interactive GDPR 2016/0679 BG

„лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;

„обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

3)	„ограничаване на обработването“ означава маркиране на съхранявани лични данни с цел ограничаване на обработването им в бъдеще;

„профилиране“ означава всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение;

„псевдонимизация“ означава обработването на лични данни по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано;

6)	„регистър с лични данни“ означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;

„администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;

8)	„обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;

„получател“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели“; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването;

10)	„трета страна“ означава физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;

11)	„съгласие на субекта на данните“ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;

12)	„нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;

13)

„генетични данни“ означава лични данни, свързани с наследени или придобити генетичните белези на дадено физическо лице, които дават уникална информация за отличителните черти или здравето на това физическо лице и които са получени, по-специално, от анализ на биологична проба от въпросното физическо лице;

14)

„биометрични данни“ означава лични данни, получени в резултат на специфично техническо обработване, които са свързани с физическите, физиологичните или поведенческите характеристики на дадено физическо лице и които позволяват или потвърждават уникалната идентификация на това физическо лице, като лицеви изображения или дактилоскопични данни;

15)	„данни за здравословното състояние“ означава лични данни, свързани с физическото или психическото здраве на физическо лице, включително предоставянето на здравни услуги, които дават информация за здравословното му състояние;

16)

„основно място на установяване“ означава:

по отношение на администратор, установен в повече от една държава членка — мястото, където се намира централното му управление в Съюза, освен в случаите, когато решенията по отношение на целите и средствата за обработването на лични данни се вземат на друго място на установяване на администратора в Съюза и на това място на установяване има правомощия за прилагане на тези решения, в който случай мястото на установяване, където са взети тези решения, се счита за основно място на установяване;

б)

по отношение на обработващ лични данни, установен в повече от една държава членка — мястото, където се намира централното му управление в Съюза, или ако обработващият лични данни няма централно управление в Съюза, мястото на установяване на обработващия лични данни в Съюза, където се осъществяват основните дейности по обработването в контекста на дейностите на дадено място на установяване на обработващия лични данни, доколкото обработващият има специфични задължения съгласно настоящия регламент;

17)	„представител“ означава физическо или юридическо лице, установено в Съюза, което, назначено от администратора или обработващия лични данни в писмена форма съгласно член 27, представлява администратора или обработващия лични данни във връзка със съответните им задължения по настоящия регламент;

18)	„дружество“ означава физическо или юридическо лице, което осъществява икономическа дейност, независимо от правната му форма, включително партньорствата или сдруженията, които редовно осъществяват икономическа дейност;

19)	„група предприятия“ означава контролиращо предприятие и контролираните от него предприятия;

20)

„задължителни фирмени правила“ означава политики за защита на личните данни, които се спазват от администратор или обработващ лични данни, установен на територията на държава членка, при предаване или съвкупност от предавания на лични данни до администратор или обработващ лични данни в една или повече трети държави в рамките на група предприятия или група дружества, участващи в съвместна стопанска дейност;

21)	„надзорен орган“ означава независим публичен орган, създаден от държава членка съгласно член 51;

22)

„засегнат надзорен орган“ означава надзорен орган, който е засегнат от обработването на лични данни, тъй като:

a)	администраторът или обработващият лични данни е установен на територията на държавата членка на този надзорен орган;

б)	субектите на данни с местопребиваване в държавата членка на този надзорен орган са засегнати съществено или е вероятно да бъдат засегнати съществено от обработването; или

в)	до този надзорен орган е подадена жалба;

23)

„трансгранично обработване“ означава или:

a)	обработване на лични данни, което се осъществява в контекста на дейностите на местата на установяване в повече от една държава членка на администратор или обработващ лични данни в Съюза, като администраторът или обработващият лични данни е установен в повече от една държава членка; или

б)	обработване на лични данни, което се осъществява в контекста на дейностите на едно-единствено място на установяване на администратор или обработващ лични данни в Съюза, но което засяга съществено или е вероятно да засегне съществено субекти на данни в повече от една държава членка;

24)

„относимо и обосновано възражение“ означава възражение срещу проект на решение относно това дали е налице нарушение на настоящия регламент или не, или дали предвижданото действие по отношение на администратора или обработващия лични данни отговаря на изискванията на настоящия регламент, което ясно доказва, че проектът за решение води до значителни рискове за основните права и свободи на субектите на данни и, където е приложимо, за свободното движение на лични данни в рамките на Съюза;

25)	„услуга на информационното общество“ означава услуга по смисъла на член 1, параграф 1, точка б) от Директива (ЕС) 2015/1535 на Европейския парламент и на Съвета (19);

26)	„международна организация“ означава организация и нейните подчинени органи, регламентирани от международното публично право, или друг орган, създаден чрез или въз основа на споразумение между две или повече държави.

ГЛАВА II

Принципи

Член 6

Законосъобразност на обработването

1. Обработването е законосъобразно, само ако и доколкото е приложимо поне едно от следните условия:

a)	субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели;

б)	обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;

в)	обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора;

г)	обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице;

д)	обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;

е)

обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете.

Буква е) на първа алинея не се прилага за обработването, което се извършва от публични органи при изпълнението на техните задачи.

2. Държавите членки могат да запазят или въведат по-конкретни разпоредби, за да адаптират прилагането на правилата на настоящия регламент по отношение на обработването, необходимо за спазването на параграф 1, букви в) и д), като установят по-конкретно специални изисквания за обработването и други мерки, за да се гарантира законосъобразно и добросъвестно обработване, включително за други особени случаи на обработване на данни, предвидени в глава IX.

3. Основанието за обработването, посочено в параграф 1, букви в) и д), е установено от:

a)	правото на Съюза или

б)	правото на държавата членка, което се прилага спрямо администратора.

Целта на обработването се определя в това правно основание или доколкото се отнася до обработването по параграф 1, буква д), то трябва да е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора. Това правно основание може да включва конкретни разпоредби за адаптиране на прилагането на разпоредбите на настоящия регламент, inter alia общите условия, които определят законосъобразността на обработването от администратора, видовете данни, които подлежат на обработване, съответните субекти на данни; образуванията, пред които могат да бъдат разкривани лични данни, и целите, за които се разкриват; ограниченията по отношение на целите на разкриването; периодът на съхранение и операциите и процедурите за обработване, включително мерки за гарантиране на законосъобразното и добросъвестно обработване, като тези за други конкретни случаи на обработване съгласно предвиденото в глава IX. Правото на Съюза или правото на държавата членка се съобразява с обществения интерес и е пропорционално на преследваната легитимна цел.

4. Когато обработването за други цели, различни от тези, за които първоначално са били събрани личните данни, не се извършва въз основа на съгласието на субекта на данните или на правото на Съюза или правото на държава членка, което представлява необходима и пропорционална мярка в едно демократично общество за гарантиране на целите по член 23, параграф 1, администраторът, за да се увери дали обработването за други цели е съвместимо с първоначалната цел, за която са били събрани личните данни, inter alia, взема под внимание:

a)	всяка връзка между целите, за които са били събрани личните данни, и целите на предвиденото по-нататъшно обработване;

б)	контекста, в който са били събрани личните данни, по-специално във връзка с отношенията между субекта на данните и администратора;

в)	естеството на личните данни, по-специално дали се обработват специални категории лични данни съгласно член 9 или се обработват лични данни, отнасящи се до присъди и нарушения, съгласно член 10;

г)	възможните последствия от предвиденото по-нататъшно обработване за субектите на данните;

д)	наличието на подходящи гаранции, които могат да включват криптиране или псевдонимизация.

Член 35

Оценка на въздействието върху защитата на данните

1. Когато съществува вероятност определен вид обработване, по-специално при което се използват нови технологии, и предвид естеството, обхвата, контекста и целите на обработването, да породи висок риск за правата и свободите на физическите лица, преди да бъде извършено обработването, администраторът извършва оценка на въздействието на предвидените операции по обработването върху защитата на личните данни. В една оценка може да бъде разгледан набор от сходни операции по обработване, които представляват сходни високи рискове.

2. При извършването на оценка на въздействието върху защитата на данните администраторът иска становището на длъжностното лице по защита на данните, когато такова е определено.

3. Оценката на въздействието върху защитата на данните, посочена в параграф 1, се изисква по-специално в случай че:

a)	систематична и подробна оценка на личните аспекти по отношение на физически лица, която се базира на автоматично обработване, включително. профилиране, и служи за основа на решения, които имат правни последици за физическото лице или по подобен начин сериозно засягат физическото лице;

б)	мащабно обработване на специални категории данни, посочени в член 9, параграф 1 или на лични данни за присъди и нарушения по член 10; или

в)	систематично мащабно наблюдение на публично достъпна зона.

4. Надзорният орган съставя и оповестява списък на видовете операции по обработване, за които се изисква оценка на въздействието върху защитата на данните съгласно параграф 1. Надзорният орган съобщава тези списъци на Комитета, посочен в член 68.

5. Надзорният орган може също да състави и оповести списък на видовете операции по обработване, за които не се изисква оценка на въздействието върху защитата на данните. Надзорният орган съобщава тези списъци на Комитета.

6. Преди приемането на списъците, посочени в параграфи 4 и 5, компетентният надзорен орган прилага посочения в член 63 механизъм за съгласуваност, ако тези списъци включват дейности за обработване, свързани с предлагането на стоки или услуги на субекти на данни или с наблюдението на тяхното поведение в няколко държави членки или могат съществено да засегнат свободното движение на лични данни в рамките на Съюза.

7. Оценката съдържа най-малко:

a)	системен опис на предвидените операции по обработване и целите на обработването, включително, ако е приложимо, преследвания от администратора законен интерес;

б)	оценка на необходимостта и пропорционалността на операциите по обработване по отношение на целите;

в)	оценка на рисковете за правата и свободите на субектите на данни, посочени в параграф 1; и

г)

мерките, предвидени за справяне с рисковете, включително гаранциите, мерките за сигурност и механизмите за осигуряване на защитата на личните данни и за демонстриране на спазването на настоящия регламент, като се вземат предвид правата и законните интереси на субектите на данни и на други заинтересовани лица.

8. При оценката на въздействието на операциите по обработване, извършвани от администраторите и обработващите лични данни, надлежно се отчита и спазването от тяхна страна на одобрените кодекси за поведение, посочени в член 340 особено за целите на оценката на въздействието върху защитата на данните.

9. Когато е целесъобразно, администраторът се обръща към субектите на данните или техните представители за становище относно планираното обработване, без да се засяга защитата на търговските или обществените интереси или сигурността на операциите по обработване.

10. Когато обработването съгласно член 6, параграф 1, буква в) или д) има правно основание в правото на Съюза или в правото на държавата членка, под чиято юрисдикция е администраторът, и това право регулира конкретната операция по обработване или набор от такива операции, и вече е извършена оценка на въздействието върху защитата на личните данни като част от общата оценка на въздействието в контекста на приемането на това правно основание, параграфи 1—7 не се прилагат, освен ако държавите членки не сметнат за необходимо да направят такава оценка преди започването на дейностите за обработване.

11. При необходимост администраторът прави преглед, за да прецени дали обработването е в съответствие с оценката на въздействието върху защитата на данни, най-малкото когато има промяна в риска, с който са свързани операциите по обработване.

Член 37

Определяне на длъжностното лице по защита на данните

1. Администраторът и обработващият лични данни определят длъжностно лице по защита на данните във всички случаи, когато:

a)	обработването се извършва от публичен орган или структура, освен когато става въпрос за съдилища при изпълнение на съдебните им функции;

б)	основните дейности на администратора или обработващия лични данни се състоят в операции по обработване, които поради своето естество, обхват и/или цели изискват редовно и систематично мащабно наблюдение на субектите на данни; или

в)	основните дейности на администратора или обработващия лични данни се състоят в мащабно обработване на специалните категории данни съгласно член 9 и на лични данни, свързани с присъди и нарушения, по член 10.

2. Група предприятия може да назначи едно длъжностно лице по защита на данните, при условие че от всяко предприятие има лесен достъп до длъжностно лице по защита на данните.

3. Когато администраторът или обработващият лични данни е обществен орган или структура, едно длъжностно лице по защита на данните може да бъде назначено за няколко такива органа или структури, като се отчита организационната им структура и размер.

4. В случаи, различни от посочените в параграф 1, администраторът или обработващият лични данни или сдружения и други структури, представляващи категории администратори или обработващи лични данни, могат да определят — или ако това се иска от правото на Съюза или право на държава членка определят — длъжностно лице по защита на данните. Длъжностното лице по защита на данните може да действа в полза на такива сдружения и други структури, представляващи администратори или обработващи лични данни.

5. Длъжностното лице по защита на данните се определя въз основа на неговите професионални качества, и по-специално въз основа на експертните му познания в областта на законодателството и практиките в областта на защитата на данните и способността му да изпълнява задачите, посочени в член 39.

6. Длъжностното лице по защита на данните може да бъде член на персонала на администратора или на обработващия лични данни или да изпълнява задачите въз основа на договор за услуги.

7. Администраторът или обработващият лични данни публикува данните за контакт с длъжностното лице по защита на данните и ги съобщава на надзорния орган.

Член 38

Длъжност на длъжностното лице по защита на данните

1. Администраторът и обработващият лични данни гарантират, че длъжностното лице по защита на данните участва по подходящ начин и своевременно във всички въпроси, свързани със защитата на личните данни.

2. Администраторът и обработващият лични данни подпомагат длъжностното лице по защита на данните при изпълнението на посочените в член 39 задачи, като осигуряват ресурсите, необходими за изпълнението на тези задачи, и достъп до личните данни и операциите по обработване, а така също поддържат неговите експертни знания.

3. Администраторът и обработващият лични данни правят необходимото длъжностното лице по защита на данните да не получава никакви указания във връзка с изпълнението на тези задачи. Длъжностното лице по защита на данните не може да бъде освобождавано от длъжност, нито санкционирано от администратора или обработващия лични данни за изпълнението на своите задачи. Длъжностното лице по защита на данните се отчита пряко пред най-висшето ръководно ниво на администратора или обработващия лични данни.

4. Субектите на данни могат да се обръщат към длъжностното лице по защита на данните по всички въпроси, свързани с обработването на техните лични данни и с упражняването на техните права съгласно настоящия регламент.

5. Длъжностното лице по защита на данните е длъжно да спазва секретността или поверителността на изпълняваните от него задачи в съответствие с правото на Съюза или правото на държава членка.

6. Длъжностното лице по защита на данните може да изпълнява и други задачи и задължения. Администраторът или обработващият лични данни прави необходимото тези задачи и задължения да не водят до конфликт на интереси.

Член 39

Задачи на длъжностното лице по защита на данните

1. Длъжностното лице по защита на данните изпълнява най-малко следните задачи:

a)	да информира и съветва администратора или обработващия лични данни и служителите, които извършват обработване, за техните задължения по силата на настоящия регламент и на други разпоредби за защитата на данни на равнище Съюз или държава членка;

б)

да наблюдава спазването на настоящия регламент и на други разпоредби за защитата на данни на равнище Съюз или държава членка и на политиките на администратора или обработващия лични данни по отношение на защитата на личните данни, включително възлагането на отговорности, повишаването на осведомеността и обучението на персонала, участващ в операциите по обработване, и съответните одити;

в)	при поискване да предоставя съвети по отношение на оценката на въздействието върху защитата на данните и да наблюдава извършването на оценката съгласно член 35;

г)	да си сътрудничи с надзорния орган;

д)	да действа като точка за контакт за надзорния орган по въпроси, свързани с обработването, включително предварителната консултация, посочена в член 36, и по целесъобразност да се консултира по всякакви други въпроси.

2. При изпълнението на своите задачи длъжностното лице по защита на данните надлежно отчита рисковете, свързани с операциите по обработване, и се съобразява с естеството, обхвата, контекста и целите на обработката.

Раздел 5

Кодекси за поведение и сертифициране

Член 42

Сертифициране

1. Държавите членки, надзорните органи, Комитетът по защита на данните и Комисията насърчават, особено на равнището на Съюза, създаването на механизми за сертифициране за защита на данните и на печати и маркировки за защита на данните с цел да се демонстрира спазването на настоящия регламент при операциите по обработване от страна на администраторите и обработващите лични данни. Отчитат се конкретните нужди на микропредприятията, на малките и средните предприятия.

2. Освен спазването на настоящия регламент от администратора или обработващия лични данни, към които се прилага настоящият регламент, може да се установяват механизми за сертифициране, печати или маркировки за защита на данните, одобрени съгласно параграф 5 от настоящия член, с цел да се демонстрира наличието на подходящи гаранции, осигурени от администраторите и обработващите лични данни, които не са обект на настоящия регламент съгласно член 3, в рамките на предаването на лични данни на трети държави или международни организации съгласно условията, посочени в член 46, параграф 2, буква е). Тези администратори или обработващи лични данни поемат задължителни ангажименти с изпълнителна сила, чрез договорни или други инструменти със задължителен характер, да прилагат тези подходящи гаранции, включително по отношение на правата на субектите на данни.

3. Сертифицирането е доброволно и е достъпно чрез процедура, която е прозрачна.

4. Сертифицирането по настоящия член не води до намаляване на отговорността на администратора или на обработващия лични данни за спазване на настоящия регламент и не засяга задачите и правомощията на надзорните органи, които са компетентни съгласно член 55 или член 56.

5. Сертифицирането по силата на настоящия член се издава от сертифициращите органи, посочени в член 43, или от компетентния надзорен орган, въз основа на критериите, одобрени от компетентния надзорен орган съгласно член 58, параграф 3, или, от Комитета съгласно член 63. Когато критериите са одобрени от Комитета, това може да доведе до единно сертифициране — „Европейски печат за защита на данните“.

6 Администраторът или обработващият лични данни, който подлага своето обработване на механизма за сертифициране, осигурява на сертифициращия орган, посочен в член 43, или ако е приложимо — на компетентния надзорен орган, цялата информация и достъп до своите дейности по обработване, които са необходими за извършване на процедурата по сертифициране.

7. Сертификатът се издава на администратора или обработващия лични данни за максимален срок от три години и може да бъде подновен при същите условия, ако съответните изисквания продължават да са спазени. Сертификатът се оттегля, ако е приложимо, от сертифициращите органи, посочени в член 43, или от компетентния надзорен орган, ако изискванията за сертифицирането не са спазени или вече не се спазват.

8. Комитетът обединява всички механизми за сертифициране и всички печати и маркировки за защита на данните в регистър и осигурява публичен достъп до тях по подходящ начин.

Член 57

Задачи

1. Без да се засягат останалите задачи, определени с настоящия регламент, на своята територия всеки надзорен орган:

a)	наблюдава и осигурява прилагането на настоящия регламент;

б)	насърчава обществената информираност и разбиране на рисковете, правилата, гаранциите и правата, свързани с обработването. Обръща се специално внимание на дейностите, специално насочени към децата;

в)	дава становища, в съответствие с правото на държавата членка, на националния парламент, правителството и други институции и органи относно законодателните и административните мерки, свързани със защитата на правата и свободите на физическите лица по отношение на обработването;

г)	насърчава информираността на администраторите и обработващите лични данни за задълженията им по силата на настоящия регламент;

д)	при поискване предоставя информация на всеки субект на данни във връзка с упражняването на правата му по силата на настоящия регламент и ако е необходимо, си сътрудничи за тази цел с надзорните органи в други държави членки;

е)

разглежда жалбите, подадени от субект на данни или от структура, организация или сдружение в съответствие с член 80, и разследва предмета на жалбата, доколкото това е целесъобразно, и информира жалбоподателя за напредъка и резултатите от разследването в разумен срок, особено ако е необходимо по-нататъшно разследване или координиране с друг надзорен орган;

ж)	сътрудничи си с други надзорни органи, включително чрез обмен на информация и взаимопомощ, с оглед осигуряване на съгласувано прилагане и изпълнение на настоящия регламент;

з)	извършва проучвания относно прилагането на настоящия регламент, включително въз основа на информация, получена от друг надзорен или публичен орган;

и)	наблюдава съответното развитие, по-специално в областта на информационните и комуникационни технологии и търговските практики, дотолкова доколкото то оказва влияние върху защитата на личните данни;

й)	приема стандартните договорни клаузи, посочени в член 28, параграф 8 и член 46, параграф 2, буква г);

к)	съставя и поддържа списък във връзка с изискването за оценка на въздействието върху защитата на данните съгласно член 35, параграф 4;

л)	дава становища по операциите за обработване на данни, посочени в член 36, параграф 2;

м)	насърчава съставянето на кодекси за поведение съгласно член 40 и предоставя становище и одобрява кодексите за поведение, които осигуряват достатъчно гаранции съгласно член 40, параграф 5;

н)	насърчава създаването на механизми за сертифициране за защита на данните и на печати и маркировки за защита на данните съгласно член 42, параграф 1, и одобрява критериите за сертифициране съгласно член 42, параграф 5;

о)	когато е приложимо, извършва периодичен преглед на сертификатите, издадени в съответствие с член 42, параграф 7;

п)	изготвя и публикува критериите за акредитация на органите за наблюдение на кодексите за поведение съгласно член 41 и на сертифициращите органи съгласно член 43;

р)	извършва акредитацията на органите за наблюдение на кодексите за поведение съгласно член 41 и на сертифициращите органи съгласно член 43;

с)	дава разрешение за договорните клаузи и разпоредбите, посочени в член 46, параграф 3;

т)	одобрява задължителните фирмени правила съгласно член 47;

у)	допринася за дейностите на Комитета;

ф)	поддържа вътрешен регистър на нарушенията на настоящия регламент, както и на предприетите мерки в съответствие с член 58, параграф 2; и

х)	изпълнява други задачи, свързани със защитата на лични данни.

2. Всеки надзорен орган улеснява подаването на жалбите, посочени в параграф 1, буква е), чрез мерки като например формуляр за подаване на жалби, който може да бъде попълнен и по електронен път, без да се изключват други средства за комуникация.

3. Изпълнението на задачите от страна на всеки надзорен орган е безплатно за субекта на данни и — когато това е приложимо — за длъжностното лице за защита на данните.

4. Когато исканията са очевидно неоснователни или прекомерни, по-специално поради своята повторяемост, надзорният орган може да наложи разумна такса, основана на административните разходи, или да откаже да предприеме действия по искането. Надзорният орган носи тежестта на доказване на очевидно неоснователния или прекомерния характер на искането.

Член 58

Правомощия

1. Всеки надзорен орган има всички от посочените по-долу правомощия за разследване:

a)	да разпорежда на администратора и на обработващия лични данни и, когато е приложимо — на представителя на администратора или на обработващия лични данни, да предоставят всяка информация, която той поиска за изпълнението на своите задачи;

б)	да провежда разследвания под формата на одити във връзка със защитата на данните;

в)	да извършва преглед на сертификатите, издадени в съответствие с член 42, параграф 7;

г)	да уведомява администратора или обработващия лични данни за предполагаемо нарушение на настоящия регламент;

д)	да получава от администратора и обработващия лични данни достъп до всички лични данни и до цялата информация, от която се нуждае за изпълнението на своите задачи;

е)	да получава достъп до всички помещения на администратора и обработващия лични данни, включително до всяко оборудване и средство за обработване на данни, в съответствие с правото на Съюза или процесуалното право на държавата членка.

2. Всеки надзорен орган има всички от посочените по-долу корективни правомощия:

a)	да отправя предупреждения до администратора или обработващия лични данни, когато има вероятност операции по обработване на данни, които те възнамеряват да извършат, да нарушат разпоредбите на настоящия регламент;

б)	да отправя официално предупреждение до администратора или обработващия лични данни, когато операции по обработване на данни са нарушили разпоредбите на настоящия регламент;

в)	да разпорежда на администратора или обработващия лични данни да изпълнят исканията на субекта на данни да упражнява правата си съгласно настоящия регламент;

г)	да разпорежда на администратора или обработващия лични данни да съобразят операциите по обработване на данни с разпоредбите на настоящия регламент и, ако е целесъобразно, това да стане по указан начин и в определен срок;

д)	да разпорежда на администратора да съобщава на субекта на данните за нарушение на сигурността на личните данни;

е)	да налага временно или окончателно ограничаване, в т.ч. забрана, на обработването на данни;

ж)	да разпорежда коригирането, или изтриването на лични данни или ограничаването на обработването им съгласно членове 16, 17 и 18, както и уведомяването за тези действия на получатели, пред които личните данни са били разкрити съгласно член 17, параграф 2 и член 19;

з)	да отнема сертификат или да разпорежда на сертифициращия орган да отнеме сертификат, издаден съгласно членове 42 и 43, или да разпорежда на сертифициращия орган да не издава сертификат, ако изискванията за сертифицирането не са спазени или вече не се спазват;

и)	да налага административно наказание „глоба“ или „имуществена санкция“ съгласно член 83, в допълнение към мерките, посочени в настоящия параграф, или вместо тях, в зависимост от особеностите на всеки отделен случай;

й)	да разпорежда преустановяването на потока на данни към получател в трета държава или към международна организация;

3. Всеки надзорен орган има всички от посочените по-долу правомощия да дава разрешения и становища:

a)	да дава становища на администратора в съответствие с процедурата по предварителна консултация, посочена в член 36;

б)	да издава по собствена инициатива или при поискване становища до националния парламент, правителството на държавата членка или, в съответствие с правото на държавата членка — до други институции и органи, както и до обществеността по всякакви въпроси, свързани със защитата на лични данни;

в)	да дава разрешение за обработването, посочено в член 36, параграф 5, ако съгласно правото на държавата членка се изисква такова предварително разрешение;

г)	да дава становища и да одобрява проекти на кодекси за поведение съгласно член 40, параграф 5;

д)	да акредитира сертифициращи органи съгласно член 43;

е)	да издава сертификати и да одобрява критериите за сертифициране в съответствие с член 42, параграф 5;

ж)	да приема стандартните клаузи за защита на данните, посочени в член 28, параграф 8 и в член 46, параграф 2, буква г);

з)	да дава разрешение за договорните клаузи, посочени в член 46, параграф 3, буква а);

и)	да дава разрешение за административните договорености, посочени в член 46, параграф 3, буква б);

й)	да одобрява задължителните фирмени правила съгласно член 47.

4. Упражняването на правомощията, предоставени на надзорния орган по силата на настоящия член, се осъществява при осигуряване на подходящи гаранции, в т.ч. ефективни съдебни средства за правна защита и справедлив съдебен процес, определени в правото на Съюза и правото на държава членка в съответствие с Хартата.

5. Всяка държава членка урежда със закон нейният надзорен орган да има правомощието да довежда нарушенията на настоящия регламент до знанието на съдебните органи и по целесъобразност да инициира или по друг начин да участва в съдебни производства, с цел осигуряване на изпълнението на настоящия регламент.

6. Всяка държава членка може да урежда със закон нейният надзорен орган да има допълнителни правомощия освен посочените в параграфи 1, 2 и 3. Упражняването на тези правомощия не нарушава ефективното действие на глава VII.

Член 60

Сътрудничество между водещия надзорен орган и другите засегнати надзорни органи

1. Водещият надзорен орган си сътрудничи с другите засегнати надзорни органи в съответствие с настоящия член и се стреми към постигането на консенсус. Водещият надзорен орган и засегнатите надзорни органи обменят всяка имаща отношение информация помежду си.

2. Водещият надзорен орган може да поиска по всяко време от другите засегнати надзорни органи да предоставят взаимопомощ съгласно член 61 и може да провежда съвместни операции съгласно член 62, по-специално за да извършва разследвания или да наблюдава изпълнението на мярка, засягаща администратор или обработващ лични данни, установен в друга държава членка.

3. Водещият надзорен орган незабавно предава информация за това на другите засегнати надзорни органи. Водещият надзорен орган незабавно представя на другите засегнати надзорни органи проект за решение, за да получи тяхното становище и да вземе надлежно предвид вижданията им.

4. Ако някой от другите засегнати надзорни органи изрази относимо и обосновано възражение срещу проекта за решение в срок от четири седмици, след като е било поискано мнението му в съответствие с параграф 3 от настоящия член, водещият надзорен орган, в случай че не приема относимото и обосновано възражение или счита, че това възражение не е относимо или обосновано, отнася въпроса до механизма за съгласуваност, посочен в член 63.

5. Ако водещият надзорен орган възнамерява да приеме направено относимо и обосновано възражение, той изпраща на другите засегнати надзорни органи преработен проект за решението, за да получи тяхното становище. За този преработен проект на решението се следва процедурата, посочена в параграф 4, за срок от две седмици.

6. Когато нито един от другите засегнати органи не е възразил срещу проекта на решение, представен от водещия надзорен орган в посочения в параграфи 4 и 5 срок, се счита, че водещият надзорен орган и засегнатите надзорни органи са съгласни с този проект на решение и са обвързани от него.

7. Водещият надзорен орган приема решението и уведомява за него основното място на установяване или единственото място на установяване на администратора или обработващия лични данни, според случая, и информира другите засегнати надзорни органи и Комитета за въпросното решение, като включва резюме на съответните факти и основания. Надзорният орган, до когото е била подадена жалбата, информира жалбоподателя за решението.

8. Чрез дерогация от параграф 7, когато дадена жалба е оставена без разглеждане или отхвърлена, надзорният орган, до който е била подадена жалбата, приема решението и уведомява жалбоподателя за него, като информира и администратора

9. Когато водещият надзорен орган и засегнатите надзорни органи постигнат съгласие определени части от жалбата да бъдат оставени без разглеждане или отхвърлени, а по други части от тази жалба да се предприемат действия, за всяка от тези части се приема отделно решение. Водещият надзорен орган приема решението относно частта, за която се предприемат действия във връзка с администратора, уведомява за него основното място на установяване или единственото място на установяване на администратора или обработващия лични данни на територията на неговата държава членка и информира жалбоподателя за това, а надзорният орган по жалбата приема решението относно частта, с която е свързано оставянето без разглеждане или отхвърлянето на тази жалба, уведомява за него жалбоподателя и информира за това администратора или обработващия лични данни.

10. След като е бил уведомен за решението на водещия надзорен орган съгласно параграфи 7 и 9, администраторът или обработващият лични данни взема необходимите мерки, за да осигури съответствие с решението по отношение на дейностите по обработването на всички места, на които е установен в Съюза. Администраторът или обработващият лични данни уведомява водещия надзорен орган за мерките, взети с цел осигуряване на съответствие с решението, а водещият орган информира другите засегнати надзорни органи.

11. Когато при изключителни обстоятелства засегнат надзорен орган има основания да счита, че са необходими спешни действия, за да се защитят интересите на субекти на данни, се прилага процедурата по спешност по член 66.

12. Водещият надзорен орган и другите засегнати надзорни органи си предават информацията, изисквана съгласно настоящия член, по електронен път, използвайки стандартизиран формат.

Член 62

Съвместни операции на надзорни органи

1. Когато е целесъобразно, надзорните органи провеждат съвместни операции, включително съвместни разследвания и съвместни мерки за изпълнение, в които участват членове или персонал на надзорни органи от други държави членки.

2. Когато администраторът или обработващият лични данни е установен в няколко държави членки или когато има вероятност от операции по обработване на данни да бъдат засегнати съществено значителен брой субекти на данни в повече от една държава членка, надзорният орган на всяка от тези държави членки има право да участва в съвместни операции. Надзорният орган, който е компетентен съгласно член 56, параграф 1 или параграф 4, кани надзорния орган на всяка от тези държави членки да участва в съответните съвместни операции и отговаря незабавно на искането на даден надзорен орган за участие.

3. В съответствие с правото на държавата членка и с разрешението на командироващия надзорен орган надзорният орган може да предостави правомощия, в това число правомощия за разследване, на членовете или персонала на командироващия надзорен орган, участващи в съвместни операции, или, доколкото правото на държавата членка на надзорния орган домакин позволява, да разреши на членовете или персонала на командироващия надзорен орган да упражняват своите правомощия за разследване в съответствие с правото на държавата членка на командироващия надзорен орган. Тези правомощия за разследване могат да се упражняват единствено под ръководството и в присъствието на членове или персонал на надзорния орган домакин. Спрямо членовете и персонала на командироващия надзорен орган се прилага правото на държавата членка на надзорния орган домакин.

4. Когато в съответствие с параграф 1 персонал на командироващ надзорен орган участва в операция в друга държава членка, държавата членка на надзорния орган домакин носи отговорност за действията на този персонал, включително отговорност за всякакви вреди, нанесени от него по време на операцията, в съответствие с правото на държавата членка, на чиято територия се провежда операцията.

5. Държавата членка, на чиято територия е нанесена вредата, поправя тази вреда при условията, приложими към вреди, нанесени от собствения ѝ персонал. Държавата членка на командироващия надзорен орган, чиито служители са причинили вреди на лице на територията на друга държава членка, възстановява изцяло сумите, които последната е изплатила от тяхно име на лицата, които са имали правото да ги получат.

6. Без да се засяга упражняването на правата ѝ по отношение на трети страни и с изключение на параграф 5, всяка държава членка се въздържа в случая, предвиден в параграф 1, да иска обезщетение от друга държава членка за вредите, посочени в параграф 4.

7. Когато се планира съвместна операция и в срок от един месец даден надзорен орган не изпълни задължението, предвидено във второто изречение на параграф 2 от настоящия член, другите надзорни органи могат да приемат временна мярка на територията на своята държава членка в съответствие с член 55. В този случай се счита, че са необходими спешни действия съгласно член 66, параграф 1, което изисква становище или спешно решение със задължителен характер от страна на Комитета в съответствие с член 66, параграф 2.

Раздел 2

Съгласуваност

Член 64

Становище на Комитета

1. Комитетът дава становище, когато компетентен надзорен орган възнамерява да приеме някоя от мерките, изброени по-долу. За тази цел компетентният надзорен орган предава проекта за решение на Комитета, когато то:

а)	има за цел приемане на списък на операциите по обработване, които подлежат на изискването за оценка на въздействието по отношение на защитата на лични данни в съответствие с член 35, параграф 4;

б)	се отнася до въпрос съгласно член 40, параграф 7 дали проект на кодекс на поведение, негово изменение или допълнение съответства на настоящия регламент;

в)	има за цел одобряване на критериите за акредитиране на орган съгласно член 41, параграф 3 или на орган по сертифициране съгласно член 43, параграф 3;

г)	има за цел определяне на стандартните клаузи за защита на данните, посочени в член 46, параграф 2, буква г) и в член 28, параграф 8;

д)	има за цел даване на разрешение за договорните клаузи, посочени в член 46, параграф 3, буква а); или

е)	има за цел одобряване на задължителни фирмени правила по смисъла на член 47.

2. Всеки надзорен орган, председателят на Комитета или Комисията може да поиска разглеждането на въпрос с общо приложение или с последици в повече от една държава членка от Комитета с цел получаване на становище, по-специално когато даден компетентен надзорен орган не изпълнява задълженията за взаимопомощ съгласно член 61 или за съвместни операции съгласно член 62.

3. В случаите, посочени в параграфи 1 и 2, Комитетът дава становище по отнесения до него въпрос, при условие че все още не е давал становище по същия въпрос. Това становище се приема в срок от осем седмици с обикновено мнозинство от членовете на Комитета. Този срок може да бъде удължен с още шест седмици с оглед на сложността на въпроса. По отношение на посочения в параграф 1 проект за решение, разпространен до членовете на Комитета в съответствие с параграф 5, за член, който не е представил възражение в посочения от председателя разумен срок, се счита, че е съгласен с проекта за решение.

4. Надзорните органи и Комисията предоставят без ненужно забавяне на Комитета, по електронен път и посредством стандартизиран формат, всяка информация, която е от значение, включително, според случая, обобщение на фактите, проекта за решение, основанията, които налагат приемането на такава мярка, и становищата на други засегнати надзорни органи.

5. Председателят на Комитета без ненужно забавяне информира по електронен път:

a)	членовете на Комитета и Комисията за всяка значима информация, която му е била съобщена, като използва стандартизиран формат. При необходимост секретариатът на Комитета предоставя писмен превод на съответната информация; и

б)	надзорния орган, посочен, според случая, в параграфи 1 и 2, и Комисията за становището и го оповестява публично.

6. Компетентният надзорен орган не приема проекта си за решение по параграф 1 в рамките на посочения в параграф 3 срок.

7. Надзорният орган, посочен в параграф 1, в най-голяма степен взема предвид становището на Комитета и в срок от две седмици след получаване на становището информира председателя на Комитета по електронен път дали ще запази или ще измени своя проект за решение и му представя изменения проект за решение, ако има такъв, като използва стандартизиран формат.

8. Когато засегнатият надзорен орган информира председателя на Комитета в посочения в параграф 7 от настоящия член срок, че възнамерява изцяло или отчасти да не се съобрази със становището на Комитета, като представи съответните основания, се прилага член 65, параграф 1.

Член 83

Общи условия за налагане на административни наказания „глоба“ или „имуществена санкция“

1. Всеки надзорен орган гарантира, че наложените административни наказания „глоба“ или „имуществена санкция“ в съответствие с настоящия член за извършени нарушения на настоящия регламент, посочени в параграфи 4, 5 и 6, във всеки конкретен случай са ефективни, пропорционални и възпиращи.

2. В зависимост от обстоятелствата във всеки конкретен случай административните наказания „глоба“ или „имуществена санкция“ се налагат в допълнение към мерките, посочени в член 58, параграф 2, букви а)—з) и й), или вместо тях. Когато се взема решение дали да бъде наложено административно наказание „глоба“ или „имуществена санкция“ и се определя нейният размер, във всеки конкретен случай надлежно се разглеждат следните елементи:

a)	естеството, тежестта и продължителността на нарушението, като се взема предвид естеството, обхватът или целта на съответното обработване, както и броят на засегнатите субекти на данни и степента на причинената им вреда;

б)	дали нарушението е извършено умишлено или по небрежност;

в)	действията, предприети от администратора или обработващия лични данни за смекчаване на последиците от вредите, претърпени от субектите на данни;

г)	степента на отговорност на администратора или обработващия лични данни като се вземат предвид технически и организационни мерки, въведени от тях в съответствие с членове 25 и 32;

д)	евентуални свързани предишни нарушения, извършени от администратора или обработващия лични данни;

е)	степента на сътрудничество с надзорния орган с цел отстраняване на нарушението и смекчаване на евентуалните неблагоприятни последици от него;

ж)	категориите лични данни, засегнати от нарушението;

з)	начина, по който нарушението е станало известно на надзорния орган, по-специално дали и до каква степен администраторът или обработващият лични данни е уведомил за нарушението;

и)	когато на засегнатия администратор или обработващ лични данни преди са налагани мерки, посочени в член 58, параграф 2, във връзка със същия предмет на обработването, дали посочените мерки са спазени;

й)	придържането към одобрени кодекси на поведение съгласно член 40 или одобрени механизми за сертифициране съгласно член 42; и

к)	всякакви други утежняващи или смекчаващи фактори, приложими към обстоятелствата по случая, като пряко или косвено реализирани финансови ползи или избегнати загуби вследствие на нарушението.

3. Ако администратор или обработващ лични данни умишлено или по небрежност наруши няколко разпоредби на настоящия регламент при една и съща операция по обработване или при свързани операции, общият размер на административната глоба или имуществената санкция не може да надвишава сумата, определена за най-тежкото нарушение.

4. Нарушенията на посочените по-долу разпоредби подлежат, в съответствие с параграф 2, на административно наказание „глоба“ или „имуществена санкция“ в размер до 10 000 000 EUR или, в случай на предприятие — до 2 % от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока:

a)	задълженията на администратора и обработващия лични данни съгласно членове 8, 11, 25—39 и 42 и 43;

б)	задълженията на сертифициращия орган съгласно членове 42 и 43;

в)	задълженията на органа за наблюдение съгласно член 41, параграф 4.

5. Нарушенията на посочените по-долу разпоредби подлежат, в съответствие с параграф 2, на административно наказание „глоба“ или „имуществена санкция“ в размер до 20 000 000 EUR или, в случай на предприятие — до 4 % от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока:

a)	основните принципи за обработване на лични данни, включително условията, свързани с даването на съгласие, в съответствие с членове 5, 6, 7 и 9;

б)	правата на субектите на данни съгласно членове 12—22;

в)	предаването на лични данни на получател в трета държава или международна организация съгласно членове 44—49;

г)	всички задължения, произтичащи от правото на държавите членки, приети съгласно глава IX;

д)	неспазване на разпореждане, или на временно или окончателно ограничаване във връзка с обработването или на наложено от надзорния орган преустановяване на потоците от данни съгласно член 58, параграф 2 или непредоставяне на достъп в нарушение на член 58, параграф 1.

6. Неспазването на разпореждане на надзорния орган, както е посочено в член 58, параграф 2, подлежи, в съответствие с параграф 2 от настоящия член, на административно наказание „глоба“ или „имуществена санкция“ в размер до 20 000 000 EUR или, в случай на предприятие — до 4 % от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока.

7. Без да се засягат корективните правомощия на надзорните органи съгласно член 58, параграф 2, всяка държава членка може да определя правила за това дали и до каква степен могат да бъдат налагани административни наказания „глоба“ или „имуществена санкция“ на публични органи и структури, установени в тази държава членка.

8. Упражняването от надзорния орган на правомощията му по настоящия член зависи от съответните процедурни гаранции в съответствие с правото на Съюза и правото на държавата членка, включително ефективна съдебна защита и справедлив съдебен процес.

9. Когато в правната система на държавата членка не са предвидени административни наказания „глоба“ или „имуществена санкция“, настоящият член може да се прилага по такъв начин, че глобата да се инициира от компетентния назорен орган и да се налага от компетентните национални съдилища, като в същото време се гарантира, че тези правни средства за защита са ефективни и имат ефект, равностоен на административните наказания „глоба“ или „имуществена санкция“, налагани от надзорните органи. Във всички случаи наложените глоби или имуществени санкции са ефективни, пропорционални и възпиращи. Посочените държави членки уведомяват Комисията за разпоредбите в правото си, които примат съгласно настоящия параграф, най-късно до 25 май 2018 г., и я уведомяват незабавно за всеки последващ закон за изменение или за всяко изменение, които ги засягат.

whereas

(20) Макар настоящият регламент да се прилага, inter alia, спрямо дейностите на съдилищата и други съдебни органи, в правото на Съюза или в правото на държава членка могат да се определят конкретно операциите и процедурите по обработване на лични данни от съдилищата и другите съдебни органи. Компетентността на надзорните органи не следва да обхваща обработването на лични данни, когато съдилищата действат при изпълнение на своите съдебни функции, за да се гарантира независимостта на съдебната власт при изпълнението на съдебните ѝ задължения, включително вземането на решения. Следва да е възможно да се повери надзорът на такива операции по обработване на данни на специални органи в рамките на съдебната система на държавата членка, които по-конкретно следва да осигурят спазването на правилата на настоящия регламент, да повишават осведомеността сред членовете на съдебното съсловие за техните задължения по силата на настоящия регламент и да се занимават с жалбите във връзка с такива операции по обработване на данни.

- = -

(43) За да се гарантира, че е дадено свободно, съгласието не следва да представлява валидно правно основание за обработването на лични данни в конкретна ситуация, когато е налице очевидна неравнопоставеност между субекта на данните и администратора, по-специално когато администраторът е публичен орган, поради което изглежда малко вероятно съгласието да е дадено свободно при всички обстоятелства на конкретната ситуация. Смята се, че съгласието не е дадено свободно, ако не се предоставя възможност да бъде дадено отделно съгласие за различните операции по обработване на лични данни, макар и да е подходящо в конкретния случай, или ако изпълнението на даден договор, включително предоставянето на услуга, се поставя в зависимост от даването на съгласие, въпреки че това съгласие не е необходимо за изпълнението.

- = -

(45) Когато обработването се извършва в съответствие с правно задължение, наложено на администратора на лични данни, или когато обработването е необходимо за изпълнението на задача от обществен интерес или при упражняване на официални правомощия, за обработването следва да има основание в правото на Съюза или в правото на държава членка. Настоящият регламент не изисква за всяко отделно обработване конкретен законодателен акт. Може да е достатъчен законодателен акт като основание за няколко операции по обработване на данни, основаващи се на правно задължение, наложено на администратора на лични данни, или когато обработването е необходимо за изпълнението на задача от обществен интерес или при упражняване на официални правомощия. Правото на Съюза или на държава членка следва да определя също и целта на обработването. Нещо повече, в това право биха могли да се посочат общите условия на настоящия регламент, които определят законосъобразността на обработването на лични данни, да се установяват спецификациите за определянето на администратора на лични данни, видът данни, които подлежат на обработване, съответните субекти на лични данни, образуванията, пред които могат да бъдат разкривани лични данни, ограниченията по отношение на целите, периодът на съхранение и други мерки за гарантиране на законосъобразното и добросъвестно обработване. Също така в правото на Съюза или на държава членка следва да се определи дали администраторът на лични данни, изпълняващ задача от обществен интерес или упражняващ официални правомощия, следва да бъде публичен орган или друго физическо или юридическо лице, субект на публичното право или когато това е оправдано поради съображения от обществен интерес, включително за здравни цели, като например общественото здраве и социалната закрила и управлението на здравните служби субект на частното право, като например професионално сдружение.

- = -

(50) Обработването на лични данни за цели, различни от тези, за които първоначално са събрани личните данни, следва да бъде разрешено единствено когато обработването е съвместимо с целите, за които първоначално са събрани личните данни. В такъв случай не се изисква отделно правно основание, различно от това, с което е било разрешено събирането на личните данни. Ако обработването е необходимо за изпълнението на задача от обществен интерес или свързана с упражняването на официални правомощия, които са предоставени на администратора на лични данни, в правото на Съюза или в правото на държава членка могат да бъдат определени и уточнени задачите и целите, за които по-нататъшното обработване следва да се счита за съвместимо и законосъобразно. По-нататъшното обработване за целите на архивирането в обществен интерес,за целите на научни или исторически изследвания, или за статистически цели следва да се разглежда като съвместими законосъобразни операции по обработване. Правното основание, предвидено от правото на Съюза или правото на държава членка за обработване на лични данни, може да предостави и правно основание за по-нататъшно обработване. За да установи дали дадена цел на по-нататъшно обработване е съвместима с целта, за която първоначално са събрани личните данни, администраторът на лични данни, след като е спазил всички изисквания относно законосъобразността на първоначалното обработване, следва да отчете, inter alia,, всички връзки между тези цели и целите на предвиденото по-нататъшно обработване, в какъв контекст са събрани личните данни, по-специално основателните очаквания на субектите на данните въз основа на техните взаимоотношения с администратора по отношение на по-нататъшно използване на личните данни, естеството им, последствията от предвиденото по-нататъшно обработване на данни за субектите на данни и наличието на подходящи гаранции при операциите по първоначалното и предвиденото по-нататъшно обработване.

- = -

(63) Всяко физическо лице следва да има право на достъп до събраните лични данни, които го засягат, и да упражнява това право лесно и на разумни интервали, за да бъде осведомено за обработването и да провери законосъобразността му. Това включва правото на субектите на данни на достъп до данните за здравословното им състояние, например данните в медицинските им досиета, които съдържат информация като диагнози, резултати от прегледи, становища на лекуващите лекари и проведени лечения или извършени операции. Поради това всеки субект на данни следва да има правото да е запознат и да получава информация, по-специално относно целите, за които се обработват личните данни, когато е възможно — срока, за който се обработват личните данни, получателите на личните данни,логиката на автоматизираното обработване на личните данни и последствията от такова обработване, най-малкото когато се извършва на основата на профилиране. Когато е възможно, администраторът следва да може да предоставя достъп от разстояние до сигурна система, която да предоставя на субекта на данните пряк достъп до неговите лични данни. Това право не следва да влияе неблагоприятно върху правата или свободите на други лица, включително върху търговската тайна или интелектуалната собственост, и по-специално върху авторското право за защита на софтуера. Тези съображения обаче не следва да представляват отказ за предоставяне на цялата информация на съответния субект на данни. Когато администраторът обработва голямо количество информация относно субекта на данни, администраторът следва да може да поиска от субекта на данните, преди да бъде предадена информацията, да посочи точно информацията или дейностите по обработването, за които се отнася искането.

- = -

(67) Методите за ограничаване на обработването на лични данни биха могли да включват, inter alia, временно преместване на избраните лични данни в друга система за обработване, прекратяване на достъпа на ползвателите до тях, или временно премахване на публикуваните данни от уебсайт. В автоматизираните регистри на лични данни ограничаването на обработването следва по принцип да бъде осигурено с технически средства, така че личните данни да не подлежат на операции по по-нататъшно обработване и да не могат да се променят. Фактът, че обработването на лични данни е ограничено, следва да бъде ясно посочен в системата.

- = -

(77) Насоки за прилагането на подходящи мерки и за доказване на съответствие от страна на администратора или обработващия лични данни, особено по отношение на идентифицирането на риска, свързан с обработването, оценката по отношение на произход, естество, вероятност и тежест и определянето на добри практики за ограничаване на риска, биха могли да се предоставят по-специално чрез одобрени кодекси на поведение, одобрени механизми за сертифициране, насоки на Комитета или чрез указания, предоставени от длъжностното лице за защита на данните. Комитетът може също да издава насоки относно операции по обработване, за които се счита, че е малко вероятно да доведат до висок риск за правата и свободите на физическите лица, и да даде указания какви мерки могат да бъдат достатъчни в такива случаи за преодоляването на такъв риск.

- = -

(82) За да докаже спазването на настоящия регламент, администраторът или обработващият данни следва да поддържа документация за дейностите по обработване, за които той е отговорен. Всеки администратор и обработващ лични данни следва да е длъжен да си сътрудничи с надзорния орган и да му осигури достъп до тази документация при поискване, за да може да бъде използвана за наблюдение на тези операции по обработване.

- = -

(84) За да се подобри спазването на настоящия регламент, когато има вероятност операциите по обработването да доведат до висок риск за правата и свободите на физическите лица, администраторът следва да отговаря за изготвянето на оценка на въздействието върху защитата на личните данни, за да се оценят по-специално произходът, естеството, спецификата и степента на този риск. Резултатите от оценката следва да бъдат взети предвид, когато се определят съответните мерки, за да се докаже, че обработването на лични данни отговаря на изискванията на настоящия регламент. Когато в оценка на въздействието върху защитата на личните данни е указано, че операциите по обработването водят до висок риск, който администраторът не може да ограничи с подходящи мерки от гледна точка на налични технологии и разходи за прилагане, преди обработването следва да се осъществи консултация с надзорния орган.

- = -

(89) В Директива 95/46/ЕО се предвижда общо задължение за уведомяване на надзорните органи относно обработването на лични данни. Това задължение създава административна и финансова тежест и невинаги е допринасяло за подобряването на защитата на личните данни. Ето защо такива неправещи разграничения общи задължения за уведомяване следва да бъдат премахнати и заменени с ефективни процедури и механизми, които да са насочени към онези видове операции по обработване, които има вероятност да доведат до висок риск за правата и свободите на физическите лица поради своето естество, обхват, контекст и цели. Такива могат да бъдат операциите по обработване, които по-конкретно включват използването на нови технологии или представляват нов вид технологии и при които преди това от администратора не е извършвана оценка на въздействието върху защитата на данните или които стават необходими предвид времето, изминало от първоначалното обработване.

- = -

(91) Това следва да се прилага по-специално за широкомащабни операции по обработване, чиято цел е обработване на значителен обем лични данни на регионално, национално и наднационално равнище, които биха могли да засегнат голям брой субекти на данни и които е вероятно да доведат до висок риск, например поради чувствителното си естество, когато в съответствие с постигнатото ниво на технически познания се използва нова технология в голям мащаб, както и за други операции по обработване, които пораждат висок риск за правата и свободите на субектите на данни, по-специално когато тези операции затрудняват субектите на данни да упражняват правата си. Оценка на въздействието върху защитата на данни следва да се извършва и когато личните данни се обработват с цел вземане на решения относно конкретни физически лица след систематична и обстойна оценка на личните аспекти, свързани с физически лица, въз основа на профилирането на тези данни или след обработването на специални категории лични данни, биометрични данни или данни за присъди и нарушения или свързани с това мерки за сигурност. Оценка на въздействието върху защитата на данните се изисква също за широкомащабно наблюдение на публично достъпни зони, особено когато се използват оптичноелектронни уреди, или за всякакви други операции, когато компетентният надзорен орган счита, че има вероятност обработването да доведе до висок риск за правата и свободите на субектите на данни, по-специално поради това, че възпрепятстват субектите на данни да упражняват дадено право или да използват някоя услуга или договор, или поради това, че се извършват систематично в голям мащаб. Обработването на лични данни не следва да се счита за широкомащабно, ако засяга лични данни на пациенти или клиенти на отделен лекар, друг здравен работник или адвокат. В такива случаи оценката на въздействието върху защитата на данните не следва да бъде задължителна.

- = -

(93) В контекста на приемането на право на държава членка, на чието основание съответният публичният орган или структура изпълнява своите задачи и които уреждат въпросната конкретна операция или набор от операции по обработване на данни, държавите членки могат да сметнат за необходимо да извършат такива оценки преди започване на дейностите по обработването.

- = -

(94) Когато в оценката на въздействието върху защитата на данните е указано, че при липса на гаранции, мерки за сигурност и механизми за ограничаване на риска обработването би довело до висок риск за правата и свободите на физическите лица, и администраторът счита, че рискът не може да бъде ограничен с разумни средства от гледна точка на наличните технологии и разходи за прилагане, преди началото на дейностите по обработването следва да се осъществи консултация с надзорния орган. Има вероятност такъв висок риск да бъде породен от определени видове обработване и от степента и честотата на обработване, които могат да доведат и до нанасяне на вреди или до възпрепятстване на упражняването на правата и свободите на физическото лице. Надзорният орган следва да отговори на искането за консултация в рамките на определен срок. Въпреки това отсъствието на отговор от надзорния орган в рамките на този срок не следва да препятства евентуалната намеса на надзорния орган в съответствие със задълженията и правомощията му, установени в настоящия регламент, включително правомощието да забранява операции по обработване. Като част от този процес на консултации, на надзорния орган може да се представи резултатът от оценка на въздействието върху защитата на данните, извършена във връзка с въпросното обработване, и по-конкретно мерките, предвидени за ограничаване на възможните рискове за правата и свободите на физическите лица.

- = -

(97) Когато обработването на данни се извършва от публичен орган, с изключение на съдилища или съдебни органи, които действат в изпълнение на съдебните си функции, когато в частния сектор обработването се извършва от администратор, чиито основни дейности се състоят от операции по обработване, които изискват редовно и систематично мащабно наблюдение на субектите на данни, или когато основните дейности на администратора или на обработващия лични данни се състоят в мащабно обработване на специални категории лични данни и данни относно присъди и нарушения, администраторът или обработващият лични данни следва да бъде подпомаган при наблюдението на вътрешното спазване на настоящия регламент от лице с експертни познания в областта на правото и практиките за защита на данните. В частния сектор основните дейности на администратора се отнасят до неговите първични дейности, а не до обработването на лични данни като вторични дейности. Необходимото ниво на експертни познания следва да се определя по-специално в съответствие с извършваните операции по обработване на данни и защитата, която е необходима за личните данни, обработвани от администратора или обработващия лични данни. Тези служители по защита на данните, независимо от това дали са служители на администратора, следва да бъдат в състояние да изпълняват своите задължения и задачи независимо.

- = -

(113) Предаване на данни, което може да се окачестви като неповтарящо се и засягащо само ограничен брой субекти на данни, също може да бъде възможно за целите на неоспоримите законни интереси на администратора, когато пред тези интереси нямат преимущество интересите или правата и свободите на субекта на данни и когато администраторът е оценил всички обстоятелства около предаването на данните. Администраторът следва да обръща специално внимание на естеството на личните данни, целта и продължителността на предлаганата операция или операции по обработването им, както и на положението в държавата на произход, третата държава и държавата на крайното местоназначение на данните и следва да осигури подходящи гаранции за защита на основните права и свободи на физическите лица при обработването на техните лични данни. Такова предаване на данни следва да бъде възможно само в остатъчни случаи, при които не е приложимо нито едно от останалите основания за предаване. За целите на научни или исторически изследвания или за статистически цели следва да се вземат предвид основателните очаквания на обществото за повишаване на познанието. Администраторът следва да уведомява надзорния орган и субекта на данните за предаването на данни.

- = -

(134) Всеки надзорен орган следва да участва в съвместни операции с други надзорни органи, когато е целесъобразно. Надзорният орган, до който е отправено искането, следва да е длъжен да отговори в определен срок на искането.

- = -

(135) За да се гарантира последователното прилагане на настоящия регламент навсякъде в Съюза, следва да се създаде механизъм за съгласуваност за осъществяване на сътрудничество между надзорните органи. Този механизъм следва по-специално да се прилага, когато даден надзорен орган възнамерява да приеме мярка, целяща да породи правни последици по отношение на операции по обработване на данни, които засягат съществено значителен брой субекти на данни в няколко държави членки. Той следва да се прилага също, когато засегнатият надзорен орган или Комисията поиска този въпрос да бъде разгледан чрез механизма за съгласуваност. Този механизъм следва да действа, без да се засягат мерките, които Комисията може да предприеме в изпълнение на своите правомощия съгласно Договорите.

- = -

(138) Прилагането на такъв механизъм следва да бъде условие за законосъобразността на мярка, целяща да породи правни последици, издадена от надзорния орган в случаите, когато прилагането му е задължително. В други случаи с трансгранично значение следва да се прилага механизмът за сътрудничество между водещия надзорен орган и засегнатите надзорни органи и могат да се осъществяват взаимопомощ и съвместни операции между засегнатите надзорни органи на двустранна или многостранна основа, без да се задейства механизмът за съгласуваност.

- = -

dal 2004 diritto e informatica