interactive GDPR 2016/0679 BG

„лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;

„обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

3)	„ограничаване на обработването“ означава маркиране на съхранявани лични данни с цел ограничаване на обработването им в бъдеще;

„профилиране“ означава всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение;

„псевдонимизация“ означава обработването на лични данни по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано;

6)	„регистър с лични данни“ означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;

„администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;

8)	„обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;

„получател“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели“; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването;

10)	„трета страна“ означава физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;

11)	„съгласие на субекта на данните“ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;

12)	„нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;

13)

„генетични данни“ означава лични данни, свързани с наследени или придобити генетичните белези на дадено физическо лице, които дават уникална информация за отличителните черти или здравето на това физическо лице и които са получени, по-специално, от анализ на биологична проба от въпросното физическо лице;

14)

„биометрични данни“ означава лични данни, получени в резултат на специфично техническо обработване, които са свързани с физическите, физиологичните или поведенческите характеристики на дадено физическо лице и които позволяват или потвърждават уникалната идентификация на това физическо лице, като лицеви изображения или дактилоскопични данни;

15)	„данни за здравословното състояние“ означава лични данни, свързани с физическото или психическото здраве на физическо лице, включително предоставянето на здравни услуги, които дават информация за здравословното му състояние;

16)

„основно място на установяване“ означава:

по отношение на администратор, установен в повече от една държава членка — мястото, където се намира централното му управление в Съюза, освен в случаите, когато решенията по отношение на целите и средствата за обработването на лични данни се вземат на друго място на установяване на администратора в Съюза и на това място на установяване има правомощия за прилагане на тези решения, в който случай мястото на установяване, където са взети тези решения, се счита за основно място на установяване;

б)

по отношение на обработващ лични данни, установен в повече от една държава членка — мястото, където се намира централното му управление в Съюза, или ако обработващият лични данни няма централно управление в Съюза, мястото на установяване на обработващия лични данни в Съюза, където се осъществяват основните дейности по обработването в контекста на дейностите на дадено място на установяване на обработващия лични данни, доколкото обработващият има специфични задължения съгласно настоящия регламент;

17)	„представител“ означава физическо или юридическо лице, установено в Съюза, което, назначено от администратора или обработващия лични данни в писмена форма съгласно член 27, представлява администратора или обработващия лични данни във връзка със съответните им задължения по настоящия регламент;

18)	„дружество“ означава физическо или юридическо лице, което осъществява икономическа дейност, независимо от правната му форма, включително партньорствата или сдруженията, които редовно осъществяват икономическа дейност;

19)	„група предприятия“ означава контролиращо предприятие и контролираните от него предприятия;

20)

„задължителни фирмени правила“ означава политики за защита на личните данни, които се спазват от администратор или обработващ лични данни, установен на територията на държава членка, при предаване или съвкупност от предавания на лични данни до администратор или обработващ лични данни в една или повече трети държави в рамките на група предприятия или група дружества, участващи в съвместна стопанска дейност;

21)	„надзорен орган“ означава независим публичен орган, създаден от държава членка съгласно член 51;

22)

„засегнат надзорен орган“ означава надзорен орган, който е засегнат от обработването на лични данни, тъй като:

a)	администраторът или обработващият лични данни е установен на територията на държавата членка на този надзорен орган;

б)	субектите на данни с местопребиваване в държавата членка на този надзорен орган са засегнати съществено или е вероятно да бъдат засегнати съществено от обработването; или

в)	до този надзорен орган е подадена жалба;

23)

„трансгранично обработване“ означава или:

a)	обработване на лични данни, което се осъществява в контекста на дейностите на местата на установяване в повече от една държава членка на администратор или обработващ лични данни в Съюза, като администраторът или обработващият лични данни е установен в повече от една държава членка; или

б)	обработване на лични данни, което се осъществява в контекста на дейностите на едно-единствено място на установяване на администратор или обработващ лични данни в Съюза, но което засяга съществено или е вероятно да засегне съществено субекти на данни в повече от една държава членка;

24)

„относимо и обосновано възражение“ означава възражение срещу проект на решение относно това дали е налице нарушение на настоящия регламент или не, или дали предвижданото действие по отношение на администратора или обработващия лични данни отговаря на изискванията на настоящия регламент, което ясно доказва, че проектът за решение води до значителни рискове за основните права и свободи на субектите на данни и, където е приложимо, за свободното движение на лични данни в рамките на Съюза;

25)	„услуга на информационното общество“ означава услуга по смисъла на член 1, параграф 1, точка б) от Директива (ЕС) 2015/1535 на Европейския парламент и на Съвета (19);

26)	„международна организация“ означава организация и нейните подчинени органи, регламентирани от международното публично право, или друг орган, създаден чрез или въз основа на споразумение между две или повече държави.

ГЛАВА II

Принципи

Член 5

Принципи, свързани с обработването на лични данни

1. Личните данни са:

a)	обработвани законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните („законосъобразност, добросъвестност и прозрачност“);

б)

събирани за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели; по-нататъшното обработване за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели не се счита, съгласно член 89, параграф 1, за несъвместимо с първоначалните цели („ограничение на целите“);

в)	подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват („свеждане на данните до минимум“);

г)	точни и при необходимост да бъдат поддържани в актуален вид; трябва да се предприемат всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват („точност“);

д)

съхранявани във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни; личните данни могат да се съхраняват за по-дълги срокове, доколкото ще бъдат обработвани единствено за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели съгласно член 89, параграф 1, при условие че бъдат приложени подходящите технически и организационни мерки, предвидени в настоящия регламент с цел да бъдат гарантирани правата и свободите на субекта на данните („ограничение на съхранението“);

е)

обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки („цялостност и поверителност“);

2. Администраторът носи отговорност и е в състояние да докаже спазването на параграф 1 („отчетност“).

Член 17

Право на изтриване (право „да бъдеш забравен“)

1. Субектът на данни има правото да поиска от администратора изтриване на свързаните с него лични данни без ненужно забавяне, а администраторът има задължението да изтрие без ненужно забавяне личните данни, когато е приложимо някое от посочените по-долу основания:

a)	личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;

б)	субектът на данните оттегля своето съгласие, върху което се основава обработването на данните съгласно член 6, параграф 1, буква а) или член 9, параграф 2, буква а), и няма друго правно основание за обработването;

в)	субектът на данните възразява срещу обработването съгласно член 21, параграф 1 и няма законни основания за обработването, които да имат преимущество, или субектът на данните възразява срещу обработването съгласно член 21, параграф 2;

г)	личните данни са били обработвани незаконосъобразно;

д)	личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на Съюза или правото на държава членка, което се прилага спрямо администратора;

е)	личните данни са били събрани във връзка с предлагането на услуги на информационното общество по член 8, параграф 1.

2. Когато администраторът е направил личните данни обществено достояние и е задължен съгласно параграф 1 да изтрие личните данни, той, като отчита наличната технология и разходите по изпълнението, предприема разумни стъпки, включително технически мерки, за да уведоми администраторите, обработващи личните данни, че субектът на данните е поискал изтриване от тези администратори на всички връзки, копия или реплики на тези лични данни.

3. Параграфи 1 и 2 не се прилагат, доколкото обработването е необходимо:

a)	за упражняване на правото на свобода на изразяването и правото на информация;

б)

за спазване на правно задължение, което изисква обработване, предвидено в правото на Съюза или правото на държавата членка, което се прилага спрямо администратора или за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;

в)	по причини от обществен интерес в областта на общественото здраве в съответствие с член 9, параграф 2, букви з) и и), както и член 9, параграф 3;

г)

за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели съгласно член 89, параграф 1, доколкото съществува вероятност правото, установено в параграф 1, да направи невъзможно или сериозно да затрудни постигането на целите на това обработване; или

д)	за установяването, упражняването или защитата на правни претенции.

Член 20

Право на преносимост на данните

1. Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на администратор, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от администратора, на когото личните данни са предоставени, когато:

a)	обработването е основано на съгласие в съответствие с член 6, параграф 1, буква а) или член 9, параграф 2, буква а) или на договорно задължение съгласно член 6, параграф 1, буква б); и

б)	обработването се извършва по автоматизиран начин.

2. Когато упражнява правото си на преносимост на данните по параграф 1, субектът на данните има право да получи пряко прехвърляне на личните данни от един администратор към друг, когато това е технически осъществимо.

3. Упражняването на правото, посочено в параграф 1 от настоящия член не засяга член 17. Посоченото право не се отнася до обработването, необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора.

4. Правото, посочено в параграф 1, не влияе неблагоприятно върху правата и свободите на други лица.

Раздел 4

Право на възражение и автоматизирано вземане на индивидуални решения

Член 21

Право на възражение

1. Субектът на данните има право, по всяко време и на основания, свързани с неговата конкретна ситуация, на възражение срещу обработване на лични данни, отнасящи се до него, което се основава на член 6, параграф 1, буква д) или буква е), включително профилиране, основаващо се на посочените разпоредби. Администраторът прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.

2. Когато се обработват лични данни за целите на директния маркетинг, субектът на данни има право по всяко време да направи възражение срещу обработване на лични данни, отнасящо се до него за този вид маркетинг, което включва и профилиране, доколкото то е свързано с директния маркетинг.

3. Когато субектът на данни възрази срещу обработване за целите на директния маркетинг, обработването на личните данни за тези цели се прекратява.

4. Най-късно в момента на първото осъществяване на контакт със субекта на данните, той изрично се уведомява за съществуването на правото по параграфи 1 и 2, което му се представя по ясен начин и отделно от всяка друга информация.

5. В контекста на използването на услугите на информационното общество и независимо от Директива 2002/58/ЕО, субектът на данните може да упражнява правото си на възражение чрез автоматизирани средства, като се използват технически спецификации.

6. Когато лични данни се обработват за целите на научни или исторически изследвания или за статистически цели съгласно член 89, параграф 1, субектът на данните има право, въз основа на конкретното си положение, да възрази срещу обработването на лични данни, отнасящи се до него, освен ако обработването е необходимо за изпълнението на задача, осъществявана по причини от публичен интерес.

Член 24

Отговорност на администратора

1. Като взема предвид естеството, обхвата, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът въвежда подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с настоящия регламент. Тези мерки се преразглеждат и при необходимост се актуализират.

2. Когато това е пропорционално на дейностите по обработване, посочените в параграф 1 мерки включват прилагане от страна на администратора на подходящи политики за защита на данните.

3. Придържането към одобрени кодекси за поведение, посочени в член 40 или одобрени механизми за сертифициране, посочени в член 42 може да се използва като елемент за доказване на спазването на задълженията на администратора.

Член 25

Защита на данните на етапа на проектирането и по подразбиране

1. Като взема предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхвата, контекста и целите на обработването, както и породените от обработването рискове с различна вероятност и тежест за правата и свободите на физическите лица, администраторът въвежда, както към момента на определянето на средствата за обработване, така и към момента на самото обработване, подходящи технически и организационни мерки, например псевдонимизация, които са разработени с оглед на ефективното прилагане на принципите за защита на данните, например свеждане на данните до минимум, и интегриране на необходимите гаранции в процеса на обработване, за да се спазят изискванията на настоящия регламент и да се осигури защита на правата на субектите на данни.

2. Администраторът въвежда подходящи технически и организационни мерки, за да се гарантира, че по подразбиране се обработват само лични данни, които са необходими за всяка конкретна цел на обработването. Това задължение се отнася до обема на събраните лични данни, степента на обработването, периода на съхраняването им и тяхната достъпност. По-специално, подобни мерки гарантират, че по подразбиране без намеса от страна на физическото лице личните данни не са достъпни за неограничен брой физически лица.

3. Одобреният механизъм за сертифициране съгласно член 42 може да се използва като елемент, за да се докаже спазването на изискванията, предвидени в параграфи 1 и 2 от настоящия член.

Член 28

Обработващ личните данни

1. Когато обработването се извършва от името на даден администратор, администраторът използва само обработващи лични данни, които предоставят достатъчни гаранции за прилагането на подходящи технически и организационни мерки по такъв начин, че обработването да протича в съответствие с изискванията на настоящия регламент и да осигурява защита на правата на субектите на данни.

2. Обработващият данни не включва друг обработващ данни без предварителното конкретно или общо писмено разрешение на администратора. В случай на общо писмено разрешение, обработващият данни винаги информира администратора за всякакви планирани промени за включване или замяна на други лица, обработващи данни, като по този начин даде възможност на администратора да оспори тези промени.

3. Обработването от страна на обработващия лични данни се урежда с договор или с друг правен акт съгласно правото на Съюза или правото на държава членка, който е задължителен за обработващия лични данни спрямо администратора, и който регламентира предмета и срока на действие на обработването, естеството и целта на обработването, вида лични данни и категориите субекти на данни и задълженията и правата на администратора. В този договор или друг правен акт се предвижда по-специално, че обработващият лични данни:

обработва личните данни само по документирано нареждане на администратора, включително що се отнася до предаването на лични данни на трета държава или международна организация, освен когато е длъжен да направи това по силата на правото на Съюза или правото на държава членка, което се прилага спрямо обработващия лични данни, като в този случай обработващият лични данни информира администратора за това правно изискване преди обработването, освен ако това право забранява такова информиране на важни основания от публичен интерес;

б)	гарантира, че лицата, оправомощени да обработват личните данни, са поели ангажимент за поверителност или са задължени по закон да спазват поверителност;

в)	взема всички необходими мерки съгласно член 32;

г)	спазва условията по параграфи 2 и 4 за включване на друг обработващ лични данни;

д)	като взема предвид естеството на обработването, подпомага администратора, доколкото е възможно, чрез подходящи технически и организационни мерки при изпълнението на задължението на администратора да отговори на искания за упражняване на предвидените в глава III права на субектите на данни;

е)	подпомага администратора да гарантира изпълнението на задълженията съгласно членове 32—36, като отчита естеството на обработване и информацията, до която е осигурен достъп на обработващия лични данни;

ж)	по избор на администратора заличава или връща на администратора всички лични данни след приключване на услугите по обработване и заличава съществуващите копия, освен ако правото на Съюза или правото на държава членка не изисква тяхното съхранение;

з)	осигурява достъп на администратора до цялата информация, необходима за доказване на изпълнението на задълженията, определени в настоящия член, и позволява и допринася за извършването на одити, включително проверки, от страна на администратора или друг одитор, оправомощен от администратора.

Предвид буква з) от първа алинея обработващият лични данни незабавно уведомява администратора, ако според него дадено нареждане нарушава настоящия регламент или други разпоредби на Съюза или на държавите членки относно защитата на данни.

4. Когато обработващ лични данни включва друг обработващ лични данни за извършването на специфични дейности по обработване от името на администратора, чрез договор или друг правен акт съгласно правото на Съюза или правото на държава членка на това друго лице се налагат същите задължения за защита на данните, както задълженията, предвидени в договора или друг правен акт между администратора и обработващия лични данни, както е посочено в параграф 3, по-специално да предостави достатъчно гаранции за прилагане на подходящи технически и организационни мерки, така че обработването да отговаря на изискванията на настоящия регламент. Когато другият обработващ лични данни не изпълни задължението си за защита на данните, първоначалният обработващ данните продължава да носи пълна отговорност пред администратора за изпълнението на задълженията на този друг обработващ лични данни.

5. Придържането на обработващия лични данни към одобрен кодекс за поведение, посочен в член 40 или одобрен механизъм за сертифициране, посочен в член 42 може да се използва като доказателство за предоставянето на достатъчно гаранции съгласно параграфи 1 и 4 от настоящия член.

6. Без да се засягат разпоредбите на индивидуален договор между администратора и обработващия лични данни, договорът или другият правен акт, посочени в параграфи 3 и 4 от настоящия член, може да се основават изцяло или отчасти на стандартни договорни клаузи, посочени в параграфи 7 и 8 от настоящия член, включително когато са част от сертифициране, предоставено на администратора или обработващия лични данни съгласно членове 42 и 43.

7. Комисията може да установява стандартни договорни клаузи по въпроси, посочени в параграфи 3 и 4 от настоящия член, и в съответствие с процедурата по разглеждане, посочена в член 93, параграф 2.

8. Надзорният орган може да приема стандартни договорни клаузи по въпросите, посочени в параграфи 3 и 4 от настоящия член, и в съответствие с механизма за съгласуваност, посочен в член 63.

9. Договорът или другият правен акт, посочен в параграфи 3 и 4, се изготвят в писмена форма, включително в електронна форма.

10. Без да се засягат членове 82, 83 и 84, ако обработващ лични данни наруши настоящия регламент, определяйки целите и средствата на обработването, обработващият личните данни се счита за администратор по отношение на това обработване.

Член 30

Регистри на дейностите по обработване

1. Всеки администратор и — когато това е приложимо — представител на администратор поддържа регистър на дейностите по обработване, за които отговоря. Този регистър съдържа цялата по-долу посочена информация:

a)	името и координатите за връзка на администратора и — когато това е приложимо — на всички съвместни администратори, на представителя на администратора и на длъжностното лице по защита на данните, ако има такива;

б)	целите на обработването;

в)	описание на категориите субекти на данни и на категориите лични данни;

г)	категориите получатели, пред които са или ще бъдат разкрити личните данни, включително получателите в трети държави или международни организации;

д)	когато е приложимо, предаването на лични данни на трета държава или международна организация, включително идентификацията на тази трета държава или международна организация, а в случай на предаване на данни, посочено в член 49, параграф 1, втора алинея, документация за подходящите гаранции;

е)	когато е възможно, предвидените срокове за изтриване на различните категории данни;

ж)	когато е възможно, общо описание на техническите и организационни мерки за сигурност, посочени в член 32, параграф 1.

2. Всеки обработващ лични данни и — когато това е приложимо — представителят на обработващия лични данни поддържа регистър на всички категории дейности по обработването, извършени от името на администратор, в който се съдържат:

a)	името и координатите за връзка на обработващия или обработващите лични данни и на всеки администратор, от чието име действа обработващият лични данни и — когато това е приложимо —на представителя на администратора или обработващия лични данни и на длъжностното лице по защита на данните;

б)	категориите обработване, извършвано от името на всеки администратор;

в)	когато е приложимо, предаването на лични данни на трета държава или международна организация, включително идентификацията на тази трета държава или международна организация, а в случай на предаване на данни, посочено в член 49, параграф 1, втора алинея, документация за подходящите гаранции;

г)	когато е възможно, общо описание на техническите и организационни мерки за сигурност, посочени в член 32, параграф 1.

3. Регистрите, посочени в параграфи 1 и 2, се поддържат в писмена форма, включително в електронен формат.

4. При поискване, администраторът или обработващият лични данни и — когато това е приложимо — представителят на администратора или на обработващия личните данни, осигуряват достъп до регистъра на надзорния орган.

5. Задълженията, посочени в параграфи 1 и 2, не се прилагат по отношение на предприятие или дружество с по-малко от 250 служители, освен ако има вероятност извършваното от тях обработване да породи риск за правата и свободите на субектите на данни, ако обработването не е спорадично или включва специални категории данни по член 9, параграф 1 или лични данни, свързани с присъди и нарушения, по член 10.

Член 32

Сигурност на обработването

1. Като се имат предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекстът и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът и обработващият лични данни прилагат подходящи технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност, включително, inter alia, когато е целесъобразно:

a)	псевдонимизация и криптиране на личните данни;

б)	способност за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;

в)	способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент;

г)	процес на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването.

2. При оценката на подходящото ниво на сигурност се вземат предвид по-специално рисковете, които са свързани с обработването, по-специално от случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до прехвърлени, съхранявани или обработени по друг начин лични данни.

3. Придържането към одобрен кодекс за поведение, посочен в член 40 или одобрен механизъм за сертифициране, посочен в член 42 може да се използва като доказателство за предоставянето на достатъчно гаранции съгласно параграф 1 от настоящия член.

4. Администраторът и обработващият лични данни предприемат стъпки всяко физическо лице, действащо под ръководството на администратора или на обработващия лични данни, което има достъп до лични данни, да обработва тези данни само по указание на администратора, освен ако от въпросното лице не се изисква да прави това по силата на правото на Съюза или правото на държава членка.

Член 34

Съобщаване на субекта на данните за нарушение на сигурността на личните данни

1. Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, администраторът, без ненужно забавяне, съобщава на субекта на данните за нарушението на сигурността на личните данни.

2. В съобщението до субекта на данните, посочено в параграф 1 от настоящия член, на ясен и прост език се описва естеството на нарушението на сигурността на личните данни и се посочват най-малко информацията и мерките, посочени в член 33, параграф 3, букви б), в) и г).

3. Посоченото в параграф 1 съобщение до субекта на данните не се изисква, ако някое от следните условия е изпълнено:

администраторът е предприел подходящи технически и организационни мерки за защита и тези мерки са били приложени по отношение на личните данни, засегнати от нарушението на сигурността на личните данни, по-специално мерките, които правят личните данни неразбираеми за всяко лице, което няма разрешение за достъп до тях, като например криптиране;

б)	администраторът е взел впоследствие мерки, които гарантират, че вече няма вероятност да се материализира високият риск за правата и свободите на субектите на данни, посочен в параграф 1;

в)	то би довело до непропорционални усилия. В такъв случай се прави публично съобщение или се взема друга подобна мярка, така че субектите на данни да бъдат в еднаква степен ефективно информирани.

4. Ако администраторът все още не е съобщил на субекта на данните за нарушението на сигурността на личните данни, надзорният орган може, след като отчете каква е вероятността нарушението на сигурността на личните данни да породи висок риск, да изиска от администратора да съобщи за нарушението или да реши, че е изпълнено някое от условията по параграф 3.

Раздел 3

Оценка на въздействието върху защитата на данните и предварителни консултации

Член 43

Сертифициращи органи

1. Без да се засягат задачите и правомощията на компетентния надзорен орган съгласно членове 57 и 58, сертифициращите органи, притежаващи подходящ опит в областта на защитата на данните, след уведомяване на надзорния орган с цел, ако е необходимо, той да може да упражни правомощията си съгласно член 58, параграф 2, буква з), издават и подновяват сертификат.Държавите членки гарантират, че тези сертифициращи органи се акредитират от един или двама от следните органи:

a)	надзорния орган, който е компетентен съгласно член 55 или 56;

б)	националния орган по акредитация, посочен в съответствие с Регламент (ЕО) № 765/2008 на Европейския парламент и на Съвета (20) в съответствие с EN-ISO/IEC 17065/2012 и с допълнителните изисквания, определени от надзорния орган, който е компетентен съгласно член 55 или 56.

2. Сертифициращите органи, посочени в параграф 1, се акредитират в съответствие с посочения параграф само ако:

a)	са доказали в задоволителна степен пред компетентния надзорен орган своята независимост и опит във връзка с предмета на сертифицирането;

б)	са поели ангажимент да спазват критериите, посочени в член 42, параграф 5, и одобрени от надзорния орган, който е компетентен съгласно член 55 или 56, или, от Комитета съгласно член 63;

в)	са установили процедури за издаването, периодичния преглед и отнемането на сертификат, печати и маркировки за защита на данните;

г)

са установили процедури и структури за обработване на жалби за нарушения на сертификата или за начина, по който сертификатът е бил приложен или се прилага от администратора или обработващия лични данни, и за прозрачното довеждане на тези процедури и структури до знанието на субектите на данни и обществеността; и

д)	демонстрират в задоволителна степен пред компетентния надзорен орган, че задачите и задълженията им не водят до конфликт на интереси.

3. Акредитирането на сертифициращите органи, посочени в параграфи 1 и 2 от настоящия член, се извършва на базата на критериите, одобрени от надзорния орган, който е компетентен съгласно член 55 или 56, или, от Комитета съгласно член 63. В случай на акредитация съгласно параграф 1, буква б) от настоящия член, тези изисквания допълват изискванията, предвидени в Регламент (ЕО) № 765/2008 и техническите правила, които описват методите и процедурите на сертифициращите органи.

4. Сертифициращият органи, посочени в параграф 1 отговарят за правилната оценка, която води до сертифициране или отнемане на издаден сертификат, без да се засяга отговорността на администратора или обработващия лични данни за спазването на настоящия регламент. Акредитацията се издава за максимален срок от пет години и може да бъде подновена при същите условия, ако сертифициращият орган отговаря на изискванията, установени в настоящия член.

5. Сертифициращите органи, посочени в параграф 1 представят на компетентните надзорни органи мотивите за издаване или отнемане на съответния сертификат.

6. Изискванията, посочени в параграф 3 от настоящия член, и критериите, посочени в член 42, параграф 5, се оповестяват от надзорния орган в леснодостъпна форма. Надзорните органи също така информират Комитета относно тези изисквания и критерии. Комитетът обединява всички механизми за сертифициране и всички печати за защита на данните в регистър и осигурява публичен достъп до тях по подходящ начин.

7. Без да се засяга глава VIII, компетентният надзорен орган или националният орган по акредитация анулира акредитация на сертифициращ орган, посочен в параграф 1 от настоящия член, ако не са били спазени или вече не се спазват условията за акредитация, или ако предприетите от сертифициращия орган действия нарушават настоящия регламент.

8. На Комисията се предоставя правомощие да приема делегирани актове в съответствие с член 92 с цел уточняване на изискванията, които трябва да бъдат взети предвид по отношение на механизмите за сертифициране за защита на данните, посочени в член 42, параграф 1.

9. Комисията може чрез актове за изпълнение да определя технически стандарти за механизмите за сертифициране и за печатите и маркировките за защита на данните, както и механизми за насърчаване и признаване на тези механизми и на печатите и маркировките. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 93, параграф 2.

ГЛАВА V

Предаване на лични данни на трети държави или международни организации

Член 52

Независимост

1. Всеки надзорен орган действа напълно независимо при изпълнението на задачите си и упражняването на правомощията си съгласно настоящия регламент.

2. При изпълнението на задачите си и упражняването на правомощията си в съответствие с настоящия регламент членът или членовете на надзорния орган остават независими от външно влияние, било то пряко или непряко, и нито търсят, нито приемат инструкции от когото и да било.

3. Член или членовете на всеки надзорен орган се въздържат от всякакви несъвместими със задълженията им действия и по време на своя мандат не се ангажират с никакви несъвместими функции, независимо дали срещу възнаграждение или безвъзмездно.

4. Всяка държава членка гарантира, че на всеки надзорен орган са предоставени човешки, технически и финансови ресурси, помещения и инфраструктура, необходими за ефективното изпълнение на неговите задачи и упражняването на неговите правомощия, включително на тези, които ще бъдат изпълнявани в контекста на взаимопомощта, сътрудничеството и участието в Комитета.

5. Всяка държава членка гарантира, че всеки надзорен орган избира и разполага със свой собствен персонал, който е подчинен изключително на члена или членовете на засегнатия надзорен орган.

6. Всяка държава членка гарантира, че всеки надзорен орган подлежи на финансов контрол, който не засяга неговата независимост и че той има отделен, публичен годишен бюджет, който може да бъде част от общия държавен или национален бюджет.

Член 83

Общи условия за налагане на административни наказания „глоба“ или „имуществена санкция“

1. Всеки надзорен орган гарантира, че наложените административни наказания „глоба“ или „имуществена санкция“ в съответствие с настоящия член за извършени нарушения на настоящия регламент, посочени в параграфи 4, 5 и 6, във всеки конкретен случай са ефективни, пропорционални и възпиращи.

2. В зависимост от обстоятелствата във всеки конкретен случай административните наказания „глоба“ или „имуществена санкция“ се налагат в допълнение към мерките, посочени в член 58, параграф 2, букви а)—з) и й), или вместо тях. Когато се взема решение дали да бъде наложено административно наказание „глоба“ или „имуществена санкция“ и се определя нейният размер, във всеки конкретен случай надлежно се разглеждат следните елементи:

a)	естеството, тежестта и продължителността на нарушението, като се взема предвид естеството, обхватът или целта на съответното обработване, както и броят на засегнатите субекти на данни и степента на причинената им вреда;

б)	дали нарушението е извършено умишлено или по небрежност;

в)	действията, предприети от администратора или обработващия лични данни за смекчаване на последиците от вредите, претърпени от субектите на данни;

г)	степента на отговорност на администратора или обработващия лични данни като се вземат предвид технически и организационни мерки, въведени от тях в съответствие с членове 25 и 32;

д)	евентуални свързани предишни нарушения, извършени от администратора или обработващия лични данни;

е)	степента на сътрудничество с надзорния орган с цел отстраняване на нарушението и смекчаване на евентуалните неблагоприятни последици от него;

ж)	категориите лични данни, засегнати от нарушението;

з)	начина, по който нарушението е станало известно на надзорния орган, по-специално дали и до каква степен администраторът или обработващият лични данни е уведомил за нарушението;

и)	когато на засегнатия администратор или обработващ лични данни преди са налагани мерки, посочени в член 58, параграф 2, във връзка със същия предмет на обработването, дали посочените мерки са спазени;

й)	придържането към одобрени кодекси на поведение съгласно член 40 или одобрени механизми за сертифициране съгласно член 42; и

к)	всякакви други утежняващи или смекчаващи фактори, приложими към обстоятелствата по случая, като пряко или косвено реализирани финансови ползи или избегнати загуби вследствие на нарушението.

3. Ако администратор или обработващ лични данни умишлено или по небрежност наруши няколко разпоредби на настоящия регламент при една и съща операция по обработване или при свързани операции, общият размер на административната глоба или имуществената санкция не може да надвишава сумата, определена за най-тежкото нарушение.

4. Нарушенията на посочените по-долу разпоредби подлежат, в съответствие с параграф 2, на административно наказание „глоба“ или „имуществена санкция“ в размер до 10 000 000 EUR или, в случай на предприятие — до 2 % от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока:

a)	задълженията на администратора и обработващия лични данни съгласно членове 8, 11, 25—39 и 42 и 43;

б)	задълженията на сертифициращия орган съгласно членове 42 и 43;

в)	задълженията на органа за наблюдение съгласно член 41, параграф 4.

5. Нарушенията на посочените по-долу разпоредби подлежат, в съответствие с параграф 2, на административно наказание „глоба“ или „имуществена санкция“ в размер до 20 000 000 EUR или, в случай на предприятие — до 4 % от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока:

a)	основните принципи за обработване на лични данни, включително условията, свързани с даването на съгласие, в съответствие с членове 5, 6, 7 и 9;

б)	правата на субектите на данни съгласно членове 12—22;

в)	предаването на лични данни на получател в трета държава или международна организация съгласно членове 44—49;

г)	всички задължения, произтичащи от правото на държавите членки, приети съгласно глава IX;

д)	неспазване на разпореждане, или на временно или окончателно ограничаване във връзка с обработването или на наложено от надзорния орган преустановяване на потоците от данни съгласно член 58, параграф 2 или непредоставяне на достъп в нарушение на член 58, параграф 1.

6. Неспазването на разпореждане на надзорния орган, както е посочено в член 58, параграф 2, подлежи, в съответствие с параграф 2 от настоящия член, на административно наказание „глоба“ или „имуществена санкция“ в размер до 20 000 000 EUR или, в случай на предприятие — до 4 % от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока.

7. Без да се засягат корективните правомощия на надзорните органи съгласно член 58, параграф 2, всяка държава членка може да определя правила за това дали и до каква степен могат да бъдат налагани административни наказания „глоба“ или „имуществена санкция“ на публични органи и структури, установени в тази държава членка.

8. Упражняването от надзорния орган на правомощията му по настоящия член зависи от съответните процедурни гаранции в съответствие с правото на Съюза и правото на държавата членка, включително ефективна съдебна защита и справедлив съдебен процес.

9. Когато в правната система на държавата членка не са предвидени административни наказания „глоба“ или „имуществена санкция“, настоящият член може да се прилага по такъв начин, че глобата да се инициира от компетентния назорен орган и да се налага от компетентните национални съдилища, като в същото време се гарантира, че тези правни средства за защита са ефективни и имат ефект, равностоен на административните наказания „глоба“ или „имуществена санкция“, налагани от надзорните органи. Във всички случаи наложените глоби или имуществени санкции са ефективни, пропорционални и възпиращи. Посочените държави членки уведомяват Комисията за разпоредбите в правото си, които примат съгласно настоящия параграф, най-късно до 25 май 2018 г., и я уведомяват незабавно за всеки последващ закон за изменение или за всяко изменение, които ги засягат.

Член 89

Гаранции и дерогации, свързани с обработването за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели

1. Обработването за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели подлежи, в съответствие с настоящия регламент, на подходящи гаранции за правата и свободите на субекта на данни. Тези гаранции осигуряват наличието на технически и организационни мерки, по-специално с оглед на спазването на принципа на свеждане на данните до минимум. Мерките могат да включват псевдонимизация, при условие че посочените цели могат да бъдат постигнати по този начин. Когато посочените цели могат да бъдат постигнати чрез по-нататъшно обработване, което не позволява или повече не позволява идентифицирането на субектите на данни, целите се постигат по този начин.

2. Когато личните данни се обработват за научни или исторически изследвания или за статистически цели, правото на Съюза или правото на държава членка може да предвижда дерогации от правата по членове 15, 16, 18 и 21 съобразно условията и гаранциите по параграф 1 от настоящия член, доколкото има вероятност тези права да направят невъзможно или сериозно да затруднят постигането на конкретните цели, и посочените дерогации са необходими за постигането на тези цели.

3. Когато личните данни се обработват за целите на архивирането в обществен интерес, правото на Съюза или правото на държава членка може да предвижда дерогации от правата по членове 15, 16, 18, 19, 20 и 21 съобразно условията и гаранциите по параграф 1 от настоящия член, доколкото има вероятност тези права да направят невъзможно или сериозно да затруднят постигането на конкретните цели, и посочените дерогации са необходими за постигането на тези цели.

4. Когато обработването по параграфи 2 и 3 служи едновременно за друга цел, дерогациите се прилагат единствено за обработване, извършвано за посочените в тези параграфи цели.

Член 99

Влизане в сила и прилагане

1. Настоящият регламент влиза в сила на двадесетия ден след публикуването му в Официален вестник на Европейския съюз.

2. Прилага се от 25 май 2018 година.

Настоящият регламент е задължителен в своята цялост и се прилага пряко във всички държави членки.

Съставено в Брюксел на 27 април 2016 година.

За Европейския парламент

Председател

M. SCHULZ

За Съвета

Председател

J.A. HENNIS-PLASSCHAERT

(1) ОВ C 229, 31.7.2012 г., стр. 90.

(2) ОВ C 391, 18.12.2012 г., стр. 127.

(3) Позиция на Европейския парламент от 12 март 2014 г. (все още непубликувана в Официален вестник) и позиция на Съвета на първо четене от 8 април 2016 г. (все още непубликувана в Официален вестник). Позиция на Европейския парламент от 14 април 2016 г.

(4) Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 г. за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (ОВ L 281, 23.11.1995 г., стр. 31).

(5) Препоръка 2003/361/ЕО на Комисията от 6 май 2003 г. относно дефиницията на микропредприятията, малките и средните предприятия (C(2003) 1422) (ОВ L 124, 20.5.2003 г., стр. 36).

(6) Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета от 18 декември 2000 г. относно защитата на лицата по отношение на обработката на лични данни от институции и органи на Общността и за свободното движение на такива данни (ОВ L 8, 12.1.2001 г., стр. 1).

(7) Директива (EС) 2016/680 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции и относно свободното движение на такива данни за отмяна на Рамково решение 2008/977/ПВР на Съвета (вж. страница 89 от настоящия брой на Официален вестник).

(8) Директива 2000/31/ЕО на Европейския парламент и на Съвета от 8 юни 2000 г. за някои правни аспекти на услугите на информационното общество, и по-специално на електронната търговия на вътрешния пазар (Директива за електронната търговия) (ОВ L 178, 17.7.2000 г., стр. 1).

(9) Директива 2011/24/ЕС на Европейския парламент и на Съвета от 9 март 2011 г. за упражняване на правата на пациентите при трансгранично здравно обслужване (ОВ L 88, 4.4.2011 г., стр. 45).

(10) Директива 93/13/ЕИО на Съвета от 5 април 1993 г. относно неравноправните клаузи в потребителските договори (ОВ L 95, 21.4.1993 г., стр. 29).

(11) Регламент (ЕО) № 1338/2008 на Европейския парламент и на Съвета от 16 декември 2008 г. относно статистиката на Общността в областта на общественото здраве и здравословните и безопасни условия на труд (текст от значение за ЕИП) (ОВ L 354, 31.12.2008 г., стр. 70).

(12) Регламент (ЕС) № 182/2011 на Европейския парламент и на Съвета от 16 февруари 2011 г. за установяване на общите правила и принципи относно реда и условията за контрол от страна на държавите-членки върху упражняването на изпълнителните правомощия от страна на Комисията (ОВ L 55, 28.2.2011 г., стр. 13).

(13) Регламент (ЕС) № 1215/2012 на Европейския парламент и на Съвета от 12 декември 2012 г. относно компетентността, признаването и изпълнението на съдебни решения по граждански и търговски дела (ОВ L 351, 20.12.2012 г., стр. 1).

(14) Директива 2003/98/ЕO на Европейския парламент и на Съвета от 17 ноември 2003 г. относно повторната употреба на информацията в обществения сектор (ОВ L 345, 31.12.2003 г., стр. 90).

(15) Регламент (ЕС) № 536/2014 на Европейския парламент и на Съвета от 16 април 2014 г. относно клиничните изпитвания на лекарствени продукти за хуманна употреба, и за отмяна на Директива 2001/20/ЕО (ОВ L 158, 27.5.2014 г., стр. 1).

(16) Регламент (ЕО) № 223/2009 на Европейския парламент и на Съвета от 11 март 2009 г. относно европейската статистика и за отмяна на Регламент (ЕО, Евратом) № 1101/2008 за предоставянето на поверителна статистическа информация на Статистическата служба на Европейските общности, на Регламент (ЕО) № 322/97 на Съвета относно статистиката на Общността и на Решение 89/382/ЕИО, Евратом на Съвета за създаване на Статистически програмен комитет на Европейските общности (ОВ L 87, 31.3.2009 г., стр. 164).

(17) ОВ C 192, 30.6.2012 г., стр. 7.

(18) Директива 2002/58/ЕО на Европейския парламент и на Съвета от 12 юли 2002 г. относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации (Директива за правото на неприкосновеност на личния живот и електронни комуникации) (ОВ L 201, 31.7.2002 г., стр. 37).

(19) Директива (ЕС) 2015/1535 на Европейския Парламент и на Съвета от 9 септември 2015 г. установяваща процедура за предоставянето на информация в сферата на техническите регламенти и правила относно услугите на информационното общество (ОВ L 241, 17.9.2015 г., стр. 1).

(20) Регламент (ЕО) № 765/2008 на Европейския парламент и на Съвета от 9 юли 2008 г. за определяне на изискванията за акредитация и надзор на пазара във връзка с предлагането на пазара на продукти и за отмяна на Регламент (ЕИО) № 339/93 (ОВ L 218, 13.8.2008 г., стр. 30).

(21) Регламент (ЕО) № 1049/2001 на Европейския парламент и на Съвета от 30 май 2001 г. относно публичния достъп до документи на Европейския парламент, на Съвета и на Комисията (ОВ L 145, 31.5.2001 г., стр. 43).

whereas

(29) За да се създадат стимули за прилагане на псевдонимизация при обработването на лични данни, като същевременно се дава възможност за общ анализ, мерките за псевдонимизация следва да са възможни при един и същи администратор на данни, когато той е взел необходимите технически и организационни мерки, за да се гарантира при съответната обработка, че настоящият регламент е приложен и че допълнителната информация, свързваща личните данни с конкретен субект на данните, се съхранява отделно. Администраторът, който обработва личните данни, следва да посочва упълномощените лица в рамките на същия администратор на данни.

- = -

(32) Съгласие следва да се дава чрез ясно утвърдителен акт, с който да се изразява свободно дадено, конкретно, информирано и недвусмислено заявление за съгласие от страна на субекта на данни за обработване на свързани с него лични данни, например чрез писмена декларация, включително по електронен път, или устна декларация. Това може да включва отбелязване с отметка в поле при посещението на уебсайт в интернет, избиране на технически настройки за услуги на информационното общество или друго заявление или поведение, което ясно показва, че субектът на данни е съгласен с предложеното обработване на неговите лични данни. Поради това мълчанието, предварително отметнатите полета или липсата на действие не следва да представляват съгласие. Съгласието следва да обхваща всички дейности по обработване, извършени за една и съща цел или цели. Когато обработването преследва повече цели, за всички тях следва да бъде дадено съгласие. Ако съгласието на субекта на данни трябва да се даде след искане по електронен път, искането трябва да е ясно, сбито и да не нарушава излишно използването на услугата, за която се предвижда.

- = -

(36) Основното място на установяване на администратор на данни в Съюза следва да бъде мястото в Съюза, където се намира централното му управление в Съюза, освен ако решенията относно целите и средствата за обработването на лични данни не се вземат на друго място на установяване на администратора на данни в Съюза, в който случай това друго място на установяване следва да се счита за основното място на установяване. Основното място на установяване на администратор в Съюза следва да се определя съгласно обективни критерии и следва да означава ефективното и действително упражняване на управленски дейности, определящи основните решения по отношение на целите и средствата за обработване на данни по силата на стабилни договорености. Този критерий не следва да зависи от това дали обработването на лични данни се извършва на това място. Наличието и употребата на технически средства и технологии за обработване на лични данни или дейностите по обработване не представляват сами по себе си основно място на установяване и следователно не са определящи критерии за понятието „основно място на установяване“. Основното място на установяване на обработващия лични данни следва да бъде мястото, където се намира централното му управление в Съюза, а ако няма централно управление в Съюза, мястото в Съюза, където се осъществяват основните дейности по обработването. В случаи, когато участват и администратор, и обработващ лични данни, компетентният водещ надзорен орган следва да остане надзорният орган на държавата членка, в която се намира основното място на установяване на администратора, а надзорният орган на обработващия лични данни следва да се счита за засегнат надзорен орган и този надзорен орган следва да участва в процедурата за сътрудничество, предвидена в настоящия регламент. При всички положения надзорните органи на държавата членка или държавите членки, където е установен обработващият лични данни, не следва да се считат за засегнати надзорни органи, когато проектът за решение засяга единствено администратора. Когато обработването се извършва от група предприятия, основното място на установяване на контролиращото предприятие следва да се счита за основно място на установяване на групата предприятия, с изключение на случаите, в които целите и средствата на обработването на данни се определят от друго предприятие.

- = -

(51) На личните данни, които по своето естество са особено чувствителни от гледна точка на основните права и свободи, се полага специална защита, тъй като контекстът на тяхното обработване би могъл да създаде значителни рискове за основните права и свободи. Посочените лични данни следва да включват личните данни, разкриващи расов или етнически произход, като използването на понятието „расов произход“ в настоящия регламент не означава, че Съюзът приема теориите, които се опитват да установят съществуването на отделни човешки раси. Обработването на снимки не следва систематично да се счита за обработване на специални категории лични данни, тъй като снимките се обхващат от определението за биометрични данни единствено когато се обработват чрез специални технически средства, позволяващи уникална идентификация или удостоверяване на автентичността на дадено физическо лице. Тези лични данни не следва да се обработват, освен ако обработването не е разрешено в определени случаи, предвидени в настоящия регламент, като се има предвид, че в правото на държавите членки могат да бъдат определени специфични разпоредби за защита на данните с цел да се адаптира прилагането на съдържащите се в настоящия регламент правила за спазване на правно задължение или за изпълнение на задача от обществен интерес или свързана с упражняването на официални правомощия, предоставени на администратора на лични данни. В допълнение към конкретните изисквания за такова обработване следва да се прилагат общите принципи и другите правила, залегнали в настоящия регламент, по-специално по отношение на условията за законосъобразно обработване. Дерогации от общата забрана за обработване на такива специални категории лични данни следва изрично да бъдат предвидени, inter alia, когато субектът на данните даде изричното си съгласие или във връзка с конкретни нужди, по-специално когато обработването се извършва в хода на законната дейност на някои сдружения или фондации, чиято цел е да се позволи упражняването на основните свободи.

- = -

(66) С цел утвърждаване на „правото да бъдеш забравен“ в онлайн средата, правото на изтриване следва да бъде разширено, като от администратора, който е направил личните данни обществено достъпни, следва да се изисква да уведоми администраторите, които обработват такива лични данни, да изтрият всякакви връзки към тези лични данни или техните копия или реплики. За тази цел администраторът следва да предприеме разумни мерки, като вземе предвид наличните технологии и средствата на разположение на администратора, в това число технически мерки, за да информира администраторите, които обработват личните данни, за искането на субекта на данните.

- = -

(67) Методите за ограничаване на обработването на лични данни биха могли да включват, inter alia, временно преместване на избраните лични данни в друга система за обработване, прекратяване на достъпа на ползвателите до тях, или временно премахване на публикуваните данни от уебсайт. В автоматизираните регистри на лични данни ограничаването на обработването следва по принцип да бъде осигурено с технически средства, така че личните данни да не подлежат на операции по по-нататъшно обработване и да не могат да се променят. Фактът, че обработването на лични данни е ограничено, следва да бъде ясно посочен в системата.

- = -

(68) С цел допълнително засилване на контрола над собствените данни, когато обработването на лични данни става по автоматичен начин, субектът на данните следва да има и правото да получава отнасящите се до него лични данни, които той е предоставил на администратора, в структуриран, широко използван, пригоден за машинно четене и оперативно съвместим формат, и да ги предава на друг администратор. Администраторите следва да бъдат насърчавани да разработват оперативно съвместими формати, които позволяват преносимост на данните. Това право следва да се прилага, когато субектът на данни е предоставил личните данни въз основа на собственото си съгласие или обработването е необходимо поради договорно задължение. Правото не следва да се прилага, когато обработването се базира на правно основание, различно от съгласие или договор. Поради самото си естество това право не следва да бъде упражнявано по отношение на администратори, обработващи данни в изпълнение на обществените си задължения. Ето защо това право не следва да се прилага, когато обработването на личните данни е необходимо за спазване на правно задължение, на което е подчинен администраторът, или за изпълнение на задача от обществен интерес, или при упражняване на официално правомощие, предоставено на администратора. Правото на субекта на данни да предава или получава отнасящи се до него лични данни не следва да поражда задължение за администраторите да възприемат или поддържат технически съвместими системи за обработване. Когато в определен пакет от лични данни е засегнат повече от един субект на данни, правото личните данни да бъдат получавани следва да не засяга правата и свободите на други субекти на данни в съответствие с настоящия регламент. Освен това, това право не следва да засяга правото на субекта на данни на изтриване на лични данни и ограниченията на това право, както е посочено в настоящия регламент, и по-специално не следва да включва изтриването на лични данни относно субекта на данните, които той е предоставил в изпълнение на договор, в степента и за сроковете, за които личните данни са необходими за изпълнението на този договор. Когато това е технически осъществимо, субектът на данни следва да има право на пряко прехвърляне на личните данни от един администратор към друг.

- = -

(78) Защитата на правата и свободите на физическите лица с оглед на обработването на лични данни изисква приемане на подходящи технически и организационни мерки, за да се гарантира изпълнението на изискванията на настоящия регламент. За да може да докаже съответствието с настоящия регламент, администраторът следва да приеме вътрешни политики и да приложи мерки, които отговарят по-специално на принципите за защита на данните на етапа на проектирането и защита на данните по подразбиране. Такива мерки могат да се изразяват, inter alia, в свеждане до минимум на обработването на лични данни, псевдонимизиране на лични данни на възможно най-ранен етап, прозрачност по отношение на функциите и обработването на лични данни, създаване на възможност за субекта на данни да наблюдава обработването на данни, възможност за администратора да създава и подобрява елементите на сигурността. При разработването, проектирането, подбора и използването на приложения, услуги и продукти, които се основават на обработване на лични данни или обработват лични данни, за да изпълнят функцията си, производителите на продукти, услуги и приложения следва да бъдат насърчавани да вземат предвид правото на защита на лични данни при разработването и проектирането на такива продукти, услуги и приложения и като отчитат надлежно достиженията на техническия прогрес, да се уверят, че администраторите и обработващите лични данни са в състояние да изпълняват своите задължения за защита на данните. Принципите на защита на данните на етапа на проектирането и по подразбиране следва да се вземат предвид и в контекста на процедурите за възлагане на обществени поръчки.

- = -

(81) За да се гарантира спазването на изискванията на настоящия регламент по отношение на обработването, извършвано от обработващия лични данни от името на администратора, когато на обработващия се възлагат дейности по обработването, администраторът следва да използва само такива обработващи лични данни, които предоставят достатъчни гаранции, по-специално по отношение на експертни знания, надеждност и ресурси, че ще предприемат технически и организационни мерки, които отговарят на изискванията на настоящия регламент, включително на изискванията за сигурността на обработването. Придържането от страна на обработващия лични данни към одобрен кодекс на поведение или одобрен механизъм за сертифициране може да се използва като елемент за доказване, че са спазени задълженията на администратора. Извършването на обработването от обработващ лични данни следва да се урежда с договор или друг правен акт, съгласно правото на Съюза или правото на държава членка, който обвързва обработващия лични данни с администратора, регламентира предмета и продължителността на обработването, естеството и целите на обработването, вида лични данни и категориите субекти на данни, като се вземат предвид конкретните задачи и отговорности на обработващия лични данни в контекста на обработването, което следва да се извърши, както и рискът за правата и свободите на субекта на данни. Администраторът и обработващият лични данни могат да изберат да използват индивидуален договор или стандартни договорни клаузи, приети или пряко от Комисията, или от надзорен орган в съответствие с механизма за съгласуваност и впоследствие приети от Комисията. След приключване на обработването от името на администратора, обработващият личните данни следва, по избор на администратора, да ги върне или заличи, освен ако не е налице изискване за съхраняване на личните данни по силата на правото на Съюза или правото на държава членка, което се прилага спрямо обработващия лични данни.

- = -

(83) С цел да се поддържа сигурността и да се предотврати обработване, което е в нарушение на настоящия регламент, администраторът или обработващият лични данни следва да извърши оценка на рисковете, свързани с обработването, и да предприеме мерки за ограничаване на тези рискове, например криптиране. Тези мерки следва да гарантират подходящо ниво на сигурност, включително поверителност, като се вземат предвид достиженията на техническия прогрес и разходите по изпълнението спрямо рисковете и естеството на личните данни, които трябва да бъдат защитени. При оценката на риска за сигурността на данните следва да се разгледат рисковете, произтичащи от обработването на лични данни, като случайно или неправомерно унищожаване, загуба, промяна, неправомерно разкриване, или достъп до предадени, съхранявани или обработвани по друг начин лични данни, което може по-конкретно да доведе до физически, материални или нематериални вреди.

- = -

(88) При установяване на подробни правила за формàта и процедурите, приложими за уведомяването за нарушения на сигурността на личните данни, следва да се отдаде необходимото внимание на обстоятелствата, свързани с нарушението, включително дали личните данни са били защитени чрез подходящи технически мерки за защита, ефективно ограничаващи вероятността за измама с фалшива самоличност или други форми на злоупотреба. Освен това при такива правила и процедури следва да се отчитат законните интереси на правоприлагащите органи, когато ранното разкриване може ненужно да попречи при разследването на обстоятелствата, свързани с нарушението на сигурността на личните данни.

- = -

(91) Това следва да се прилага по-специално за широкомащабни операции по обработване, чиято цел е обработване на значителен обем лични данни на регионално, национално и наднационално равнище, които биха могли да засегнат голям брой субекти на данни и които е вероятно да доведат до висок риск, например поради чувствителното си естество, когато в съответствие с постигнатото ниво на технически познания се използва нова технология в голям мащаб, както и за други операции по обработване, които пораждат висок риск за правата и свободите на субектите на данни, по-специално когато тези операции затрудняват субектите на данни да упражняват правата си. Оценка на въздействието върху защитата на данни следва да се извършва и когато личните данни се обработват с цел вземане на решения относно конкретни физически лица след систематична и обстойна оценка на личните аспекти, свързани с физически лица, въз основа на профилирането на тези данни или след обработването на специални категории лични данни, биометрични данни или данни за присъди и нарушения или свързани с това мерки за сигурност. Оценка на въздействието върху защитата на данните се изисква също за широкомащабно наблюдение на публично достъпни зони, особено когато се използват оптичноелектронни уреди, или за всякакви други операции, когато компетентният надзорен орган счита, че има вероятност обработването да доведе до висок риск за правата и свободите на субектите на данни, по-специално поради това, че възпрепятстват субектите на данни да упражняват дадено право или да използват някоя услуга или договор, или поради това, че се извършват систематично в голям мащаб. Обработването на лични данни не следва да се счита за широкомащабно, ако засяга лични данни на пациенти или клиенти на отделен лекар, друг здравен работник или адвокат. В такива случаи оценката на въздействието върху защитата на данните не следва да бъде задължителна.

- = -

(156) Обработването на лични данни за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели следва да се извършва при прилагане на подходящи гаранции за правата и свободите на субекта на данните в съответствие с настоящия регламент. Посочените гаранции следва да осигурят наличието на технически и организационни мерки, по-специално с оглед на спазването на принципа за свеждане на данните до минимум. По-нататъшното обработване на лични данни за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели се извършва, когато администраторът е преценил възможността за постигане на тези цели чрез обработването на лични данни, които не позволяват или повече не позволяват идентифицирането на субекта на данните, при условие че съществуват подходящи гаранции (като напр. псевдонимизацията на данните). Държавите членки следва да предвидят подходящи гаранции за обработването на лични данни за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели. На държавите членки следва да бъде разрешено да предвиждат, при конкретни условия, при прилагане на подходящи гаранции за субектите на данни, спецификации и дерогации по отношение на изискванията за информация и правото на коригиране, на изтриване на лични данни, на това „да бъдеш забравен“, на ограничаване на обработването, на преносимост на данните и на възражение при обработването на лични данни за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели. Въпросните условия и гаранции могат да доведат до въвеждане на конкретни процедури, за да могат субектите на данни да упражнят тези права, ако това е подходящо с оглед на целите на конкретното обработване, както и до въвеждането на технически и организационни мерки, така че да се сведе до минимум обработването на лични данни в съответствие с принципите на пропорционалност и необходимост. Обработването на лични данни за научни цели следва да съответства и на друго приложимо към този въпрос законодателство, например относно клиничните изпитвания.

- = -

(168) Процедурата по разглеждане следва да се използва за приемането на актове за изпълнение относно стандартни договорни клаузи между администратори и обработващи лични данни и между самите обработващи лични данни, кодекси на поведение; технически стандарти и механизми за сертифициране; адекватното ниво на защита на данните, осигурявано от дадена трета държава, територия или конкретен сектор в тази трета държава, или международна организация; стандартни клаузи за защита; формати и процедури за обмена на информация чрез електронни средства между администраторите, обработващите лични данни и надзорните органи за задължителните фирмени правила; взаимопомощ; и договорености за обмена на информация чрез електронни средства между надзорните органи, както и между надзорните органи и Комитета по защита на данните.

- = -

dal 2004 diritto e informatica