interactive GDPR 2016/0679 BG

1. Субектът на данните има право да получи от администратора потвърждение дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните и следната информация:

a)	целите на обработването;

б)	съответните категории лични данни;

в)	получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни, по-специално получателите в трети държави или международни организации;

г)	когато е възможно, предвидения срок, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определянето на този срок;

д)	съществуването на право да се изиска от администратора коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или да се направи възражение срещу такова обработване;

е)	правото на жалба до надзорен орган;

ж)	когато личните данни не се събират от субекта на данните, всякаква налична информация за техния източник;

з)	съществуването на автоматизирано вземане на решения, включително профилирането, посочено в член 22, параграфи 1 и 4, и поне в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните.

2. Когато личните данни се предават на трета държава или на международна организация, субектът на данните има право да бъде информиран относно подходящите гаранции по член 46 във връзка с предаването.

3. Администраторът предоставя копие от личните данни, които са в процес на обработване. За допълнителни копия, поискани от субекта на данните, администраторът може да наложи разумна такса въз основа на административните разходи. Когато субектът на данни подава искане с електронни средства, по възможност информацията се предоставя в широко използвана електронна форма, освен ако субектът на данни не е поискал друго.

4. Правото на получаване на копие, посочено в параграф 3, не влияе неблагоприятно върху правата и свободите на други лица.

Раздел 3

Коригиране и изтриване

Член 20

Право на преносимост на данните

1. Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на администратор, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от администратора, на когото личните данни са предоставени, когато:

a)	обработването е основано на съгласие в съответствие с член 6, параграф 1, буква а) или член 9, параграф 2, буква а) или на договорно задължение съгласно член 6, параграф 1, буква б); и

б)	обработването се извършва по автоматизиран начин.

2. Когато упражнява правото си на преносимост на данните по параграф 1, субектът на данните има право да получи пряко прехвърляне на личните данни от един администратор към друг, когато това е технически осъществимо.

3. Упражняването на правото, посочено в параграф 1 от настоящия член не засяга член 17. Посоченото право не се отнася до обработването, необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора.

4. Правото, посочено в параграф 1, не влияе неблагоприятно върху правата и свободите на други лица.

Раздел 4

Право на възражение и автоматизирано вземане на индивидуални решения

Член 33

Уведомяване на надзорния орган за нарушение на сигурността на личните данни

1. В случай на нарушение на сигурността на личните данни администраторът, без ненужно забавяне и когато това е осъществимо — не по-късно от 72 часа след като е разбрал за него, уведомява за нарушението на сигурността на личните данни надзорния орган, компетентен в съответствие с член 55, освен ако не съществува вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица. Уведомлението до надзорния орган съдържа причините за забавянето, когато не е подадено в срок от 72 часа.

2. Обработващият лични данни уведомява администратора без ненужно забавяне, след като узнае за нарушаване на сигурността на лични данни.

3. В уведомлението, посочено в параграф 1, се съдържа най-малко следното:

a)	описание на естеството на нарушението на сигурността на личните данни, включително, ако е възможно, категориите и приблизителният брой на засегнатите субекти на данни и категориите и приблизителното количество на засегнатите записи на лични данни;

б)	посочване на името и координатите за връзка на длъжностното лице по защита на данните или на друга точка за контакт, от която може да се получи повече информация;

в)	описание на евентуалните последици от нарушението на сигурността на личните данни;

г)	описание на предприетите или предложените от администратора мерки за справяне с нарушението на сигурността на личните данни, включително по целесъобразност мерки за намаляване на евентуалните неблагоприятни последици.

4. Когато и доколкото не е възможно информацията да се подаде едновременно, информацията може да се подаде поетапно без по-нататъшно ненужно забавяне.

5. Администраторът документира всяко нарушение на сигурността на личните данни, включително фактите, свързани с нарушението на сигурността на личните данни, последиците от него и предприетите действия за справяне с него. Тази документация дава възможност на надзорния орган да провери дали е спазен настоящият член.

Член 36

Предварителна консултация

1. Администраторът се консултира с надзорния орган преди обработването, когато оценката на въздействието върху защитата на данните съгласно член 35 покаже, че обработването ще породи висок риск, ако администраторът не предприеме мерки за ограничаване на риска.

2. Когато надзорният орган е на мнение, че планираното обработване, посочено в параграф 1, нарушава настоящия регламент, особено когато администраторът не е идентифицирал или ограничил риска в достатъчна степен, надзорният орган в срок до осем седмици след получаване на искането за консултация дава писмено становище на администратора или на обработващия лични данни, когато е приложимо, като може да използва всяко от правомощията си, посочени в член 58. Този срок може да бъде удължен с още шест седмици предвид сложността на планираното обработване. Надзорният орган информира администратора и, когато е приложимо, обработващия лични данни за такова удължаване в срок от един месец от получаване на искането за консултация, включително за причините за забавянето. Тези срокове може да спрат да текат, докато надзорният орган получи всяка евентуално поискана от него информация за целите на консултацията.

3. Когато се консултира с надзорния орган съгласно параграф 1, администраторът предоставя на надзорния орган следната информация:

a)	където е приложимо — информация за съответните отговорности на администратора, съвместните администратори и обработващите лични данни, които се занимават с обработването, по-конкретно при обработване на данни в рамките на група предприятия;

б)	целите на планираното обработване и средствата за него;

в)	предвидените мерки и гаранции за защита на правата и свободите на субектите на данни съгласно настоящия регламент;

г)	където е приложимо, координатите за връзка на длъжностното лице по защита на данните;

д)	оценката на въздействието върху защитата на данните по член 35; както и

е)	всякаква друга информация, поискана от надзорния орган.

4. Държавите членки се консултират с надзорния орган по време на изготвянето на предложения за законодателни мерки, които да бъдат приети от националните парламенти, или на регулаторни мерки, основани на такива законодателни мерки, които се отнасят до обработването.

5. Без да се засяга параграф 1, правото на държавите членки може да изисква от администраторите да се консултират с надзорния орган и да получават предварително разрешение от него във връзка с обработването от администратор за изпълнението на задача, осъществявана от администратора в полза на обществения интерес, включително обработване във връзка със социалната закрила и общественото здраве.

Раздел 4

Длъжностно лице по защита на данните

Член 60

Сътрудничество между водещия надзорен орган и другите засегнати надзорни органи

1. Водещият надзорен орган си сътрудничи с другите засегнати надзорни органи в съответствие с настоящия член и се стреми към постигането на консенсус. Водещият надзорен орган и засегнатите надзорни органи обменят всяка имаща отношение информация помежду си.

2. Водещият надзорен орган може да поиска по всяко време от другите засегнати надзорни органи да предоставят взаимопомощ съгласно член 61 и може да провежда съвместни операции съгласно член 62, по-специално за да извършва разследвания или да наблюдава изпълнението на мярка, засягаща администратор или обработващ лични данни, установен в друга държава членка.

3. Водещият надзорен орган незабавно предава информация за това на другите засегнати надзорни органи. Водещият надзорен орган незабавно представя на другите засегнати надзорни органи проект за решение, за да получи тяхното становище и да вземе надлежно предвид вижданията им.

4. Ако някой от другите засегнати надзорни органи изрази относимо и обосновано възражение срещу проекта за решение в срок от четири седмици, след като е било поискано мнението му в съответствие с параграф 3 от настоящия член, водещият надзорен орган, в случай че не приема относимото и обосновано възражение или счита, че това възражение не е относимо или обосновано, отнася въпроса до механизма за съгласуваност, посочен в член 63.

5. Ако водещият надзорен орган възнамерява да приеме направено относимо и обосновано възражение, той изпраща на другите засегнати надзорни органи преработен проект за решението, за да получи тяхното становище. За този преработен проект на решението се следва процедурата, посочена в параграф 4, за срок от две седмици.

6. Когато нито един от другите засегнати органи не е възразил срещу проекта на решение, представен от водещия надзорен орган в посочения в параграфи 4 и 5 срок, се счита, че водещият надзорен орган и засегнатите надзорни органи са съгласни с този проект на решение и са обвързани от него.

7. Водещият надзорен орган приема решението и уведомява за него основното място на установяване или единственото място на установяване на администратора или обработващия лични данни, според случая, и информира другите засегнати надзорни органи и Комитета за въпросното решение, като включва резюме на съответните факти и основания. Надзорният орган, до когото е била подадена жалбата, информира жалбоподателя за решението.

8. Чрез дерогация от параграф 7, когато дадена жалба е оставена без разглеждане или отхвърлена, надзорният орган, до който е била подадена жалбата, приема решението и уведомява жалбоподателя за него, като информира и администратора

9. Когато водещият надзорен орган и засегнатите надзорни органи постигнат съгласие определени части от жалбата да бъдат оставени без разглеждане или отхвърлени, а по други части от тази жалба да се предприемат действия, за всяка от тези части се приема отделно решение. Водещият надзорен орган приема решението относно частта, за която се предприемат действия във връзка с администратора, уведомява за него основното място на установяване или единственото място на установяване на администратора или обработващия лични данни на територията на неговата държава членка и информира жалбоподателя за това, а надзорният орган по жалбата приема решението относно частта, с която е свързано оставянето без разглеждане или отхвърлянето на тази жалба, уведомява за него жалбоподателя и информира за това администратора или обработващия лични данни.

10. След като е бил уведомен за решението на водещия надзорен орган съгласно параграфи 7 и 9, администраторът или обработващият лични данни взема необходимите мерки, за да осигури съответствие с решението по отношение на дейностите по обработването на всички места, на които е установен в Съюза. Администраторът или обработващият лични данни уведомява водещия надзорен орган за мерките, взети с цел осигуряване на съответствие с решението, а водещият орган информира другите засегнати надзорни органи.

11. Когато при изключителни обстоятелства засегнат надзорен орган има основания да счита, че са необходими спешни действия, за да се защитят интересите на субекти на данни, се прилага процедурата по спешност по член 66.

12. Водещият надзорен орган и другите засегнати надзорни органи си предават информацията, изисквана съгласно настоящия член, по електронен път, използвайки стандартизиран формат.

Член 82

Право на обезщетение и отговорност за причинени вреди

1. Всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди.

2. Администраторът, участващ в обработването на лични данни, носи отговорност за вреди, произтичащи от извършеното обработване, което нарушава настоящия регламент. Обработващият лични данни носи отговорност за вреди, произтичащи от извършеното обработване, само когато не е изпълнил задълженията по настоящия регламент, конкретно насочени към обработващите лични данни, или когато е действал извън законосъобразните указания на администратора или в противоречие с тях.

3. Администраторът или обработващият лични данни се освобождава от отговорност съгласно параграф 2, ако докаже, че по никакъв начин не е отговорен за събитието, причинило вредата.

4. Когато в една и съща операция по обработване участват повече от един администратор или обработващ лични данни или участват и администратор, и обработващ лични данни, и когато те са отговорни по параграфи 2 и 3 за вреда, причинена от обработването, всеки администратор или обработващ лични данни носи отговорност за цялата вреда, за да се гарантира действително обезщетение на субекта на данни.

5. Когато администратор или обработващ лични данни е изплатил съгласно параграф 4 пълното обезщетение за причинената вреда, той има право да поиска от другите администратори или обработващи лични данни, участвали в същата операция по обработване на лични данни, да му възстановят част от платеното обезщетение, съответстваща на тяхната част от отговорността за причинената вреда в съответствие с условията по параграф 2.

6. Съдебните производства във връзка с упражняването на правото на обезщетение се образуват пред съдилища, компетентни съгласно правото на държавата членка, посочена в член 79, параграф 2.

Член 90

Задължения за опазване на тайна

1. Държавите членки могат да приемат специални правила, за да установят правомощията на надзорните органи съгласно член 58, параграф 1, букви д) и е) по отношение на администраторите или обработващите лични данни, които по силата на правото на Съюза или правото на държава членка или на правила, установени от компетентните национални органи, са обвързани със задължение за опазване на професионална тайна или с други равностойни задължения за опазване на тайна, когато това е необходимо и пропорционално за съчетаване на правото на защита на личните данни със задължението за опазване на тайна. Тези правила се прилагат само по отношение на лични данни, които администраторът или обработващият лични данни е получил в хода на дейност, подлежаща на това задължение за опазване на тайна.

2. Всяка държава членка уведомява Комисията за правилата, приети съгласно параграф 1, до 25 май 2018 г., и я уведомява незабавно за всяко последващо, свързано с тях изменение.

whereas

(108) При липсата на решение относно адекватното ниво на защита администраторът или обработващият лични данни следва да предприеме мерки, за да компенсира липсата на защита на данни в дадена трета държава чрез подходящи гаранции за субекта на данните. Такива подходящи гаранции може да се състоят в използването на задължителни фирмени правила, стандартни клаузи за защита на данните, приети от Комисията, стандартни клаузи за защита на данните, приети от надзорен орган, или договорни клаузи, разрешени от надзорен орган. Тези гаранции следва да осигуряват спазването на изискванията относно защитата на данните и на правата на субектите на данни, подходящи при обработване в рамките на Съюза, включително наличието на приложими права на субектите на данни и на ефективни средства за правна защита, включително с цел получаване на ефективна административна или съдебна защита и предявяване на искове за обезщетение в Съюза или в трета държава. Те следва да се отнасят по-специално до спазването на общите принципи, свързани с обработването на лични данни, и до принципите за защита на данните на етапа на изготвяне и по подразбиране. Данни може да се предават и от публични органи или организации на публични органи или организации в трети държави или на международни организации със съответните задължения или функции, включително въз основа на разпоредбите, които ще бъдат включени в административните договорености, като например меморандум за разбирателство, с които да се предоставят приложими и действителни права за субектите на данни. Следва да се получи разрешение от компетентния надзорен орган, когато гаранциите са предвидени в административни договорености, които нямат задължителен характер.

- = -

(120) Всеки надзорен орган следва да получи финансови и човешки ресурси, помещения и инфраструктура, необходими за ефективното изпълнение на неговите задачи, включително задачите по линия на взаимопомощта и сътрудничеството с други надзорни органи навсякъде в Съюза. Всеки надзорен орган следва да има отделен публичен годишен бюджет, който може да е част от общия държавен или национален бюджет.

- = -

(131) Когато друг надзорен орган следва да функционира като водещ надзорен орган за дейностите по обработване на администратора или обработващия лични данни, но конкретният предмет на жалбата или възможното нарушение засяга единствено дейностите по обработване на администратора или обработващия лични данни в държавата членка, в която е подадена жалбата или е установено възможното нарушение, и предметът не засяга съществено или няма вероятност да засегне съществено субекти на данни в други държави членки, надзорният орган, който е получил жалба, е установил или е бил информиран по друг начин за ситуации, които водят до възможни нарушения на настоящия регламент, следва да се стреми към уреждане на спора по взаимно съгласие с администратора, а ако този опит се окаже неуспешен, да упражни целия си набор от правомощия. Това следва да включва специфично обработване, извършвано на територията на държавата членка на надзорния орган или по отношение на субекти на данни на територията на тази държава членка; обработване, което се извършва в контекста на предлагането на стоки или услуги, специално предназначени за субекти на данни на територията на държавата членка на надзорния орган; или обработване, което трябва да се прецени, като се вземат предвид съответните правни задължения съгласно правото на държавата членка.

- = -

(133) Надзорните органи следва да си сътрудничат при изпълнението на своите задачи и взаимно да се подпомагат, за да се гарантира съгласуваното прилагане и изпълнение на настоящия регламент в рамките на вътрешния пазар. Надзорен орган, който е поискал взаимопомощ, може да приеме временна мярка, ако не е получил отговор на искането за взаимопомощ в рамките на един месец от получаването му от другия надзорен орган.

- = -

dal 2004 diritto e informatica