interactive GDPR 2016/0679 BG

1. Настоящият регламент се прилага за обработването на лични данни в контекста на дейностите на дадено място на установяване на администратор или обработващ лични данни в Съюза, независимо дали обработването се извършва в Съюза или не.

2. Настоящият регламент се прилага за обработването на лични данни на субекти на данни, които се намират в Съюза, от администратор или обработващ лични данни, който не е установен в Съюза, когато дейностите по обработване на данни са свързани със:

a)	предлагането на стоки или услуги на такива субекти на данни в Съюза, независимо дали от субекта на данни се изисква плащане; или

б)	наблюдението на тяхното поведение, доколкото това поведение се проявява в рамките на Съюза.

3. Настоящият регламент се прилага за обработването на лични данни от администратор, който не е установен в Съюза, но е установен на място, където се прилага правото на държава членка по силата на международното право.

Член 6

Законосъобразност на обработването

1. Обработването е законосъобразно, само ако и доколкото е приложимо поне едно от следните условия:

a)	субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели;

б)	обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;

в)	обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора;

г)	обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице;

д)	обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;

е)

обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете.

Буква е) на първа алинея не се прилага за обработването, което се извършва от публични органи при изпълнението на техните задачи.

2. Държавите членки могат да запазят или въведат по-конкретни разпоредби, за да адаптират прилагането на правилата на настоящия регламент по отношение на обработването, необходимо за спазването на параграф 1, букви в) и д), като установят по-конкретно специални изисквания за обработването и други мерки, за да се гарантира законосъобразно и добросъвестно обработване, включително за други особени случаи на обработване на данни, предвидени в глава IX.

3. Основанието за обработването, посочено в параграф 1, букви в) и д), е установено от:

a)	правото на Съюза или

б)	правото на държавата членка, което се прилага спрямо администратора.

Целта на обработването се определя в това правно основание или доколкото се отнася до обработването по параграф 1, буква д), то трябва да е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора. Това правно основание може да включва конкретни разпоредби за адаптиране на прилагането на разпоредбите на настоящия регламент, inter alia общите условия, които определят законосъобразността на обработването от администратора, видовете данни, които подлежат на обработване, съответните субекти на данни; образуванията, пред които могат да бъдат разкривани лични данни, и целите, за които се разкриват; ограниченията по отношение на целите на разкриването; периодът на съхранение и операциите и процедурите за обработване, включително мерки за гарантиране на законосъобразното и добросъвестно обработване, като тези за други конкретни случаи на обработване съгласно предвиденото в глава IX. Правото на Съюза или правото на държавата членка се съобразява с обществения интерес и е пропорционално на преследваната легитимна цел.

4. Когато обработването за други цели, различни от тези, за които първоначално са били събрани личните данни, не се извършва въз основа на съгласието на субекта на данните или на правото на Съюза или правото на държава членка, което представлява необходима и пропорционална мярка в едно демократично общество за гарантиране на целите по член 23, параграф 1, администраторът, за да се увери дали обработването за други цели е съвместимо с първоначалната цел, за която са били събрани личните данни, inter alia, взема под внимание:

a)	всяка връзка между целите, за които са били събрани личните данни, и целите на предвиденото по-нататъшно обработване;

б)	контекста, в който са били събрани личните данни, по-специално във връзка с отношенията между субекта на данните и администратора;

в)	естеството на личните данни, по-специално дали се обработват специални категории лични данни съгласно член 9 или се обработват лични данни, отнасящи се до присъди и нарушения, съгласно член 10;

г)	възможните последствия от предвиденото по-нататъшно обработване за субектите на данните;

д)	наличието на подходящи гаранции, които могат да включват криптиране или псевдонимизация.

Член 8

Условия, приложими за съгласието на дете във връзка с услугите на информационното общество

1. Когато се прилага член 6, параграф 1, буква а), във връзка с прякото предлагане на услуги на информационното общество на деца, обработването на данни на дете е законосъобразно, ако детето е поне на 16 години. Ако детето е под 16 години това обработване е законосъобразно само ако и доколкото такова съгласие е дадено или разрешено от носещия родителска отговорност за детето.

Държавите членки могат да предвидят в правото си по-ниска възраст за същите цели при условие че тази по-ниска възраст не е под 13 години.

2. В такива случаи администраторът полага разумни усилия за удостоверяване, че съгласието е дадено или разрешено от носещия родителска отговорност за детето, като взема предвид наличната технология.

3. Параграф 1 не засяга общото договорно право на държавите членки като разпоредбите относно действителността, сключването или последиците от даден договор по отношение на дете.

Член 11

Обработване, за което не се изисква идентифициране

1. Ако целите, за които администратор обработва лични данни, не изискват или вече не изискват идентифициране на субекта на данните от администратора, администраторът не е задължен да поддържа, да се сдобие или да обработи допълнителна информация, за да идентифицира субекта на данни с единствената цел да бъде спазен настоящият регламент.

2. Когато в случаи, посочени в параграф 1 от настоящия член, администраторът може да докаже, че не е в състояние да идентифицира субекта на данни, администраторът уведомява съответно субекта на данни, ако това е възможно. В такива случаи членове 15—20 не се прилагат, освен когато субектът на данни, с цел да упражни правата си по тези членове, предостави допълнителна информация, позволяваща неговото идентифициране.

ГЛАВА III

Права на субекта на данни

Раздел 1

Прозрачност и условия

Член 13

Информация, предоставяна при събиране на лични данни от субекта на данните

1. Когато лични данни, свързани с даден субект на данни, се събират от субекта на данните, в момента на получаване на личните данни администраторът предоставя на субекта на данните цялата посочена по-долу информация:

a)	данните, които идентифицират администратора и координатите за връзка с него и, когато е приложимо, тези на представителя на администратора;

б)	координатите за връзка с длъжностното лице по защита на данните, когато е приложимо;

в)	целите на обработването, за което личните данни са предназначени, както и правното основание за обработването;

г)	когато обработването се извършва въз основа на член 6, параграф 1, буква е), законните интереси, преследвани от администратора или от трета страна;

д)	получателите или категориите получатели на личните данни, ако има такива;

е)

когато е приложимо, намерението на администратора да предаде личните данни на трета държава или на международна организация, както и наличието или отсъствието на решение на Комисията относно адекватното ниво на защита или в случай на предаване на данни съгласно посоченото в членове 46 или 47, или член 49, параграф 1, втора алинея позоваване на подходящите или приложимите гаранции и средствата за получаване на копие от тях или на информация къде са налични.

2. Освен информацията, посочена в параграф 1, в момента на получаване на личните данни администраторът предоставя на субекта на данните следната допълнителна информация, която е необходима за осигуряване на добросъвестно и прозрачно обработване:

a)	срока, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определяне на този срок;

б)	съществуването на право да се изиска от администратора достъп до, коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или право да се направи възражение срещу обработването, както и правото на преносимост на данните;

в)	когато обработването се основава на член 6, параграф 1, буква а) или член 9, параграф 2, буква а), съществуването на право на оттегляне на съгласието по всяко време, без да се засяга законосъобразността на обработването въз основа на съгласие, преди то да бъде оттеглено;

г)	правото на жалба до надзорен орган;

д)	дали предоставянето на лични данни е задължително или договорно изискване, или изискване, необходимо за сключването на договор, както и дали субектът на данните е длъжен да предостави личните данни и евентуалните последствия, ако тези данни не бъдат предоставени;

е)	съществуването на автоматизирано вземане на решения, включително профилирането, посочено в член 22, параграфи 1 и 4, и поне в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните.

3. Когато администраторът възнамерява по-нататък да обработва личните данни за цел, различна от тази, за която са събрани, той предоставя на субекта на данните преди това по-нататъшно обработване информация за тази друга цел и всякаква друга необходима информация, както е посочено в параграф 2.

4. Параграфи 1, 2 и 3 не се прилагат, когато и доколкото субектът на данните вече разполага с информацията.

Член 14

Информация, предоставяна, когато личните данни идват от субекта на данните

1. Когато личните данни не са получени от субекта на данните, администраторът предоставя на субекта на данните следната информация:

a)	данните, които идентифицират администратора и координатите за връзка с него и, когато е приложимо, тези на представителя на администратора;

б)	координатите за връзка с длъжностното лице по защита на данните, когато е приложимо;

в)	целите на обработването, за което личните данни са предназначени, както и правното основание за обработването;

г)	съответните категории лични данни;

д)	получателите или категориите получатели на личните данни, ако има такива;

е)

когато е приложимо, намерението на администратора да предаде данните на трета държава или на международна организация, и наличието или отсъствието на решение на Комисията относно адекватното ниво на защита или в случай на предаване на данни съгласно член 46 или 47, или член 49, параграф 1, втора алинея с позоваване на подходящите или приложимите гаранции и средствата за получаване на копие от тях или на информация къде са налични.

2. Освен информацията, посочена в параграф 1, администраторът предоставя на субекта на данните следната информация, необходима за осигуряване на добросъвестно и прозрачно обработване на данните по отношение на субекта на данните:

а)	срока, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определяне на този срок;

б)	когато обработването се извършва въз основа на член 6, параграф 1, буква е), законните интереси, преследвани от администратора или от трета страна;

в)	съществуването на право да се изиска от администратора достъп до, коригиране или изтриване на лични данни, свързани със субекта на данните, или ограничаване на обработването, и правото да се направи възражение срещу обработването, както и правото на преносимост на данните;

г)	когато обработването се основава на член 6, параграф 1, буква а) или член 9, параграф 2, буква а), съществуването на право на оттегляне на съгласието по всяко време, без да се засяга законосъобразността на обработването въз основа на съгласие, преди то да бъде оттеглено;

д)	правото на жалба до надзорен орган;

е)	източника на личните данни и, ако е приложимо, дали данните са от публично достъпен източник;

ж)	съществуването на автоматизирано вземане на решения, включително профилирането, посочено в член 22, параграфи 1 и 4, и поне в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните.

3. Администраторът предоставя информацията, посочена в параграфи 1 и 2:

a)	в разумен срок след получаването на личните данни, но най-късно в срок до един месец, като се отчитат конкретните обстоятелства, при които личните данни се обработват;

б)	ако данните се използват за връзка със субекта на данните, най-късно при осъществяване на първия контакт с този субект на данните; или

в)	ако е предвидено разкриване пред друг получател, най-късно при разкриването на личните данни за първи път.

4. Когато администраторът възнамерява да обработва личните данни по-нататък за цел, различна от тази, за която са събрани, той предоставя на субекта на данните преди това по-нататъшно обработване информация за тази друга цел и всякаква друга необходима информация, както е посочено в параграф 2.

5. Параграфи 1-4 не се прилагат, когато и доколкото:

a)	субектът на данните вече разполага с информацията;

б)

предоставянето на такава информация се окаже невъзможно или изисква несъразмерно големи усилия; по-специално за обработване на данни за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели, при спазване на условията и гаранциите по член 89, параграф 1, или доколкото съществува вероятност задължението, посочено в параграф 1 от настоящия член, да направи невъзможно или сериозно да затрудни постигането на целите на това обработване. В тези случаи администраторът взема подходящи мерки за защита на правата, свободите и законните интереси на субекта на данните, което включва и предоставяне на публичен достъп до информацията;

в)	получаването или разкриването е изрично разрешено от правото на Съюза или правото на държавата членка, което се прилага спрямо администратора и в което се предвиждат също подходящи мерки за защита на легитимните интереси на субекта на данните; или

г)	личните данни трябва да останат поверителни при спазване на задължение за опазване на професионална тайна, което се урежда от правото на Съюза или право на държава членка, включително законово задължение за поверителност.

Член 18

Право на ограничаване на обработването

1. Субектът на данните има право да изиска от администратора ограничаване на обработването, когато се прилага едно от следното:

a)	точността на личните данни се оспорва от субекта на данните, за срок, който позволява на администратора да провери точността на личните данни;

б)	обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;

в)	администраторът не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции;

г)	субектът на данните е възразил срещу обработването съгласно член 21, параграф 1 в очакване на проверка дали законните основания на администратора имат преимущество пред интересите на субекта на данните.

2. Когато обработването е ограничено съгласно параграф 1, такива данни се обработват, с изключение на тяхното съхранение, само със съгласието на субекта на данните или за установяването, упражняването или защитата на правни претенции или за защита на правата на друго физическо лице или поради важни основания от обществен интерес за Съюза или държава членка.

3. Когато субект на данните е изискал ограничаване на обработването съгласно параграф 1, администраторът го информира преди отмяната на ограничаването на обработването.

Член 30

Регистри на дейностите по обработване

1. Всеки администратор и — когато това е приложимо — представител на администратор поддържа регистър на дейностите по обработване, за които отговоря. Този регистър съдържа цялата по-долу посочена информация:

a)	името и координатите за връзка на администратора и — когато това е приложимо — на всички съвместни администратори, на представителя на администратора и на длъжностното лице по защита на данните, ако има такива;

б)	целите на обработването;

в)	описание на категориите субекти на данни и на категориите лични данни;

г)	категориите получатели, пред които са или ще бъдат разкрити личните данни, включително получателите в трети държави или международни организации;

д)	когато е приложимо, предаването на лични данни на трета държава или международна организация, включително идентификацията на тази трета държава или международна организация, а в случай на предаване на данни, посочено в член 49, параграф 1, втора алинея, документация за подходящите гаранции;

е)	когато е възможно, предвидените срокове за изтриване на различните категории данни;

ж)	когато е възможно, общо описание на техническите и организационни мерки за сигурност, посочени в член 32, параграф 1.

2. Всеки обработващ лични данни и — когато това е приложимо — представителят на обработващия лични данни поддържа регистър на всички категории дейности по обработването, извършени от името на администратор, в който се съдържат:

a)	името и координатите за връзка на обработващия или обработващите лични данни и на всеки администратор, от чието име действа обработващият лични данни и — когато това е приложимо —на представителя на администратора или обработващия лични данни и на длъжностното лице по защита на данните;

б)	категориите обработване, извършвано от името на всеки администратор;

в)	когато е приложимо, предаването на лични данни на трета държава или международна организация, включително идентификацията на тази трета държава или международна организация, а в случай на предаване на данни, посочено в член 49, параграф 1, втора алинея, документация за подходящите гаранции;

г)	когато е възможно, общо описание на техническите и организационни мерки за сигурност, посочени в член 32, параграф 1.

3. Регистрите, посочени в параграфи 1 и 2, се поддържат в писмена форма, включително в електронен формат.

4. При поискване, администраторът или обработващият лични данни и — когато това е приложимо — представителят на администратора или на обработващия личните данни, осигуряват достъп до регистъра на надзорния орган.

5. Задълженията, посочени в параграфи 1 и 2, не се прилагат по отношение на предприятие или дружество с по-малко от 250 служители, освен ако има вероятност извършваното от тях обработване да породи риск за правата и свободите на субектите на данни, ако обработването не е спорадично или включва специални категории данни по член 9, параграф 1 или лични данни, свързани с присъди и нарушения, по член 10.

Член 35

Оценка на въздействието върху защитата на данните

1. Когато съществува вероятност определен вид обработване, по-специално при което се използват нови технологии, и предвид естеството, обхвата, контекста и целите на обработването, да породи висок риск за правата и свободите на физическите лица, преди да бъде извършено обработването, администраторът извършва оценка на въздействието на предвидените операции по обработването върху защитата на личните данни. В една оценка може да бъде разгледан набор от сходни операции по обработване, които представляват сходни високи рискове.

2. При извършването на оценка на въздействието върху защитата на данните администраторът иска становището на длъжностното лице по защита на данните, когато такова е определено.

3. Оценката на въздействието върху защитата на данните, посочена в параграф 1, се изисква по-специално в случай че:

a)	систематична и подробна оценка на личните аспекти по отношение на физически лица, която се базира на автоматично обработване, включително. профилиране, и служи за основа на решения, които имат правни последици за физическото лице или по подобен начин сериозно засягат физическото лице;

б)	мащабно обработване на специални категории данни, посочени в член 9, параграф 1 или на лични данни за присъди и нарушения по член 10; или

в)	систематично мащабно наблюдение на публично достъпна зона.

4. Надзорният орган съставя и оповестява списък на видовете операции по обработване, за които се изисква оценка на въздействието върху защитата на данните съгласно параграф 1. Надзорният орган съобщава тези списъци на Комитета, посочен в член 68.

5. Надзорният орган може също да състави и оповести списък на видовете операции по обработване, за които не се изисква оценка на въздействието върху защитата на данните. Надзорният орган съобщава тези списъци на Комитета.

6. Преди приемането на списъците, посочени в параграфи 4 и 5, компетентният надзорен орган прилага посочения в член 63 механизъм за съгласуваност, ако тези списъци включват дейности за обработване, свързани с предлагането на стоки или услуги на субекти на данни или с наблюдението на тяхното поведение в няколко държави членки или могат съществено да засегнат свободното движение на лични данни в рамките на Съюза.

7. Оценката съдържа най-малко:

a)	системен опис на предвидените операции по обработване и целите на обработването, включително, ако е приложимо, преследвания от администратора законен интерес;

б)	оценка на необходимостта и пропорционалността на операциите по обработване по отношение на целите;

в)	оценка на рисковете за правата и свободите на субектите на данни, посочени в параграф 1; и

г)

мерките, предвидени за справяне с рисковете, включително гаранциите, мерките за сигурност и механизмите за осигуряване на защитата на личните данни и за демонстриране на спазването на настоящия регламент, като се вземат предвид правата и законните интереси на субектите на данни и на други заинтересовани лица.

8. При оценката на въздействието на операциите по обработване, извършвани от администраторите и обработващите лични данни, надлежно се отчита и спазването от тяхна страна на одобрените кодекси за поведение, посочени в член 340 особено за целите на оценката на въздействието върху защитата на данните.

9. Когато е целесъобразно, администраторът се обръща към субектите на данните или техните представители за становище относно планираното обработване, без да се засяга защитата на търговските или обществените интереси или сигурността на операциите по обработване.

10. Когато обработването съгласно член 6, параграф 1, буква в) или д) има правно основание в правото на Съюза или в правото на държавата членка, под чиято юрисдикция е администраторът, и това право регулира конкретната операция по обработване или набор от такива операции, и вече е извършена оценка на въздействието върху защитата на личните данни като част от общата оценка на въздействието в контекста на приемането на това правно основание, параграфи 1—7 не се прилагат, освен ако държавите членки не сметнат за необходимо да направят такава оценка преди започването на дейностите за обработване.

11. При необходимост администраторът прави преглед, за да прецени дали обработването е в съответствие с оценката на въздействието върху защитата на данни, най-малкото когато има промяна в риска, с който са свързани операциите по обработване.

Член 36

Предварителна консултация

1. Администраторът се консултира с надзорния орган преди обработването, когато оценката на въздействието върху защитата на данните съгласно член 35 покаже, че обработването ще породи висок риск, ако администраторът не предприеме мерки за ограничаване на риска.

2. Когато надзорният орган е на мнение, че планираното обработване, посочено в параграф 1, нарушава настоящия регламент, особено когато администраторът не е идентифицирал или ограничил риска в достатъчна степен, надзорният орган в срок до осем седмици след получаване на искането за консултация дава писмено становище на администратора или на обработващия лични данни, когато е приложимо, като може да използва всяко от правомощията си, посочени в член 58. Този срок може да бъде удължен с още шест седмици предвид сложността на планираното обработване. Надзорният орган информира администратора и, когато е приложимо, обработващия лични данни за такова удължаване в срок от един месец от получаване на искането за консултация, включително за причините за забавянето. Тези срокове може да спрат да текат, докато надзорният орган получи всяка евентуално поискана от него информация за целите на консултацията.

3. Когато се консултира с надзорния орган съгласно параграф 1, администраторът предоставя на надзорния орган следната информация:

a)	където е приложимо — информация за съответните отговорности на администратора, съвместните администратори и обработващите лични данни, които се занимават с обработването, по-конкретно при обработване на данни в рамките на група предприятия;

б)	целите на планираното обработване и средствата за него;

в)	предвидените мерки и гаранции за защита на правата и свободите на субектите на данни съгласно настоящия регламент;

г)	където е приложимо, координатите за връзка на длъжностното лице по защита на данните;

д)	оценката на въздействието върху защитата на данните по член 35; както и

е)	всякаква друга информация, поискана от надзорния орган.

4. Държавите членки се консултират с надзорния орган по време на изготвянето на предложения за законодателни мерки, които да бъдат приети от националните парламенти, или на регулаторни мерки, основани на такива законодателни мерки, които се отнасят до обработването.

5. Без да се засяга параграф 1, правото на държавите членки може да изисква от администраторите да се консултират с надзорния орган и да получават предварително разрешение от него във връзка с обработването от администратор за изпълнението на задача, осъществявана от администратора в полза на обществения интерес, включително обработване във връзка със социалната закрила и общественото здраве.

Раздел 4

Длъжностно лице по защита на данните

Член 37

Определяне на длъжностното лице по защита на данните

1. Администраторът и обработващият лични данни определят длъжностно лице по защита на данните във всички случаи, когато:

a)	обработването се извършва от публичен орган или структура, освен когато става въпрос за съдилища при изпълнение на съдебните им функции;

б)	основните дейности на администратора или обработващия лични данни се състоят в операции по обработване, които поради своето естество, обхват и/или цели изискват редовно и систематично мащабно наблюдение на субектите на данни; или

в)	основните дейности на администратора или обработващия лични данни се състоят в мащабно обработване на специалните категории данни съгласно член 9 и на лични данни, свързани с присъди и нарушения, по член 10.

2. Група предприятия може да назначи едно длъжностно лице по защита на данните, при условие че от всяко предприятие има лесен достъп до длъжностно лице по защита на данните.

3. Когато администраторът или обработващият лични данни е обществен орган или структура, едно длъжностно лице по защита на данните може да бъде назначено за няколко такива органа или структури, като се отчита организационната им структура и размер.

4. В случаи, различни от посочените в параграф 1, администраторът или обработващият лични данни или сдружения и други структури, представляващи категории администратори или обработващи лични данни, могат да определят — или ако това се иска от правото на Съюза или право на държава членка определят — длъжностно лице по защита на данните. Длъжностното лице по защита на данните може да действа в полза на такива сдружения и други структури, представляващи администратори или обработващи лични данни.

5. Длъжностното лице по защита на данните се определя въз основа на неговите професионални качества, и по-специално въз основа на експертните му познания в областта на законодателството и практиките в областта на защитата на данните и способността му да изпълнява задачите, посочени в член 39.

6. Длъжностното лице по защита на данните може да бъде член на персонала на администратора или на обработващия лични данни или да изпълнява задачите въз основа на договор за услуги.

7. Администраторът или обработващият лични данни публикува данните за контакт с длъжностното лице по защита на данните и ги съобщава на надзорния орган.

Член 40

Кодекси за поведение

1. Държавите членки, надзорните органи, Комитетът и Комисията насърчават изготвянето на кодекси за поведение, които имат за цел да допринесат за правилното прилагане на настоящия регламент, като се отчитат специфичните характеристики на различните обработващи данни сектори и конкретните нужди на микропредприятията, малките и средните предприятия.

2. Сдруженията и други структури, представляващи категории администратори или обработващи лични данни, могат да изготвят кодекси за поведение или да изменят или допълват такива кодекси с цел да бъде уточнено прилагането на настоящия регламент, като по отношение на:

a)	добросъвестното и прозрачно обработване;

б)	законните интереси, преследвани от администраторите в конкретни аспекти;

в)	събирането на лични данни;

г)	псевдонимизацията на лични данни;

д)	информирането на обществеността и на субектите на данни;

е)	упражняването на правата на субектите на данни;

ж)	информирането и закрилата на децата и начина за получаване на съгласие от носещите родителска отговорност за детето;

з)	мерките и процедурите, посочени в членове 24 и 25, и мерките за осигуряване на посочената в член 32 сигурност на обработването;

и)	уведомяването на надзорните органи за нарушения на сигурността на личните данни и съобщаването за такива нарушения на сигурността на личните данни на субектите на данни;

й)	предаването на лични данни на трети държави или международни организации; или

к)	извънсъдебните производства и другите процедури за разрешаване на спорове между администраторите и субектите на данни по отношение на обработването, без да се засягат правата на субектите на данни съгласно членове 77 и 79.

3. Освен спазването на настоящия регламент от администратора или обработващия лични данни, към които се прилага настоящият регламент, кодекси за поведение, одобрени съгласно параграф 5 от настоящия член и общовалидни съгласно параграф 9 от настоящия член, могат също така да се прилагат към администратори или обработващи лични данни, непопадащи в обхвата на настоящия регламент съгласно член 3, с цел да се осигурят подходящи гаранции в рамките на предаването на лични данни на трети държави или международни организации съгласно условията, посочени в член 46, параграф 2, буква д). Тези администратори или обработващи лични данни поемат задължителни ангажименти с изпълнителна сила, чрез договорни или други инструменти със задължителен характер, да прилагат тези подходящи гаранции, включително по отношение на правата на субектите на данни.

4. Кодексът за поведение, посочен в параграф 2 от настоящия член съдържа механизми, които позволяват на посочения в член 41, параграф 1 орган да извършва задължителното наблюдение на спазването на неговите разпоредби от администраторите или обработващите лични данни, които приемат да го прилагат, без да се засягат задълженията и правомощията на надзорните органи, компетентни по силата на член 55 или 56.

5. Сдруженията и другите структури, посочени в параграф 2 от настоящия член, които възнамеряват да изготвят кодекс за поведение или да изменят или допълнят съществуващ кодекс, представят проекта на кодекс, негово изменение или допълнение на надзорния орган, който е компетентен съгласно член 55 Надзорният орган дава становище дали проектът за кодекс, негово изменение или допълнение съответстват на настоящия регламент и одобрява този проект на кодекс, негово изменение или допълнение, ако установи, че той осигурява достатъчно подходящи гаранции.

6. Когато проектът на кодекс, негово изменение или допълнение е одобрено в съответствие с параграф 5 и когато съответният кодекс за поведение няма отношение към дейности по обработване в няколко държави членки, надзорният орган регистрира и публикува кодекса.

7. Ако проект на кодекс за поведение има отношение към дейности по обработване в няколко държави членки, надзорният орган, който е компетентен съгласно член 55, преди одобряването на проекта на кодекс, негово изменение или допълнение, го представя, по посочената в член 63 процедура, на Комитета, който дава становище дали проектът на кодекс, негово изменение или допълнение съответстват на настоящия регламент, или, в случаите, посочени в параграф 3 от настоящия член, осигуряват подходящи гаранции.

8. Ако посоченото в параграф 7 становище потвърди, че проектът на кодекс, негово изменение или допълнение съответстват на настоящия регламент или, в случаите, посочени в параграф 3, осигуряват подходящи гаранции, Комитетът представя становището си на Комисията.

9. Комисията може чрез актове за изпълнение да реши дали одобрения кодек за поведение, негово изменение или допълнение, който ѝ е представен по силата на параграф 8 от настоящия член, е общовалиден в рамките на Съюза. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 93, параграф 2.

10. Комисията осигурява подходяща публичност на одобрените кодекси, за които е решено, че са общовалидни в съответствие с параграф 9.

11. Комитетът събира всички одобрени кодекси за поведение, техните изменения и допълнения в регистър и ги прави обществено достъпни чрез всички подходящи средства.

Член 79

Право на ефективна съдебна защита срещу администратор или обработващ лични данни

1. Без да се засягат които и да било налични административни или несъдебни средства за защита, включително правото на подаване на жалба до надзорен орган съгласно член 77, всеки субект на данни има право на ефективна съдебна защита, когато счита, че правата му по настоящия регламент са били нарушени в резултат на обработване на личните му данни, което не е в съответствие с настоящия регламент.

2. Производствата срещу даден администратор или обработващ лични данни се образуват пред съдилищата на държавата членка, в която администраторът или обработващият лични данни има място на установяване. Като алтернативен вариант такива производства могат да се образуват пред съдилищата на държавата членка, в която субектът на данните има обичайно местопребиваване, освен ако администраторът или обработващият лични данни е публичен орган на държава членка, действащ в изпълнение на публичните си правомощия.

Член 98

Преглед на други правни актове на Съюза за защита на данните

Ако е целесъобразно, Комисията представя законодателни предложения за изменение на други правни актове на Съюза за защита на личните данни, за да гарантира единна и съгласувана защита на физическите лица във връзка с обработването Това се отнася по-специално за правилата по отношение на защитата на физическите лица във връзка с обработването от институции, органи, служби и агенции на Съюза, както и за правилата по отношение на свободното движение на такива данни.

Член 99

Влизане в сила и прилагане

1. Настоящият регламент влиза в сила на двадесетия ден след публикуването му в Официален вестник на Европейския съюз.

2. Прилага се от 25 май 2018 година.

Настоящият регламент е задължителен в своята цялост и се прилага пряко във всички държави членки.

Съставено в Брюксел на 27 април 2016 година.

За Европейския парламент

Председател

M. SCHULZ

За Съвета

Председател

J.A. HENNIS-PLASSCHAERT

(1) ОВ C 229, 31.7.2012 г., стр. 90.

(2) ОВ C 391, 18.12.2012 г., стр. 127.

(3) Позиция на Европейския парламент от 12 март 2014 г. (все още непубликувана в Официален вестник) и позиция на Съвета на първо четене от 8 април 2016 г. (все още непубликувана в Официален вестник). Позиция на Европейския парламент от 14 април 2016 г.

(4) Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 г. за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (ОВ L 281, 23.11.1995 г., стр. 31).

(5) Препоръка 2003/361/ЕО на Комисията от 6 май 2003 г. относно дефиницията на микропредприятията, малките и средните предприятия (C(2003) 1422) (ОВ L 124, 20.5.2003 г., стр. 36).

(6) Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета от 18 декември 2000 г. относно защитата на лицата по отношение на обработката на лични данни от институции и органи на Общността и за свободното движение на такива данни (ОВ L 8, 12.1.2001 г., стр. 1).

(7) Директива (EС) 2016/680 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции и относно свободното движение на такива данни за отмяна на Рамково решение 2008/977/ПВР на Съвета (вж. страница 89 от настоящия брой на Официален вестник).

(8) Директива 2000/31/ЕО на Европейския парламент и на Съвета от 8 юни 2000 г. за някои правни аспекти на услугите на информационното общество, и по-специално на електронната търговия на вътрешния пазар (Директива за електронната търговия) (ОВ L 178, 17.7.2000 г., стр. 1).

(9) Директива 2011/24/ЕС на Европейския парламент и на Съвета от 9 март 2011 г. за упражняване на правата на пациентите при трансгранично здравно обслужване (ОВ L 88, 4.4.2011 г., стр. 45).

(10) Директива 93/13/ЕИО на Съвета от 5 април 1993 г. относно неравноправните клаузи в потребителските договори (ОВ L 95, 21.4.1993 г., стр. 29).

(11) Регламент (ЕО) № 1338/2008 на Европейския парламент и на Съвета от 16 декември 2008 г. относно статистиката на Общността в областта на общественото здраве и здравословните и безопасни условия на труд (текст от значение за ЕИП) (ОВ L 354, 31.12.2008 г., стр. 70).

(12) Регламент (ЕС) № 182/2011 на Европейския парламент и на Съвета от 16 февруари 2011 г. за установяване на общите правила и принципи относно реда и условията за контрол от страна на държавите-членки върху упражняването на изпълнителните правомощия от страна на Комисията (ОВ L 55, 28.2.2011 г., стр. 13).

(13) Регламент (ЕС) № 1215/2012 на Европейския парламент и на Съвета от 12 декември 2012 г. относно компетентността, признаването и изпълнението на съдебни решения по граждански и търговски дела (ОВ L 351, 20.12.2012 г., стр. 1).

(14) Директива 2003/98/ЕO на Европейския парламент и на Съвета от 17 ноември 2003 г. относно повторната употреба на информацията в обществения сектор (ОВ L 345, 31.12.2003 г., стр. 90).

(15) Регламент (ЕС) № 536/2014 на Европейския парламент и на Съвета от 16 април 2014 г. относно клиничните изпитвания на лекарствени продукти за хуманна употреба, и за отмяна на Директива 2001/20/ЕО (ОВ L 158, 27.5.2014 г., стр. 1).

(16) Регламент (ЕО) № 223/2009 на Европейския парламент и на Съвета от 11 март 2009 г. относно европейската статистика и за отмяна на Регламент (ЕО, Евратом) № 1101/2008 за предоставянето на поверителна статистическа информация на Статистическата служба на Европейските общности, на Регламент (ЕО) № 322/97 на Съвета относно статистиката на Общността и на Решение 89/382/ЕИО, Евратом на Съвета за създаване на Статистически програмен комитет на Европейските общности (ОВ L 87, 31.3.2009 г., стр. 164).

(17) ОВ C 192, 30.6.2012 г., стр. 7.

(18) Директива 2002/58/ЕО на Европейския парламент и на Съвета от 12 юли 2002 г. относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации (Директива за правото на неприкосновеност на личния живот и електронни комуникации) (ОВ L 201, 31.7.2002 г., стр. 37).

(19) Директива (ЕС) 2015/1535 на Европейския Парламент и на Съвета от 9 септември 2015 г. установяваща процедура за предоставянето на информация в сферата на техническите регламенти и правила относно услугите на информационното общество (ОВ L 241, 17.9.2015 г., стр. 1).

(20) Регламент (ЕО) № 765/2008 на Европейския парламент и на Съвета от 9 юли 2008 г. за определяне на изискванията за акредитация и надзор на пазара във връзка с предлагането на пазара на продукти и за отмяна на Регламент (ЕИО) № 339/93 (ОВ L 218, 13.8.2008 г., стр. 30).

(21) Регламент (ЕО) № 1049/2001 на Европейския парламент и на Съвета от 30 май 2001 г. относно публичния достъп до документи на Европейския парламент, на Съвета и на Комисията (ОВ L 145, 31.5.2001 г., стр. 43).

whereas

(10) За да се гарантира последователно и високо ниво на защита на физическите лица, както и за да се премахнат препятствията пред движението на лични данни в Съюза, нивото на защита на правата и свободите на физическите лица във връзка с обработването на такива данни следва да бъде равностойно във всички държави членки. Следва да се гарантира последователно и еднородно прилагане в рамките на Съюза на правилата за защита на основните права и свободи на физическите лица във връзка с обработването на лични данни. По отношение на обработването на лични данни, необходимо за спазване на правно задължение, за изпълнение на задача от обществен интерес или при упражняване на официалните правомощия, предоставени на администратора на лични данни, на държавите членки следва да се позволи да запазят или да въведат национални разпоредби, които да уточняват по-нататък реда за прилагане на правилата на настоящия регламент. Наред с общите и хоризонтални актове относно защитата на данните, с които се прилага Директива 95/46/EО, държавите членки имат и специално секторно законодателство в области, които се нуждаят от по-специфични разпоредби. Настоящият регламент оставя и известна свобода на действие на държавите членки да конкретизират съдържащите се в него правила, включително по отношение на обработването на специални категории лични данни („чувствителни данни“). В този смисъл настоящият регламент не изключва право на държавите членки, което определя обстоятелствата за специални случаи на обработване, включително по-точно определяне на условията, при които обработването на лични данни е законосъобразно.

- = -

(18) Настоящият регламент не се прилага за обработването на лични данни от физическо лице в рамките на изцяло лична дейност или дейност в рамките на домакинството, която следователно няма връзка с професионална или търговска дейност. Личните дейности или дейностите в рамките на домакинството биха могли да включват воденето на кореспонденция и поддържането на адресни указатели или участието в социални мрежи и онлайн дейности, предприети в контекста на тези дейности. Настоящият регламент обаче се прилага за администратори или обработващи лични данни, които осигуряват средствата за обработване на лични данни при такива лични дейности или дейности в рамките на домакинството.

- = -

(19) Защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наложените наказания, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване, както и свободното движение на такива данни, са предмет на специален правен инструмент на Съюза. Следователно настоящият регламент не следва да се прилага за дейности по обработване на лични данни за такива цели. Обработването на лични данни от страна на публичните органи по силата на настоящия регламент, когато е за тези цели, обаче следва да бъде уредено с по-специфичен правен акт на Съюза, а именно с Директива (ЕС) 2016/680 на Европейския парламент и на Съвета (7). Държавите членки могат да възлагат на компетентните органи по смисъла на Директива (ЕС) 2016/680 други задачи, чието изпълнение не е свързано задължително с целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наложените наказания, включително предпазването от заплахи за обществената сигурност и предотвратяването им, така че обработването на лични данни за тези цели, доколкото то е в обхвата на правото на Съюза, попада в приложното поле на настоящия регламент.

- = -

(20) Макар настоящият регламент да се прилага, inter alia, спрямо дейностите на съдилищата и други съдебни органи, в правото на Съюза или в правото на държава членка могат да се определят конкретно операциите и процедурите по обработване на лични данни от съдилищата и другите съдебни органи. Компетентността на надзорните органи не следва да обхваща обработването на лични данни, когато съдилищата действат при изпълнение на своите съдебни функции, за да се гарантира независимостта на съдебната власт при изпълнението на съдебните ѝ задължения, включително вземането на решения. Следва да е възможно да се повери надзорът на такива операции по обработване на данни на специални органи в рамките на съдебната система на държавата членка, които по-конкретно следва да осигурят спазването на правилата на настоящия регламент, да повишават осведомеността сред членовете на съдебното съсловие за техните задължения по силата на настоящия регламент и да се занимават с жалбите във връзка с такива операции по обработване на данни.

- = -

(23) За да се гарантира, че физическите лица не са лишени от защитата, на която те имат право по силата на настоящия регламент, обработването на лични данни на субекти на данни, които се намират в Съюза, от администратор или обработващ лични данни, който не е установен в Съюза, следва да подлежи на разпоредбите на настоящия регламент в случаите, когато дейностите по обработване на данни са свързани с предлагането на стоки или услуги на такива субекти на данни, независимо дали това е свързано с плащане. За да се установи дали този администратор или обработващ лични данни предлага стоки или услуги на субекти на данни, които се намират в Съюза, следва да бъде уточнено дали е очевидно, че администраторът или обработващият данни възнамерява да предлага услуги на субекти на данни в една или повече държави членки в Съюза. Като се има предвид, че само достъпността на уебсайт на посредник в Съюза, на администратора или обработващия данни, на електронен адрес или на други данни за контакт или използването на език, който по правило се използва в третата държава, където е установен администраторът, са недостатъчни за удостоверяване на такова намерение, фактори като използването на език или парична единица, които по правило се използват в една или повече държави членки, наред с възможността за поръчване на стоки и услуги на този друг език или споменаването на потребители или ползватели, които се намират в Съюза, могат да свидетелстват за това, че администраторът възнамерява да предлага стоки или услуги на субекти на данни в Съюза.

- = -

(24) Обработването на лични данни на субекти на данни, които се намират в Съюза, от администратор или обработващ лични данни, който не е установен в Съюза, следва също да се урежда от настоящия регламент, когато е свързано с наблюдението на поведението на такива субекти на данни, доколкото тяхното поведение се проявява в рамките на Съюза. С цел да се определи дали дадена дейност по обработване може да се смята за наблюдение на поведението на субектите на данни, следва да се установи дали физическите лица се следят в интернет, включително да се установи евентуално последващо използване на техники за обработване на лични данни, които се състоят в профилиране на дадено физическо лице, по-специално с цел да се вземат отнасящи се до него решения или да се анализират или предвиждат неговите лични предпочитания, поведение и начин на мислене.

- = -

(51) На личните данни, които по своето естество са особено чувствителни от гледна точка на основните права и свободи, се полага специална защита, тъй като контекстът на тяхното обработване би могъл да създаде значителни рискове за основните права и свободи. Посочените лични данни следва да включват личните данни, разкриващи расов или етнически произход, като използването на понятието „расов произход“ в настоящия регламент не означава, че Съюзът приема теориите, които се опитват да установят съществуването на отделни човешки раси. Обработването на снимки не следва систематично да се счита за обработване на специални категории лични данни, тъй като снимките се обхващат от определението за биометрични данни единствено когато се обработват чрез специални технически средства, позволяващи уникална идентификация или удостоверяване на автентичността на дадено физическо лице. Тези лични данни не следва да се обработват, освен ако обработването не е разрешено в определени случаи, предвидени в настоящия регламент, като се има предвид, че в правото на държавите членки могат да бъдат определени специфични разпоредби за защита на данните с цел да се адаптира прилагането на съдържащите се в настоящия регламент правила за спазване на правно задължение или за изпълнение на задача от обществен интерес или свързана с упражняването на официални правомощия, предоставени на администратора на лични данни. В допълнение към конкретните изисквания за такова обработване следва да се прилагат общите принципи и другите правила, залегнали в настоящия регламент, по-специално по отношение на условията за законосъобразно обработване. Дерогации от общата забрана за обработване на такива специални категории лични данни следва изрично да бъдат предвидени, inter alia, когато субектът на данните даде изричното си съгласие или във връзка с конкретни нужди, по-специално когато обработването се извършва в хода на законната дейност на някои сдружения или фондации, чиято цел е да се позволи упражняването на основните свободи.

- = -

(52) Дерогация от забраната за обработване на специални категории лични данни също следва бъде разрешена, когато е предвидена в правото на Съюза или правото на държава членка, и при подходящи гаранции, така че да бъдат защитени личните данни и други основни права, когато съображения, свързани с обществения интерес, оправдават това, по-специално обработването на лични данни в областта на трудовото право, правото в областта на социалната закрила, включително пенсиите, както и за целите на сигурността, наблюдението и предупрежденията в сферата на здравеопазването, предотвратяването или контрола на заразните болести и други сериозни заплахи за здравето. Такава дерогация може да се извърши за здравни цели, включително общественото здраве и управлението на здравните услуги, особено с цел да се гарантират качеството и рентабилността на използваните процедури за уреждане на искове за обезщетения и услуги в системата за здравно осигуряване, или за целите на архивирането в обществен интерес, за целите на научни или исторически изследвания, или за статистически цели. Чрез дерогация следва да се даде възможност да се обработват и такива лични данни, когато е необходимо, с цел установяване, упражняване или защита на правни претенции, независимо дали това е в рамките на съдебна, административна или друга извънсъдебна процедура.

- = -

(53) Специални категории лични данни, които се нуждаят от по-голяма защита, могат да бъдат обработвани единствено за здравни цели, когато е необходимо тези цели да бъдат постигнати в полза на отделни физически лица и на обществото като цяло, по-специално в рамките на управлението на услугите и системите за здравеопазване или социални грижи, включително обработването от страна на органите за управление и от централните национални здравни органи на такива данни за целите на контрола на качеството, информацията за управлението и общото наблюдение на национално и местно равнище на системата за здравеопазване или социални услуги, както и за осигуряване на непрекъснатост на здравното обслужване или на социалните услуги и на трансграничното здравно обслужване или за целите на сигурността, наблюдението и предупрежденията в сферата на здравеопазването, или за целите на архивирането в обществен интерес, за целите на научни или исторически изследвания или за статистически цели въз основа на правото на Съюза или националното право, което трябва да отговаря на цел от обществен интерес, както и за проучванията в областта на общественото здраве, провеждани в обществен интерес. Поради това настоящият регламент следва да предвижда хармонизирани условия за обработването на специални категории лични данни за здравословното състояние по отношение на специфични нужди, по-специално когато обработването на тези данни се извършва за определени цели, свързани със здравето, от лица, обвързани от правното задължение за професионална тайна. Правото на Съюза или националното право следва да предвижда конкретни и подходящи мерки за защита на основните права и личните данни на физическите лица. Държавите членки следва да разполагат с възможност да запазят или да въведат допълнителни условия, включително ограничения, по отношение на обработването на генетични, биометрични или данни за здравословното състояние. Това обаче не следва да възпрепятства свободното движение на лични данни в рамките на Съюза, когато тези условия се прилагат за трансгранично обработване на такива данни.

- = -

(65) Субектът на данни следва да има право на коригиране на личните данни, свързани с него, както и правото „да бъде забравено“, когато запазването на тези данни е в нарушение на настоящия регламент или на правото на Съюза или правото на държава членка, под чиято юрисдикция е администраторът. По-специално, субектът на данни следва да има право личните му данни да се изтриват и да не бъдат обработвани повече, когато личните данни престанат да бъдат необходими с оглед на целите, за които те са били събрани или обработвани по друг начин, когато субектът на данните е оттеглил своето съгласие или е възразил срещу обработването на лични данни, свързани с него, или когато обработването на личните му данни по друг начин не е в съответствие с настоящия регламент. Това право е важно особено когато субектът на данни е дал съгласието си като дете и не е осъзнавал напълно рисковете, свързани с обработването, и впоследствие желае да премахне такива лични данни, особено когато са в интернет. Субектът на данни следва да може да упражни това право независимо от факта, че вече не е дете. По-нататъшното запазване на личните данни обаче следва да бъде законно, ако е необходимо за упражняване на правото на свобода на изразяване на мнение и правото на информация, за спазване на правно задължение, за изпълнение на задача от обществен интерес или при изпълнение на официални функции, възложени на администратора, по причини от публичен интерес в областта на общественото здравеопазване, за целите на архивирането в обществен интерес,за целите на научни или исторически изследвания, или за статистически цели, или за установяване, упражняване или защита на правни искове.

- = -

(66) С цел утвърждаване на „правото да бъдеш забравен“ в онлайн средата, правото на изтриване следва да бъде разширено, като от администратора, който е направил личните данни обществено достъпни, следва да се изисква да уведоми администраторите, които обработват такива лични данни, да изтрият всякакви връзки към тези лични данни или техните копия или реплики. За тази цел администраторът следва да предприеме разумни мерки, като вземе предвид наличните технологии и средствата на разположение на администратора, в това число технически мерки, за да информира администраторите, които обработват личните данни, за искането на субекта на данните.

- = -

(77) Насоки за прилагането на подходящи мерки и за доказване на съответствие от страна на администратора или обработващия лични данни, особено по отношение на идентифицирането на риска, свързан с обработването, оценката по отношение на произход, естество, вероятност и тежест и определянето на добри практики за ограничаване на риска, биха могли да се предоставят по-специално чрез одобрени кодекси на поведение, одобрени механизми за сертифициране, насоки на Комитета или чрез указания, предоставени от длъжностното лице за защита на данните. Комитетът може също да издава насоки относно операции по обработване, за които се счита, че е малко вероятно да доведат до висок риск за правата и свободите на физическите лица, и да даде указания какви мерки могат да бъдат достатъчни в такива случаи за преодоляването на такъв риск.

- = -

(78) Защитата на правата и свободите на физическите лица с оглед на обработването на лични данни изисква приемане на подходящи технически и организационни мерки, за да се гарантира изпълнението на изискванията на настоящия регламент. За да може да докаже съответствието с настоящия регламент, администраторът следва да приеме вътрешни политики и да приложи мерки, които отговарят по-специално на принципите за защита на данните на етапа на проектирането и защита на данните по подразбиране. Такива мерки могат да се изразяват, inter alia, в свеждане до минимум на обработването на лични данни, псевдонимизиране на лични данни на възможно най-ранен етап, прозрачност по отношение на функциите и обработването на лични данни, създаване на възможност за субекта на данни да наблюдава обработването на данни, възможност за администратора да създава и подобрява елементите на сигурността. При разработването, проектирането, подбора и използването на приложения, услуги и продукти, които се основават на обработване на лични данни или обработват лични данни, за да изпълнят функцията си, производителите на продукти, услуги и приложения следва да бъдат насърчавани да вземат предвид правото на защита на лични данни при разработването и проектирането на такива продукти, услуги и приложения и като отчитат надлежно достиженията на техническия прогрес, да се уверят, че администраторите и обработващите лични данни са в състояние да изпълняват своите задължения за защита на данните. Принципите на защита на данните на етапа на проектирането и по подразбиране следва да се вземат предвид и в контекста на процедурите за възлагане на обществени поръчки.

- = -

(80) Когато даден администратор или обработващ лични данни, който не е установен в Съюза, обработва лични данни на субекти на данни, които се намират в Съюза, и дейностите му по обработването са свързани с предлагането на стоки или услуги, независимо дали от субекта на данни се изисква плащане, на такива субекти на данни в Съюза или за наблюдението на тяхното поведение, доколкото поведението им се проявява в рамките на Съюза, администраторът или обработващият лични данни следва да определи представител, освен ако обработването не засяга само отделни случаи, не включва мащабно обработване на специалните категории лични данни или обработване на лични данни, свързани с присъди и нарушения и няма вероятност да породи риск за правата и свободите на физическите лица, предвид естеството, контекста, обхвата и целите на обработването, или ако администраторът е публичен орган или структура. Представителят следва да действа от името на администратора или обработващия лични данни, а надзорният орган може да се обръща към него. Представителят следва да бъде посочен изрично от администратора или от обработващия лични данни с писмен мандат да действа от негово име във връзка с неговите задължения съгласно настоящия регламент. Посочването на такъв представител не засяга отговорностите или задълженията на администратора или на обработващия лични данни съгласно настоящия регламент. Този представител следва да изпълнява задачите си в съответствие с получения от администратора или обработващия лични данни мандат, включително да си сътрудничи с компетентните надзорни органи във връзка с всяко действие, което предприема, за да се осигури спазването на настоящия регламент. Посоченият представител следва да бъде обект на правоприлагащи процедури, в случай на нарушение от страна на администратора или обработващия лични данни.

- = -

(81) За да се гарантира спазването на изискванията на настоящия регламент по отношение на обработването, извършвано от обработващия лични данни от името на администратора, когато на обработващия се възлагат дейности по обработването, администраторът следва да използва само такива обработващи лични данни, които предоставят достатъчни гаранции, по-специално по отношение на експертни знания, надеждност и ресурси, че ще предприемат технически и организационни мерки, които отговарят на изискванията на настоящия регламент, включително на изискванията за сигурността на обработването. Придържането от страна на обработващия лични данни към одобрен кодекс на поведение или одобрен механизъм за сертифициране може да се използва като елемент за доказване, че са спазени задълженията на администратора. Извършването на обработването от обработващ лични данни следва да се урежда с договор или друг правен акт, съгласно правото на Съюза или правото на държава членка, който обвързва обработващия лични данни с администратора, регламентира предмета и продължителността на обработването, естеството и целите на обработването, вида лични данни и категориите субекти на данни, като се вземат предвид конкретните задачи и отговорности на обработващия лични данни в контекста на обработването, което следва да се извърши, както и рискът за правата и свободите на субекта на данни. Администраторът и обработващият лични данни могат да изберат да използват индивидуален договор или стандартни договорни клаузи, приети или пряко от Комисията, или от надзорен орган в съответствие с механизма за съгласуваност и впоследствие приети от Комисията. След приключване на обработването от името на администратора, обработващият личните данни следва, по избор на администратора, да ги върне или заличи, освен ако не е налице изискване за съхраняване на личните данни по силата на правото на Съюза или правото на държава членка, което се прилага спрямо обработващия лични данни.

- = -

(88) При установяване на подробни правила за формàта и процедурите, приложими за уведомяването за нарушения на сигурността на личните данни, следва да се отдаде необходимото внимание на обстоятелствата, свързани с нарушението, включително дали личните данни са били защитени чрез подходящи технически мерки за защита, ефективно ограничаващи вероятността за измама с фалшива самоличност или други форми на злоупотреба. Освен това при такива правила и процедури следва да се отчитат законните интереси на правоприлагащите органи, когато ранното разкриване може ненужно да попречи при разследването на обстоятелствата, свързани с нарушението на сигурността на личните данни.

- = -

(89) В Директива 95/46/ЕО се предвижда общо задължение за уведомяване на надзорните органи относно обработването на лични данни. Това задължение създава административна и финансова тежест и невинаги е допринасяло за подобряването на защитата на личните данни. Ето защо такива неправещи разграничения общи задължения за уведомяване следва да бъдат премахнати и заменени с ефективни процедури и механизми, които да са насочени към онези видове операции по обработване, които има вероятност да доведат до висок риск за правата и свободите на физическите лица поради своето естество, обхват, контекст и цели. Такива могат да бъдат операциите по обработване, които по-конкретно включват използването на нови технологии или представляват нов вид технологии и при които преди това от администратора не е извършвана оценка на въздействието върху защитата на данните или които стават необходими предвид времето, изминало от първоначалното обработване.

- = -

(90) В такива случаи, преди обработването администраторът следва да извърши оценка на въздействието върху защитата на данните, за да се оценят конкретната вероятност и тежестта на високия риск, като се вземат предвид естеството, обхватът, контекстът и целите на обработването и източниците на риска. Посочената оценка на въздействието следва да включва по-специално предвидените мерки, гаранции и механизми за ограничаване на този риск, с които се осигурява защитата на личните данни и се доказва съответствието с настоящия регламент.

- = -

(91) Това следва да се прилага по-специално за широкомащабни операции по обработване, чиято цел е обработване на значителен обем лични данни на регионално, национално и наднационално равнище, които биха могли да засегнат голям брой субекти на данни и които е вероятно да доведат до висок риск, например поради чувствителното си естество, когато в съответствие с постигнатото ниво на технически познания се използва нова технология в голям мащаб, както и за други операции по обработване, които пораждат висок риск за правата и свободите на субектите на данни, по-специално когато тези операции затрудняват субектите на данни да упражняват правата си. Оценка на въздействието върху защитата на данни следва да се извършва и когато личните данни се обработват с цел вземане на решения относно конкретни физически лица след систематична и обстойна оценка на личните аспекти, свързани с физически лица, въз основа на профилирането на тези данни или след обработването на специални категории лични данни, биометрични данни или данни за присъди и нарушения или свързани с това мерки за сигурност. Оценка на въздействието върху защитата на данните се изисква също за широкомащабно наблюдение на публично достъпни зони, особено когато се използват оптичноелектронни уреди, или за всякакви други операции, когато компетентният надзорен орган счита, че има вероятност обработването да доведе до висок риск за правата и свободите на субектите на данни, по-специално поради това, че възпрепятстват субектите на данни да упражняват дадено право или да използват някоя услуга или договор, или поради това, че се извършват систематично в голям мащаб. Обработването на лични данни не следва да се счита за широкомащабно, ако засяга лични данни на пациенти или клиенти на отделен лекар, друг здравен работник или адвокат. В такива случаи оценката на въздействието върху защитата на данните не следва да бъде задължителна.

- = -

(93) В контекста на приемането на право на държава членка, на чието основание съответният публичният орган или структура изпълнява своите задачи и които уреждат въпросната конкретна операция или набор от операции по обработване на данни, държавите членки могат да сметнат за необходимо да извършат такива оценки преди започване на дейностите по обработването.

- = -

(107) Комисията може да приеме, че дадена трета държава или територия или конкретен сектор в трета държава, или дадена международна организация вече не осигурява адекватно ниво на защита на данните. В резултат на това предаването на лични данни на тази трета държава или международна организация следва да бъде забранено, докато не бъдат изпълнени изискванията по настоящия регламент относно предаването на данни с подходящи гаранции, включително задължителни фирмени правила и дерогации в особени случаи. В такъв случай следва да се предвиди провеждане на консултации между Комисията и такива трети държави или международни организации. Комисията следва своевременно да уведоми третата държава или международната организация за основанията и да започне консултации с нея с цел да намери решение на този проблем.

- = -

(110) Дадена група предприятия или група дружества, участващи в съвместна стопанска дейност, следва да може да използва одобрени задължителни фирмени правила за своите международни предавания на данни от Съюза до организации в същата група предприятия или група дружества, участващи в съвместна стопанска дейност, при условие че такива фирмени правила включват всички основни принципи и приложими права, за да се осигурят подходящи гаранции за предаването или категориите предавания на лични данни.

- = -

(127) Всеки надзорен орган, който не функционира като водещ надзорен орган, следва да бъде компетентен да разглежда случаи на местно равнище, когато администраторът или обработващият лични данни е установен в повече от една държава членка, но предметът на конкретното обработване засяга единствено обработването, извършвано в една държава членка, и включва единствено субекти на данни в тази единствена държава членка, например когато предметът се отнася до обработването на лични данни на наети лица в контекста на специфично трудово правоотношение в държава членка. В такива случаи надзорният орган следва без отлагане да информира за случая водещия надзорен орган. След като бъде информиран, водещият надзорен орган следва да реши дали ще разгледа случая съгласно разпоредбата относно сътрудничеството между водещия надзорен орган и другите засегнати надзорни органи („обслужване на едно гише“) или информиралият го надзорен орган следва да разгледа случая на местно равнище. Когато взема това решение, водещият надзорен орган следва да отчете дали администраторът или обработващият лични данни е установен в държавата членка на надзорния орган, който го е информирал, за да се гарантира ефективно изпълнение на решението спрямо администратора или обработващия лични данни. Когато водещият надзорен орган реши да разгледа случая, информиралият го надзорен орган следва да има възможността да представи проект за решение, което водещият надзорен орган следва да отчита в максимална степен при изготвянето на своя проект за решение в рамките на посочения механизъм „обслужване на едно гише“.

- = -

(128) Правилата за водещия надзорен орган и механизма „обслужване на едно гише“ не следва да се прилагат, когато обработването се извършва от публични органи или от частни структури в обществен интерес. В такива случаи единственият надзорен орган, който е компетентен да упражнява правомощията, предоставени му съгласно настоящия регламент, следва да бъде надзорният орган на държавата членка, в която е установен публичният орган или частната структура.

- = -

(130) Когато надзорният орган, до когото е подадена жалбата, не е водещият надзорен орган, водещият надзорен орган следва да работи в тясно сътрудничество с надзорния орган, до когото е подадена жалбата, в съответствие с разпоредбите за сътрудничество и съгласуваност, установени в настоящия регламент. В такива случаи, когато взема мерки, предназначени да породят правни последици, включително налагане на административни наказания „глоба“ или „имуществена санкция“, водещият надзорен орган следва да отчита във възможно най-голяма степен становището на надзорния орган, до когото е подадена жалбата и който следва да запази компетентността за провеждане на разследване на територията на собствената си държава членка, като си сътрудничи с компетентния надзорен орган.

- = -

(141) Всеки субект на данни следва да има право да подаде жалба до един надзорен орган, по-специално в държавата членка на обичайно си местопребиваване, както и право на ефективни правни средства за защита в съответствие с член 47 от Хартата, ако счита, че правата му по настоящия регламент са нарушени или ако надзорният орган не предприема действия по подадена жалба, изцяло или частично отхвърля или оставя без разглеждане жалба или не предприема действия, когато такива са необходими, за да се защитят правата на субекта на данни. Разследването въз основа на жалби следва да се извършва под съдебен контрол и в целесъобразна за конкретния случай степен. Надзорният орган следва да информира субекта на данните за напредъка и резултата от жалбата в разумен срок. Ако случаят изисква допълнително разследване или координиране с друг надзорен орган, на субекта на данните следва да бъде предоставена междинна информация. За да се улесни подаването на жалбите, всеки надзорен орган следва да вземе мерки, като например осигуряване на формуляр за подаване на жалби, който да може да бъде попълнен и по електронен път, без да се изключват други средства за комуникация.

- = -

(144) Когато сезиран съд, в който е заведено съдебно производство срещу решение на надзорен орган, има основания да счита, че пред компетентен съд в друга държава членка е образувано производство, засягащо същото обработване, напр. свързано със същия въпрос по отношение на обработване от същия администратор или обработващ личните данни, или същото основание, той следва да установи контакт с този съд, за да потвърди наличието на такова свързано производство. Когато свързано производство е висящо пред съд на друга държава членка, всеки съд, освен първия сезиран съд, може да спре производството или може, по молба на една от страните, да се откаже от компетентност в полза на първия сезиран съд, при условие че този съд е компетентен по отношение на въпросното производство и правото му допуска съединяване на такива свързани производства. Производствата се смятат за свързани, когато те се намират в такава тясна връзка помежду си, че е целесъобразно да бъдат разгледани и решени заедно, за да се избегне рискът от противоречащи си съдебни решения, постановени в отделни производства.

- = -

(153) Правото на държавите членки следва да съвместява разпоредбите, уреждащи свободата на изразяване на мнение и свободата на информация, включително за журналистически, академични, художествени или литературни цели, и правото на защита на личните данни по настоящия регламент. Обработването на лични данни единствено за журналистически цели или за академично, художествено или литературно изразяване следва да подлежи на дерогации или освобождаване от изискванията на някои разпоредби на настоящия регламент, за да се съчетае при необходимост правото на защита на личните данни с правото на свобода на изразяване на мнение и свобода на информация, заложени в член 11 от Хартата. Това следва да се прилага по-специално по отношение на обработването на лични данни в аудио-визуалната област и в новинарските архиви и библиотеките с печатни издания. Поради това държавите членки следва да приемат законодателни мерки, с които да определят освобождаванията и дерогациите, необходими за постигането на баланс между тези основни права. Държавите членки следва да приемат такива освобождавания и дерогации от общите принципи, правата на субекта на данните, администратора и обработващия лични данни, предаването на лични данни на трети държави или международни организации, независимостта на надзорните органи, сътрудничеството и съгласуваността и специалните случаи на обработване на данни. Когато тези освобождавания или дерогации се различават в отделните държави членки, следва да се прилага правото на държавата членка, на което се подчинява администраторът на лични данни. За да се вземе предвид важността на правото на свобода на изразяване на мнение във всяко демократично общество, е необходимо свързаните с тази свобода понятия, като журналистиката например, да се тълкуват широко.

- = -

dal 2004 diritto e informatica