interactive GDPR 2016/0679 BG

„лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;

„обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

3)	„ограничаване на обработването“ означава маркиране на съхранявани лични данни с цел ограничаване на обработването им в бъдеще;

„профилиране“ означава всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение;

„псевдонимизация“ означава обработването на лични данни по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано;

6)	„регистър с лични данни“ означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;

„администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;

8)	„обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;

„получател“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели“; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването;

10)	„трета страна“ означава физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;

11)	„съгласие на субекта на данните“ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;

12)	„нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;

13)

„генетични данни“ означава лични данни, свързани с наследени или придобити генетичните белези на дадено физическо лице, които дават уникална информация за отличителните черти или здравето на това физическо лице и които са получени, по-специално, от анализ на биологична проба от въпросното физическо лице;

14)

„биометрични данни“ означава лични данни, получени в резултат на специфично техническо обработване, които са свързани с физическите, физиологичните или поведенческите характеристики на дадено физическо лице и които позволяват или потвърждават уникалната идентификация на това физическо лице, като лицеви изображения или дактилоскопични данни;

15)	„данни за здравословното състояние“ означава лични данни, свързани с физическото или психическото здраве на физическо лице, включително предоставянето на здравни услуги, които дават информация за здравословното му състояние;

16)

„основно място на установяване“ означава:

по отношение на администратор, установен в повече от една държава членка — мястото, където се намира централното му управление в Съюза, освен в случаите, когато решенията по отношение на целите и средствата за обработването на лични данни се вземат на друго място на установяване на администратора в Съюза и на това място на установяване има правомощия за прилагане на тези решения, в който случай мястото на установяване, където са взети тези решения, се счита за основно място на установяване;

б)

по отношение на обработващ лични данни, установен в повече от една държава членка — мястото, където се намира централното му управление в Съюза, или ако обработващият лични данни няма централно управление в Съюза, мястото на установяване на обработващия лични данни в Съюза, където се осъществяват основните дейности по обработването в контекста на дейностите на дадено място на установяване на обработващия лични данни, доколкото обработващият има специфични задължения съгласно настоящия регламент;

17)	„представител“ означава физическо или юридическо лице, установено в Съюза, което, назначено от администратора или обработващия лични данни в писмена форма съгласно член 27, представлява администратора или обработващия лични данни във връзка със съответните им задължения по настоящия регламент;

18)	„дружество“ означава физическо или юридическо лице, което осъществява икономическа дейност, независимо от правната му форма, включително партньорствата или сдруженията, които редовно осъществяват икономическа дейност;

19)	„група предприятия“ означава контролиращо предприятие и контролираните от него предприятия;

20)

„задължителни фирмени правила“ означава политики за защита на личните данни, които се спазват от администратор или обработващ лични данни, установен на територията на държава членка, при предаване или съвкупност от предавания на лични данни до администратор или обработващ лични данни в една или повече трети държави в рамките на група предприятия или група дружества, участващи в съвместна стопанска дейност;

21)	„надзорен орган“ означава независим публичен орган, създаден от държава членка съгласно член 51;

22)

„засегнат надзорен орган“ означава надзорен орган, който е засегнат от обработването на лични данни, тъй като:

a)	администраторът или обработващият лични данни е установен на територията на държавата членка на този надзорен орган;

б)	субектите на данни с местопребиваване в държавата членка на този надзорен орган са засегнати съществено или е вероятно да бъдат засегнати съществено от обработването; или

в)	до този надзорен орган е подадена жалба;

23)

„трансгранично обработване“ означава или:

a)	обработване на лични данни, което се осъществява в контекста на дейностите на местата на установяване в повече от една държава членка на администратор или обработващ лични данни в Съюза, като администраторът или обработващият лични данни е установен в повече от една държава членка; или

б)	обработване на лични данни, което се осъществява в контекста на дейностите на едно-единствено място на установяване на администратор или обработващ лични данни в Съюза, но което засяга съществено или е вероятно да засегне съществено субекти на данни в повече от една държава членка;

24)

„относимо и обосновано възражение“ означава възражение срещу проект на решение относно това дали е налице нарушение на настоящия регламент или не, или дали предвижданото действие по отношение на администратора или обработващия лични данни отговаря на изискванията на настоящия регламент, което ясно доказва, че проектът за решение води до значителни рискове за основните права и свободи на субектите на данни и, където е приложимо, за свободното движение на лични данни в рамките на Съюза;

25)	„услуга на информационното общество“ означава услуга по смисъла на член 1, параграф 1, точка б) от Директива (ЕС) 2015/1535 на Европейския парламент и на Съвета (19);

26)	„международна организация“ означава организация и нейните подчинени органи, регламентирани от международното публично право, или друг орган, създаден чрез или въз основа на споразумение между две или повече държави.

ГЛАВА II

Принципи

Член 7

Условия за даване на съгласие

1. Когато обработването се извършва въз основа на съгласие, администраторът трябва да е в състояние да докаже, че субектът на данни е дал съгласие за обработване на личните му данни.

2. Ако съгласието на субекта на данните е дадено в рамките на писмена декларация, която се отнася и до други въпроси, искането за съгласие се представя по начин, който ясно да го отличава от другите въпроси, в разбираема и лесно достъпна форма, като използва ясен и прост език. Никоя част от такава декларация, която представлява нарушение на настоящия регламент не е обвързваща.

3. Субектът на данни има правото да оттегли съгласието си по всяко време. Оттеглянето на съгласието не засяга законосъобразността на обработването, основано на дадено съгласие преди неговото оттегляне. Преди да даде съгласие, субектът на данни бива информиран за това. Оттеглянето на съгласие е също толкова лесно, колкото и даването му.

4. Когато се прави оценка дали съгласието е било свободно изразено, се отчита най-вече дали, inter alia, изпълнението на даден договор, включително предоставянето на дадена услуга, е поставено в зависимост от съгласието за обработване на лични данни, което не е необходимо за изпълнението на този договор.

Член 13

Информация, предоставяна при събиране на лични данни от субекта на данните

1. Когато лични данни, свързани с даден субект на данни, се събират от субекта на данните, в момента на получаване на личните данни администраторът предоставя на субекта на данните цялата посочена по-долу информация:

a)	данните, които идентифицират администратора и координатите за връзка с него и, когато е приложимо, тези на представителя на администратора;

б)	координатите за връзка с длъжностното лице по защита на данните, когато е приложимо;

в)	целите на обработването, за което личните данни са предназначени, както и правното основание за обработването;

г)	когато обработването се извършва въз основа на член 6, параграф 1, буква е), законните интереси, преследвани от администратора или от трета страна;

д)	получателите или категориите получатели на личните данни, ако има такива;

е)

когато е приложимо, намерението на администратора да предаде личните данни на трета държава или на международна организация, както и наличието или отсъствието на решение на Комисията относно адекватното ниво на защита или в случай на предаване на данни съгласно посоченото в членове 46 или 47, или член 49, параграф 1, втора алинея позоваване на подходящите или приложимите гаранции и средствата за получаване на копие от тях или на информация къде са налични.

2. Освен информацията, посочена в параграф 1, в момента на получаване на личните данни администраторът предоставя на субекта на данните следната допълнителна информация, която е необходима за осигуряване на добросъвестно и прозрачно обработване:

a)	срока, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определяне на този срок;

б)	съществуването на право да се изиска от администратора достъп до, коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или право да се направи възражение срещу обработването, както и правото на преносимост на данните;

в)	когато обработването се основава на член 6, параграф 1, буква а) или член 9, параграф 2, буква а), съществуването на право на оттегляне на съгласието по всяко време, без да се засяга законосъобразността на обработването въз основа на съгласие, преди то да бъде оттеглено;

г)	правото на жалба до надзорен орган;

д)	дали предоставянето на лични данни е задължително или договорно изискване, или изискване, необходимо за сключването на договор, както и дали субектът на данните е длъжен да предостави личните данни и евентуалните последствия, ако тези данни не бъдат предоставени;

е)	съществуването на автоматизирано вземане на решения, включително профилирането, посочено в член 22, параграфи 1 и 4, и поне в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните.

3. Когато администраторът възнамерява по-нататък да обработва личните данни за цел, различна от тази, за която са събрани, той предоставя на субекта на данните преди това по-нататъшно обработване информация за тази друга цел и всякаква друга необходима информация, както е посочено в параграф 2.

4. Параграфи 1, 2 и 3 не се прилагат, когато и доколкото субектът на данните вече разполага с информацията.

Член 14

Информация, предоставяна, когато личните данни идват от субекта на данните

1. Когато личните данни не са получени от субекта на данните, администраторът предоставя на субекта на данните следната информация:

a)	данните, които идентифицират администратора и координатите за връзка с него и, когато е приложимо, тези на представителя на администратора;

б)	координатите за връзка с длъжностното лице по защита на данните, когато е приложимо;

в)	целите на обработването, за което личните данни са предназначени, както и правното основание за обработването;

г)	съответните категории лични данни;

д)	получателите или категориите получатели на личните данни, ако има такива;

е)

когато е приложимо, намерението на администратора да предаде данните на трета държава или на международна организация, и наличието или отсъствието на решение на Комисията относно адекватното ниво на защита или в случай на предаване на данни съгласно член 46 или 47, или член 49, параграф 1, втора алинея с позоваване на подходящите или приложимите гаранции и средствата за получаване на копие от тях или на информация къде са налични.

2. Освен информацията, посочена в параграф 1, администраторът предоставя на субекта на данните следната информация, необходима за осигуряване на добросъвестно и прозрачно обработване на данните по отношение на субекта на данните:

а)	срока, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определяне на този срок;

б)	когато обработването се извършва въз основа на член 6, параграф 1, буква е), законните интереси, преследвани от администратора или от трета страна;

в)	съществуването на право да се изиска от администратора достъп до, коригиране или изтриване на лични данни, свързани със субекта на данните, или ограничаване на обработването, и правото да се направи възражение срещу обработването, както и правото на преносимост на данните;

г)	когато обработването се основава на член 6, параграф 1, буква а) или член 9, параграф 2, буква а), съществуването на право на оттегляне на съгласието по всяко време, без да се засяга законосъобразността на обработването въз основа на съгласие, преди то да бъде оттеглено;

д)	правото на жалба до надзорен орган;

е)	източника на личните данни и, ако е приложимо, дали данните са от публично достъпен източник;

ж)	съществуването на автоматизирано вземане на решения, включително профилирането, посочено в член 22, параграфи 1 и 4, и поне в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните.

3. Администраторът предоставя информацията, посочена в параграфи 1 и 2:

a)	в разумен срок след получаването на личните данни, но най-късно в срок до един месец, като се отчитат конкретните обстоятелства, при които личните данни се обработват;

б)	ако данните се използват за връзка със субекта на данните, най-късно при осъществяване на първия контакт с този субект на данните; или

в)	ако е предвидено разкриване пред друг получател, най-късно при разкриването на личните данни за първи път.

4. Когато администраторът възнамерява да обработва личните данни по-нататък за цел, различна от тази, за която са събрани, той предоставя на субекта на данните преди това по-нататъшно обработване информация за тази друга цел и всякаква друга необходима информация, както е посочено в параграф 2.

5. Параграфи 1-4 не се прилагат, когато и доколкото:

a)	субектът на данните вече разполага с информацията;

б)

предоставянето на такава информация се окаже невъзможно или изисква несъразмерно големи усилия; по-специално за обработване на данни за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели, при спазване на условията и гаранциите по член 89, параграф 1, или доколкото съществува вероятност задължението, посочено в параграф 1 от настоящия член, да направи невъзможно или сериозно да затрудни постигането на целите на това обработване. В тези случаи администраторът взема подходящи мерки за защита на правата, свободите и законните интереси на субекта на данните, което включва и предоставяне на публичен достъп до информацията;

в)	получаването или разкриването е изрично разрешено от правото на Съюза или правото на държавата членка, което се прилага спрямо администратора и в което се предвиждат също подходящи мерки за защита на легитимните интереси на субекта на данните; или

г)	личните данни трябва да останат поверителни при спазване на задължение за опазване на професионална тайна, което се урежда от правото на Съюза или право на държава членка, включително законово задължение за поверителност.

Член 15

Право на достъп на субекта на данните

1. Субектът на данните има право да получи от администратора потвърждение дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните и следната информация:

a)	целите на обработването;

б)	съответните категории лични данни;

в)	получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни, по-специално получателите в трети държави или международни организации;

г)	когато е възможно, предвидения срок, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определянето на този срок;

д)	съществуването на право да се изиска от администратора коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или да се направи възражение срещу такова обработване;

е)	правото на жалба до надзорен орган;

ж)	когато личните данни не се събират от субекта на данните, всякаква налична информация за техния източник;

з)	съществуването на автоматизирано вземане на решения, включително профилирането, посочено в член 22, параграфи 1 и 4, и поне в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните.

2. Когато личните данни се предават на трета държава или на международна организация, субектът на данните има право да бъде информиран относно подходящите гаранции по член 46 във връзка с предаването.

3. Администраторът предоставя копие от личните данни, които са в процес на обработване. За допълнителни копия, поискани от субекта на данните, администраторът може да наложи разумна такса въз основа на административните разходи. Когато субектът на данни подава искане с електронни средства, по възможност информацията се предоставя в широко използвана електронна форма, освен ако субектът на данни не е поискал друго.

4. Правото на получаване на копие, посочено в параграф 3, не влияе неблагоприятно върху правата и свободите на други лица.

Раздел 3

Коригиране и изтриване

Член 18

Право на ограничаване на обработването

1. Субектът на данните има право да изиска от администратора ограничаване на обработването, когато се прилага едно от следното:

a)	точността на личните данни се оспорва от субекта на данните, за срок, който позволява на администратора да провери точността на личните данни;

б)	обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;

в)	администраторът не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции;

г)	субектът на данните е възразил срещу обработването съгласно член 21, параграф 1 в очакване на проверка дали законните основания на администратора имат преимущество пред интересите на субекта на данните.

2. Когато обработването е ограничено съгласно параграф 1, такива данни се обработват, с изключение на тяхното съхранение, само със съгласието на субекта на данните или за установяването, упражняването или защитата на правни претенции или за защита на правата на друго физическо лице или поради важни основания от обществен интерес за Съюза или държава членка.

3. Когато субект на данните е изискал ограничаване на обработването съгласно параграф 1, администраторът го информира преди отмяната на ограничаването на обработването.

Член 20

Право на преносимост на данните

1. Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на администратор, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от администратора, на когото личните данни са предоставени, когато:

a)	обработването е основано на съгласие в съответствие с член 6, параграф 1, буква а) или член 9, параграф 2, буква а) или на договорно задължение съгласно член 6, параграф 1, буква б); и

б)	обработването се извършва по автоматизиран начин.

2. Когато упражнява правото си на преносимост на данните по параграф 1, субектът на данните има право да получи пряко прехвърляне на личните данни от един администратор към друг, когато това е технически осъществимо.

3. Упражняването на правото, посочено в параграф 1 от настоящия член не засяга член 17. Посоченото право не се отнася до обработването, необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора.

4. Правото, посочено в параграф 1, не влияе неблагоприятно върху правата и свободите на други лица.

Раздел 4

Право на възражение и автоматизирано вземане на индивидуални решения

Член 21

Право на възражение

1. Субектът на данните има право, по всяко време и на основания, свързани с неговата конкретна ситуация, на възражение срещу обработване на лични данни, отнасящи се до него, което се основава на член 6, параграф 1, буква д) или буква е), включително профилиране, основаващо се на посочените разпоредби. Администраторът прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.

2. Когато се обработват лични данни за целите на директния маркетинг, субектът на данни има право по всяко време да направи възражение срещу обработване на лични данни, отнасящо се до него за този вид маркетинг, което включва и профилиране, доколкото то е свързано с директния маркетинг.

3. Когато субектът на данни възрази срещу обработване за целите на директния маркетинг, обработването на личните данни за тези цели се прекратява.

4. Най-късно в момента на първото осъществяване на контакт със субекта на данните, той изрично се уведомява за съществуването на правото по параграфи 1 и 2, което му се представя по ясен начин и отделно от всяка друга информация.

5. В контекста на използването на услугите на информационното общество и независимо от Директива 2002/58/ЕО, субектът на данните може да упражнява правото си на възражение чрез автоматизирани средства, като се използват технически спецификации.

6. Когато лични данни се обработват за целите на научни или исторически изследвания или за статистически цели съгласно член 89, параграф 1, субектът на данните има право, въз основа на конкретното си положение, да възрази срещу обработването на лични данни, отнасящи се до него, освен ако обработването е необходимо за изпълнението на задача, осъществявана по причини от публичен интерес.

Член 24

Отговорност на администратора

1. Като взема предвид естеството, обхвата, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът въвежда подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с настоящия регламент. Тези мерки се преразглеждат и при необходимост се актуализират.

2. Когато това е пропорционално на дейностите по обработване, посочените в параграф 1 мерки включват прилагане от страна на администратора на подходящи политики за защита на данните.

3. Придържането към одобрени кодекси за поведение, посочени в член 40 или одобрени механизми за сертифициране, посочени в член 42 може да се използва като елемент за доказване на спазването на задълженията на администратора.

Член 25

Защита на данните на етапа на проектирането и по подразбиране

1. Като взема предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхвата, контекста и целите на обработването, както и породените от обработването рискове с различна вероятност и тежест за правата и свободите на физическите лица, администраторът въвежда, както към момента на определянето на средствата за обработване, така и към момента на самото обработване, подходящи технически и организационни мерки, например псевдонимизация, които са разработени с оглед на ефективното прилагане на принципите за защита на данните, например свеждане на данните до минимум, и интегриране на необходимите гаранции в процеса на обработване, за да се спазят изискванията на настоящия регламент и да се осигури защита на правата на субектите на данни.

2. Администраторът въвежда подходящи технически и организационни мерки, за да се гарантира, че по подразбиране се обработват само лични данни, които са необходими за всяка конкретна цел на обработването. Това задължение се отнася до обема на събраните лични данни, степента на обработването, периода на съхраняването им и тяхната достъпност. По-специално, подобни мерки гарантират, че по подразбиране без намеса от страна на физическото лице личните данни не са достъпни за неограничен брой физически лица.

3. Одобреният механизъм за сертифициране съгласно член 42 може да се използва като елемент, за да се докаже спазването на изискванията, предвидени в параграфи 1 и 2 от настоящия член.

Член 28

Обработващ личните данни

1. Когато обработването се извършва от името на даден администратор, администраторът използва само обработващи лични данни, които предоставят достатъчни гаранции за прилагането на подходящи технически и организационни мерки по такъв начин, че обработването да протича в съответствие с изискванията на настоящия регламент и да осигурява защита на правата на субектите на данни.

2. Обработващият данни не включва друг обработващ данни без предварителното конкретно или общо писмено разрешение на администратора. В случай на общо писмено разрешение, обработващият данни винаги информира администратора за всякакви планирани промени за включване или замяна на други лица, обработващи данни, като по този начин даде възможност на администратора да оспори тези промени.

3. Обработването от страна на обработващия лични данни се урежда с договор или с друг правен акт съгласно правото на Съюза или правото на държава членка, който е задължителен за обработващия лични данни спрямо администратора, и който регламентира предмета и срока на действие на обработването, естеството и целта на обработването, вида лични данни и категориите субекти на данни и задълженията и правата на администратора. В този договор или друг правен акт се предвижда по-специално, че обработващият лични данни:

обработва личните данни само по документирано нареждане на администратора, включително що се отнася до предаването на лични данни на трета държава или международна организация, освен когато е длъжен да направи това по силата на правото на Съюза или правото на държава членка, което се прилага спрямо обработващия лични данни, като в този случай обработващият лични данни информира администратора за това правно изискване преди обработването, освен ако това право забранява такова информиране на важни основания от публичен интерес;

б)	гарантира, че лицата, оправомощени да обработват личните данни, са поели ангажимент за поверителност или са задължени по закон да спазват поверителност;

в)	взема всички необходими мерки съгласно член 32;

г)	спазва условията по параграфи 2 и 4 за включване на друг обработващ лични данни;

д)	като взема предвид естеството на обработването, подпомага администратора, доколкото е възможно, чрез подходящи технически и организационни мерки при изпълнението на задължението на администратора да отговори на искания за упражняване на предвидените в глава III права на субектите на данни;

е)	подпомага администратора да гарантира изпълнението на задълженията съгласно членове 32—36, като отчита естеството на обработване и информацията, до която е осигурен достъп на обработващия лични данни;

ж)	по избор на администратора заличава или връща на администратора всички лични данни след приключване на услугите по обработване и заличава съществуващите копия, освен ако правото на Съюза или правото на държава членка не изисква тяхното съхранение;

з)	осигурява достъп на администратора до цялата информация, необходима за доказване на изпълнението на задълженията, определени в настоящия член, и позволява и допринася за извършването на одити, включително проверки, от страна на администратора или друг одитор, оправомощен от администратора.

Предвид буква з) от първа алинея обработващият лични данни незабавно уведомява администратора, ако според него дадено нареждане нарушава настоящия регламент или други разпоредби на Съюза или на държавите членки относно защитата на данни.

4. Когато обработващ лични данни включва друг обработващ лични данни за извършването на специфични дейности по обработване от името на администратора, чрез договор или друг правен акт съгласно правото на Съюза или правото на държава членка на това друго лице се налагат същите задължения за защита на данните, както задълженията, предвидени в договора или друг правен акт между администратора и обработващия лични данни, както е посочено в параграф 3, по-специално да предостави достатъчно гаранции за прилагане на подходящи технически и организационни мерки, така че обработването да отговаря на изискванията на настоящия регламент. Когато другият обработващ лични данни не изпълни задължението си за защита на данните, първоначалният обработващ данните продължава да носи пълна отговорност пред администратора за изпълнението на задълженията на този друг обработващ лични данни.

5. Придържането на обработващия лични данни към одобрен кодекс за поведение, посочен в член 40 или одобрен механизъм за сертифициране, посочен в член 42 може да се използва като доказателство за предоставянето на достатъчно гаранции съгласно параграфи 1 и 4 от настоящия член.

6. Без да се засягат разпоредбите на индивидуален договор между администратора и обработващия лични данни, договорът или другият правен акт, посочени в параграфи 3 и 4 от настоящия член, може да се основават изцяло или отчасти на стандартни договорни клаузи, посочени в параграфи 7 и 8 от настоящия член, включително когато са част от сертифициране, предоставено на администратора или обработващия лични данни съгласно членове 42 и 43.

7. Комисията може да установява стандартни договорни клаузи по въпроси, посочени в параграфи 3 и 4 от настоящия член, и в съответствие с процедурата по разглеждане, посочена в член 93, параграф 2.

8. Надзорният орган може да приема стандартни договорни клаузи по въпросите, посочени в параграфи 3 и 4 от настоящия член, и в съответствие с механизма за съгласуваност, посочен в член 63.

9. Договорът или другият правен акт, посочен в параграфи 3 и 4, се изготвят в писмена форма, включително в електронна форма.

10. Без да се засягат членове 82, 83 и 84, ако обработващ лични данни наруши настоящия регламент, определяйки целите и средствата на обработването, обработващият личните данни се счита за администратор по отношение на това обработване.

Член 32

Сигурност на обработването

1. Като се имат предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекстът и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът и обработващият лични данни прилагат подходящи технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност, включително, inter alia, когато е целесъобразно:

a)	псевдонимизация и криптиране на личните данни;

б)	способност за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;

в)	способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент;

г)	процес на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването.

2. При оценката на подходящото ниво на сигурност се вземат предвид по-специално рисковете, които са свързани с обработването, по-специално от случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до прехвърлени, съхранявани или обработени по друг начин лични данни.

3. Придържането към одобрен кодекс за поведение, посочен в член 40 или одобрен механизъм за сертифициране, посочен в член 42 може да се използва като доказателство за предоставянето на достатъчно гаранции съгласно параграф 1 от настоящия член.

4. Администраторът и обработващият лични данни предприемат стъпки всяко физическо лице, действащо под ръководството на администратора или на обработващия лични данни, което има достъп до лични данни, да обработва тези данни само по указание на администратора, освен ако от въпросното лице не се изисква да прави това по силата на правото на Съюза или правото на държава членка.

Член 35

Оценка на въздействието върху защитата на данните

1. Когато съществува вероятност определен вид обработване, по-специално при което се използват нови технологии, и предвид естеството, обхвата, контекста и целите на обработването, да породи висок риск за правата и свободите на физическите лица, преди да бъде извършено обработването, администраторът извършва оценка на въздействието на предвидените операции по обработването върху защитата на личните данни. В една оценка може да бъде разгледан набор от сходни операции по обработване, които представляват сходни високи рискове.

2. При извършването на оценка на въздействието върху защитата на данните администраторът иска становището на длъжностното лице по защита на данните, когато такова е определено.

3. Оценката на въздействието върху защитата на данните, посочена в параграф 1, се изисква по-специално в случай че:

a)	систематична и подробна оценка на личните аспекти по отношение на физически лица, която се базира на автоматично обработване, включително. профилиране, и служи за основа на решения, които имат правни последици за физическото лице или по подобен начин сериозно засягат физическото лице;

б)	мащабно обработване на специални категории данни, посочени в член 9, параграф 1 или на лични данни за присъди и нарушения по член 10; или

в)	систематично мащабно наблюдение на публично достъпна зона.

4. Надзорният орган съставя и оповестява списък на видовете операции по обработване, за които се изисква оценка на въздействието върху защитата на данните съгласно параграф 1. Надзорният орган съобщава тези списъци на Комитета, посочен в член 68.

5. Надзорният орган може също да състави и оповести списък на видовете операции по обработване, за които не се изисква оценка на въздействието върху защитата на данните. Надзорният орган съобщава тези списъци на Комитета.

6. Преди приемането на списъците, посочени в параграфи 4 и 5, компетентният надзорен орган прилага посочения в член 63 механизъм за съгласуваност, ако тези списъци включват дейности за обработване, свързани с предлагането на стоки или услуги на субекти на данни или с наблюдението на тяхното поведение в няколко държави членки или могат съществено да засегнат свободното движение на лични данни в рамките на Съюза.

7. Оценката съдържа най-малко:

a)	системен опис на предвидените операции по обработване и целите на обработването, включително, ако е приложимо, преследвания от администратора законен интерес;

б)	оценка на необходимостта и пропорционалността на операциите по обработване по отношение на целите;

в)	оценка на рисковете за правата и свободите на субектите на данни, посочени в параграф 1; и

г)

мерките, предвидени за справяне с рисковете, включително гаранциите, мерките за сигурност и механизмите за осигуряване на защитата на личните данни и за демонстриране на спазването на настоящия регламент, като се вземат предвид правата и законните интереси на субектите на данни и на други заинтересовани лица.

8. При оценката на въздействието на операциите по обработване, извършвани от администраторите и обработващите лични данни, надлежно се отчита и спазването от тяхна страна на одобрените кодекси за поведение, посочени в член 340 особено за целите на оценката на въздействието върху защитата на данните.

9. Когато е целесъобразно, администраторът се обръща към субектите на данните или техните представители за становище относно планираното обработване, без да се засяга защитата на търговските или обществените интереси или сигурността на операциите по обработване.

10. Когато обработването съгласно член 6, параграф 1, буква в) или д) има правно основание в правото на Съюза или в правото на държавата членка, под чиято юрисдикция е администраторът, и това право регулира конкретната операция по обработване или набор от такива операции, и вече е извършена оценка на въздействието върху защитата на личните данни като част от общата оценка на въздействието в контекста на приемането на това правно основание, параграфи 1—7 не се прилагат, освен ако държавите членки не сметнат за необходимо да направят такава оценка преди започването на дейностите за обработване.

11. При необходимост администраторът прави преглед, за да прецени дали обработването е в съответствие с оценката на въздействието върху защитата на данни, най-малкото когато има промяна в риска, с който са свързани операциите по обработване.

Член 36

Предварителна консултация

1. Администраторът се консултира с надзорния орган преди обработването, когато оценката на въздействието върху защитата на данните съгласно член 35 покаже, че обработването ще породи висок риск, ако администраторът не предприеме мерки за ограничаване на риска.

2. Когато надзорният орган е на мнение, че планираното обработване, посочено в параграф 1, нарушава настоящия регламент, особено когато администраторът не е идентифицирал или ограничил риска в достатъчна степен, надзорният орган в срок до осем седмици след получаване на искането за консултация дава писмено становище на администратора или на обработващия лични данни, когато е приложимо, като може да използва всяко от правомощията си, посочени в член 58. Този срок може да бъде удължен с още шест седмици предвид сложността на планираното обработване. Надзорният орган информира администратора и, когато е приложимо, обработващия лични данни за такова удължаване в срок от един месец от получаване на искането за консултация, включително за причините за забавянето. Тези срокове може да спрат да текат, докато надзорният орган получи всяка евентуално поискана от него информация за целите на консултацията.

3. Когато се консултира с надзорния орган съгласно параграф 1, администраторът предоставя на надзорния орган следната информация:

a)	където е приложимо — информация за съответните отговорности на администратора, съвместните администратори и обработващите лични данни, които се занимават с обработването, по-конкретно при обработване на данни в рамките на група предприятия;

б)	целите на планираното обработване и средствата за него;

в)	предвидените мерки и гаранции за защита на правата и свободите на субектите на данни съгласно настоящия регламент;

г)	където е приложимо, координатите за връзка на длъжностното лице по защита на данните;

д)	оценката на въздействието върху защитата на данните по член 35; както и

е)	всякаква друга информация, поискана от надзорния орган.

4. Държавите членки се консултират с надзорния орган по време на изготвянето на предложения за законодателни мерки, които да бъдат приети от националните парламенти, или на регулаторни мерки, основани на такива законодателни мерки, които се отнасят до обработването.

5. Без да се засяга параграф 1, правото на държавите членки може да изисква от администраторите да се консултират с надзорния орган и да получават предварително разрешение от него във връзка с обработването от администратор за изпълнението на задача, осъществявана от администратора в полза на обществения интерес, включително обработване във връзка със социалната закрила и общественото здраве.

Раздел 4

Длъжностно лице по защита на данните

Член 60

Сътрудничество между водещия надзорен орган и другите засегнати надзорни органи

1. Водещият надзорен орган си сътрудничи с другите засегнати надзорни органи в съответствие с настоящия член и се стреми към постигането на консенсус. Водещият надзорен орган и засегнатите надзорни органи обменят всяка имаща отношение информация помежду си.

2. Водещият надзорен орган може да поиска по всяко време от другите засегнати надзорни органи да предоставят взаимопомощ съгласно член 61 и може да провежда съвместни операции съгласно член 62, по-специално за да извършва разследвания или да наблюдава изпълнението на мярка, засягаща администратор или обработващ лични данни, установен в друга държава членка.

3. Водещият надзорен орган незабавно предава информация за това на другите засегнати надзорни органи. Водещият надзорен орган незабавно представя на другите засегнати надзорни органи проект за решение, за да получи тяхното становище и да вземе надлежно предвид вижданията им.

4. Ако някой от другите засегнати надзорни органи изрази относимо и обосновано възражение срещу проекта за решение в срок от четири седмици, след като е било поискано мнението му в съответствие с параграф 3 от настоящия член, водещият надзорен орган, в случай че не приема относимото и обосновано възражение или счита, че това възражение не е относимо или обосновано, отнася въпроса до механизма за съгласуваност, посочен в член 63.

5. Ако водещият надзорен орган възнамерява да приеме направено относимо и обосновано възражение, той изпраща на другите засегнати надзорни органи преработен проект за решението, за да получи тяхното становище. За този преработен проект на решението се следва процедурата, посочена в параграф 4, за срок от две седмици.

6. Когато нито един от другите засегнати органи не е възразил срещу проекта на решение, представен от водещия надзорен орган в посочения в параграфи 4 и 5 срок, се счита, че водещият надзорен орган и засегнатите надзорни органи са съгласни с този проект на решение и са обвързани от него.

7. Водещият надзорен орган приема решението и уведомява за него основното място на установяване или единственото място на установяване на администратора или обработващия лични данни, според случая, и информира другите засегнати надзорни органи и Комитета за въпросното решение, като включва резюме на съответните факти и основания. Надзорният орган, до когото е била подадена жалбата, информира жалбоподателя за решението.

8. Чрез дерогация от параграф 7, когато дадена жалба е оставена без разглеждане или отхвърлена, надзорният орган, до който е била подадена жалбата, приема решението и уведомява жалбоподателя за него, като информира и администратора

9. Когато водещият надзорен орган и засегнатите надзорни органи постигнат съгласие определени части от жалбата да бъдат оставени без разглеждане или отхвърлени, а по други части от тази жалба да се предприемат действия, за всяка от тези части се приема отделно решение. Водещият надзорен орган приема решението относно частта, за която се предприемат действия във връзка с администратора, уведомява за него основното място на установяване или единственото място на установяване на администратора или обработващия лични данни на територията на неговата държава членка и информира жалбоподателя за това, а надзорният орган по жалбата приема решението относно частта, с която е свързано оставянето без разглеждане или отхвърлянето на тази жалба, уведомява за него жалбоподателя и информира за това администратора или обработващия лични данни.

10. След като е бил уведомен за решението на водещия надзорен орган съгласно параграфи 7 и 9, администраторът или обработващият лични данни взема необходимите мерки, за да осигури съответствие с решението по отношение на дейностите по обработването на всички места, на които е установен в Съюза. Администраторът или обработващият лични данни уведомява водещия надзорен орган за мерките, взети с цел осигуряване на съответствие с решението, а водещият орган информира другите засегнати надзорни органи.

11. Когато при изключителни обстоятелства засегнат надзорен орган има основания да счита, че са необходими спешни действия, за да се защитят интересите на субекти на данни, се прилага процедурата по спешност по член 66.

12. Водещият надзорен орган и другите засегнати надзорни органи си предават информацията, изисквана съгласно настоящия член, по електронен път, използвайки стандартизиран формат.

Член 61

Взаимопомощ

1. Надзорните органи си предоставят взаимно значима информация и помощ, за да изпълняват и прилагат настоящия регламент по съгласуван начин, и въвеждат мерки за ефективно сътрудничество помежду си. Взаимопомощта обхваща по-специално искания за информация и мерки за надзор, например искания за предоставяне на предварителни разрешения или провеждане на предварителни консултации, проверки и разследвания.

2. Всеки надзорен орган предприема всички подходящи мерки, които са необходими, за да се отговори на искането на друг надзорен орган без ненужно забавяне и не по-късно от един месец след получаване на искането. Такива мерки могат да включват, по-специално, предаване на значима информация относно хода на дадено разследване.

3. Исканията за помощ съдържат цялата необходима информация, включително целта на искането и причините за него. Обменената информация се използва единствено за целите, за които е поискана.

4. Надзорен орган, до който е отправено искане, няма право да откаже да го изпълни, освен ако:

a)	не е компетентен относно предмета на искането или мерките, които се изисква да изпълни; или

б)	удовлетворяването на искането би било в нарушение на настоящия регламент или правото на Съюза или правото на държава членка, което се прилага спрямо надзорния орган, до който е отправено искането.

5. Надзорният орган, до който е отправено искането, информира искащия надзорен орган за резултатите или, в зависимост от случая, за напредъка на предприетите мерки в отговор на искането. Надзорният орган, до който е отправено искането, излага мотивите си в случай на отказ да изпълни искането по силата на параграф 4.

6. Надзорните органи, до които са отправени искания, по правило предоставят информацията, поискана от други надзорни органи, по електронен път, като използват стандартизиран формат.

7. Надзорните органи, до които са отправени искания, не събират такси за действията, които са предприели в отговор на искане за взаимопомощ. Надзорните органи могат да постигнат съгласие с други надзорни органи относно правила за предоставяне на обезщетение един на друг за конкретни разходи, свързани с предоставянето на взаимопомощ при извънредни обстоятелства.

8. Когато в рамките на един месец от получаване на искането на друг надзорен орган надзорният орган не предостави информацията, посочена в параграф 5 от настоящия член, искащият надзорен орган може да приеме временна мярка на територията на своята държава членка в съответствие с член 55, параграф 1. В този случай се счита, че са необходими спешни действия съгласно член 66, параграф 1, което изисква спешно решение със задължителен характер от страна на Комитета в съответствие с член 66, параграф 2.

9. Комисията може посредством актове за изпълнение да определи формата и процедурите за взаимопомощ по настоящия член, както и договореностите за обмена на информация по електронен път между надзорните органи и между надзорните органи и Комитета, и по-специално стандартизирания формат, посочен в параграф 6 от настоящия член. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 93, параграф 2.

Член 64

Становище на Комитета

1. Комитетът дава становище, когато компетентен надзорен орган възнамерява да приеме някоя от мерките, изброени по-долу. За тази цел компетентният надзорен орган предава проекта за решение на Комитета, когато то:

а)	има за цел приемане на списък на операциите по обработване, които подлежат на изискването за оценка на въздействието по отношение на защитата на лични данни в съответствие с член 35, параграф 4;

б)	се отнася до въпрос съгласно член 40, параграф 7 дали проект на кодекс на поведение, негово изменение или допълнение съответства на настоящия регламент;

в)	има за цел одобряване на критериите за акредитиране на орган съгласно член 41, параграф 3 или на орган по сертифициране съгласно член 43, параграф 3;

г)	има за цел определяне на стандартните клаузи за защита на данните, посочени в член 46, параграф 2, буква г) и в член 28, параграф 8;

д)	има за цел даване на разрешение за договорните клаузи, посочени в член 46, параграф 3, буква а); или

е)	има за цел одобряване на задължителни фирмени правила по смисъла на член 47.

2. Всеки надзорен орган, председателят на Комитета или Комисията може да поиска разглеждането на въпрос с общо приложение или с последици в повече от една държава членка от Комитета с цел получаване на становище, по-специално когато даден компетентен надзорен орган не изпълнява задълженията за взаимопомощ съгласно член 61 или за съвместни операции съгласно член 62.

3. В случаите, посочени в параграфи 1 и 2, Комитетът дава становище по отнесения до него въпрос, при условие че все още не е давал становище по същия въпрос. Това становище се приема в срок от осем седмици с обикновено мнозинство от членовете на Комитета. Този срок може да бъде удължен с още шест седмици с оглед на сложността на въпроса. По отношение на посочения в параграф 1 проект за решение, разпространен до членовете на Комитета в съответствие с параграф 5, за член, който не е представил възражение в посочения от председателя разумен срок, се счита, че е съгласен с проекта за решение.

4. Надзорните органи и Комисията предоставят без ненужно забавяне на Комитета, по електронен път и посредством стандартизиран формат, всяка информация, която е от значение, включително, според случая, обобщение на фактите, проекта за решение, основанията, които налагат приемането на такава мярка, и становищата на други засегнати надзорни органи.

5. Председателят на Комитета без ненужно забавяне информира по електронен път:

a)	членовете на Комитета и Комисията за всяка значима информация, която му е била съобщена, като използва стандартизиран формат. При необходимост секретариатът на Комитета предоставя писмен превод на съответната информация; и

б)	надзорния орган, посочен, според случая, в параграфи 1 и 2, и Комисията за становището и го оповестява публично.

6. Компетентният надзорен орган не приема проекта си за решение по параграф 1 в рамките на посочения в параграф 3 срок.

7. Надзорният орган, посочен в параграф 1, в най-голяма степен взема предвид становището на Комитета и в срок от две седмици след получаване на становището информира председателя на Комитета по електронен път дали ще запази или ще измени своя проект за решение и му представя изменения проект за решение, ако има такъв, като използва стандартизиран формат.

8. Когато засегнатият надзорен орган информира председателя на Комитета в посочения в параграф 7 от настоящия член срок, че възнамерява изцяло или отчасти да не се съобрази със становището на Комитета, като представи съответните основания, се прилага член 65, параграф 1.

Член 75

Секретариат

1. Комитетът разполага със секретариат, който се осигурява от Европейския надзорен орган по защита на данните.

2. Секретариатът изпълнява задачите си изключително под ръководството на председателя на Комитета.

3. Служителите на Европейския надзорен орган по защита на данните, участващи в изпълнението на задачи, възложени на Комитета с настоящия регламент, са организационно отделени от служителите, участващи в изпълнението на задачи, възложени на Европейския надзорен орган по защита на данните.

4. Когато е целесъобразно, Комитетът и Европейският надзорен орган по защита на данните изготвят и публикуват меморандум за разбирателство за прилагане на настоящия член, в който се определят условията за сътрудничеството помежду им и който се прилага за служителите на Европейския надзорен орган по защита на данните, участващи в изпълнението на задачи, възложени на Комитета с настоящия регламент.

5. Секретариатът предоставя аналитична, административна и логистична подкрепа на Комитета.

6. Секретариатът отговаря по-специално за:

a)	ежедневната работа на Комитета;

б)	комуникацията между членовете на Комитета, неговия председател и Комисията;

в)	комуникацията с други институции и с обществеността;

г)	използването на електронни средства за вътрешна и външна комуникация;

д)	превода на значима информация;

е)	подготовката на заседанията на Комитета и последващите действия във връзка с тях;

ж)	подготовката, изготвянето и публикуването на становища, решения относно уреждането на спорове между надзорни органи и други текстове, приети от Комитета.

Член 87

Обработване на националния идентификационен номер

Държавите членки могат да определят и специалните условия за обработване на национален идентификационен номер или на всякакъв друг идентификатор с общо приложение. В този случай националният идентификационен номер и всеки друг идентификатор с общо приложение се използват само при подходящи гаранции за правата и свободите на субекта на данните в съответствие с настоящия регламент.

whereas

(6) Бързото технологично развитие и глобализацията създадоха нови предизвикателства пред защитата на личните данни. Значително нарасна мащабът на обмена и събирането на лични данни. Технологиите позволяват и на частните дружества, и на публичните органи да използват лични данни в безпрецедентни мащаби, за да упражняват дейността си. Физическите лица все по-често оставят лична информация, която е публично достъпна и в световен мащаб. Технологиите преобразиха както икономиката, така и социалния живот и следва да улесняват още повече свободното движение на лични данни в Съюза и предаването на данни до трети държави и международни организации, като същевременно гарантират високо ниво на защита на личните данни.

- = -

(15) За да се избегне създаването на сериозен риск от заобикаляне на закона, защитата на физическите лица следва да бъде технологично неутрална и следва да не зависи от използваната техника. Защитата на физическите лица следва да се прилага за обработването на лични данни с автоматични средства, както и за ръчното им обработване, ако личните данни се съхраняват или са предназначени да се съхраняват в регистър с лични данни. Досиетата или групите от досиета, както и заглавните им страници, които не са структурирани съгласно специфични критерии, не следва да попадат в обхвата на настоящия регламент.

- = -

(23) За да се гарантира, че физическите лица не са лишени от защитата, на която те имат право по силата на настоящия регламент, обработването на лични данни на субекти на данни, които се намират в Съюза, от администратор или обработващ лични данни, който не е установен в Съюза, следва да подлежи на разпоредбите на настоящия регламент в случаите, когато дейностите по обработване на данни са свързани с предлагането на стоки или услуги на такива субекти на данни, независимо дали това е свързано с плащане. За да се установи дали този администратор или обработващ лични данни предлага стоки или услуги на субекти на данни, които се намират в Съюза, следва да бъде уточнено дали е очевидно, че администраторът или обработващият данни възнамерява да предлага услуги на субекти на данни в една или повече държави членки в Съюза. Като се има предвид, че само достъпността на уебсайт на посредник в Съюза, на администратора или обработващия данни, на електронен адрес или на други данни за контакт или използването на език, който по правило се използва в третата държава, където е установен администраторът, са недостатъчни за удостоверяване на такова намерение, фактори като използването на език или парична единица, които по правило се използват в една или повече държави членки, наред с възможността за поръчване на стоки и услуги на този друг език или споменаването на потребители или ползватели, които се намират в Съюза, могат да свидетелстват за това, че администраторът възнамерява да предлага стоки или услуги на субекти на данни в Съюза.

- = -

(24) Обработването на лични данни на субекти на данни, които се намират в Съюза, от администратор или обработващ лични данни, който не е установен в Съюза, следва също да се урежда от настоящия регламент, когато е свързано с наблюдението на поведението на такива субекти на данни, доколкото тяхното поведение се проявява в рамките на Съюза. С цел да се определи дали дадена дейност по обработване може да се смята за наблюдение на поведението на субектите на данни, следва да се установи дали физическите лица се следят в интернет, включително да се установи евентуално последващо използване на техники за обработване на лични данни, които се състоят в профилиране на дадено физическо лице, по-специално с цел да се вземат отнасящи се до него решения или да се анализират или предвиждат неговите лични предпочитания, поведение и начин на мислене.

- = -

(26) Принципите за защита на данните следва да се прилагат по отношение на всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано. Личните данни, които са били подложени на псевдонимизация, които могат да бъдат свързани с дадено физическо лице чрез използването на допълнителна информация, следва да се считат за информация, отнасяща се до физическо лице, което може да бъде идентифицирано. За да се определи дали дадено физическо лице може да бъде идентифицирано, следва да се вземат предвид всички средства, като например подбирането на лица за извършване на проверка, с които е най-вероятно да си послужи администраторът или друго лице, за да идентифицира пряко или непряко даденото физическо лице. За да се установи дали има достатъчна вероятност дадени средства да бъдат използвани за идентифициране на физическото лице, следва да се вземат предвид всички обективни фактори, като разходите и количеството време, необходими за идентифицирането, като се отчитат наличните към момента на обработване на данните технологии и технологичните развития. Поради това принципите на защита на данните не следва да се прилагат по отношение на анонимна информация, т.е. информация, която не е свързана с идентифицирано или подлежащо на идентифициране физическо лице, или по отношение на лични данни, които са анонимизирани по такъв начин, че субектът на данните да не може или вече не може да бъде идентифициран. Ето защо настоящият регламент не се отнася за обработването на такава анонимна информация, включително за статистически или изследователски цели.

- = -

(30) Физическите лица могат да бъдат свързани с онлайн идентификатори, предоставени от техните устройства, приложения, инструменти и протоколи, като адресите по интернет протокол (IP адреси) или идентификаторите, наричани „бисквитки“, или други идентификатори, например етикетите за радиочестотна идентификация. По този начин може да бъдат оставени следи, които в съчетание по-специално с уникални идентификатори и с друга информация, получена от сървърите, може да се използват за създаването на профили на физическите лица и за тяхното идентифициране.

- = -

(32) Съгласие следва да се дава чрез ясно утвърдителен акт, с който да се изразява свободно дадено, конкретно, информирано и недвусмислено заявление за съгласие от страна на субекта на данни за обработване на свързани с него лични данни, например чрез писмена декларация, включително по електронен път, или устна декларация. Това може да включва отбелязване с отметка в поле при посещението на уебсайт в интернет, избиране на технически настройки за услуги на информационното общество или друго заявление или поведение, което ясно показва, че субектът на данни е съгласен с предложеното обработване на неговите лични данни. Поради това мълчанието, предварително отметнатите полета или липсата на действие не следва да представляват съгласие. Съгласието следва да обхваща всички дейности по обработване, извършени за една и съща цел или цели. Когато обработването преследва повече цели, за всички тях следва да бъде дадено съгласие. Ако съгласието на субекта на данни трябва да се даде след искане по електронен път, искането трябва да е ясно, сбито и да не нарушава излишно използването на услугата, за която се предвижда.

- = -

(38) На децата се полага специална защита на личните данни, тъй като те не познават достатъчно добре съответните рискове, последици и гаранции, както и своите права, свързани с обработването на лични данни. Тази специална защита следва да се прилага по-специално за използването на лични данни на деца за целите на маркетинга или за създаване на личностни или потребителски профили и събирането на лични данни по отношение на деца при ползване на услуги, предоставяни пряко на деца. Съгласието на носещия родителска отговорност не следва да е необходимо в контекста на пряко предлаганите на деца услуги за превенция и консултиране.

- = -

(39) Всяко обработване на лични данни следва да бъде законосъобразно и добросъвестно. За физическите лица следва да е прозрачно по какъв начин отнасящи се до тях лични данни се събират, използват, консултират или обработват по друг начин, както и в какъв обхват се извършва или ще се извършва обработването на данните. Принципът на прозрачност изисква всяка информация и комуникация във връзка с обработването на тези лични данни да бъде лесно достъпна и разбираема и да се използват ясни и недвусмислени формулировки. Този принципа се отнася в особена степен за информацията, която получават субектите на данни за самоличността на администратора и целите на обработването, и за допълнителната информация, гарантираща добросъвестно и прозрачно обработване на данните по отношение на засегнатите физически лица и тяхното право да получат потвърждение и уведомление за съдържанието на свързани с тях лични данни, които се обработват. Физическите лица следва да бъдат информирани за рисковете, правилата, гаранциите и правата, свързани с обработването на лични данни, и за начините, по които да упражняват правата си по отношение на обработването. По-специално, конкретните цели, за които се обработват лични данни, следва да бъдат ясни и законни и определени към момента на събирането на личните данни. Личните данни следва да са адекватни, релевантни и ограничени до необходимото за целите, за които се обработват. Това налага по-специално да се гарантира, че срокът, за който личните данни се съхраняват, е ограничен до строг минимум. Личните данни следва да се обработват, единствено ако целта на обработването не може да бъде постигната в достатъчна степен с други средства. С цел да се гарантира, че срокът на съхранение на личните данни не е по-дълъг от необходимия, администраторът следва да установи срокове за тяхното изтриване или периодичен преглед. Следва да бъдат предприети всички разумни мерки, за да се гарантира, че неточните лични данни се коригират или заличават. Личните данни следва да се обработват по начин, който гарантира подходяща степен на сигурност и поверителност на личните данни, включително за предотвратяване на непозволен достъп до лични данни и до оборудване за тяхното обработване или за предотвратяване на използването им.

- = -

(50) Обработването на лични данни за цели, различни от тези, за които първоначално са събрани личните данни, следва да бъде разрешено единствено когато обработването е съвместимо с целите, за които първоначално са събрани личните данни. В такъв случай не се изисква отделно правно основание, различно от това, с което е било разрешено събирането на личните данни. Ако обработването е необходимо за изпълнението на задача от обществен интерес или свързана с упражняването на официални правомощия, които са предоставени на администратора на лични данни, в правото на Съюза или в правото на държава членка могат да бъдат определени и уточнени задачите и целите, за които по-нататъшното обработване следва да се счита за съвместимо и законосъобразно. По-нататъшното обработване за целите на архивирането в обществен интерес,за целите на научни или исторически изследвания, или за статистически цели следва да се разглежда като съвместими законосъобразни операции по обработване. Правното основание, предвидено от правото на Съюза или правото на държава членка за обработване на лични данни, може да предостави и правно основание за по-нататъшно обработване. За да установи дали дадена цел на по-нататъшно обработване е съвместима с целта, за която първоначално са събрани личните данни, администраторът на лични данни, след като е спазил всички изисквания относно законосъобразността на първоначалното обработване, следва да отчете, inter alia,, всички връзки между тези цели и целите на предвиденото по-нататъшно обработване, в какъв контекст са събрани личните данни, по-специално основателните очаквания на субектите на данните въз основа на техните взаимоотношения с администратора по отношение на по-нататъшно използване на личните данни, естеството им, последствията от предвиденото по-нататъшно обработване на данни за субектите на данни и наличието на подходящи гаранции при операциите по първоначалното и предвиденото по-нататъшно обработване.

- = -

(51) На личните данни, които по своето естество са особено чувствителни от гледна точка на основните права и свободи, се полага специална защита, тъй като контекстът на тяхното обработване би могъл да създаде значителни рискове за основните права и свободи. Посочените лични данни следва да включват личните данни, разкриващи расов или етнически произход, като използването на понятието „расов произход“ в настоящия регламент не означава, че Съюзът приема теориите, които се опитват да установят съществуването на отделни човешки раси. Обработването на снимки не следва систематично да се счита за обработване на специални категории лични данни, тъй като снимките се обхващат от определението за биометрични данни единствено когато се обработват чрез специални технически средства, позволяващи уникална идентификация или удостоверяване на автентичността на дадено физическо лице. Тези лични данни не следва да се обработват, освен ако обработването не е разрешено в определени случаи, предвидени в настоящия регламент, като се има предвид, че в правото на държавите членки могат да бъдат определени специфични разпоредби за защита на данните с цел да се адаптира прилагането на съдържащите се в настоящия регламент правила за спазване на правно задължение или за изпълнение на задача от обществен интерес или свързана с упражняването на официални правомощия, предоставени на администратора на лични данни. В допълнение към конкретните изисквания за такова обработване следва да се прилагат общите принципи и другите правила, залегнали в настоящия регламент, по-специално по отношение на условията за законосъобразно обработване. Дерогации от общата забрана за обработване на такива специални категории лични данни следва изрично да бъдат предвидени, inter alia, когато субектът на данните даде изричното си съгласие или във връзка с конкретни нужди, по-специално когато обработването се извършва в хода на законната дейност на някои сдружения или фондации, чиято цел е да се позволи упражняването на основните свободи.

- = -

(52) Дерогация от забраната за обработване на специални категории лични данни също следва бъде разрешена, когато е предвидена в правото на Съюза или правото на държава членка, и при подходящи гаранции, така че да бъдат защитени личните данни и други основни права, когато съображения, свързани с обществения интерес, оправдават това, по-специално обработването на лични данни в областта на трудовото право, правото в областта на социалната закрила, включително пенсиите, както и за целите на сигурността, наблюдението и предупрежденията в сферата на здравеопазването, предотвратяването или контрола на заразните болести и други сериозни заплахи за здравето. Такава дерогация може да се извърши за здравни цели, включително общественото здраве и управлението на здравните услуги, особено с цел да се гарантират качеството и рентабилността на използваните процедури за уреждане на искове за обезщетения и услуги в системата за здравно осигуряване, или за целите на архивирането в обществен интерес, за целите на научни или исторически изследвания, или за статистически цели. Чрез дерогация следва да се даде възможност да се обработват и такива лични данни, когато е необходимо, с цел установяване, упражняване или защита на правни претенции, независимо дали това е в рамките на съдебна, административна или друга извънсъдебна процедура.

- = -

(57) Ако обработваните от администратора лични данни не му позволяват да идентифицира дадено физическо лице, администраторът на данни не следва да е задължен да се сдобие с допълнителна информация, за да идентифицира субекта на данните единствено с цел спазване на някоя от разпоредбите на настоящия регламент. Администраторът обаче не следва да отказва да приеме допълнителна информация, подадена от субекта на данни, за да подпомогне упражняването на неговите права. Идентификацията следва да включва цифровата идентификация на субекта на данни, например чрез механизъм за удостоверяване на автентичността, като използването от субекта на данни на една и съща информация за удостоверяване на идентичността при регистрация за онлайн услуга, предлагана от администратора на лични данни.

- = -

(58) Принципът на прозрачност изисква всяка информация както за обществеността, така и за субекта на данните да бъде в кратка, прозрачна, разбираема и лесно достъпна форма и да се използват ясни и недвусмислени формулировки, а в допълнение когато е необходимо, да се използва и визуализация. Тази информация може да бъде представена в електронна форма, например чрез уебсайт, когато е адресирана до обществеността. Това важи в особена степен за ситуации, където нарастването на участниците и технологичната сложност на тази практика правят трудно за субекта на данни да узнае и разбере дали се събират свързани с него лични данни, от кого и с каква цел, като в случая на онлайн рекламите. Като се има предвид, че на децата се полага специална защита, когато обработването е насочено към дете, всяка информация и комуникация следва да се предоставя с ясни и недвусмислени формулировки, които да бъдат лесноразбираеми за детето.

- = -

(61) Информацията за обработването на лични данни, свързани със субекта на данните, следва да му бъде предоставена в момента на събирането ѝ от субекта на данните или ако личните данни са получени от друг източник — в рамките на разумен срок, в зависимост от обстоятелствата на конкретния случай. В случаите, в които личните данни могат да бъдат законно разкрити на друг получател, субектът на данните следва да бъде информиран, когато личните данни се разкриват за първи път на получателя. Когато администраторът възнамерява да обработва личните данни за цел, различна от тази, за която те са събрани, той следва да предостави на субекта на данните преди това по-нататъшно обработване информация за въпросната друга цел и друга необходима информация. Когато на субекта на данните не може да се предостави информация за произхода на личните данни поради използването на различни източници, се представя обобщена информация.

- = -

(64) Администраторът следва да използва всички разумни мерки за проверка на самоличността на субекта на данни, който иска достъп, по-специално по отношение на онлайн услугите и онлайн идентификаторите. Администраторът не следва да запазва лични данни с единствената цел да може да реагира на евентуални искания.

- = -

(68) С цел допълнително засилване на контрола над собствените данни, когато обработването на лични данни става по автоматичен начин, субектът на данните следва да има и правото да получава отнасящите се до него лични данни, които той е предоставил на администратора, в структуриран, широко използван, пригоден за машинно четене и оперативно съвместим формат, и да ги предава на друг администратор. Администраторите следва да бъдат насърчавани да разработват оперативно съвместими формати, които позволяват преносимост на данните. Това право следва да се прилага, когато субектът на данни е предоставил личните данни въз основа на собственото си съгласие или обработването е необходимо поради договорно задължение. Правото не следва да се прилага, когато обработването се базира на правно основание, различно от съгласие или договор. Поради самото си естество това право не следва да бъде упражнявано по отношение на администратори, обработващи данни в изпълнение на обществените си задължения. Ето защо това право не следва да се прилага, когато обработването на личните данни е необходимо за спазване на правно задължение, на което е подчинен администраторът, или за изпълнение на задача от обществен интерес, или при упражняване на официално правомощие, предоставено на администратора. Правото на субекта на данни да предава или получава отнасящи се до него лични данни не следва да поражда задължение за администраторите да възприемат или поддържат технически съвместими системи за обработване. Когато в определен пакет от лични данни е засегнат повече от един субект на данни, правото личните данни да бъдат получавани следва да не засяга правата и свободите на други субекти на данни в съответствие с настоящия регламент. Освен това, това право не следва да засяга правото на субекта на данни на изтриване на лични данни и ограниченията на това право, както е посочено в настоящия регламент, и по-специално не следва да включва изтриването на лични данни относно субекта на данните, които той е предоставил в изпълнение на договор, в степента и за сроковете, за които личните данни са необходими за изпълнението на този договор. Когато това е технически осъществимо, субектът на данни следва да има право на пряко прехвърляне на личните данни от един администратор към друг.

- = -

(75) Рискът за правата и свободите на физическите лица, с различна вероятност и тежест, може да произтича от обработване на лични данни, което би могло да доведе до физически, материални или нематериални вреди, по-специално когато обработването може да породи дискриминация, кражба на самоличност или измама с фалшива самоличност, финансови загуби, накърняване на репутацията, нарушаване на поверителността на лични данни, защитени от професионална тайна, неразрешено премахване на псевдонимизация, или други значителни икономически или социални неблагоприятни последствия; или когато субектите на данни могат да бъдат лишени от свои права и свободи или от упражняване на контрол върху своите лични данни; когато се обработват лични данни, които разкриват расов или етнически произход, политически възгледи, религиозни или философски убеждения, членство в професионална организация, и обработването на генетични данни, данни за здравословното състояние или данни за сексуалния живот или за присъди и нарушения или свързани с тях мерки за сигурност; когато се оценяват лични аспекти, по-специално анализиране или прогнозиране на аспекти, отнасящи се до представянето на работното място, икономическото положение, здравето, личните предпочитания или интереси, надеждността или поведението, местонахождението или движенията в пространството, с цел създаване или използване на лични профили; когато се обработват лични данни на уязвими лица, по-специално на деца; или когато обработването включва голям обем лични данни и засяга голям брой субекти на данни.

- = -

(78) Защитата на правата и свободите на физическите лица с оглед на обработването на лични данни изисква приемане на подходящи технически и организационни мерки, за да се гарантира изпълнението на изискванията на настоящия регламент. За да може да докаже съответствието с настоящия регламент, администраторът следва да приеме вътрешни политики и да приложи мерки, които отговарят по-специално на принципите за защита на данните на етапа на проектирането и защита на данните по подразбиране. Такива мерки могат да се изразяват, inter alia, в свеждане до минимум на обработването на лични данни, псевдонимизиране на лични данни на възможно най-ранен етап, прозрачност по отношение на функциите и обработването на лични данни, създаване на възможност за субекта на данни да наблюдава обработването на данни, възможност за администратора да създава и подобрява елементите на сигурността. При разработването, проектирането, подбора и използването на приложения, услуги и продукти, които се основават на обработване на лични данни или обработват лични данни, за да изпълнят функцията си, производителите на продукти, услуги и приложения следва да бъдат насърчавани да вземат предвид правото на защита на лични данни при разработването и проектирането на такива продукти, услуги и приложения и като отчитат надлежно достиженията на техническия прогрес, да се уверят, че администраторите и обработващите лични данни са в състояние да изпълняват своите задължения за защита на данните. Принципите на защита на данните на етапа на проектирането и по подразбиране следва да се вземат предвид и в контекста на процедурите за възлагане на обществени поръчки.

- = -

(81) За да се гарантира спазването на изискванията на настоящия регламент по отношение на обработването, извършвано от обработващия лични данни от името на администратора, когато на обработващия се възлагат дейности по обработването, администраторът следва да използва само такива обработващи лични данни, които предоставят достатъчни гаранции, по-специално по отношение на експертни знания, надеждност и ресурси, че ще предприемат технически и организационни мерки, които отговарят на изискванията на настоящия регламент, включително на изискванията за сигурността на обработването. Придържането от страна на обработващия лични данни към одобрен кодекс на поведение или одобрен механизъм за сертифициране може да се използва като елемент за доказване, че са спазени задълженията на администратора. Извършването на обработването от обработващ лични данни следва да се урежда с договор или друг правен акт, съгласно правото на Съюза или правото на държава членка, който обвързва обработващия лични данни с администратора, регламентира предмета и продължителността на обработването, естеството и целите на обработването, вида лични данни и категориите субекти на данни, като се вземат предвид конкретните задачи и отговорности на обработващия лични данни в контекста на обработването, което следва да се извърши, както и рискът за правата и свободите на субекта на данни. Администраторът и обработващият лични данни могат да изберат да използват индивидуален договор или стандартни договорни клаузи, приети или пряко от Комисията, или от надзорен орган в съответствие с механизма за съгласуваност и впоследствие приети от Комисията. След приключване на обработването от името на администратора, обработващият личните данни следва, по избор на администратора, да ги върне или заличи, освен ако не е налице изискване за съхраняване на личните данни по силата на правото на Съюза или правото на държава членка, което се прилага спрямо обработващия лични данни.

- = -

(82) За да докаже спазването на настоящия регламент, администраторът или обработващият данни следва да поддържа документация за дейностите по обработване, за които той е отговорен. Всеки администратор и обработващ лични данни следва да е длъжен да си сътрудничи с надзорния орган и да му осигури достъп до тази документация при поискване, за да може да бъде използвана за наблюдение на тези операции по обработване.

- = -

(89) В Директива 95/46/ЕО се предвижда общо задължение за уведомяване на надзорните органи относно обработването на лични данни. Това задължение създава административна и финансова тежест и невинаги е допринасяло за подобряването на защитата на личните данни. Ето защо такива неправещи разграничения общи задължения за уведомяване следва да бъдат премахнати и заменени с ефективни процедури и механизми, които да са насочени към онези видове операции по обработване, които има вероятност да доведат до висок риск за правата и свободите на физическите лица поради своето естество, обхват, контекст и цели. Такива могат да бъдат операциите по обработване, които по-конкретно включват използването на нови технологии или представляват нов вид технологии и при които преди това от администратора не е извършвана оценка на въздействието върху защитата на данните или които стават необходими предвид времето, изминало от първоначалното обработване.

- = -

(91) Това следва да се прилага по-специално за широкомащабни операции по обработване, чиято цел е обработване на значителен обем лични данни на регионално, национално и наднационално равнище, които биха могли да засегнат голям брой субекти на данни и които е вероятно да доведат до висок риск, например поради чувствителното си естество, когато в съответствие с постигнатото ниво на технически познания се използва нова технология в голям мащаб, както и за други операции по обработване, които пораждат висок риск за правата и свободите на субектите на данни, по-специално когато тези операции затрудняват субектите на данни да упражняват правата си. Оценка на въздействието върху защитата на данни следва да се извършва и когато личните данни се обработват с цел вземане на решения относно конкретни физически лица след систематична и обстойна оценка на личните аспекти, свързани с физически лица, въз основа на профилирането на тези данни или след обработването на специални категории лични данни, биометрични данни или данни за присъди и нарушения или свързани с това мерки за сигурност. Оценка на въздействието върху защитата на данните се изисква също за широкомащабно наблюдение на публично достъпни зони, особено когато се използват оптичноелектронни уреди, или за всякакви други операции, когато компетентният надзорен орган счита, че има вероятност обработването да доведе до висок риск за правата и свободите на субектите на данни, по-специално поради това, че възпрепятстват субектите на данни да упражняват дадено право или да използват някоя услуга или договор, или поради това, че се извършват систематично в голям мащаб. Обработването на лични данни не следва да се счита за широкомащабно, ако засяга лични данни на пациенти или клиенти на отделен лекар, друг здравен работник или адвокат. В такива случаи оценката на въздействието върху защитата на данните не следва да бъде задължителна.

- = -

(92) При определени обстоятелства може да бъде разумно и рентабилно предметът на дадена оценка на въздействието върху защитата на данните да обхваща повече от един проект, например когато обществени органи или структури възнамеряват да създадат общо приложение или платформа за обработване на данни или когато няколко администратори планират внедряването на общо приложение или среда за обработване на данните в цял промишлен сектор или сегмент или за широко използвана хоризонтална дейност.

- = -

(108) При липсата на решение относно адекватното ниво на защита администраторът или обработващият лични данни следва да предприеме мерки, за да компенсира липсата на защита на данни в дадена трета държава чрез подходящи гаранции за субекта на данните. Такива подходящи гаранции може да се състоят в използването на задължителни фирмени правила, стандартни клаузи за защита на данните, приети от Комисията, стандартни клаузи за защита на данните, приети от надзорен орган, или договорни клаузи, разрешени от надзорен орган. Тези гаранции следва да осигуряват спазването на изискванията относно защитата на данните и на правата на субектите на данни, подходящи при обработване в рамките на Съюза, включително наличието на приложими права на субектите на данни и на ефективни средства за правна защита, включително с цел получаване на ефективна административна или съдебна защита и предявяване на искове за обезщетение в Съюза или в трета държава. Те следва да се отнасят по-специално до спазването на общите принципи, свързани с обработването на лични данни, и до принципите за защита на данните на етапа на изготвяне и по подразбиране. Данни може да се предават и от публични органи или организации на публични органи или организации в трети държави или на международни организации със съответните задължения или функции, включително въз основа на разпоредбите, които ще бъдат включени в административните договорености, като например меморандум за разбирателство, с които да се предоставят приложими и действителни права за субектите на данни. Следва да се получи разрешение от компетентния надзорен орган, когато гаранциите са предвидени в административни договорености, които нямат задължителен характер.

- = -

(109) Възможността администраторът или обработващият лични данни да използва стандартни клаузи за защита на данните, приети от Комисията или от надзорен орган, не следва да възпрепятства администраторите или обработващите лични данни да включат стандартни клаузи за защита на данните в договор с по-голям обхват, като договор между обработващия лични данни и друг обработващ лични данни, нито да добавят други клаузи или допълнителни гаранции, при условие че същите не противоречат пряко или косвено на стандартните договорни клаузи, приети от Комисията или от надзорен орган, нито засягат основните права или свободи на субектите на данни. Администраторите и обработващите лични данни следва да бъдат насърчавани да предоставят допълнителни гаранции чрез договорни ангажименти, които допълват стандартните клаузи за защита.

- = -

(110) Дадена група предприятия или група дружества, участващи в съвместна стопанска дейност, следва да може да използва одобрени задължителни фирмени правила за своите международни предавания на данни от Съюза до организации в същата група предприятия или група дружества, участващи в съвместна стопанска дейност, при условие че такива фирмени правила включват всички основни принципи и приложими права, за да се осигурят подходящи гаранции за предаването или категориите предавания на лични данни.

- = -

(114) Във всеки случай, когато Комисията не е взела решение относно адекватното ниво на защита на данните в трета държава, администраторът или обработващият данни следва да използва решения, които предоставят приложими и действителни права на субектите на данни по отношение на обработването на техните данни в Съюза след предаването на тези данни, така че те да продължат да се ползват от основните права и гаранциите.

- = -

(150) С цел да се засилят и хармонизират административните наказания за нарушения на настоящия регламент, всеки надзорен орган следва да има правомощието да налага административни наказания „глоба“ или „имуществена санкция“. В настоящия регламент следва да се посочат нарушенията и максималният размер и критериите за определяне на съответните административни наказания „глоба“ или „имуществена санкция“, които следва да се определят от компетентния надзорен орган във всеки отделен случай, като се вземат предвид всички обстоятелства, свързани с конкретната ситуация, по-специално при надлежно отчитане на естеството, тежестта и продължителността на нарушението и на последиците от него, както и на мерките, предприети, за да се гарантира спазване на задълженията по настоящия регламент и за да се предотвратят или смекчат последиците от нарушението. Когато имуществената санкция се налага на предприятие, понятието „предприятие“ следва да се разбира като предприятие в съответствие с членове 101 и 102 от ДФЕС за тези цели. При налагане на административни наказания „глоба“ и „имуществена санкция“ на лица, които не са предприятие, надзорният орган следва да има предвид общото равнище на доход в съответната държава членка, както и икономическото състояние на лицето, за да определи подходящия размер на глобата. Механизмът за съгласуваност може да се използва също за утвърждаването на съгласувано прилагане на административните наказания „глоба“ или „имуществена санкция“. Държавите членки следва да определят дали и до каква степен публичните органи следва да подлежат на административни наказания „глоба“ или „имуществена санкция“. Налагането на административно наказание „глоба“ или „имуществена санкция“ или отправянето на предупреждение не засяга упражняването на други правомощия на надзорните органи или прилагането на други санкции по настоящия регламент.

- = -

(162) Когато се обработват лични данни за статистически цели, настоящият регламент следва да се прилага за този вид обработване. В рамките на настоящия регламент правото на Съюза или правото на държава членка следва да определя съдържанието на статистическите данни, контрола на достъпа, спецификациите за обработването на лични данни за статистически цели и подходящите мерки за гарантиране на правата и свободите на субекта на данните, както и на поверителността на статистическите данни. Статистически цели означава всяка операция по събиране и обработване на лични данни, необходими за статистически изследвания или за изготвяне на статистически резултати. Тези статистически резултати могат впоследствие да бъдат използвани за различни цели, включително за научноизследователски цели. Статистическата цел означава, че резултатът от обработването за статистически цели не съдържа лични данни, а агрегирани данни, и че този резултат или получените лични данни не се използват в подкрепа на мерки или решения, касаещи конкретно физическо лице.

- = -

(168) Процедурата по разглеждане следва да се използва за приемането на актове за изпълнение относно стандартни договорни клаузи между администратори и обработващи лични данни и между самите обработващи лични данни, кодекси на поведение; технически стандарти и механизми за сертифициране; адекватното ниво на защита на данните, осигурявано от дадена трета държава, територия или конкретен сектор в тази трета държава, или международна организация; стандартни клаузи за защита; формати и процедури за обмена на информация чрез електронни средства между администраторите, обработващите лични данни и надзорните органи за задължителните фирмени правила; взаимопомощ; и договорености за обмена на информация чрез електронни средства между надзорните органи, както и между надзорните органи и Комитета по защита на данните.

- = -

dal 2004 diritto e informatica