interactive GDPR 2016/0679 BG

„лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;

„обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

3)	„ограничаване на обработването“ означава маркиране на съхранявани лични данни с цел ограничаване на обработването им в бъдеще;

„профилиране“ означава всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение;

„псевдонимизация“ означава обработването на лични данни по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано;

6)	„регистър с лични данни“ означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;

„администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;

8)	„обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;

„получател“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели“; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването;

10)	„трета страна“ означава физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;

11)	„съгласие на субекта на данните“ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;

12)	„нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;

13)

„генетични данни“ означава лични данни, свързани с наследени или придобити генетичните белези на дадено физическо лице, които дават уникална информация за отличителните черти или здравето на това физическо лице и които са получени, по-специално, от анализ на биологична проба от въпросното физическо лице;

14)

„биометрични данни“ означава лични данни, получени в резултат на специфично техническо обработване, които са свързани с физическите, физиологичните или поведенческите характеристики на дадено физическо лице и които позволяват или потвърждават уникалната идентификация на това физическо лице, като лицеви изображения или дактилоскопични данни;

15)	„данни за здравословното състояние“ означава лични данни, свързани с физическото или психическото здраве на физическо лице, включително предоставянето на здравни услуги, които дават информация за здравословното му състояние;

16)

„основно място на установяване“ означава:

по отношение на администратор, установен в повече от една държава членка — мястото, където се намира централното му управление в Съюза, освен в случаите, когато решенията по отношение на целите и средствата за обработването на лични данни се вземат на друго място на установяване на администратора в Съюза и на това място на установяване има правомощия за прилагане на тези решения, в който случай мястото на установяване, където са взети тези решения, се счита за основно място на установяване;

б)

по отношение на обработващ лични данни, установен в повече от една държава членка — мястото, където се намира централното му управление в Съюза, или ако обработващият лични данни няма централно управление в Съюза, мястото на установяване на обработващия лични данни в Съюза, където се осъществяват основните дейности по обработването в контекста на дейностите на дадено място на установяване на обработващия лични данни, доколкото обработващият има специфични задължения съгласно настоящия регламент;

17)	„представител“ означава физическо или юридическо лице, установено в Съюза, което, назначено от администратора или обработващия лични данни в писмена форма съгласно член 27, представлява администратора или обработващия лични данни във връзка със съответните им задължения по настоящия регламент;

18)	„дружество“ означава физическо или юридическо лице, което осъществява икономическа дейност, независимо от правната му форма, включително партньорствата или сдруженията, които редовно осъществяват икономическа дейност;

19)	„група предприятия“ означава контролиращо предприятие и контролираните от него предприятия;

20)

„задължителни фирмени правила“ означава политики за защита на личните данни, които се спазват от администратор или обработващ лични данни, установен на територията на държава членка, при предаване или съвкупност от предавания на лични данни до администратор или обработващ лични данни в една или повече трети държави в рамките на група предприятия или група дружества, участващи в съвместна стопанска дейност;

21)	„надзорен орган“ означава независим публичен орган, създаден от държава членка съгласно член 51;

22)

„засегнат надзорен орган“ означава надзорен орган, който е засегнат от обработването на лични данни, тъй като:

a)	администраторът или обработващият лични данни е установен на територията на държавата членка на този надзорен орган;

б)	субектите на данни с местопребиваване в държавата членка на този надзорен орган са засегнати съществено или е вероятно да бъдат засегнати съществено от обработването; или

в)	до този надзорен орган е подадена жалба;

23)

„трансгранично обработване“ означава или:

a)	обработване на лични данни, което се осъществява в контекста на дейностите на местата на установяване в повече от една държава членка на администратор или обработващ лични данни в Съюза, като администраторът или обработващият лични данни е установен в повече от една държава членка; или

б)	обработване на лични данни, което се осъществява в контекста на дейностите на едно-единствено място на установяване на администратор или обработващ лични данни в Съюза, но което засяга съществено или е вероятно да засегне съществено субекти на данни в повече от една държава членка;

24)

„относимо и обосновано възражение“ означава възражение срещу проект на решение относно това дали е налице нарушение на настоящия регламент или не, или дали предвижданото действие по отношение на администратора или обработващия лични данни отговаря на изискванията на настоящия регламент, което ясно доказва, че проектът за решение води до значителни рискове за основните права и свободи на субектите на данни и, където е приложимо, за свободното движение на лични данни в рамките на Съюза;

25)	„услуга на информационното общество“ означава услуга по смисъла на член 1, параграф 1, точка б) от Директива (ЕС) 2015/1535 на Европейския парламент и на Съвета (19);

26)	„международна организация“ означава организация и нейните подчинени органи, регламентирани от международното публично право, или друг орган, създаден чрез или въз основа на споразумение между две или повече държави.

ГЛАВА II

Принципи

Член 13

Информация, предоставяна при събиране на лични данни от субекта на данните

1. Когато лични данни, свързани с даден субект на данни, се събират от субекта на данните, в момента на получаване на личните данни администраторът предоставя на субекта на данните цялата посочена по-долу информация:

a)	данните, които идентифицират администратора и координатите за връзка с него и, когато е приложимо, тези на представителя на администратора;

б)	координатите за връзка с длъжностното лице по защита на данните, когато е приложимо;

в)	целите на обработването, за което личните данни са предназначени, както и правното основание за обработването;

г)	когато обработването се извършва въз основа на член 6, параграф 1, буква е), законните интереси, преследвани от администратора или от трета страна;

д)	получателите или категориите получатели на личните данни, ако има такива;

е)

когато е приложимо, намерението на администратора да предаде личните данни на трета държава или на международна организация, както и наличието или отсъствието на решение на Комисията относно адекватното ниво на защита или в случай на предаване на данни съгласно посоченото в членове 46 или 47, или член 49, параграф 1, втора алинея позоваване на подходящите или приложимите гаранции и средствата за получаване на копие от тях или на информация къде са налични.

2. Освен информацията, посочена в параграф 1, в момента на получаване на личните данни администраторът предоставя на субекта на данните следната допълнителна информация, която е необходима за осигуряване на добросъвестно и прозрачно обработване:

a)	срока, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определяне на този срок;

б)	съществуването на право да се изиска от администратора достъп до, коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или право да се направи възражение срещу обработването, както и правото на преносимост на данните;

в)	когато обработването се основава на член 6, параграф 1, буква а) или член 9, параграф 2, буква а), съществуването на право на оттегляне на съгласието по всяко време, без да се засяга законосъобразността на обработването въз основа на съгласие, преди то да бъде оттеглено;

г)	правото на жалба до надзорен орган;

д)	дали предоставянето на лични данни е задължително или договорно изискване, или изискване, необходимо за сключването на договор, както и дали субектът на данните е длъжен да предостави личните данни и евентуалните последствия, ако тези данни не бъдат предоставени;

е)	съществуването на автоматизирано вземане на решения, включително профилирането, посочено в член 22, параграфи 1 и 4, и поне в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните.

3. Когато администраторът възнамерява по-нататък да обработва личните данни за цел, различна от тази, за която са събрани, той предоставя на субекта на данните преди това по-нататъшно обработване информация за тази друга цел и всякаква друга необходима информация, както е посочено в параграф 2.

4. Параграфи 1, 2 и 3 не се прилагат, когато и доколкото субектът на данните вече разполага с информацията.

Член 14

Информация, предоставяна, когато личните данни идват от субекта на данните

1. Когато личните данни не са получени от субекта на данните, администраторът предоставя на субекта на данните следната информация:

a)	данните, които идентифицират администратора и координатите за връзка с него и, когато е приложимо, тези на представителя на администратора;

б)	координатите за връзка с длъжностното лице по защита на данните, когато е приложимо;

в)	целите на обработването, за което личните данни са предназначени, както и правното основание за обработването;

г)	съответните категории лични данни;

д)	получателите или категориите получатели на личните данни, ако има такива;

е)

когато е приложимо, намерението на администратора да предаде данните на трета държава или на международна организация, и наличието или отсъствието на решение на Комисията относно адекватното ниво на защита или в случай на предаване на данни съгласно член 46 или 47, или член 49, параграф 1, втора алинея с позоваване на подходящите или приложимите гаранции и средствата за получаване на копие от тях или на информация къде са налични.

2. Освен информацията, посочена в параграф 1, администраторът предоставя на субекта на данните следната информация, необходима за осигуряване на добросъвестно и прозрачно обработване на данните по отношение на субекта на данните:

а)	срока, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определяне на този срок;

б)	когато обработването се извършва въз основа на член 6, параграф 1, буква е), законните интереси, преследвани от администратора или от трета страна;

в)	съществуването на право да се изиска от администратора достъп до, коригиране или изтриване на лични данни, свързани със субекта на данните, или ограничаване на обработването, и правото да се направи възражение срещу обработването, както и правото на преносимост на данните;

г)	когато обработването се основава на член 6, параграф 1, буква а) или член 9, параграф 2, буква а), съществуването на право на оттегляне на съгласието по всяко време, без да се засяга законосъобразността на обработването въз основа на съгласие, преди то да бъде оттеглено;

д)	правото на жалба до надзорен орган;

е)	източника на личните данни и, ако е приложимо, дали данните са от публично достъпен източник;

ж)	съществуването на автоматизирано вземане на решения, включително профилирането, посочено в член 22, параграфи 1 и 4, и поне в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните.

3. Администраторът предоставя информацията, посочена в параграфи 1 и 2:

a)	в разумен срок след получаването на личните данни, но най-късно в срок до един месец, като се отчитат конкретните обстоятелства, при които личните данни се обработват;

б)	ако данните се използват за връзка със субекта на данните, най-късно при осъществяване на първия контакт с този субект на данните; или

в)	ако е предвидено разкриване пред друг получател, най-късно при разкриването на личните данни за първи път.

4. Когато администраторът възнамерява да обработва личните данни по-нататък за цел, различна от тази, за която са събрани, той предоставя на субекта на данните преди това по-нататъшно обработване информация за тази друга цел и всякаква друга необходима информация, както е посочено в параграф 2.

5. Параграфи 1-4 не се прилагат, когато и доколкото:

a)	субектът на данните вече разполага с информацията;

б)

предоставянето на такава информация се окаже невъзможно или изисква несъразмерно големи усилия; по-специално за обработване на данни за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели, при спазване на условията и гаранциите по член 89, параграф 1, или доколкото съществува вероятност задължението, посочено в параграф 1 от настоящия член, да направи невъзможно или сериозно да затрудни постигането на целите на това обработване. В тези случаи администраторът взема подходящи мерки за защита на правата, свободите и законните интереси на субекта на данните, което включва и предоставяне на публичен достъп до информацията;

в)	получаването или разкриването е изрично разрешено от правото на Съюза или правото на държавата членка, което се прилага спрямо администратора и в което се предвиждат също подходящи мерки за защита на легитимните интереси на субекта на данните; или

г)	личните данни трябва да останат поверителни при спазване на задължение за опазване на професионална тайна, което се урежда от правото на Съюза или право на държава членка, включително законово задължение за поверителност.

Член 15

Право на достъп на субекта на данните

1. Субектът на данните има право да получи от администратора потвърждение дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните и следната информация:

a)	целите на обработването;

б)	съответните категории лични данни;

в)	получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни, по-специално получателите в трети държави или международни организации;

г)	когато е възможно, предвидения срок, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определянето на този срок;

д)	съществуването на право да се изиска от администратора коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или да се направи възражение срещу такова обработване;

е)	правото на жалба до надзорен орган;

ж)	когато личните данни не се събират от субекта на данните, всякаква налична информация за техния източник;

з)	съществуването на автоматизирано вземане на решения, включително профилирането, посочено в член 22, параграфи 1 и 4, и поне в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните.

2. Когато личните данни се предават на трета държава или на международна организация, субектът на данните има право да бъде информиран относно подходящите гаранции по член 46 във връзка с предаването.

3. Администраторът предоставя копие от личните данни, които са в процес на обработване. За допълнителни копия, поискани от субекта на данните, администраторът може да наложи разумна такса въз основа на административните разходи. Когато субектът на данни подава искане с електронни средства, по възможност информацията се предоставя в широко използвана електронна форма, освен ако субектът на данни не е поискал друго.

4. Правото на получаване на копие, посочено в параграф 3, не влияе неблагоприятно върху правата и свободите на други лица.

Раздел 3

Коригиране и изтриване

Член 20

Право на преносимост на данните

1. Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на администратор, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от администратора, на когото личните данни са предоставени, когато:

a)	обработването е основано на съгласие в съответствие с член 6, параграф 1, буква а) или член 9, параграф 2, буква а) или на договорно задължение съгласно член 6, параграф 1, буква б); и

б)	обработването се извършва по автоматизиран начин.

2. Когато упражнява правото си на преносимост на данните по параграф 1, субектът на данните има право да получи пряко прехвърляне на личните данни от един администратор към друг, когато това е технически осъществимо.

3. Упражняването на правото, посочено в параграф 1 от настоящия член не засяга член 17. Посоченото право не се отнася до обработването, необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора.

4. Правото, посочено в параграф 1, не влияе неблагоприятно върху правата и свободите на други лица.

Раздел 4

Право на възражение и автоматизирано вземане на индивидуални решения

Член 22

Автоматизирано вземане на индивидуални решения, включително профилиране

1. Субектът на данните има право да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последствия за субекта на данните или по подобен начин го засяга в значителна степен.

2. Параграф 1 не се прилага, ако решението:

a)	е необходимо за сключването или изпълнението на договор между субект на данни и администратор;

б)	е разрешено от правото на Съюза или правото на държава членка, което се прилага спрямо администратора, и в което се предвиждат също подходящи мерки за защита на правата и свободите, и легитимните интереси на субекта на данните; или

в)	се основава на изричното съгласие на субекта на данни.

3. В случаите, посочени в параграф 2, букви а) и в), администраторът прилага подходящи мерки за защита на правата и свободите и легитимните интереси на субекта на данните, най-малко правото на човешка намеса от страна на администратора, правото да изрази гледната си точка и да оспори решението.

4. Решенията по параграф 2 не се основават на специалните категории лични данни, посочени в член 9, параграф 1, освен ако не се прилага член 9, параграф 2, буква а) или буква ж) и не са въведени подходящи мерки за защита на правата и свободите и легитимните интереси на субекта на данните.

Раздел 5

Ограничения

Член 35

Оценка на въздействието върху защитата на данните

1. Когато съществува вероятност определен вид обработване, по-специално при което се използват нови технологии, и предвид естеството, обхвата, контекста и целите на обработването, да породи висок риск за правата и свободите на физическите лица, преди да бъде извършено обработването, администраторът извършва оценка на въздействието на предвидените операции по обработването върху защитата на личните данни. В една оценка може да бъде разгледан набор от сходни операции по обработване, които представляват сходни високи рискове.

2. При извършването на оценка на въздействието върху защитата на данните администраторът иска становището на длъжностното лице по защита на данните, когато такова е определено.

3. Оценката на въздействието върху защитата на данните, посочена в параграф 1, се изисква по-специално в случай че:

a)	систематична и подробна оценка на личните аспекти по отношение на физически лица, която се базира на автоматично обработване, включително. профилиране, и служи за основа на решения, които имат правни последици за физическото лице или по подобен начин сериозно засягат физическото лице;

б)	мащабно обработване на специални категории данни, посочени в член 9, параграф 1 или на лични данни за присъди и нарушения по член 10; или

в)	систематично мащабно наблюдение на публично достъпна зона.

4. Надзорният орган съставя и оповестява списък на видовете операции по обработване, за които се изисква оценка на въздействието върху защитата на данните съгласно параграф 1. Надзорният орган съобщава тези списъци на Комитета, посочен в член 68.

5. Надзорният орган може също да състави и оповести списък на видовете операции по обработване, за които не се изисква оценка на въздействието върху защитата на данните. Надзорният орган съобщава тези списъци на Комитета.

6. Преди приемането на списъците, посочени в параграфи 4 и 5, компетентният надзорен орган прилага посочения в член 63 механизъм за съгласуваност, ако тези списъци включват дейности за обработване, свързани с предлагането на стоки или услуги на субекти на данни или с наблюдението на тяхното поведение в няколко държави членки или могат съществено да засегнат свободното движение на лични данни в рамките на Съюза.

7. Оценката съдържа най-малко:

a)	системен опис на предвидените операции по обработване и целите на обработването, включително, ако е приложимо, преследвания от администратора законен интерес;

б)	оценка на необходимостта и пропорционалността на операциите по обработване по отношение на целите;

в)	оценка на рисковете за правата и свободите на субектите на данни, посочени в параграф 1; и

г)

мерките, предвидени за справяне с рисковете, включително гаранциите, мерките за сигурност и механизмите за осигуряване на защитата на личните данни и за демонстриране на спазването на настоящия регламент, като се вземат предвид правата и законните интереси на субектите на данни и на други заинтересовани лица.

8. При оценката на въздействието на операциите по обработване, извършвани от администраторите и обработващите лични данни, надлежно се отчита и спазването от тяхна страна на одобрените кодекси за поведение, посочени в член 340 особено за целите на оценката на въздействието върху защитата на данните.

9. Когато е целесъобразно, администраторът се обръща към субектите на данните или техните представители за становище относно планираното обработване, без да се засяга защитата на търговските или обществените интереси или сигурността на операциите по обработване.

10. Когато обработването съгласно член 6, параграф 1, буква в) или д) има правно основание в правото на Съюза или в правото на държавата членка, под чиято юрисдикция е администраторът, и това право регулира конкретната операция по обработване или набор от такива операции, и вече е извършена оценка на въздействието върху защитата на личните данни като част от общата оценка на въздействието в контекста на приемането на това правно основание, параграфи 1—7 не се прилагат, освен ако държавите членки не сметнат за необходимо да направят такава оценка преди започването на дейностите за обработване.

11. При необходимост администраторът прави преглед, за да прецени дали обработването е в съответствие с оценката на въздействието върху защитата на данни, най-малкото когато има промяна в риска, с който са свързани операциите по обработване.

Член 45

Предаване на данни въз основа на решение относно адекватното ниво на защита

1. Предаване на лични данни на трета държава или международна организация може да има, ако Комисията реши, че тази трета държава, територия или един или повече конкретни сектори в тази трета държава, или въпросната международна организация осигуряват адекватно ниво на защита. За такова предаване не се изисква специално разрешение.

2. При оценяване на адекватността на нивото на защита Комисията отчита по-специално следните елементи:

върховенството на закона, спазването на правата на човека и основните свободи, съответното законодателство — както общо, така и секторно, включително в областта на обществената сигурност, отбраната, националната сигурност и наказателното право и достъпа на публичните органи до лични данни, а също и прилагането на такова законодателство, правилата за защита на данните, професионалните правила и мерките за сигурност, включително правилата за последващо предаване на лични данни на друга трета държава или международна организация, които се спазват в тази държава или международна организация, съдебната практика, както и действителните и приложими права на субектите на данни и ефективната административна и съдебна защита за субектите на данни, чиито лични данни се предават;

б)

наличието и ефективното функциониране на един или повече независими надзорни органи във въпросната трета държава или на които се подчинява дадена международна организация, отговорни за осигуряване и прилагане на правилата за защита на данните, включително адекватни правомощия за прилагане, за подпомагане и консултиране на субектите на данни при упражняването на техните права и осъществяване на сътрудничество с надзорните органи на държавите членки; и

в)	международните ангажименти, които съответната трета държава или международна организация е поела, или други задължения, произтичащи от правно обвързващи конвенции или инструменти, както и от участието ѝ в многостранни или регионални системи, по-конкретно по отношение на защитата на личните данни.

3. След оценка на адекватността на нивото на защита Комисията може чрез акт за изпълнение да реши, че дадена трета държава, територия или един или повече конкретни сектори в тази трета държава, или дадена международна организация осигуряват адекватно ниво на защита по смисъла на параграф 2 от настоящия член. В акта за изпълнение се предвижда механизъм за периодичен преглед най-малко веднъж на четири години, при който се отчитат всички имащи отношение промени в третата държава или международната организация. В акта за изпълнение се уточнява неговото териториално и секторно приложение и, ако е приложимо, се посочват надзорният орган или органи, посочени в параграф 2, буква б) от настоящия член. Актът за изпълнение се приема в съответствие с процедурата по разглеждане, посочена в член 93, параграф 2.

4. Комисията осъществява постоянно наблюдение на развитието в трети държави и международни организации, което би могло да повлияе на действието на решенията, приети съгласно параграф 3 от настоящия член, и на решенията, приети въз основа на член 25, параграф 6 от Директива 95/46/ЕО.

5. Ако е налице съответната информация, по-специално след прегледа по параграф 3 от настоящия член, Комисията решава, че дадена трета държава, територия, или един или повече конкретни сектори в трета държава, или дадена международна организация е престанала да осигурява адекватно ниво на защита по смисъла на параграф 2 от настоящия член, при което Комисията в необходимата степен отменя, изменя или спира прилагането на решението по параграф 3 от настоящия член чрез акт за изпълнение без обратна сила. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 93, параграф 2.

При надлежно обосновани императивни причини по спешност Комисията незабавно приема приложими актове за изпълнение в съответствие с процедурата, посочена в член 93, параграф 3.

6. Комисията започва консултации с третата държава или международната организация с цел да коригира положението, довело до решението, взето по силата на параграф 5.

7. Решението по параграф 5 от настоящия член не засяга предаването на лични данни на третата държава, територия или един или повече конкретни сектори в тази трета държава, или на въпросната международна организация съгласно членове 46—49.

8. Комисията публикува в Официален вестник на Европейския съюз и на своя уебсайт списък на трети държави, територии и конкретни сектори в трета държава и международни организации, за които е решила, че осигуряват или че вече не осигуряват адекватно ниво на защита.

9. Решенията, приети от Комисията въз основа на член 25, параграф 6 от Директива 95/46/ЕО, остават в сила, докато не бъдат изменени, заменени или отменени с решение на Комисията, прието в съответствие с параграфи 3 или 5 от настоящия член.

Член 46

Предаване на данни с подходящи гаранции

1. При липса на решение съгласно член 45, параграф 3, администраторът или обработващият лични данни може да предава лични данни на трета държава или международна организация само ако е предвидил подходящи гаранции и при условие че са налице приложими права на субектите на данни и ефективни правни средства за защита.

2. Подходящите гаранции, посочени в параграф 1, могат да бъдат предвидени, без да се изисква специално разрешение от надзорния орган, посредством:

a)	инструмент със задължителен характер и с изпълнителна сила между публичните органи или структури;

б)	задължителни фирмени правила в съответствие с член 47;

в)	стандартни клаузи за защита на данните, приети от Комисията в съответствие с процедурата по разглеждане, посочена в член 93, параграф 2;

г)	стандартни клаузи за защита на данните, приети от надзорен орган и одобрени от Комисията съгласно процедурата по разглеждане, посочена в член 93, параграф 2;

д)	одобрен кодекс за поведение съгласно член 40, заедно със задължителни ангажименти с изпълнителна сила на администратора или обработващия лични данни в третата държава да прилагат подходящите гаранции, включително по отношение на правата на субектите на данни; или

е)	одобрен механизъм за сертифициране съгласно член 42, заедно със задължителни и изпълними ангажименти на администратора или обработващия лични данни в третата държава да прилагат подходящите гаранции, включително по отношение на правата на субектите на данни.

3. При условие че компетентният надзорен орган е дал разрешение, подходящите гаранции, посочени в параграф 1, могат да бъдат предвидени по-специално и посредством:

a)	договорни клаузи между администратора или обработващия лични данни и администратора, обработващия лични данни или получателя на личните данни в третата държава или международната организация; или

б)	разпоредби, които да се включват в административните договорености между публичните органи или структури, съдържащи действителни и приложими права на субектите на данни.

4. Надзорният орган прилага механизма за съгласуваност по член 63 в случаите, посочени в параграф 3 от настоящия член.

5. Разрешенията, издадени от държава членка или надзорен орган въз основа на член 26, параграф 2 от Директива 95/46/ЕО, остават валидни, докато не бъдат изменени, заменени или отменени, ако е необходимо, от надзорния орган. Решенията, приети от Комисията въз основа на член 26, параграф 4 от Директива 95/46/ЕО, остават в сила, докато не бъдат изменени, заменени или отменени, ако е необходимо, с решение на Комисията, прието в съответствие с параграф 2 от настоящия член.

Член 47

Задължителни фирмени правила

1. Компетентният надзорен орган одобрява задължителни фирмени правила в съответствие с механизма за съгласуваност, определен в член 63, ако те:

a)	са със задължителен характер, прилагат се спрямо и се привеждат в изпълнение от всеки съответен член на групата предприятия или групата дружества, участващи в съвместна стопанска дейност, включително техните служители;

б)	изрично предоставят на субектите на данни приложими права по отношение на обработването на техните лични данни; и

в)	изпълняват изискванията, установени в параграф 2.

2. В посочените в параграф 1 задължителни фирмени правила се уточнява най-малко следното:

a)	структурата и координатите за връзка на групата предприятия или групата дружества, участващи в съвместна стопанска дейност и на всеки техен член;

б)	предаването или съвкупността от предавания на данни, включително категориите лични данни, видът на обработването и неговите цели, видът на засегнатите субекти на данни, и се посочва въпросната трета държава или държави;

в)	тяхното правно обвързващо естество както на вътрешно, така и на външно равнище;

г)

прилагането на общите принципи за защита на данните, по-специално ограничението на целите, свеждането на данните до минимум, ограничените периоди на съхранение, качеството на данните, защитата на данните на етапа на проектирането и по подразбиране, правното основание за обработването, обработването на специални категории лични данни, мерките за гарантиране сигурността на данните, както и изискванията по отношение на последващото предаване на данни на образувания, които не са обвързани от задължителните фирмени правила;

д)

правата на субектите на данни по отношение на обработването и средствата за упражняване на тези права, включително правото на субекта на данни да не бъде обект на решения, основани единствено на автоматизирано обработване, включително профилиране в съответствие с член 22, правото на подаване на жалба до компетентния надзорен орган и до компетентните съдилища на държавите членки в съответствие с член 79, както и правото на съдебна защита, и когато е приложимо — на обезщетение за нарушаване на задължителните фирмени правила;

е)

поемането от администратора или обработващия лични данни, установен на територията на държава членка, на отговорност за всяко нарушение на задължителните фирмени правила от който и да е член на съответната група, който не е установен в Съюза; администраторът или обработващият лични данни е изцяло или частично освободен от такава отговорност само ако докаже, че този член не носи отговорност за събитието, довело до причиняването на вреда;

ж)	начинът, по който информацията относно задължителните фирмени правила, по-специално относно разпоредбите, посочени в букви г), д) и е) от настоящия параграф, се предоставя на субектите на данни в допълнение към информацията по членове 13 и 14;

з)

задачите на всяко длъжностно лице за защита на данните, определено в съответствие с член 37, или всяко друго лице или образувание, натоварено да наблюдава спазването на задължителните фирмени правила в рамките на групата предприятия или групата дружества, участващи в съвместна стопанска дейност, както и да наблюдава обучението и разглеждането на жалбите;

и)	процедурите по отношение на жалбите;

й)

механизмите в рамките на групата предприятия или групата дружества, участващи в съвместна стопанска дейност за осигуряване на проверка на спазването на задължителните фирмени правила. Тези механизми включват одити на защитата на данните и методи за осигуряване на коригиращи действия за защита на правата на субекта на данни. Резултатите от тази проверка следва да се съобщават на лицето или образуванието, посочено в буква з), и на управителния съвет на контролиращото предприятие на групата предприятия или на групата дружества, участващи в съвместна стопанска дейност, и следва при поискване да се предоставят на компетентния надзорен орган;

к)	механизмите за докладване и записване на промени в правилата и докладването на надзорния орган за тези промени;

л)

механизмът за сътрудничество с надзорния орган с цел осигуряване на спазването на правилата от всеки член на групата предприятия или на групата дружества, участващи в съвместна стопанска дейност, по-специално чрез предоставяне на надзорния орган на резултатите от проверките на мерките, посочени в буква й);

м)

механизмите за докладване на компетентния надзорен орган за всякакви правни изисквания, приложими към член на групата предприятия или групата дружества, участващи в съвместна стопанска дейност, в трета държава, които е вероятно да доведат до значими неблагоприятни последици за гаранциите, предоставяни от задължителните фирмени правила; както и

н)	подходящото обучение за защита на данните за персонала, който постоянно или редовно има достъп до лични данни.

3. Комисията може да определя формáта и процедурите за обмена на информация между администраторите, обработващите лични данни и надзорните органи относно задължителните фирмени правила по смисъла на настоящия член. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 93, параграф 2.

Член 58

Правомощия

1. Всеки надзорен орган има всички от посочените по-долу правомощия за разследване:

a)	да разпорежда на администратора и на обработващия лични данни и, когато е приложимо — на представителя на администратора или на обработващия лични данни, да предоставят всяка информация, която той поиска за изпълнението на своите задачи;

б)	да провежда разследвания под формата на одити във връзка със защитата на данните;

в)	да извършва преглед на сертификатите, издадени в съответствие с член 42, параграф 7;

г)	да уведомява администратора или обработващия лични данни за предполагаемо нарушение на настоящия регламент;

д)	да получава от администратора и обработващия лични данни достъп до всички лични данни и до цялата информация, от която се нуждае за изпълнението на своите задачи;

е)	да получава достъп до всички помещения на администратора и обработващия лични данни, включително до всяко оборудване и средство за обработване на данни, в съответствие с правото на Съюза или процесуалното право на държавата членка.

2. Всеки надзорен орган има всички от посочените по-долу корективни правомощия:

a)	да отправя предупреждения до администратора или обработващия лични данни, когато има вероятност операции по обработване на данни, които те възнамеряват да извършат, да нарушат разпоредбите на настоящия регламент;

б)	да отправя официално предупреждение до администратора или обработващия лични данни, когато операции по обработване на данни са нарушили разпоредбите на настоящия регламент;

в)	да разпорежда на администратора или обработващия лични данни да изпълнят исканията на субекта на данни да упражнява правата си съгласно настоящия регламент;

г)	да разпорежда на администратора или обработващия лични данни да съобразят операциите по обработване на данни с разпоредбите на настоящия регламент и, ако е целесъобразно, това да стане по указан начин и в определен срок;

д)	да разпорежда на администратора да съобщава на субекта на данните за нарушение на сигурността на личните данни;

е)	да налага временно или окончателно ограничаване, в т.ч. забрана, на обработването на данни;

ж)	да разпорежда коригирането, или изтриването на лични данни или ограничаването на обработването им съгласно членове 16, 17 и 18, както и уведомяването за тези действия на получатели, пред които личните данни са били разкрити съгласно член 17, параграф 2 и член 19;

з)	да отнема сертификат или да разпорежда на сертифициращия орган да отнеме сертификат, издаден съгласно членове 42 и 43, или да разпорежда на сертифициращия орган да не издава сертификат, ако изискванията за сертифицирането не са спазени или вече не се спазват;

и)	да налага административно наказание „глоба“ или „имуществена санкция“ съгласно член 83, в допълнение към мерките, посочени в настоящия параграф, или вместо тях, в зависимост от особеностите на всеки отделен случай;

й)	да разпорежда преустановяването на потока на данни към получател в трета държава или към международна организация;

3. Всеки надзорен орган има всички от посочените по-долу правомощия да дава разрешения и становища:

a)	да дава становища на администратора в съответствие с процедурата по предварителна консултация, посочена в член 36;

б)	да издава по собствена инициатива или при поискване становища до националния парламент, правителството на държавата членка или, в съответствие с правото на държавата членка — до други институции и органи, както и до обществеността по всякакви въпроси, свързани със защитата на лични данни;

в)	да дава разрешение за обработването, посочено в член 36, параграф 5, ако съгласно правото на държавата членка се изисква такова предварително разрешение;

г)	да дава становища и да одобрява проекти на кодекси за поведение съгласно член 40, параграф 5;

д)	да акредитира сертифициращи органи съгласно член 43;

е)	да издава сертификати и да одобрява критериите за сертифициране в съответствие с член 42, параграф 5;

ж)	да приема стандартните клаузи за защита на данните, посочени в член 28, параграф 8 и в член 46, параграф 2, буква г);

з)	да дава разрешение за договорните клаузи, посочени в член 46, параграф 3, буква а);

и)	да дава разрешение за административните договорености, посочени в член 46, параграф 3, буква б);

й)	да одобрява задължителните фирмени правила съгласно член 47.

4. Упражняването на правомощията, предоставени на надзорния орган по силата на настоящия член, се осъществява при осигуряване на подходящи гаранции, в т.ч. ефективни съдебни средства за правна защита и справедлив съдебен процес, определени в правото на Съюза и правото на държава членка в съответствие с Хартата.

5. Всяка държава членка урежда със закон нейният надзорен орган да има правомощието да довежда нарушенията на настоящия регламент до знанието на съдебните органи и по целесъобразност да инициира или по друг начин да участва в съдебни производства, с цел осигуряване на изпълнението на настоящия регламент.

6. Всяка държава членка може да урежда със закон нейният надзорен орган да има допълнителни правомощия освен посочените в параграфи 1, 2 и 3. Упражняването на тези правомощия не нарушава ефективното действие на глава VII.

Член 61

Взаимопомощ

1. Надзорните органи си предоставят взаимно значима информация и помощ, за да изпълняват и прилагат настоящия регламент по съгласуван начин, и въвеждат мерки за ефективно сътрудничество помежду си. Взаимопомощта обхваща по-специално искания за информация и мерки за надзор, например искания за предоставяне на предварителни разрешения или провеждане на предварителни консултации, проверки и разследвания.

2. Всеки надзорен орган предприема всички подходящи мерки, които са необходими, за да се отговори на искането на друг надзорен орган без ненужно забавяне и не по-късно от един месец след получаване на искането. Такива мерки могат да включват, по-специално, предаване на значима информация относно хода на дадено разследване.

3. Исканията за помощ съдържат цялата необходима информация, включително целта на искането и причините за него. Обменената информация се използва единствено за целите, за които е поискана.

4. Надзорен орган, до който е отправено искане, няма право да откаже да го изпълни, освен ако:

a)	не е компетентен относно предмета на искането или мерките, които се изисква да изпълни; или

б)	удовлетворяването на искането би било в нарушение на настоящия регламент или правото на Съюза или правото на държава членка, което се прилага спрямо надзорния орган, до който е отправено искането.

5. Надзорният орган, до който е отправено искането, информира искащия надзорен орган за резултатите или, в зависимост от случая, за напредъка на предприетите мерки в отговор на искането. Надзорният орган, до който е отправено искането, излага мотивите си в случай на отказ да изпълни искането по силата на параграф 4.

6. Надзорните органи, до които са отправени искания, по правило предоставят информацията, поискана от други надзорни органи, по електронен път, като използват стандартизиран формат.

7. Надзорните органи, до които са отправени искания, не събират такси за действията, които са предприели в отговор на искане за взаимопомощ. Надзорните органи могат да постигнат съгласие с други надзорни органи относно правила за предоставяне на обезщетение един на друг за конкретни разходи, свързани с предоставянето на взаимопомощ при извънредни обстоятелства.

8. Когато в рамките на един месец от получаване на искането на друг надзорен орган надзорният орган не предостави информацията, посочена в параграф 5 от настоящия член, искащият надзорен орган може да приеме временна мярка на територията на своята държава членка в съответствие с член 55, параграф 1. В този случай се счита, че са необходими спешни действия съгласно член 66, параграф 1, което изисква спешно решение със задължителен характер от страна на Комитета в съответствие с член 66, параграф 2.

9. Комисията може посредством актове за изпълнение да определи формата и процедурите за взаимопомощ по настоящия член, както и договореностите за обмена на информация по електронен път между надзорните органи и между надзорните органи и Комитета, и по-специално стандартизирания формат, посочен в параграф 6 от настоящия член. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 93, параграф 2.

Член 68

Европейски комитет по защита на данните

1. Създава се Европейски комитет по защита на данните („Комитетът“), който е орган на Съюза и притежава правосубектност.

2. Комитетът се представлява от своя председател.

3. Комитетът е съставен от ръководителите на по един надзорен орган от всяка държава членка и Европейския надзорен орган по защита на данните, или от съответните им представители.

4. Когато в дадена държава членка повече от един надзорен орган отговаря за наблюдението на прилагането на разпоредбите съгласно настоящия регламент, в съответствие с правото на тази държава членка се назначава общ представител.

5. Комисията има право да участва в дейностите и заседанията на Комитета без право на глас. Комисията посочва свой представител. Председателят на Комитета уведомява Комисията за дейностите на Комитета.

6. В случаите, посочени с член 65, Европейският надзорен орган по защита на данните има право на глас само във връзка с решения, които се отнасят до принципите и правилата, приложими за институциите, органите, службите и агенциите на Съюза, които съответстват по същество на предвидените в настоящия регламент.

Член 70

Задачи на Комитета

1. Комитетът осигурява съгласуваното прилагане на настоящия регламент. За тази цел Комитетът по своя собствена инициатива или, ако е целесъобразно, по искане на Комисията, по-специално:

a)	наблюдава и гарантира правилното прилагане на настоящия регламент в случаите, предвидени в членове 64 и 65, без да се засягат задачите на националните надзорни органи;

б)	консултира Комисията по всеки въпрос, свързан със защитата на личните данни в Съюза, включително относно всяко предложено изменение на настоящия регламент;

в)	консултира Комисията относно формàта и процедурите за обмен на информация между администраторите, обработващите лични данни и надзорните органи за задължителните фирмени правила;

г)	издава насоки, препоръки и най-добри практики относно процедурите за изтриване на връзки, копия или преписи на лични данни от обществено достъпни съобщителни услуги, както е посочено в член 17, параграф 2;

д)	разглежда по своя собствена инициатива, по искане на някой от своите членове или по искане на Комисията всеки въпрос, който се отнася до прилагането на настоящия регламент, и издава насоки, препоръки и най-добри практики с цел насърчаване на съгласуваното прилагане на настоящия регламент;

е)	издава насоки, препоръки и най-добри практики в съответствие с буква д) от настоящия параграф за допълнително уточняване на критериите и условията във връзка с решенията, основани на профилиране на данни съгласно член 22, параграф 2;

ж)

издава насоки, препоръки и най-добри практики в съответствие с буква д) от настоящия параграф за установяване на нарушения на сигурността на данните и определяне на ненужното забавяне по член 33, параграфи 1 и 2, както и за определяне на конкретните обстоятелства, при които от администратора или обработващия лични данни се изисква да уведомяват за нарушението на сигурността на личните данни;

з)	издава насоки, препоръки и най-добри практики в съответствие с буква д) от настоящия параграф по отношение на обстоятелствата, при които нарушение на сигурността на личните данни има вероятност да доведе до висок риск за правата и свободите на физическите лица, посочени в член 34, параграф 1;

и)

издава насоки, препоръки и най-добри практики в съответствие с буква д) от настоящия параграф за целите на допълнително уточняване на критериите и изискванията за предаване на лични данни въз основа на задължителни фирмени правила, които се спазват от администраторите, и задължителни фирмени правила, които се спазват от обработващите лични данни, както и на необходимите допълнителни изисквания за осигуряване на защита на личните данни на съответните субекти на данни, посочени в член 47;

й)	издава насоки, препоръки и най-добри практики в съответствие с буква д) от настоящия параграф за целите на допълнително уточняване на критериите и изискванията за предаване на лични данни въз основа на член 49, параграф 1;

к)	изготвя насоки за надзорните органи относно прилагането на мерките, посочени в член 58, параграфи 1, 2 и 3, и определянето на размера на административните наказания „глоба“ или „имуществена санкция“ съгласно член 83;

л)	извършва преглед на практическото прилагане на насоките, препоръките и най-добрите практики, посочени в букви д) и е);

м)	издава насоки, препоръки и най-добри практики в съответствие с буква д) от настоящия параграф за установяване на общи процедури за подаване на сигнали от физически лица за нарушения на настоящия регламент съгласно член 54, параграф 2;

н)	насърчава изготвянето на кодекси на поведение и установяването на механизми за сертифициране за защита на данните и печати и маркировки за защита на данните съгласно членове 40 и 42;

о)	извършва акредитацията на сертифициращи органи и периодичния ѝ преглед съгласно член 43 и поддържа публичен регистър на акредитираните органи съгласно член 43, параграф 6 и на акредитираните администратори и обработващи лични данни, установени в трети държави, съгласно член 42, параграф 7;

п)	уточнява изискванията, посочени в член 43, параграф 3, с оглед на акредитацията на сертифициращи органи съгласно член 42;

р)	предоставя на Комисията становище относно изискванията за сертифициране, посочени в член 43, параграф 8;

с)	предоставя на Комисията становище относно иконите, посочени в член 12, параграф 7;

т)

предоставя на Комисията становище за оценка на адекватността на нивото на защита на данните в трета държава или международна организация, включително за оценка на това дали третата държава, територията или един или повече конкретни сектори в рамките на тази трета държава, или международната организация, са престанали да осигуряват адекватно ниво на защита. За тази цел Комисията предоставя на Комитета цялата необходима документация, включително кореспонденцията с правителството на третата държава, по отношение на тази трета държава, територия или конкретен сектор или с международната организация;

у)	дава становища по проекти за решения на надзорните органи по силата на механизма за съгласуваност, посочен в член 64, параграф 1, по въпроси, изпратени съгласно член 64, параграф 2 и приема решения със задължителен характер съгласно член 65, включително по въпроси, разглеждани съгласно член 66;

ф)	насърчава сътрудничеството и ефективния двустранен и многостранен обмен на информация и добрите практики между надзорните органи;

х)	насърчава общите програми за обучение и улеснява обмена на персонал между надзорните органи и — когато това е целесъобразно —с надзорните органи на трети държави или международни организации;

ц)	насърчава обмена на знания и документация относно законодателството и практиките в областта на защитата на данни с надзорните органи по защита на данните в цял свят;

ч)	дава становища по кодексите за поведение, съставяни на равнището на Съюза в съответствие с член 40, параграф 9; и

ш)	поддържа обществено достъпен електронен регистър на решенията, взети от надзорните органи и съдилищата по въпроси, разглеждани в рамките на механизма за съгласуваност.

2. Когато Комисията поиска съвет от Комитета, тя може да посочи срок, като се взема предвид спешността на въпроса.

3. Комитетът изпраща своите становища, насоки, препоръки и най-добри практики на Комисията и на комитета, посочен в член 93, и ги прави обществено достояние.

4. Комитетът се консултира по целесъобразност със заинтересованите страни и им предоставя възможност да направят коментари в рамките на разумен срок. Без да се засягат разпоредбите на член 76, Комитетът оповестява публично резултатите от процедурата на консултации.

Член 71

Доклади

1. Комитетът изготвя годишен доклад относно защитата на физическите лица по отношение на обработването в Съюза и, когато е от значение — в трети държави и международни организации. Докладът се оповестява публично и се предава на Европейския парламент, на Съвета и на Комисията.

2. В годишния доклад се включва преглед на практическото прилагане на насоките, препоръките и най-добрите практики, посочени в член 70, параграф 1, буква л), както и на решенията със задължителен характер, посочени в член 65.

Член 72

Процедура

1. Комитетът взема решения с обикновено мнозинство на членовете си, освен ако не е предвидено друго в настоящия регламент.

2. Комитетът приема свой процедурен правилник с мнозинство от две трети от своите членове и определя своите методи на работа.

Член 74

Задачи на председателя

1. Председателят има следните задачи:

a)	да свиква заседанията на Комитета и да изготвя дневния ред;

б)	да уведомява водещия надзорен орган и засегнатите надзорни органи за решенията, приети от Комитета съгласно член 58а;

в)	да осигурява своевременното изпълнение на задачите на Комитета, по-специално във връзка с механизма за съгласуваност, посочен в член 63.

2. Комитетът определя разпределението на задачите между председателя и заместник-председателите в своя процедурен правилник.

Член 75

Секретариат

1. Комитетът разполага със секретариат, който се осигурява от Европейския надзорен орган по защита на данните.

2. Секретариатът изпълнява задачите си изключително под ръководството на председателя на Комитета.

3. Служителите на Европейския надзорен орган по защита на данните, участващи в изпълнението на задачи, възложени на Комитета с настоящия регламент, са организационно отделени от служителите, участващи в изпълнението на задачи, възложени на Европейския надзорен орган по защита на данните.

4. Когато е целесъобразно, Комитетът и Европейският надзорен орган по защита на данните изготвят и публикуват меморандум за разбирателство за прилагане на настоящия член, в който се определят условията за сътрудничеството помежду им и който се прилага за служителите на Европейския надзорен орган по защита на данните, участващи в изпълнението на задачи, възложени на Комитета с настоящия регламент.

5. Секретариатът предоставя аналитична, административна и логистична подкрепа на Комитета.

6. Секретариатът отговаря по-специално за:

a)	ежедневната работа на Комитета;

б)	комуникацията между членовете на Комитета, неговия председател и Комисията;

в)	комуникацията с други институции и с обществеността;

г)	използването на електронни средства за вътрешна и външна комуникация;

д)	превода на значима информация;

е)	подготовката на заседанията на Комитета и последващите действия във връзка с тях;

ж)	подготовката, изготвянето и публикуването на становища, решения относно уреждането на спорове между надзорни органи и други текстове, приети от Комитета.

Член 97

Доклади на Комисията

1. До 25 май 2020 г. и на всеки четири години след това, Комисията представя на Европейския парламент и на Съвета доклад относно оценката и прегледа на настоящия регламент. Докладите са публични.

2. В контекста на оценките и прегледите, посочени в параграф 1, Комисията разглежда по-специално прилагането и функционирането на:

a)	глава V относно предаването на лични данни на трети държави или международни организации, особено по отношение на решенията, приети съгласно член 45, параграф 3 от настоящия регламент, и решенията, приети въз основа на член 25, параграф 6 от Директива 95/46/ЕО;

б)	глава VII относно сътрудничеството и съгласуваността.

3. За целите на параграф 1 Комисията може да поиска информация от държавите членки и от надзорните органи.

4. При извършването на оценките и прегледите по параграфи 1 и 2 Комисията взема предвид позициите и констатациите на Европейския парламент, на Съвета и на други компетентни органи или източници.

5. При необходимост Комисията представя подходящи предложения за изменение на настоящия регламент, като отчита по-специално развитието на информационните технологии и напредъка на информационното общество.

Член 99

Влизане в сила и прилагане

1. Настоящият регламент влиза в сила на двадесетия ден след публикуването му в Официален вестник на Европейския съюз.

2. Прилага се от 25 май 2018 година.

Настоящият регламент е задължителен в своята цялост и се прилага пряко във всички държави членки.

Съставено в Брюксел на 27 април 2016 година.

За Европейския парламент

Председател

M. SCHULZ

За Съвета

Председател

J.A. HENNIS-PLASSCHAERT

(1) ОВ C 229, 31.7.2012 г., стр. 90.

(2) ОВ C 391, 18.12.2012 г., стр. 127.

(3) Позиция на Европейския парламент от 12 март 2014 г. (все още непубликувана в Официален вестник) и позиция на Съвета на първо четене от 8 април 2016 г. (все още непубликувана в Официален вестник). Позиция на Европейския парламент от 14 април 2016 г.

(4) Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 г. за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (ОВ L 281, 23.11.1995 г., стр. 31).

(5) Препоръка 2003/361/ЕО на Комисията от 6 май 2003 г. относно дефиницията на микропредприятията, малките и средните предприятия (C(2003) 1422) (ОВ L 124, 20.5.2003 г., стр. 36).

(6) Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета от 18 декември 2000 г. относно защитата на лицата по отношение на обработката на лични данни от институции и органи на Общността и за свободното движение на такива данни (ОВ L 8, 12.1.2001 г., стр. 1).

(7) Директива (EС) 2016/680 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции и относно свободното движение на такива данни за отмяна на Рамково решение 2008/977/ПВР на Съвета (вж. страница 89 от настоящия брой на Официален вестник).

(8) Директива 2000/31/ЕО на Европейския парламент и на Съвета от 8 юни 2000 г. за някои правни аспекти на услугите на информационното общество, и по-специално на електронната търговия на вътрешния пазар (Директива за електронната търговия) (ОВ L 178, 17.7.2000 г., стр. 1).

(9) Директива 2011/24/ЕС на Европейския парламент и на Съвета от 9 март 2011 г. за упражняване на правата на пациентите при трансгранично здравно обслужване (ОВ L 88, 4.4.2011 г., стр. 45).

(10) Директива 93/13/ЕИО на Съвета от 5 април 1993 г. относно неравноправните клаузи в потребителските договори (ОВ L 95, 21.4.1993 г., стр. 29).

(11) Регламент (ЕО) № 1338/2008 на Европейския парламент и на Съвета от 16 декември 2008 г. относно статистиката на Общността в областта на общественото здраве и здравословните и безопасни условия на труд (текст от значение за ЕИП) (ОВ L 354, 31.12.2008 г., стр. 70).

(12) Регламент (ЕС) № 182/2011 на Европейския парламент и на Съвета от 16 февруари 2011 г. за установяване на общите правила и принципи относно реда и условията за контрол от страна на държавите-членки върху упражняването на изпълнителните правомощия от страна на Комисията (ОВ L 55, 28.2.2011 г., стр. 13).

(13) Регламент (ЕС) № 1215/2012 на Европейския парламент и на Съвета от 12 декември 2012 г. относно компетентността, признаването и изпълнението на съдебни решения по граждански и търговски дела (ОВ L 351, 20.12.2012 г., стр. 1).

(14) Директива 2003/98/ЕO на Европейския парламент и на Съвета от 17 ноември 2003 г. относно повторната употреба на информацията в обществения сектор (ОВ L 345, 31.12.2003 г., стр. 90).

(15) Регламент (ЕС) № 536/2014 на Европейския парламент и на Съвета от 16 април 2014 г. относно клиничните изпитвания на лекарствени продукти за хуманна употреба, и за отмяна на Директива 2001/20/ЕО (ОВ L 158, 27.5.2014 г., стр. 1).

(16) Регламент (ЕО) № 223/2009 на Европейския парламент и на Съвета от 11 март 2009 г. относно европейската статистика и за отмяна на Регламент (ЕО, Евратом) № 1101/2008 за предоставянето на поверителна статистическа информация на Статистическата служба на Европейските общности, на Регламент (ЕО) № 322/97 на Съвета относно статистиката на Общността и на Решение 89/382/ЕИО, Евратом на Съвета за създаване на Статистически програмен комитет на Европейските общности (ОВ L 87, 31.3.2009 г., стр. 164).

(17) ОВ C 192, 30.6.2012 г., стр. 7.

(18) Директива 2002/58/ЕО на Европейския парламент и на Съвета от 12 юли 2002 г. относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации (Директива за правото на неприкосновеност на личния живот и електронни комуникации) (ОВ L 201, 31.7.2002 г., стр. 37).

(19) Директива (ЕС) 2015/1535 на Европейския Парламент и на Съвета от 9 септември 2015 г. установяваща процедура за предоставянето на информация в сферата на техническите регламенти и правила относно услугите на информационното общество (ОВ L 241, 17.9.2015 г., стр. 1).

(20) Регламент (ЕО) № 765/2008 на Европейския парламент и на Съвета от 9 юли 2008 г. за определяне на изискванията за акредитация и надзор на пазара във връзка с предлагането на пазара на продукти и за отмяна на Регламент (ЕИО) № 339/93 (ОВ L 218, 13.8.2008 г., стр. 30).

(21) Регламент (ЕО) № 1049/2001 на Европейския парламент и на Съвета от 30 май 2001 г. относно публичния достъп до документи на Европейския парламент, на Съвета и на Комисията (ОВ L 145, 31.5.2001 г., стр. 43).

whereas

(20) Макар настоящият регламент да се прилага, inter alia, спрямо дейностите на съдилищата и други съдебни органи, в правото на Съюза или в правото на държава членка могат да се определят конкретно операциите и процедурите по обработване на лични данни от съдилищата и другите съдебни органи. Компетентността на надзорните органи не следва да обхваща обработването на лични данни, когато съдилищата действат при изпълнение на своите съдебни функции, за да се гарантира независимостта на съдебната власт при изпълнението на съдебните ѝ задължения, включително вземането на решения. Следва да е възможно да се повери надзорът на такива операции по обработване на данни на специални органи в рамките на съдебната система на държавата членка, които по-конкретно следва да осигурят спазването на правилата на настоящия регламент, да повишават осведомеността сред членовете на съдебното съсловие за техните задължения по силата на настоящия регламент и да се занимават с жалбите във връзка с такива операции по обработване на данни.

- = -

(24) Обработването на лични данни на субекти на данни, които се намират в Съюза, от администратор или обработващ лични данни, който не е установен в Съюза, следва също да се урежда от настоящия регламент, когато е свързано с наблюдението на поведението на такива субекти на данни, доколкото тяхното поведение се проявява в рамките на Съюза. С цел да се определи дали дадена дейност по обработване може да се смята за наблюдение на поведението на субектите на данни, следва да се установи дали физическите лица се следят в интернет, включително да се установи евентуално последващо използване на техники за обработване на лични данни, които се състоят в профилиране на дадено физическо лице, по-специално с цел да се вземат отнасящи се до него решения или да се анализират или предвиждат неговите лични предпочитания, поведение и начин на мислене.

- = -

(36) Основното място на установяване на администратор на данни в Съюза следва да бъде мястото в Съюза, където се намира централното му управление в Съюза, освен ако решенията относно целите и средствата за обработването на лични данни не се вземат на друго място на установяване на администратора на данни в Съюза, в който случай това друго място на установяване следва да се счита за основното място на установяване. Основното място на установяване на администратор в Съюза следва да се определя съгласно обективни критерии и следва да означава ефективното и действително упражняване на управленски дейности, определящи основните решения по отношение на целите и средствата за обработване на данни по силата на стабилни договорености. Този критерий не следва да зависи от това дали обработването на лични данни се извършва на това място. Наличието и употребата на технически средства и технологии за обработване на лични данни или дейностите по обработване не представляват сами по себе си основно място на установяване и следователно не са определящи критерии за понятието „основно място на установяване“. Основното място на установяване на обработващия лични данни следва да бъде мястото, където се намира централното му управление в Съюза, а ако няма централно управление в Съюза, мястото в Съюза, където се осъществяват основните дейности по обработването. В случаи, когато участват и администратор, и обработващ лични данни, компетентният водещ надзорен орган следва да остане надзорният орган на държавата членка, в която се намира основното място на установяване на администратора, а надзорният орган на обработващия лични данни следва да се счита за засегнат надзорен орган и този надзорен орган следва да участва в процедурата за сътрудничество, предвидена в настоящия регламент. При всички положения надзорните органи на държавата членка или държавите членки, където е установен обработващият лични данни, не следва да се считат за засегнати надзорни органи, когато проектът за решение засяга единствено администратора. Когато обработването се извършва от група предприятия, основното място на установяване на контролиращото предприятие следва да се счита за основно място на установяване на групата предприятия, с изключение на случаите, в които целите и средствата на обработването на данни се определят от друго предприятие.

- = -

(71) Субектът на данни следва да има право да не бъде обект на решение, което може да включва мярка, за оценка на свързани с него лични аспекти единствено въз основа на автоматично обработване, и което поражда правни последствия за него или го засяга също толкова значително, като например автоматичен отказ на онлайн искания за кредит или електронни практики за набиране на персонал без човешка намеса. Това обработване включва „профилиране“, което се състои от всякакви форми на автоматизирано обработване на лични данни за оценка на личните аспекти във връзка с дадено физическо лице, по-специално анализирането или прогнозирането на различни аспекти, имащи отношение към резултатите в работата на субекта на данни, икономическото състояние, здравето, личните предпочитания или интереси, благонадеждността или поведението, местоположението или движенията, когато то поражда правни последствия по отношение на лицето или го засяга също толкова значително. Въпреки това, вземането на решения въз основа на такова обработване, включително профилиране, следва да бъде позволено, когато е изрично разрешено от правото на Съюза или правото на държава членка, под чиято юрисдикция е администраторът, включително за целите на наблюдението и предотвратяването на измами и укриването на данъци, осъществявани в съответствие с разпоредбите, стандартите и препоръките на институциите на Съюза или националите надзорни органи, и за гарантиране на сигурността и надеждността на услугите, предоставяни от администратора, или когато е необходимо за сключването или изпълнението на договор между субект на данни и администратор, или когато субектът на данни е дал изричното си съгласие. Във всеки случай такова обработване следва да подлежи на подходящи гаранции, които следва да включват конкретна информация за субекта на данните и правото на човешка намеса, на изразяване на мнение, на получаване на обяснение за решението, взето в резултат на такава оценка и на обжалване на решението. Такава мярка не следва да се отнася до дете.

- = -

(73) Ограничения относно специални принципи и относно правото на информация, достъп до, и коригиране или изтриване на лични данни, правото на преносимост на данните, правото на оспорване на решения, основани на профилиране, както и уведомяването на субекта на данни за нарушение на сигурността на личните данни и определени свързани с това задължения на администраторите, могат да бъдат налагани от правото на Съюза или от правото на държава членка, доколкото това е необходимо и пропорционално в едно демократично общество с оглед защитата на обществената сигурност, включително защитата на човешкия живот, особено при природни или предизвикани от човека бедствия, предотвратяването, разследването и наказателното преследване на престъпления или изпълнението на наложените наказания, включително защитата срещу заплахи пред обществената сигурност и тяхното предотвратяване, или нарушения на етичните кодекси при регламентираните професии, други важни цели от общ обществен интерес на Съюза или на държава членка, и по-специално важен икономически или финансов интерес на Съюза или на държава членка, поддържането на публичен регистър поради причини от широк обществен интерес, по-нататъшното обработване на архивирани лични данни с цел предоставяне на конкретна информация, свързана с политическото поведение по време на бивши режими в тоталитарни държави или защитата на субекта на данни или на правата и свободите на други лица, включително социалната защита, общественото здраве и хуманитарните цели. Тези ограничения следва да бъдат в съответствие с изискванията, определени в Хартата и в Европейската конвенция за защита на правата на човека и основните свободи.

- = -

(91) Това следва да се прилага по-специално за широкомащабни операции по обработване, чиято цел е обработване на значителен обем лични данни на регионално, национално и наднационално равнище, които биха могли да засегнат голям брой субекти на данни и които е вероятно да доведат до висок риск, например поради чувствителното си естество, когато в съответствие с постигнатото ниво на технически познания се използва нова технология в голям мащаб, както и за други операции по обработване, които пораждат висок риск за правата и свободите на субектите на данни, по-специално когато тези операции затрудняват субектите на данни да упражняват правата си. Оценка на въздействието върху защитата на данни следва да се извършва и когато личните данни се обработват с цел вземане на решения относно конкретни физически лица след систематична и обстойна оценка на личните аспекти, свързани с физически лица, въз основа на профилирането на тези данни или след обработването на специални категории лични данни, биометрични данни или данни за присъди и нарушения или свързани с това мерки за сигурност. Оценка на въздействието върху защитата на данните се изисква също за широкомащабно наблюдение на публично достъпни зони, особено когато се използват оптичноелектронни уреди, или за всякакви други операции, когато компетентният надзорен орган счита, че има вероятност обработването да доведе до висок риск за правата и свободите на субектите на данни, по-специално поради това, че възпрепятстват субектите на данни да упражняват дадено право или да използват някоя услуга или договор, или поради това, че се извършват систематично в голям мащаб. Обработването на лични данни не следва да се счита за широкомащабно, ако засяга лични данни на пациенти или клиенти на отделен лекар, друг здравен работник или адвокат. В такива случаи оценката на въздействието върху защитата на данните не следва да бъде задължителна.

- = -

(106) Комисията следва да наблюдава изпълнението на решенията относно нивото на защита в дадена трета държава, територия или конкретен сектор в трета държава, или в международна организация, и да наблюдава изпълнението на решения, приети въз основа на член 25, параграф 6 или член 26, параграф 4 от Директива 95/46/ЕО. В решенията си относно адекватното ниво на защита Комисията следва да предвиди механизъм за периодичен преглед на тяхното изпълнение. Този периодичен преглед следва да се извършва в консултация с въпросната трета държава или международна организация и да отчита всички съответни развития в третата държава или международната организация. За целите на наблюдението и извършването на периодичните прегледи Комисията следва да вземе предвид становищата и констатациите на Европейския парламент и на Съвета, както и на други релевантни органи и източници. Комисията следва да направи оценка в рамките на разумен срок на изпълнението на посочените решения и да докладва на Европейския парламент и на Съвета за всякакви отнасящи се до тази оценка констатации на Комитета по смисъла на Регламент (ЕС) № 182/2011 на Европейския парламент и Съвета (12), съгласно установеното в настоящия регламент.

- = -

(114) Във всеки случай, когато Комисията не е взела решение относно адекватното ниво на защита на данните в трета държава, администраторът или обработващият данни следва да използва решения, които предоставят приложими и действителни права на субектите на данни по отношение на обработването на техните данни в Съюза след предаването на тези данни, така че те да продължат да се ползват от основните права и гаранциите.

- = -

(115) Някои трети държави приемат закони, подзаконови и други правни актове, които имат за цел пряко да регулират дейностите по обработване на данни на физически и юридически лица под юрисдикцията на държавите членки. Това може да включва решения на съдилища или трибунали или решения на административни органи в трети държави, с които от администратора или обработващия лични данни се изисква да предаде или да разкрие лични данни, и които не се основават на международно споразумение, например договор за правна взаимопомощ, което е в сила между третата държава, отправила искането, и Съюза или негова държава членка. Извънтериториалното прилагане на тези закони, подзаконови и други правни актове може да бъде в нарушение на международното право и да възпрепятства осигуряването на защитата на физическите лица, гарантирана в Съюза с настоящия регламент. Предаванията на данни следва да са разрешени само когато са изпълнени условията на настоящия регламент относно предаването на данни на трети държави. Такъв може да бъде случаят, inter alia, когато разкриването е необходимо поради важно основание от обществен интерес, признато в правото на Съюза или в правото на държава членка, на което е подчинен администраторът.

- = -

(125) Водещият орган следва да е компетентен да приема решения със задължителен характер относно мерките за прилагане на правомощията, които са му предоставени по силата на настоящия регламент. В качеството си на водещ орган надзорният орган следва да осигурява активно участие и да координира засегнатите надзорни органи в процеса на вземане на решения.Когато решението е за пълно или частично отхвърляне на жалба от субект на данни, това решение следва да се приема от надзорния орган, до който е подадена жалбата.

- = -

(129) За да се гарантира последователно наблюдение и прилагане на настоящия регламент навсякъде в Съюза, надзорните органи следва да имат еднакви задачи и ефективни правомощия във всяка държава членка, включително правомощия за разследване, корективни правомощия и правомощия за налагане на санкции, правомощия за даване на разрешения и становища, особено в случаи на жалби от физически лица, и без да се засягат правомощията на прокуратурата съгласно правото на държавата членка — правомощието да довеждат нарушения на настоящия регламент до знанието на съдебните органи и да встъпват в съдебни производства. Тези правомощия следва да включват и правомощието за налагане на временно или окончателно ограничаване, включително забрана, на обработването на данни. Държавите членки могат да посочат други конкретни задачи, свързани със защитата на лични данни съгласно настоящия регламент. Надзорните органи следва да упражняват правомощията си в съответствие с подходящите процедурни гаранции, определени в правото на Съюза и правото на държава членка, независимо, справедливо и в разумен срок. По-специално всяка мярка следва да бъде подходяща, необходима и пропорционална с оглед на осигуряването на съответствие с настоящия регламент, като се отчитат обстоятелствата при всеки конкретен случай, зачита се правото на всяко лице да бъде изслушано преди да бъде взета каквато и да е конкретна мярка, която би го засегнала неблагоприятно, и се избягват излишни разходи и прекалени неудобства за засегнатите лица. Правомощията за разследване по отношение на достъпа до помещения следва да се упражняват в съответствие със специфичните изисквания на процесуалното право на държавите членки, като например изискването за получаване на предварително съдебно разрешение. Всяка мярка със задължителен характер на надзорен орган следва да бъде в писмен вид, да бъде ясна и недвусмислена, да посочва надзорния орган, който е издал мярката, датата на издаване на мярката, да е подписана от ръководителя или член на надзорния орган, упълномощен от него, да посочва основанията за мярката и да се позовава на правото на ефективни правни средства за защита. Това не следва да възпрепятства поставянето на допълнителни изисквания съгласно процесуалното право на държавите членки. Приемането на такова решение със задължителен характер предполага, че то може да подлежи на съдебен контрол в държавата членка на надзорния орган, приел решението.

- = -

(136) При прилагането на механизма за съгласуваност Комитетът следва да излезе със становище в рамките на определен срок, ако такова решение бъде взето с мнозинство от неговите членове или ако това бъде поискано от засегнат надзорен орган или от Комисията. На Комитета следва също да бъде делегирано правомощието да приема решения със задължителен характер в случай на спорове между надзорни органи. За целта той следва по принцип да взема с мнозинство от две трети от своите членове решения със задължителен характер в точно определени случаи, когато има противоречиви становища сред надзорните органи, по-специално в механизма за сътрудничество, между водещия надзорен орган и засегнатите надзорни органи по съществото на спора, по-специално дали е налице нарушение на настоящия регламент.

- = -

(143) Всяко физическо или юридическо лице има правото да внася иск за отмяна на решения на Комитета пред Съда при условията, предвидени в член 263 от ДФЕС. Като адресати на тези решения, засегнатите надзорни органи, които желаят да ги оспорят, трябва да внесат иск в срок от два месеца от датата, на която са били уведомени за тях, в съответствие с член 263 от ДФЕС. Когато решенията на Комитета засягат пряко и лично администратора, обработващия личните данни или жалбоподателя, те могат да внесат иск за отмяна на тези решения в срок от два месеца от публикуването им на уебсайта на Комитета, в съответствие с член 263 от ДФЕС. Без да се засяга това право по член 263 от ДФЕС, всяко физическо или юридическо лице има право на ефективни правни средства за защита пред компетентен национален съд срещу решение на надзорен орган, което има правни последици за това лице. Подобно решение се отнася по-специално за упражняването на правомощията за разследване, даване на разрешение и корективните правомощия на надзорния орган или оставянето без разглеждане или отхвърлянето на жалби. Същевременно правото на ефективни правни средства на защита не обхваща мерки, взети от надзорните органи, които не са с правно задължителен характер, като становища или консултации, предоставени от надзорния орган. Производствата срещу надзорния орган следва да се завеждат пред съдилищата на държавата членка, в която е установен надзорният орган, и следва да се водят в съответствие с процесуалното право на тази държава членка. Тези съдилища следва да разполагат с пълна компетентност, която следва да включва компетентност за разглеждане на всички фактически и правни въпроси, свързани с разглеждания спор.

- = -

(144) Когато сезиран съд, в който е заведено съдебно производство срещу решение на надзорен орган, има основания да счита, че пред компетентен съд в друга държава членка е образувано производство, засягащо същото обработване, напр. свързано със същия въпрос по отношение на обработване от същия администратор или обработващ личните данни, или същото основание, той следва да установи контакт с този съд, за да потвърди наличието на такова свързано производство. Когато свързано производство е висящо пред съд на друга държава членка, всеки съд, освен първия сезиран съд, може да спре производството или може, по молба на една от страните, да се откаже от компетентност в полза на първия сезиран съд, при условие че този съд е компетентен по отношение на въпросното производство и правото му допуска съединяване на такива свързани производства. Производствата се смятат за свързани, когато те се намират в такава тясна връзка помежду си, че е целесъобразно да бъдат разгледани и решени заедно, за да се избегне рискът от противоречащи си съдебни решения, постановени в отделни производства.

- = -

(162) Когато се обработват лични данни за статистически цели, настоящият регламент следва да се прилага за този вид обработване. В рамките на настоящия регламент правото на Съюза или правото на държава членка следва да определя съдържанието на статистическите данни, контрола на достъпа, спецификациите за обработването на лични данни за статистически цели и подходящите мерки за гарантиране на правата и свободите на субекта на данните, както и на поверителността на статистическите данни. Статистически цели означава всяка операция по събиране и обработване на лични данни, необходими за статистически изследвания или за изготвяне на статистически резултати. Тези статистически резултати могат впоследствие да бъдат използвани за различни цели, включително за научноизследователски цели. Статистическата цел означава, че резултатът от обработването за статистически цели не съдържа лични данни, а агрегирани данни, и че този резултат или получените лични данни не се използват в подкрепа на мерки или решения, касаещи конкретно физическо лице.

- = -

(171) Директива 95/46/ЕО следва да бъде отменена с настоящия регламент. Обработването, което вече е в ход към датата на прилагане на настоящия регламент, следва да се приведе в съответствие с него в срок от две години, след като регламентът влезе в сила. Когато обработването на данни се основава на съгласие по силата на Директива 95/46/ЕО, не е необходимо субектът на данни да дава отново съгласие, ако начинът, по който е заявено съгласието, съответства на условията в настоящия регламент, за да може администраторът да продължи обработването на данни след датата на прилагане на настоящия регламент. Приетите от Комисията решения и разрешенията на надзорните органи въз основа на Директива 95/46/ЕО остават в сила, докато не бъдат изменени, заменени или отменени.

- = -

dal 2004 diritto e informatica