interactive GDPR 2016/0679 BG

1. Забранява се обработването на лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице.

2. Параграф 1 не се прилага, ако е налице едно от следните условия:

a)	субектът на данни е дал своето изрично съгласие за обработването на тези лични данни за една или повече конкретни цели, освен когато в правото на Съюза или правото на държава членка се предвижда, че посочената в параграф 1 забрана не може да бъде отменена от субекта на данни;

б)

обработването е необходимо за целите на изпълнението на задълженията и упражняването на специалните права на администратора или на субекта на данните по силата на трудовото право и правото в областта на социалната сигурност и социалната закрила, дотолкова, доколкото това е разрешено от правото на Съюза или правото на държава членка, или съгласно колективна договореност в съответствие с правото на държава членка, в което се предвиждат подходящи гаранции за основните права и интересите на субекта на данните;

в)	обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице, когато субектът на данните е физически или юридически неспособен да даде своето съгласие;

г)

обработването се извършва при подходящи гаранции в хода на законните дейности на фондация, сдружение или друга структура с нестопанска цел, с политическа, философска, религиозна или синдикална цел, при условие че обработването е свързано единствено с членовете или бившите членове на тази структура или с лица, които поддържат редовни контакти с нея във връзка с нейните цели, и че личните данни не се разкриват без съгласието на субектите на данните;

д)	обработването е свързано с лични данни, които явно са направени обществено достояние от субекта на данните;

е)	обработването е необходимо с цел установяване, упражняване или защита на правни претенции или винаги, когато съдилищата действат в качеството си на правораздаващи органи;

ж)

обработването е необходимо по причини от важен обществен интерес на основание правото на Съюза или правото на държава членка, което е пропорционално на преследваната цел, зачита същността на правото на защита на данните и предвижда подходящи и конкретни мерки за защита на основните права и интересите на субекта на данните;

з)

обработването е необходимо за целите на превантивната или трудовата медицина, за оценка на трудоспособността на служителя, медицинската диагноза, осигуряването на здравни или социални грижи или лечение, или за целите на управлението на услугите и системите за здравеопазване или социални грижи въз основа на правото на Съюза или правото на държава членка или съгласно договор с медицинско лице и при условията и гаранциите, посочени в параграф 3;

и)

обработването е необходимо от съображения от обществен интерес в областта на общественото здраве, като защитата срещу сериозни трансгранични заплахи за здравето или осигуряването на високи стандарти за качество и безопасност на здравните грижи и лекарствените продукти или медицинските изделия, въз основа на правото на Съюза или правото на държава членка, в което са предвидени подходящи и конкретни мерки за гарантиране на правата и свободите на субекта на данните, по-специално опазването на професионална тайна;

й)

обработването е необходимо за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели съгласно член 89, параграф 1, на основание правото на Съюза или правото на държава членка, което е пропорционално на преследваната цел, зачита същността на правото на защита на данните и предвижда подходящи и конкретни мерки за защита на основните права и интересите на субекта на данните.

3. Личните данни, посочени в параграф 1, могат да бъдат обработвани за целите, посочени в параграф 2, буква з), когато въпросните данни се обработват от или под ръководството на професионален работник, обвързан от задължението за професионална тайна по силата на правото на Съюза или правото на държавата членка или правилата, установени от националните компетентни органи или от друго лице, също обвързано от задължение за тайна по силата на правото на Съюза или правото на държавата членка или правилата, установени от националните компетентни органи.

4. Държавите членки могат да запазят или да въведат допълнителни условия, включително и ограничения, по отношение на обработването на генетични данни, биометрични данни или данни за здравословното състояние.

Член 14

Информация, предоставяна, когато личните данни идват от субекта на данните

1. Когато личните данни не са получени от субекта на данните, администраторът предоставя на субекта на данните следната информация:

a)	данните, които идентифицират администратора и координатите за връзка с него и, когато е приложимо, тези на представителя на администратора;

б)	координатите за връзка с длъжностното лице по защита на данните, когато е приложимо;

в)	целите на обработването, за което личните данни са предназначени, както и правното основание за обработването;

г)	съответните категории лични данни;

д)	получателите или категориите получатели на личните данни, ако има такива;

е)

когато е приложимо, намерението на администратора да предаде данните на трета държава или на международна организация, и наличието или отсъствието на решение на Комисията относно адекватното ниво на защита или в случай на предаване на данни съгласно член 46 или 47, или член 49, параграф 1, втора алинея с позоваване на подходящите или приложимите гаранции и средствата за получаване на копие от тях или на информация къде са налични.

2. Освен информацията, посочена в параграф 1, администраторът предоставя на субекта на данните следната информация, необходима за осигуряване на добросъвестно и прозрачно обработване на данните по отношение на субекта на данните:

а)	срока, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определяне на този срок;

б)	когато обработването се извършва въз основа на член 6, параграф 1, буква е), законните интереси, преследвани от администратора или от трета страна;

в)	съществуването на право да се изиска от администратора достъп до, коригиране или изтриване на лични данни, свързани със субекта на данните, или ограничаване на обработването, и правото да се направи възражение срещу обработването, както и правото на преносимост на данните;

г)	когато обработването се основава на член 6, параграф 1, буква а) или член 9, параграф 2, буква а), съществуването на право на оттегляне на съгласието по всяко време, без да се засяга законосъобразността на обработването въз основа на съгласие, преди то да бъде оттеглено;

д)	правото на жалба до надзорен орган;

е)	източника на личните данни и, ако е приложимо, дали данните са от публично достъпен източник;

ж)	съществуването на автоматизирано вземане на решения, включително профилирането, посочено в член 22, параграфи 1 и 4, и поне в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните.

3. Администраторът предоставя информацията, посочена в параграфи 1 и 2:

a)	в разумен срок след получаването на личните данни, но най-късно в срок до един месец, като се отчитат конкретните обстоятелства, при които личните данни се обработват;

б)	ако данните се използват за връзка със субекта на данните, най-късно при осъществяване на първия контакт с този субект на данните; или

в)	ако е предвидено разкриване пред друг получател, най-късно при разкриването на личните данни за първи път.

4. Когато администраторът възнамерява да обработва личните данни по-нататък за цел, различна от тази, за която са събрани, той предоставя на субекта на данните преди това по-нататъшно обработване информация за тази друга цел и всякаква друга необходима информация, както е посочено в параграф 2.

5. Параграфи 1-4 не се прилагат, когато и доколкото:

a)	субектът на данните вече разполага с информацията;

б)

предоставянето на такава информация се окаже невъзможно или изисква несъразмерно големи усилия; по-специално за обработване на данни за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели, при спазване на условията и гаранциите по член 89, параграф 1, или доколкото съществува вероятност задължението, посочено в параграф 1 от настоящия член, да направи невъзможно или сериозно да затрудни постигането на целите на това обработване. В тези случаи администраторът взема подходящи мерки за защита на правата, свободите и законните интереси на субекта на данните, което включва и предоставяне на публичен достъп до информацията;

в)	получаването или разкриването е изрично разрешено от правото на Съюза или правото на държавата членка, което се прилага спрямо администратора и в което се предвиждат също подходящи мерки за защита на легитимните интереси на субекта на данните; или

г)	личните данни трябва да останат поверителни при спазване на задължение за опазване на професионална тайна, което се урежда от правото на Съюза или право на държава членка, включително законово задължение за поверителност.

Член 26

Съвместни администратори

1. Когато двама или повече администратори съвместно определят целите и средствата на обработването, те са съвместни администратори. Те определят по прозрачен начин съответните си отговорности за изпълнение на задълженията по настоящия регламент, по-специално що се отнася до упражняването на правата на субекта на данни и съответните им задължения за предоставяне на информацията, посочена в членове 13 и 14, посредством договореност помежду си, освен ако и доколкото съответните отговорности на администраторите не са определени от правото на Съюза или правото на държава членка, което се прилага спрямо администраторите. В договореността може да се посочи точка за контакт за субектите на данни.

2. Договореността, посочена в параграф 1, надлежно отразява съответните роли и връзки на съвместните администратори спрямо субектите на данни. Съществените характеристики на договореността са достъпни за субекта на данните.

3. Независимо от условията на договореността, посочена в параграф 1, субектът на данни може да упражнява своите права по настоящия регламент по отношение на всеки и срещу всеки от администраторите.

Член 28

Обработващ личните данни

1. Когато обработването се извършва от името на даден администратор, администраторът използва само обработващи лични данни, които предоставят достатъчни гаранции за прилагането на подходящи технически и организационни мерки по такъв начин, че обработването да протича в съответствие с изискванията на настоящия регламент и да осигурява защита на правата на субектите на данни.

2. Обработващият данни не включва друг обработващ данни без предварителното конкретно или общо писмено разрешение на администратора. В случай на общо писмено разрешение, обработващият данни винаги информира администратора за всякакви планирани промени за включване или замяна на други лица, обработващи данни, като по този начин даде възможност на администратора да оспори тези промени.

3. Обработването от страна на обработващия лични данни се урежда с договор или с друг правен акт съгласно правото на Съюза или правото на държава членка, който е задължителен за обработващия лични данни спрямо администратора, и който регламентира предмета и срока на действие на обработването, естеството и целта на обработването, вида лични данни и категориите субекти на данни и задълженията и правата на администратора. В този договор или друг правен акт се предвижда по-специално, че обработващият лични данни:

обработва личните данни само по документирано нареждане на администратора, включително що се отнася до предаването на лични данни на трета държава или международна организация, освен когато е длъжен да направи това по силата на правото на Съюза или правото на държава членка, което се прилага спрямо обработващия лични данни, като в този случай обработващият лични данни информира администратора за това правно изискване преди обработването, освен ако това право забранява такова информиране на важни основания от публичен интерес;

б)	гарантира, че лицата, оправомощени да обработват личните данни, са поели ангажимент за поверителност или са задължени по закон да спазват поверителност;

в)	взема всички необходими мерки съгласно член 32;

г)	спазва условията по параграфи 2 и 4 за включване на друг обработващ лични данни;

д)	като взема предвид естеството на обработването, подпомага администратора, доколкото е възможно, чрез подходящи технически и организационни мерки при изпълнението на задължението на администратора да отговори на искания за упражняване на предвидените в глава III права на субектите на данни;

е)	подпомага администратора да гарантира изпълнението на задълженията съгласно членове 32—36, като отчита естеството на обработване и информацията, до която е осигурен достъп на обработващия лични данни;

ж)	по избор на администратора заличава или връща на администратора всички лични данни след приключване на услугите по обработване и заличава съществуващите копия, освен ако правото на Съюза или правото на държава членка не изисква тяхното съхранение;

з)	осигурява достъп на администратора до цялата информация, необходима за доказване на изпълнението на задълженията, определени в настоящия член, и позволява и допринася за извършването на одити, включително проверки, от страна на администратора или друг одитор, оправомощен от администратора.

Предвид буква з) от първа алинея обработващият лични данни незабавно уведомява администратора, ако според него дадено нареждане нарушава настоящия регламент или други разпоредби на Съюза или на държавите членки относно защитата на данни.

4. Когато обработващ лични данни включва друг обработващ лични данни за извършването на специфични дейности по обработване от името на администратора, чрез договор или друг правен акт съгласно правото на Съюза или правото на държава членка на това друго лице се налагат същите задължения за защита на данните, както задълженията, предвидени в договора или друг правен акт между администратора и обработващия лични данни, както е посочено в параграф 3, по-специално да предостави достатъчно гаранции за прилагане на подходящи технически и организационни мерки, така че обработването да отговаря на изискванията на настоящия регламент. Когато другият обработващ лични данни не изпълни задължението си за защита на данните, първоначалният обработващ данните продължава да носи пълна отговорност пред администратора за изпълнението на задълженията на този друг обработващ лични данни.

5. Придържането на обработващия лични данни към одобрен кодекс за поведение, посочен в член 40 или одобрен механизъм за сертифициране, посочен в член 42 може да се използва като доказателство за предоставянето на достатъчно гаранции съгласно параграфи 1 и 4 от настоящия член.

6. Без да се засягат разпоредбите на индивидуален договор между администратора и обработващия лични данни, договорът или другият правен акт, посочени в параграфи 3 и 4 от настоящия член, може да се основават изцяло или отчасти на стандартни договорни клаузи, посочени в параграфи 7 и 8 от настоящия член, включително когато са част от сертифициране, предоставено на администратора или обработващия лични данни съгласно членове 42 и 43.

7. Комисията може да установява стандартни договорни клаузи по въпроси, посочени в параграфи 3 и 4 от настоящия член, и в съответствие с процедурата по разглеждане, посочена в член 93, параграф 2.

8. Надзорният орган може да приема стандартни договорни клаузи по въпросите, посочени в параграфи 3 и 4 от настоящия член, и в съответствие с механизма за съгласуваност, посочен в член 63.

9. Договорът или другият правен акт, посочен в параграфи 3 и 4, се изготвят в писмена форма, включително в електронна форма.

10. Без да се засягат членове 82, 83 и 84, ако обработващ лични данни наруши настоящия регламент, определяйки целите и средствата на обработването, обработващият личните данни се счита за администратор по отношение на това обработване.

Член 34

Съобщаване на субекта на данните за нарушение на сигурността на личните данни

1. Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, администраторът, без ненужно забавяне, съобщава на субекта на данните за нарушението на сигурността на личните данни.

2. В съобщението до субекта на данните, посочено в параграф 1 от настоящия член, на ясен и прост език се описва естеството на нарушението на сигурността на личните данни и се посочват най-малко информацията и мерките, посочени в член 33, параграф 3, букви б), в) и г).

3. Посоченото в параграф 1 съобщение до субекта на данните не се изисква, ако някое от следните условия е изпълнено:

администраторът е предприел подходящи технически и организационни мерки за защита и тези мерки са били приложени по отношение на личните данни, засегнати от нарушението на сигурността на личните данни, по-специално мерките, които правят личните данни неразбираеми за всяко лице, което няма разрешение за достъп до тях, като например криптиране;

б)	администраторът е взел впоследствие мерки, които гарантират, че вече няма вероятност да се материализира високият риск за правата и свободите на субектите на данни, посочен в параграф 1;

в)	то би довело до непропорционални усилия. В такъв случай се прави публично съобщение или се взема друга подобна мярка, така че субектите на данни да бъдат в еднаква степен ефективно информирани.

4. Ако администраторът все още не е съобщил на субекта на данните за нарушението на сигурността на личните данни, надзорният орган може, след като отчете каква е вероятността нарушението на сигурността на личните данни да породи висок риск, да изиска от администратора да съобщи за нарушението или да реши, че е изпълнено някое от условията по параграф 3.

Раздел 3

Оценка на въздействието върху защитата на данните и предварителни консултации

Член 40

Кодекси за поведение

1. Държавите членки, надзорните органи, Комитетът и Комисията насърчават изготвянето на кодекси за поведение, които имат за цел да допринесат за правилното прилагане на настоящия регламент, като се отчитат специфичните характеристики на различните обработващи данни сектори и конкретните нужди на микропредприятията, малките и средните предприятия.

2. Сдруженията и други структури, представляващи категории администратори или обработващи лични данни, могат да изготвят кодекси за поведение или да изменят или допълват такива кодекси с цел да бъде уточнено прилагането на настоящия регламент, като по отношение на:

a)	добросъвестното и прозрачно обработване;

б)	законните интереси, преследвани от администраторите в конкретни аспекти;

в)	събирането на лични данни;

г)	псевдонимизацията на лични данни;

д)	информирането на обществеността и на субектите на данни;

е)	упражняването на правата на субектите на данни;

ж)	информирането и закрилата на децата и начина за получаване на съгласие от носещите родителска отговорност за детето;

з)	мерките и процедурите, посочени в членове 24 и 25, и мерките за осигуряване на посочената в член 32 сигурност на обработването;

и)	уведомяването на надзорните органи за нарушения на сигурността на личните данни и съобщаването за такива нарушения на сигурността на личните данни на субектите на данни;

й)	предаването на лични данни на трети държави или международни организации; или

к)	извънсъдебните производства и другите процедури за разрешаване на спорове между администраторите и субектите на данни по отношение на обработването, без да се засягат правата на субектите на данни съгласно членове 77 и 79.

3. Освен спазването на настоящия регламент от администратора или обработващия лични данни, към които се прилага настоящият регламент, кодекси за поведение, одобрени съгласно параграф 5 от настоящия член и общовалидни съгласно параграф 9 от настоящия член, могат също така да се прилагат към администратори или обработващи лични данни, непопадащи в обхвата на настоящия регламент съгласно член 3, с цел да се осигурят подходящи гаранции в рамките на предаването на лични данни на трети държави или международни организации съгласно условията, посочени в член 46, параграф 2, буква д). Тези администратори или обработващи лични данни поемат задължителни ангажименти с изпълнителна сила, чрез договорни или други инструменти със задължителен характер, да прилагат тези подходящи гаранции, включително по отношение на правата на субектите на данни.

4. Кодексът за поведение, посочен в параграф 2 от настоящия член съдържа механизми, които позволяват на посочения в член 41, параграф 1 орган да извършва задължителното наблюдение на спазването на неговите разпоредби от администраторите или обработващите лични данни, които приемат да го прилагат, без да се засягат задълженията и правомощията на надзорните органи, компетентни по силата на член 55 или 56.

5. Сдруженията и другите структури, посочени в параграф 2 от настоящия член, които възнамеряват да изготвят кодекс за поведение или да изменят или допълнят съществуващ кодекс, представят проекта на кодекс, негово изменение или допълнение на надзорния орган, който е компетентен съгласно член 55 Надзорният орган дава становище дали проектът за кодекс, негово изменение или допълнение съответстват на настоящия регламент и одобрява този проект на кодекс, негово изменение или допълнение, ако установи, че той осигурява достатъчно подходящи гаранции.

6. Когато проектът на кодекс, негово изменение или допълнение е одобрено в съответствие с параграф 5 и когато съответният кодекс за поведение няма отношение към дейности по обработване в няколко държави членки, надзорният орган регистрира и публикува кодекса.

7. Ако проект на кодекс за поведение има отношение към дейности по обработване в няколко държави членки, надзорният орган, който е компетентен съгласно член 55, преди одобряването на проекта на кодекс, негово изменение или допълнение, го представя, по посочената в член 63 процедура, на Комитета, който дава становище дали проектът на кодекс, негово изменение или допълнение съответстват на настоящия регламент, или, в случаите, посочени в параграф 3 от настоящия член, осигуряват подходящи гаранции.

8. Ако посоченото в параграф 7 становище потвърди, че проектът на кодекс, негово изменение или допълнение съответстват на настоящия регламент или, в случаите, посочени в параграф 3, осигуряват подходящи гаранции, Комитетът представя становището си на Комисията.

9. Комисията може чрез актове за изпълнение да реши дали одобрения кодек за поведение, негово изменение или допълнение, който ѝ е представен по силата на параграф 8 от настоящия член, е общовалиден в рамките на Съюза. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 93, параграф 2.

10. Комисията осигурява подходяща публичност на одобрените кодекси, за които е решено, че са общовалидни в съответствие с параграф 9.

11. Комитетът събира всички одобрени кодекси за поведение, техните изменения и допълнения в регистър и ги прави обществено достъпни чрез всички подходящи средства.

Член 41

Наблюдение на одобрените кодекси за поведение

1. Без да се засягат задачите и правомощията на компетентния надзорен орган по членове 57 и 58, наблюдението на спазването на даден кодекс за поведение съгласно член 40 може да се осъществява от орган, който има съответното ниво на опит във връзка с предмета на кодекса и е акредитиран за тази цел от компетентния надзорен орган.

2. Посоченият в параграф 1 орган може да бъде акредитиран да наблюдава съответствието с кодекс за поведение, ако:

a)	е доказал в задоволителна степен пред компетентния надзорен орган своята независимост и опит във връзка с предмета на кодекса;

б)	е установил процедури, даващи му възможност да направи оценка на допустимостта на съответните администратори и обработващи лични данни да прилагат кодекса, да наблюдава дали те спазват разпоредбите на кодекса и периодично да прави преглед на неговото функциониране;

в)

е установил процедури и структури за обработване на жалби за нарушения на кодекса или за начина, по който кодексът е бил приложен или се прилага от администратор или обработващ лични данни, и за прозрачното довеждане на тези процедури и структури до знанието на субектите на данни и обществеността; и

г)	демонстрира в задоволителна степен пред компетентния надзорен орган, че задачите и задълженията му не водят до конфликт на интереси.

3. Компетентният надзорен орган представя проектокритериите за акредитацията на орган по параграф 1 от настоящия член на Комитета в съответствие с посочения в член 63 механизъм за съгласуваност.

4. Без да се засягат задачите и правомощията на компетентния надзорен орган и разпоредбите на глава VIII, при наличие на адекватни предпазни мерки орган, посочен в параграф 1 от настоящия член, предприема съответните действия в случай на нарушение на кодекса от страна на администратор или обработващ лични данни, включително като суспендира членството в кодекса или изключва от него съответния администратор или обработващ лични данни. Той информира компетентния надзорен орган за тези действия и за мотивите, с които са предприети.

5. Компетентният надзорен орган анулира акредитацията на орган по параграф 1, ако условията за акредитация не са били спазени или вече не се спазват или ако предприетите от органа действия нарушават настоящия регламент.

6. Настоящият член не се прилага по отношение на обработване, извършвано от публичните власти и органи.

Член 42

Сертифициране

1. Държавите членки, надзорните органи, Комитетът по защита на данните и Комисията насърчават, особено на равнището на Съюза, създаването на механизми за сертифициране за защита на данните и на печати и маркировки за защита на данните с цел да се демонстрира спазването на настоящия регламент при операциите по обработване от страна на администраторите и обработващите лични данни. Отчитат се конкретните нужди на микропредприятията, на малките и средните предприятия.

2. Освен спазването на настоящия регламент от администратора или обработващия лични данни, към които се прилага настоящият регламент, може да се установяват механизми за сертифициране, печати или маркировки за защита на данните, одобрени съгласно параграф 5 от настоящия член, с цел да се демонстрира наличието на подходящи гаранции, осигурени от администраторите и обработващите лични данни, които не са обект на настоящия регламент съгласно член 3, в рамките на предаването на лични данни на трети държави или международни организации съгласно условията, посочени в член 46, параграф 2, буква е). Тези администратори или обработващи лични данни поемат задължителни ангажименти с изпълнителна сила, чрез договорни или други инструменти със задължителен характер, да прилагат тези подходящи гаранции, включително по отношение на правата на субектите на данни.

3. Сертифицирането е доброволно и е достъпно чрез процедура, която е прозрачна.

4. Сертифицирането по настоящия член не води до намаляване на отговорността на администратора или на обработващия лични данни за спазване на настоящия регламент и не засяга задачите и правомощията на надзорните органи, които са компетентни съгласно член 55 или член 56.

5. Сертифицирането по силата на настоящия член се издава от сертифициращите органи, посочени в член 43, или от компетентния надзорен орган, въз основа на критериите, одобрени от компетентния надзорен орган съгласно член 58, параграф 3, или, от Комитета съгласно член 63. Когато критериите са одобрени от Комитета, това може да доведе до единно сертифициране — „Европейски печат за защита на данните“.

6 Администраторът или обработващият лични данни, който подлага своето обработване на механизма за сертифициране, осигурява на сертифициращия орган, посочен в член 43, или ако е приложимо — на компетентния надзорен орган, цялата информация и достъп до своите дейности по обработване, които са необходими за извършване на процедурата по сертифициране.

7. Сертификатът се издава на администратора или обработващия лични данни за максимален срок от три години и може да бъде подновен при същите условия, ако съответните изисквания продължават да са спазени. Сертификатът се оттегля, ако е приложимо, от сертифициращите органи, посочени в член 43, или от компетентния надзорен орган, ако изискванията за сертифицирането не са спазени или вече не се спазват.

8. Комитетът обединява всички механизми за сертифициране и всички печати и маркировки за защита на данните в регистър и осигурява публичен достъп до тях по подходящ начин.

Член 43

Сертифициращи органи

1. Без да се засягат задачите и правомощията на компетентния надзорен орган съгласно членове 57 и 58, сертифициращите органи, притежаващи подходящ опит в областта на защитата на данните, след уведомяване на надзорния орган с цел, ако е необходимо, той да може да упражни правомощията си съгласно член 58, параграф 2, буква з), издават и подновяват сертификат.Държавите членки гарантират, че тези сертифициращи органи се акредитират от един или двама от следните органи:

a)	надзорния орган, който е компетентен съгласно член 55 или 56;

б)	националния орган по акредитация, посочен в съответствие с Регламент (ЕО) № 765/2008 на Европейския парламент и на Съвета (20) в съответствие с EN-ISO/IEC 17065/2012 и с допълнителните изисквания, определени от надзорния орган, който е компетентен съгласно член 55 или 56.

2. Сертифициращите органи, посочени в параграф 1, се акредитират в съответствие с посочения параграф само ако:

a)	са доказали в задоволителна степен пред компетентния надзорен орган своята независимост и опит във връзка с предмета на сертифицирането;

б)	са поели ангажимент да спазват критериите, посочени в член 42, параграф 5, и одобрени от надзорния орган, който е компетентен съгласно член 55 или 56, или, от Комитета съгласно член 63;

в)	са установили процедури за издаването, периодичния преглед и отнемането на сертификат, печати и маркировки за защита на данните;

г)

са установили процедури и структури за обработване на жалби за нарушения на сертификата или за начина, по който сертификатът е бил приложен или се прилага от администратора или обработващия лични данни, и за прозрачното довеждане на тези процедури и структури до знанието на субектите на данни и обществеността; и

д)	демонстрират в задоволителна степен пред компетентния надзорен орган, че задачите и задълженията им не водят до конфликт на интереси.

3. Акредитирането на сертифициращите органи, посочени в параграфи 1 и 2 от настоящия член, се извършва на базата на критериите, одобрени от надзорния орган, който е компетентен съгласно член 55 или 56, или, от Комитета съгласно член 63. В случай на акредитация съгласно параграф 1, буква б) от настоящия член, тези изисквания допълват изискванията, предвидени в Регламент (ЕО) № 765/2008 и техническите правила, които описват методите и процедурите на сертифициращите органи.

4. Сертифициращият органи, посочени в параграф 1 отговарят за правилната оценка, която води до сертифициране или отнемане на издаден сертификат, без да се засяга отговорността на администратора или обработващия лични данни за спазването на настоящия регламент. Акредитацията се издава за максимален срок от пет години и може да бъде подновена при същите условия, ако сертифициращият орган отговаря на изискванията, установени в настоящия член.

5. Сертифициращите органи, посочени в параграф 1 представят на компетентните надзорни органи мотивите за издаване или отнемане на съответния сертификат.

6. Изискванията, посочени в параграф 3 от настоящия член, и критериите, посочени в член 42, параграф 5, се оповестяват от надзорния орган в леснодостъпна форма. Надзорните органи също така информират Комитета относно тези изисквания и критерии. Комитетът обединява всички механизми за сертифициране и всички печати за защита на данните в регистър и осигурява публичен достъп до тях по подходящ начин.

7. Без да се засяга глава VIII, компетентният надзорен орган или националният орган по акредитация анулира акредитация на сертифициращ орган, посочен в параграф 1 от настоящия член, ако не са били спазени или вече не се спазват условията за акредитация, или ако предприетите от сертифициращия орган действия нарушават настоящия регламент.

8. На Комисията се предоставя правомощие да приема делегирани актове в съответствие с член 92 с цел уточняване на изискванията, които трябва да бъдат взети предвид по отношение на механизмите за сертифициране за защита на данните, посочени в член 42, параграф 1.

9. Комисията може чрез актове за изпълнение да определя технически стандарти за механизмите за сертифициране и за печатите и маркировките за защита на данните, както и механизми за насърчаване и признаване на тези механизми и на печатите и маркировките. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 93, параграф 2.

ГЛАВА V

Предаване на лични данни на трети държави или международни организации

Член 44

Общ принцип на предаването на данни

Предаване на лични данни, които се обработват или са предназначени за обработване след предаването на трета държава или на международна организация, се осъществява само при условие че са спазени другите разпоредби на настоящия регламент, само ако администраторът и обработващият лични данни спазват условията по настоящата глава, включително във връзка с последващи предавания на лични данни от третата държава или от международната организация на друга трета държава или на друга международна организация. Всички разпоредби на настоящата глава се прилагат, за да се направи необходимото нивото на защита на физическите лица, осигурено от настоящия регламент, да не се излага на риск.

Член 49

Дерогации в особени случаи

1. При липса на решение относно адекватното ниво на защита съгласно член 45, параграф 3 или на подходящи гаранции съгласно член 46, включително задължителни фирмени правила, предаване или съвкупност от предавания на лични данни на трета държава или международна организация се извършва само при едно от следните условия:

a)	субектът на данните изрично е дал съгласието си за предлаганото предаване на данни, след като е бил информиран за свързаните с предаването възможни рискове за субекта на данните поради липсата на решение относно адекватното ниво на защита и на подходящи гаранции;

б)	предаването е необходимо за изпълнението на договор между субекта на данните и администратора или за изпълнението на преддоговорни мерки, взети по искане на субекта на данните;

в)	предаването е необходимо за сключването или изпълнението на договор, сключен в интерес на субекта на данните между администратора и друго физическо или юридическо лице;

г)	предаването е необходимо поради важни причини от обществен интерес;

д)	предаването е необходимо за установяването, упражняването или защитата на правни претенции;

е)	предаването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на други лица, когато субектът на данните е физически или юридически неспособен да даде своето съгласие;

ж)

предаването се извършва от регистър, която съгласно правото на Съюза или правото на държавите членки е предназначена да предоставя информация на обществеността и е достъпна за справка от обществеността по принцип или от всяко лице, което може да докаже, че има законен интерес за това, но само доколкото условията за справка, установени в правото на Съюза или правото на държавите членки, са изпълнени в конкретния случай.

Когато предаването не може да се основава на разпоредба на членове 45 или 46, включително разпоредби относно задължителни фирмени правила, и не е приложима нито една от дерогациите в особени случаи, посочени в първата алинея на настоящия параграф, предаването на данни на трета държава или международна организация може да се извършва само ако предаването не е повторяемо, засяга само ограничен брой субекти на данни, необходимо е за целите на неоспоримите законни интереси, преследвани от администратора, над които не стоят интересите или правата и свободите на субекта на данни и администраторът е оценил всички обстоятелства, свързани с предаването на данните, и въз основа на тази оценка е предоставил подходящи гаранции във връзка със защитата на личните данни. Администраторът уведомява надзорния орган за предаването на данни. В допълнение към предоставянето на информацията, посочена в членове 13 и 14, администраторът информира субекта на данни за предаването, както и за преследваните неоспоримите законни интереси.

2. Предаването съгласно параграф 1, първа алинея, буква ж) не трябва да включва всички лични данни или всички категории лични данни, съдържащи се в регистъра. Когато регистърът е предназначен за справка от лица, които имат законен интерес, предаването се извършва единствено по искане на тези лица или ако те са получателите.

3. Параграф 1, първа алинея, букви а), б) и в) и параграф 1, втора алинея не се прилагат за дейности, извършвани от публичните органи при упражняването на техните публични правомощия.

4. Общественият интерес, посочен в параграф 1, първа алинея, буква г) се признава в правото на Съюза или правото на държавата членка, което се прилага спрямо администратора.

5. При липсата на решение относно адекватното ниво на защита, правото на Съюза или правото на държава членка може, по важни причини от обществен интерес, изрично да определи ограничения за предаването на специални категории данни на трета държава или международна организация. Държавите членки съобщават тези разпоредби на Комисията.

6. Администраторът или обработващият лични данни документира оценката, както и подходящите гаранции по параграф 1, втора алинея от настоящия член в регистрите, посочени в член 30.

Член 54

Правила за създаването на надзорния орган

1. Всяка държава членка урежда със закон всичко от по-долу посоченото:

a)	създаването на всеки надзорен орган;

б)	необходимите квалификации и условия за допустимост за назначаването на членовете на всеки надзорен орган;

в)	правилата и процедурите за назначаването на член или членовете на всеки надзорен орган;

г)

продължителността на мандата на члена или членовете на всеки надзорен орган, която е не по-малко от четири години, с изключение на първите назначения след 24 май 2016 г., някои от които може да са за по-кратък срок, когато това е необходимо, за да се защити независимостта на надзорния орган посредством процедура за постепенно назначаване;

д)	дали и ако да — за колко мандата — се допуска преназначаване на члена или членовете на всеки надзорен орган;

е)

условията, регламентиращи задълженията на члена или членовете и на персонала на всеки надзорен орган, забранените действия, функции и облаги, които са несъвместими с тези задължения по време на мандата и след неговото приключване, и правилата, от които се ръководи прекратяването на трудовите правоотношения.

2. Както по време на мандата си, така и след неговото приключване, членът или членовете и персоналът на всеки надзорен орган, в съответствие с правото на Съюза или правото на държава членка, са обвързани от задължението за опазване на професионална тайна по отношение на всяка поверителна информация, която е стигнала до тяхното знание в хода на изпълнението на техните задачи или упражняването на техните правомощия. По време на техния мандат това задължение за опазване на професионалната тайна се прилага по-специално по отношение на подаването на сигнали от физически лица за нарушения на настоящия регламент.

Раздел 2

Компетентност, задачи и правомощия

Член 62

Съвместни операции на надзорни органи

1. Когато е целесъобразно, надзорните органи провеждат съвместни операции, включително съвместни разследвания и съвместни мерки за изпълнение, в които участват членове или персонал на надзорни органи от други държави членки.

2. Когато администраторът или обработващият лични данни е установен в няколко държави членки или когато има вероятност от операции по обработване на данни да бъдат засегнати съществено значителен брой субекти на данни в повече от една държава членка, надзорният орган на всяка от тези държави членки има право да участва в съвместни операции. Надзорният орган, който е компетентен съгласно член 56, параграф 1 или параграф 4, кани надзорния орган на всяка от тези държави членки да участва в съответните съвместни операции и отговаря незабавно на искането на даден надзорен орган за участие.

3. В съответствие с правото на държавата членка и с разрешението на командироващия надзорен орган надзорният орган може да предостави правомощия, в това число правомощия за разследване, на членовете или персонала на командироващия надзорен орган, участващи в съвместни операции, или, доколкото правото на държавата членка на надзорния орган домакин позволява, да разреши на членовете или персонала на командироващия надзорен орган да упражняват своите правомощия за разследване в съответствие с правото на държавата членка на командироващия надзорен орган. Тези правомощия за разследване могат да се упражняват единствено под ръководството и в присъствието на членове или персонал на надзорния орган домакин. Спрямо членовете и персонала на командироващия надзорен орган се прилага правото на държавата членка на надзорния орган домакин.

4. Когато в съответствие с параграф 1 персонал на командироващ надзорен орган участва в операция в друга държава членка, държавата членка на надзорния орган домакин носи отговорност за действията на този персонал, включително отговорност за всякакви вреди, нанесени от него по време на операцията, в съответствие с правото на държавата членка, на чиято територия се провежда операцията.

5. Държавата членка, на чиято територия е нанесена вредата, поправя тази вреда при условията, приложими към вреди, нанесени от собствения ѝ персонал. Държавата членка на командироващия надзорен орган, чиито служители са причинили вреди на лице на територията на друга държава членка, възстановява изцяло сумите, които последната е изплатила от тяхно име на лицата, които са имали правото да ги получат.

6. Без да се засяга упражняването на правата ѝ по отношение на трети страни и с изключение на параграф 5, всяка държава членка се въздържа в случая, предвиден в параграф 1, да иска обезщетение от друга държава членка за вредите, посочени в параграф 4.

7. Когато се планира съвместна операция и в срок от един месец даден надзорен орган не изпълни задължението, предвидено във второто изречение на параграф 2 от настоящия член, другите надзорни органи могат да приемат временна мярка на територията на своята държава членка в съответствие с член 55. В този случай се счита, че са необходими спешни действия съгласно член 66, параграф 1, което изисква становище или спешно решение със задължителен характер от страна на Комитета в съответствие с член 66, параграф 2.

Раздел 2

Съгласуваност

Член 70

Задачи на Комитета

1. Комитетът осигурява съгласуваното прилагане на настоящия регламент. За тази цел Комитетът по своя собствена инициатива или, ако е целесъобразно, по искане на Комисията, по-специално:

a)	наблюдава и гарантира правилното прилагане на настоящия регламент в случаите, предвидени в членове 64 и 65, без да се засягат задачите на националните надзорни органи;

б)	консултира Комисията по всеки въпрос, свързан със защитата на личните данни в Съюза, включително относно всяко предложено изменение на настоящия регламент;

в)	консултира Комисията относно формàта и процедурите за обмен на информация между администраторите, обработващите лични данни и надзорните органи за задължителните фирмени правила;

г)	издава насоки, препоръки и най-добри практики относно процедурите за изтриване на връзки, копия или преписи на лични данни от обществено достъпни съобщителни услуги, както е посочено в член 17, параграф 2;

д)	разглежда по своя собствена инициатива, по искане на някой от своите членове или по искане на Комисията всеки въпрос, който се отнася до прилагането на настоящия регламент, и издава насоки, препоръки и най-добри практики с цел насърчаване на съгласуваното прилагане на настоящия регламент;

е)	издава насоки, препоръки и най-добри практики в съответствие с буква д) от настоящия параграф за допълнително уточняване на критериите и условията във връзка с решенията, основани на профилиране на данни съгласно член 22, параграф 2;

ж)

издава насоки, препоръки и най-добри практики в съответствие с буква д) от настоящия параграф за установяване на нарушения на сигурността на данните и определяне на ненужното забавяне по член 33, параграфи 1 и 2, както и за определяне на конкретните обстоятелства, при които от администратора или обработващия лични данни се изисква да уведомяват за нарушението на сигурността на личните данни;

з)	издава насоки, препоръки и най-добри практики в съответствие с буква д) от настоящия параграф по отношение на обстоятелствата, при които нарушение на сигурността на личните данни има вероятност да доведе до висок риск за правата и свободите на физическите лица, посочени в член 34, параграф 1;

и)

издава насоки, препоръки и най-добри практики в съответствие с буква д) от настоящия параграф за целите на допълнително уточняване на критериите и изискванията за предаване на лични данни въз основа на задължителни фирмени правила, които се спазват от администраторите, и задължителни фирмени правила, които се спазват от обработващите лични данни, както и на необходимите допълнителни изисквания за осигуряване на защита на личните данни на съответните субекти на данни, посочени в член 47;

й)	издава насоки, препоръки и най-добри практики в съответствие с буква д) от настоящия параграф за целите на допълнително уточняване на критериите и изискванията за предаване на лични данни въз основа на член 49, параграф 1;

к)	изготвя насоки за надзорните органи относно прилагането на мерките, посочени в член 58, параграфи 1, 2 и 3, и определянето на размера на административните наказания „глоба“ или „имуществена санкция“ съгласно член 83;

л)	извършва преглед на практическото прилагане на насоките, препоръките и най-добрите практики, посочени в букви д) и е);

м)	издава насоки, препоръки и най-добри практики в съответствие с буква д) от настоящия параграф за установяване на общи процедури за подаване на сигнали от физически лица за нарушения на настоящия регламент съгласно член 54, параграф 2;

н)	насърчава изготвянето на кодекси на поведение и установяването на механизми за сертифициране за защита на данните и печати и маркировки за защита на данните съгласно членове 40 и 42;

о)	извършва акредитацията на сертифициращи органи и периодичния ѝ преглед съгласно член 43 и поддържа публичен регистър на акредитираните органи съгласно член 43, параграф 6 и на акредитираните администратори и обработващи лични данни, установени в трети държави, съгласно член 42, параграф 7;

п)	уточнява изискванията, посочени в член 43, параграф 3, с оглед на акредитацията на сертифициращи органи съгласно член 42;

р)	предоставя на Комисията становище относно изискванията за сертифициране, посочени в член 43, параграф 8;

с)	предоставя на Комисията становище относно иконите, посочени в член 12, параграф 7;

т)

предоставя на Комисията становище за оценка на адекватността на нивото на защита на данните в трета държава или международна организация, включително за оценка на това дали третата държава, територията или един или повече конкретни сектори в рамките на тази трета държава, или международната организация, са престанали да осигуряват адекватно ниво на защита. За тази цел Комисията предоставя на Комитета цялата необходима документация, включително кореспонденцията с правителството на третата държава, по отношение на тази трета държава, територия или конкретен сектор или с международната организация;

у)	дава становища по проекти за решения на надзорните органи по силата на механизма за съгласуваност, посочен в член 64, параграф 1, по въпроси, изпратени съгласно член 64, параграф 2 и приема решения със задължителен характер съгласно член 65, включително по въпроси, разглеждани съгласно член 66;

ф)	насърчава сътрудничеството и ефективния двустранен и многостранен обмен на информация и добрите практики между надзорните органи;

х)	насърчава общите програми за обучение и улеснява обмена на персонал между надзорните органи и — когато това е целесъобразно —с надзорните органи на трети държави или международни организации;

ц)	насърчава обмена на знания и документация относно законодателството и практиките в областта на защитата на данни с надзорните органи по защита на данните в цял свят;

ч)	дава становища по кодексите за поведение, съставяни на равнището на Съюза в съответствие с член 40, параграф 9; и

ш)	поддържа обществено достъпен електронен регистър на решенията, взети от надзорните органи и съдилищата по въпроси, разглеждани в рамките на механизма за съгласуваност.

2. Когато Комисията поиска съвет от Комитета, тя може да посочи срок, като се взема предвид спешността на въпроса.

3. Комитетът изпраща своите становища, насоки, препоръки и най-добри практики на Комисията и на комитета, посочен в член 93, и ги прави обществено достояние.

4. Комитетът се консултира по целесъобразност със заинтересованите страни и им предоставя възможност да направят коментари в рамките на разумен срок. Без да се засягат разпоредбите на член 76, Комитетът оповестява публично резултатите от процедурата на консултации.

Член 75

Секретариат

1. Комитетът разполага със секретариат, който се осигурява от Европейския надзорен орган по защита на данните.

2. Секретариатът изпълнява задачите си изключително под ръководството на председателя на Комитета.

3. Служителите на Европейския надзорен орган по защита на данните, участващи в изпълнението на задачи, възложени на Комитета с настоящия регламент, са организационно отделени от служителите, участващи в изпълнението на задачи, възложени на Европейския надзорен орган по защита на данните.

4. Когато е целесъобразно, Комитетът и Европейският надзорен орган по защита на данните изготвят и публикуват меморандум за разбирателство за прилагане на настоящия член, в който се определят условията за сътрудничеството помежду им и който се прилага за служителите на Европейския надзорен орган по защита на данните, участващи в изпълнението на задачи, възложени на Комитета с настоящия регламент.

5. Секретариатът предоставя аналитична, административна и логистична подкрепа на Комитета.

6. Секретариатът отговаря по-специално за:

a)	ежедневната работа на Комитета;

б)	комуникацията между членовете на Комитета, неговия председател и Комисията;

в)	комуникацията с други институции и с обществеността;

г)	използването на електронни средства за вътрешна и външна комуникация;

д)	превода на значима информация;

е)	подготовката на заседанията на Комитета и последващите действия във връзка с тях;

ж)	подготовката, изготвянето и публикуването на становища, решения относно уреждането на спорове между надзорни органи и други текстове, приети от Комитета.

Член 82

Право на обезщетение и отговорност за причинени вреди

1. Всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди.

2. Администраторът, участващ в обработването на лични данни, носи отговорност за вреди, произтичащи от извършеното обработване, което нарушава настоящия регламент. Обработващият лични данни носи отговорност за вреди, произтичащи от извършеното обработване, само когато не е изпълнил задълженията по настоящия регламент, конкретно насочени към обработващите лични данни, или когато е действал извън законосъобразните указания на администратора или в противоречие с тях.

3. Администраторът или обработващият лични данни се освобождава от отговорност съгласно параграф 2, ако докаже, че по никакъв начин не е отговорен за събитието, причинило вредата.

4. Когато в една и съща операция по обработване участват повече от един администратор или обработващ лични данни или участват и администратор, и обработващ лични данни, и когато те са отговорни по параграфи 2 и 3 за вреда, причинена от обработването, всеки администратор или обработващ лични данни носи отговорност за цялата вреда, за да се гарантира действително обезщетение на субекта на данни.

5. Когато администратор или обработващ лични данни е изплатил съгласно параграф 4 пълното обезщетение за причинената вреда, той има право да поиска от другите администратори или обработващи лични данни, участвали в същата операция по обработване на лични данни, да му възстановят част от платеното обезщетение, съответстваща на тяхната част от отговорността за причинената вреда в съответствие с условията по параграф 2.

6. Съдебните производства във връзка с упражняването на правото на обезщетение се образуват пред съдилища, компетентни съгласно правото на държавата членка, посочена в член 79, параграф 2.

Член 83

Общи условия за налагане на административни наказания „глоба“ или „имуществена санкция“

1. Всеки надзорен орган гарантира, че наложените административни наказания „глоба“ или „имуществена санкция“ в съответствие с настоящия член за извършени нарушения на настоящия регламент, посочени в параграфи 4, 5 и 6, във всеки конкретен случай са ефективни, пропорционални и възпиращи.

2. В зависимост от обстоятелствата във всеки конкретен случай административните наказания „глоба“ или „имуществена санкция“ се налагат в допълнение към мерките, посочени в член 58, параграф 2, букви а)—з) и й), или вместо тях. Когато се взема решение дали да бъде наложено административно наказание „глоба“ или „имуществена санкция“ и се определя нейният размер, във всеки конкретен случай надлежно се разглеждат следните елементи:

a)	естеството, тежестта и продължителността на нарушението, като се взема предвид естеството, обхватът или целта на съответното обработване, както и броят на засегнатите субекти на данни и степента на причинената им вреда;

б)	дали нарушението е извършено умишлено или по небрежност;

в)	действията, предприети от администратора или обработващия лични данни за смекчаване на последиците от вредите, претърпени от субектите на данни;

г)	степента на отговорност на администратора или обработващия лични данни като се вземат предвид технически и организационни мерки, въведени от тях в съответствие с членове 25 и 32;

д)	евентуални свързани предишни нарушения, извършени от администратора или обработващия лични данни;

е)	степента на сътрудничество с надзорния орган с цел отстраняване на нарушението и смекчаване на евентуалните неблагоприятни последици от него;

ж)	категориите лични данни, засегнати от нарушението;

з)	начина, по който нарушението е станало известно на надзорния орган, по-специално дали и до каква степен администраторът или обработващият лични данни е уведомил за нарушението;

и)	когато на засегнатия администратор или обработващ лични данни преди са налагани мерки, посочени в член 58, параграф 2, във връзка със същия предмет на обработването, дали посочените мерки са спазени;

й)	придържането към одобрени кодекси на поведение съгласно член 40 или одобрени механизми за сертифициране съгласно член 42; и

к)	всякакви други утежняващи или смекчаващи фактори, приложими към обстоятелствата по случая, като пряко или косвено реализирани финансови ползи или избегнати загуби вследствие на нарушението.

3. Ако администратор или обработващ лични данни умишлено или по небрежност наруши няколко разпоредби на настоящия регламент при една и съща операция по обработване или при свързани операции, общият размер на административната глоба или имуществената санкция не може да надвишава сумата, определена за най-тежкото нарушение.

4. Нарушенията на посочените по-долу разпоредби подлежат, в съответствие с параграф 2, на административно наказание „глоба“ или „имуществена санкция“ в размер до 10 000 000 EUR или, в случай на предприятие — до 2 % от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока:

a)	задълженията на администратора и обработващия лични данни съгласно членове 8, 11, 25—39 и 42 и 43;

б)	задълженията на сертифициращия орган съгласно членове 42 и 43;

в)	задълженията на органа за наблюдение съгласно член 41, параграф 4.

5. Нарушенията на посочените по-долу разпоредби подлежат, в съответствие с параграф 2, на административно наказание „глоба“ или „имуществена санкция“ в размер до 20 000 000 EUR или, в случай на предприятие — до 4 % от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока:

a)	основните принципи за обработване на лични данни, включително условията, свързани с даването на съгласие, в съответствие с членове 5, 6, 7 и 9;

б)	правата на субектите на данни съгласно членове 12—22;

в)	предаването на лични данни на получател в трета държава или международна организация съгласно членове 44—49;

г)	всички задължения, произтичащи от правото на държавите членки, приети съгласно глава IX;

д)	неспазване на разпореждане, или на временно или окончателно ограничаване във връзка с обработването или на наложено от надзорния орган преустановяване на потоците от данни съгласно член 58, параграф 2 или непредоставяне на достъп в нарушение на член 58, параграф 1.

6. Неспазването на разпореждане на надзорния орган, както е посочено в член 58, параграф 2, подлежи, в съответствие с параграф 2 от настоящия член, на административно наказание „глоба“ или „имуществена санкция“ в размер до 20 000 000 EUR или, в случай на предприятие — до 4 % от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока.

7. Без да се засягат корективните правомощия на надзорните органи съгласно член 58, параграф 2, всяка държава членка може да определя правила за това дали и до каква степен могат да бъдат налагани административни наказания „глоба“ или „имуществена санкция“ на публични органи и структури, установени в тази държава членка.

8. Упражняването от надзорния орган на правомощията му по настоящия член зависи от съответните процедурни гаранции в съответствие с правото на Съюза и правото на държавата членка, включително ефективна съдебна защита и справедлив съдебен процес.

9. Когато в правната система на държавата членка не са предвидени административни наказания „глоба“ или „имуществена санкция“, настоящият член може да се прилага по такъв начин, че глобата да се инициира от компетентния назорен орган и да се налага от компетентните национални съдилища, като в същото време се гарантира, че тези правни средства за защита са ефективни и имат ефект, равностоен на административните наказания „глоба“ или „имуществена санкция“, налагани от надзорните органи. Във всички случаи наложените глоби или имуществени санкции са ефективни, пропорционални и възпиращи. Посочените държави членки уведомяват Комисията за разпоредбите в правото си, които примат съгласно настоящия параграф, най-късно до 25 май 2018 г., и я уведомяват незабавно за всеки последващ закон за изменение или за всяко изменение, които ги засягат.

Член 89

Гаранции и дерогации, свързани с обработването за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели

1. Обработването за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели подлежи, в съответствие с настоящия регламент, на подходящи гаранции за правата и свободите на субекта на данни. Тези гаранции осигуряват наличието на технически и организационни мерки, по-специално с оглед на спазването на принципа на свеждане на данните до минимум. Мерките могат да включват псевдонимизация, при условие че посочените цели могат да бъдат постигнати по този начин. Когато посочените цели могат да бъдат постигнати чрез по-нататъшно обработване, което не позволява или повече не позволява идентифицирането на субектите на данни, целите се постигат по този начин.

2. Когато личните данни се обработват за научни или исторически изследвания или за статистически цели, правото на Съюза или правото на държава членка може да предвижда дерогации от правата по членове 15, 16, 18 и 21 съобразно условията и гаранциите по параграф 1 от настоящия член, доколкото има вероятност тези права да направят невъзможно или сериозно да затруднят постигането на конкретните цели, и посочените дерогации са необходими за постигането на тези цели.

3. Когато личните данни се обработват за целите на архивирането в обществен интерес, правото на Съюза или правото на държава членка може да предвижда дерогации от правата по членове 15, 16, 18, 19, 20 и 21 съобразно условията и гаранциите по параграф 1 от настоящия член, доколкото има вероятност тези права да направят невъзможно или сериозно да затруднят постигането на конкретните цели, и посочените дерогации са необходими за постигането на тези цели.

4. Когато обработването по параграфи 2 и 3 служи едновременно за друга цел, дерогациите се прилагат единствено за обработване, извършвано за посочените в тези параграфи цели.

Член 91

Съществуващи правила на църкви и религиозни сдружения за защита на данните

1. Когато в дадена държава членка към момента на влизане в сила на настоящия регламент църкви и религиозни сдружения или общности прилагат цялостни правила по отношение на защитата на физическите лица във връзка с обработването, тези съществуващи правила могат да продължат да се прилагат, при условие че са приведени в съответствие с настоящия регламент.

2. Църквите и религиозните сдружения, които прилагат цялостни правила в съответствие с параграф 1 от настоящия член, подлежат на контрол от страна на независим надзорен орган, който може да е специален, при условие че изпълнява условията, предвидени в глава VI от настоящия регламент.

ГЛАВА X

Делегирани актове и актове за изпълнение

Член 99

Влизане в сила и прилагане

1. Настоящият регламент влиза в сила на двадесетия ден след публикуването му в Официален вестник на Европейския съюз.

2. Прилага се от 25 май 2018 година.

Настоящият регламент е задължителен в своята цялост и се прилага пряко във всички държави членки.

Съставено в Брюксел на 27 април 2016 година.

За Европейския парламент

Председател

M. SCHULZ

За Съвета

Председател

J.A. HENNIS-PLASSCHAERT

(1) ОВ C 229, 31.7.2012 г., стр. 90.

(2) ОВ C 391, 18.12.2012 г., стр. 127.

(3) Позиция на Европейския парламент от 12 март 2014 г. (все още непубликувана в Официален вестник) и позиция на Съвета на първо четене от 8 април 2016 г. (все още непубликувана в Официален вестник). Позиция на Европейския парламент от 14 април 2016 г.

(4) Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 г. за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (ОВ L 281, 23.11.1995 г., стр. 31).

(5) Препоръка 2003/361/ЕО на Комисията от 6 май 2003 г. относно дефиницията на микропредприятията, малките и средните предприятия (C(2003) 1422) (ОВ L 124, 20.5.2003 г., стр. 36).

(6) Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета от 18 декември 2000 г. относно защитата на лицата по отношение на обработката на лични данни от институции и органи на Общността и за свободното движение на такива данни (ОВ L 8, 12.1.2001 г., стр. 1).

(7) Директива (EС) 2016/680 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции и относно свободното движение на такива данни за отмяна на Рамково решение 2008/977/ПВР на Съвета (вж. страница 89 от настоящия брой на Официален вестник).

(8) Директива 2000/31/ЕО на Европейския парламент и на Съвета от 8 юни 2000 г. за някои правни аспекти на услугите на информационното общество, и по-специално на електронната търговия на вътрешния пазар (Директива за електронната търговия) (ОВ L 178, 17.7.2000 г., стр. 1).

(9) Директива 2011/24/ЕС на Европейския парламент и на Съвета от 9 март 2011 г. за упражняване на правата на пациентите при трансгранично здравно обслужване (ОВ L 88, 4.4.2011 г., стр. 45).

(10) Директива 93/13/ЕИО на Съвета от 5 април 1993 г. относно неравноправните клаузи в потребителските договори (ОВ L 95, 21.4.1993 г., стр. 29).

(11) Регламент (ЕО) № 1338/2008 на Европейския парламент и на Съвета от 16 декември 2008 г. относно статистиката на Общността в областта на общественото здраве и здравословните и безопасни условия на труд (текст от значение за ЕИП) (ОВ L 354, 31.12.2008 г., стр. 70).

(12) Регламент (ЕС) № 182/2011 на Европейския парламент и на Съвета от 16 февруари 2011 г. за установяване на общите правила и принципи относно реда и условията за контрол от страна на държавите-членки върху упражняването на изпълнителните правомощия от страна на Комисията (ОВ L 55, 28.2.2011 г., стр. 13).

(13) Регламент (ЕС) № 1215/2012 на Европейския парламент и на Съвета от 12 декември 2012 г. относно компетентността, признаването и изпълнението на съдебни решения по граждански и търговски дела (ОВ L 351, 20.12.2012 г., стр. 1).

(14) Директива 2003/98/ЕO на Европейския парламент и на Съвета от 17 ноември 2003 г. относно повторната употреба на информацията в обществения сектор (ОВ L 345, 31.12.2003 г., стр. 90).

(15) Регламент (ЕС) № 536/2014 на Европейския парламент и на Съвета от 16 април 2014 г. относно клиничните изпитвания на лекарствени продукти за хуманна употреба, и за отмяна на Директива 2001/20/ЕО (ОВ L 158, 27.5.2014 г., стр. 1).

(16) Регламент (ЕО) № 223/2009 на Европейския парламент и на Съвета от 11 март 2009 г. относно европейската статистика и за отмяна на Регламент (ЕО, Евратом) № 1101/2008 за предоставянето на поверителна статистическа информация на Статистическата служба на Европейските общности, на Регламент (ЕО) № 322/97 на Съвета относно статистиката на Общността и на Решение 89/382/ЕИО, Евратом на Съвета за създаване на Статистически програмен комитет на Европейските общности (ОВ L 87, 31.3.2009 г., стр. 164).

(17) ОВ C 192, 30.6.2012 г., стр. 7.

(18) Директива 2002/58/ЕО на Европейския парламент и на Съвета от 12 юли 2002 г. относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации (Директива за правото на неприкосновеност на личния живот и електронни комуникации) (ОВ L 201, 31.7.2002 г., стр. 37).

(19) Директива (ЕС) 2015/1535 на Европейския Парламент и на Съвета от 9 септември 2015 г. установяваща процедура за предоставянето на информация в сферата на техническите регламенти и правила относно услугите на информационното общество (ОВ L 241, 17.9.2015 г., стр. 1).

(20) Регламент (ЕО) № 765/2008 на Европейския парламент и на Съвета от 9 юли 2008 г. за определяне на изискванията за акредитация и надзор на пазара във връзка с предлагането на пазара на продукти и за отмяна на Регламент (ЕИО) № 339/93 (ОВ L 218, 13.8.2008 г., стр. 30).

(21) Регламент (ЕО) № 1049/2001 на Европейския парламент и на Съвета от 30 май 2001 г. относно публичния достъп до документи на Европейския парламент, на Съвета и на Комисията (ОВ L 145, 31.5.2001 г., стр. 43).

whereas

(10) За да се гарантира последователно и високо ниво на защита на физическите лица, както и за да се премахнат препятствията пред движението на лични данни в Съюза, нивото на защита на правата и свободите на физическите лица във връзка с обработването на такива данни следва да бъде равностойно във всички държави членки. Следва да се гарантира последователно и еднородно прилагане в рамките на Съюза на правилата за защита на основните права и свободи на физическите лица във връзка с обработването на лични данни. По отношение на обработването на лични данни, необходимо за спазване на правно задължение, за изпълнение на задача от обществен интерес или при упражняване на официалните правомощия, предоставени на администратора на лични данни, на държавите членки следва да се позволи да запазят или да въведат национални разпоредби, които да уточняват по-нататък реда за прилагане на правилата на настоящия регламент. Наред с общите и хоризонтални актове относно защитата на данните, с които се прилага Директива 95/46/EО, държавите членки имат и специално секторно законодателство в области, които се нуждаят от по-специфични разпоредби. Настоящият регламент оставя и известна свобода на действие на държавите членки да конкретизират съдържащите се в него правила, включително по отношение на обработването на специални категории лични данни („чувствителни данни“). В този смисъл настоящият регламент не изключва право на държавите членки, което определя обстоятелствата за специални случаи на обработване, включително по-точно определяне на условията, при които обработването на лични данни е законосъобразно.

- = -

(51) На личните данни, които по своето естество са особено чувствителни от гледна точка на основните права и свободи, се полага специална защита, тъй като контекстът на тяхното обработване би могъл да създаде значителни рискове за основните права и свободи. Посочените лични данни следва да включват личните данни, разкриващи расов или етнически произход, като използването на понятието „расов произход“ в настоящия регламент не означава, че Съюзът приема теориите, които се опитват да установят съществуването на отделни човешки раси. Обработването на снимки не следва систематично да се счита за обработване на специални категории лични данни, тъй като снимките се обхващат от определението за биометрични данни единствено когато се обработват чрез специални технически средства, позволяващи уникална идентификация или удостоверяване на автентичността на дадено физическо лице. Тези лични данни не следва да се обработват, освен ако обработването не е разрешено в определени случаи, предвидени в настоящия регламент, като се има предвид, че в правото на държавите членки могат да бъдат определени специфични разпоредби за защита на данните с цел да се адаптира прилагането на съдържащите се в настоящия регламент правила за спазване на правно задължение или за изпълнение на задача от обществен интерес или свързана с упражняването на официални правомощия, предоставени на администратора на лични данни. В допълнение към конкретните изисквания за такова обработване следва да се прилагат общите принципи и другите правила, залегнали в настоящия регламент, по-специално по отношение на условията за законосъобразно обработване. Дерогации от общата забрана за обработване на такива специални категории лични данни следва изрично да бъдат предвидени, inter alia, когато субектът на данните даде изричното си съгласие или във връзка с конкретни нужди, по-специално когато обработването се извършва в хода на законната дейност на някои сдружения или фондации, чиято цел е да се позволи упражняването на основните свободи.

- = -

(101) Потоци от лични данни към и от страни извън Съюза и международни организации са необходими за разширяването на международната търговия и международното сътрудничество. Нарастването на тези потоци породи нови предизвикателства и опасения във връзка със защитата на личните данни. Когато обаче лични данни се предават от Съюза на администратори, обработващи лични данни или други получатели в трети държави или на международни организации, нивото на защита на физическите лица, гарантирано в Съюза с настоящия регламент, не следва да бъде излагано на риск, включително в случаите на последващо предаване на лични данни от третата държава или международната организация на администратори или обработващи лични данни в същата или друга трета държава или международна организация. Във всеки случай предаването на данни на трети държави и международни организации може да се извършва единствено в пълно съответствие с настоящия регламент. Предаването може да се извършва, само ако администраторът или обработващият лични данни изпълняват условията, установени в разпоредбите на настоящия регламент относно предаването на лични данни на трети държави или международни организации, при спазване на другите разпоредби на настоящия регламент.

- = -

(112) Тези дерогации следва да се прилагат по-специално за предаванията на данни, които се изискват и са необходими по важни причини от обществен интерес, например при международен обмен на данни между органи по защита на конкуренцията, данъчни или митнически власти, органи за финансов надзор, между служби, компетентни по въпросите на социалната сигурност или общественото здраве, например в случай на проследяване на контакти при заразни болести или с цел намаляване и/или премахване на употребата на допинг в спорта. Предаването на лични данни следва също да се разглежда като законосъобразно, когато е необходимо за защитата на интерес от съществено значение за жизненоважни интереси на субекта на данни или на друго лице, включително физическата неприкосновеност или живота, ако субектът на данните не е в състояние да даде съгласие. При липсата на решение относно адекватното ниво на защита, правото на Съюза или правото на държава членка може, по важни причини от обществен интерес, изрично да определи ограничения за предаването на специални категории от данни на трета държава или международна организация. Държавите членки следва да съобщават тези разпоредби на Комисията. Всяко предаване на международна хуманитарна организация на лични данни на субект на данни, който е физически или юридически неспособен да даде своето съгласие, с оглед на изпълнението на задължение по силата на Женевските конвенции, или прилагането на международното хуманитарно право, приложимо в условията на военни конфликти, може да се счита за необходимо поради важна причина от обществен интерес или защото е от жизненоважен интерес за субекта на данни.

- = -

(115) Някои трети държави приемат закони, подзаконови и други правни актове, които имат за цел пряко да регулират дейностите по обработване на данни на физически и юридически лица под юрисдикцията на държавите членки. Това може да включва решения на съдилища или трибунали или решения на административни органи в трети държави, с които от администратора или обработващия лични данни се изисква да предаде или да разкрие лични данни, и които не се основават на международно споразумение, например договор за правна взаимопомощ, което е в сила между третата държава, отправила искането, и Съюза или негова държава членка. Извънтериториалното прилагане на тези закони, подзаконови и други правни актове може да бъде в нарушение на международното право и да възпрепятства осигуряването на защитата на физическите лица, гарантирана в Съюза с настоящия регламент. Предаванията на данни следва да са разрешени само когато са изпълнени условията на настоящия регламент относно предаването на данни на трети държави. Такъв може да бъде случаят, inter alia, когато разкриването е необходимо поради важно основание от обществен интерес, признато в правото на Съюза или в правото на държава членка, на което е подчинен администраторът.

- = -

(143) Всяко физическо или юридическо лице има правото да внася иск за отмяна на решения на Комитета пред Съда при условията, предвидени в член 263 от ДФЕС. Като адресати на тези решения, засегнатите надзорни органи, които желаят да ги оспорят, трябва да внесат иск в срок от два месеца от датата, на която са били уведомени за тях, в съответствие с член 263 от ДФЕС. Когато решенията на Комитета засягат пряко и лично администратора, обработващия личните данни или жалбоподателя, те могат да внесат иск за отмяна на тези решения в срок от два месеца от публикуването им на уебсайта на Комитета, в съответствие с член 263 от ДФЕС. Без да се засяга това право по член 263 от ДФЕС, всяко физическо или юридическо лице има право на ефективни правни средства за защита пред компетентен национален съд срещу решение на надзорен орган, което има правни последици за това лице. Подобно решение се отнася по-специално за упражняването на правомощията за разследване, даване на разрешение и корективните правомощия на надзорния орган или оставянето без разглеждане или отхвърлянето на жалби. Същевременно правото на ефективни правни средства на защита не обхваща мерки, взети от надзорните органи, които не са с правно задължителен характер, като становища или консултации, предоставени от надзорния орган. Производствата срещу надзорния орган следва да се завеждат пред съдилищата на държавата членка, в която е установен надзорният орган, и следва да се водят в съответствие с процесуалното право на тази държава членка. Тези съдилища следва да разполагат с пълна компетентност, която следва да включва компетентност за разглеждане на всички фактически и правни въпроси, свързани с разглеждания спор.

- = -

(155) В правото на държавите членки или в колективните споразумения, включително „трудови споразумения“, могат да се предвиждат специални разпоредби относно обработването на личните данни на наетите лица по трудово или служебно правоотношение, по-специално във връзка с условията, при които личните данни в контекста на трудово или служебно правоотношение могат да бъдат обработвани въз основа на съгласието на наетото лице, за целите на набирането на персонал, изпълнението на трудовия договор, включително изпълнението на задължения, установени със закон или с колективни споразумения, управлението, планирането и организацията на работата, равенството и многообразието на работното място, здравословните и безопасни условия на труд, както и за целите на упражняването и ползването на индивидуална или колективна основа на правата и облагите от заетостта, а също и за целите на прекратяването на трудовото или служебното правоотношение.

- = -

(171) Директива 95/46/ЕО следва да бъде отменена с настоящия регламент. Обработването, което вече е в ход към датата на прилагане на настоящия регламент, следва да се приведе в съответствие с него в срок от две години, след като регламентът влезе в сила. Когато обработването на данни се основава на съгласие по силата на Директива 95/46/ЕО, не е необходимо субектът на данни да дава отново съгласие, ако начинът, по който е заявено съгласието, съответства на условията в настоящия регламент, за да може администраторът да продължи обработването на данни след датата на прилагане на настоящия регламент. Приетите от Комисията решения и разрешенията на надзорните органи въз основа на Директива 95/46/ЕО остават в сила, докато не бъдат изменени, заменени или отменени.

- = -

dal 2004 diritto e informatica