interactive GDPR 2016/0679 BG

„лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;

„обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

3)	„ограничаване на обработването“ означава маркиране на съхранявани лични данни с цел ограничаване на обработването им в бъдеще;

„профилиране“ означава всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение;

„псевдонимизация“ означава обработването на лични данни по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано;

6)	„регистър с лични данни“ означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;

„администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;

8)	„обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;

„получател“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели“; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването;

10)	„трета страна“ означава физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;

11)	„съгласие на субекта на данните“ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;

12)	„нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;

13)

„генетични данни“ означава лични данни, свързани с наследени или придобити генетичните белези на дадено физическо лице, които дават уникална информация за отличителните черти или здравето на това физическо лице и които са получени, по-специално, от анализ на биологична проба от въпросното физическо лице;

14)

„биометрични данни“ означава лични данни, получени в резултат на специфично техническо обработване, които са свързани с физическите, физиологичните или поведенческите характеристики на дадено физическо лице и които позволяват или потвърждават уникалната идентификация на това физическо лице, като лицеви изображения или дактилоскопични данни;

15)	„данни за здравословното състояние“ означава лични данни, свързани с физическото или психическото здраве на физическо лице, включително предоставянето на здравни услуги, които дават информация за здравословното му състояние;

16)

„основно място на установяване“ означава:

по отношение на администратор, установен в повече от една държава членка — мястото, където се намира централното му управление в Съюза, освен в случаите, когато решенията по отношение на целите и средствата за обработването на лични данни се вземат на друго място на установяване на администратора в Съюза и на това място на установяване има правомощия за прилагане на тези решения, в който случай мястото на установяване, където са взети тези решения, се счита за основно място на установяване;

б)

по отношение на обработващ лични данни, установен в повече от една държава членка — мястото, където се намира централното му управление в Съюза, или ако обработващият лични данни няма централно управление в Съюза, мястото на установяване на обработващия лични данни в Съюза, където се осъществяват основните дейности по обработването в контекста на дейностите на дадено място на установяване на обработващия лични данни, доколкото обработващият има специфични задължения съгласно настоящия регламент;

17)	„представител“ означава физическо или юридическо лице, установено в Съюза, което, назначено от администратора или обработващия лични данни в писмена форма съгласно член 27, представлява администратора или обработващия лични данни във връзка със съответните им задължения по настоящия регламент;

18)	„дружество“ означава физическо или юридическо лице, което осъществява икономическа дейност, независимо от правната му форма, включително партньорствата или сдруженията, които редовно осъществяват икономическа дейност;

19)	„група предприятия“ означава контролиращо предприятие и контролираните от него предприятия;

20)

„задължителни фирмени правила“ означава политики за защита на личните данни, които се спазват от администратор или обработващ лични данни, установен на територията на държава членка, при предаване или съвкупност от предавания на лични данни до администратор или обработващ лични данни в една или повече трети държави в рамките на група предприятия или група дружества, участващи в съвместна стопанска дейност;

21)	„надзорен орган“ означава независим публичен орган, създаден от държава членка съгласно член 51;

22)

„засегнат надзорен орган“ означава надзорен орган, който е засегнат от обработването на лични данни, тъй като:

a)	администраторът или обработващият лични данни е установен на територията на държавата членка на този надзорен орган;

б)	субектите на данни с местопребиваване в държавата членка на този надзорен орган са засегнати съществено или е вероятно да бъдат засегнати съществено от обработването; или

в)	до този надзорен орган е подадена жалба;

23)

„трансгранично обработване“ означава или:

a)	обработване на лични данни, което се осъществява в контекста на дейностите на местата на установяване в повече от една държава членка на администратор или обработващ лични данни в Съюза, като администраторът или обработващият лични данни е установен в повече от една държава членка; или

б)	обработване на лични данни, което се осъществява в контекста на дейностите на едно-единствено място на установяване на администратор или обработващ лични данни в Съюза, но което засяга съществено или е вероятно да засегне съществено субекти на данни в повече от една държава членка;

24)

„относимо и обосновано възражение“ означава възражение срещу проект на решение относно това дали е налице нарушение на настоящия регламент или не, или дали предвижданото действие по отношение на администратора или обработващия лични данни отговаря на изискванията на настоящия регламент, което ясно доказва, че проектът за решение води до значителни рискове за основните права и свободи на субектите на данни и, където е приложимо, за свободното движение на лични данни в рамките на Съюза;

25)	„услуга на информационното общество“ означава услуга по смисъла на член 1, параграф 1, точка б) от Директива (ЕС) 2015/1535 на Европейския парламент и на Съвета (19);

26)	„международна организация“ означава организация и нейните подчинени органи, регламентирани от международното публично право, или друг орган, създаден чрез или въз основа на споразумение между две или повече държави.

ГЛАВА II

Принципи

Член 12

Прозрачна информация, комуникация и условия за упражняването на правата на субекта на данни

1. Администраторът предприема необходимите мерки за предоставяне на всякаква информация по членове 13 и 14 и на всякаква комуникация по членове 15—22 и член 34, която се отнася до обработването, на субекта на данните в кратка, прозрачна, разбираема и лесно достъпна форма, на ясен и прост език, особено що се отнася до всяка информация, конкретно насочена към деца. Информацията се предоставя писмено или по друг начин, включително, когато е целесъобразно, с електронни средства. Ако субектът на данните е поискал това, информацията може да бъде дадена устно, при положение че идентичността на субекта на данните е доказана с други средства.

2. Администраторът съдейства за упражняването на правата на субекта на данните по членове 15—22. В случаите, посочени в член 11, параграф 2, администраторът не отказва да предприеме действия по искане на субекта на данните за упражняване на правата му по членове 15—22, освен ако докаже, че не е в състояние да идентифицира субекта на данните.

3. Администраторът предоставя на субекта на данни информация относно действията, предприети във връзка с искане по членове 15—22, без ненужно забавяне и във всички случаи в срок от един месец от получаване на искането. При необходимост този срок може да бъде удължен с още два месеца, като се взема предвид сложността и броя на исканията. Администраторът информира субекта на данните за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето. Когато субектът на данни подава искане с електронни средства, по възможност информацията се предоставя с електронни средства, освен ако субектът на данни не е поискал друго.

4. Ако администраторът не предприеме действия по искането на субекта на данни, администраторът уведомява субекта на данни без забавяне и най-късно в срок от един месец от получаване на искането за причините да не предприеме действия и за възможността за подаване на жалба до надзорен орган и търсене на защита по съдебен ред.

5. Информацията по членове 13 и 14 и всяка комуникация и действия по членове 15—22 и член 34 се предоставят безплатно. Когато исканията на субект на данни са явно неоснователни или прекомерни, по-специално поради своята повторяемост, администраторът може или:

а)	да наложи разумна такса, като взема предвид административните разходи за предоставяне на информацията или комуникацията или предприемането на исканите действия, или

б)	да откаже да предприеме действия по искането.

Администраторът носи тежестта на доказване на явно неоснователния или прекомерен характер на искането.

6. Без да се засягат разпоредбите на член 11, когато администраторът има основателни опасения във връзка със самоличността на физическото лице, което подава искане по членове 15—21, администраторът може да поиска предоставянето на допълнителна информация, необходима за потвърждаване на самоличността на субекта на данните.

7. Информацията, която трябва да се предостави на субектите на данни съгласно членове 13 и 14, може да бъде предоставена в комбинация със стандартизирани икони, чрез което по лесно видим, разбираем и ясно четим начин да се представи смислен преглед на планираното обработване. Ако иконите се представят в електронен вид, те трябва да бъдат машинночитаеми.

8. На Комисията се предоставя правомощието да приема делегирани актове в съответствие с член 92 с цел определяне на информацията, която да бъде представена под формата на икони, и на процедурите за предоставяне на стандартизирани икони.

Раздел 2

Информация и достъп до лични данни

Член 26

Съвместни администратори

1. Когато двама или повече администратори съвместно определят целите и средствата на обработването, те са съвместни администратори. Те определят по прозрачен начин съответните си отговорности за изпълнение на задълженията по настоящия регламент, по-специално що се отнася до упражняването на правата на субекта на данни и съответните им задължения за предоставяне на информацията, посочена в членове 13 и 14, посредством договореност помежду си, освен ако и доколкото съответните отговорности на администраторите не са определени от правото на Съюза или правото на държава членка, което се прилага спрямо администраторите. В договореността може да се посочи точка за контакт за субектите на данни.

2. Договореността, посочена в параграф 1, надлежно отразява съответните роли и връзки на съвместните администратори спрямо субектите на данни. Съществените характеристики на договореността са достъпни за субекта на данните.

3. Независимо от условията на договореността, посочена в параграф 1, субектът на данни може да упражнява своите права по настоящия регламент по отношение на всеки и срещу всеки от администраторите.

Член 40

Кодекси за поведение

1. Държавите членки, надзорните органи, Комитетът и Комисията насърчават изготвянето на кодекси за поведение, които имат за цел да допринесат за правилното прилагане на настоящия регламент, като се отчитат специфичните характеристики на различните обработващи данни сектори и конкретните нужди на микропредприятията, малките и средните предприятия.

2. Сдруженията и други структури, представляващи категории администратори или обработващи лични данни, могат да изготвят кодекси за поведение или да изменят или допълват такива кодекси с цел да бъде уточнено прилагането на настоящия регламент, като по отношение на:

a)	добросъвестното и прозрачно обработване;

б)	законните интереси, преследвани от администраторите в конкретни аспекти;

в)	събирането на лични данни;

г)	псевдонимизацията на лични данни;

д)	информирането на обществеността и на субектите на данни;

е)	упражняването на правата на субектите на данни;

ж)	информирането и закрилата на децата и начина за получаване на съгласие от носещите родителска отговорност за детето;

з)	мерките и процедурите, посочени в членове 24 и 25, и мерките за осигуряване на посочената в член 32 сигурност на обработването;

и)	уведомяването на надзорните органи за нарушения на сигурността на личните данни и съобщаването за такива нарушения на сигурността на личните данни на субектите на данни;

й)	предаването на лични данни на трети държави или международни организации; или

к)	извънсъдебните производства и другите процедури за разрешаване на спорове между администраторите и субектите на данни по отношение на обработването, без да се засягат правата на субектите на данни съгласно членове 77 и 79.

3. Освен спазването на настоящия регламент от администратора или обработващия лични данни, към които се прилага настоящият регламент, кодекси за поведение, одобрени съгласно параграф 5 от настоящия член и общовалидни съгласно параграф 9 от настоящия член, могат също така да се прилагат към администратори или обработващи лични данни, непопадащи в обхвата на настоящия регламент съгласно член 3, с цел да се осигурят подходящи гаранции в рамките на предаването на лични данни на трети държави или международни организации съгласно условията, посочени в член 46, параграф 2, буква д). Тези администратори или обработващи лични данни поемат задължителни ангажименти с изпълнителна сила, чрез договорни или други инструменти със задължителен характер, да прилагат тези подходящи гаранции, включително по отношение на правата на субектите на данни.

4. Кодексът за поведение, посочен в параграф 2 от настоящия член съдържа механизми, които позволяват на посочения в член 41, параграф 1 орган да извършва задължителното наблюдение на спазването на неговите разпоредби от администраторите или обработващите лични данни, които приемат да го прилагат, без да се засягат задълженията и правомощията на надзорните органи, компетентни по силата на член 55 или 56.

5. Сдруженията и другите структури, посочени в параграф 2 от настоящия член, които възнамеряват да изготвят кодекс за поведение или да изменят или допълнят съществуващ кодекс, представят проекта на кодекс, негово изменение или допълнение на надзорния орган, който е компетентен съгласно член 55 Надзорният орган дава становище дали проектът за кодекс, негово изменение или допълнение съответстват на настоящия регламент и одобрява този проект на кодекс, негово изменение или допълнение, ако установи, че той осигурява достатъчно подходящи гаранции.

6. Когато проектът на кодекс, негово изменение или допълнение е одобрено в съответствие с параграф 5 и когато съответният кодекс за поведение няма отношение към дейности по обработване в няколко държави членки, надзорният орган регистрира и публикува кодекса.

7. Ако проект на кодекс за поведение има отношение към дейности по обработване в няколко държави членки, надзорният орган, който е компетентен съгласно член 55, преди одобряването на проекта на кодекс, негово изменение или допълнение, го представя, по посочената в член 63 процедура, на Комитета, който дава становище дали проектът на кодекс, негово изменение или допълнение съответстват на настоящия регламент, или, в случаите, посочени в параграф 3 от настоящия член, осигуряват подходящи гаранции.

8. Ако посоченото в параграф 7 становище потвърди, че проектът на кодекс, негово изменение или допълнение съответстват на настоящия регламент или, в случаите, посочени в параграф 3, осигуряват подходящи гаранции, Комитетът представя становището си на Комисията.

9. Комисията може чрез актове за изпълнение да реши дали одобрения кодек за поведение, негово изменение или допълнение, който ѝ е представен по силата на параграф 8 от настоящия член, е общовалиден в рамките на Съюза. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 93, параграф 2.

10. Комисията осигурява подходяща публичност на одобрените кодекси, за които е решено, че са общовалидни в съответствие с параграф 9.

11. Комитетът събира всички одобрени кодекси за поведение, техните изменения и допълнения в регистър и ги прави обществено достъпни чрез всички подходящи средства.

Член 42

Сертифициране

1. Държавите членки, надзорните органи, Комитетът по защита на данните и Комисията насърчават, особено на равнището на Съюза, създаването на механизми за сертифициране за защита на данните и на печати и маркировки за защита на данните с цел да се демонстрира спазването на настоящия регламент при операциите по обработване от страна на администраторите и обработващите лични данни. Отчитат се конкретните нужди на микропредприятията, на малките и средните предприятия.

2. Освен спазването на настоящия регламент от администратора или обработващия лични данни, към които се прилага настоящият регламент, може да се установяват механизми за сертифициране, печати или маркировки за защита на данните, одобрени съгласно параграф 5 от настоящия член, с цел да се демонстрира наличието на подходящи гаранции, осигурени от администраторите и обработващите лични данни, които не са обект на настоящия регламент съгласно член 3, в рамките на предаването на лични данни на трети държави или международни организации съгласно условията, посочени в член 46, параграф 2, буква е). Тези администратори или обработващи лични данни поемат задължителни ангажименти с изпълнителна сила, чрез договорни или други инструменти със задължителен характер, да прилагат тези подходящи гаранции, включително по отношение на правата на субектите на данни.

3. Сертифицирането е доброволно и е достъпно чрез процедура, която е прозрачна.

4. Сертифицирането по настоящия член не води до намаляване на отговорността на администратора или на обработващия лични данни за спазване на настоящия регламент и не засяга задачите и правомощията на надзорните органи, които са компетентни съгласно член 55 или член 56.

5. Сертифицирането по силата на настоящия член се издава от сертифициращите органи, посочени в член 43, или от компетентния надзорен орган, въз основа на критериите, одобрени от компетентния надзорен орган съгласно член 58, параграф 3, или, от Комитета съгласно член 63. Когато критериите са одобрени от Комитета, това може да доведе до единно сертифициране — „Европейски печат за защита на данните“.

6 Администраторът или обработващият лични данни, който подлага своето обработване на механизма за сертифициране, осигурява на сертифициращия орган, посочен в член 43, или ако е приложимо — на компетентния надзорен орган, цялата информация и достъп до своите дейности по обработване, които са необходими за извършване на процедурата по сертифициране.

7. Сертификатът се издава на администратора или обработващия лични данни за максимален срок от три години и може да бъде подновен при същите условия, ако съответните изисквания продължават да са спазени. Сертификатът се оттегля, ако е приложимо, от сертифициращите органи, посочени в член 43, или от компетентния надзорен орган, ако изискванията за сертифицирането не са спазени или вече не се спазват.

8. Комитетът обединява всички механизми за сертифициране и всички печати и маркировки за защита на данните в регистър и осигурява публичен достъп до тях по подходящ начин.

Член 46

Предаване на данни с подходящи гаранции

1. При липса на решение съгласно член 45, параграф 3, администраторът или обработващият лични данни може да предава лични данни на трета държава или международна организация само ако е предвидил подходящи гаранции и при условие че са налице приложими права на субектите на данни и ефективни правни средства за защита.

2. Подходящите гаранции, посочени в параграф 1, могат да бъдат предвидени, без да се изисква специално разрешение от надзорния орган, посредством:

a)	инструмент със задължителен характер и с изпълнителна сила между публичните органи или структури;

б)	задължителни фирмени правила в съответствие с член 47;

в)	стандартни клаузи за защита на данните, приети от Комисията в съответствие с процедурата по разглеждане, посочена в член 93, параграф 2;

г)	стандартни клаузи за защита на данните, приети от надзорен орган и одобрени от Комисията съгласно процедурата по разглеждане, посочена в член 93, параграф 2;

д)	одобрен кодекс за поведение съгласно член 40, заедно със задължителни ангажименти с изпълнителна сила на администратора или обработващия лични данни в третата държава да прилагат подходящите гаранции, включително по отношение на правата на субектите на данни; или

е)	одобрен механизъм за сертифициране съгласно член 42, заедно със задължителни и изпълними ангажименти на администратора или обработващия лични данни в третата държава да прилагат подходящите гаранции, включително по отношение на правата на субектите на данни.

3. При условие че компетентният надзорен орган е дал разрешение, подходящите гаранции, посочени в параграф 1, могат да бъдат предвидени по-специално и посредством:

a)	договорни клаузи между администратора или обработващия лични данни и администратора, обработващия лични данни или получателя на личните данни в третата държава или международната организация; или

б)	разпоредби, които да се включват в административните договорености между публичните органи или структури, съдържащи действителни и приложими права на субектите на данни.

4. Надзорният орган прилага механизма за съгласуваност по член 63 в случаите, посочени в параграф 3 от настоящия член.

5. Разрешенията, издадени от държава членка или надзорен орган въз основа на член 26, параграф 2 от Директива 95/46/ЕО, остават валидни, докато не бъдат изменени, заменени или отменени, ако е необходимо, от надзорния орган. Решенията, приети от Комисията въз основа на член 26, параграф 4 от Директива 95/46/ЕО, остават в сила, докато не бъдат изменени, заменени или отменени, ако е необходимо, с решение на Комисията, прието в съответствие с параграф 2 от настоящия член.

Член 47

Задължителни фирмени правила

1. Компетентният надзорен орган одобрява задължителни фирмени правила в съответствие с механизма за съгласуваност, определен в член 63, ако те:

a)	са със задължителен характер, прилагат се спрямо и се привеждат в изпълнение от всеки съответен член на групата предприятия или групата дружества, участващи в съвместна стопанска дейност, включително техните служители;

б)	изрично предоставят на субектите на данни приложими права по отношение на обработването на техните лични данни; и

в)	изпълняват изискванията, установени в параграф 2.

2. В посочените в параграф 1 задължителни фирмени правила се уточнява най-малко следното:

a)	структурата и координатите за връзка на групата предприятия или групата дружества, участващи в съвместна стопанска дейност и на всеки техен член;

б)	предаването или съвкупността от предавания на данни, включително категориите лични данни, видът на обработването и неговите цели, видът на засегнатите субекти на данни, и се посочва въпросната трета държава или държави;

в)	тяхното правно обвързващо естество както на вътрешно, така и на външно равнище;

г)

прилагането на общите принципи за защита на данните, по-специално ограничението на целите, свеждането на данните до минимум, ограничените периоди на съхранение, качеството на данните, защитата на данните на етапа на проектирането и по подразбиране, правното основание за обработването, обработването на специални категории лични данни, мерките за гарантиране сигурността на данните, както и изискванията по отношение на последващото предаване на данни на образувания, които не са обвързани от задължителните фирмени правила;

д)

правата на субектите на данни по отношение на обработването и средствата за упражняване на тези права, включително правото на субекта на данни да не бъде обект на решения, основани единствено на автоматизирано обработване, включително профилиране в съответствие с член 22, правото на подаване на жалба до компетентния надзорен орган и до компетентните съдилища на държавите членки в съответствие с член 79, както и правото на съдебна защита, и когато е приложимо — на обезщетение за нарушаване на задължителните фирмени правила;

е)

поемането от администратора или обработващия лични данни, установен на територията на държава членка, на отговорност за всяко нарушение на задължителните фирмени правила от който и да е член на съответната група, който не е установен в Съюза; администраторът или обработващият лични данни е изцяло или частично освободен от такава отговорност само ако докаже, че този член не носи отговорност за събитието, довело до причиняването на вреда;

ж)	начинът, по който информацията относно задължителните фирмени правила, по-специално относно разпоредбите, посочени в букви г), д) и е) от настоящия параграф, се предоставя на субектите на данни в допълнение към информацията по членове 13 и 14;

з)

задачите на всяко длъжностно лице за защита на данните, определено в съответствие с член 37, или всяко друго лице или образувание, натоварено да наблюдава спазването на задължителните фирмени правила в рамките на групата предприятия или групата дружества, участващи в съвместна стопанска дейност, както и да наблюдава обучението и разглеждането на жалбите;

и)	процедурите по отношение на жалбите;

й)

механизмите в рамките на групата предприятия или групата дружества, участващи в съвместна стопанска дейност за осигуряване на проверка на спазването на задължителните фирмени правила. Тези механизми включват одити на защитата на данните и методи за осигуряване на коригиращи действия за защита на правата на субекта на данни. Резултатите от тази проверка следва да се съобщават на лицето или образуванието, посочено в буква з), и на управителния съвет на контролиращото предприятие на групата предприятия или на групата дружества, участващи в съвместна стопанска дейност, и следва при поискване да се предоставят на компетентния надзорен орган;

к)	механизмите за докладване и записване на промени в правилата и докладването на надзорния орган за тези промени;

л)

механизмът за сътрудничество с надзорния орган с цел осигуряване на спазването на правилата от всеки член на групата предприятия или на групата дружества, участващи в съвместна стопанска дейност, по-специално чрез предоставяне на надзорния орган на резултатите от проверките на мерките, посочени в буква й);

м)

механизмите за докладване на компетентния надзорен орган за всякакви правни изисквания, приложими към член на групата предприятия или групата дружества, участващи в съвместна стопанска дейност, в трета държава, които е вероятно да доведат до значими неблагоприятни последици за гаранциите, предоставяни от задължителните фирмени правила; както и

н)	подходящото обучение за защита на данните за персонала, който постоянно или редовно има достъп до лични данни.

3. Комисията може да определя формáта и процедурите за обмена на информация между администраторите, обработващите лични данни и надзорните органи относно задължителните фирмени правила по смисъла на настоящия член. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 93, параграф 2.

Член 57

Задачи

1. Без да се засягат останалите задачи, определени с настоящия регламент, на своята територия всеки надзорен орган:

a)	наблюдава и осигурява прилагането на настоящия регламент;

б)	насърчава обществената информираност и разбиране на рисковете, правилата, гаранциите и правата, свързани с обработването. Обръща се специално внимание на дейностите, специално насочени към децата;

в)	дава становища, в съответствие с правото на държавата членка, на националния парламент, правителството и други институции и органи относно законодателните и административните мерки, свързани със защитата на правата и свободите на физическите лица по отношение на обработването;

г)	насърчава информираността на администраторите и обработващите лични данни за задълженията им по силата на настоящия регламент;

д)	при поискване предоставя информация на всеки субект на данни във връзка с упражняването на правата му по силата на настоящия регламент и ако е необходимо, си сътрудничи за тази цел с надзорните органи в други държави членки;

е)

разглежда жалбите, подадени от субект на данни или от структура, организация или сдружение в съответствие с член 80, и разследва предмета на жалбата, доколкото това е целесъобразно, и информира жалбоподателя за напредъка и резултатите от разследването в разумен срок, особено ако е необходимо по-нататъшно разследване или координиране с друг надзорен орган;

ж)	сътрудничи си с други надзорни органи, включително чрез обмен на информация и взаимопомощ, с оглед осигуряване на съгласувано прилагане и изпълнение на настоящия регламент;

з)	извършва проучвания относно прилагането на настоящия регламент, включително въз основа на информация, получена от друг надзорен или публичен орган;

и)	наблюдава съответното развитие, по-специално в областта на информационните и комуникационни технологии и търговските практики, дотолкова доколкото то оказва влияние върху защитата на личните данни;

й)	приема стандартните договорни клаузи, посочени в член 28, параграф 8 и член 46, параграф 2, буква г);

к)	съставя и поддържа списък във връзка с изискването за оценка на въздействието върху защитата на данните съгласно член 35, параграф 4;

л)	дава становища по операциите за обработване на данни, посочени в член 36, параграф 2;

м)	насърчава съставянето на кодекси за поведение съгласно член 40 и предоставя становище и одобрява кодексите за поведение, които осигуряват достатъчно гаранции съгласно член 40, параграф 5;

н)	насърчава създаването на механизми за сертифициране за защита на данните и на печати и маркировки за защита на данните съгласно член 42, параграф 1, и одобрява критериите за сертифициране съгласно член 42, параграф 5;

о)	когато е приложимо, извършва периодичен преглед на сертификатите, издадени в съответствие с член 42, параграф 7;

п)	изготвя и публикува критериите за акредитация на органите за наблюдение на кодексите за поведение съгласно член 41 и на сертифициращите органи съгласно член 43;

р)	извършва акредитацията на органите за наблюдение на кодексите за поведение съгласно член 41 и на сертифициращите органи съгласно член 43;

с)	дава разрешение за договорните клаузи и разпоредбите, посочени в член 46, параграф 3;

т)	одобрява задължителните фирмени правила съгласно член 47;

у)	допринася за дейностите на Комитета;

ф)	поддържа вътрешен регистър на нарушенията на настоящия регламент, както и на предприетите мерки в съответствие с член 58, параграф 2; и

х)	изпълнява други задачи, свързани със защитата на лични данни.

2. Всеки надзорен орган улеснява подаването на жалбите, посочени в параграф 1, буква е), чрез мерки като например формуляр за подаване на жалби, който може да бъде попълнен и по електронен път, без да се изключват други средства за комуникация.

3. Изпълнението на задачите от страна на всеки надзорен орган е безплатно за субекта на данни и — когато това е приложимо — за длъжностното лице за защита на данните.

4. Когато исканията са очевидно неоснователни или прекомерни, по-специално поради своята повторяемост, надзорният орган може да наложи разумна такса, основана на административните разходи, или да откаже да предприеме действия по искането. Надзорният орган носи тежестта на доказване на очевидно неоснователния или прекомерния характер на искането.

Член 61

Взаимопомощ

1. Надзорните органи си предоставят взаимно значима информация и помощ, за да изпълняват и прилагат настоящия регламент по съгласуван начин, и въвеждат мерки за ефективно сътрудничество помежду си. Взаимопомощта обхваща по-специално искания за информация и мерки за надзор, например искания за предоставяне на предварителни разрешения или провеждане на предварителни консултации, проверки и разследвания.

2. Всеки надзорен орган предприема всички подходящи мерки, които са необходими, за да се отговори на искането на друг надзорен орган без ненужно забавяне и не по-късно от един месец след получаване на искането. Такива мерки могат да включват, по-специално, предаване на значима информация относно хода на дадено разследване.

3. Исканията за помощ съдържат цялата необходима информация, включително целта на искането и причините за него. Обменената информация се използва единствено за целите, за които е поискана.

4. Надзорен орган, до който е отправено искане, няма право да откаже да го изпълни, освен ако:

a)	не е компетентен относно предмета на искането или мерките, които се изисква да изпълни; или

б)	удовлетворяването на искането би било в нарушение на настоящия регламент или правото на Съюза или правото на държава членка, което се прилага спрямо надзорния орган, до който е отправено искането.

5. Надзорният орган, до който е отправено искането, информира искащия надзорен орган за резултатите или, в зависимост от случая, за напредъка на предприетите мерки в отговор на искането. Надзорният орган, до който е отправено искането, излага мотивите си в случай на отказ да изпълни искането по силата на параграф 4.

6. Надзорните органи, до които са отправени искания, по правило предоставят информацията, поискана от други надзорни органи, по електронен път, като използват стандартизиран формат.

7. Надзорните органи, до които са отправени искания, не събират такси за действията, които са предприели в отговор на искане за взаимопомощ. Надзорните органи могат да постигнат съгласие с други надзорни органи относно правила за предоставяне на обезщетение един на друг за конкретни разходи, свързани с предоставянето на взаимопомощ при извънредни обстоятелства.

8. Когато в рамките на един месец от получаване на искането на друг надзорен орган надзорният орган не предостави информацията, посочена в параграф 5 от настоящия член, искащият надзорен орган може да приеме временна мярка на територията на своята държава членка в съответствие с член 55, параграф 1. В този случай се счита, че са необходими спешни действия съгласно член 66, параграф 1, което изисква спешно решение със задължителен характер от страна на Комитета в съответствие с член 66, параграф 2.

9. Комисията може посредством актове за изпълнение да определи формата и процедурите за взаимопомощ по настоящия член, както и договореностите за обмена на информация по електронен път между надзорните органи и между надзорните органи и Комитета, и по-специално стандартизирания формат, посочен в параграф 6 от настоящия член. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 93, параграф 2.

Член 62

Съвместни операции на надзорни органи

1. Когато е целесъобразно, надзорните органи провеждат съвместни операции, включително съвместни разследвания и съвместни мерки за изпълнение, в които участват членове или персонал на надзорни органи от други държави членки.

2. Когато администраторът или обработващият лични данни е установен в няколко държави членки или когато има вероятност от операции по обработване на данни да бъдат засегнати съществено значителен брой субекти на данни в повече от една държава членка, надзорният орган на всяка от тези държави членки има право да участва в съвместни операции. Надзорният орган, който е компетентен съгласно член 56, параграф 1 или параграф 4, кани надзорния орган на всяка от тези държави членки да участва в съответните съвместни операции и отговаря незабавно на искането на даден надзорен орган за участие.

3. В съответствие с правото на държавата членка и с разрешението на командироващия надзорен орган надзорният орган може да предостави правомощия, в това число правомощия за разследване, на членовете или персонала на командироващия надзорен орган, участващи в съвместни операции, или, доколкото правото на държавата членка на надзорния орган домакин позволява, да разреши на членовете или персонала на командироващия надзорен орган да упражняват своите правомощия за разследване в съответствие с правото на държавата членка на командироващия надзорен орган. Тези правомощия за разследване могат да се упражняват единствено под ръководството и в присъствието на членове или персонал на надзорния орган домакин. Спрямо членовете и персонала на командироващия надзорен орган се прилага правото на държавата членка на надзорния орган домакин.

4. Когато в съответствие с параграф 1 персонал на командироващ надзорен орган участва в операция в друга държава членка, държавата членка на надзорния орган домакин носи отговорност за действията на този персонал, включително отговорност за всякакви вреди, нанесени от него по време на операцията, в съответствие с правото на държавата членка, на чиято територия се провежда операцията.

5. Държавата членка, на чиято територия е нанесена вредата, поправя тази вреда при условията, приложими към вреди, нанесени от собствения ѝ персонал. Държавата членка на командироващия надзорен орган, чиито служители са причинили вреди на лице на територията на друга държава членка, възстановява изцяло сумите, които последната е изплатила от тяхно име на лицата, които са имали правото да ги получат.

6. Без да се засяга упражняването на правата ѝ по отношение на трети страни и с изключение на параграф 5, всяка държава членка се въздържа в случая, предвиден в параграф 1, да иска обезщетение от друга държава членка за вредите, посочени в параграф 4.

7. Когато се планира съвместна операция и в срок от един месец даден надзорен орган не изпълни задължението, предвидено във второто изречение на параграф 2 от настоящия член, другите надзорни органи могат да приемат временна мярка на територията на своята държава членка в съответствие с член 55. В този случай се счита, че са необходими спешни действия съгласно член 66, параграф 1, което изисква становище или спешно решение със задължителен характер от страна на Комитета в съответствие с член 66, параграф 2.

Раздел 2

Съгласуваност

Член 65

Разрешаване на спорове от Комитета

1. С цел да осигури правилно и последователно прилагане на настоящия регламент в отделните случаи, Комитетът приема решение със задължителен характер в следните случаи:

когато в случаи по член 60, параграф 4 засегнат надзорен орган е повдигнал относимо и обосновано възражение срещу проект за решение на водещия орган или водещият орган е отхвърлил възражението като неотносимо или необосновано. Решението със задължителен характер се отнася за всички въпроси, които са предмет на относимото и обосновано възражение, особено когато има нарушение на настоящия регламент;

б)	когато има противоречиви виждания за това кой от засегнатите надзорни органи е компетентен за основното място на установяване;

в)	когато компетентният надзорен орган не е поискал становището на Комитета в случаите, посочени в член 64, параграф 1, или не се е съобразил със становището на Комитета, дадено по член 564. В този случай всеки засегнат надзорен орган или Комисията може да отнесе въпроса до Комитета.

2. Посоченото в параграф 1 решение се приема в срок от един месец от отнасянето на въпроса от мнозинство от две трети от членовете на Комитета. Посоченият срок може да бъде удължен с още един месец с оглед на сложността на въпроса. Решението по параграф 1 е обосновано, адресирано е до водещия надзорен орган и всички засегнати надзорни органи и е със задължителен характер за тях.

3. Когато Комитетът не е бил в състояние да приеме решение в срока, посочен в параграф 2, той приема решението си в срок от две седмици от изтичането на втория месец, споменат в параграф 2, с обикновено мнозинство от членовете на Комитета. Когато членовете на Комитета са разделени поравно на две, решението се приема с решаващия глас на председателя.

4. Засегнатите надзорни органи не приемат решение по отнесения до Комитета въпрос съгласно параграф 1 в рамките на сроковете, посочени в параграфи 2 и 3.

5. Председателят на Комитета уведомява без ненужно забавяне засегнатите надзорни органи за решението, посочено в параграф 1. Той уведомява и Комисията за него. Решението се публикува на уебсайта на Комитета без забавяне след като надзорният орган е уведомил за окончателното си решение, посочено в параграф 6.

6. Водещият надзорен орган или, според случая, надзорният орган, до който е била подадена жалбата, приема окончателното си решение въз основа на решението, посочено в параграф 1 от настоящия член, без ненужно забавяне и най-късно един месец след като Комитетът е уведомил за решението си. Водещият надзорен орган или, според случая, надзорният орган, до който е била подадена жалбата, информира Комитета за датата, на която администраторът или обработващият лични данни и субектът на данни са били уведомени за неговото окончателно решение. Окончателното решение на засегнатите надзорни органи се приема по реда на член 60, параграфи 7, 8 и 9. Окончателното решение се позовава на решението, посочено в параграф 1 от настоящия член, и в него се уточнява, че посоченото в посочения параграф решение ще бъде публикувано на уебсайта на Комитета в съответствие с параграф 5 от настоящия член. Към окончателното решение се прилага решението, посочено в параграф 1 от настоящия член.

Член 66

Процедура по спешност

1. При извънредни обстоятелства, когато засегнат надзорен орган счита, че е налице спешна необходимост да се действа в защита на правата и свободите на субектите на данни, той може чрез дерогация от механизма за съгласуваност, предвиден в членове 63, 64 и 65, или процедурата, предвидена в член 60, да приеме незабавно временни мерки, водещи до правни последици на собствената му територия, с определен срок на валидност, който не надвишава три месеца. Надзорният орган съобщава незабавно тези мерки и мотивите за приемането им на другите засегнати надзорни органи, на Комитета и на Комисията.

2. Когато надзорен орган е предприел мярка съгласно параграф 1 и счита, че е необходимо спешно да бъдат приети окончателни мерки, той може да поиска от Комитета спешно становище или спешно решение със задължителен характер, като изтъкне причини за искането на такова становище или решение.

3. Всеки надзорен орган може да поиска спешно становище или спешно решение със задължителен характер, според случая, от Комитета, когато компетентен надзорен орган не е предприел подходящи мерки в ситуация, в която е налице спешна необходимост от предприемане на действия с цел защита на правата и свободите на субектите на данни, като посочи причините за искането на такова становище или решение, както и за спешната нужда от предприемане на действия.

4. Чрез дерогация от член 64, параграф 3 и член 65, параграф 2, в срок от две седмици с обикновено мнозинство от членовете на Комитета се приема спешно становище или спешно решение със задължителен характер, както са посочени в параграфи 2 и 3 от настоящия член.

Член 70

Задачи на Комитета

1. Комитетът осигурява съгласуваното прилагане на настоящия регламент. За тази цел Комитетът по своя собствена инициатива или, ако е целесъобразно, по искане на Комисията, по-специално:

a)	наблюдава и гарантира правилното прилагане на настоящия регламент в случаите, предвидени в членове 64 и 65, без да се засягат задачите на националните надзорни органи;

б)	консултира Комисията по всеки въпрос, свързан със защитата на личните данни в Съюза, включително относно всяко предложено изменение на настоящия регламент;

в)	консултира Комисията относно формàта и процедурите за обмен на информация между администраторите, обработващите лични данни и надзорните органи за задължителните фирмени правила;

г)	издава насоки, препоръки и най-добри практики относно процедурите за изтриване на връзки, копия или преписи на лични данни от обществено достъпни съобщителни услуги, както е посочено в член 17, параграф 2;

д)	разглежда по своя собствена инициатива, по искане на някой от своите членове или по искане на Комисията всеки въпрос, който се отнася до прилагането на настоящия регламент, и издава насоки, препоръки и най-добри практики с цел насърчаване на съгласуваното прилагане на настоящия регламент;

е)	издава насоки, препоръки и най-добри практики в съответствие с буква д) от настоящия параграф за допълнително уточняване на критериите и условията във връзка с решенията, основани на профилиране на данни съгласно член 22, параграф 2;

ж)

издава насоки, препоръки и най-добри практики в съответствие с буква д) от настоящия параграф за установяване на нарушения на сигурността на данните и определяне на ненужното забавяне по член 33, параграфи 1 и 2, както и за определяне на конкретните обстоятелства, при които от администратора или обработващия лични данни се изисква да уведомяват за нарушението на сигурността на личните данни;

з)	издава насоки, препоръки и най-добри практики в съответствие с буква д) от настоящия параграф по отношение на обстоятелствата, при които нарушение на сигурността на личните данни има вероятност да доведе до висок риск за правата и свободите на физическите лица, посочени в член 34, параграф 1;

и)

издава насоки, препоръки и най-добри практики в съответствие с буква д) от настоящия параграф за целите на допълнително уточняване на критериите и изискванията за предаване на лични данни въз основа на задължителни фирмени правила, които се спазват от администраторите, и задължителни фирмени правила, които се спазват от обработващите лични данни, както и на необходимите допълнителни изисквания за осигуряване на защита на личните данни на съответните субекти на данни, посочени в член 47;

й)	издава насоки, препоръки и най-добри практики в съответствие с буква д) от настоящия параграф за целите на допълнително уточняване на критериите и изискванията за предаване на лични данни въз основа на член 49, параграф 1;

к)	изготвя насоки за надзорните органи относно прилагането на мерките, посочени в член 58, параграфи 1, 2 и 3, и определянето на размера на административните наказания „глоба“ или „имуществена санкция“ съгласно член 83;

л)	извършва преглед на практическото прилагане на насоките, препоръките и най-добрите практики, посочени в букви д) и е);

м)	издава насоки, препоръки и най-добри практики в съответствие с буква д) от настоящия параграф за установяване на общи процедури за подаване на сигнали от физически лица за нарушения на настоящия регламент съгласно член 54, параграф 2;

н)	насърчава изготвянето на кодекси на поведение и установяването на механизми за сертифициране за защита на данните и печати и маркировки за защита на данните съгласно членове 40 и 42;

о)	извършва акредитацията на сертифициращи органи и периодичния ѝ преглед съгласно член 43 и поддържа публичен регистър на акредитираните органи съгласно член 43, параграф 6 и на акредитираните администратори и обработващи лични данни, установени в трети държави, съгласно член 42, параграф 7;

п)	уточнява изискванията, посочени в член 43, параграф 3, с оглед на акредитацията на сертифициращи органи съгласно член 42;

р)	предоставя на Комисията становище относно изискванията за сертифициране, посочени в член 43, параграф 8;

с)	предоставя на Комисията становище относно иконите, посочени в член 12, параграф 7;

т)

предоставя на Комисията становище за оценка на адекватността на нивото на защита на данните в трета държава или международна организация, включително за оценка на това дали третата държава, територията или един или повече конкретни сектори в рамките на тази трета държава, или международната организация, са престанали да осигуряват адекватно ниво на защита. За тази цел Комисията предоставя на Комитета цялата необходима документация, включително кореспонденцията с правителството на третата държава, по отношение на тази трета държава, територия или конкретен сектор или с международната организация;

у)	дава становища по проекти за решения на надзорните органи по силата на механизма за съгласуваност, посочен в член 64, параграф 1, по въпроси, изпратени съгласно член 64, параграф 2 и приема решения със задължителен характер съгласно член 65, включително по въпроси, разглеждани съгласно член 66;

ф)	насърчава сътрудничеството и ефективния двустранен и многостранен обмен на информация и добрите практики между надзорните органи;

х)	насърчава общите програми за обучение и улеснява обмена на персонал между надзорните органи и — когато това е целесъобразно —с надзорните органи на трети държави или международни организации;

ц)	насърчава обмена на знания и документация относно законодателството и практиките в областта на защитата на данни с надзорните органи по защита на данните в цял свят;

ч)	дава становища по кодексите за поведение, съставяни на равнището на Съюза в съответствие с член 40, параграф 9; и

ш)	поддържа обществено достъпен електронен регистър на решенията, взети от надзорните органи и съдилищата по въпроси, разглеждани в рамките на механизма за съгласуваност.

2. Когато Комисията поиска съвет от Комитета, тя може да посочи срок, като се взема предвид спешността на въпроса.

3. Комитетът изпраща своите становища, насоки, препоръки и най-добри практики на Комисията и на комитета, посочен в член 93, и ги прави обществено достояние.

4. Комитетът се консултира по целесъобразност със заинтересованите страни и им предоставя възможност да направят коментари в рамките на разумен срок. Без да се засягат разпоредбите на член 76, Комитетът оповестява публично резултатите от процедурата на консултации.

Член 71

Доклади

1. Комитетът изготвя годишен доклад относно защитата на физическите лица по отношение на обработването в Съюза и, когато е от значение — в трети държави и международни организации. Докладът се оповестява публично и се предава на Европейския парламент, на Съвета и на Комисията.

2. В годишния доклад се включва преглед на практическото прилагане на насоките, препоръките и най-добрите практики, посочени в член 70, параграф 1, буква л), както и на решенията със задължителен характер, посочени в член 65.

Член 78

Право на ефективна съдебна защита срещу надзорен орган

1. Без да се засягат които и да било други административни или несъдебни средства за защита, всяко физическо и юридическо лице има право на ефективна съдебна защита срещу отнасящо се до него решение със задължителен характер на надзорен орган.

2. Без да се засягат които и да било други административни или несъдебни средства за защита, всеки субект на данни има право на ефективна съдебна защита, когато надзорният орган, който е компетентен съгласно членове 55 и 56 не е разгледал жалбата или не е информирал субекта на данните в срок от три месеца за напредъка в разглеждането на жалбата, подадена съгласно член 77, или за резултата от нея.

3. Производствата срещу надзорен орган се образуват пред съдилищата на държавата членка, в която е установен надзорният орган.

4. Когато се образува производство срещу решението на надзорен орган, което е било предхождано от становище или решение на Комитета в съответствие с механизма за съгласуваност, надзорният орган предава това становище или решение на съда.

whereas

(35) Личните данни за здравословното състояние следва да обхващат всички данни, свързани със здравословното състояние на субекта на данните, които разкриват информация за физическото или психическото здравословно състояние на субекта на данните в миналото, настоящето или бъдещето. Това включва информация относно физическото лице, събрана в хода на регистрацията за здравни услуги или тяхното предоставяне, както е посочено в Директива 2011/24/EС на Европейския парламент и на Съвета (9), на същото физическо лице; номер, символ или характеристика, определени за дадено физическо лице с цел уникалното му идентифициране за здравни цели; информация, получена в резултат от изследването или прегледа на част от тялото или на телесно вещество, включително от генетични данни и биологични проби; и всякаква информация, например за заболяване, увреждане, риск от заболяване, медицинска история, клинично лечение или физиологично или биомедицинско състояние на субекта на данните, независимо от източника на информация, като например лекар или друг медицински специалист, болница, медицинско изделие или ин витро диагностично изследване.

- = -

(108) При липсата на решение относно адекватното ниво на защита администраторът или обработващият лични данни следва да предприеме мерки, за да компенсира липсата на защита на данни в дадена трета държава чрез подходящи гаранции за субекта на данните. Такива подходящи гаранции може да се състоят в използването на задължителни фирмени правила, стандартни клаузи за защита на данните, приети от Комисията, стандартни клаузи за защита на данните, приети от надзорен орган, или договорни клаузи, разрешени от надзорен орган. Тези гаранции следва да осигуряват спазването на изискванията относно защитата на данните и на правата на субектите на данни, подходящи при обработване в рамките на Съюза, включително наличието на приложими права на субектите на данни и на ефективни средства за правна защита, включително с цел получаване на ефективна административна или съдебна защита и предявяване на искове за обезщетение в Съюза или в трета държава. Те следва да се отнасят по-специално до спазването на общите принципи, свързани с обработването на лични данни, и до принципите за защита на данните на етапа на изготвяне и по подразбиране. Данни може да се предават и от публични органи или организации на публични органи или организации в трети държави или на международни организации със съответните задължения или функции, включително въз основа на разпоредбите, които ще бъдат включени в административните договорености, като например меморандум за разбирателство, с които да се предоставят приложими и действителни права за субектите на данни. Следва да се получи разрешение от компетентния надзорен орган, когато гаранциите са предвидени в административни договорености, които нямат задължителен характер.

- = -

(125) Водещият орган следва да е компетентен да приема решения със задължителен характер относно мерките за прилагане на правомощията, които са му предоставени по силата на настоящия регламент. В качеството си на водещ орган надзорният орган следва да осигурява активно участие и да координира засегнатите надзорни органи в процеса на вземане на решения.Когато решението е за пълно или частично отхвърляне на жалба от субект на данни, това решение следва да се приема от надзорния орган, до който е подадена жалбата.

- = -

(126) Решението следва да се съгласува между водещия надзорен орган и засегнатите надзорни органи и следва да е насочено към основното или единственото място на установяване на администратора или обработващия лични данни и да бъде със задължителен характер за администратора или обработващия лични данни. Администраторът или обработващият лични данни следва да вземе необходимите мерки, за да осигури спазването на настоящия регламент и изпълнението на решението, за което водещият надзорен орган е уведомил основното място на установяване на администратора или обработващия лични данни по отношение на дейностите по обработване в Съюза.

- = -

(129) За да се гарантира последователно наблюдение и прилагане на настоящия регламент навсякъде в Съюза, надзорните органи следва да имат еднакви задачи и ефективни правомощия във всяка държава членка, включително правомощия за разследване, корективни правомощия и правомощия за налагане на санкции, правомощия за даване на разрешения и становища, особено в случаи на жалби от физически лица, и без да се засягат правомощията на прокуратурата съгласно правото на държавата членка — правомощието да довеждат нарушения на настоящия регламент до знанието на съдебните органи и да встъпват в съдебни производства. Тези правомощия следва да включват и правомощието за налагане на временно или окончателно ограничаване, включително забрана, на обработването на данни. Държавите членки могат да посочат други конкретни задачи, свързани със защитата на лични данни съгласно настоящия регламент. Надзорните органи следва да упражняват правомощията си в съответствие с подходящите процедурни гаранции, определени в правото на Съюза и правото на държава членка, независимо, справедливо и в разумен срок. По-специално всяка мярка следва да бъде подходяща, необходима и пропорционална с оглед на осигуряването на съответствие с настоящия регламент, като се отчитат обстоятелствата при всеки конкретен случай, зачита се правото на всяко лице да бъде изслушано преди да бъде взета каквато и да е конкретна мярка, която би го засегнала неблагоприятно, и се избягват излишни разходи и прекалени неудобства за засегнатите лица. Правомощията за разследване по отношение на достъпа до помещения следва да се упражняват в съответствие със специфичните изисквания на процесуалното право на държавите членки, като например изискването за получаване на предварително съдебно разрешение. Всяка мярка със задължителен характер на надзорен орган следва да бъде в писмен вид, да бъде ясна и недвусмислена, да посочва надзорния орган, който е издал мярката, датата на издаване на мярката, да е подписана от ръководителя или член на надзорния орган, упълномощен от него, да посочва основанията за мярката и да се позовава на правото на ефективни правни средства за защита. Това не следва да възпрепятства поставянето на допълнителни изисквания съгласно процесуалното право на държавите членки. Приемането на такова решение със задължителен характер предполага, че то може да подлежи на съдебен контрол в държавата членка на надзорния орган, приел решението.

- = -

(136) При прилагането на механизма за съгласуваност Комитетът следва да излезе със становище в рамките на определен срок, ако такова решение бъде взето с мнозинство от неговите членове или ако това бъде поискано от засегнат надзорен орган или от Комисията. На Комитета следва също да бъде делегирано правомощието да приема решения със задължителен характер в случай на спорове между надзорни органи. За целта той следва по принцип да взема с мнозинство от две трети от своите членове решения със задължителен характер в точно определени случаи, когато има противоречиви становища сред надзорните органи, по-специално в механизма за сътрудничество, между водещия надзорен орган и засегнатите надзорни органи по съществото на спора, по-специално дали е налице нарушение на настоящия регламент.

- = -

(143) Всяко физическо или юридическо лице има правото да внася иск за отмяна на решения на Комитета пред Съда при условията, предвидени в член 263 от ДФЕС. Като адресати на тези решения, засегнатите надзорни органи, които желаят да ги оспорят, трябва да внесат иск в срок от два месеца от датата, на която са били уведомени за тях, в съответствие с член 263 от ДФЕС. Когато решенията на Комитета засягат пряко и лично администратора, обработващия личните данни или жалбоподателя, те могат да внесат иск за отмяна на тези решения в срок от два месеца от публикуването им на уебсайта на Комитета, в съответствие с член 263 от ДФЕС. Без да се засяга това право по член 263 от ДФЕС, всяко физическо или юридическо лице има право на ефективни правни средства за защита пред компетентен национален съд срещу решение на надзорен орган, което има правни последици за това лице. Подобно решение се отнася по-специално за упражняването на правомощията за разследване, даване на разрешение и корективните правомощия на надзорния орган или оставянето без разглеждане или отхвърлянето на жалби. Същевременно правото на ефективни правни средства на защита не обхваща мерки, взети от надзорните органи, които не са с правно задължителен характер, като становища или консултации, предоставени от надзорния орган. Производствата срещу надзорния орган следва да се завеждат пред съдилищата на държавата членка, в която е установен надзорният орган, и следва да се водят в съответствие с процесуалното право на тази държава членка. Тези съдилища следва да разполагат с пълна компетентност, която следва да включва компетентност за разглеждане на всички фактически и правни въпроси, свързани с разглеждания спор.

- = -

(148) За да се укрепи прилагането на правилата на настоящия регламент, освен или вместо подходящи мерки, наложени от надзорния орган съгласно настоящия регламент, при нарушение на регламента следва да се налагат санкции, включително административни наказания „глоба“ или „имуществена санкция“. При леки нарушения или ако глобата, която може да бъде наложена, представлява несъразмерна тежест за физическо лице, вместо глоба може да бъде отсъдено порицание. Следва обаче да се отдаде надлежно внимание на естеството, тежестта и продължителността на нарушението, умишления характер на нарушението, действията за смекчаване на последиците от претърпените вреди, степента на отговорност или евентуални предишни нарушения от подобен характер, начина, по който нарушението е станало известно на надзорния орган, спазването на мерките, наложени на администратора или на обработващия лични данни, придържането към кодекс на поведение и всякакви други утежняващи или смекчаващи фактори. Налагането на санкции, включително административни наказания „глоба“ или „имуществена санкция“, следва да подлежи на подходящи процедурни мерки за защита в съответствие с общите принципи на правото на Съюза и Хартата, включително ефективна съдебна защита и справедлив съдебен процес.

- = -

dal 2004 diritto e informatica