interactive GDPR 2016/0679 BG

„лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;

„обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

3)	„ограничаване на обработването“ означава маркиране на съхранявани лични данни с цел ограничаване на обработването им в бъдеще;

„профилиране“ означава всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение;

„псевдонимизация“ означава обработването на лични данни по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано;

6)	„регистър с лични данни“ означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;

„администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;

8)	„обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;

„получател“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели“; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването;

10)	„трета страна“ означава физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;

11)	„съгласие на субекта на данните“ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;

12)	„нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;

13)

„генетични данни“ означава лични данни, свързани с наследени или придобити генетичните белези на дадено физическо лице, които дават уникална информация за отличителните черти или здравето на това физическо лице и които са получени, по-специално, от анализ на биологична проба от въпросното физическо лице;

14)

„биометрични данни“ означава лични данни, получени в резултат на специфично техническо обработване, които са свързани с физическите, физиологичните или поведенческите характеристики на дадено физическо лице и които позволяват или потвърждават уникалната идентификация на това физическо лице, като лицеви изображения или дактилоскопични данни;

15)	„данни за здравословното състояние“ означава лични данни, свързани с физическото или психическото здраве на физическо лице, включително предоставянето на здравни услуги, които дават информация за здравословното му състояние;

16)

„основно място на установяване“ означава:

по отношение на администратор, установен в повече от една държава членка — мястото, където се намира централното му управление в Съюза, освен в случаите, когато решенията по отношение на целите и средствата за обработването на лични данни се вземат на друго място на установяване на администратора в Съюза и на това място на установяване има правомощия за прилагане на тези решения, в който случай мястото на установяване, където са взети тези решения, се счита за основно място на установяване;

б)

по отношение на обработващ лични данни, установен в повече от една държава членка — мястото, където се намира централното му управление в Съюза, или ако обработващият лични данни няма централно управление в Съюза, мястото на установяване на обработващия лични данни в Съюза, където се осъществяват основните дейности по обработването в контекста на дейностите на дадено място на установяване на обработващия лични данни, доколкото обработващият има специфични задължения съгласно настоящия регламент;

17)	„представител“ означава физическо или юридическо лице, установено в Съюза, което, назначено от администратора или обработващия лични данни в писмена форма съгласно член 27, представлява администратора или обработващия лични данни във връзка със съответните им задължения по настоящия регламент;

18)	„дружество“ означава физическо или юридическо лице, което осъществява икономическа дейност, независимо от правната му форма, включително партньорствата или сдруженията, които редовно осъществяват икономическа дейност;

19)	„група предприятия“ означава контролиращо предприятие и контролираните от него предприятия;

20)

„задължителни фирмени правила“ означава политики за защита на личните данни, които се спазват от администратор или обработващ лични данни, установен на територията на държава членка, при предаване или съвкупност от предавания на лични данни до администратор или обработващ лични данни в една или повече трети държави в рамките на група предприятия или група дружества, участващи в съвместна стопанска дейност;

21)	„надзорен орган“ означава независим публичен орган, създаден от държава членка съгласно член 51;

22)

„засегнат надзорен орган“ означава надзорен орган, който е засегнат от обработването на лични данни, тъй като:

a)	администраторът или обработващият лични данни е установен на територията на държавата членка на този надзорен орган;

б)	субектите на данни с местопребиваване в държавата членка на този надзорен орган са засегнати съществено или е вероятно да бъдат засегнати съществено от обработването; или

в)	до този надзорен орган е подадена жалба;

23)

„трансгранично обработване“ означава или:

a)	обработване на лични данни, което се осъществява в контекста на дейностите на местата на установяване в повече от една държава членка на администратор или обработващ лични данни в Съюза, като администраторът или обработващият лични данни е установен в повече от една държава членка; или

б)	обработване на лични данни, което се осъществява в контекста на дейностите на едно-единствено място на установяване на администратор или обработващ лични данни в Съюза, но което засяга съществено или е вероятно да засегне съществено субекти на данни в повече от една държава членка;

24)

„относимо и обосновано възражение“ означава възражение срещу проект на решение относно това дали е налице нарушение на настоящия регламент или не, или дали предвижданото действие по отношение на администратора или обработващия лични данни отговаря на изискванията на настоящия регламент, което ясно доказва, че проектът за решение води до значителни рискове за основните права и свободи на субектите на данни и, където е приложимо, за свободното движение на лични данни в рамките на Съюза;

25)	„услуга на информационното общество“ означава услуга по смисъла на член 1, параграф 1, точка б) от Директива (ЕС) 2015/1535 на Европейския парламент и на Съвета (19);

26)	„международна организация“ означава организация и нейните подчинени органи, регламентирани от международното публично право, или друг орган, създаден чрез или въз основа на споразумение между две или повече държави.

ГЛАВА II

Принципи

Член 12

Прозрачна информация, комуникация и условия за упражняването на правата на субекта на данни

1. Администраторът предприема необходимите мерки за предоставяне на всякаква информация по членове 13 и 14 и на всякаква комуникация по членове 15—22 и член 34, която се отнася до обработването, на субекта на данните в кратка, прозрачна, разбираема и лесно достъпна форма, на ясен и прост език, особено що се отнася до всяка информация, конкретно насочена към деца. Информацията се предоставя писмено или по друг начин, включително, когато е целесъобразно, с електронни средства. Ако субектът на данните е поискал това, информацията може да бъде дадена устно, при положение че идентичността на субекта на данните е доказана с други средства.

2. Администраторът съдейства за упражняването на правата на субекта на данните по членове 15—22. В случаите, посочени в член 11, параграф 2, администраторът не отказва да предприеме действия по искане на субекта на данните за упражняване на правата му по членове 15—22, освен ако докаже, че не е в състояние да идентифицира субекта на данните.

3. Администраторът предоставя на субекта на данни информация относно действията, предприети във връзка с искане по членове 15—22, без ненужно забавяне и във всички случаи в срок от един месец от получаване на искането. При необходимост този срок може да бъде удължен с още два месеца, като се взема предвид сложността и броя на исканията. Администраторът информира субекта на данните за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето. Когато субектът на данни подава искане с електронни средства, по възможност информацията се предоставя с електронни средства, освен ако субектът на данни не е поискал друго.

4. Ако администраторът не предприеме действия по искането на субекта на данни, администраторът уведомява субекта на данни без забавяне и най-късно в срок от един месец от получаване на искането за причините да не предприеме действия и за възможността за подаване на жалба до надзорен орган и търсене на защита по съдебен ред.

5. Информацията по членове 13 и 14 и всяка комуникация и действия по членове 15—22 и член 34 се предоставят безплатно. Когато исканията на субект на данни са явно неоснователни или прекомерни, по-специално поради своята повторяемост, администраторът може или:

а)	да наложи разумна такса, като взема предвид административните разходи за предоставяне на информацията или комуникацията или предприемането на исканите действия, или

б)	да откаже да предприеме действия по искането.

Администраторът носи тежестта на доказване на явно неоснователния или прекомерен характер на искането.

6. Без да се засягат разпоредбите на член 11, когато администраторът има основателни опасения във връзка със самоличността на физическото лице, което подава искане по членове 15—21, администраторът може да поиска предоставянето на допълнителна информация, необходима за потвърждаване на самоличността на субекта на данните.

7. Информацията, която трябва да се предостави на субектите на данни съгласно членове 13 и 14, може да бъде предоставена в комбинация със стандартизирани икони, чрез което по лесно видим, разбираем и ясно четим начин да се представи смислен преглед на планираното обработване. Ако иконите се представят в електронен вид, те трябва да бъдат машинночитаеми.

8. На Комисията се предоставя правомощието да приема делегирани актове в съответствие с член 92 с цел определяне на информацията, която да бъде представена под формата на икони, и на процедурите за предоставяне на стандартизирани икони.

Раздел 2

Информация и достъп до лични данни

Член 22

Автоматизирано вземане на индивидуални решения, включително профилиране

1. Субектът на данните има право да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последствия за субекта на данните или по подобен начин го засяга в значителна степен.

2. Параграф 1 не се прилага, ако решението:

a)	е необходимо за сключването или изпълнението на договор между субект на данни и администратор;

б)	е разрешено от правото на Съюза или правото на държава членка, което се прилага спрямо администратора, и в което се предвиждат също подходящи мерки за защита на правата и свободите, и легитимните интереси на субекта на данните; или

в)	се основава на изричното съгласие на субекта на данни.

3. В случаите, посочени в параграф 2, букви а) и в), администраторът прилага подходящи мерки за защита на правата и свободите и легитимните интереси на субекта на данните, най-малко правото на човешка намеса от страна на администратора, правото да изрази гледната си точка и да оспори решението.

4. Решенията по параграф 2 не се основават на специалните категории лични данни, посочени в член 9, параграф 1, освен ако не се прилага член 9, параграф 2, буква а) или буква ж) и не са въведени подходящи мерки за защита на правата и свободите и легитимните интереси на субекта на данните.

Раздел 5

Ограничения

Член 23

Ограничения

1. В правото на Съюза или правото на държава членка, което се прилага спрямо администратора или обработващия лични данни, чрез законодателна мярка може да се ограничи обхватът на задълженията и правата, предвидени в членове 12—22 и в член 34, както и в член 5, доколкото неговите разпоредби съответстват на правата и задълженията, предвидени в членове 12—22, когато подобно ограничение е съобразено със същността на основните права и свободи и представлява необходима и пропорционална мярка в едно демократично общество с цел да се гарантира:

a)	националната сигурност;

б)	отбраната;

в)	обществената сигурност;

г)	предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наложените наказания, включително предпазването от и предотвратяването на заплахи за обществената сигурност;

д)	други важни цели от широк обществен интерес за Съюза или за държава членка, и по-специално важен икономически или финансов интерес на Съюза или на държава членка, включително паричните, бюджетните и данъчните въпроси, общественото здраве и социалната сигурност;

е)	защитата на независимостта на съдебната власт и съдебните производства;

ж)	предотвратяването, разследването, разкриването и наказателното преследване на нарушения на етичните кодекси при регламентираните професии;

з)	функция по наблюдението, проверката или регламентирането, свързана, дори само понякога, с упражняването на официални правомощия в случаите, посочени в букви а)—д) и ж);

и)	защитата на субекта на данните или на правата и свободите на други лица;

й)	изпълнението по гражданскоправни искове.

2. По-специално, всяка законодателна мярка, посочена в параграф 1, съдържа специални разпоредби най-малко, където е целесъобразно, по отношение на:

a)	целите на обработването или категориите обработване;

б)	категориите лични данни;

в)	обхвата на въведените ограничения;

г)	гаранциите за предотвратяване на злоупотреби или незаконен достъп или предаване;

д)	спецификацията на администратора или категориите администратори;

е)	периодите на съхранение и приложимите гаранции, като се вземат предвид естеството, обхватът и целите на обработването или категориите обработване;

ж)	рисковете за правата и свободите на субектите на данни; и

з)	правото на субектите на данни да бъдат информирани за ограничаването, освен ако това би било в разрез с целта на ограничаването.

ГЛАВА IV

Администратор и обработващ лични данни

Раздел 1

Общи задължения

Член 27

Представители на администратори и обработващи лични данни, които не са установени в Съюза

1. В случаите когато се прилага член 3, параграф 2, администраторът или обработващият личните данни определя писмено представител в Съюза.

2. Задължението, установено в параграф 1 от настоящия член, не се прилага за:

а)

обработване, което е спорадично, не включва мащабно обработване на специални категории данни по член 9, параграф 1, нито обработване на лични данни, свързани с присъди и нарушения, посочени в член 10, и няма вероятност да породи риск за правата и свободите на физическите лица, като се имат предвид естеството, контекстът, обхватът и целите на обработването; или

б)	публичен орган или структура.

3. Представителят е установен в една от държавите членки, в която се намират субектите на данни, чиито лични данни се обработват във връзка с предлагането на стоки или услуги или чието поведение се наблюдава.

4. Администраторът или обработващият лични данни предоставя на представителя мандат, съгласно който по-специално надзорните органи и субектите на данни могат освен или вместо към администратора или обработващия лични данни да се обръщат към представителя по всички въпроси, свързани с обработването, с цел да се гарантира спазване на настоящия регламент.

5. Определянето на представител от администратора или обработващия лични данни не засяга правните действия, които биха могли да бъдат предприети срещу самия администратор или обработващ личните данни.

Член 40

Кодекси за поведение

1. Държавите членки, надзорните органи, Комитетът и Комисията насърчават изготвянето на кодекси за поведение, които имат за цел да допринесат за правилното прилагане на настоящия регламент, като се отчитат специфичните характеристики на различните обработващи данни сектори и конкретните нужди на микропредприятията, малките и средните предприятия.

2. Сдруженията и други структури, представляващи категории администратори или обработващи лични данни, могат да изготвят кодекси за поведение или да изменят или допълват такива кодекси с цел да бъде уточнено прилагането на настоящия регламент, като по отношение на:

a)	добросъвестното и прозрачно обработване;

б)	законните интереси, преследвани от администраторите в конкретни аспекти;

в)	събирането на лични данни;

г)	псевдонимизацията на лични данни;

д)	информирането на обществеността и на субектите на данни;

е)	упражняването на правата на субектите на данни;

ж)	информирането и закрилата на децата и начина за получаване на съгласие от носещите родителска отговорност за детето;

з)	мерките и процедурите, посочени в членове 24 и 25, и мерките за осигуряване на посочената в член 32 сигурност на обработването;

и)	уведомяването на надзорните органи за нарушения на сигурността на личните данни и съобщаването за такива нарушения на сигурността на личните данни на субектите на данни;

й)	предаването на лични данни на трети държави или международни организации; или

к)	извънсъдебните производства и другите процедури за разрешаване на спорове между администраторите и субектите на данни по отношение на обработването, без да се засягат правата на субектите на данни съгласно членове 77 и 79.

3. Освен спазването на настоящия регламент от администратора или обработващия лични данни, към които се прилага настоящият регламент, кодекси за поведение, одобрени съгласно параграф 5 от настоящия член и общовалидни съгласно параграф 9 от настоящия член, могат също така да се прилагат към администратори или обработващи лични данни, непопадащи в обхвата на настоящия регламент съгласно член 3, с цел да се осигурят подходящи гаранции в рамките на предаването на лични данни на трети държави или международни организации съгласно условията, посочени в член 46, параграф 2, буква д). Тези администратори или обработващи лични данни поемат задължителни ангажименти с изпълнителна сила, чрез договорни или други инструменти със задължителен характер, да прилагат тези подходящи гаранции, включително по отношение на правата на субектите на данни.

4. Кодексът за поведение, посочен в параграф 2 от настоящия член съдържа механизми, които позволяват на посочения в член 41, параграф 1 орган да извършва задължителното наблюдение на спазването на неговите разпоредби от администраторите или обработващите лични данни, които приемат да го прилагат, без да се засягат задълженията и правомощията на надзорните органи, компетентни по силата на член 55 или 56.

5. Сдруженията и другите структури, посочени в параграф 2 от настоящия член, които възнамеряват да изготвят кодекс за поведение или да изменят или допълнят съществуващ кодекс, представят проекта на кодекс, негово изменение или допълнение на надзорния орган, който е компетентен съгласно член 55 Надзорният орган дава становище дали проектът за кодекс, негово изменение или допълнение съответстват на настоящия регламент и одобрява този проект на кодекс, негово изменение или допълнение, ако установи, че той осигурява достатъчно подходящи гаранции.

6. Когато проектът на кодекс, негово изменение или допълнение е одобрено в съответствие с параграф 5 и когато съответният кодекс за поведение няма отношение към дейности по обработване в няколко държави членки, надзорният орган регистрира и публикува кодекса.

7. Ако проект на кодекс за поведение има отношение към дейности по обработване в няколко държави членки, надзорният орган, който е компетентен съгласно член 55, преди одобряването на проекта на кодекс, негово изменение или допълнение, го представя, по посочената в член 63 процедура, на Комитета, който дава становище дали проектът на кодекс, негово изменение или допълнение съответстват на настоящия регламент, или, в случаите, посочени в параграф 3 от настоящия член, осигуряват подходящи гаранции.

8. Ако посоченото в параграф 7 становище потвърди, че проектът на кодекс, негово изменение или допълнение съответстват на настоящия регламент или, в случаите, посочени в параграф 3, осигуряват подходящи гаранции, Комитетът представя становището си на Комисията.

9. Комисията може чрез актове за изпълнение да реши дали одобрения кодек за поведение, негово изменение или допълнение, който ѝ е представен по силата на параграф 8 от настоящия член, е общовалиден в рамките на Съюза. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 93, параграф 2.

10. Комисията осигурява подходяща публичност на одобрените кодекси, за които е решено, че са общовалидни в съответствие с параграф 9.

11. Комитетът събира всички одобрени кодекси за поведение, техните изменения и допълнения в регистър и ги прави обществено достъпни чрез всички подходящи средства.

Член 46

Предаване на данни с подходящи гаранции

1. При липса на решение съгласно член 45, параграф 3, администраторът или обработващият лични данни може да предава лични данни на трета държава или международна организация само ако е предвидил подходящи гаранции и при условие че са налице приложими права на субектите на данни и ефективни правни средства за защита.

2. Подходящите гаранции, посочени в параграф 1, могат да бъдат предвидени, без да се изисква специално разрешение от надзорния орган, посредством:

a)	инструмент със задължителен характер и с изпълнителна сила между публичните органи или структури;

б)	задължителни фирмени правила в съответствие с член 47;

в)	стандартни клаузи за защита на данните, приети от Комисията в съответствие с процедурата по разглеждане, посочена в член 93, параграф 2;

г)	стандартни клаузи за защита на данните, приети от надзорен орган и одобрени от Комисията съгласно процедурата по разглеждане, посочена в член 93, параграф 2;

д)	одобрен кодекс за поведение съгласно член 40, заедно със задължителни ангажименти с изпълнителна сила на администратора или обработващия лични данни в третата държава да прилагат подходящите гаранции, включително по отношение на правата на субектите на данни; или

е)	одобрен механизъм за сертифициране съгласно член 42, заедно със задължителни и изпълними ангажименти на администратора или обработващия лични данни в третата държава да прилагат подходящите гаранции, включително по отношение на правата на субектите на данни.

3. При условие че компетентният надзорен орган е дал разрешение, подходящите гаранции, посочени в параграф 1, могат да бъдат предвидени по-специално и посредством:

a)	договорни клаузи между администратора или обработващия лични данни и администратора, обработващия лични данни или получателя на личните данни в третата държава или международната организация; или

б)	разпоредби, които да се включват в административните договорености между публичните органи или структури, съдържащи действителни и приложими права на субектите на данни.

4. Надзорният орган прилага механизма за съгласуваност по член 63 в случаите, посочени в параграф 3 от настоящия член.

5. Разрешенията, издадени от държава членка или надзорен орган въз основа на член 26, параграф 2 от Директива 95/46/ЕО, остават валидни, докато не бъдат изменени, заменени или отменени, ако е необходимо, от надзорния орган. Решенията, приети от Комисията въз основа на член 26, параграф 4 от Директива 95/46/ЕО, остават в сила, докато не бъдат изменени, заменени или отменени, ако е необходимо, с решение на Комисията, прието в съответствие с параграф 2 от настоящия член.

Член 64

Становище на Комитета

1. Комитетът дава становище, когато компетентен надзорен орган възнамерява да приеме някоя от мерките, изброени по-долу. За тази цел компетентният надзорен орган предава проекта за решение на Комитета, когато то:

а)	има за цел приемане на списък на операциите по обработване, които подлежат на изискването за оценка на въздействието по отношение на защитата на лични данни в съответствие с член 35, параграф 4;

б)	се отнася до въпрос съгласно член 40, параграф 7 дали проект на кодекс на поведение, негово изменение или допълнение съответства на настоящия регламент;

в)	има за цел одобряване на критериите за акредитиране на орган съгласно член 41, параграф 3 или на орган по сертифициране съгласно член 43, параграф 3;

г)	има за цел определяне на стандартните клаузи за защита на данните, посочени в член 46, параграф 2, буква г) и в член 28, параграф 8;

д)	има за цел даване на разрешение за договорните клаузи, посочени в член 46, параграф 3, буква а); или

е)	има за цел одобряване на задължителни фирмени правила по смисъла на член 47.

2. Всеки надзорен орган, председателят на Комитета или Комисията може да поиска разглеждането на въпрос с общо приложение или с последици в повече от една държава членка от Комитета с цел получаване на становище, по-специално когато даден компетентен надзорен орган не изпълнява задълженията за взаимопомощ съгласно член 61 или за съвместни операции съгласно член 62.

3. В случаите, посочени в параграфи 1 и 2, Комитетът дава становище по отнесения до него въпрос, при условие че все още не е давал становище по същия въпрос. Това становище се приема в срок от осем седмици с обикновено мнозинство от членовете на Комитета. Този срок може да бъде удължен с още шест седмици с оглед на сложността на въпроса. По отношение на посочения в параграф 1 проект за решение, разпространен до членовете на Комитета в съответствие с параграф 5, за член, който не е представил възражение в посочения от председателя разумен срок, се счита, че е съгласен с проекта за решение.

4. Надзорните органи и Комисията предоставят без ненужно забавяне на Комитета, по електронен път и посредством стандартизиран формат, всяка информация, която е от значение, включително, според случая, обобщение на фактите, проекта за решение, основанията, които налагат приемането на такава мярка, и становищата на други засегнати надзорни органи.

5. Председателят на Комитета без ненужно забавяне информира по електронен път:

a)	членовете на Комитета и Комисията за всяка значима информация, която му е била съобщена, като използва стандартизиран формат. При необходимост секретариатът на Комитета предоставя писмен превод на съответната информация; и

б)	надзорния орган, посочен, според случая, в параграфи 1 и 2, и Комисията за становището и го оповестява публично.

6. Компетентният надзорен орган не приема проекта си за решение по параграф 1 в рамките на посочения в параграф 3 срок.

7. Надзорният орган, посочен в параграф 1, в най-голяма степен взема предвид становището на Комитета и в срок от две седмици след получаване на становището информира председателя на Комитета по електронен път дали ще запази или ще измени своя проект за решение и му представя изменения проект за решение, ако има такъв, като използва стандартизиран формат.

8. Когато засегнатият надзорен орган информира председателя на Комитета в посочения в параграф 7 от настоящия член срок, че възнамерява изцяло или отчасти да не се съобрази със становището на Комитета, като представи съответните основания, се прилага член 65, параграф 1.

Член 65

Разрешаване на спорове от Комитета

1. С цел да осигури правилно и последователно прилагане на настоящия регламент в отделните случаи, Комитетът приема решение със задължителен характер в следните случаи:

когато в случаи по член 60, параграф 4 засегнат надзорен орган е повдигнал относимо и обосновано възражение срещу проект за решение на водещия орган или водещият орган е отхвърлил възражението като неотносимо или необосновано. Решението със задължителен характер се отнася за всички въпроси, които са предмет на относимото и обосновано възражение, особено когато има нарушение на настоящия регламент;

б)	когато има противоречиви виждания за това кой от засегнатите надзорни органи е компетентен за основното място на установяване;

в)	когато компетентният надзорен орган не е поискал становището на Комитета в случаите, посочени в член 64, параграф 1, или не се е съобразил със становището на Комитета, дадено по член 564. В този случай всеки засегнат надзорен орган или Комисията може да отнесе въпроса до Комитета.

2. Посоченото в параграф 1 решение се приема в срок от един месец от отнасянето на въпроса от мнозинство от две трети от членовете на Комитета. Посоченият срок може да бъде удължен с още един месец с оглед на сложността на въпроса. Решението по параграф 1 е обосновано, адресирано е до водещия надзорен орган и всички засегнати надзорни органи и е със задължителен характер за тях.

3. Когато Комитетът не е бил в състояние да приеме решение в срока, посочен в параграф 2, той приема решението си в срок от две седмици от изтичането на втория месец, споменат в параграф 2, с обикновено мнозинство от членовете на Комитета. Когато членовете на Комитета са разделени поравно на две, решението се приема с решаващия глас на председателя.

4. Засегнатите надзорни органи не приемат решение по отнесения до Комитета въпрос съгласно параграф 1 в рамките на сроковете, посочени в параграфи 2 и 3.

5. Председателят на Комитета уведомява без ненужно забавяне засегнатите надзорни органи за решението, посочено в параграф 1. Той уведомява и Комисията за него. Решението се публикува на уебсайта на Комитета без забавяне след като надзорният орган е уведомил за окончателното си решение, посочено в параграф 6.

6. Водещият надзорен орган или, според случая, надзорният орган, до който е била подадена жалбата, приема окончателното си решение въз основа на решението, посочено в параграф 1 от настоящия член, без ненужно забавяне и най-късно един месец след като Комитетът е уведомил за решението си. Водещият надзорен орган или, според случая, надзорният орган, до който е била подадена жалбата, информира Комитета за датата, на която администраторът или обработващият лични данни и субектът на данни са били уведомени за неговото окончателно решение. Окончателното решение на засегнатите надзорни органи се приема по реда на член 60, параграфи 7, 8 и 9. Окончателното решение се позовава на решението, посочено в параграф 1 от настоящия член, и в него се уточнява, че посоченото в посочения параграф решение ще бъде публикувано на уебсайта на Комитета в съответствие с параграф 5 от настоящия член. Към окончателното решение се прилага решението, посочено в параграф 1 от настоящия член.

Член 68

Европейски комитет по защита на данните

1. Създава се Европейски комитет по защита на данните („Комитетът“), който е орган на Съюза и притежава правосубектност.

2. Комитетът се представлява от своя председател.

3. Комитетът е съставен от ръководителите на по един надзорен орган от всяка държава членка и Европейския надзорен орган по защита на данните, или от съответните им представители.

4. Когато в дадена държава членка повече от един надзорен орган отговаря за наблюдението на прилагането на разпоредбите съгласно настоящия регламент, в съответствие с правото на тази държава членка се назначава общ представител.

5. Комисията има право да участва в дейностите и заседанията на Комитета без право на глас. Комисията посочва свой представител. Председателят на Комитета уведомява Комисията за дейностите на Комитета.

6. В случаите, посочени с член 65, Европейският надзорен орган по защита на данните има право на глас само във връзка с решения, които се отнасят до принципите и правилата, приложими за институциите, органите, службите и агенциите на Съюза, които съответстват по същество на предвидените в настоящия регламент.

Член 70

Задачи на Комитета

1. Комитетът осигурява съгласуваното прилагане на настоящия регламент. За тази цел Комитетът по своя собствена инициатива или, ако е целесъобразно, по искане на Комисията, по-специално:

a)	наблюдава и гарантира правилното прилагане на настоящия регламент в случаите, предвидени в членове 64 и 65, без да се засягат задачите на националните надзорни органи;

б)	консултира Комисията по всеки въпрос, свързан със защитата на личните данни в Съюза, включително относно всяко предложено изменение на настоящия регламент;

в)	консултира Комисията относно формàта и процедурите за обмен на информация между администраторите, обработващите лични данни и надзорните органи за задължителните фирмени правила;

г)	издава насоки, препоръки и най-добри практики относно процедурите за изтриване на връзки, копия или преписи на лични данни от обществено достъпни съобщителни услуги, както е посочено в член 17, параграф 2;

д)	разглежда по своя собствена инициатива, по искане на някой от своите членове или по искане на Комисията всеки въпрос, който се отнася до прилагането на настоящия регламент, и издава насоки, препоръки и най-добри практики с цел насърчаване на съгласуваното прилагане на настоящия регламент;

е)	издава насоки, препоръки и най-добри практики в съответствие с буква д) от настоящия параграф за допълнително уточняване на критериите и условията във връзка с решенията, основани на профилиране на данни съгласно член 22, параграф 2;

ж)

издава насоки, препоръки и най-добри практики в съответствие с буква д) от настоящия параграф за установяване на нарушения на сигурността на данните и определяне на ненужното забавяне по член 33, параграфи 1 и 2, както и за определяне на конкретните обстоятелства, при които от администратора или обработващия лични данни се изисква да уведомяват за нарушението на сигурността на личните данни;

з)	издава насоки, препоръки и най-добри практики в съответствие с буква д) от настоящия параграф по отношение на обстоятелствата, при които нарушение на сигурността на личните данни има вероятност да доведе до висок риск за правата и свободите на физическите лица, посочени в член 34, параграф 1;

и)

издава насоки, препоръки и най-добри практики в съответствие с буква д) от настоящия параграф за целите на допълнително уточняване на критериите и изискванията за предаване на лични данни въз основа на задължителни фирмени правила, които се спазват от администраторите, и задължителни фирмени правила, които се спазват от обработващите лични данни, както и на необходимите допълнителни изисквания за осигуряване на защита на личните данни на съответните субекти на данни, посочени в член 47;

й)	издава насоки, препоръки и най-добри практики в съответствие с буква д) от настоящия параграф за целите на допълнително уточняване на критериите и изискванията за предаване на лични данни въз основа на член 49, параграф 1;

к)	изготвя насоки за надзорните органи относно прилагането на мерките, посочени в член 58, параграфи 1, 2 и 3, и определянето на размера на административните наказания „глоба“ или „имуществена санкция“ съгласно член 83;

л)	извършва преглед на практическото прилагане на насоките, препоръките и най-добрите практики, посочени в букви д) и е);

м)	издава насоки, препоръки и най-добри практики в съответствие с буква д) от настоящия параграф за установяване на общи процедури за подаване на сигнали от физически лица за нарушения на настоящия регламент съгласно член 54, параграф 2;

н)	насърчава изготвянето на кодекси на поведение и установяването на механизми за сертифициране за защита на данните и печати и маркировки за защита на данните съгласно членове 40 и 42;

о)	извършва акредитацията на сертифициращи органи и периодичния ѝ преглед съгласно член 43 и поддържа публичен регистър на акредитираните органи съгласно член 43, параграф 6 и на акредитираните администратори и обработващи лични данни, установени в трети държави, съгласно член 42, параграф 7;

п)	уточнява изискванията, посочени в член 43, параграф 3, с оглед на акредитацията на сертифициращи органи съгласно член 42;

р)	предоставя на Комисията становище относно изискванията за сертифициране, посочени в член 43, параграф 8;

с)	предоставя на Комисията становище относно иконите, посочени в член 12, параграф 7;

т)

предоставя на Комисията становище за оценка на адекватността на нивото на защита на данните в трета държава или международна организация, включително за оценка на това дали третата държава, територията или един или повече конкретни сектори в рамките на тази трета държава, или международната организация, са престанали да осигуряват адекватно ниво на защита. За тази цел Комисията предоставя на Комитета цялата необходима документация, включително кореспонденцията с правителството на третата държава, по отношение на тази трета държава, територия или конкретен сектор или с международната организация;

у)	дава становища по проекти за решения на надзорните органи по силата на механизма за съгласуваност, посочен в член 64, параграф 1, по въпроси, изпратени съгласно член 64, параграф 2 и приема решения със задължителен характер съгласно член 65, включително по въпроси, разглеждани съгласно член 66;

ф)	насърчава сътрудничеството и ефективния двустранен и многостранен обмен на информация и добрите практики между надзорните органи;

х)	насърчава общите програми за обучение и улеснява обмена на персонал между надзорните органи и — когато това е целесъобразно —с надзорните органи на трети държави или международни организации;

ц)	насърчава обмена на знания и документация относно законодателството и практиките в областта на защитата на данни с надзорните органи по защита на данните в цял свят;

ч)	дава становища по кодексите за поведение, съставяни на равнището на Съюза в съответствие с член 40, параграф 9; и

ш)	поддържа обществено достъпен електронен регистър на решенията, взети от надзорните органи и съдилищата по въпроси, разглеждани в рамките на механизма за съгласуваност.

2. Когато Комисията поиска съвет от Комитета, тя може да посочи срок, като се взема предвид спешността на въпроса.

3. Комитетът изпраща своите становища, насоки, препоръки и най-добри практики на Комисията и на комитета, посочен в член 93, и ги прави обществено достояние.

4. Комитетът се консултира по целесъобразност със заинтересованите страни и им предоставя възможност да направят коментари в рамките на разумен срок. Без да се засягат разпоредбите на член 76, Комитетът оповестява публично резултатите от процедурата на консултации.

whereas

(23) За да се гарантира, че физическите лица не са лишени от защитата, на която те имат право по силата на настоящия регламент, обработването на лични данни на субекти на данни, които се намират в Съюза, от администратор или обработващ лични данни, който не е установен в Съюза, следва да подлежи на разпоредбите на настоящия регламент в случаите, когато дейностите по обработване на данни са свързани с предлагането на стоки или услуги на такива субекти на данни, независимо дали това е свързано с плащане. За да се установи дали този администратор или обработващ лични данни предлага стоки или услуги на субекти на данни, които се намират в Съюза, следва да бъде уточнено дали е очевидно, че администраторът или обработващият данни възнамерява да предлага услуги на субекти на данни в една или повече държави членки в Съюза. Като се има предвид, че само достъпността на уебсайт на посредник в Съюза, на администратора или обработващия данни, на електронен адрес или на други данни за контакт или използването на език, който по правило се използва в третата държава, където е установен администраторът, са недостатъчни за удостоверяване на такова намерение, фактори като използването на език или парична единица, които по правило се използват в една или повече държави членки, наред с възможността за поръчване на стоки и услуги на този друг език или споменаването на потребители или ползватели, които се намират в Съюза, могат да свидетелстват за това, че администраторът възнамерява да предлага стоки или услуги на субекти на данни в Съюза.

- = -

(36) Основното място на установяване на администратор на данни в Съюза следва да бъде мястото в Съюза, където се намира централното му управление в Съюза, освен ако решенията относно целите и средствата за обработването на лични данни не се вземат на друго място на установяване на администратора на данни в Съюза, в който случай това друго място на установяване следва да се счита за основното място на установяване. Основното място на установяване на администратор в Съюза следва да се определя съгласно обективни критерии и следва да означава ефективното и действително упражняване на управленски дейности, определящи основните решения по отношение на целите и средствата за обработване на данни по силата на стабилни договорености. Този критерий не следва да зависи от това дали обработването на лични данни се извършва на това място. Наличието и употребата на технически средства и технологии за обработване на лични данни или дейностите по обработване не представляват сами по себе си основно място на установяване и следователно не са определящи критерии за понятието „основно място на установяване“. Основното място на установяване на обработващия лични данни следва да бъде мястото, където се намира централното му управление в Съюза, а ако няма централно управление в Съюза, мястото в Съюза, където се осъществяват основните дейности по обработването. В случаи, когато участват и администратор, и обработващ лични данни, компетентният водещ надзорен орган следва да остане надзорният орган на държавата членка, в която се намира основното място на установяване на администратора, а надзорният орган на обработващия лични данни следва да се счита за засегнат надзорен орган и този надзорен орган следва да участва в процедурата за сътрудничество, предвидена в настоящия регламент. При всички положения надзорните органи на държавата членка или държавите членки, където е установен обработващият лични данни, не следва да се считат за засегнати надзорни органи, когато проектът за решение засяга единствено администратора. Когато обработването се извършва от група предприятия, основното място на установяване на контролиращото предприятие следва да се счита за основно място на установяване на групата предприятия, с изключение на случаите, в които целите и средствата на обработването на данни се определят от друго предприятие.

- = -

(61) Информацията за обработването на лични данни, свързани със субекта на данните, следва да му бъде предоставена в момента на събирането ѝ от субекта на данните или ако личните данни са получени от друг източник — в рамките на разумен срок, в зависимост от обстоятелствата на конкретния случай. В случаите, в които личните данни могат да бъдат законно разкрити на друг получател, субектът на данните следва да бъде информиран, когато личните данни се разкриват за първи път на получателя. Когато администраторът възнамерява да обработва личните данни за цел, различна от тази, за която те са събрани, той следва да предостави на субекта на данните преди това по-нататъшно обработване информация за въпросната друга цел и друга необходима информация. Когато на субекта на данните не може да се предостави информация за произхода на личните данни поради използването на различни източници, се представя обобщена информация.

- = -

(101) Потоци от лични данни към и от страни извън Съюза и международни организации са необходими за разширяването на международната търговия и международното сътрудничество. Нарастването на тези потоци породи нови предизвикателства и опасения във връзка със защитата на личните данни. Когато обаче лични данни се предават от Съюза на администратори, обработващи лични данни или други получатели в трети държави или на международни организации, нивото на защита на физическите лица, гарантирано в Съюза с настоящия регламент, не следва да бъде излагано на риск, включително в случаите на последващо предаване на лични данни от третата държава или международната организация на администратори или обработващи лични данни в същата или друга трета държава или международна организация. Във всеки случай предаването на данни на трети държави и международни организации може да се извършва единствено в пълно съответствие с настоящия регламент. Предаването може да се извършва, само ако администраторът или обработващият лични данни изпълняват условията, установени в разпоредбите на настоящия регламент относно предаването на лични данни на трети държави или международни организации, при спазване на другите разпоредби на настоящия регламент.

- = -

(138) Прилагането на такъв механизъм следва да бъде условие за законосъобразността на мярка, целяща да породи правни последици, издадена от надзорния орган в случаите, когато прилагането му е задължително. В други случаи с трансгранично значение следва да се прилага механизмът за сътрудничество между водещия надзорен орган и засегнатите надзорни органи и могат да се осъществяват взаимопомощ и съвместни операции между засегнатите надзорни органи на двустранна или многостранна основа, без да се задейства механизмът за съгласуваност.

- = -

dal 2004 diritto e informatica