ефективно сътрудничество помежду си. Взаимопомощта обхваща по-специално искания за информация и мерки за надзор, например искания за предоставяне на предварителни разрешения или провеждане на предварителни консултации, проверки и разследвания.

2. Всеки надзорен орган предприема всички подходящи мерки, които са необходими, за да се отговори на искането на друг надзорен орган без ненужно забавяне и не по-късно от един месец след получаване на искането. Такива мерки могат да включват, по-специално, предаване на значима информация относно хода на дадено разследване.

3. Исканията за помощ съдържат цялата необходима информация, включително целта на искането и причините за него. Обменената информация се използва единствено за целите, за които е поискана.

4. Надзорен орган, до който е отправено искане, няма право да откаже да го изпълни, освен ако:

a)	не е компетентен относно предмета на искането или мерките, които се изисква да изпълни; или

б)	удовлетворяването на искането би било в нарушение на настоящия регламент или правото на Съюза или правото на държава членка, което се прилага спрямо надзорния орган, до който е отправено искането.

5. Надзорният орган, до който е отправено искането, информира искащия надзорен орган за резултатите или, в зависимост от случая, за напредъка на предприетите мерки в отговор на искането. Надзорният орган, до който е отправено искането, излага мотивите си в случай на отказ да изпълни искането по силата на параграф 4.

6. Надзорните органи, до които са отправени искания, по правило предоставят информацията, поискана от други надзорни органи, по електронен път, като използват стандартизиран формат.

7. Надзорните органи, до които са отправени искания, не събират такси за действията, които са предприели в отговор на искане за взаимопомощ. Надзорните органи могат да постигнат съгласие с други надзорни органи относно правила за предоставяне на обезщетение един на друг за конкретни разходи, свързани с предоставянето на взаимопомощ при извънредни обстоятелства.

8. Когато в рамките на един месец от получаване на искането на друг надзорен орган надзорният орган не предостави информацията, посочена в параграф 5 от настоящия член, искащият надзорен орган може да приеме временна мярка на територията на своята държава членка в съответствие с член 55, параграф 1. В този случай се счита, че са необходими спешни действия съгласно член 66, параграф 1, което изисква спешно решение със задължителен характер от страна на Комитета в съответствие с член 66, параграф 2.

9. Комисията може посредством актове за изпълнение да определи формата и процедурите за взаимопомощ по настоящия член, както и договореностите за обмена на информация по електронен път между надзорните органи и между надзорните органи и Комитета, и по-специално стандартизирания формат, посочен в параграф 6 от настоящия член. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 93, параграф 2.

Член 62

Съвместни операции на надзорни органи

1. Когато е целесъобразно, надзорните органи провеждат съвместни операции, включително съвместни разследвания и съвместни мерки за изпълнение, в които участват членове или персонал на надзорни органи от други държави членки.

2. Когато администраторът или обработващият лични данни е установен в няколко държави членки или когато има вероятност от операции по обработване на данни да бъдат засегнати съществено значителен брой субекти на данни в повече от една държава членка, надзорният орган на всяка от тези държави членки има право да участва в съвместни операции. Надзорният орган, който е компетентен съгласно член 56, параграф 1 или параграф 4, кани надзорния орган на всяка от тези държави членки да участва в съответните съвместни операции и отговаря незабавно на искането на даден надзорен орган за участие.

3. В съответствие с правото на държавата членка и с разрешението на командироващия надзорен орган надзорният орган може да предостави правомощия, в това число правомощия за разследване, на членовете или персонала на командироващия надзорен орган, участващи в съвместни операции, или, доколкото правото на държавата членка на надзорния орган домакин позволява, да разреши на членовете или персонала на командироващия надзорен орган да упражняват своите правомощия за разследване в съответствие с правото на държавата членка на командироващия надзорен орган. Тези правомощия за разследване могат да се упражняват единствено под ръководството и в присъствието на членове или персонал на надзорния орган домакин. Спрямо членовете и персонала на командироващия надзорен орган се прилага правото на държавата членка на надзорния орган домакин.

4. Когато в съответствие с параграф 1 персонал на командироващ надзорен орган участва в операция в друга държава членка, държавата членка на надзорния орган домакин носи отговорност за действията на този персонал, включително отговорност за всякакви вреди, нанесени от него по време на операцията, в съответствие с правото на държавата членка, на чиято територия се провежда операцията.

5. Държавата членка, на чиято територия е нанесена вредата, поправя тази вреда при условията, приложими към вреди, нанесени от собствения ѝ персонал. Държавата членка на командироващия надзорен орган, чиито служители са причинили вреди на лице на територията на друга държава членка, възстановява изцяло сумите, които последната е изплатила от тяхно име на лицата, които са имали правото да ги получат.

6. Без да се засяга упражняването на правата ѝ по отношение на трети страни и с изключение на параграф 5, всяка държава членка се въздържа в случая, предвиден в параграф 1, да иска обезщетение от друга държава членка за вредите, посочени в параграф 4.

7. Когато се планира съвместна операция и в срок от един месец даден надзорен орган не изпълни задължението, предвидено във второто изречение на параграф 2 от настоящия член, другите надзорни органи могат да приемат временна мярка на територията на своята държава членка в съответствие с член 55. В този случай се счита, че са необходими спешни действия съгласно член 66, параграф 1, което изисква становище или спешно решение със задължителен характер от страна на Комитета в съответствие с член 66, параграф 2.

Раздел 2

Съгласуваност

Член 89

Гаранции и дерогации, свързани с обработването за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели

1. Обработването за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели подлежи, в съответствие с настоящия регламент, на подходящи гаранции за правата и свободите на субекта на данни. Тези гаранции осигуряват наличието на технически и организационни мерки, по-специално с оглед на спазването на принципа на свеждане на данните до минимум. Мерките могат да включват псевдонимизация, при условие че посочените цели могат да бъдат постигнати по този начин. Когато посочените цели могат да бъдат постигнати чрез по-нататъшно обработване, което не позволява или повече не позволява идентифицирането на субектите на данни, целите се постигат по този начин.

2. Когато личните данни се обработват за научни или исторически изследвания или за статистически цели, правото на Съюза или правото на държава членка може да предвижда дерогации от правата по членове 15, 16, 18 и 21 съобразно условията и гаранциите по параграф 1 от настоящия член, доколкото има вероятност тези права да направят невъзможно или сериозно да затруднят постигането на конкретните цели, и посочените дерогации са необходими за постигането на тези цели.

3. Когато личните данни се обработват за целите на архивирането в обществен интерес, правото на Съюза или правото на държава членка може да предвижда дерогации от правата по членове 15, 16, 18, 19, 20 и 21 съобразно условията и гаранциите по параграф 1 от настоящия член, доколкото има вероятност тези права да направят невъзможно или сериозно да затруднят постигането на конкретните цели, и посочените дерогации са необходими за постигането на тези цели.

4. Когато обработването по параграфи 2 и 3 служи едновременно за друга цел, дерогациите се прилагат единствено за обработване, извършвано за посочените в тези параграфи цели.

Член 92

Упражняване на делегирането

1. Правомощието да приема делегирани актове се предоставя на Комисията при спазване на предвидените в настоящия член условия.

2. Делегирането на правомощия, посочено в член 12, параграф 8 и член 43, параграф 8, се предоставя на Комисията за неопределен срок, считано от 24 май 2016 г.

3. Делегирането на правомощия, посочено в член 12, параграф 8 и член 43, параграф 8, може да бъде оттеглено по всяко време от Европейския парламент или от Съвета. С решението за отмяна се прекратява посоченото в него делегиране на правомощия. То поражда действие в деня след публикуването му в Официален вестник на Европейския съюз или на по-късна, посочена в решението дата. То не засяга действителността на делегираните актове, които вече са в сила.

4. Веднага след като приеме делегиран акт, Комисията нотифицира акта едновременно на Европейския парламент и на Съвета.

5. Делегиран акт, приет съгласно член 12, параграф 8 и член 43, параграф 8, влиза в сила единствено ако нито Европейският парламент, нито Съветът не са представили възражения в срок от три месеца от нотифицирането за акта на Европейския парламент и Съвета или ако преди изтичането на този срок и Европейският парламент, и Съветът са уведомили Комисията, че няма да представят възражения. Този срок се удължава с три месеца по инициатива на Европейския парламент или на Съвета.

whereas

(36) Основното място на установяване на администратор на данни в Съюза следва да бъде мястото в Съюза, където се намира централното му управление в Съюза, освен ако решенията относно целите и средствата за обработването на лични данни не се вземат на друго място на установяване на администратора на данни в Съюза, в който случай това друго място на установяване следва да се счита за основното място на установяване. Основното място на установяване на администратор в Съюза следва да се определя съгласно обективни критерии и следва да означава ефективното и действително упражняване на управленски дейности, определящи основните решения по отношение на целите и средствата за обработване на данни по силата на стабилни договорености. Този критерий не следва да зависи от това дали обработването на лични данни се извършва на това място. Наличието и употребата на технически средства и технологии за обработване на лични данни или дейностите по обработване не представляват сами по себе си основно място на установяване и следователно не са определящи критерии за понятието „основно място на установяване“. Основното място на установяване на обработващия лични данни следва да бъде мястото, където се намира централното му управление в Съюза, а ако няма централно управление в Съюза, мястото в Съюза, където се осъществяват основните дейности по обработването. В случаи, когато участват и администратор, и обработващ лични данни, компетентният водещ надзорен орган следва да остане надзорният орган на държавата членка, в която се намира основното място на установяване на администратора, а надзорният орган на обработващия лични данни следва да се счита за засегнат надзорен орган и този надзорен орган следва да участва в процедурата за сътрудничество, предвидена в настоящия регламент. При всички положения надзорните органи на държавата членка или държавите членки, където е установен обработващият лични данни, не следва да се считат за засегнати надзорни органи, когато проектът за решение засяга единствено администратора. Когато обработването се извършва от група предприятия, основното място на установяване на контролиращото предприятие следва да се счита за основно място на установяване на групата предприятия, с изключение на случаите, в които целите и средствата на обработването на данни се определят от друго предприятие.

- = -

(39) Всяко обработване на лични данни следва да бъде законосъобразно и добросъвестно. За физическите лица следва да е прозрачно по какъв начин отнасящи се до тях лични данни се събират, използват, консултират или обработват по друг начин, както и в какъв обхват се извършва или ще се извършва обработването на данните. Принципът на прозрачност изисква всяка информация и комуникация във връзка с обработването на тези лични данни да бъде лесно достъпна и разбираема и да се използват ясни и недвусмислени формулировки. Този принципа се отнася в особена степен за информацията, която получават субектите на данни за самоличността на администратора и целите на обработването, и за допълнителната информация, гарантираща добросъвестно и прозрачно обработване на данните по отношение на засегнатите физически лица и тяхното право да получат потвърждение и уведомление за съдържанието на свързани с тях лични данни, които се обработват. Физическите лица следва да бъдат информирани за рисковете, правилата, гаранциите и правата, свързани с обработването на лични данни, и за начините, по които да упражняват правата си по отношение на обработването. По-специално, конкретните цели, за които се обработват лични данни, следва да бъдат ясни и законни и определени към момента на събирането на личните данни. Личните данни следва да са адекватни, релевантни и ограничени до необходимото за целите, за които се обработват. Това налага по-специално да се гарантира, че срокът, за който личните данни се съхраняват, е ограничен до строг минимум. Личните данни следва да се обработват, единствено ако целта на обработването не може да бъде постигната в достатъчна степен с други средства. С цел да се гарантира, че срокът на съхранение на личните данни не е по-дълъг от необходимия, администраторът следва да установи срокове за тяхното изтриване или периодичен преглед. Следва да бъдат предприети всички разумни мерки, за да се гарантира, че неточните лични данни се коригират или заличават. Личните данни следва да се обработват по начин, който гарантира подходяща степен на сигурност и поверителност на личните данни, включително за предотвратяване на непозволен достъп до лични данни и до оборудване за тяхното обработване или за предотвратяване на използването им.

- = -

(46) Обработването на лични данни следва да се счита за законосъобразно и когато е необходимо, за да се защити интерес от първостепенно значение за живота на субекта на данните или на друго физическо лице. Обработването на лични данни единствено въз основа на жизненоважен интерес на друго физическо лице следва да се състои по принцип, само когато обработването не може явно да се базира на друго правно основание. Някои видове обработване могат да обслужват както важни области от обществен интерес, така и жизненоважните интереси на субекта на данните, например когато обработването е необходимо за хуманитарни цели, включително за наблюдение на епидемии и тяхното разпространение или при спешни хуманитарни ситуации, по-специално в случай на природни или причинени от човека бедствия.

- = -

(50) Обработването на лични данни за цели, различни от тези, за които първоначално са събрани личните данни, следва да бъде разрешено единствено когато обработването е съвместимо с целите, за които първоначално са събрани личните данни. В такъв случай не се изисква отделно правно основание, различно от това, с което е било разрешено събирането на личните данни. Ако обработването е необходимо за изпълнението на задача от обществен интерес или свързана с упражняването на официални правомощия, които са предоставени на администратора на лични данни, в правото на Съюза или в правото на държава членка могат да бъдат определени и уточнени задачите и целите, за които по-нататъшното обработване следва да се счита за съвместимо и законосъобразно. По-нататъшното обработване за целите на архивирането в обществен интерес,за целите на научни или исторически изследвания, или за статистически цели следва да се разглежда като съвместими законосъобразни операции по обработване. Правното основание, предвидено от правото на Съюза или правото на държава членка за обработване на лични данни, може да предостави и правно основание за по-нататъшно обработване. За да установи дали дадена цел на по-нататъшно обработване е съвместима с целта, за която първоначално са събрани личните данни, администраторът на лични данни, след като е спазил всички изисквания относно законосъобразността на първоначалното обработване, следва да отчете, inter alia,, всички връзки между тези цели и целите на предвиденото по-нататъшно обработване, в какъв контекст са събрани личните данни, по-специално основателните очаквания на субектите на данните въз основа на техните взаимоотношения с администратора по отношение на по-нататъшно използване на личните данни, естеството им, последствията от предвиденото по-нататъшно обработване на данни за субектите на данни и наличието на подходящи гаранции при операциите по първоначалното и предвиденото по-нататъшно обработване.

- = -

(51) На личните данни, които по своето естество са особено чувствителни от гледна точка на основните права и свободи, се полага специална защита, тъй като контекстът на тяхното обработване би могъл да създаде значителни рискове за основните права и свободи. Посочените лични данни следва да включват личните данни, разкриващи расов или етнически произход, като използването на понятието „расов произход“ в настоящия регламент не означава, че Съюзът приема теориите, които се опитват да установят съществуването на отделни човешки раси. Обработването на снимки не следва систематично да се счита за обработване на специални категории лични данни, тъй като снимките се обхващат от определението за биометрични данни единствено когато се обработват чрез специални технически средства, позволяващи уникална идентификация или удостоверяване на автентичността на дадено физическо лице. Тези лични данни не следва да се обработват, освен ако обработването не е разрешено в определени случаи, предвидени в настоящия регламент, като се има предвид, че в правото на държавите членки могат да бъдат определени специфични разпоредби за защита на данните с цел да се адаптира прилагането на съдържащите се в настоящия регламент правила за спазване на правно задължение или за изпълнение на задача от обществен интерес или свързана с упражняването на официални правомощия, предоставени на администратора на лични данни. В допълнение към конкретните изисквания за такова обработване следва да се прилагат общите принципи и другите правила, залегнали в настоящия регламент, по-специално по отношение на условията за законосъобразно обработване. Дерогации от общата забрана за обработване на такива специални категории лични данни следва изрично да бъдат предвидени, inter alia, когато субектът на данните даде изричното си съгласие или във връзка с конкретни нужди, по-специално когато обработването се извършва в хода на законната дейност на някои сдружения или фондации, чиято цел е да се позволи упражняването на основните свободи.

- = -

(53) Специални категории лични данни, които се нуждаят от по-голяма защита, могат да бъдат обработвани единствено за здравни цели, когато е необходимо тези цели да бъдат постигнати в полза на отделни физически лица и на обществото като цяло, по-специално в рамките на управлението на услугите и системите за здравеопазване или социални грижи, включително обработването от страна на органите за управление и от централните национални здравни органи на такива данни за целите на контрола на качеството, информацията за управлението и общото наблюдение на национално и местно равнище на системата за здравеопазване или социални услуги, както и за осигуряване на непрекъснатост на здравното обслужване или на социалните услуги и на трансграничното здравно обслужване или за целите на сигурността, наблюдението и предупрежденията в сферата на здравеопазването, или за целите на архивирането в обществен интерес, за целите на научни или исторически изследвания или за статистически цели въз основа на правото на Съюза или националното право, което трябва да отговаря на цел от обществен интерес, както и за проучванията в областта на общественото здраве, провеждани в обществен интерес. Поради това настоящият регламент следва да предвижда хармонизирани условия за обработването на специални категории лични данни за здравословното състояние по отношение на специфични нужди, по-специално когато обработването на тези данни се извършва за определени цели, свързани със здравето, от лица, обвързани от правното задължение за професионална тайна. Правото на Съюза или националното право следва да предвижда конкретни и подходящи мерки за защита на основните права и личните данни на физическите лица. Държавите членки следва да разполагат с възможност да запазят или да въведат допълнителни условия, включително ограничения, по отношение на обработването на генетични, биометрични или данни за здравословното състояние. Това обаче не следва да възпрепятства свободното движение на лични данни в рамките на Съюза, когато тези условия се прилагат за трансгранично обработване на такива данни.

- = -

(57) Ако обработваните от администратора лични данни не му позволяват да идентифицира дадено физическо лице, администраторът на данни не следва да е задължен да се сдобие с допълнителна информация, за да идентифицира субекта на данните единствено с цел спазване на някоя от разпоредбите на настоящия регламент. Администраторът обаче не следва да отказва да приеме допълнителна информация, подадена от субекта на данни, за да подпомогне упражняването на неговите права. Идентификацията следва да включва цифровата идентификация на субекта на данни, например чрез механизъм за удостоверяване на автентичността, като използването от субекта на данни на една и съща информация за удостоверяване на идентичността при регистрация за онлайн услуга, предлагана от администратора на лични данни.

- = -

(71) Субектът на данни следва да има право да не бъде обект на решение, което може да включва мярка, за оценка на свързани с него лични аспекти единствено въз основа на автоматично обработване, и което поражда правни последствия за него или го засяга също толкова значително, като например автоматичен отказ на онлайн искания за кредит или електронни практики за набиране на персонал без човешка намеса. Това обработване включва „профилиране“, което се състои от всякакви форми на автоматизирано обработване на лични данни за оценка на личните аспекти във връзка с дадено физическо лице, по-специално анализирането или прогнозирането на различни аспекти, имащи отношение към резултатите в работата на субекта на данни, икономическото състояние, здравето, личните предпочитания или интереси, благонадеждността или поведението, местоположението или движенията, когато то поражда правни последствия по отношение на лицето или го засяга също толкова значително. Въпреки това, вземането на решения въз основа на такова обработване, включително профилиране, следва да бъде позволено, когато е изрично разрешено от правото на Съюза или правото на държава членка, под чиято юрисдикция е администраторът, включително за целите на наблюдението и предотвратяването на измами и укриването на данъци, осъществявани в съответствие с разпоредбите, стандартите и препоръките на институциите на Съюза или националите надзорни органи, и за гарантиране на сигурността и надеждността на услугите, предоставяни от администратора, или когато е необходимо за сключването или изпълнението на договор между субект на данни и администратор, или когато субектът на данни е дал изричното си съгласие. Във всеки случай такова обработване следва да подлежи на подходящи гаранции, които следва да включват конкретна информация за субекта на данните и правото на човешка намеса, на изразяване на мнение, на получаване на обяснение за решението, взето в резултат на такава оценка и на обжалване на решението. Такава мярка не следва да се отнася до дете.

- = -

(101) Потоци от лични данни към и от страни извън Съюза и международни организации са необходими за разширяването на международната търговия и международното сътрудничество. Нарастването на тези потоци породи нови предизвикателства и опасения във връзка със защитата на личните данни. Когато обаче лични данни се предават от Съюза на администратори, обработващи лични данни или други получатели в трети държави или на международни организации, нивото на защита на физическите лица, гарантирано в Съюза с настоящия регламент, не следва да бъде излагано на риск, включително в случаите на последващо предаване на лични данни от третата държава или международната организация на администратори или обработващи лични данни в същата или друга трета държава или международна организация. Във всеки случай предаването на данни на трети държави и международни организации може да се извършва единствено в пълно съответствие с настоящия регламент. Предаването може да се извършва, само ако администраторът или обработващият лични данни изпълняват условията, установени в разпоредбите на настоящия регламент относно предаването на лични данни на трети държави или международни организации, при спазване на другите разпоредби на настоящия регламент.

- = -

(111) Следва да се предвиди възможността да се предават данни при определени обстоятелства, когато субектът на данните е дал изричното си съгласие, когато предаването засяга отделни случаи и е необходимо във връзка с договор или правна претенция, независимо от това дали е в рамките на съдебна, административна или друга извънсъдебна процедура, включително процедура пред регулаторни органи. Следва да се предвиди и възможността да се предават данни, когато това се налага поради важни съображения от обществен интерес, предвидени в правото на Съюза или правото на държава членка, или когато предаването се извършва от регистър, създаден със закон и предназначен за справки от обществеността или от лица, които имат законен интерес. В този случай предаването не следва да включва всички лични данни или цели категории данни, съдържащи се в регистъра, а когато регистърът е предназначен за справка от лица, които имат законен интерес, предаването следва да се извършва единствено по искане на тези лица или ако те са получателите, като се вземат изцяло под внимание интересите и основните права на субекта на данните.

- = -

(124) Когато обработването на лични данни се извършва в контекста на дейностите на място на установяване на администратор или обработващ лични данни в Съюза, а администраторът или обработващият лични данни е установен в повече от една държава членка, или когато обработване, което се осъществява в контекста на дейностите на едно-единствено място на установяване на администратор или обработващ лични данни в Съюза, засяга съществено или е вероятно да засегне съществено субекти на данни в повече от една държава членка, надзорният орган на основното място на установяване на администратора или обработващия лични данни или на единственото място на установяване на администратора или обработващия лични данни следва да функционира като водещ орган. Той следва да си сътрудничи с други засегнати органи, тъй като администраторът или обработващият лични данни има място на установяване на територията на тяхната държава членка, тъй като субекти на данни с местопребиваване на тяхната територия са съществено засегнати или тъй като до тях е била подадена жалба. Също когато субект на данни, който не е с местопребиваване в тази държава членка, е подал жалба, надзорният орган, до който е подадена такава жалба, следва също да се счита за засегнат надзорен орган. В рамките на задачите му да дава насоки по всякакви въпроси, отнасящи се до прилагането на настоящия регламент, Комитетът следва да може да дава насоки по-специално относно критериите, които да се вземат предвид, за да се установи дали въпросното обработване засяга съществено субекти на данни в повече от една държава членка и относно това какво представлява едно относимо и обосновано възражение.

- = -

(126) Решението следва да се съгласува между водещия надзорен орган и засегнатите надзорни органи и следва да е насочено към основното или единственото място на установяване на администратора или обработващия лични данни и да бъде със задължителен характер за администратора или обработващия лични данни. Администраторът или обработващият лични данни следва да вземе необходимите мерки, за да осигури спазването на настоящия регламент и изпълнението на решението, за което водещият надзорен орган е уведомил основното място на установяване на администратора или обработващия лични данни по отношение на дейностите по обработване в Съюза.

- = -

(127) Всеки надзорен орган, който не функционира като водещ надзорен орган, следва да бъде компетентен да разглежда случаи на местно равнище, когато администраторът или обработващият лични данни е установен в повече от една държава членка, но предметът на конкретното обработване засяга единствено обработването, извършвано в една държава членка, и включва единствено субекти на данни в тази единствена държава членка, например когато предметът се отнася до обработването на лични данни на наети лица в контекста на специфично трудово правоотношение в държава членка. В такива случаи надзорният орган следва без отлагане да информира за случая водещия надзорен орган. След като бъде информиран, водещият надзорен орган следва да реши дали ще разгледа случая съгласно разпоредбата относно сътрудничеството между водещия надзорен орган и другите засегнати надзорни органи („обслужване на едно гише“) или информиралият го надзорен орган следва да разгледа случая на местно равнище. Когато взема това решение, водещият надзорен орган следва да отчете дали администраторът или обработващият лични данни е установен в държавата членка на надзорния орган, който го е информирал, за да се гарантира ефективно изпълнение на решението спрямо администратора или обработващия лични данни. Когато водещият надзорен орган реши да разгледа случая, информиралият го надзорен орган следва да има възможността да представи проект за решение, което водещият надзорен орган следва да отчита в максимална степен при изготвянето на своя проект за решение в рамките на посочения механизъм „обслужване на едно гише“.

- = -

(131) Когато друг надзорен орган следва да функционира като водещ надзорен орган за дейностите по обработване на администратора или обработващия лични данни, но конкретният предмет на жалбата или възможното нарушение засяга единствено дейностите по обработване на администратора или обработващия лични данни в държавата членка, в която е подадена жалбата или е установено възможното нарушение, и предметът не засяга съществено или няма вероятност да засегне съществено субекти на данни в други държави членки, надзорният орган, който е получил жалба, е установил или е бил информиран по друг начин за ситуации, които водят до възможни нарушения на настоящия регламент, следва да се стреми към уреждане на спора по взаимно съгласие с администратора, а ако този опит се окаже неуспешен, да упражни целия си набор от правомощия. Това следва да включва специфично обработване, извършвано на територията на държавата членка на надзорния орган или по отношение на субекти на данни на територията на тази държава членка; обработване, което се извършва в контекста на предлагането на стоки или услуги, специално предназначени за субекти на данни на територията на държавата членка на надзорния орган; или обработване, което трябва да се прецени, като се вземат предвид съответните правни задължения съгласно правото на държавата членка.

- = -

(153) Правото на държавите членки следва да съвместява разпоредбите, уреждащи свободата на изразяване на мнение и свободата на информация, включително за журналистически, академични, художествени или литературни цели, и правото на защита на личните данни по настоящия регламент. Обработването на лични данни единствено за журналистически цели или за академично, художествено или литературно изразяване следва да подлежи на дерогации или освобождаване от изискванията на някои разпоредби на настоящия регламент, за да се съчетае при необходимост правото на защита на личните данни с правото на свобода на изразяване на мнение и свобода на информация, заложени в член 11 от Хартата. Това следва да се прилага по-специално по отношение на обработването на лични данни в аудио-визуалната област и в новинарските архиви и библиотеките с печатни издания. Поради това държавите членки следва да приемат законодателни мерки, с които да определят освобождаванията и дерогациите, необходими за постигането на баланс между тези основни права. Държавите членки следва да приемат такива освобождавания и дерогации от общите принципи, правата на субекта на данните, администратора и обработващия лични данни, предаването на лични данни на трети държави или международни организации, независимостта на надзорните органи, сътрудничеството и съгласуваността и специалните случаи на обработване на данни. Когато тези освобождавания или дерогации се различават в отделните държави членки, следва да се прилага правото на държавата членка, на което се подчинява администраторът на лични данни. За да се вземе предвид важността на правото на свобода на изразяване на мнение във всяко демократично общество, е необходимо свързаните с тази свобода понятия, като журналистиката например, да се тълкуват широко.

- = -

dal 2004 diritto e informatica