(1)

Защитата на физическите лица във връзка с обработването на лични данни е основно право. Член 8, параграф 1 от Хартата на основните права на Европейския съюз („Хартата“) и член 16, параграф 1 от Договора за функционирането на Европейския съюз предвиждат, че всеки има право на защита на личните му данни. Член 8, параграф 2 от Хартата предвижда, че такива данни трябва да бъдат обработвани добросъвестно, за точно определени цели и въз основа на съгласието на заинтересованото лице или по силата на друго предвидено от закона легитимно основание. [Изм. 1]

(2)

Обработването на личните данни е предназначено да служи на хората; принципите и правилата относно защитата на физическите лица във връзка с обработването на личните им данни следва, независимо от гражданството или местопребиваването на физическите лица, да съблюдават техните основни права и свободи и по-конкретно правото на защита на личните им данни. То следва да допринася за изграждането на пространство на свобода, сигурност и правосъдие.

(3)

Бързото технологично развитие и глобализацията изправиха защитата на личните данни пред нови предизвикателства. Забележително се увеличи мащабът на събирането и споделянето на данни. Технологиите позволяват на компетентните органи да използват личните данни в безпрецедентен мащаб, за да извършват своите дейности.

(4)

Това изисква улесняване на свободното движение на данни , когато това е необходимо и пропорционално, между компетентните органи в Съюза и предаването им на трети държави и международни организации, като същевременно се гарантира високо ниво на защита на личните данни. Тези развития изискват изграждане на стабилна и по-съгласувана рамка за защита на данните в Съюза, подкрепена от силно правоприлагане. [Изм. 2]

(5)

Директива 95/46/ЕО на Европейския парламент и на Съвета (3) се прилага за всички дейности по обработване на лични данни в държавите членки както в публичния, така и в частния сектор. Въпреки това тя не се прилага за обработването на лични данни „при извършване на дейности извън приложното поле на правото на Общността“, като например дейности в областите на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество.

(6)

Рамково решение 2008/977/ПВР на Съвета (4) се прилага в областите на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество. Приложното поле на това рамково решение е ограничено до обработването на лични данни, които се предават или предоставят между държавите членки.

(7)

Осигуряването на хомогенно и високо ниво на защита на личните данни на физическите лица и улесняването на обмена на лични данни между компетентните органи на държавите членки са от решаващо значение за осигуряването на ефективно съдебно сътрудничество по наказателноправни въпроси и полицейско сътрудничество. За тази цел, нивото на защита на правата и свободите на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции трябва да бъде еднакво във всички държави членки. В целия Съюз следва да се гарантира съгласувано и еднакво прилагане на правилата за защита на основните права и свободи на физическите лица във връзка с обработването на лични данни. Ефективната защита на личните данни навсякъде в Съюза изисква укрепване на правата на субектите на данни и на задълженията на онези, които обработват личните данни, но също и еквивалентни правомощия за наблюдение и гарантиране на спазването на правилата за защита на личните данни в държавите членки. [Изм. 3]

(8)

В член 16, параграф 2 от Договора за функционирането на Европейския съюз се предвижда, че Европейският парламент и Съветът следва да определят правилата относно защитата на физическите лица по отношение на обработването на личните данни, както и правилата относно свободното движение на такива техните лични данни. [Изм. 4]

(9)

Въз основа на това в Регламент (ЕС) № …/2014 на Европейския парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни (общ регламент относно защитата на данните) се определят общи правила за защита на физическите лица във връзка с обработването на лични данни и за гарантиране на свободното движение на такива данни в Съюза.

(10)

В Декларация 21 относно защитата на личните данни в областите на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество, приложена към заключителния акт на Междуправителствената конференция, която прие Договора от Лисабон, Конференцията признава, че може да са необходими специални правила относно защитата на личните данни и свободното движение на такива данни в областите на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество въз основа на член 16 от Договора за функционирането на Европейския съюз поради специфичното естество на тези области.

(11)

Ето защо специфичното естество на тези области следва да се вземе под внимание в отделна специална директива, която да установи правила за защита на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции. [Изм. 5]

(12)

С цел да се гарантира еднакво ниво на защита на физическите лица чрез гарантирани от закона права навсякъде в Съюза и да се предотвратят различия, възпрепятстващи обмена на лични данни между компетентните органи, с настоящата директиваследва да се предвидят хармонизирани правила за защитата и свободното движение на лични данни в областите на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество.

(13)

Настоящата директива дава възможност при прилагане на нейните разпоредби да се взема предвид принципът за публичен достъп до официални документи.

(14)

Защитата, предоставяна от настоящата директива, следва да се отнася за физическите лица, независимо от тяхното гражданство или местопребиваване, във връзка с обработването на лични данни.

(15)

Защитата на физическите лица следва да бъде неутрална от технологична гледна точка и да не зависи от използваната техника; в противен случай това би създало сериозен риск от заобикаляне на закона. Защитата на физическите лица следва да се прилага за обработването на лични данни с автоматични средства, както и за ръчното им обработване, ако данните се съхраняват или са предназначени да се съхраняват в регистър на лични данни. Досиетата или групите от досиета, както и заглавните им страници, които не са структурирани съгласно специфични критерии, не следва да попадат в приложното поле на настоящата директива. Настоящата директива не следва да се прилага спрямо обработването на лични данни в хода на дейност, която е извън приложното поле на правото на Съюза, по-специално дейност, която се отнася до националната сигурност, или спрямо данни, обработвани от институциите, органите, службите и агенциите на Съюза, като Европол и Евроюст. Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета  (5) и специалните правни инструменти , приложими към агенциите, органите или службите на Съюза, следва да бъдат приведени в съответствие с настоящата директива и следва да се прилагат в съответствие с настоящата директива. [Изм. 6]

(16)

Принципите за защита следва да се прилагат по отношение на всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано. За да се определи дали дадено физическо лице може да бъде идентифицирано, следва да се вземат предвид всички средства, които вероятно логично биха били използвани от администратора или от което и да е друго лице за идентифициране или разграничаването на посоченото лице. Принципите за защита на данните не следва да се прилагат по отношение на данни, които са приведени в анонимна форма по такъв начин, че субектът на данните вече не може да бъде идентифициран. Настоящата директива не следва да се прилага по отношение на анонимни данни, тоест всички данни, които не могат да бъдат отнесени към физическо лице пряко или косвено, самостоятелно или в комбинация със свързаните с тях данни. Предвид значимостта на извършващото се понастоящем в рамките на информационното общество развитие на техниките, използвани за улавяне, предаване, манипулиране, записване, съхраняване или предаване на данни за местонахождението на физически лица, които могат да се използват за различни цели, включително за наблюдение или създаване на профили, настоящата директива следва да се прилага за обработване, включващо такива лични данни. [Изм. 7]

(16a)

Всяко обработване на лични данни трябва да бъде законосъобразно, добросъвестно и прозрачно по отношение на засегнатите физически лица. По-специално, конкретните цели, за които се обработват данните, следва да бъдат ясно формулирани, законни и определени към момента на събирането на личните данни. Личните данни следва да бъдат подходящи, съответстващи и ограничени до необходимия минимум за целите, за които се обработват. По-специално, това налага ограничаване на събраните данни и на срока, за който се съхраняват, до строг минимум. Личните данни следва да се обработват единствено ако целта на обработването не може да бъде постигната чрез други средства. Следва да се предприемат всички разумни мерки, за да се гарантира коригиране или заличаване на лични данни, които са неточни. С цел да се гарантира, че данните не се съхраняват по-дълго от необходимото, администраторът следва да установи срокове за тяхното заличаване или периодичен преглед. [Изм. 8]

(17)

Личните данни, отнасящи се до здравето, следва да обхващат по-специално всички данни, свързани със здравословното състояние на субекта на данните, информацията относно регистрацията на физическото лице за целите на предоставянето на здравно обслужване, информация за плащанията или за правото на ползване на здравно обслужване от лицето, номер, символ или характеристика, присвоени на дадено физическо лице с цел уникалното му идентифициране за здравни цели; всякаква информация за лицето, събрана в хода на предоставянето на здравно обслужване на това лице; информация, получена в резултат от изследването или прегледа на част от тялото или на телесно вещество, включително биологични проби; идентифициране на дадено лице като доставчик на здравно обслужване на физическото лице; или всякаква информация отнасяща се например за: заболяване, увреждане, риск от заболяване, медицинска история, клинично лечение или текущото физиологично или биомедицинско състояние на субекта на данните, независимо от източника на информация, напр. лекар или друг медицински специалист, болница, медицинско изделие или ин витро диагностично изследване.

(18)

Всяко обработване на лични данни трябва да бъде добросъвестно и законосъобразно по отношение на засегнатите физически лица. По-специално, конкретните цели, за които се обработват данните следва да бъдат ясно формулирани. [Изм. 9]

(19)

За целите на предотвратяването, разследването и наказателното преследване на престъпленията компетентните органи имат нужда да запазват и обработват лични данни, събрани в контекста на предотвратяването, разследването, разкриването или наказателното преследване на конкретни престъпления, извън този контекст, за да достигнат до разбиране на престъпните феномени и тенденции, да съберат информация относно организираните престъпни мрежи и да установят връзки между различни разкрити престъпления. [Изм. 10]

(20)

Лични данни не следва да се обработват за цели, които са несъвместими с целта, за която данните са били събрани. Личните данни следва да са подходящи, релевантни и да не надвишават необходимото за целите, за които данните се обработват. Следва да се предприемат всички разумни мерки, за да се гарантира коригиране или заличаване на лични данни, които са неточни. [Изм. 11]

(20a)

Самият факт, че две цели се отнасят до предотвратяването, разкриването, разследването и наказателното преследване на престъпления или изпълнението на наказателни санкции, не означава непременно, че те са съвместими. Въпреки това има случаи, в които следва да бъде възможна допълнителна обработка за несъвместими цели, с цел съобразяване с правно задължение, чийто субект е администраторът, за да се защитят жизненоважните интереси на субекта на данните или за предотвратяване на непосредствена и сериозна заплаха за обществената сигурност. Държавите членки следва да бъдат в състояние да приемат националното законодателство, предвидено за такива дерогации, доколкото то е строго необходимо. Такова национално законодателство трябва да съдържа подходящи гаранции. [Изм. 12]

(21)

Принципът за точност на данните следва да се прилага като се вземат предвид естеството и целта на съответното обработване. Особено в съдебни производства изявления, съдържащи лични данни, се основават на субективното възприемане от физически лица и в някои случаи не могат винаги да бъдат проверени. По тази причина изискването за точност не следва да се отнася за точността на изявлението, а само за факта, че е направено конкретно изявление.

(22)

При тълкуването и прилагането на общите принципи, свързани с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции, следва да се вземат предвид особеностите на съответния сектор, включително конкретните цели, които се преследват. [Изм. 13]

(23)

При обработването на лични данни в областите на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество е нормално да се обработват лични данни, които се отнасят за различни категории субекти на данни. Ето защо трябва да се прави ясно разграничение, доколкото това е възможно, между личните данни на различните категории субекти на данни, например заподозрени, лица, осъдени за престъпление, жертви и трети страни, като свидетели, лица, притежаващи полезна информация или данни за контакт и съучастници на заподозрени и осъдени престъпници. Държавите членки следва да предоставят конкретни правила относно последиците от тази категоризация, като вземат предвид различните цели, за които са събират данните, и като предоставят конкретни гаранции за лица, които не са заподозрени в извършване на престъпление или не са осъждани за престъпление. [Изм. 14]

(24)

Личните данни следва да се разграничават въз основа на степента на тяхната точност и надеждност, доколкото това е възможно. Фактите следва да се разграничават от личните оценки, за да се гарантират както защитата на физическите лица, така и качеството и надеждността на информацията, обработвана от компетентните органи.

(25)

За да бъде законосъобразно, обработването на лични данни следва да бъде разрешено единствено когато е необходимо за спазването на законово задължение, на което администраторът е обект, за изпълнението от компетентен орган на задача от обществен интерес, предвидена от закона, или за да бъдат защитени жизненоважните интереси на субекта на данните или на друго лице, или за предотвратяване на непосредствена и сериозна заплаха за обществената сигурност правото на Съюза или правото на държава членка, което следва да съдържа ясно формулирани и подробни разпоредби най-малко по отношение на целите, личните данни, конкретните цели и средства, да определя администратора или да позволява да се определи администраторът, процедурите, които да бъдат прилагани, използването и ограниченията на обхвата на всякаква свобода на действие, предоставена на компетентните органи във връзка с дейностите по обработване . [Изм. 15]

(25a)

Лични данни не следва да се обработват за цели, несъвместими с целта, за която данните са били събрани. По-нататъшно обработване от компетентните органи за цел, попадаща в приложното поле на настоящата директива, която не е съвместима с първоначалната цел, следва да бъде разрешено единствено в специални случаи, в които такова обработване е необходимо за спазването на законово задължение, основаващо се на правото на Съюза или на държава членка, на което се подчинява администраторът, или за да бъдат защитени жизненоважните интереси на субекта на данните или на друго лице, или за предотвратяване на непосредствена и сериозна заплаха за обществената сигурност. Фактът, че данните се обработват за целите на правоприлагането, не означава непременно, че тези цели са съвместими с първоначалната. Понятието за съгласувано използване трябва да се тълкува стеснително. [Изм. 16]

(25б)

Обработването на лични данни в нарушение на националните разпоредби, приети в съответствие с настоящата директива, следва да бъде прекратено. [Изм. 17]

(26)

На личните данни, които по своето естество са особено чувствителни що се отнася до и уязвими по отношение на основните права или правото на неприкосновеност на личния живот, включително генетични данни, се полага специална защита. Такива данни не следва да се обработват, освен ако обработването е изрично разрешено със закон, който необходимо за изпълнението на задача, която се осъществява в обществен интерес, на основание на правото на Съюза или на държава членка, което предвижда подходящи мерки за защита на основните права и законните интереси на субекта на данните,; или ако обработването е необходимо, за да бъдат защитени жизненоважни интереси на субекта на данните или на друго лице, или ако обработването касае данни, които явно са направени обществено достояние от субекта на данните. Чувствителни лични данни следва да се обработват само ако те допълват други лични данни, които вече се обработват за целите на правоприлагането. Всяка дерогация на забраната за обработване на чувствителни данни следва да се тълкува стеснително и да не води до често, масово или структурно обработване на чувствителни лични данни. [Изм. 18]

(26a)

Обработването на генетични данни следва да бъде позволено единствено ако съществува генетична връзка, която се установява в хода на наказателно разследване или съдебна процедура. Генетичните данни следва да се съхраняват единствено доколкото е строго необходимо за целите на подобни разследвания или процедури, като същевременно държавите членки могат да предвидят по-дълго съхраняване съгласно условията, посочени в настоящата директива. [Изм. 19]

(27)

Всяко физическо лице следва да има право да не бъде обект на налагане на мярка, която се основава единствено на частично или пълно профилиране чрез автоматизирано обработване, ако тя . Подобно обработване, което води до неблагоприятни правни последици за лицето или оказва значително въздействие върху него , следва да бъде забранено, освен ако това е разрешено от закона и при условие, че са предвидени подходящи мерки за защита на основните права и на законните интереси на субекта на данните , включително правото да му бъде предоставена съдържателна информация относно логиката, използвана при създаването на профила . При никакви обстоятелства такова обработване не трябва да съдържа или да генерира специални категории данни или да дискриминира въз основа на тях. [Изм. 20]

(28)

За да се даде възможност на засегнатите лица да упражняват правата си, всяка информация, предназначена за тях, следва да бъде лесно достъпна и разбираема, като се използват ясни и недвусмислени формулировки. Тази информация следва да бъде адаптирана към потребностите на субекта на данните, по-специално когато информацията е конкретно насочена към дете. [Изм. 21]

(29)

Следва да се предвидят условия за улесняване на субектите на данни при упражняването на правата им по настоящата директива, включително механизми за безплатно искане на достъп до данни, коригиране и заличаване. Администраторът следва да бъде задължен да отговаря на исканията на субекта на данни без излишно забавяне и в срок от един месец от получаването на искането . Когато личните данни се обработват с автоматични средства, администраторът следва да осигури средства за подаване на искания по електронен път. [Изм. 22]

(30)

Принципът на добросъвестно и прозрачно обработване изисква субектите на данни да бъдат информирани по-специално за наличието на дейност по обработване и за нейните цели, за правното й основание, за продължителността на съхранение на данните, за съществуването на право на достъп, коригиране или заличаване и за правото да се подават жалби. Освен това субектът на данните следва да бъде информиран, ако се създава профил, както и за последиците от това. Когато данните се събират от субекта на данни, същият следва да бъде информиран и относно това дали е задължен да предостави данните и относно последствията, ако не предостави тези данни. [Изм. 23]

(31)

Информацията относно обработването на лични данни, свързани със субекта на данните, следва да се предоставя на субектите в момента на събирането или, ако данните не са получени от субекта на данни, в момента на записване или в рамките на разумен срок след събирането на данните, като се вземат предвид конкретните обстоятелства, при които данните се обработват.

(32)

Всяко лице следва да има право на достъп до събраните данни, които го засягат, и да упражнява това право лесно, за да бъде информирано и да проверява законосъобразността на обработването. Поради това всеки субект на данни следва да има правото да е наясно и да получава информация, по-специално относно целите, за които се обработват данните, за правното основание, за какъв срок, кои са получателите на данните, включително в трети държави , разбираема информация за логиката, включена във всяко автоматизирано обработване, и неговите важни и предвидени последствия, ако това е приложимо, както и правото да се внесе жалба до надзорния орган и неговите данните за връзка . Субектите на данните следва да могат да получават копие от личните им данни, които се обработват. [Изм. 24]

(33)

На държавите членки следва да се разреши да приемат законодателни мерки, които забавят, или ограничават или водят до пропускане на информирането на субектите на данни или достъпа до техните лични данни до такава степен и за толкова време, за колкото такова частично или пълно ограничаване представлява необходима и пропорционална мярка в едно демократично общество, като надлежно се вземат под внимание основните права и законните интереси на засегнатото лице, за да се избегне възпрепятстване на официални или съдебни проучвания, разследвания или процедури, да се избегне засягане на предотвратяването, разкриването, разследването и наказателното преследване на престъпления или изпълнението на наказателни санкции, за да се защити обществената или националната сигурност или за да се защитят субектът на данните или правата и свободите на други лица. Администраторът следва да направи оценка, чрез конкретно и индивидуално проучване, на всеки един случай по отношение на това дали следва да се приложи частично или пълно ограничаване на правото на достъп. [Изм. 25]

(34)

Всеки отказ или ограничаване на достъпа следва да бъдат представени в писмен вид на субекта на данните, включително фактическите или правните основания, на които се основава решението.

(34a)

Всяко ограничение на правата на субекта на данни трябва да бъде в съответствие с Хартата и с Европейската конвенция за защита на правата на човека и основните свободи, както става ясно от съдебната практика на Съда на Европейския съюз и Европейския съд по правата на човека, и по-специално като се зачита същността на правата и свободите. [Изм. 26]

(35)

Когато държавите членки са приели законодателни мерки, които ограничават изцяло или частично правото на достъп, субектът на данни следва да има правото да поиска от компетентния национален надзорен орган да провери законосъобразността на обработването. Субектът на данни следва да бъде информиран за това право. Когато правото на достъп се упражнява от надзорния орган от името на субекта на данните, последният следва да бъде информиран от надзорния орган най-малко за това, че посоченият орган е извършил всички необходими проверки, както и за резултатите относно законосъобразността на въпросното обработване. Надзорният орган също така следва да информира субекта на данните за неговото право да потърси правна защита. [Изм. 27]

(36)

Всяко лице следва да има право да поиска коригиране на неточни или незаконно обработени лични данни, отнасящи се за него, както и право на заличаване на данните, когато обработването им не е в съответствие с основните принципи, установени с разпоредбите , предвидени в настоящата директива. Такова коригиране, допълване или заличаване следва да се съобщава на получателите, на които са били разкрити данните, както и на трети страни, от които произхождат неточните данни. Администраторите следва също така се въздържат от по-нататъшно разпространение на такива данни. Когато личните данни се обработват в хода на наказателно разследване и наказателно производство, правото на получаване на информация, правото на достъп, коригиране, заличаване и ограничаване на обработването могат да се упражняват в съответствие с националните разпоредби относно съдебните производства. [Изм. 36]

(37)

Следва да се въведе цялостна отговорност на администратора за всяко обработване на лични данни, извършено от него самия или от негово име. По-специално администраторът следва да гарантира и да бъде задължен да доказва съответствието на операциите всяка операция по обработване с разпоредбите, приети съгласно настоящата директива. [Изм. 29]

(38)

Защитата на правата и свободите на субектите на данни с оглед на обработването на лични данни изисква приемане на подходящи технически и организационни мерки, за да се гарантира, че са изпълнени изискванията на настоящата директива. За да се гарантира съответствие с разпоредбите, приети съгласно настоящата директива, администраторът следва да одобри стратегии и да въведе подходящи мерки, които отговарят по-специално на принципите за защита на данните още при проектирането и за защита на данните по подразбиране.

(39)

Защитата на правата и свободите на субектите на данни, както и отговорността, която носят администраторите и обработващите лични данни, налагат ясно определяне на отговорностите съгласно настоящата директива, включително в случаите когато администраторът определя целите, условията и средствата на обработването съвместно с други администратори или когато действие по обработване се извършва от името на администратор. Субектът на данни следва да има правото да упражнява своите права съгласно настоящата директива по отношение на и срещу всеки двама или повече съвместни администратори. [Изм. 30]

(40)

Администраторът или обработващият лични данни следва да водят документация за дейностите по обработване, за да се даде възможност за упражняване на контрол за съответствие с настоящата директива. Всеки администратор и обработващ лични данни следва да бъде задължен да оказва съдействие на надзорния орган и да предоставя тази документация при поискване, за да може тя да бъде използвана при упражняване на контрол върху дейностите по обработване.

(40a)

Всяка операция по обработване на лични данни се вписва с цел проверка на законосъобразността на обработването на данните, самонаблюдение и осигуряване на подходяща цялост и сигурност на данните. Това вписване следва да бъде предоставено при поискване на надзорния орган, с цел да се наблюдава спазването на разпоредбите, предвидени в настоящата директива. [Изм. 31]

(40б)

Администраторът или обработващите лични данни следва да извършат оценка на въздействието, когато операциите по обработването могат да породят конкретен риск за правата и свободите на субектите на данни поради тяхното естество, обхвата или целите им, като тази оценка следва да включва по-специално предвижданите мерки, гаранции и механизми за осигуряване на защитата на личните данни и за доказване на съответствие с разпоредбите на настоящата директива. Оценките на въздействието следва да се отнасят до съответните системи и процеси на операциите по обработване на лични данни, а не до отделни случаи. [Изм. 32]

(41)

За да се гарантира ефективна защита на правата и свободите на субектите на данни посредством превантивни действия, в определени случаи администраторът или обработващият данни следва да се консултират с надзорния орган преди обработването да започне. Освен това, когато оценката на въздействието на защитата на данните показва, че има вероятност операциите по обработване да представляват висока степен на конкретни рискове за правата и свободите на субектите на данни, надзорният орган следва да бъде в състояние да предотврати, преди започването на операциите, рисковото обработване, което не е в съответствие с настоящата директива, и да направи предложения за коригиране на такава ситуация. Такива консултации могат да се извършват също и в хода на изготвянето на мярка на националния парламент или на мярка, основаваща се на такава законодателна мярка, която определя характера на обработването и създава подходящи гаранции. [Изм. 33]

(41a)

С цел да се поддържа сигурността и да се предотврати обработване, което е в нарушение на настоящата директива, администраторът или обработващият лични данни следва да извърши оценка на рисковете, свързани с обработването, и да предприеме мерки за намаляване на тези рискове. Тези мерки следва да гарантират подходящо ниво на сигурност, като се вземат предвид достиженията на техническия прогрес и разходите за тяхното прилагане по отношение на рисковете и естеството на личните данни, които следва да бъдат защитени. При установяването на технически стандарти и организационни мерки с оглед на гарантиране на сигурността на обработването следва да бъде насърчавана технологичната неутралност. [Изм. 34]

(42)

Нарушаването на сигурността на личните данни може, ако не бъде овладяно по подходящ и навременен начин и навреме, да причини на засегнатото физическо лице значителни икономически загуби и социални вреди, включително увреждане на репутацията на засегнатото лице измами с фалшива самоличност . Поради това, веднага щом установи такова нарушение администраторът следва да уведоми за него компетентния национален орган. Физическите лица, за чиито лични данни и неприкосновеност на личния живот подобни нарушения на сигурността могат да имат неблагоприятни последици, следва да бъдат уведомени незабавно, за да им се даде възможност да предприемат необходимите предпазни мерки. Следва да се счита, че дадено нарушение на сигурността има неблагоприятни последици върху личните данни или неприкосновеността на личния живот на дадено физическо лице, ако то може да доведе например до кражба на самоличност или измама с фалшива самоличност, телесна повреда, значително накърняване на достойнството или на репутацията във връзка с обработването на лични данни. Уведомяването следва да включва информация за мерките, предприети от доставчика, за овладяване на нарушаването, както и препоръки към засегнатия абонат или засегнатото лице. Субектите на данни следва да бъдат уведомявани веднага щом това е разумно осъществимо и в тясно сътрудничество с надзорния орган, като се спазват насоките, предоставени от него. [Изм. 35]

(43)

При установяване на подробни правила за формàта и процедурите, приложими за уведомяването за нарушения на сигурността на личните данни, следва да се отдаде необходимото внимание на обстоятелствата, свързани с нарушението, включително дали личните данни са били защитени чрез подходящи технически мерки за защита, ефективно ограничаващи вероятността за извършване на злоупотреба. Освен това при такива правила и процедури следва да се отчитат законните интереси на компетентните органи в случаи, когато ранното разкриване може ненужно да попречи на разследването на обстоятелствата, свързани с нарушението на сигурността.

(44)

Администраторът или обработващият лични данни следва да определи лице, което да го подпомага при осъществяването на контрол за и доказване на съответствие с разпоредбите, приети съгласно настоящата директива. Едно Когато няколко компетентни органа действат под надзора на централен орган, поне този централен орган следва да назначи такова длъжностно лице по защита на данните може да бъде назначено съвместно от няколко организационни единици на компетентния орган. Длъжностните лица по защита на данните трябва да бъдат в състояние да изпълняват своите задължения и задачи независимо и ефективно , по-специално като определят правила за избягване на конфликти на интереси с други задачи, изпълнявани от длъжностното лице по защита на данните . [Изм. 36]

(45)

Държавите членки следва да гарантират, че данни се предават на трета държава единствено, ако това конкретното предаване е необходимо за предотвратяването, разследването, разкриването или наказателното преследване на престъпления или за изпълнението на наказателни санкции и администраторът в третата държава или международната организация представлява компетентен публичен орган по смисъла на настоящата директива. Предаване може да се извърши, ако Комисията е решила, че въпросната трета държава или международна организация гарантира адекватно ниво на защита или когато са представени подходящи гаранции или когато подходящите гаранции са представени посредством правно обвързващ инструмент . Данни, предадени на компетентни публични органи в трети държави, не следва да бъдат допълнително обработвани за цели, различни от тази, за която са предадени. [Изм. 37]

(45a)

Допълнителни последващи предавания от страна на компетентните органи в трети държави или международни организации, на които са предадени лични данни, следва да бъдат разрешени само ако последващото предаване е необходимо за същата конкретна цел като първоначалното предаване и вторият получател също е компетентен обществен орган. Допълнителни последващи предавания не следва да се разрешават за общи цели, свързани с правоприлагането. Компетентният орган, извършил първоначалното предаване, следва да е изразил съгласие с последващото предаване. [Изм. 38]

(46)

Комисията може да реши, с действие по отношение на целия Съюз, че определени трети държави или територия или обработващ данни сектор в трета държава, или международна организация предоставят адекватно ниво на защита на данните, с което се осигуряват правна сигурност и еднообразие навсякъде в Съюза по отношение на третите държави или международни организации, за които се смята, че предоставят такова ниво на защита. В тези случаи предаването на лични данни на тези държави може да се извършва, без да е необходимо допълнително разрешение.

(47)

В съответствие с основните ценности, въз основа на които е създаден Съюзът, по-специално защитата на правата на човека, Комисията следва да вземе предвид как се зачитат в дадената трета държава принципите на правовата държава, достъпът до правосъдие, както и международните норми и стандарти за правата на човека.

(48)

Комисията следва да може по същия начин да приеме, че дадена трета държава, или територия или обработващ данни сектор в трета държава, или дадена международна организация не предоставя адекватно ниво на защита на данните. В резултат на това предаването на лични данни на тази трета държава следва да бъде забранено, освен когато то се извършва въз основа на международно споразумение, подходящи гаранции или дерогация. Следва да се предвидят процедури за провеждането на консултации между Комисията и такива трети държави или международни организации. Подобно решение на Комисията не премахва обаче възможността за извършване на прехвърляния на данни въз основа на подходящи гаранции посредством правно обвързващи инструменти или на дерогация, предвидена в настоящата директива. [Изм. 39]

(49)

Прехвърляния, които не се основават на такова решение относно адекватността, следва да бъдат позволени единствено когато в правно обвързващ инструмент са предоставени подходящи гаранции, които осигуряват защитата на личните данни, или когато администраторът или обработващият лични данни е извършил оценка на всички обстоятелства около операцията по прехвърляне на данни или поредицата от такива операции и въз основа на тази оценка счита, че по отношение на защитата на личните данни съществуват подходящи гаранции. В случаите, при които липсват основания за разрешаване на прехвърляне следва да се позволи прилагането на дерогации, ако това е необходимо за защитата на жизненоважни интереси на субекта на данните или на друго лице или за гарантиране на законни интереси на субекта на данните, когато това е предвидено от правото на държавата членка, прехвърляща личните данни, или когато то е от особено значение за предотвратяването на непосредствена и сериозна заплаха за обществената сигурност на държава членка или на трета държава, или в отделни случаи — за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции, или в отделни случаи — за установяването, упражняването или защитата на правни претенции. [Изм. 40]

(49a)

В случаите, при които липсват основания за разрешаване на прехвърляне, следва да се позволи прилагането на дерогации, ако това е необходимо за защитата на жизненоважни интереси на субекта на данните или на друго лице или за гарантиране на законни интереси на субекта на данните, когато това е предвидено от правото на държавата членка, прехвърляща личните данни, или когато то е от особено значение за предотвратяването на непосредствена и сериозна заплаха за обществената сигурност на държава членка или на трета държава или в отделни случаи — за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции, или в отделни случаи — за установяването, упражняването или защитата на правни претенции. Тези дерогации следва да се тълкуват стеснително и да не се позволява нито често, масово и структурно предаване на лични данни, нито мащабно предаване на данни, а то следва да бъде ограничено до строго необходимото. Освен това решението за предаване на данни следва да бъде взето от надлежно оправомощено лице, като това предаване трябва да бъде документирано и следва да се предостави на надзорния орган при поискване с цел наблюдение на законосъобразността на предаването. [Изм. 41]

(50)

Трансграничното движение на лични данни може да увеличи риска физическите лица да не могат да упражнят правата на защита на данните, за да се защитят срещу неправомерна употреба или разкриване на тези данни. В същото време надзорните органи могат да бъдат изправени пред невъзможността да разглеждат жалби или да провеждат разследвания, свързани с дейности, извършвани извън техните граници. Техните усилия за сътрудничество в трансграничния контекст могат да бъдат възпрепятствани също от недостатъчни правомощия за предотвратяване или защита, от различаващи се правни режими. Ето защо е необходимо да се насърчава по-тясното сътрудничество между надзорните органи по защита на данните, за им се помогне да обменят информация със своите международни партньори.

(51)

Създаването в държавите членки на надзорни органи, които изпълняват функциите си при пълна независимост, е съществен елемент от защитата на физическите лица по отношение на обработването на личните им данни. Надзорните органи следва да наблюдават прилагането на разпоредбите съгласно настоящата директива и да допринасят за нейното съгласувано прилагане навсякъде в Съюза с цел защита на физическите лица по отношение на обработването на личните им данни. За тази цел надзорните органи следва да си сътрудничат помежду си и с Комисията. [Изм. 42]

(52)

Държавите членки могат да възложат на надзорен орган, който вече е създаден в съответната държава членка съгласно Регламент № (ЕС) …/2014, отговорността за изпълнението на задачите, които трябва да бъдат осъществявани от националните надзорни органи, които ще бъдат създадени съгласно настоящата директива.

(53)

На държавите членки следва да бъде разрешено да създават повече от един надзорен орган, за да бъде отразена тяхната конституционна, организационна и административна структура. На всеки надзорен орган следва да бъдат предоставени адекватни финансови и човешки ресурси, служебни помещения и инфраструктура, включително технически възможности, опит и умения, необходими за ефективното изпълнение на неговите задачи, включително задачите, свързани с взаимопомощ и сътрудничество с други надзорни органи навсякъде в Съюза. [Изм. 43]

(54)

Общите условия за членовете на надзорния орган следва да бъдат определени със закон във всяка държава членка и следва да предвиждат по-специално, че тези членове следва да се назначават от парламента или от правителството въз основа на консултация с парламента на държавата членка, като и да включват и правила относно личната квалификация и длъжността на тези членове. [Изм. 44]

(55)

Макар настоящата директива да се прилага и спрямо дейностите на националните съдилища, компетентността на надзорните органи не следва да обхваща обработването на лични данни когато съдилищата действат при изпълнение на съдебните си функции, за да се гарантира независимостта на съдиите при изпълнението на техните съдебни задължения. Това изключение обаче следва да бъде ограничено до действителните съдебни дейности по съдебни дела и да не се прилага за други дейности, в които съдиите могат да участват съгласно националното право.

(56)

За да се гарантира съгласувано наблюдение и прилагане на настоящата директива навсякъде в Съюза, надзорните органи следва да имат еднакви задължения и ефективни правомощия във всяка държава членка, включително ефективни правомощия за разследване, правомощие за достъп до всички лични данни и цялата информация, необходима за осъществяването на всяка надзорна функция, правомощие за достъп до всички служебни помещения на администратора или обработващия лични данни, включително оборудването за обработване на данни и правнообвързваща намеса, вземане на решения и налагане на санкции, особено в случаи на жалби от физически лица, както и правомощие да участват в съдебни производства. [Изм. 45]

(57)

Всеки надзорен орган следва да разглежда жалбите, подадени от субект на данни, и да извършва разследване по въпроса. Разследването въз основа на жалба следва да се извършва под съдебен контрол и в целесъобразна за конкретния случай степен. Надзорният орган следва да информира субекта на данните за напредъка и резултата от жалбата в разумен срок. Ако случаят изисква допълнително разследване или координиране с друг надзорен орган, на субекта на данните следва да бъде предоставена междинна информация.

(58)

Надзорните органи следва да си сътрудничат при изпълнението на своите задължения и взаимно да се подпомагат, за да се гарантира съгласуваното прилагане и изпълнение на разпоредбите, приети съгласно настоящата директива. Всеки надзорен орган следва да има готовност да участва в съвместни операции на надзорните органи. Надзорният орган, до който е отправено искането, следва да бъде длъжен да отговори в определен срок на искането. [Изм. 46]

(59)

Европейският комитет по защита на данните, създаден с Регламент (ЕС) № …/2012 2014 , следва да допринася за съгласуваното прилагане на настоящия регламент настоящата директива навсякъде в Съюза, включително като съветва Комисията и институциите на Съюза, насърчава сътрудничеството на надзорните органи в Съюза и представя своето становище на Комисията при подготовката на делегирани актове и актове за изпълнение въз основа на настоящата директива . [Изм. 47]

(60)

Всеки субект на данни следва да има право да подаде жалба до надзорен орган във всяка държава членка, както и право на средства за съдебна защита, ако счита, че правата му по настоящата директива са нарушени или ако надзорният орган не предприеме действия по подадена жалба или не предприеме действия, когато такива са необходими, за да се защитят правата на субекта на данни.

(61)

Всяка структура, организация или сдружение, чиято цел е да защитава правата и интересите на субектите на данни по отношение на защитата на техните данни, действащо в обществен интерес и учредено съгласно правото на държава членка, следва да има право да подава жалби или да упражнява правото на съдебна защита от името на субектите на данни, ако е надлежно оправомощено от тях, или да подава жалби от свое име, независимо от жалбата на даден субект на данни, когато счита, че е извършено нарушение на сигурността на личните данни. [Изм. 48]

(62)

Всяко физическо или юридическо лице следва да има право на средства за съдебна защита срещу решенията на надзорен орган, които го засягат. Производствата срещу даден надзорен орган следва да бъдат завеждани пред съдилищата на държавата членка, в която е установен надзорният орган.

(63)

Държавите членки следва да гарантират, че за да бъдат ефективни, съдебните искове позволяват бързо приемане на мерки за поправяне или предотвратяване на нарушение на настоящата директива.

(64)

Всички вреди, включително неимуществени вреди, които дадено лице може да претърпи в резултат на неправомерно обработване на данни, следва да бъдат обезщетени от администратора или обработващия лични данни, който може да бъде освободен от отговорност, ако докаже, че не е отговорен за вредите, и по-специално когато установи вина от страна на субекта на данни или в случай на непреодолима сила. [Изм. 49]

(65)

На всяко физическо или юридическо лице, което не спазва настоящата директива, следва да се налагат санкции, независимо дали то е субект на частното или публичното право. Държавите членки следва да гарантират, че санкциите са ефективни, съразмерни и възпиращи, и трябва да предприемат всички мерки за тяхното изпълнение.

(65a)

Предаването на лични данни към други органи или частни лица в Съюза е забранено, освен ако се извършва съгласно закона, а получателят е установен в държава членка и никакви законни специфични интереси на субекта на данните не възпрепятстват предаването, а предаването е необходимо в конкретни случаи, когато администраторът предава данни за изпълнението на задача, която му е законно възложена, или за предотвратяването на непосредствена и сериозна заплаха за обществената сигурност или за предотвратяването на сериозно нарушение на правата на физическите лица. Администраторът следва да уведоми получателя за целта на обработването на данни и надзорния орган за предаването. Получателят следва също така да бъде уведомен за ограниченията, свързани с обработването, и следва да гарантира спазването на тези ограничения. [Изм. 50]

(66)

С цел да бъдат постигнати целите на настоящата директива, а именно защита на основните права и свободи на физическите лица, и по-специално на тяхното право на защита на личните данни, както и за да се гарантира свободния обмен на лични данни от компетентните органи в рамките на Съюза, на Комисията следва да бъде делегирано правомощието да приема актове в съответствие с член 290 от Договора за функционирането на Европейския съюз. По-специално делегирани актове следва да бъдат приети по отношение на уведомяването на надзорния орган за , за да конкретизират критериите и условията за операциите по обработване, за които се изисква оценка на въздействието върху защитата на данните; критериите и изискванията при нарушение на сигурността на личните данни данните и относно подходящото ниво на защита, осигурявано от дадена трета държава или от територия или обработващ сектор в тази трета държава или от международна организация . От особена важност особена важност е по време на подготвителната си работа Комисията да проведе подходящи консултации Комисията да проведе подходящи консултации, включително , включително на експертно равнище , по-специално с Европейския комитет по защита на данните . При подготовката и изготвянето на делегираните актове Комисията следва да осигури едновременното и своевременно предаване на съответните документи по подходящ начин на Европейския парламент и на Съвета. [Изм. 51]

(67)

За да се гарантират еднакви условия за изпълнение на настоящата директива по отношение на изготвянето на документация от администраторите и обработващите лични данни, сигурността на обработването, по-специално във връзка със стандартите за криптиране, както и по отношение на и уведомяването на надзорния орган за нарушение на сигурността на личните данни и адекватното ниво на защита на данните, осигурявано от дадена трета държава, или територия или обработващ сектор в тази трета държава, или международна организация, на Комисията следва да бъдат предоставени изпълнителни правомощия. Тези правомощия следва да бъдат упражнявани в съответствие с Регламент (ЕС) № 182/2011 на Европейския парламент и на Съветаот 16 февруари 2011 г. за установяване на общите правила и принципи относно реда и условията за контрол от страна на държавите членки върху упражняването на изпълнителните правомощия от страна на Комисията  (6). [Изм. 52]

(68)

За приемането на мерки по отношение на изготвянето на документация от администраторите и обработващите лични данни, сигурността на обработването, и уведомяването на надзорния орган за нарушаване на сигурността на личните данни и адекватното ниво на защита, осигурявано от дадена трета държава, или територия или обработващ сектор в тази трета държава, или международна организация, следва да бъде използвана процедурата по разглеждане, доколкото тези актове са с общ характер. [Изм. 53]

(69)

Комисията следва да приеме актове за изпълнение с незабавно приложение, когато в надлежно обосновани случаи, свързани с трета държава, или територия или обработващ данни сектор в тази трета държава, или международна организация, които не осигуряват адекватно ниво на защита, наложителни причини за спешност изискват това. [Изм. 54]

(70)

Доколкото целите на настоящата директива, а именно да се защитят основните права и свободи на физическите лица и по-специално тяхното право на защита на личните им данни, както и да се гарантира свободен обмен на лични данни от компетентните органи в Съюза, не могат да бъдат постигнати в достатъчна степен от държавите членкии следователно поради обхвата или последиците от действието , а поради обхвата или последиците от действието могат да бъдат по-добре постигнати на равнището на Съюза, Съюзът може да приеме мерки в съответствие с принципа на субсидиарност, уреден в член 5 от Договора за Европейския съюз. В съответствие с принципа на пропорционалност, уреден в същия член, настоящата директива не надхвърля необходимото за постигане на тези цели. Държавите членки могат да предвиждат по-високи стандарти от тези, установени в настоящата директива. [Изм. 55]

(71)

Рамково решение 2008/977/ПВР следва да бъде отменено с настоящата директива.

(72)

Специалните разпоредби относно обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции, съдържащи се в актове на Съюза, приети преди датата на приемане на настоящата директива, с които се регламентират обработването на лични данни между държавите членки или достъпът на определени органи на държавите членки до информационни системи, създадени съгласно Договорите, следва да не бъдат засегнати. Тъй като член 8 от Хартата на основните права и член 16 от ДФЕС постановяват, че основното право на защита на личните данни следва да се гарантира последователно и по еднообразен начин в целия Съюз, в рамките на две години от влизане в сила на настоящата директива Комисията следва да извърши оценка на ситуацията по отношение на връзката между настоящата директива и актовете, приети преди датата на нейното приемане, които регламентират обработването на лични данни между държавите членки или достъпа на определените органи на държавите членки до информационни системи, създадени съгласно Договорите, за да прецени необходимостта от съгласуване на тези специални разпоредби с и следва да представи съответните предложения, с цел да осигури последователни и еднообразни правни норми във връзка с обработването на лични данни от компетентните органи или с достъпа на определените органи на държавите членки до информационни системи, създадени съгласно Договорите, както и обработването на лични данни от институции, органи, служби и агенции на Съюза за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или за изпълнението на наказателни санкции в рамките на приложното поле на настоящата директива. [Изм. 56]

(73)

За да се гарантира цялостна и съгласувана защита на личните данни в Съюза международните споразумения, сключени от Съюза или от държавите членки преди влизането в сила на настоящата директива, следва да бъдат изменени, така че да бъдат хармонизирани с директивата. [Изм. 57]

(74)

Настоящата директива не засяга разпоредбите относно борбата със сексуалното насилие и със сексуалната експлоатация на деца, както и с детската порнография, установени с Директива 2011/93/ЕС на Европейския парламент и на Съвета (7)

(75)

В съответствие с член 6а от Протокол № 21 относно позицията на Обединеното кралство и Ирландия по отношение на пространството на свобода, сигурност и правосъдие, приложен към Договора за Европейския съюз и към Договора за функционирането на Европейския съюз, Обединеното кралство и Ирландия не са обвързани от разпоредбите на настоящата директива когато Обединеното кралство и Ирландия не са обвързани от правилата, уреждащи формите на съдебно сътрудничество по наказателноправни въпроси или на полицейско сътрудничество, в рамките на които трябва да бъдат съблюдавани разпоредбите, установени въз основа на член 16 от Договора за функционирането на Европейския съюз.

(76)

В съответствие с членове 2 и 2а от Протокол № 22 относно позицията на Дания, приложен към Договора за Европейския съюз и към Договора за функционирането на Европейския съюз, Дания не е обвързана от настоящата директива, нито от нейното прилагане. Доколкото настоящата директива представлява развитие на достиженията на правото от Шенген, съгласно част трета, дял V от Договора за функционирането на Европейския съюз, в срок от шест месеца след приемането на настоящата директива Дания взема решение, в съответствие с член 4 от посочения Протокол, дали да я въведе в националното си право. [Изм. 58]

(77)

По отношение на Исландия и Норвегия настоящата директива представлява развитие на разпоредбите на достиженията на правото от Шенген по смисъла на Споразумението, сключено от Съвета на Европейския съюз и Република Исландия и Кралство Норвегия за асоциирането на последните в процеса на изпълнение, прилагане и развитие на достиженията на правото от Шенген (8).

(78)

По отношение на Швейцария настоящата директива представлява развитие на разпоредбите на достиженията на правото от Шенген по смисъла на Споразумението между Европейския съюз, Европейската общност и Конфедерация Швейцария относно асоциирането на Конфедерация Швейцария към изпълнението, прилагането и развитието на достиженията на правото от Шенген (9).

(79)

По отношение на Лихтенщайн настоящата директива представлява развитие на разпоредбите на достиженията на правото от Шенген по смисъла на Протокола между Европейския съюз, Европейската общност, Конфедерация Швейцария и Княжество Лихтенщайн относно присъединяването на Княжество Лихтенщайн към Споразумението между Европейския съюз, Европейската общност и Конфедерация Швейцария относно асоциирането на Конфедерация Швейцария към изпълнението, прилагането и развитието на достиженията на правото от Шенген (10).

(80)

Настоящата директива зачита основните права и спазва принципите, признати в Хартата и залегнали в Договора, и по-специално правото на зачитане на личния и семейния живот, правото на защита на личните данни, правото на ефективни правни средства за защита и на справедлив съдебен процес. Ограниченията, наложени върху тези права, са в съответствие с член 52, параграф 1 от Хартата, тъй като са необходими, за да се отговори на признати от Съюза цели от общ интерес или на необходимостта да се защитят правата и свободите на други хора.

(81)

Съгласно Съвместната политическа декларация от 28 септември 2011 г. на държавите членки и на Комисията относно обяснителните документи (11), държавите членки са се задължили в обосновани случаи да прилагат към съобщението за мерките си за транспониране един или повече документи, обясняващи връзката между компонентите на дадена директива и съответните елементи от националните инструменти за транспониране. По отношение на настоящата директива законодателят смята, че предоставянето на такива документи е обосновано.

(82)

Настоящата директива не следва да възпрепятства държавите членки да привеждат в действие упражняването на правата на субектите на данни във връзка с информацията, достъпа, коригирането, заличаването и ограничаването на личните им данни, обработвани в хода на наказателно производство, и евентуалното ограничаване на тези права, в националните разпоредби относно наказателното производство,

а)

защитават основните права и свободи на физическите лица и по-специално правото им тяхното право на защита на личните им данни и на неприкосновеност на личния им живот , и

б)

гарантират, че обменът на лични данни от компетентните органи в Съюза не се ограничава, нито забранява по причини, свързани със защитата на физическите лица по отношение на обработването на лични данни.

а)

в хода на дейности, които са извън приложното поле на правото на Съюза, и по-специално такива, свързани с националната сигурност;

б)

от институциите, органите, службите и агенциите на Съюза. [Изм. 60]

1)

„субект на данни“ означава физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или косвено чрез средства, за които с основание се предполага, че е възможно да бъдат използвани от администратора или от всяко друго физическо или юридическо лице, по-специално чрез идентификационен номер, данни за местонахождение, онлайн идентификатори или чрез един или повече признаци, специфични за неговата физическа, физиологична, генетична, психическа, икономическа, културна или социална идентичност;

2)

„лични данни“ означава всяка информация, свързана с даден физическо лице с установена или подлежаща на установяване самоличност („ субект на данни“); лице с подлежаща на установяване самоличност е лице, чиято самоличност може пряко или косвено да се установи, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, уникален идентификатор или чрез един или повече фактори, специфични за физическата, физиологическата, генетичната, психическата, икономическата, културната или социалната самоличност на това лице или за половата му идентичност ;

2a)

„данни под псевдоним“ означава лични данни, които не могат да бъдат свързани с конкретен субект на данни, без да се използва допълнителна информация, доколкото тази допълнителна информация се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира невъзможността да се направи такова свързване;

3)

„обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друга форма на предоставяне на данните, подреждане или комбиниране, ограничаване, заличаване или унищожаване;

3a)

„профилиране“ означава всяка форма на автоматизирано обработване на лични данни, имащо за цел да се оценят определени лични аспекти, свързани с дадено физическо лице, или да се анализира или прогнозира по-специално изпълнението на професионалните му задължения, неговото икономическо положение, местоположение, здравословно състояние, лични предпочитания, надеждност или поведение;

4)

„ограничаване на обработването“ означава маркиране на съхранявани лични данни с цел ограничаване на обработването им в бъдеще;

5)

„регистър на лични данни“ означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;

6)

„администратор“ означава компетентен публичен орган, който сам или съвместно с други определя целите, условията и средствата за обработването на лични данни; когато целите, условията и средствата за обработването се определят от правото на Съюза или от това на държава членка, администраторът или специалните критерии за неговото назначаване могат да бъдат определени в правото на Съюза или в това правото на държава членка;

7)

„обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;

8)

„получател“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни;

9)

„нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;

10)

„генетични данни“ означава всички данни, от всякакъв вид, свързани с белезите на дадено физическо лице, които са наследствени или са придобити по време на ранното пренатално развитие;

11)

„биометрични данни“ означава всички лични данни, свързани с физическите, физиологичните или поведенческите характеристики на дадено физическо лице, които позволяват неговата уникална идентификация, като лицеви изображения или дактилоскопични данни;

12)

„данни за здравословното състояние“ означава всяка информация, която се отнася всички лични данни, които се отнасят до физическото или психическото здраве на дадено физическо лице или до предоставянето на здравни услуги на физическото лице;

13)

„дете“ означава всяко лице на възраст под 18 години;

14)

„компетентни органи“ означава всеки публичен орган, компетентен по отношение на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции;

15)

„надзорен орган“ означава публичен орган, създаден от държава членка в съответствие с член 39. [Изм. 61]

а)

обработвани добросъвестно и в съответствие със закона , добросъвестно и по прозрачен и проверим начин по отношение на субекта на данните ;

б)

събирани за конкретни, изрично указани и законни цели и да не се обработват допълнително по начин, който е несъвместим с тези цели;

в)

подходящи, релевантни и не надхвърлят необходимото ограничени до минимума, необходим във връзка с целите, за които данните се обработват; те се обработват само ако и дотолкова доколкото целите не могат да бъдат постигнати без обработването на информация, която не включва лични данни;

г)

точни и, когато е необходимо, актуализирани; трябва да се предприемат всички разумни мерки, за да се гарантира своевременното заличаване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват;

д)

съхранявани във вид, който позволява идентифицирането на субектите на данните за период не по-дълъг от необходимия за целите, за които се обработват личните данни;

е)

обработвани под ръководството и отговорността на администратора, който осигурява и може да докаже спазването на разпоредбите, приети съгласно настоящата директива;

еa)

обработвани по начин, който дава ефективна възможност на субекта на данните да упражни правата си, както е посочено в членове 10—17;

еб)

обработвани по начин, който осигурява защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки;

ев)

обработвани само от надлежно оправомощени служители на компетентните органи в изпълнение на техните задачи. [Изм. 62]

a)

достъпът се разрешава само на надлежно оправомощени служители на компетентните органи в изпълнение на техните задачи, когато в конкретния случай има разумни основания да се счита, че обработването на лични данни значително ще допринесе за предотвратяването, разследването, откриването или наказателното преследване на престъпления или изпълнението на наказателни санкции;

б)

исканията за достъп трябва да бъдат в писмен вид и да посочват правното основание за искането;

в)

писменото искане трябва да бъде документирано; както и

г)

предвидени са подходящи гаранции, осигуряващи защитата на основните права и свободи във връзка с обработването на лични данни. Тези гаранции не накърняват и допълват специфичните условия за достъп до лични данни, като например съдебно разрешение в съответствие с правото на дадена държава членка.

а)

лица, за които има сериозни разумни основания да се счита, че са извършили или се готвят да ще извършат престъпление;

б)

лица, осъдени за престъпление;

в)

жертви на престъпление или лица, по отношение на които определени факти дават основание да се счита, че той или тя може да е жертва на престъпление; както и

г)

трети страни по престъпление, например лица, които биха могли да бъдат призовани да свидетелстват при разследвания във връзка с престъпления или при последващи наказателни производства, или лица, които могат да предоставят информация за престъпления, или познати или съучастници на някое от лицата, посочени в букви а) и б); и.

д)

лица, които не попадат в никоя от посочените по-горе категории.

a)

докато са необходими за разследването или наказателното преследване на конкретно престъпление, за да се оцени относимостта на данните към някоя от категориите, посочени в параграф 1, или

б)

когато такова обработване е необходимо за целенасочени, превантивни цели или за целите на криминален анализ, ако и докато тази цел е законна, конкретна и добре определена и обработването е строго ограничено за оценка на относимостта на данните към някоя от категориите, посочени в параграф 1. Това е предмет на редовен преглед най-малко веднъж на всеки шест месеца. Всяка допълнителна употреба е забранена.

а)

за изпълнението на задача, извършвана от компетентен орган въз основа на закона за целите, определени в член 1, параграф 1, или

б)

за спазването на правно задължение, чийто субект е администраторът, или

в)

за да бъдат защитени жизненоважни интереси на субекта на данните или на друго лице, или

г)

за предотвратяване на непосредствена и сериозна заплаха за обществената сигурност.

a)

целите на обработването;

б)

личните данни, които се обработват;

в)

конкретните цели на обработването и средствата за обработване;

г)

назначаването на администратор на лични данни или специфичните критерии за назначаване на администратора;

д)

категориите надлежно оправомощени служители на компетентните органи за обработване на лични данни;

е)

процедурата, която да се следва при обработването;

ж)

за какво могат да се използват събраните лични данни;

з)

ограниченията върху свободата на действие на компетентните органи по отношение на действията по обработването на лични данни. [Изм. 67]

a)

целта е строго необходима и пропорционална в едно демократично общество и се изисква от правото на Съюза или правото на държава членка за законна, конкретна и добре определена;

б)

обработването е строго ограничено за период, който не е по-дълъг от времето, необходимо за конкретната операция по обработване на данни;

в)

всякаква допълнителна употреба за други цели е забранена.

a)

конкретните цели и средствата за конкретното обработване;

б)

че достъпът се разрешава само от надлежно оправомощени служители на компетентните органи в изпълнение на техните задачи, когато в конкретния случай има разумни основания да се счита, че обработването на лични данни значително ще допринесе за предотвратяването, разследването, откриването или наказателното преследване на престъпления или изпълнението на наказания; както и

в)

че са предвидени подходящи гаранции, осигуряващи защитата на основните права и свободи във връзка с обработването на лични данни.

а)

обработването е разрешено със закон, който строго необходимо и пропорционално за изпълнението на задача, която се осъществява от компетентните органи за целите, определени в член 1, параграф 1, въз основа на правото на Съюза или на правото на държава членка, което предвижда конкретни и подходящи гаранции мерки за защита на законните интереси на субекта на данни, включително специално разрешение от съдебен орган, ако се изисква от националното право ; или

б)

обработването е необходимо, за да бъдат защитени жизненоважни интереси на субекта на данни или на друго лице; или

в)

обработването касае данни, които явно са направени обществено достояние от субекта на данните , при условие че те са относими и строго необходими за преследваната цел в конкретния случай . [Изм. 69]

а)

наименованието и координати за връзка на администратора и на длъжностното лице по защита на данните;

б)

правното основание и целите на обработването, за които са предназначени личните данни;

в)

срока, за който ще се съхраняват личните данни;

г)

съществуването на право да се изиска от администратора достъп до личните данни, свързани със субекта на данните, както и тяхното коригиране, заличаване или ограничаване на обработването;

д)

правото да се подаде жалба до надзорния орган, посочен в член 39, и неговите координати за връзка;

е)

получателите или категориите получатели на личните данни, включително в трети държави или международни организации , и лицата, които имат право на достъп до тези данни съгласно законите на тази трета държава или правилата на тази международна организация, наличието или липсата на решение относно адекватността от страна на Комисията или в случай на предаване на данни, посочено в член 35 или член 36, средствата за получаване на копие от подходящите гаранции, прилагани за предаването ;

еa)

когато администраторът обработва лични данни, както е посочено в член 9, параграф 1, информация относно съществуването на обработване за мярка от вида, посочен в член 9, параграф 1, и търсеното въздействие от такова обработване върху субекта на данни, информация за логиката, използвана при профилирането, и правото на получаване на оценка от страна на човек;

еб)

информация относно мерките за сигурност, предприети с цел защита на личните данни;

ж)

всяка допълнителна информация, доколкото такава е необходима, за да се гарантира добросъвестното обработване по отношение на субекта на данните, като се отчитат конкретните обстоятелства, при които се обработват личните данни.

а)

в момента на получаване на личните данни от субекта на данните, или

б)

когато личните данни не се събират от субекта на данните, в момента на тяхното записване или в разумен срок след събирането им, като се отчитат конкретните обстоятелства, при които се обработват данните.

а)

за да се избегне възпрепятстването на официални или съдебни проучвания, разследвания или процедури;

б)

за да се избегне повлияване върху предотвратяването, разкриването, разследването и наказателното преследване на престъпления или изпълнението на наказателни санкции;

в)

за защита на обществената сигурност;

г)

за защита на националната сигурност;

д)

за защита на правата и свободите на други лица.

–a)

съобщаване на личните данни, които са в процес на обработване, и на всякаква налична информация за техния източник, както и ако е приложимо, разбираема информация за логиката, включена във всяко автоматизирано обработване;

–aa)

значението и предвидените последствия от такова обработване, най-малко в случая на мерките, посочени в член 9;

а)

целите на обработването , както и правното основание за обработването ;

б)

категориите засегнати лични данни;

в)

получателите или категориите получатели, пред които са разкрити личните данни, по-специално получателите в трети държави;

г)

срока, за който ще се съхраняват личните данни;

д)

съществуването на правото да се изиска от администратора коригиране, заличаване или ограничаване на обработването на лични данни, касаещи субекта на данните;

е)

правото да бъде подадена жалба до надзорния орган и да бъдат предоставени неговите координати за връзка.

ж)

съобщаване на личните данни, които са в процес на обработване, и на всякаква налична информация за техния източник.

а)

за да се избегне възпрепятстването на официални или съдебни проучвания, разследвания или процедури;

б)

за да се избегне повлияване върху предотвратяването, разкриването, разследването и наказателното преследване на престъпления или изпълнението на наказателни санкции;

в)

за защита на обществената сигурност;

г)

за защита на националната сигурност;

д)

за защита на правата и свободите на други лица.

а)

точността им се оспорва от субекта на данните, за срок, който позволява на администратора да провери точността на данните;

б)

личните данни трябва да бъдат запазени за доказателствени цели или за защитата на жизненоважни интереси на субекта на данните или на друго лице.

в)

субектът на данните не желае те да бъдат заличени, а изисква вместо това ограничаване на използването им.

а)

поддържане на документацията, посочена в член 23;

aa)

извършване на оценка на въздействието върху защитата на данните съгласно член 25а;

б)

спазване на изискванията за предварителна консултация съгласно член 26;

в)

изпълнение на изискванията за сигурност на данните, определени в член 27;

г)

определяне на длъжностно лице по защита на данните съгласно член 30;

гa)

изготвяне и прилагане на специфични гаранции по отношение на обработването на лични данни, свързани с деца, когато е целесъобразно.

a)

действа единствено по указания на администратора;

б)

наема единствено персонал, който е поел ангажимент за поверителност или е задължен по закон да спазва поверителност;

в)

взема всички необходими мерки съгласно член 27;

г)

ангажира друг обработващ лични данни единствено с разрешение на администратора, поради което информира администратора за намерението си да ангажира друг обработващ лични данни достатъчно своевременно, за да може администраторът да има възможност да възрази;

д)

доколкото това е възможно предвид естеството на обработването, приема с одобрението на администратора необходимите технически и организационни изисквания за изпълнението на задължението на администратора да отговаря на исканията за упражняване на правата на субектите на данни, определени в глава III;

е)

подпомага администратора да гарантира изпълнението на задълженията съгласно членове 25а—29;

ж)

връща всички резултати на администратора след приключване на обработката и не обработва по друг начин личните данни, както и заличава съществуващи копия, освен ако правото на Съюза или държавата членка изисква съхраняването им;

з)

предоставя на администратора и на надзорния орган цялата информация, необходима, за да се провери спазването на задълженията, определени в настоящия член;

и)

взема под внимание принципа на защита на данните още при проектирането и по подразбиране.

а)

наименованието и данните за контакт на администратора или на всеки съвместен администратор или обработващ лични данни;

aa)

правно обвързващо споразумение, когато са налице съвместни администратори; списък на обработващите лични данни и извършените от тях дейности;

б)

целите на обработването;

бa)

указване на онези части от организацията на обработващия лични данни или администратора, на които е възложено обработването на лични данни с конкретна цел;

бб)

описание на категорията/ите на субектите на данни и на съответните данни или категории данни;

в)

получателите или категориите получатели на лични данни;

вa)

когато е приложимо, информация относно наличието на профилиране, на мерки, основани на профилиране, и на механизми за възразяване срещу профилиране;

вб)

лесна за разбиране информация относно логиката, прилагана при всяко автоматизирано обработване;

г)

предаването на данни на трета държава или международна организация, включително посочване на тази трета държава или международна организация, и правното основание за предаване на данните ; дава се правно обяснение по същество, когато предаването е основано на член 35 или 36 от настоящата директива;

гa)

сроковете за заличаване на различните категории данни;

гб)

резултатите от проверките на мерките, предвидени в член 18, параграф 1;

гв)

указване на правното основание за операцията по обработване, за която са предназначени данните.

a)

обработването на лични данни в широкомащабни регистри на данни за целите на предотвратяването, разкриването, разследването или наказателното преследване на престъпления и за изпълнението на наказателни санкции;

б)

обработването на специални категории лични данни съобразно посоченото в член 8, на лични данни, свързани с деца, и на биометрични и свързани с местонахождението данни за целите на предотвратяването, разкриването, разследването или наказателното преследване на престъпления и за изпълнението на наказателни санкции.

в)

оценка на лични аспекти, свързани с дадено физическо лице, за анализиране или прогнозиране, по-специално на неговото поведение, която се основава на автоматизирано обработване и която има вероятност да доведе до мерки, които пораждат правни последици за лицето или го засягат в значителна степен;

г)

наблюдение на публично достъпни райони, особено когато се използват оптично-електронни устройства (видео наблюдение); или

д)

други операции по обработване, за които се изисква консултация с надзорния орган съгласно член 26, параграф 1.

a)

систематично описание на предвидените операции по обработване;

б)

оценка на необходимостта и пропорционалността на операциите по обработване във връзка с целите;

в)

оценка на рисковете за правата и свободите на субектите на данни и мерките, които са предвидени за справяне с тези рискове и свеждане до минимум на обема на обработваните лични данни;

г)

мерките за сигурност и механизмите за гарантиране на защитата на личните данни и за доказване на спазването на разпоредбите, които са приети в съответствие с настоящата директива, като се вземат предвид правата и законните интереси на субектите на данните и другите засегнати лица;

д)

общо указване на сроковете за заличаване на различните категории данни;

е)

когато е приложимо, списък на предвиденото предаване на данни на трета държава или международна организация, включително идентификацията на тази трета държава или международна организация, а в случай на предаванията на данни, посочени в член 36, параграф 2, документация за подходящите гаранции.

а)

ще бъдат обработвани специални категории данни, посочени в член 8; дадена оценка на въздействието върху защитата на данните, както е предвидена в член 25а, показва, че поради своето естество, обхват и/или цели операциите по обработване има вероятност да създадат висока степен на конкретни рискове; или

б)

видът обработване, и по-специално използването на нови технологии, механизми или процедури, води до специфични рискове за основните права и свободи, и в частност за защитата на личните данни на субектите на данните. надзорният орган счита за необходимо да извърши предварителна консултация относно определени операции по обработване, които има вероятност да създадат конкретни рискове за правата и свободите на субектите на данните поради своето естество, обхват или цели.

а)

да се откаже достъп на неупълномощени лица до оборудването, използвано за обработване на лични данни (контрол на достъпа до оборудване);

б)

да се предотврати четенето, копирането, изменянето или отстраняването на информационни носители от неупълномощени лица (контрол на информационните носители);

в)

да се предотврати въвеждането на данни от неупълномощени лица, както и извършването на проверки, изменянето или заличаването на съхранявани лични данни от неупълномощени лица (контрол на съхраняването);

г)

да се предотврати използването на автоматизирани системи за обработване на данни от неупълномощени лица чрез устройства за предаване на информация (контрол на ползвателите);

д)

да се гарантира, че лицата, на които е разрешено да използват автоматизирана система за обработване на данни, имат достъп само до данните, които са обхванати от тяхното разрешение за достъп (контрол на достъпа до данни);

е)

да се гарантира възможността за проверка и установяване на кои органи са били или могат да бъдат изпратени или предоставени лични данни чрез оборудване за предаване на данни (контрол на комуникацията);

ж)

да се гарантира възможността за последващи проверка и установяване какви лични данни са били въведени в автоматизираните системи за обработване на данни, както и кога и от кого са били въведени тези данни (контрол на въвеждането);

з)

да се предотврати четенето, копирането, изменянето или заличаването на лични данни от неупълномощени лица в хода на предаването на данните или при пренасянето им на информационни носители (контрол на пренасянето);

и)

да се гарантира възможността за възстановяване на инсталираните системи в случай на прекъсване на функционирането (възстановяване);

й)

да се гарантира изпълнението на функциите на системата, докладването за появили се във функциите дефекти (надеждност), както и недопускане на увреждане на съхраняваните лични данни вследствие на неправилно функциониране на системата (непокътнатост);

йa)

да се гарантира, в случай на обработване на чувствителни лични данни съгласно член 8, че са налице допълнителните мерки за сигурност, за да се гарантира ситуационната осведоменост за рисковете и способността да се предприемат предпазни, коригиращи и смекчаващи последствията действия в почти реално време срещу установената уязвимост или инциденти, които могат да представляват риск за данните;

а)

описание на естеството на нарушението на сигурността на личните данни, включително категориите и броя на засегнатите субекти на данни и категориите и количеството на засегнатите записи от данни;

б)

посочване на самоличността и координатите за връзка на длъжностното лице по защита на данните, посочено в член 30, или на друго звено за контакт, от което може да се получи повече информация;

в)

препоръка относно мерките за намаляване на евентуалните неблагоприятни последици от нарушението на сигурността на личните данни;

г)

описание на възможните последици от нарушението на сигурността на личните данни;

д)

описание на предложените или предприетите от администратора мерки за справяне с нарушението на сигурността на личните данни и за смекчаване на неговите въздействия .

а)

да повишава осведомеността, да информира и съветва администратора или обработващия лични данни за техните задължения в съответствие с разпоредбите, приети съгласно настоящата директива, по-специално по отношение на техническите и организационните мерки и процедури , и да документира тази дейност и получените отговори;

б)

да наблюдава изпълнението и прилагането на стратегиите по отношение на защитата на личните данни, включително възлагането на отговорности, обучаването на персонала, участващ в операциите по обработване, и свързаните с това одити;

в)

да наблюдава изпълнението и прилагането на разпоредбите, приети съгласно настоящата директива, по-специално по отношение на изискванията, свързани със защитата на данните още при проектирането, защитата на данните по подразбиране и сигурността на данните, както и по отношение на информирането на субектите на данни и техните искания при упражняване на правата им съгласно разпоредбите, приети въз основа на настоящата директива;

г)

да гарантира поддържането на документацията, посочена в член 23;

д)

да наблюдава документирането, уведомяването и съобщаването за нарушения на сигурността на личните данни съгласно членове 28 и 29;

е)

да наблюдава извършването на оценката на въздействието върху защитата на данните от администратора или обработващия лични данни и прилагането на процедурата за предварителна консултация с надзорния орган, ако съгласно член 26, параграф 1 се изисква такава;

ж)

да наблюдава отговорите на искания от надзорния орган и, в рамките на компетентността на длъжностното лице по защита на данните, да си сътрудничи с надзорния орган по искане на последния или по своя собствена инициатива;

з)

да действа като звено за контакт за надзорния орган по въпроси, свързани с обработването на данни, и, ако е необходимо, да се консултира с надзорния орган по своя собствена инициатива. [Изм. 95]

а)

предаването конкретното предаване е необходимо за предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции; както и

aa)

данните се предават на администратор в трета държава или на международна организация — публичен орган, компетентен за целите, предвидени в член 1, параграф 1; както и

aб)

условията, установени в настоящата глава, се спазват от администратора и обработващия данни, включително с цел по-нататъшно предаване на лични данни от трета държава или международна организация до друга трета държава или международна организация; както и

б)

администраторът и обработващият лични данни спазват разпоредбите, установени в настоящата глава другите разпоредби, приети в съответствие с настоящата директива ; както и ;

бa)

нивото на защита на физическите лица във връзка с обработването на лични данни, гарантирано в Съюза по силата на настоящата директива, не се понижава; както и

бб)

Комисията е решила, съгласно условията и процедурата, посочени в член 34, че въпросната трета държава или международна организация гарантира адекватно ниво на защита; или

бв)

в правно обвързващ инструмент са предвидени подходящи гаранции във връзка със защитата на личните данни, както е предвидено в член 35.

a)

по-нататъшното предаване е необходимо за същата специфична цел като първоначалното предаване; както и

б)

компетентният орган, извършил първоначалното предаване, разрешава по-нататъшното предаване. [Изм. 96]

а)

принципите на правовата държава, съответното действащо законодателство — както общото, така и секторното — включително това, което се отнася до обществената сигурност, отбраната, националната сигурност и наказателното право, както и изпълнението на това законодателство и мерките за сигурност, които се спазват в тази държава или от тази международна организация; прецедентите от съдебната практика, както и действителните и противопоставимите права, включително правото на ефективна административна и съдебна защита за субектите на данни, по-специално за онези субекти на данни, пребиваващи в Съюза, чиито лични данни се предават;

б)

съществуването и ефективното функциониране на един или повече независими надзорни органи във въпросната трета държава или международна организация, отговорни за гарантиране на спазването на правилата за защита на данните, включително достатъчно правомощия за налагане на санкции, за подпомагане и консултиране на субектите на данни при упражняването на техните права и за осъществяване на сътрудничество с надзорните органи на Съюза и на държавите членки; както и

в)

международните ангажименти, които въпросната трета държава или международна организация е поела, по-специално всички правно обвързващи конвенции или инструменти съгласно правото по отношение на защитата на личните данни .

а)

в правно обвързващ инструмент са предвидени подходящи гаранции във връзка със защитата на личните данни; или

б)

администраторът или обработващият лични данни е извършил оценка на всички обстоятелства около прехвърлянето на лични данни и е стигнал до заключението, че по отношение на защитата на личните данни съществуват подходящи гаранции.

а)

предаването е необходимо, за да бъдат защитени жизненоважни интереси на субекта на данни или на друго лице; или

б)

предаването е необходимо, за да бъдат защитени законни интереси на субекта на данните, когато законодателството на държавата членка, която предава данните, предвижда това; или

в)

предаването на данните е от съществено значение за предотвратяването на непосредствена и сериозна заплаха за обществената сигурност на държава членка или на трета държава; или

г)

предаването е необходимо в отделни случаи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или за изпълнението на наказателни санкции; или

д)

предаването е необходимо в отделни случаи за установяването, упражняването или защитата на правни претенции, свързани с предотвратяването, разследването, разкриването или наказателното преследване на конкретно престъпление или за изпълнението на конкретна наказателна санкция.

а)

разработване на ефективни механизми за международно сътрудничество с цел улесняване гарантиране на прилагането на законодателството за защита на личните данни; [Изм. 101]

б)

осигуряване на международна взаимопомощ при прилагането на законодателството за защита на личните данни, включително чрез уведомяване, препращане на жалби, помощ при разследвания и обмен на информация при условие, че има подходящи гаранции за защитата на личните данни и другите основни права и свободи;

в)

включване на съответните заинтересовани страни в обсъждания и дейности, насочени към допълнително задълбочаване на международното сътрудничество за прилагането на законодателството за защита на личните данни;

г)

насърчаване на обмена и документирането на законодателството и практиките в областта на защитата на личните данни;

гa)

изясняване и консултиране относно правораздавателни конфликти с трети държави. [Изм. 102]

6.

Всяка държава членка гарантира, че надзорният орган трябва да има свой собствен персонал, който се назначава от ръководителя на надзорния орган и e подчинен на него.

а)

създаването и статута на надзорния орган в съответствие с членове 39 и 40;

б)

необходимите квалификации, опит и умения за изпълнение на задълженията на членовете на надзорния орган;

в)

правилата и процедурите за назначаването на членовете на надзорния орган, както и правилата относно несъвместимите със служебните им задължения действия или функции;

г)

продължителността на мандата на членовете на надзорния орган, която е не по-малко от четири години, с изключение на първите назначения след влизането в сила на настоящата директива, някои от които може да са за по-кратък срок;

д)

дали членовете на надзорния орган могат да бъдат преназначавани;

е)

правилника и общите условия за изпълнение на задълженията на членовете и персонала на надзорния орган;

ж)

правилата и процедурите за прекратяване на задълженията на членовете на надзорния орган, включително ако престанат да отговарят на необходимите условия за изпълнение на техните задължения или са виновни за извършването на тежко провинение.

а)

наблюдава и гарантира прилагането на разпоредбите, приети съгласно настоящата директива, и мерките за изпълнението ѝ;

б)

разглежда жалбите, подадени от субект на данни или от сдружение, представляващо субекта на данни и надлежно упълномощено от него, в съответствие с член 50, разследва техния предмет дотолкова, доколкото това е целесъобразно, и информира субекта на данни или сдружението за напредъка и резултата от жалбата в разумен срок, особено ако е необходимо по-нататъшно разследване или координиране с друг надзорен орган;

в)

проверява законосъобразността на обработването на данните съгласно член 14 и информира в разумен срок субекта на данните за резултата от проверката или за причините, поради които проверката не е била извършена;

г)

предоставя взаимопомощ на други надзорни органи и осигурява съгласуваното прилагане и изпълнение на разпоредбите, приети по силата на настоящата директива;

д)

провежда разследвания, проверки и одити по своя инициатива или въз основа на жалба, или по искане на друг надзорен орган, и информира в разумен срок съответния субект на данни, ако той е подал жалба, за резултата от разследванията;

е)

наблюдава съответното развитие, по-специално в областта на информационните и комуникационни технологии, дотолкова доколкото то има въздействие върху защитата на личните данни;

ж)

предоставя консултации на институциите и органите на държавата членка относно законодателни и административни мерки, отнасящи се до защитата на правата и свободите на физическите лица по отношение на обработването на лични данни;

з)

предоставя консултации относно операциите по обработване съгласно член 26;

и)

участва в дейностите на Европейския комитет по защита на данните.

а)

правомощия за разследване, например правомощия за достъп до данните, които са обект на операциите по обработване, и правомощия да събира цялата информация, необходима за изпълнението на неговите надзорни функции; да уведомява администратора или обработващия лични данни за предполагаемо нарушение на разпоредбите, уреждащи обработването на лични данни, и при необходимост да разпорежда на администратора или обработващия лични данни да отстрани това нарушение по конкретен начин, за да се подобри защитата на субекта на данни;

б)

действителни правомощия за намеса, например даване на становища преди извършването на обработване и осигуряване на подходящо публикуване на тези становища, даване на разпореждания за ограничаване, заличаване или унищожаване на данни, налагане на временна или окончателна забрана за обработване, отправяне на предупреждения или порицания към администратора или отнасяне на въпроса до националните парламенти или други политически институции; да разпорежда на администратора да се съобрази с исканията на субекта на данни, свързани с упражняването на правата, предоставени от настоящата директива, включително тези, предоставени с членове 12—17, когато такива искания са били отказани в нарушение на тези разпоредби;

в)

правомощието да участва в съдебни производства, когато разпоредбите, приети по силата на настоящата директива, са нарушени, или да сезира съдебните органи за нарушение. да разпорежда на администратора или обработващия лични данни да предостави информация по силата на член 10, параграфи 1 и 2 и членове 11, 28 и 29;

г)

да осигурява спазването на становищата за предварителните консултации, посочени в член 26;

д)

да отправя предупреждения или порицания до администратора или обработващия лични данни;

е)

да разпорежда коригирането, заличаването или унищожаването на всички данни, когато са били обработени в нарушение на разпоредбите, приети съгласно настоящата директива, както и уведомяването за тези действия на трети страни, пред които са били разкрити данните;

ж)

да налага временна или окончателна забрана за обработване;

з)

да преустановява потоци от данни към получател в трета държава или към международна организация;

и)

да информира националните парламенти, правителството или други публични институции, както и обществеността по този въпрос.

a)

достъп до всички лични данни и до цялата информация, необходима за изпълнението на надзорните му функции;

б)

достъп до всички негови помещения, включително до оборудване и средства за обработване на данни, в съответствие с националното законодателство, когато съществуват разумни основания да се предполага, че в тях се осъществява дейност в нарушение на разпоредбите, приети съгласно настоящата директива, без да се засяга съдебно разрешение, ако то се изисква от националното законодателство.

a)

не е компетентен да разгледа искането; или

б)

изпълнението на искането би било несъвместимо с разпоредбите, приети съгласно настоящата директива.

а)

консултира Комисията институциите на Съюза по всеки въпрос, свързан със защитата на личните данни в Съюза, включително относно всяко предложено изменение на настоящата директива;

б)

разглежда по искане на Комисията, Европейския парламент или Съвета , по своя собствена инициатива или по инициатива на някой от своите членове всеки въпрос, който се отнася до прилагането на разпоредбите, приети съгласно настоящата директива, и издава насоки, препоръки и най-добри практики, предназначени за надзорните органи с цел насърчаване на съгласуваното прилагане на тези разпоредби, включително относно използването на правомощия за правоприлагане ;

в)

извършва преглед на практическото прилагане на насоките, препоръките и най-добрите практики, посочени в буква б), и докладва редовно на Комисията за това;

г)

предоставя на Комисията становища относно нивото на защита в трети държави или международни организации;

д)

насърчава сътрудничеството и ефективния двустранен и многостранен обмен на информация и практики между надзорните органи, включително координацията на съвместни операции и други съвместни дейности, когато вземе такова решение по искане на един или няколко надзорни органа ;

е)

насърчава общите програми за обучение и улеснява обмена на персонал между надзорните органи, както и с надзорните органи на трети държави или на международни организации, когато е целесъобразно;

ж)

насърчава обмена на знания и документация с надзорните органи по защита на данните в цял свят, включително законодателство и практики в областта на защитата на данните;

жa)

дава становището си на Комисията при подготовката на делегирани актове и актове за изпълнение съгласно настоящата директива;

a)

предаването е в съответствие със законодателството на Съюза или на държава членка; както и

б)

получателят е установен в държава — членка на Европейския съюз; както и

в)

няма специфични законни интереси на субекта на данните, които да възпрепятстват предаването; както и

г)

в конкретния случай предаването е необходимо за администратора, предаващ лични данни за: