interactive GDPR 2016/0679 BG

1. Настоящият регламент се прилага за обработването на лични данни изцяло или частично с автоматични средства, както и за обработването с други средства на лични данни, които са част от регистър с лични данни или които са предназначени да съставляват част от регистър с лични данни.

2. Настоящият регламент не се прилага за обработването на лични данни:

a)	в хода на дейности, които са извън приложното поле на правото на Съюза;

б)	от държавите членки, когато извършват дейности, които попадат в приложното поле на дял V, глава 2 от ДЕС;

в)	от физическо лице в хода на чисто лични или домашни занимания;

г)	от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наложените наказания, включително предпазването от и предотвратяването на заплахи за обществената сигурност.

3. При обработването на лични данни от институциите, органите, службите и агенциите на Съюза се прилага Регламент (ЕО) № 45/2001. Регламент (ЕО) № 45/2001 и другите правни актове на Съюза, приложими към подобна обработка на лични данни, се адаптират към принципите и правилата на настоящия регламент в съответствие с член 98.

4. Настоящият регламент не засяга прилагането на Директива 2000/31/ЕО, и по-специално разпоредбите относно отговорностите на междинните доставчици на услуги в членове 12—15 от посочената директива.

Член 6

Законосъобразност на обработването

1. Обработването е законосъобразно, само ако и доколкото е приложимо поне едно от следните условия:

a)	субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели;

б)	обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;

в)	обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора;

г)	обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице;

д)	обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;

е)

обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете.

Буква е) на първа алинея не се прилага за обработването, което се извършва от публични органи при изпълнението на техните задачи.

2. Държавите членки могат да запазят или въведат по-конкретни разпоредби, за да адаптират прилагането на правилата на настоящия регламент по отношение на обработването, необходимо за спазването на параграф 1, букви в) и д), като установят по-конкретно специални изисквания за обработването и други мерки, за да се гарантира законосъобразно и добросъвестно обработване, включително за други особени случаи на обработване на данни, предвидени в глава IX.

3. Основанието за обработването, посочено в параграф 1, букви в) и д), е установено от:

a)	правото на Съюза или

б)	правото на държавата членка, което се прилага спрямо администратора.

Целта на обработването се определя в това правно основание или доколкото се отнася до обработването по параграф 1, буква д), то трябва да е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора. Това правно основание може да включва конкретни разпоредби за адаптиране на прилагането на разпоредбите на настоящия регламент, inter alia общите условия, които определят законосъобразността на обработването от администратора, видовете данни, които подлежат на обработване, съответните субекти на данни; образуванията, пред които могат да бъдат разкривани лични данни, и целите, за които се разкриват; ограниченията по отношение на целите на разкриването; периодът на съхранение и операциите и процедурите за обработване, включително мерки за гарантиране на законосъобразното и добросъвестно обработване, като тези за други конкретни случаи на обработване съгласно предвиденото в глава IX. Правото на Съюза или правото на държавата членка се съобразява с обществения интерес и е пропорционално на преследваната легитимна цел.

4. Когато обработването за други цели, различни от тези, за които първоначално са били събрани личните данни, не се извършва въз основа на съгласието на субекта на данните или на правото на Съюза или правото на държава членка, което представлява необходима и пропорционална мярка в едно демократично общество за гарантиране на целите по член 23, параграф 1, администраторът, за да се увери дали обработването за други цели е съвместимо с първоначалната цел, за която са били събрани личните данни, inter alia, взема под внимание:

a)	всяка връзка между целите, за които са били събрани личните данни, и целите на предвиденото по-нататъшно обработване;

б)	контекста, в който са били събрани личните данни, по-специално във връзка с отношенията между субекта на данните и администратора;

в)	естеството на личните данни, по-специално дали се обработват специални категории лични данни съгласно член 9 или се обработват лични данни, отнасящи се до присъди и нарушения, съгласно член 10;

г)	възможните последствия от предвиденото по-нататъшно обработване за субектите на данните;

д)	наличието на подходящи гаранции, които могат да включват криптиране или псевдонимизация.

Член 8

Условия, приложими за съгласието на дете във връзка с услугите на информационното общество

1. Когато се прилага член 6, параграф 1, буква а), във връзка с прякото предлагане на услуги на информационното общество на деца, обработването на данни на дете е законосъобразно, ако детето е поне на 16 години. Ако детето е под 16 години това обработване е законосъобразно само ако и доколкото такова съгласие е дадено или разрешено от носещия родителска отговорност за детето.

Държавите членки могат да предвидят в правото си по-ниска възраст за същите цели при условие че тази по-ниска възраст не е под 13 години.

2. В такива случаи администраторът полага разумни усилия за удостоверяване, че съгласието е дадено или разрешено от носещия родителска отговорност за детето, като взема предвид наличната технология.

3. Параграф 1 не засяга общото договорно право на държавите членки като разпоредбите относно действителността, сключването или последиците от даден договор по отношение на дете.

Член 12

Прозрачна информация, комуникация и условия за упражняването на правата на субекта на данни

1. Администраторът предприема необходимите мерки за предоставяне на всякаква информация по членове 13 и 14 и на всякаква комуникация по членове 15—22 и член 34, която се отнася до обработването, на субекта на данните в кратка, прозрачна, разбираема и лесно достъпна форма, на ясен и прост език, особено що се отнася до всяка информация, конкретно насочена към деца. Информацията се предоставя писмено или по друг начин, включително, когато е целесъобразно, с електронни средства. Ако субектът на данните е поискал това, информацията може да бъде дадена устно, при положение че идентичността на субекта на данните е доказана с други средства.

2. Администраторът съдейства за упражняването на правата на субекта на данните по членове 15—22. В случаите, посочени в член 11, параграф 2, администраторът не отказва да предприеме действия по искане на субекта на данните за упражняване на правата му по членове 15—22, освен ако докаже, че не е в състояние да идентифицира субекта на данните.

3. Администраторът предоставя на субекта на данни информация относно действията, предприети във връзка с искане по членове 15—22, без ненужно забавяне и във всички случаи в срок от един месец от получаване на искането. При необходимост този срок може да бъде удължен с още два месеца, като се взема предвид сложността и броя на исканията. Администраторът информира субекта на данните за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето. Когато субектът на данни подава искане с електронни средства, по възможност информацията се предоставя с електронни средства, освен ако субектът на данни не е поискал друго.

4. Ако администраторът не предприеме действия по искането на субекта на данни, администраторът уведомява субекта на данни без забавяне и най-късно в срок от един месец от получаване на искането за причините да не предприеме действия и за възможността за подаване на жалба до надзорен орган и търсене на защита по съдебен ред.

5. Информацията по членове 13 и 14 и всяка комуникация и действия по членове 15—22 и член 34 се предоставят безплатно. Когато исканията на субект на данни са явно неоснователни или прекомерни, по-специално поради своята повторяемост, администраторът може или:

а)	да наложи разумна такса, като взема предвид административните разходи за предоставяне на информацията или комуникацията или предприемането на исканите действия, или

б)	да откаже да предприеме действия по искането.

Администраторът носи тежестта на доказване на явно неоснователния или прекомерен характер на искането.

6. Без да се засягат разпоредбите на член 11, когато администраторът има основателни опасения във връзка със самоличността на физическото лице, което подава искане по членове 15—21, администраторът може да поиска предоставянето на допълнителна информация, необходима за потвърждаване на самоличността на субекта на данните.

7. Информацията, която трябва да се предостави на субектите на данни съгласно членове 13 и 14, може да бъде предоставена в комбинация със стандартизирани икони, чрез което по лесно видим, разбираем и ясно четим начин да се представи смислен преглед на планираното обработване. Ако иконите се представят в електронен вид, те трябва да бъдат машинночитаеми.

8. На Комисията се предоставя правомощието да приема делегирани актове в съответствие с член 92 с цел определяне на информацията, която да бъде представена под формата на икони, и на процедурите за предоставяне на стандартизирани икони.

Раздел 2

Информация и достъп до лични данни

Член 28

Обработващ личните данни

1. Когато обработването се извършва от името на даден администратор, администраторът използва само обработващи лични данни, които предоставят достатъчни гаранции за прилагането на подходящи технически и организационни мерки по такъв начин, че обработването да протича в съответствие с изискванията на настоящия регламент и да осигурява защита на правата на субектите на данни.

2. Обработващият данни не включва друг обработващ данни без предварителното конкретно или общо писмено разрешение на администратора. В случай на общо писмено разрешение, обработващият данни винаги информира администратора за всякакви планирани промени за включване или замяна на други лица, обработващи данни, като по този начин даде възможност на администратора да оспори тези промени.

3. Обработването от страна на обработващия лични данни се урежда с договор или с друг правен акт съгласно правото на Съюза или правото на държава членка, който е задължителен за обработващия лични данни спрямо администратора, и който регламентира предмета и срока на действие на обработването, естеството и целта на обработването, вида лични данни и категориите субекти на данни и задълженията и правата на администратора. В този договор или друг правен акт се предвижда по-специално, че обработващият лични данни:

обработва личните данни само по документирано нареждане на администратора, включително що се отнася до предаването на лични данни на трета държава или международна организация, освен когато е длъжен да направи това по силата на правото на Съюза или правото на държава членка, което се прилага спрямо обработващия лични данни, като в този случай обработващият лични данни информира администратора за това правно изискване преди обработването, освен ако това право забранява такова информиране на важни основания от публичен интерес;

б)	гарантира, че лицата, оправомощени да обработват личните данни, са поели ангажимент за поверителност или са задължени по закон да спазват поверителност;

в)	взема всички необходими мерки съгласно член 32;

г)	спазва условията по параграфи 2 и 4 за включване на друг обработващ лични данни;

д)	като взема предвид естеството на обработването, подпомага администратора, доколкото е възможно, чрез подходящи технически и организационни мерки при изпълнението на задължението на администратора да отговори на искания за упражняване на предвидените в глава III права на субектите на данни;

е)	подпомага администратора да гарантира изпълнението на задълженията съгласно членове 32—36, като отчита естеството на обработване и информацията, до която е осигурен достъп на обработващия лични данни;

ж)	по избор на администратора заличава или връща на администратора всички лични данни след приключване на услугите по обработване и заличава съществуващите копия, освен ако правото на Съюза или правото на държава членка не изисква тяхното съхранение;

з)	осигурява достъп на администратора до цялата информация, необходима за доказване на изпълнението на задълженията, определени в настоящия член, и позволява и допринася за извършването на одити, включително проверки, от страна на администратора или друг одитор, оправомощен от администратора.

Предвид буква з) от първа алинея обработващият лични данни незабавно уведомява администратора, ако според него дадено нареждане нарушава настоящия регламент или други разпоредби на Съюза или на държавите членки относно защитата на данни.

4. Когато обработващ лични данни включва друг обработващ лични данни за извършването на специфични дейности по обработване от името на администратора, чрез договор или друг правен акт съгласно правото на Съюза или правото на държава членка на това друго лице се налагат същите задължения за защита на данните, както задълженията, предвидени в договора или друг правен акт между администратора и обработващия лични данни, както е посочено в параграф 3, по-специално да предостави достатъчно гаранции за прилагане на подходящи технически и организационни мерки, така че обработването да отговаря на изискванията на настоящия регламент. Когато другият обработващ лични данни не изпълни задължението си за защита на данните, първоначалният обработващ данните продължава да носи пълна отговорност пред администратора за изпълнението на задълженията на този друг обработващ лични данни.

5. Придържането на обработващия лични данни към одобрен кодекс за поведение, посочен в член 40 или одобрен механизъм за сертифициране, посочен в член 42 може да се използва като доказателство за предоставянето на достатъчно гаранции съгласно параграфи 1 и 4 от настоящия член.

6. Без да се засягат разпоредбите на индивидуален договор между администратора и обработващия лични данни, договорът или другият правен акт, посочени в параграфи 3 и 4 от настоящия член, може да се основават изцяло или отчасти на стандартни договорни клаузи, посочени в параграфи 7 и 8 от настоящия член, включително когато са част от сертифициране, предоставено на администратора или обработващия лични данни съгласно членове 42 и 43.

7. Комисията може да установява стандартни договорни клаузи по въпроси, посочени в параграфи 3 и 4 от настоящия член, и в съответствие с процедурата по разглеждане, посочена в член 93, параграф 2.

8. Надзорният орган може да приема стандартни договорни клаузи по въпросите, посочени в параграфи 3 и 4 от настоящия член, и в съответствие с механизма за съгласуваност, посочен в член 63.

9. Договорът или другият правен акт, посочен в параграфи 3 и 4, се изготвят в писмена форма, включително в електронна форма.

10. Без да се засягат членове 82, 83 и 84, ако обработващ лични данни наруши настоящия регламент, определяйки целите и средствата на обработването, обработващият личните данни се счита за администратор по отношение на това обработване.

Член 41

Наблюдение на одобрените кодекси за поведение

1. Без да се засягат задачите и правомощията на компетентния надзорен орган по членове 57 и 58, наблюдението на спазването на даден кодекс за поведение съгласно член 40 може да се осъществява от орган, който има съответното ниво на опит във връзка с предмета на кодекса и е акредитиран за тази цел от компетентния надзорен орган.

2. Посоченият в параграф 1 орган може да бъде акредитиран да наблюдава съответствието с кодекс за поведение, ако:

a)	е доказал в задоволителна степен пред компетентния надзорен орган своята независимост и опит във връзка с предмета на кодекса;

б)	е установил процедури, даващи му възможност да направи оценка на допустимостта на съответните администратори и обработващи лични данни да прилагат кодекса, да наблюдава дали те спазват разпоредбите на кодекса и периодично да прави преглед на неговото функциониране;

в)

е установил процедури и структури за обработване на жалби за нарушения на кодекса или за начина, по който кодексът е бил приложен или се прилага от администратор или обработващ лични данни, и за прозрачното довеждане на тези процедури и структури до знанието на субектите на данни и обществеността; и

г)	демонстрира в задоволителна степен пред компетентния надзорен орган, че задачите и задълженията му не водят до конфликт на интереси.

3. Компетентният надзорен орган представя проектокритериите за акредитацията на орган по параграф 1 от настоящия член на Комитета в съответствие с посочения в член 63 механизъм за съгласуваност.

4. Без да се засягат задачите и правомощията на компетентния надзорен орган и разпоредбите на глава VIII, при наличие на адекватни предпазни мерки орган, посочен в параграф 1 от настоящия член, предприема съответните действия в случай на нарушение на кодекса от страна на администратор или обработващ лични данни, включително като суспендира членството в кодекса или изключва от него съответния администратор или обработващ лични данни. Той информира компетентния надзорен орган за тези действия и за мотивите, с които са предприети.

5. Компетентният надзорен орган анулира акредитацията на орган по параграф 1, ако условията за акредитация не са били спазени или вече не се спазват или ако предприетите от органа действия нарушават настоящия регламент.

6. Настоящият член не се прилага по отношение на обработване, извършвано от публичните власти и органи.

Член 47

Задължителни фирмени правила

1. Компетентният надзорен орган одобрява задължителни фирмени правила в съответствие с механизма за съгласуваност, определен в член 63, ако те:

a)	са със задължителен характер, прилагат се спрямо и се привеждат в изпълнение от всеки съответен член на групата предприятия или групата дружества, участващи в съвместна стопанска дейност, включително техните служители;

б)	изрично предоставят на субектите на данни приложими права по отношение на обработването на техните лични данни; и

в)	изпълняват изискванията, установени в параграф 2.

2. В посочените в параграф 1 задължителни фирмени правила се уточнява най-малко следното:

a)	структурата и координатите за връзка на групата предприятия или групата дружества, участващи в съвместна стопанска дейност и на всеки техен член;

б)	предаването или съвкупността от предавания на данни, включително категориите лични данни, видът на обработването и неговите цели, видът на засегнатите субекти на данни, и се посочва въпросната трета държава или държави;

в)	тяхното правно обвързващо естество както на вътрешно, така и на външно равнище;

г)

прилагането на общите принципи за защита на данните, по-специално ограничението на целите, свеждането на данните до минимум, ограничените периоди на съхранение, качеството на данните, защитата на данните на етапа на проектирането и по подразбиране, правното основание за обработването, обработването на специални категории лични данни, мерките за гарантиране сигурността на данните, както и изискванията по отношение на последващото предаване на данни на образувания, които не са обвързани от задължителните фирмени правила;

д)

правата на субектите на данни по отношение на обработването и средствата за упражняване на тези права, включително правото на субекта на данни да не бъде обект на решения, основани единствено на автоматизирано обработване, включително профилиране в съответствие с член 22, правото на подаване на жалба до компетентния надзорен орган и до компетентните съдилища на държавите членки в съответствие с член 79, както и правото на съдебна защита, и когато е приложимо — на обезщетение за нарушаване на задължителните фирмени правила;

е)

поемането от администратора или обработващия лични данни, установен на територията на държава членка, на отговорност за всяко нарушение на задължителните фирмени правила от който и да е член на съответната група, който не е установен в Съюза; администраторът или обработващият лични данни е изцяло или частично освободен от такава отговорност само ако докаже, че този член не носи отговорност за събитието, довело до причиняването на вреда;

ж)	начинът, по който информацията относно задължителните фирмени правила, по-специално относно разпоредбите, посочени в букви г), д) и е) от настоящия параграф, се предоставя на субектите на данни в допълнение към информацията по членове 13 и 14;

з)

задачите на всяко длъжностно лице за защита на данните, определено в съответствие с член 37, или всяко друго лице или образувание, натоварено да наблюдава спазването на задължителните фирмени правила в рамките на групата предприятия или групата дружества, участващи в съвместна стопанска дейност, както и да наблюдава обучението и разглеждането на жалбите;

и)	процедурите по отношение на жалбите;

й)

механизмите в рамките на групата предприятия или групата дружества, участващи в съвместна стопанска дейност за осигуряване на проверка на спазването на задължителните фирмени правила. Тези механизми включват одити на защитата на данните и методи за осигуряване на коригиращи действия за защита на правата на субекта на данни. Резултатите от тази проверка следва да се съобщават на лицето или образуванието, посочено в буква з), и на управителния съвет на контролиращото предприятие на групата предприятия или на групата дружества, участващи в съвместна стопанска дейност, и следва при поискване да се предоставят на компетентния надзорен орган;

к)	механизмите за докладване и записване на промени в правилата и докладването на надзорния орган за тези промени;

л)

механизмът за сътрудничество с надзорния орган с цел осигуряване на спазването на правилата от всеки член на групата предприятия или на групата дружества, участващи в съвместна стопанска дейност, по-специално чрез предоставяне на надзорния орган на резултатите от проверките на мерките, посочени в буква й);

м)

механизмите за докладване на компетентния надзорен орган за всякакви правни изисквания, приложими към член на групата предприятия или групата дружества, участващи в съвместна стопанска дейност, в трета държава, които е вероятно да доведат до значими неблагоприятни последици за гаранциите, предоставяни от задължителните фирмени правила; както и

н)	подходящото обучение за защита на данните за персонала, който постоянно или редовно има достъп до лични данни.

3. Комисията може да определя формáта и процедурите за обмена на информация между администраторите, обработващите лични данни и надзорните органи относно задължителните фирмени правила по смисъла на настоящия член. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 93, параграф 2.

Член 51

Надзорен орган

1. Всяка държава членка осигурява един или повече независими публични органи, които са отговорни за наблюдението на прилагането на настоящия регламент, за да се защитят основните права и свободи на физическите лица във връзка с обработването и да се улесни свободното движение на личните данни в рамките на Съюза („надзорен орган“).

2. Всеки надзорен орган допринася за последователното прилагане на настоящия регламент в рамките на Съюза. За тази цел надзорните органи си сътрудничат помежду си и с Комисията в съответствие с глава VII.

3. Когато в дадена държава членка е създаден повече от един надзорен орган, тази държава членка определя надзорния орган, който представлява тези органи в Комитета, и определя механизма за осигуряване на спазването от другите органи на правилата, отнасящи се до механизма за съгласуваност, посочен в член 63.

4. Всяка държава членка уведомява Комисията за разпоредбите в своето законодателство, които приема по силата на настоящата глава, най-късно до 25 май 2018 г. и я уведомява без забавяне за всяко последващо изменение, което ги засяга.

Член 57

Задачи

1. Без да се засягат останалите задачи, определени с настоящия регламент, на своята територия всеки надзорен орган:

a)	наблюдава и осигурява прилагането на настоящия регламент;

б)	насърчава обществената информираност и разбиране на рисковете, правилата, гаранциите и правата, свързани с обработването. Обръща се специално внимание на дейностите, специално насочени към децата;

в)	дава становища, в съответствие с правото на държавата членка, на националния парламент, правителството и други институции и органи относно законодателните и административните мерки, свързани със защитата на правата и свободите на физическите лица по отношение на обработването;

г)	насърчава информираността на администраторите и обработващите лични данни за задълженията им по силата на настоящия регламент;

д)	при поискване предоставя информация на всеки субект на данни във връзка с упражняването на правата му по силата на настоящия регламент и ако е необходимо, си сътрудничи за тази цел с надзорните органи в други държави членки;

е)

разглежда жалбите, подадени от субект на данни или от структура, организация или сдружение в съответствие с член 80, и разследва предмета на жалбата, доколкото това е целесъобразно, и информира жалбоподателя за напредъка и резултатите от разследването в разумен срок, особено ако е необходимо по-нататъшно разследване или координиране с друг надзорен орган;

ж)	сътрудничи си с други надзорни органи, включително чрез обмен на информация и взаимопомощ, с оглед осигуряване на съгласувано прилагане и изпълнение на настоящия регламент;

з)	извършва проучвания относно прилагането на настоящия регламент, включително въз основа на информация, получена от друг надзорен или публичен орган;

и)	наблюдава съответното развитие, по-специално в областта на информационните и комуникационни технологии и търговските практики, дотолкова доколкото то оказва влияние върху защитата на личните данни;

й)	приема стандартните договорни клаузи, посочени в член 28, параграф 8 и член 46, параграф 2, буква г);

к)	съставя и поддържа списък във връзка с изискването за оценка на въздействието върху защитата на данните съгласно член 35, параграф 4;

л)	дава становища по операциите за обработване на данни, посочени в член 36, параграф 2;

м)	насърчава съставянето на кодекси за поведение съгласно член 40 и предоставя становище и одобрява кодексите за поведение, които осигуряват достатъчно гаранции съгласно член 40, параграф 5;

н)	насърчава създаването на механизми за сертифициране за защита на данните и на печати и маркировки за защита на данните съгласно член 42, параграф 1, и одобрява критериите за сертифициране съгласно член 42, параграф 5;

о)	когато е приложимо, извършва периодичен преглед на сертификатите, издадени в съответствие с член 42, параграф 7;

п)	изготвя и публикува критериите за акредитация на органите за наблюдение на кодексите за поведение съгласно член 41 и на сертифициращите органи съгласно член 43;

р)	извършва акредитацията на органите за наблюдение на кодексите за поведение съгласно член 41 и на сертифициращите органи съгласно член 43;

с)	дава разрешение за договорните клаузи и разпоредбите, посочени в член 46, параграф 3;

т)	одобрява задължителните фирмени правила съгласно член 47;

у)	допринася за дейностите на Комитета;

ф)	поддържа вътрешен регистър на нарушенията на настоящия регламент, както и на предприетите мерки в съответствие с член 58, параграф 2; и

х)	изпълнява други задачи, свързани със защитата на лични данни.

2. Всеки надзорен орган улеснява подаването на жалбите, посочени в параграф 1, буква е), чрез мерки като например формуляр за подаване на жалби, който може да бъде попълнен и по електронен път, без да се изключват други средства за комуникация.

3. Изпълнението на задачите от страна на всеки надзорен орган е безплатно за субекта на данни и — когато това е приложимо — за длъжностното лице за защита на данните.

4. Когато исканията са очевидно неоснователни или прекомерни, по-специално поради своята повторяемост, надзорният орган може да наложи разумна такса, основана на административните разходи, или да откаже да предприеме действия по искането. Надзорният орган носи тежестта на доказване на очевидно неоснователния или прекомерния характер на искането.

Член 58

Правомощия

1. Всеки надзорен орган има всички от посочените по-долу правомощия за разследване:

a)	да разпорежда на администратора и на обработващия лични данни и, когато е приложимо — на представителя на администратора или на обработващия лични данни, да предоставят всяка информация, която той поиска за изпълнението на своите задачи;

б)	да провежда разследвания под формата на одити във връзка със защитата на данните;

в)	да извършва преглед на сертификатите, издадени в съответствие с член 42, параграф 7;

г)	да уведомява администратора или обработващия лични данни за предполагаемо нарушение на настоящия регламент;

д)	да получава от администратора и обработващия лични данни достъп до всички лични данни и до цялата информация, от която се нуждае за изпълнението на своите задачи;

е)	да получава достъп до всички помещения на администратора и обработващия лични данни, включително до всяко оборудване и средство за обработване на данни, в съответствие с правото на Съюза или процесуалното право на държавата членка.

2. Всеки надзорен орган има всички от посочените по-долу корективни правомощия:

a)	да отправя предупреждения до администратора или обработващия лични данни, когато има вероятност операции по обработване на данни, които те възнамеряват да извършат, да нарушат разпоредбите на настоящия регламент;

б)	да отправя официално предупреждение до администратора или обработващия лични данни, когато операции по обработване на данни са нарушили разпоредбите на настоящия регламент;

в)	да разпорежда на администратора или обработващия лични данни да изпълнят исканията на субекта на данни да упражнява правата си съгласно настоящия регламент;

г)	да разпорежда на администратора или обработващия лични данни да съобразят операциите по обработване на данни с разпоредбите на настоящия регламент и, ако е целесъобразно, това да стане по указан начин и в определен срок;

д)	да разпорежда на администратора да съобщава на субекта на данните за нарушение на сигурността на личните данни;

е)	да налага временно или окончателно ограничаване, в т.ч. забрана, на обработването на данни;

ж)	да разпорежда коригирането, или изтриването на лични данни или ограничаването на обработването им съгласно членове 16, 17 и 18, както и уведомяването за тези действия на получатели, пред които личните данни са били разкрити съгласно член 17, параграф 2 и член 19;

з)	да отнема сертификат или да разпорежда на сертифициращия орган да отнеме сертификат, издаден съгласно членове 42 и 43, или да разпорежда на сертифициращия орган да не издава сертификат, ако изискванията за сертифицирането не са спазени или вече не се спазват;

и)	да налага административно наказание „глоба“ или „имуществена санкция“ съгласно член 83, в допълнение към мерките, посочени в настоящия параграф, или вместо тях, в зависимост от особеностите на всеки отделен случай;

й)	да разпорежда преустановяването на потока на данни към получател в трета държава или към международна организация;

3. Всеки надзорен орган има всички от посочените по-долу правомощия да дава разрешения и становища:

a)	да дава становища на администратора в съответствие с процедурата по предварителна консултация, посочена в член 36;

б)	да издава по собствена инициатива или при поискване становища до националния парламент, правителството на държавата членка или, в съответствие с правото на държавата членка — до други институции и органи, както и до обществеността по всякакви въпроси, свързани със защитата на лични данни;

в)	да дава разрешение за обработването, посочено в член 36, параграф 5, ако съгласно правото на държавата членка се изисква такова предварително разрешение;

г)	да дава становища и да одобрява проекти на кодекси за поведение съгласно член 40, параграф 5;

д)	да акредитира сертифициращи органи съгласно член 43;

е)	да издава сертификати и да одобрява критериите за сертифициране в съответствие с член 42, параграф 5;

ж)	да приема стандартните клаузи за защита на данните, посочени в член 28, параграф 8 и в член 46, параграф 2, буква г);

з)	да дава разрешение за договорните клаузи, посочени в член 46, параграф 3, буква а);

и)	да дава разрешение за административните договорености, посочени в член 46, параграф 3, буква б);

й)	да одобрява задължителните фирмени правила съгласно член 47.

4. Упражняването на правомощията, предоставени на надзорния орган по силата на настоящия член, се осъществява при осигуряване на подходящи гаранции, в т.ч. ефективни съдебни средства за правна защита и справедлив съдебен процес, определени в правото на Съюза и правото на държава членка в съответствие с Хартата.

5. Всяка държава членка урежда със закон нейният надзорен орган да има правомощието да довежда нарушенията на настоящия регламент до знанието на съдебните органи и по целесъобразност да инициира или по друг начин да участва в съдебни производства, с цел осигуряване на изпълнението на настоящия регламент.

6. Всяка държава членка може да урежда със закон нейният надзорен орган да има допълнителни правомощия освен посочените в параграфи 1, 2 и 3. Упражняването на тези правомощия не нарушава ефективното действие на глава VII.

Член 68

Европейски комитет по защита на данните

1. Създава се Европейски комитет по защита на данните („Комитетът“), който е орган на Съюза и притежава правосубектност.

2. Комитетът се представлява от своя председател.

3. Комитетът е съставен от ръководителите на по един надзорен орган от всяка държава членка и Европейския надзорен орган по защита на данните, или от съответните им представители.

4. Когато в дадена държава членка повече от един надзорен орган отговаря за наблюдението на прилагането на разпоредбите съгласно настоящия регламент, в съответствие с правото на тази държава членка се назначава общ представител.

5. Комисията има право да участва в дейностите и заседанията на Комитета без право на глас. Комисията посочва свой представител. Председателят на Комитета уведомява Комисията за дейностите на Комитета.

6. В случаите, посочени с член 65, Европейският надзорен орган по защита на данните има право на глас само във връзка с решения, които се отнасят до принципите и правилата, приложими за институциите, органите, службите и агенциите на Съюза, които съответстват по същество на предвидените в настоящия регламент.

Член 70

Задачи на Комитета

1. Комитетът осигурява съгласуваното прилагане на настоящия регламент. За тази цел Комитетът по своя собствена инициатива или, ако е целесъобразно, по искане на Комисията, по-специално:

a)	наблюдава и гарантира правилното прилагане на настоящия регламент в случаите, предвидени в членове 64 и 65, без да се засягат задачите на националните надзорни органи;

б)	консултира Комисията по всеки въпрос, свързан със защитата на личните данни в Съюза, включително относно всяко предложено изменение на настоящия регламент;

в)	консултира Комисията относно формàта и процедурите за обмен на информация между администраторите, обработващите лични данни и надзорните органи за задължителните фирмени правила;

г)	издава насоки, препоръки и най-добри практики относно процедурите за изтриване на връзки, копия или преписи на лични данни от обществено достъпни съобщителни услуги, както е посочено в член 17, параграф 2;

д)	разглежда по своя собствена инициатива, по искане на някой от своите членове или по искане на Комисията всеки въпрос, който се отнася до прилагането на настоящия регламент, и издава насоки, препоръки и най-добри практики с цел насърчаване на съгласуваното прилагане на настоящия регламент;

е)	издава насоки, препоръки и най-добри практики в съответствие с буква д) от настоящия параграф за допълнително уточняване на критериите и условията във връзка с решенията, основани на профилиране на данни съгласно член 22, параграф 2;

ж)

издава насоки, препоръки и най-добри практики в съответствие с буква д) от настоящия параграф за установяване на нарушения на сигурността на данните и определяне на ненужното забавяне по член 33, параграфи 1 и 2, както и за определяне на конкретните обстоятелства, при които от администратора или обработващия лични данни се изисква да уведомяват за нарушението на сигурността на личните данни;

з)	издава насоки, препоръки и най-добри практики в съответствие с буква д) от настоящия параграф по отношение на обстоятелствата, при които нарушение на сигурността на личните данни има вероятност да доведе до висок риск за правата и свободите на физическите лица, посочени в член 34, параграф 1;

и)

издава насоки, препоръки и най-добри практики в съответствие с буква д) от настоящия параграф за целите на допълнително уточняване на критериите и изискванията за предаване на лични данни въз основа на задължителни фирмени правила, които се спазват от администраторите, и задължителни фирмени правила, които се спазват от обработващите лични данни, както и на необходимите допълнителни изисквания за осигуряване на защита на личните данни на съответните субекти на данни, посочени в член 47;

й)	издава насоки, препоръки и най-добри практики в съответствие с буква д) от настоящия параграф за целите на допълнително уточняване на критериите и изискванията за предаване на лични данни въз основа на член 49, параграф 1;

к)	изготвя насоки за надзорните органи относно прилагането на мерките, посочени в член 58, параграфи 1, 2 и 3, и определянето на размера на административните наказания „глоба“ или „имуществена санкция“ съгласно член 83;

л)	извършва преглед на практическото прилагане на насоките, препоръките и най-добрите практики, посочени в букви д) и е);

м)	издава насоки, препоръки и най-добри практики в съответствие с буква д) от настоящия параграф за установяване на общи процедури за подаване на сигнали от физически лица за нарушения на настоящия регламент съгласно член 54, параграф 2;

н)	насърчава изготвянето на кодекси на поведение и установяването на механизми за сертифициране за защита на данните и печати и маркировки за защита на данните съгласно членове 40 и 42;

о)	извършва акредитацията на сертифициращи органи и периодичния ѝ преглед съгласно член 43 и поддържа публичен регистър на акредитираните органи съгласно член 43, параграф 6 и на акредитираните администратори и обработващи лични данни, установени в трети държави, съгласно член 42, параграф 7;

п)	уточнява изискванията, посочени в член 43, параграф 3, с оглед на акредитацията на сертифициращи органи съгласно член 42;

р)	предоставя на Комисията становище относно изискванията за сертифициране, посочени в член 43, параграф 8;

с)	предоставя на Комисията становище относно иконите, посочени в член 12, параграф 7;

т)

предоставя на Комисията становище за оценка на адекватността на нивото на защита на данните в трета държава или международна организация, включително за оценка на това дали третата държава, територията или един или повече конкретни сектори в рамките на тази трета държава, или международната организация, са престанали да осигуряват адекватно ниво на защита. За тази цел Комисията предоставя на Комитета цялата необходима документация, включително кореспонденцията с правителството на третата държава, по отношение на тази трета държава, територия или конкретен сектор или с международната организация;

у)	дава становища по проекти за решения на надзорните органи по силата на механизма за съгласуваност, посочен в член 64, параграф 1, по въпроси, изпратени съгласно член 64, параграф 2 и приема решения със задължителен характер съгласно член 65, включително по въпроси, разглеждани съгласно член 66;

ф)	насърчава сътрудничеството и ефективния двустранен и многостранен обмен на информация и добрите практики между надзорните органи;

х)	насърчава общите програми за обучение и улеснява обмена на персонал между надзорните органи и — когато това е целесъобразно —с надзорните органи на трети държави или международни организации;

ц)	насърчава обмена на знания и документация относно законодателството и практиките в областта на защитата на данни с надзорните органи по защита на данните в цял свят;

ч)	дава становища по кодексите за поведение, съставяни на равнището на Съюза в съответствие с член 40, параграф 9; и

ш)	поддържа обществено достъпен електронен регистър на решенията, взети от надзорните органи и съдилищата по въпроси, разглеждани в рамките на механизма за съгласуваност.

2. Когато Комисията поиска съвет от Комитета, тя може да посочи срок, като се взема предвид спешността на въпроса.

3. Комитетът изпраща своите становища, насоки, препоръки и най-добри практики на Комисията и на комитета, посочен в член 93, и ги прави обществено достояние.

4. Комитетът се консултира по целесъобразност със заинтересованите страни и им предоставя възможност да направят коментари в рамките на разумен срок. Без да се засягат разпоредбите на член 76, Комитетът оповестява публично резултатите от процедурата на консултации.

Член 77

Право на подаване на жалба до надзорен орган

1. Без да се засягат които и да било други административни или съдебни средства за правна защита, всеки субект на данни има право да подаде жалба до надзорен орган, по-специално в държавата членка на обичайно местопребиваване, място на работа или място на предполагаемото нарушение, ако субектът на данни счита, че обработването на лични данни, отнасящи се до него,нарушава разпоредбите на настоящия регламент.

2. Надзорният орган, до когото е подадена жалбата, информира жалбоподателя за напредъка в разглеждането на жалбата и за резултата от нея, включително за възможността за съдебна защита съгласно член 78.

Член 83

Общи условия за налагане на административни наказания „глоба“ или „имуществена санкция“

1. Всеки надзорен орган гарантира, че наложените административни наказания „глоба“ или „имуществена санкция“ в съответствие с настоящия член за извършени нарушения на настоящия регламент, посочени в параграфи 4, 5 и 6, във всеки конкретен случай са ефективни, пропорционални и възпиращи.

2. В зависимост от обстоятелствата във всеки конкретен случай административните наказания „глоба“ или „имуществена санкция“ се налагат в допълнение към мерките, посочени в член 58, параграф 2, букви а)—з) и й), или вместо тях. Когато се взема решение дали да бъде наложено административно наказание „глоба“ или „имуществена санкция“ и се определя нейният размер, във всеки конкретен случай надлежно се разглеждат следните елементи:

a)	естеството, тежестта и продължителността на нарушението, като се взема предвид естеството, обхватът или целта на съответното обработване, както и броят на засегнатите субекти на данни и степента на причинената им вреда;

б)	дали нарушението е извършено умишлено или по небрежност;

в)	действията, предприети от администратора или обработващия лични данни за смекчаване на последиците от вредите, претърпени от субектите на данни;

г)	степента на отговорност на администратора или обработващия лични данни като се вземат предвид технически и организационни мерки, въведени от тях в съответствие с членове 25 и 32;

д)	евентуални свързани предишни нарушения, извършени от администратора или обработващия лични данни;

е)	степента на сътрудничество с надзорния орган с цел отстраняване на нарушението и смекчаване на евентуалните неблагоприятни последици от него;

ж)	категориите лични данни, засегнати от нарушението;

з)	начина, по който нарушението е станало известно на надзорния орган, по-специално дали и до каква степен администраторът или обработващият лични данни е уведомил за нарушението;

и)	когато на засегнатия администратор или обработващ лични данни преди са налагани мерки, посочени в член 58, параграф 2, във връзка със същия предмет на обработването, дали посочените мерки са спазени;

й)	придържането към одобрени кодекси на поведение съгласно член 40 или одобрени механизми за сертифициране съгласно член 42; и

к)	всякакви други утежняващи или смекчаващи фактори, приложими към обстоятелствата по случая, като пряко или косвено реализирани финансови ползи или избегнати загуби вследствие на нарушението.

3. Ако администратор или обработващ лични данни умишлено или по небрежност наруши няколко разпоредби на настоящия регламент при една и съща операция по обработване или при свързани операции, общият размер на административната глоба или имуществената санкция не може да надвишава сумата, определена за най-тежкото нарушение.

4. Нарушенията на посочените по-долу разпоредби подлежат, в съответствие с параграф 2, на административно наказание „глоба“ или „имуществена санкция“ в размер до 10 000 000 EUR или, в случай на предприятие — до 2 % от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока:

a)	задълженията на администратора и обработващия лични данни съгласно членове 8, 11, 25—39 и 42 и 43;

б)	задълженията на сертифициращия орган съгласно членове 42 и 43;

в)	задълженията на органа за наблюдение съгласно член 41, параграф 4.

5. Нарушенията на посочените по-долу разпоредби подлежат, в съответствие с параграф 2, на административно наказание „глоба“ или „имуществена санкция“ в размер до 20 000 000 EUR или, в случай на предприятие — до 4 % от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока:

a)	основните принципи за обработване на лични данни, включително условията, свързани с даването на съгласие, в съответствие с членове 5, 6, 7 и 9;

б)	правата на субектите на данни съгласно членове 12—22;

в)	предаването на лични данни на получател в трета държава или международна организация съгласно членове 44—49;

г)	всички задължения, произтичащи от правото на държавите членки, приети съгласно глава IX;

д)	неспазване на разпореждане, или на временно или окончателно ограничаване във връзка с обработването или на наложено от надзорния орган преустановяване на потоците от данни съгласно член 58, параграф 2 или непредоставяне на достъп в нарушение на член 58, параграф 1.

6. Неспазването на разпореждане на надзорния орган, както е посочено в член 58, параграф 2, подлежи, в съответствие с параграф 2 от настоящия член, на административно наказание „глоба“ или „имуществена санкция“ в размер до 20 000 000 EUR или, в случай на предприятие — до 4 % от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока.

7. Без да се засягат корективните правомощия на надзорните органи съгласно член 58, параграф 2, всяка държава членка може да определя правила за това дали и до каква степен могат да бъдат налагани административни наказания „глоба“ или „имуществена санкция“ на публични органи и структури, установени в тази държава членка.

8. Упражняването от надзорния орган на правомощията му по настоящия член зависи от съответните процедурни гаранции в съответствие с правото на Съюза и правото на държавата членка, включително ефективна съдебна защита и справедлив съдебен процес.

9. Когато в правната система на държавата членка не са предвидени административни наказания „глоба“ или „имуществена санкция“, настоящият член може да се прилага по такъв начин, че глобата да се инициира от компетентния назорен орган и да се налага от компетентните национални съдилища, като в същото време се гарантира, че тези правни средства за защита са ефективни и имат ефект, равностоен на административните наказания „глоба“ или „имуществена санкция“, налагани от надзорните органи. Във всички случаи наложените глоби или имуществени санкции са ефективни, пропорционални и възпиращи. Посочените държави членки уведомяват Комисията за разпоредбите в правото си, които примат съгласно настоящия параграф, най-късно до 25 май 2018 г., и я уведомяват незабавно за всеки последващ закон за изменение или за всяко изменение, които ги засягат.

Член 85

Обработване и свобода на изразяване и информация

1. Държавите членки съгласуват със закон правото на защита на личните данни в съответствие с настоящия регламент с правото на свобода на изразяване и информация, включително обработването за журналистически цели и за целите на академичното, художественото или литературното изразяване.

2. За обработването, извършвано за журналистически цели и за целите на академичното, художественото или литературното изразяване, държавите членки предвиждат изключения или дерогации от глава II (принципи), глава III (права на субекта на данни), глава IV (администратор и обработващ лични данни), глава V (предаване на лични данни на трети държави и международни организации), глава VI (независими надзорни органи), глава VII (сътрудничество и съгласуваност) и глава IX (особени ситуации на обработване на данни), ако те са необходими за съгласуване на правото на защита на личните данни със свободата на изразяване и информация.

3. Всяка държава членка уведомява Комисията за разпоредбите в правото си, които е приела съгласно параграф 2, и я уведомява незабавно за всеки последващ закон за изменение или за всяко изменение, които ги засягат.

whereas

(21) Настоящият регламент не засяга прилагането на Директива 2000/31/ЕО на Европейския парламент и на Съвета (8), и по-специално разпоредбите относно междинните доставчици на услуги в членове 12—15 от посочената директива. Тази директива има за цел да допринесе за нормалното функциониране на вътрешния пазар, като осигурява свободното движение на услуги на информационното общество между държавите членки.

- = -

(23) За да се гарантира, че физическите лица не са лишени от защитата, на която те имат право по силата на настоящия регламент, обработването на лични данни на субекти на данни, които се намират в Съюза, от администратор или обработващ лични данни, който не е установен в Съюза, следва да подлежи на разпоредбите на настоящия регламент в случаите, когато дейностите по обработване на данни са свързани с предлагането на стоки или услуги на такива субекти на данни, независимо дали това е свързано с плащане. За да се установи дали този администратор или обработващ лични данни предлага стоки или услуги на субекти на данни, които се намират в Съюза, следва да бъде уточнено дали е очевидно, че администраторът или обработващият данни възнамерява да предлага услуги на субекти на данни в една или повече държави членки в Съюза. Като се има предвид, че само достъпността на уебсайт на посредник в Съюза, на администратора или обработващия данни, на електронен адрес или на други данни за контакт или използването на език, който по правило се използва в третата държава, където е установен администраторът, са недостатъчни за удостоверяване на такова намерение, фактори като използването на език или парична единица, които по правило се използват в една или повече държави членки, наред с възможността за поръчване на стоки и услуги на този друг език или споменаването на потребители или ползватели, които се намират в Съюза, могат да свидетелстват за това, че администраторът възнамерява да предлага стоки или услуги на субекти на данни в Съюза.

- = -

(57) Ако обработваните от администратора лични данни не му позволяват да идентифицира дадено физическо лице, администраторът на данни не следва да е задължен да се сдобие с допълнителна информация, за да идентифицира субекта на данните единствено с цел спазване на някоя от разпоредбите на настоящия регламент. Администраторът обаче не следва да отказва да приеме допълнителна информация, подадена от субекта на данни, за да подпомогне упражняването на неговите права. Идентификацията следва да включва цифровата идентификация на субекта на данни, например чрез механизъм за удостоверяване на автентичността, като използването от субекта на данни на една и съща информация за удостоверяване на идентичността при регистрация за онлайн услуга, предлагана от администратора на лични данни.

- = -

(71) Субектът на данни следва да има право да не бъде обект на решение, което може да включва мярка, за оценка на свързани с него лични аспекти единствено въз основа на автоматично обработване, и което поражда правни последствия за него или го засяга също толкова значително, като например автоматичен отказ на онлайн искания за кредит или електронни практики за набиране на персонал без човешка намеса. Това обработване включва „профилиране“, което се състои от всякакви форми на автоматизирано обработване на лични данни за оценка на личните аспекти във връзка с дадено физическо лице, по-специално анализирането или прогнозирането на различни аспекти, имащи отношение към резултатите в работата на субекта на данни, икономическото състояние, здравето, личните предпочитания или интереси, благонадеждността или поведението, местоположението или движенията, когато то поражда правни последствия по отношение на лицето или го засяга също толкова значително. Въпреки това, вземането на решения въз основа на такова обработване, включително профилиране, следва да бъде позволено, когато е изрично разрешено от правото на Съюза или правото на държава членка, под чиято юрисдикция е администраторът, включително за целите на наблюдението и предотвратяването на измами и укриването на данъци, осъществявани в съответствие с разпоредбите, стандартите и препоръките на институциите на Съюза или националите надзорни органи, и за гарантиране на сигурността и надеждността на услугите, предоставяни от администратора, или когато е необходимо за сключването или изпълнението на договор между субект на данни и администратор, или когато субектът на данни е дал изричното си съгласие. Във всеки случай такова обработване следва да подлежи на подходящи гаранции, които следва да включват конкретна информация за субекта на данните и правото на човешка намеса, на изразяване на мнение, на получаване на обяснение за решението, взето в резултат на такава оценка и на обжалване на решението. Такава мярка не следва да се отнася до дете.

- = -

(101) Потоци от лични данни към и от страни извън Съюза и международни организации са необходими за разширяването на международната търговия и международното сътрудничество. Нарастването на тези потоци породи нови предизвикателства и опасения във връзка със защитата на личните данни. Когато обаче лични данни се предават от Съюза на администратори, обработващи лични данни или други получатели в трети държави или на международни организации, нивото на защита на физическите лица, гарантирано в Съюза с настоящия регламент, не следва да бъде излагано на риск, включително в случаите на последващо предаване на лични данни от третата държава или международната организация на администратори или обработващи лични данни в същата или друга трета държава или международна организация. Във всеки случай предаването на данни на трети държави и международни организации може да се извършва единствено в пълно съответствие с настоящия регламент. Предаването може да се извършва, само ако администраторът или обработващият лични данни изпълняват условията, установени в разпоредбите на настоящия регламент относно предаването на лични данни на трети държави или международни организации, при спазване на другите разпоредби на настоящия регламент.

- = -

(102) Настоящият регламент не засяга разпоредбите на международните споразумения, сключени между Съюза и трети държави, с които се урежда предаването на лични данни, включително подходящите гаранции за субектите на данни. Държавите членки могат да сключват международни споразумения, които включват предаването на лични данни на трети държави или международни организации, доколкото тези споразумения не засягат настоящия регламент или други разпоредби на правото на Съюза и доколкото включват подходящо ниво на защита на основните права на субектите на данни.

- = -

(108) При липсата на решение относно адекватното ниво на защита администраторът или обработващият лични данни следва да предприеме мерки, за да компенсира липсата на защита на данни в дадена трета държава чрез подходящи гаранции за субекта на данните. Такива подходящи гаранции може да се състоят в използването на задължителни фирмени правила, стандартни клаузи за защита на данните, приети от Комисията, стандартни клаузи за защита на данните, приети от надзорен орган, или договорни клаузи, разрешени от надзорен орган. Тези гаранции следва да осигуряват спазването на изискванията относно защитата на данните и на правата на субектите на данни, подходящи при обработване в рамките на Съюза, включително наличието на приложими права на субектите на данни и на ефективни средства за правна защита, включително с цел получаване на ефективна административна или съдебна защита и предявяване на искове за обезщетение в Съюза или в трета държава. Те следва да се отнасят по-специално до спазването на общите принципи, свързани с обработването на лични данни, и до принципите за защита на данните на етапа на изготвяне и по подразбиране. Данни може да се предават и от публични органи или организации на публични органи или организации в трети държави или на международни организации със съответните задължения или функции, включително въз основа на разпоредбите, които ще бъдат включени в административните договорености, като например меморандум за разбирателство, с които да се предоставят приложими и действителни права за субектите на данни. Следва да се получи разрешение от компетентния надзорен орган, когато гаранциите са предвидени в административни договорености, които нямат задължителен характер.

- = -

(123) Надзорните органи следва да наблюдават прилагането на разпоредбите съгласно настоящия регламент и да допринасят за неговото последователно прилагане навсякъде в Съюза с цел защита на физическите лица по отношение на обработването на личните им данни и улесняване на свободното движение на личните данни в рамките на вътрешния пазар. За тази цел надзорните органи следва да сътрудничат помежду си и с Комисията, без да е необходимо споразумение между държавите членки относно предоставянето на взаимопомощ или относно такова сътрудничество.

- = -

(130) Когато надзорният орган, до когото е подадена жалбата, не е водещият надзорен орган, водещият надзорен орган следва да работи в тясно сътрудничество с надзорния орган, до когото е подадена жалбата, в съответствие с разпоредбите за сътрудничество и съгласуваност, установени в настоящия регламент. В такива случаи, когато взема мерки, предназначени да породят правни последици, включително налагане на административни наказания „глоба“ или „имуществена санкция“, водещият надзорен орган следва да отчита във възможно най-голяма степен становището на надзорния орган, до когото е подадена жалбата и който следва да запази компетентността за провеждане на разследване на територията на собствената си държава членка, като си сътрудничи с компетентния надзорен орган.

- = -

(153) Правото на държавите членки следва да съвместява разпоредбите, уреждащи свободата на изразяване на мнение и свободата на информация, включително за журналистически, академични, художествени или литературни цели, и правото на защита на личните данни по настоящия регламент. Обработването на лични данни единствено за журналистически цели или за академично, художествено или литературно изразяване следва да подлежи на дерогации или освобождаване от изискванията на някои разпоредби на настоящия регламент, за да се съчетае при необходимост правото на защита на личните данни с правото на свобода на изразяване на мнение и свобода на информация, заложени в член 11 от Хартата. Това следва да се прилага по-специално по отношение на обработването на лични данни в аудио-визуалната област и в новинарските архиви и библиотеките с печатни издания. Поради това държавите членки следва да приемат законодателни мерки, с които да определят освобождаванията и дерогациите, необходими за постигането на баланс между тези основни права. Държавите членки следва да приемат такива освобождавания и дерогации от общите принципи, правата на субекта на данните, администратора и обработващия лични данни, предаването на лични данни на трети държави или международни организации, независимостта на надзорните органи, сътрудничеството и съгласуваността и специалните случаи на обработване на данни. Когато тези освобождавания или дерогации се различават в отделните държави членки, следва да се прилага правото на държавата членка, на което се подчинява администраторът на лични данни. За да се вземе предвид важността на правото на свобода на изразяване на мнение във всяко демократично общество, е необходимо свързаните с тази свобода понятия, като журналистиката например, да се тълкуват широко.

- = -

(154) Настоящият регламент дава възможност при прилагането му да се взема предвид принципът на публичен достъп до официални документи. Публичният достъп до официални документи може да се счита, че е в обществен интерес. Личните данни в документи, съхранявани от публичен орган или публична структура, следва да могат да бъдат разкрити от този орган или структура, ако правото на Съюза или правото на държава членка, чийто субект е публичният орган или публичната структура, предвижда това. Такова законодателство следва да съвместява публичния достъп до официални документи и повторната употреба на информацията в обществения сектор с правото на защита на личните данни и поради това може да осигури необходимото съгласуване с правото на защита на личните данни съгласно настоящия регламент. Във връзка с това позоваването на публични органи и структури следва да включва всички органи или други структури, обхванати от правото на държавата членка относно публичния достъп до документи. Директива 2003/98/EО на Европейския парламент и на Съвета (14) оставя непроменено и по никакъв начин не засяга нивото на защита на физическите лица що се отнася до обработката на лични данни съгласно разпоредбите на Съюза и на националното право и по-специално не променя задълженията и правата, установени в настоящия регламент. По-специално, посочената директива не следва да се прилага за документи, достъпът до които е изключен или ограничен по силата на режимите за достъп на основание защита на личните данни, както и за части от документи, достъпни по силата на тези режими и съдържащи лични данни, чиято повторна употреба е определена от правото като несъвместима с правото за защита на физическите лица по отношение на обработката на лични данни.

- = -

dal 2004 diritto e informatica