interactive GDPR 2016/0679 BG

1. Администраторът предприема необходимите мерки за предоставяне на всякаква информация по членове 13 и 14 и на всякаква комуникация по членове 15—22 и член 34, която се отнася до обработването, на субекта на данните в кратка, прозрачна, разбираема и лесно достъпна форма, на ясен и прост език, особено що се отнася до всяка информация, конкретно насочена към деца. Информацията се предоставя писмено или по друг начин, включително, когато е целесъобразно, с електронни средства. Ако субектът на данните е поискал това, информацията може да бъде дадена устно, при положение че идентичността на субекта на данните е доказана с други средства.

2. Администраторът съдейства за упражняването на правата на субекта на данните по членове 15—22. В случаите, посочени в член 11, параграф 2, администраторът не отказва да предприеме действия по искане на субекта на данните за упражняване на правата му по членове 15—22, освен ако докаже, че не е в състояние да идентифицира субекта на данните.

3. Администраторът предоставя на субекта на данни информация относно действията, предприети във връзка с искане по членове 15—22, без ненужно забавяне и във всички случаи в срок от един месец от получаване на искането. При необходимост този срок може да бъде удължен с още два месеца, като се взема предвид сложността и броя на исканията. Администраторът информира субекта на данните за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето. Когато субектът на данни подава искане с електронни средства, по възможност информацията се предоставя с електронни средства, освен ако субектът на данни не е поискал друго.

4. Ако администраторът не предприеме действия по искането на субекта на данни, администраторът уведомява субекта на данни без забавяне и най-късно в срок от един месец от получаване на искането за причините да не предприеме действия и за възможността за подаване на жалба до надзорен орган и търсене на защита по съдебен ред.

5. Информацията по членове 13 и 14 и всяка комуникация и действия по членове 15—22 и член 34 се предоставят безплатно. Когато исканията на субект на данни са явно неоснователни или прекомерни, по-специално поради своята повторяемост, администраторът може или:

а)	да наложи разумна такса, като взема предвид административните разходи за предоставяне на информацията или комуникацията или предприемането на исканите действия, или

б)	да откаже да предприеме действия по искането.

Администраторът носи тежестта на доказване на явно неоснователния или прекомерен характер на искането.

6. Без да се засягат разпоредбите на член 11, когато администраторът има основателни опасения във връзка със самоличността на физическото лице, което подава искане по членове 15—21, администраторът може да поиска предоставянето на допълнителна информация, необходима за потвърждаване на самоличността на субекта на данните.

7. Информацията, която трябва да се предостави на субектите на данни съгласно членове 13 и 14, може да бъде предоставена в комбинация със стандартизирани икони, чрез което по лесно видим, разбираем и ясно четим начин да се представи смислен преглед на планираното обработване. Ако иконите се представят в електронен вид, те трябва да бъдат машинночитаеми.

8. На Комисията се предоставя правомощието да приема делегирани актове в съответствие с член 92 с цел определяне на информацията, която да бъде представена под формата на икони, и на процедурите за предоставяне на стандартизирани икони.

Раздел 2

Информация и достъп до лични данни

Член 35

Оценка на въздействието върху защитата на данните

1. Когато съществува вероятност определен вид обработване, по-специално при което се използват нови технологии, и предвид естеството, обхвата, контекста и целите на обработването, да породи висок риск за правата и свободите на физическите лица, преди да бъде извършено обработването, администраторът извършва оценка на въздействието на предвидените операции по обработването върху защитата на личните данни. В една оценка може да бъде разгледан набор от сходни операции по обработване, които представляват сходни високи рискове.

2. При извършването на оценка на въздействието върху защитата на данните администраторът иска становището на длъжностното лице по защита на данните, когато такова е определено.

3. Оценката на въздействието върху защитата на данните, посочена в параграф 1, се изисква по-специално в случай че:

a)	систематична и подробна оценка на личните аспекти по отношение на физически лица, която се базира на автоматично обработване, включително. профилиране, и служи за основа на решения, които имат правни последици за физическото лице или по подобен начин сериозно засягат физическото лице;

б)	мащабно обработване на специални категории данни, посочени в член 9, параграф 1 или на лични данни за присъди и нарушения по член 10; или

в)	систематично мащабно наблюдение на публично достъпна зона.

4. Надзорният орган съставя и оповестява списък на видовете операции по обработване, за които се изисква оценка на въздействието върху защитата на данните съгласно параграф 1. Надзорният орган съобщава тези списъци на Комитета, посочен в член 68.

5. Надзорният орган може също да състави и оповести списък на видовете операции по обработване, за които не се изисква оценка на въздействието върху защитата на данните. Надзорният орган съобщава тези списъци на Комитета.

6. Преди приемането на списъците, посочени в параграфи 4 и 5, компетентният надзорен орган прилага посочения в член 63 механизъм за съгласуваност, ако тези списъци включват дейности за обработване, свързани с предлагането на стоки или услуги на субекти на данни или с наблюдението на тяхното поведение в няколко държави членки или могат съществено да засегнат свободното движение на лични данни в рамките на Съюза.

7. Оценката съдържа най-малко:

a)	системен опис на предвидените операции по обработване и целите на обработването, включително, ако е приложимо, преследвания от администратора законен интерес;

б)	оценка на необходимостта и пропорционалността на операциите по обработване по отношение на целите;

в)	оценка на рисковете за правата и свободите на субектите на данни, посочени в параграф 1; и

г)

мерките, предвидени за справяне с рисковете, включително гаранциите, мерките за сигурност и механизмите за осигуряване на защитата на личните данни и за демонстриране на спазването на настоящия регламент, като се вземат предвид правата и законните интереси на субектите на данни и на други заинтересовани лица.

8. При оценката на въздействието на операциите по обработване, извършвани от администраторите и обработващите лични данни, надлежно се отчита и спазването от тяхна страна на одобрените кодекси за поведение, посочени в член 340 особено за целите на оценката на въздействието върху защитата на данните.

9. Когато е целесъобразно, администраторът се обръща към субектите на данните или техните представители за становище относно планираното обработване, без да се засяга защитата на търговските или обществените интереси или сигурността на операциите по обработване.

10. Когато обработването съгласно член 6, параграф 1, буква в) или д) има правно основание в правото на Съюза или в правото на държавата членка, под чиято юрисдикция е администраторът, и това право регулира конкретната операция по обработване или набор от такива операции, и вече е извършена оценка на въздействието върху защитата на личните данни като част от общата оценка на въздействието в контекста на приемането на това правно основание, параграфи 1—7 не се прилагат, освен ако държавите членки не сметнат за необходимо да направят такава оценка преди започването на дейностите за обработване.

11. При необходимост администраторът прави преглед, за да прецени дали обработването е в съответствие с оценката на въздействието върху защитата на данни, най-малкото когато има промяна в риска, с който са свързани операциите по обработване.

Член 36

Предварителна консултация

1. Администраторът се консултира с надзорния орган преди обработването, когато оценката на въздействието върху защитата на данните съгласно член 35 покаже, че обработването ще породи висок риск, ако администраторът не предприеме мерки за ограничаване на риска.

2. Когато надзорният орган е на мнение, че планираното обработване, посочено в параграф 1, нарушава настоящия регламент, особено когато администраторът не е идентифицирал или ограничил риска в достатъчна степен, надзорният орган в срок до осем седмици след получаване на искането за консултация дава писмено становище на администратора или на обработващия лични данни, когато е приложимо, като може да използва всяко от правомощията си, посочени в член 58. Този срок може да бъде удължен с още шест седмици предвид сложността на планираното обработване. Надзорният орган информира администратора и, когато е приложимо, обработващия лични данни за такова удължаване в срок от един месец от получаване на искането за консултация, включително за причините за забавянето. Тези срокове може да спрат да текат, докато надзорният орган получи всяка евентуално поискана от него информация за целите на консултацията.

3. Когато се консултира с надзорния орган съгласно параграф 1, администраторът предоставя на надзорния орган следната информация:

a)	където е приложимо — информация за съответните отговорности на администратора, съвместните администратори и обработващите лични данни, които се занимават с обработването, по-конкретно при обработване на данни в рамките на група предприятия;

б)	целите на планираното обработване и средствата за него;

в)	предвидените мерки и гаранции за защита на правата и свободите на субектите на данни съгласно настоящия регламент;

г)	където е приложимо, координатите за връзка на длъжностното лице по защита на данните;

д)	оценката на въздействието върху защитата на данните по член 35; както и

е)	всякаква друга информация, поискана от надзорния орган.

4. Държавите членки се консултират с надзорния орган по време на изготвянето на предложения за законодателни мерки, които да бъдат приети от националните парламенти, или на регулаторни мерки, основани на такива законодателни мерки, които се отнасят до обработването.

5. Без да се засяга параграф 1, правото на държавите членки може да изисква от администраторите да се консултират с надзорния орган и да получават предварително разрешение от него във връзка с обработването от администратор за изпълнението на задача, осъществявана от администратора в полза на обществения интерес, включително обработване във връзка със социалната закрила и общественото здраве.

Раздел 4

Длъжностно лице по защита на данните

Член 42

Сертифициране

1. Държавите членки, надзорните органи, Комитетът по защита на данните и Комисията насърчават, особено на равнището на Съюза, създаването на механизми за сертифициране за защита на данните и на печати и маркировки за защита на данните с цел да се демонстрира спазването на настоящия регламент при операциите по обработване от страна на администраторите и обработващите лични данни. Отчитат се конкретните нужди на микропредприятията, на малките и средните предприятия.

2. Освен спазването на настоящия регламент от администратора или обработващия лични данни, към които се прилага настоящият регламент, може да се установяват механизми за сертифициране, печати или маркировки за защита на данните, одобрени съгласно параграф 5 от настоящия член, с цел да се демонстрира наличието на подходящи гаранции, осигурени от администраторите и обработващите лични данни, които не са обект на настоящия регламент съгласно член 3, в рамките на предаването на лични данни на трети държави или международни организации съгласно условията, посочени в член 46, параграф 2, буква е). Тези администратори или обработващи лични данни поемат задължителни ангажименти с изпълнителна сила, чрез договорни или други инструменти със задължителен характер, да прилагат тези подходящи гаранции, включително по отношение на правата на субектите на данни.

3. Сертифицирането е доброволно и е достъпно чрез процедура, която е прозрачна.

4. Сертифицирането по настоящия член не води до намаляване на отговорността на администратора или на обработващия лични данни за спазване на настоящия регламент и не засяга задачите и правомощията на надзорните органи, които са компетентни съгласно член 55 или член 56.

5. Сертифицирането по силата на настоящия член се издава от сертифициращите органи, посочени в член 43, или от компетентния надзорен орган, въз основа на критериите, одобрени от компетентния надзорен орган съгласно член 58, параграф 3, или, от Комитета съгласно член 63. Когато критериите са одобрени от Комитета, това може да доведе до единно сертифициране — „Европейски печат за защита на данните“.

6 Администраторът или обработващият лични данни, който подлага своето обработване на механизма за сертифициране, осигурява на сертифициращия орган, посочен в член 43, или ако е приложимо — на компетентния надзорен орган, цялата информация и достъп до своите дейности по обработване, които са необходими за извършване на процедурата по сертифициране.

7. Сертификатът се издава на администратора или обработващия лични данни за максимален срок от три години и може да бъде подновен при същите условия, ако съответните изисквания продължават да са спазени. Сертификатът се оттегля, ако е приложимо, от сертифициращите органи, посочени в член 43, или от компетентния надзорен орган, ако изискванията за сертифицирането не са спазени или вече не се спазват.

8. Комитетът обединява всички механизми за сертифициране и всички печати и маркировки за защита на данните в регистър и осигурява публичен достъп до тях по подходящ начин.

Член 57

Задачи

1. Без да се засягат останалите задачи, определени с настоящия регламент, на своята територия всеки надзорен орган:

a)	наблюдава и осигурява прилагането на настоящия регламент;

б)	насърчава обществената информираност и разбиране на рисковете, правилата, гаранциите и правата, свързани с обработването. Обръща се специално внимание на дейностите, специално насочени към децата;

в)	дава становища, в съответствие с правото на държавата членка, на националния парламент, правителството и други институции и органи относно законодателните и административните мерки, свързани със защитата на правата и свободите на физическите лица по отношение на обработването;

г)	насърчава информираността на администраторите и обработващите лични данни за задълженията им по силата на настоящия регламент;

д)	при поискване предоставя информация на всеки субект на данни във връзка с упражняването на правата му по силата на настоящия регламент и ако е необходимо, си сътрудничи за тази цел с надзорните органи в други държави членки;

е)

разглежда жалбите, подадени от субект на данни или от структура, организация или сдружение в съответствие с член 80, и разследва предмета на жалбата, доколкото това е целесъобразно, и информира жалбоподателя за напредъка и резултатите от разследването в разумен срок, особено ако е необходимо по-нататъшно разследване или координиране с друг надзорен орган;

ж)	сътрудничи си с други надзорни органи, включително чрез обмен на информация и взаимопомощ, с оглед осигуряване на съгласувано прилагане и изпълнение на настоящия регламент;

з)	извършва проучвания относно прилагането на настоящия регламент, включително въз основа на информация, получена от друг надзорен или публичен орган;

и)	наблюдава съответното развитие, по-специално в областта на информационните и комуникационни технологии и търговските практики, дотолкова доколкото то оказва влияние върху защитата на личните данни;

й)	приема стандартните договорни клаузи, посочени в член 28, параграф 8 и член 46, параграф 2, буква г);

к)	съставя и поддържа списък във връзка с изискването за оценка на въздействието върху защитата на данните съгласно член 35, параграф 4;

л)	дава становища по операциите за обработване на данни, посочени в член 36, параграф 2;

м)	насърчава съставянето на кодекси за поведение съгласно член 40 и предоставя становище и одобрява кодексите за поведение, които осигуряват достатъчно гаранции съгласно член 40, параграф 5;

н)	насърчава създаването на механизми за сертифициране за защита на данните и на печати и маркировки за защита на данните съгласно член 42, параграф 1, и одобрява критериите за сертифициране съгласно член 42, параграф 5;

о)	когато е приложимо, извършва периодичен преглед на сертификатите, издадени в съответствие с член 42, параграф 7;

п)	изготвя и публикува критериите за акредитация на органите за наблюдение на кодексите за поведение съгласно член 41 и на сертифициращите органи съгласно член 43;

р)	извършва акредитацията на органите за наблюдение на кодексите за поведение съгласно член 41 и на сертифициращите органи съгласно член 43;

с)	дава разрешение за договорните клаузи и разпоредбите, посочени в член 46, параграф 3;

т)	одобрява задължителните фирмени правила съгласно член 47;

у)	допринася за дейностите на Комитета;

ф)	поддържа вътрешен регистър на нарушенията на настоящия регламент, както и на предприетите мерки в съответствие с член 58, параграф 2; и

х)	изпълнява други задачи, свързани със защитата на лични данни.

2. Всеки надзорен орган улеснява подаването на жалбите, посочени в параграф 1, буква е), чрез мерки като например формуляр за подаване на жалби, който може да бъде попълнен и по електронен път, без да се изключват други средства за комуникация.

3. Изпълнението на задачите от страна на всеки надзорен орган е безплатно за субекта на данни и — когато това е приложимо — за длъжностното лице за защита на данните.

4. Когато исканията са очевидно неоснователни или прекомерни, по-специално поради своята повторяемост, надзорният орган може да наложи разумна такса, основана на административните разходи, или да откаже да предприеме действия по искането. Надзорният орган носи тежестта на доказване на очевидно неоснователния или прекомерния характер на искането.

Член 58

Правомощия

1. Всеки надзорен орган има всички от посочените по-долу правомощия за разследване:

a)	да разпорежда на администратора и на обработващия лични данни и, когато е приложимо — на представителя на администратора или на обработващия лични данни, да предоставят всяка информация, която той поиска за изпълнението на своите задачи;

б)	да провежда разследвания под формата на одити във връзка със защитата на данните;

в)	да извършва преглед на сертификатите, издадени в съответствие с член 42, параграф 7;

г)	да уведомява администратора или обработващия лични данни за предполагаемо нарушение на настоящия регламент;

д)	да получава от администратора и обработващия лични данни достъп до всички лични данни и до цялата информация, от която се нуждае за изпълнението на своите задачи;

е)	да получава достъп до всички помещения на администратора и обработващия лични данни, включително до всяко оборудване и средство за обработване на данни, в съответствие с правото на Съюза или процесуалното право на държавата членка.

2. Всеки надзорен орган има всички от посочените по-долу корективни правомощия:

a)	да отправя предупреждения до администратора или обработващия лични данни, когато има вероятност операции по обработване на данни, които те възнамеряват да извършат, да нарушат разпоредбите на настоящия регламент;

б)	да отправя официално предупреждение до администратора или обработващия лични данни, когато операции по обработване на данни са нарушили разпоредбите на настоящия регламент;

в)	да разпорежда на администратора или обработващия лични данни да изпълнят исканията на субекта на данни да упражнява правата си съгласно настоящия регламент;

г)	да разпорежда на администратора или обработващия лични данни да съобразят операциите по обработване на данни с разпоредбите на настоящия регламент и, ако е целесъобразно, това да стане по указан начин и в определен срок;

д)	да разпорежда на администратора да съобщава на субекта на данните за нарушение на сигурността на личните данни;

е)	да налага временно или окончателно ограничаване, в т.ч. забрана, на обработването на данни;

ж)	да разпорежда коригирането, или изтриването на лични данни или ограничаването на обработването им съгласно членове 16, 17 и 18, както и уведомяването за тези действия на получатели, пред които личните данни са били разкрити съгласно член 17, параграф 2 и член 19;

з)	да отнема сертификат или да разпорежда на сертифициращия орган да отнеме сертификат, издаден съгласно членове 42 и 43, или да разпорежда на сертифициращия орган да не издава сертификат, ако изискванията за сертифицирането не са спазени или вече не се спазват;

и)	да налага административно наказание „глоба“ или „имуществена санкция“ съгласно член 83, в допълнение към мерките, посочени в настоящия параграф, или вместо тях, в зависимост от особеностите на всеки отделен случай;

й)	да разпорежда преустановяването на потока на данни към получател в трета държава или към международна организация;

3. Всеки надзорен орган има всички от посочените по-долу правомощия да дава разрешения и становища:

a)	да дава становища на администратора в съответствие с процедурата по предварителна консултация, посочена в член 36;

б)	да издава по собствена инициатива или при поискване становища до националния парламент, правителството на държавата членка или, в съответствие с правото на държавата членка — до други институции и органи, както и до обществеността по всякакви въпроси, свързани със защитата на лични данни;

в)	да дава разрешение за обработването, посочено в член 36, параграф 5, ако съгласно правото на държавата членка се изисква такова предварително разрешение;

г)	да дава становища и да одобрява проекти на кодекси за поведение съгласно член 40, параграф 5;

д)	да акредитира сертифициращи органи съгласно член 43;

е)	да издава сертификати и да одобрява критериите за сертифициране в съответствие с член 42, параграф 5;

ж)	да приема стандартните клаузи за защита на данните, посочени в член 28, параграф 8 и в член 46, параграф 2, буква г);

з)	да дава разрешение за договорните клаузи, посочени в член 46, параграф 3, буква а);

и)	да дава разрешение за административните договорености, посочени в член 46, параграф 3, буква б);

й)	да одобрява задължителните фирмени правила съгласно член 47.

4. Упражняването на правомощията, предоставени на надзорния орган по силата на настоящия член, се осъществява при осигуряване на подходящи гаранции, в т.ч. ефективни съдебни средства за правна защита и справедлив съдебен процес, определени в правото на Съюза и правото на държава членка в съответствие с Хартата.

5. Всяка държава членка урежда със закон нейният надзорен орган да има правомощието да довежда нарушенията на настоящия регламент до знанието на съдебните органи и по целесъобразност да инициира или по друг начин да участва в съдебни производства, с цел осигуряване на изпълнението на настоящия регламент.

6. Всяка държава членка може да урежда със закон нейният надзорен орган да има допълнителни правомощия освен посочените в параграфи 1, 2 и 3. Упражняването на тези правомощия не нарушава ефективното действие на глава VII.

Член 65

Разрешаване на спорове от Комитета

1. С цел да осигури правилно и последователно прилагане на настоящия регламент в отделните случаи, Комитетът приема решение със задължителен характер в следните случаи:

когато в случаи по член 60, параграф 4 засегнат надзорен орган е повдигнал относимо и обосновано възражение срещу проект за решение на водещия орган или водещият орган е отхвърлил възражението като неотносимо или необосновано. Решението със задължителен характер се отнася за всички въпроси, които са предмет на относимото и обосновано възражение, особено когато има нарушение на настоящия регламент;

б)	когато има противоречиви виждания за това кой от засегнатите надзорни органи е компетентен за основното място на установяване;

в)	когато компетентният надзорен орган не е поискал становището на Комитета в случаите, посочени в член 64, параграф 1, или не се е съобразил със становището на Комитета, дадено по член 564. В този случай всеки засегнат надзорен орган или Комисията може да отнесе въпроса до Комитета.

2. Посоченото в параграф 1 решение се приема в срок от един месец от отнасянето на въпроса от мнозинство от две трети от членовете на Комитета. Посоченият срок може да бъде удължен с още един месец с оглед на сложността на въпроса. Решението по параграф 1 е обосновано, адресирано е до водещия надзорен орган и всички засегнати надзорни органи и е със задължителен характер за тях.

3. Когато Комитетът не е бил в състояние да приеме решение в срока, посочен в параграф 2, той приема решението си в срок от две седмици от изтичането на втория месец, споменат в параграф 2, с обикновено мнозинство от членовете на Комитета. Когато членовете на Комитета са разделени поравно на две, решението се приема с решаващия глас на председателя.

4. Засегнатите надзорни органи не приемат решение по отнесения до Комитета въпрос съгласно параграф 1 в рамките на сроковете, посочени в параграфи 2 и 3.

5. Председателят на Комитета уведомява без ненужно забавяне засегнатите надзорни органи за решението, посочено в параграф 1. Той уведомява и Комисията за него. Решението се публикува на уебсайта на Комитета без забавяне след като надзорният орган е уведомил за окончателното си решение, посочено в параграф 6.

6. Водещият надзорен орган или, според случая, надзорният орган, до който е била подадена жалбата, приема окончателното си решение въз основа на решението, посочено в параграф 1 от настоящия член, без ненужно забавяне и най-късно един месец след като Комитетът е уведомил за решението си. Водещият надзорен орган или, според случая, надзорният орган, до който е била подадена жалбата, информира Комитета за датата, на която администраторът или обработващият лични данни и субектът на данни са били уведомени за неговото окончателно решение. Окончателното решение на засегнатите надзорни органи се приема по реда на член 60, параграфи 7, 8 и 9. Окончателното решение се позовава на решението, посочено в параграф 1 от настоящия член, и в него се уточнява, че посоченото в посочения параграф решение ще бъде публикувано на уебсайта на Комитета в съответствие с параграф 5 от настоящия член. Към окончателното решение се прилага решението, посочено в параграф 1 от настоящия член.

Член 97

Доклади на Комисията

1. До 25 май 2020 г. и на всеки четири години след това, Комисията представя на Европейския парламент и на Съвета доклад относно оценката и прегледа на настоящия регламент. Докладите са публични.

2. В контекста на оценките и прегледите, посочени в параграф 1, Комисията разглежда по-специално прилагането и функционирането на:

a)	глава V относно предаването на лични данни на трети държави или международни организации, особено по отношение на решенията, приети съгласно член 45, параграф 3 от настоящия регламент, и решенията, приети въз основа на член 25, параграф 6 от Директива 95/46/ЕО;

б)	глава VII относно сътрудничеството и съгласуваността.

3. За целите на параграф 1 Комисията може да поиска информация от държавите членки и от надзорните органи.

4. При извършването на оценките и прегледите по параграфи 1 и 2 Комисията взема предвид позициите и констатациите на Европейския парламент, на Съвета и на други компетентни органи или източници.

5. При необходимост Комисията представя подходящи предложения за изменение на настоящия регламент, като отчита по-специално развитието на информационните технологии и напредъка на информационното общество.

whereas

(13) За да се гарантира съгласувано ниво на защита на физическите лица в целия Съюз и да се попречи на различията да възпрепятстват свободното движение на лични данни в рамките на вътрешния пазар, е необходим регламент, който да осигурява правна сигурност и прозрачност за икономическите оператори, включително за микропредприятията и малките и средните предприятия, и да предоставя на физическите лица във всички държави членки еднакви по степен законно приложими права и задължения и отговорности за администраторите и обработващите лични данни, както и да осигури последователно наблюдение на обработването на лични данни, еквивалентни санкции във всички държави членки и ефективно сътрудничество между надзорните органи на различните държави членки. За доброто функциониране на вътрешния пазар е необходимо свободното движение на лични данни в рамките на Съюза да не се ограничава, нито забранява по причини, свързани със защитата на физическите лица във връзка с обработването на лични данни. За да се отчете особеното положение на микропредприятията и малките и средните предприятия, в настоящия регламент е включена дерогация за организации с по-малко от 250 служители по отношение на воденето на регистър. Освен това, институциите и органите на Съюза, както и държавите членки и техните надзорни органи се приканват да вземат предвид специфичните нужди на микропредприятията и малките и средните предприятия при прилагането на настоящия регламент. Разбирането на понятието за микропредприятия и малки и средни предприятия следва да се основава на член 2 от приложението към Препоръка 2003/361/ЕО на Комисията (5).

- = -

(51) На личните данни, които по своето естество са особено чувствителни от гледна точка на основните права и свободи, се полага специална защита, тъй като контекстът на тяхното обработване би могъл да създаде значителни рискове за основните права и свободи. Посочените лични данни следва да включват личните данни, разкриващи расов или етнически произход, като използването на понятието „расов произход“ в настоящия регламент не означава, че Съюзът приема теориите, които се опитват да установят съществуването на отделни човешки раси. Обработването на снимки не следва систематично да се счита за обработване на специални категории лични данни, тъй като снимките се обхващат от определението за биометрични данни единствено когато се обработват чрез специални технически средства, позволяващи уникална идентификация или удостоверяване на автентичността на дадено физическо лице. Тези лични данни не следва да се обработват, освен ако обработването не е разрешено в определени случаи, предвидени в настоящия регламент, като се има предвид, че в правото на държавите членки могат да бъдат определени специфични разпоредби за защита на данните с цел да се адаптира прилагането на съдържащите се в настоящия регламент правила за спазване на правно задължение или за изпълнение на задача от обществен интерес или свързана с упражняването на официални правомощия, предоставени на администратора на лични данни. В допълнение към конкретните изисквания за такова обработване следва да се прилагат общите принципи и другите правила, залегнали в настоящия регламент, по-специално по отношение на условията за законосъобразно обработване. Дерогации от общата забрана за обработване на такива специални категории лични данни следва изрично да бъдат предвидени, inter alia, когато субектът на данните даде изричното си съгласие или във връзка с конкретни нужди, по-специално когато обработването се извършва в хода на законната дейност на някои сдружения или фондации, чиято цел е да се позволи упражняването на основните свободи.

- = -

(52) Дерогация от забраната за обработване на специални категории лични данни също следва бъде разрешена, когато е предвидена в правото на Съюза или правото на държава членка, и при подходящи гаранции, така че да бъдат защитени личните данни и други основни права, когато съображения, свързани с обществения интерес, оправдават това, по-специално обработването на лични данни в областта на трудовото право, правото в областта на социалната закрила, включително пенсиите, както и за целите на сигурността, наблюдението и предупрежденията в сферата на здравеопазването, предотвратяването или контрола на заразните болести и други сериозни заплахи за здравето. Такава дерогация може да се извърши за здравни цели, включително общественото здраве и управлението на здравните услуги, особено с цел да се гарантират качеството и рентабилността на използваните процедури за уреждане на искове за обезщетения и услуги в системата за здравно осигуряване, или за целите на архивирането в обществен интерес, за целите на научни или исторически изследвания, или за статистически цели. Чрез дерогация следва да се даде възможност да се обработват и такива лични данни, когато е необходимо, с цел установяване, упражняване или защита на правни претенции, независимо дали това е в рамките на съдебна, административна или друга извънсъдебна процедура.

- = -

(59) Следва да бъдат предвидени ред и условия за улесняване на упражняването на правата на субектите на данни съгласно настоящия регламент, включително механизми за искане, и ако е приложимо — получаване, без заплащане, по-специално на достъп до, коригиране или изтриване на лични данни и упражняване на правото на възражение. Администраторът следва да предостави и средства за подаване на искания по електронен път, особено когато личните данни се обработват електронно. Администраторът следва да бъде задължен да отговоря на исканията на субекта на данни без ненужно забавяне и най-късно в рамките на един месец, както и да посочи причините, ако не възнамерява да се съобрази с тези искания.

- = -

(65) Субектът на данни следва да има право на коригиране на личните данни, свързани с него, както и правото „да бъде забравено“, когато запазването на тези данни е в нарушение на настоящия регламент или на правото на Съюза или правото на държава членка, под чиято юрисдикция е администраторът. По-специално, субектът на данни следва да има право личните му данни да се изтриват и да не бъдат обработвани повече, когато личните данни престанат да бъдат необходими с оглед на целите, за които те са били събрани или обработвани по друг начин, когато субектът на данните е оттеглил своето съгласие или е възразил срещу обработването на лични данни, свързани с него, или когато обработването на личните му данни по друг начин не е в съответствие с настоящия регламент. Това право е важно особено когато субектът на данни е дал съгласието си като дете и не е осъзнавал напълно рисковете, свързани с обработването, и впоследствие желае да премахне такива лични данни, особено когато са в интернет. Субектът на данни следва да може да упражни това право независимо от факта, че вече не е дете. По-нататъшното запазване на личните данни обаче следва да бъде законно, ако е необходимо за упражняване на правото на свобода на изразяване на мнение и правото на информация, за спазване на правно задължение, за изпълнение на задача от обществен интерес или при изпълнение на официални функции, възложени на администратора, по причини от публичен интерес в областта на общественото здравеопазване, за целите на архивирането в обществен интерес,за целите на научни или исторически изследвания, или за статистически цели, или за установяване, упражняване или защита на правни искове.

- = -

(73) Ограничения относно специални принципи и относно правото на информация, достъп до, и коригиране или изтриване на лични данни, правото на преносимост на данните, правото на оспорване на решения, основани на профилиране, както и уведомяването на субекта на данни за нарушение на сигурността на личните данни и определени свързани с това задължения на администраторите, могат да бъдат налагани от правото на Съюза или от правото на държава членка, доколкото това е необходимо и пропорционално в едно демократично общество с оглед защитата на обществената сигурност, включително защитата на човешкия живот, особено при природни или предизвикани от човека бедствия, предотвратяването, разследването и наказателното преследване на престъпления или изпълнението на наложените наказания, включително защитата срещу заплахи пред обществената сигурност и тяхното предотвратяване, или нарушения на етичните кодекси при регламентираните професии, други важни цели от общ обществен интерес на Съюза или на държава членка, и по-специално важен икономически или финансов интерес на Съюза или на държава членка, поддържането на публичен регистър поради причини от широк обществен интерес, по-нататъшното обработване на архивирани лични данни с цел предоставяне на конкретна информация, свързана с политическото поведение по време на бивши режими в тоталитарни държави или защитата на субекта на данни или на правата и свободите на други лица, включително социалната защита, общественото здраве и хуманитарните цели. Тези ограничения следва да бъдат в съответствие с изискванията, определени в Хартата и в Европейската конвенция за защита на правата на човека и основните свободи.

- = -

(77) Насоки за прилагането на подходящи мерки и за доказване на съответствие от страна на администратора или обработващия лични данни, особено по отношение на идентифицирането на риска, свързан с обработването, оценката по отношение на произход, естество, вероятност и тежест и определянето на добри практики за ограничаване на риска, биха могли да се предоставят по-специално чрез одобрени кодекси на поведение, одобрени механизми за сертифициране, насоки на Комитета или чрез указания, предоставени от длъжностното лице за защита на данните. Комитетът може също да издава насоки относно операции по обработване, за които се счита, че е малко вероятно да доведат до висок риск за правата и свободите на физическите лица, и да даде указания какви мерки могат да бъдат достатъчни в такива случаи за преодоляването на такъв риск.

- = -

(91) Това следва да се прилага по-специално за широкомащабни операции по обработване, чиято цел е обработване на значителен обем лични данни на регионално, национално и наднационално равнище, които биха могли да засегнат голям брой субекти на данни и които е вероятно да доведат до висок риск, например поради чувствителното си естество, когато в съответствие с постигнатото ниво на технически познания се използва нова технология в голям мащаб, както и за други операции по обработване, които пораждат висок риск за правата и свободите на субектите на данни, по-специално когато тези операции затрудняват субектите на данни да упражняват правата си. Оценка на въздействието върху защитата на данни следва да се извършва и когато личните данни се обработват с цел вземане на решения относно конкретни физически лица след систематична и обстойна оценка на личните аспекти, свързани с физически лица, въз основа на профилирането на тези данни или след обработването на специални категории лични данни, биометрични данни или данни за присъди и нарушения или свързани с това мерки за сигурност. Оценка на въздействието върху защитата на данните се изисква също за широкомащабно наблюдение на публично достъпни зони, особено когато се използват оптичноелектронни уреди, или за всякакви други операции, когато компетентният надзорен орган счита, че има вероятност обработването да доведе до висок риск за правата и свободите на субектите на данни, по-специално поради това, че възпрепятстват субектите на данни да упражняват дадено право или да използват някоя услуга или договор, или поради това, че се извършват систематично в голям мащаб. Обработването на лични данни не следва да се счита за широкомащабно, ако засяга лични данни на пациенти или клиенти на отделен лекар, друг здравен работник или адвокат. В такива случаи оценката на въздействието върху защитата на данните не следва да бъде задължителна.

- = -

(98) Сдруженията или други структури, представляващи категории администратори или обработващи лични данни, следва да се насърчават да изготвят кодекси за поведение, в рамките на настоящия регламент, за да се улесни ефективното прилагане на настоящия регламент, като се вземат предвид особеностите на обработването на данни в определени сектори и специфичните потребности на микропредприятията и малките и средните предприятия. По-специално в тези кодекси на поведение може да се установят параметрите на задълженията на администраторите и обработващите лични данни, като се вземе предвид рискът, който е вероятно да произтече от обработването на данни за правата и свободите на физическите лица.

- = -

(129) За да се гарантира последователно наблюдение и прилагане на настоящия регламент навсякъде в Съюза, надзорните органи следва да имат еднакви задачи и ефективни правомощия във всяка държава членка, включително правомощия за разследване, корективни правомощия и правомощия за налагане на санкции, правомощия за даване на разрешения и становища, особено в случаи на жалби от физически лица, и без да се засягат правомощията на прокуратурата съгласно правото на държавата членка — правомощието да довеждат нарушения на настоящия регламент до знанието на съдебните органи и да встъпват в съдебни производства. Тези правомощия следва да включват и правомощието за налагане на временно или окончателно ограничаване, включително забрана, на обработването на данни. Държавите членки могат да посочат други конкретни задачи, свързани със защитата на лични данни съгласно настоящия регламент. Надзорните органи следва да упражняват правомощията си в съответствие с подходящите процедурни гаранции, определени в правото на Съюза и правото на държава членка, независимо, справедливо и в разумен срок. По-специално всяка мярка следва да бъде подходяща, необходима и пропорционална с оглед на осигуряването на съответствие с настоящия регламент, като се отчитат обстоятелствата при всеки конкретен случай, зачита се правото на всяко лице да бъде изслушано преди да бъде взета каквато и да е конкретна мярка, която би го засегнала неблагоприятно, и се избягват излишни разходи и прекалени неудобства за засегнатите лица. Правомощията за разследване по отношение на достъпа до помещения следва да се упражняват в съответствие със специфичните изисквания на процесуалното право на държавите членки, като например изискването за получаване на предварително съдебно разрешение. Всяка мярка със задължителен характер на надзорен орган следва да бъде в писмен вид, да бъде ясна и недвусмислена, да посочва надзорния орган, който е издал мярката, датата на издаване на мярката, да е подписана от ръководителя или член на надзорния орган, упълномощен от него, да посочва основанията за мярката и да се позовава на правото на ефективни правни средства за защита. Това не следва да възпрепятства поставянето на допълнителни изисквания съгласно процесуалното право на държавите членки. Приемането на такова решение със задължителен характер предполага, че то може да подлежи на съдебен контрол в държавата членка на надзорния орган, приел решението.

- = -

(132) Дейностите на надзорния орган за повишаване на обществената осведоменост следва да включват специални мерки, насочени към администраторите и обработващите лични данни, в това число микропредприятията и малките и средните предприятия, както и физическите лица, особено в образователен контекст.

- = -

(159) Когато се обработват лични данни за научноизследователски цели, настоящият регламент следва да се прилага и за този вид обработване. За целите на настоящия регламент обработването на лични данни за научноизследователски цели следва да се тълкува в по-широк смисъл и да включва напр. технологичното развитие и демонстрационни дейности, фундаменталните научни изследвания, приложните научни изследвания и частно финансираните научни изследвания. Освен това следва да се отчита и заложената в член 179, параграф 1 от ДФЕС цел за изграждането на европейско научноизследователско пространство. Научноизследователските цели следва да включват и проучвания, провеждани в обществен интерес в областта на общественото здраве. С оглед на особеностите на обработването на лични данни за научноизследователски цели следва да се прилагат специални условия, по-специално по отношение на публикуването или оповестяването по друг начин на лични данни в контекста на научноизследователските цели. Ако резултатите от научно изследване, по-специално в здравната област, породят необходимост от допълнителни мерки в интерес на субекта на данните, във връзка с тези мерки следва да се прилагат общите правила на настоящия регламент.

- = -

dal 2004 diritto e informatica