Процедура : 2012/0010(COD)
Етапи на разглеждане в заседание
Етапи на разглеждане на документа : A7-0403/2013

Внесени текстове :

A7-0403/2013

Разисквания :

PV 11/03/2014 - 13
CRE 11/03/2014 - 13

Гласувания :

PV 12/03/2014 - 8.12
Обяснение на вота

Приети текстове :

P7_TA(2014)0219

ДОКЛАД     ***I
PDF 1851kWORD 1487k
22.11.2013
PE 501.928v03-00 A7-0403/2013

относно предложението за директива на Европейския парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции и относно свободното движение на такива данни

(COM(2012)0010 – C7‑0024/2012 – 2012/0010(COD))

Комисия по граждански свободи, правосъдие и вътрешни работи

Докладчик: Димитриос Друцас

ИЗМЕНЕНИЯ
ПРОЕКТ НА ЗАКОНОДАТЕЛНА РЕЗОЛЮЦИЯ НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ
 ИЗЛОЖЕНИЕ НА МОТИВИТЕ
 СТАНОВИЩЕ на комисията по правни въпроси
 ПРОЦЕДУРА

ПРОЕКТ НА ЗАКОНОДАТЕЛНА РЕЗОЛЮЦИЯ НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ

относно предложението за директива на Европейския парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции и относно свободното движение на такива данни

(COM(2012)0010 – C7‑0024/2012 – 2012/0010(COD))

(Обикновена законодателна процедура: първо четене)

Европейският парламент,

–   като взе предвид предложението на Комисията до Парламента и до Съвета (COM(2012)0010),

–   като взе предвид член 294, параграф 2 и член 16, параграф 2 от Договора за функционирането на Европейския съюз, съгласно които Комисията е внесла в Парламента предложението (C7-0024/2012),

–   като взе предвид член 294, параграф 3 от Договора за функционирането на ЕС,

–   като взе предвид мотивираните становища, внесени в рамките на Протокол № 2 относно прилагането на принципите на субсидиарност и пропорционалност от Бундесрата на Федерална република Германия и Риксдага на Кралство Швеция, в които се посочва, че проектът на законодателен акт не съответства на принципа на субсидиарност,

–   като взе предвид становището на Европейския надзорен орган по защита на данните от 7 март 2012 г.,

–   като взе предвид становището на Агенцията на Европейския съюз за основните права от 1 октомври 2012 г.,

–   като взе предвид член 55 от своя правилник,

–   като взе предвид доклада на комисията по граждански свободи, правосъдие и вътрешни работи и становището на комисията по външни работи (A7-0403/2013),

1.  приема изложената по-долу позиция на първо четене;

2.  изисква Комисията да се отнесе до него отново, в случай че възнамерява да внесе съществени промени в своето предложение или да го замени с друг текст;

3.  възлага на своя председател да предаде позицията на Парламента съответно на Съвета и на Комисията, както и на националните парламенти.

Изменение  1

Предложение за директива

Съображение 1

Текст, предложен от Комисията

Изменение

(1) Защитата на физическите лица във връзка с обработването на лични данни е основно право. Член 8, параграф 1 от Хартата на основните права на Европейския съюз и член 16, параграф 1 от Договора за функционирането на Европейския съюз предвиждат, че всеки има право на защита на личните му данни.

(1) Защитата на физическите лица във връзка с обработването на лични данни е основно право. Член 8, параграф 1 от Хартата на основните права на Европейския съюз и член 16, параграф 1 от Договора за функционирането на Европейския съюз предвиждат, че всеки има право на защита на личните му данни. Член 8, параграф 2 от Хартата на основните права на Европейския съюз предвижда, че такива данни трябва да бъдат обработвани добросъвестно, за точно определени цели и въз основа на съгласието на заинтересованото лице или по силата на друго предвидено от закона легитимно основание.

Изменение  2

Предложение за директива

Съображение 4

Текст, предложен от Комисията

Изменение

(4) Това изисква улесняване на свободното движение на данни между компетентните органи в Съюза и предаването им на трети държави и международни организации, като същевременно се гарантира високо ниво на защита на личните данни. Тези развития изискват изграждане на стабилна и по-съгласувана рамка за защита на данните в Съюза, подкрепена от силно правоприлагане.

(4) Това изисква улесняване на свободното движение на данни, когато това е необходимо и пропорционално, между компетентните органи в Съюза и предаването им на трети държави и международни организации, като същевременно се гарантира високо ниво на защита на личните данни. Тези развития изискват изграждане на стабилна и по-съгласувана рамка за защита на данните в Съюза, подкрепена от силно правоприлагане.

Изменение  3

Предложение за директива

Съображение 7

Текст, предложен от Комисията

Изменение

(7) Осигуряването на хомогенно и високо ниво на защита на личните данни на физическите лица и улесняването на обмена на лични данни между компетентните органи на държавите членки са от решаващо значение за осигуряването на ефективно съдебно сътрудничество по наказателноправни въпроси и полицейско сътрудничество. За тази цел, нивото на защита на правата и свободите на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции трябва да бъде еднакво във всички държави членки. Ефективната защита на личните данни навсякъде в Съюза изисква укрепване на правата на субектите на данни и на задълженията на онези, които обработват личните данни, но също и еквивалентни правомощия за наблюдение и гарантиране на спазването на правилата за защита на личните данни в държавите членки.

(7) Осигуряването на хомогенно и високо ниво на защита на личните данни на физическите лица и улесняването на обмена на лични данни между компетентните органи на държавите членки са от решаващо значение за осигуряването на ефективно съдебно сътрудничество по наказателноправни въпроси и полицейско сътрудничество. За тази цел, нивото на защита на правата и свободите на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции трябва да бъде еднакво във всички държави членки. В целия Съюз следва да се гарантира съгласувано и еднакво прилагане на правилата за защита на основните права и свободи на физическите лица във връзка с обработването на лични данни. Ефективната защита на личните данни навсякъде в Съюза изисква укрепване на правата на субектите на данни и на задълженията на онези, които обработват личните данни, но също и еквивалентни правомощия за наблюдение и гарантиране на спазването на правилата за защита на личните данни в държавите членки.

Изменение  4

Предложение за директива

Съображение 8

Текст, предложен от Комисията

Изменение

(8) В член 16, параграф 2 от Договора за функционирането на Европейския съюз се предвижда, че Европейският парламент и Съветът следва да определят правилата относно защитата на физическите лица по отношение на обработването на личните данни, както и правилата относно свободното движение на такива данни.

(8) В член 16, параграф 2 от Договора за функционирането на Европейския съюз се предвижда, че Европейският парламент и Съветът следва да определят правилата относно защитата на физическите лица по отношение на обработването на личните данни, както и правилата относно свободното движение на техните лични данни и неприкосновеността на личния им живот.

Изменение  5

Предложение за директива

Съображение 11

Текст, предложен от Комисията

Изменение

(11) Ето защо специфичното естество на тези области следва да се вземе под внимание в отделна директива, която да установи правила за защита на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции.

(11) Ето защо специфичното естество на тези области следва да се вземе под внимание в специална директива, която да установи правила за защита на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции.

Изменение  6

Предложение за директива

Съображение 15

Текст, предложен от Комисията

Изменение

(15) Защитата на физическите лица следва да бъде неутрална от технологична гледна точка и да не зависи от използваната техника; в противен случай това би създало сериозен риск от заобикаляне на закона. Защитата на физическите лица следва да се прилага за обработването на лични данни с автоматични средства, както и за ръчното им обработване, ако данните се съхраняват или са предназначени да се съхраняват в регистър на лични данни. Досиетата или групите от досиета, както и заглавните им страници, които не са структурирани съгласно специфични критерии, не следва да попадат в приложното поле на настоящата директива. Настоящата директива не следва да се прилага спрямо обработването на лични данни в хода на дейност, която е извън приложното поле на правото на Съюза, по-специално дейност, която се отнася до националната сигурност, или спрямо данни, обработвани от институциите, органите, службите и агенциите на Съюза, като Европол и Евроюст.

(15) Защитата на физическите лица следва да бъде неутрална от технологична гледна точка и да не зависи от използваната техника; в противен случай това би създало сериозен риск от заобикаляне на закона. Защитата на физическите лица следва да се прилага за обработването на лични данни с автоматични средства, както и за ръчното им обработване, ако данните се съхраняват или са предназначени да се съхраняват в регистър на лични данни. Досиетата или групите от досиета, както и заглавните им страници, които не са структурирани съгласно специфични критерии, не следва да попадат в приложното поле на настоящата директива. Настоящата директива не следва да се прилага спрямо обработването на лични данни в хода на дейност, която е извън приложното поле на правото на Съюза. Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета1 и специалните правни инструменти, приложими към агенциите, органите или службите на Съюза, следва да бъдат приведени в съответствие с настоящата директива и следва да се прилагат в съответствие с настоящата директива.

 

___________________

 

1 Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета от 18 декември 2000 г. относно защитата на физическите лица по отношение на обработката на лични данни от институциите и органите на Общността и относно свободното движение на такива данни (ОВ L 8, 12.1.2001 г., стр. 1).

Изменение  7

Предложение за директива

Съображение 16

Текст, предложен от Комисията

Изменение

(16) Принципите за защита следва да се прилагат по отношение на всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано. За да се определи дали дадено физическо лице може да бъде идентифицирано, следва да се вземат предвид всички средства, които вероятно логично биха били използвани от администратора или от което и да е друго лице за идентифициране на посоченото лице. Принципите за защита на данните не следва да се прилагат по отношение на данни, които са приведени в анонимна форма по такъв начин, че субектът на данните вече не може да бъде идентифициран.

(16) Принципите за защита следва да се прилагат по отношение на всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано. За да се определи дали дадено физическо лице може да бъде идентифицирано, следва да се вземат предвид всички средства, които вероятно логично биха били използвани от администратора или от което и да е друго лице за идентифициране или разграничаването на посоченото лице. Принципите за защита на данните не следва да се прилагат по отношение на данни, които са приведени в анонимна форма по такъв начин, че субектът на данните вече не може да бъде идентифициран. Настоящата директива не следва да се прилага по отношение на анонимни данни, тоест всички данни, които не могат да бъдат отнесени към физическо лице пряко или косвено, самостоятелно или в комбинация със свързаните с тях данни. Предвид значимостта на извършващото се понастоящем в рамките на информационното общество развитие на техниките, използвани за улавяне, предаване, манипулиране, записване, съхраняване или предаване на данни за местонахождението на физически лица, които могат да се използват за различни цели, включително за наблюдение или създаване на профили, настоящата директива следва да се прилага за обработване, включващо такива лични данни.

Изменение  8

Предложение за директива

Съображение 16 a (ново)

Текст, предложен от Комисията

Изменение

 

(16a) Всяко обработване на лични данни трябва да бъде законосъобразно, добросъвестно и прозрачно по отношение на засегнатите физически лица. По-специално, конкретните цели, за които се обработват данните, следва да бъдат ясно формулирани, законни и определени към момента на събирането на личните данни. Личните данни следва да бъдат подходящи, съответстващи и ограничени до необходимия минимум за целите, за които се обработват. По-специално, това налага ограничаване на събраните данни и на срока, за който се съхраняват, до строг минимум. Личните данни следва да се обработват единствено ако целта на обработването не може да бъде постигната чрез други средства. Следва да се предприемат всички разумни мерки, за да се гарантира коригиране или заличаване на лични данни, които са неточни. С цел да се гарантира, че данните не се съхраняват по-дълго от необходимото, администраторът следва да установи срокове за тяхното заличаване или периодичен преглед.

Изменение  9

Предложение за директива

Съображение 18

Текст, предложен от Комисията

Изменение

(18) Всяко обработване на лични данни трябва да бъде добросъвестно и законосъобразно по отношение на засегнатите физически лица. По-специално, конкретните цели, за които се обработват данните следва да бъдат ясно формулирани.

заличава се

Изменение  10

Предложение за директива

Съображение 19

Текст, предложен от Комисията

Изменение

(19) За целите на предотвратяването, разследването и наказателното преследване на престъпленията компетентните органи имат нужда да запазват и обработват лични данни, събрани в контекста на предотвратяването, разследването, разкриването или наказателното преследване на конкретни престъпления, извън този контекст, за да достигнат до разбиране на престъпните феномени и тенденции, да съберат информация относно организираните престъпни мрежи и да установят връзки между различни разкрити престъпления.

заличава се

Изменение  11

Предложение за директива

Съображение 20

Текст, предложен от Комисията

Изменение

(20) Лични данни не следва да се обработват за цели, които са несъвместими с целта, за която данните са били събрани. Личните данни следва да са подходящи, релевантни и да не надвишават необходимото за целите, за които данните се обработват. Следва да се предприемат всички разумни мерки, за да се гарантира коригиране или заличаване на лични данни, които са неточни.

заличава се

Изменение  12

Предложение за директива

Съображение 20 a (ново)

Текст, предложен от Комисията

Изменение

 

(20a) Самият факт, че две цели се отнасят до предотвратяването, разкриването, разследването и наказателното преследване на престъпления или изпълнението на наказателни санкции, не означава непременно, че те са съвместими. Въпреки това има случаи, в които следва да бъде възможна допълнителна обработка за несъвместими цели, с цел съобразяване с правно задължение, чийто субект е администраторът, за да се защитят жизненоважните интереси на субекта на данните или за предотвратяване на непосредствена и сериозна заплаха за обществената сигурност. Държавите членки следва да бъдат в състояние да приемат националното законодателство, предвидено за такива дерогации, доколкото то е строго необходимо. Такова национално законодателство трябва да съдържа подходящи гаранции.

Изменение  13

Предложение за директива

Съображение 22

Текст, предложен от Комисията

Изменение

(22) При тълкуването и прилагането на общите принципи, свързани с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции, следва да се вземат предвид особеностите на съответния сектор, включително конкретните цели, които се преследват.

заличава се

Изменение  14

Предложение за директива

Съображение 23

Текст, предложен от Комисията

Изменение

(23) При обработването на лични данни в областите на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество е нормално да се обработват лични данни, които се отнасят за различни категории субекти на данни. Ето защо трябва да се прави ясно разграничение, доколкото това е възможно, между личните данни на различните категории субекти на данни, например заподозрени, лица, осъдени за престъпление, жертви и трети страни, като свидетели, лица, притежаващи полезна информация или данни за контакт и съучастници на заподозрени и осъдени престъпници.

(23) При обработването на лични данни в областите на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество е нормално да се обработват лични данни, които се отнасят за различни категории субекти на данни. Ето защо трябва да се прави ясно разграничение, доколкото това е възможно, между личните данни на различните категории субекти на данни, например заподозрени, лица, осъдени за престъпление, жертви и трети страни, като свидетели, лица, притежаващи полезна информация или данни за контакт и съучастници на заподозрени и осъдени престъпници. Държавите членки следва да предоставят конкретни правила относно последиците от тази категоризация, като вземат предвид различните цели, за които са събират данните, и като предоставят конкретни гаранции за лица, които не са заподозрени в извършване на престъпление или не са осъждани за престъпление.

Изменение  15

Предложение за директива

Съображение 25

Текст, предложен от Комисията

Изменение

(25) За да бъде законосъобразно, обработването на лични данни следва да е необходимо за спазването на законово задължение, на което администраторът е обект, за изпълнението от компетентен орган на задача от обществен интерес, предвидена от закона, или за да бъдат защитени жизненоважните интереси на субекта на данните или на друго лице, или за предотвратяване на непосредствена и сериозна заплаха за обществената сигурност.

(25) За да бъде законосъобразно, обработването на лични данни следва да бъде разрешено единствено когато е необходимо за спазването на законово задължение, на което администраторът е обект, за изпълнението от компетентен орган на задача от обществен интерес, предвидена от правото на Съюза или правото на държава членка, което следва да съдържа ясно формулирани и подробни разпоредби най-малко по отношение на целите, личните данни, конкретните цели и средства, да определя администратора или да позволява да се определи администраторът, процедурите, които да бъдат прилагани, използването и ограниченията на обхвата на всякаква свобода на действие, предоставена на компетентните органи във връзка с дейностите по обработване.

Изменение  16

Предложение за директива

Съображение 25 a (ново)

Текст, предложен от Комисията

Изменение

 

(25a) Лични данни не следва да се обработват за цели, несъвместими с целта, за която данните са били събрани. По-нататъшно обработване от компетентните органи за цел, попадаща в приложното поле на настоящата директива, която не е съвместима с първоначалната цел, следва да бъде разрешено единствено в специални случаи, в които такова обработване е необходимо за спазването на законово задължение, основаващо се на правото на Съюза или на националното право, на което се подчинява администраторът, или за да бъдат защитени жизненоважните интереси на субекта на данните или на друго лице, или за предотвратяване на непосредствена и сериозна заплаха за обществената сигурност. Фактът, че данните се обработват за целите на правоприлагането, не означава непременно, че тези цели са съвместими с първоначалната. Понятието за съгласувано използване трябва да се тълкува стеснително.

Изменение  17

Предложение за директива

Съображение 25 б (ново)

Текст, предложен от Комисията

Изменение

 

(25б) Обработването на лични данни в нарушение на националните разпоредби, приети в съответствие с настоящата директива, следва да бъде прекратено.

Изменение  18

Предложение за директива

Съображение 26

Текст, предложен от Комисията

Изменение

(26) На личните данни, които по своето естество са особено чувствителни що се отнася до основните права или правото на неприкосновеност на личния живот, включително генетични данни, се полага специална защита. Такива данни не следва да се обработват, освен ако обработването е изрично разрешено със закон, който предвижда подходящи мерки за защита на законните интереси на субекта на данните, или ако обработването е необходимо, за да бъдат защитени жизненоважни интереси на субекта на данните или на друго лице, или ако обработването касае данни, които явно са направени обществено достояние от субекта на данните.

(26) На личните данни, които по своето естество са чувствителни и уязвими по отношение на основните права или правото на неприкосновеност на личния живот, се полага специална защита. Такива данни не следва да се обработват, освен ако обработването е изрично необходимо за изпълнението на задача, която се осъществява в обществен интерес, на основание на правото на Съюза или на националното право, което предвижда подходящи мерки за защита на основните права и законните интереси на субекта на данните; или ако обработването е необходимо, за да бъдат защитени жизненоважни интереси на субекта на данните или на друго лице, или ако обработването касае данни, които явно са направени обществено достояние от субекта на данните. Чувствителни лични данни следва да се обработват само ако те допълват други лични данни, които вече се обработват за целите на правоприлагането. Всяка дерогация на забраната за обработване на чувствителни данни следва да се тълкува стеснително и да не води до често, масово или структурно обработване на чувствителни лични данни.

Изменение  19

Предложение за директива

Съображение 26 a (ново)

Текст, предложен от Комисията

Изменение

 

(26a) Обработването на генетични данни следва да бъде позволено единствено ако съществува генетична връзка, която се установява в хода на наказателно разследване или съдебна процедура. Генетичните данни следва да се съхраняват единствено доколкото е строго необходимо за целите на подобни разследвания или процедури, като същевременно държавите членки могат да предвидят по-дълго съхраняване съгласно условията, посочени в настоящата директива.

Изменение  20

Предложение за директива

Съображение 27

Текст, предложен от Комисията

Изменение

(27) Всяко физическо лице следва да има право да не бъде обект на налагане на мярка, която се основава единствено на автоматизирано обработване, ако тя води до неблагоприятни правни последици за лицето, освен ако това е разрешено от закона и при условие, че са предвидени подходящи мерки за защита на законните интереси на субекта на данните.

(27) Всяко физическо лице следва да има право да не бъде обект на налагане на мярка, която се основава на частично или пълно профилиране чрез автоматизирано обработване. Подобно обработване, което води до правни последици за лицето или оказва значително въздействие върху него, следва да бъде забранено, освен ако това е разрешено от закона и при условие че са предвидени подходящи мерки за защита на основните права и законните интереси на субекта на данните, включително правото да му бъде предоставена съдържателна информация относно логиката, използвана при създаването на профила. При никакви обстоятелства такова обработване не трябва да съдържа или да генерира специални категории данни или да дискриминира въз основа на тях.

Изменение  21

Предложение за директива

Съображение 28

Текст, предложен от Комисията

Изменение

(28) За да се даде възможност на засегнатите лица да упражняват правата си, всяка информация, предназначена за тях, следва да бъде лесно достъпна и разбираема, като се използват ясни и недвусмислени формулировки.

(28) За да се даде възможност на засегнатите лица да упражняват правата си, всяка информация, предназначена за тях, следва да бъде лесно достъпна и разбираема, като се използват ясни и недвусмислени формулировки. Тази информация следва да бъде адаптирана към потребностите на субекта на данните, по-специално когато информацията е конкретно насочена към дете.

Изменение  22

Предложение за директива

Съображение 29

Текст, предложен от Комисията

Изменение

(29) Следва да се предвидят условия за улесняване на субектите на данни при упражняването на правата им по настоящата директива, включително механизми за безплатно искане на достъп до данни, коригиране и заличаване. Администраторът следва да бъде задължен да отговаря на исканията на субекта на данни без излишно забавяне.

(29) Следва да се предвидят условия за улесняване на субектите на данни при упражняването на правата им по настоящата директива, включително механизми за безплатно искане на достъп до данни, коригиране и заличаване. Администраторът следва да бъде задължен да отговаря на исканията на субекта на данни без забавяне и в срок от един месец от получаването на искането. Когато личните данни се обработват с автоматични средства, администраторът следва да осигури средства за подаване на искания по електронен път.

Изменение  23

Предложение за директива

Съображение 30

Текст, предложен от Комисията

Изменение

(30) Принципът на добросъвестно обработване изисква субектите на данни да бъдат информирани по-специално за наличието на дейност по обработване и за нейните цели, за продължителността на съхранение на данните, за съществуването на право на достъп, коригиране или заличаване и за правото да се подават жалби. Когато данните се събират от субекта на данни, същият следва да бъде информиран и относно това дали е задължен да предостави данните и относно последствията, ако не предостави тези данни.

(30) Принципът на добросъвестно и прозрачно обработване изисква субектите на данни да бъдат информирани по-специално за наличието на дейност по обработване и за нейните цели, за правното й основание, за продължителността на съхранение на данните, за съществуването на право на достъп, коригиране или заличаване и за правото да се подават жалби. Освен това субектът на данните следва да бъде информиран, ако се създава профил, както и за последиците от това. Когато данните се събират от субекта на данни, същият следва да бъде информиран и относно това дали е задължен да предостави данните и относно последствията, ако не предостави тези данни.

Изменение  24

Предложение за директива

Съображение 32

Текст, предложен от Комисията

Изменение

(32) Всяко лице следва да има право на достъп до събраните данни, които го засягат, и да упражнява това право лесно, за да бъде информирано и да проверява законосъобразността на обработването. Поради това всеки субект на данни следва да има правото да е наясно и да получава информация по-специално относно целите, за които се обработват данните, за какъв срок, кои са получателите на данните, включително в трети държави. Субектите на данните следва да могат да получават копие от личните им данни, които се обработват.

(32) Всяко лице следва да има право на достъп до събраните данни, които го засягат, и да упражнява това право лесно, за да бъде информирано и да проверява законосъобразността на обработването. Поради това всеки субект на данни следва да има правото да е наясно и да получава информация, по-специално относно целите, за които се обработват данните, за правното основание, за какъв срок, кои са получателите на данните, включително в трети държави, разбираема информация за логиката, включена във всяко автоматизирано обработване, и неговите важни и предвидени последствия, ако това е приложимо, както и правото да се внесе жалба до надзорния орган и неговите данните за връзка. Субектите на данните следва да могат да получават копие от личните им данни, които се обработват.

Изменение  25

Предложение за директива

Съображение 33

Текст, предложен от Комисията

Изменение

(33) На държавите членки следва да се разреши да приемат законодателни мерки, които забавят, ограничават или водят до пропускане на информирането на субектите на данни или достъпа до техните лични данни до такава степен и за толкова време, за колкото такова частично или пълно ограничаване представлява необходима и пропорционална мярка в едно демократично общество, като надлежно се вземат под внимание законните интереси на засегнатото лице, за да се избегне възпрепятстване на официални или съдебни проучвания, разследвания или процедури, да се избегне засягане на предотвратяването, разкриването, разследването и наказателното преследване на престъпления или изпълнението на наказателни санкции, за да се защити обществената или националната сигурност или за да се защитят субектът на данните или правата и свободите на други лица.

(33) На държавите членки следва да се разреши да приемат законодателни мерки, които забавят, или ограничават информирането на субектите на данни или достъпа до техните лични данни до такава степен и за толкова време, за колкото такова частично или пълно ограничаване представлява необходима и пропорционална мярка в едно демократично общество, като надлежно се вземат под внимание основните права и законните интереси на засегнатото лице, за да се избегне възпрепятстване на официални или съдебни проучвания, разследвания или процедури, да се избегне засягане на предотвратяването, разкриването, разследването и наказателното преследване на престъпления или изпълнението на наказателни санкции, за да се защити обществената или националната сигурност или за да се защитят субектът на данните или правата и свободите на други лица. Администраторът следва да направи оценка, чрез конкретно и индивидуално проучване, на всеки един случай по отношение на това дали следва да се приложи частично или пълно ограничаване на правото на достъп.

Изменение  26

Предложение за директива

Съображение 34 a (ново)

Текст, предложен от Комисията

Изменение

 

(34a) Всяко ограничение на правата на субекта на данни трябва да бъде в съответствие с Хартата на основните права на Европейския съюз и с Европейската конвенция за защита на правата на човека и основните свободи, както става ясно от съдебната практика на Съда на Европейския съюз и Европейския съд по правата на човека, и по-специално като се зачита същността на правата и свободите.

Изменение  27

Предложение за директива

Съображение 35

Текст, предложен от Комисията

Изменение

(35) Когато държавите членки са приели законодателни мерки, които ограничават изцяло или частично правото на достъп, субектът на данни следва да има правото да поиска от компетентния национален надзорен орган да провери законосъобразността на обработването. Субектът на данни следва да бъде информиран за това право. Когато правото на достъп се упражнява от надзорния орган от името на субекта на данните, последният следва да бъде информиран от надзорния орган най-малко за това, че посоченият орган е извършил всички необходими проверки, както и за резултатите относно законосъобразността на въпросното обработване.

(35) Когато държавите членки са приели законодателни мерки, които ограничават изцяло или частично правото на достъп, субектът на данни следва да има правото да поиска от компетентния национален надзорен орган да провери законосъобразността на обработването. Субектът на данни следва да бъде информиран за това право. Когато правото на достъп се упражнява от надзорния орган от името на субекта на данните, последният следва да бъде информиран от надзорния орган най-малко за това, че посоченият орган е извършил всички необходими проверки, както и за резултатите относно законосъобразността на въпросното обработване. Надзорният орган също така следва да информира субекта на данните за неговото право да потърси правна защита.

Изменение  28

Предложение за директива

Съображение 36

Текст, предложен от Комисията

Изменение

(36) Всяко лице следва да има право да поиска коригиране на неточни лични данни, отнасящи се за него, както и право на заличаване на данните, когато обработването им не е в съответствие с основните принципи, установени с настоящата директива. Когато личните данни се обработват в хода на наказателно разследване и наказателно производство, правото на получаване на информация, правото на достъп, коригиране, заличаване и ограничаване на обработването могат да се упражняват в съответствие с националните разпоредби относно съдебните производства.

(36) Всяко лице следва да има право да поиска коригиране на неточни или незаконно обработени лични данни, отнасящи се за него, както и право на заличаване на данните, когато обработването им не е в съответствие с разпоредбите, предвидени в настоящата директива. Такова коригиране, допълване или заличаване следва да се съобщава на получателите, на които са били разкрити данните, както и на трети страни, от които произхождат неточните данни. Администраторите следва също така се въздържат от по-нататъшно разпространение на такива данни. Когато личните данни се обработват в хода на наказателно разследване и наказателно производство, правото на получаване на информация, правото на достъп, коригиране, заличаване и ограничаване на обработването могат да се упражняват в съответствие с националните разпоредби относно съдебните производства.

Изменение  29

Предложение за директива

Съображение 37

Текст, предложен от Комисията

Изменение

(37)     Следва да се въведе цялостна отговорност на администратора за всяко обработване на лични данни, извършено от него самия или от негово име. По-специално администраторът следва да гарантира съответствието на операциите по обработване с разпоредбите, приети съгласно настоящата директива.

(37) Следва да се въведе цялостна отговорност на администратора за всяко обработване на лични данни, извършено от него самия или от негово име. По-специално администраторът следва да гарантира и да бъде задължен да доказва съответствието на всяка операция по обработване с разпоредбите, приети съгласно настоящата директива.

Изменение  30

Предложение за директива

Съображение 39

Текст, предложен от Комисията

Изменение

(39) Защитата на правата и свободите на субектите на данни, както и отговорността, която носят администраторите и обработващите лични данни, налагат ясно определяне на отговорностите съгласно настоящата директива, включително в случаите когато администраторът определя целите, условията и средствата на обработването съвместно с други администратори или когато действие по обработване се извършва от името на администратор.

(39) Защитата на правата и свободите на субектите на данни, както и отговорността, която носят администраторите и обработващите лични данни, налагат ясно определяне на отговорностите съгласно настоящата директива, включително в случаите когато администраторът определя целите, условията и средствата на обработването съвместно с други администратори или когато действие по обработване се извършва от името на администратор. Субектът на данни следва да има правото да упражнява своите права съгласно настоящата директива по отношение на и срещу всеки двама или повече съвместни администратори.

Изменение  31

Предложение за директива

Съображение 40 a (ново)

Текст, предложен от Комисията

Изменение

 

(40a) Всяка операция по обработване на лични данни се вписва с цел проверка на законосъобразността на обработването на данните, самонаблюдение и осигуряване на подходяща цялост и сигурност на данните. Това вписване следва да бъде предоставено при поискване на надзорния орган, с цел да се наблюдава спазването на разпоредбите, предвидени в настоящата директива.

Изменение  32

Предложение за директива

Съображение 40 б (ново)

Текст, предложен от Комисията

Изменение

 

(40б) Администраторът или обработващите лични данни следва да извършат оценка на въздействието, когато операциите по обработването могат да породят конкретен риск за правата и свободите на субектите на данни поради тяхното естество, обхвата или целите им, като тази оценка следва да включва по-специално предвижданите мерки, гаранции и механизми за осигуряване на защитата на личните данни и за доказване на съответствие с разпоредбите на настоящата директива. Оценките на въздействието следва да се отнасят до съответните системи и процеси на операциите по обработване на лични данни, а не до отделни случаи.

Изменение  33

Предложение за директива

Съображение 41

Текст, предложен от Комисията

Изменение

(41) За да се гарантира ефективна защита на правата и свободите на субектите на данни посредством превантивни действия, в определени случаи администраторът или обработващият данни следва да се консултират с надзорния орган преди обработването да започне.

(41) За да се гарантира ефективна защита на правата и свободите на субектите на данни посредством превантивни действия, в определени случаи администраторът или обработващият данни следва да се консултират с надзорния орган преди обработването да започне. Освен това, когато оценката на въздействието на защитата на данните показва, че има вероятност операциите по обработване да представляват висока степен на конкретни рискове за правата и свободите на субектите на данни, надзорният орган следва да бъде в състояние да предотврати, преди започването на операциите, рисковото обработване, което не е в съответствие с настоящата директива, и да направи предложения за коригиране на такава ситуация. Такива консултации могат да се извършват също и в хода на изготвянето на мярка на националния парламент или на мярка, основаваща се на такава законодателна мярка, която определя характера на обработването и създава подходящи гаранции.

Изменение  34

Предложение за директива

Съображение 41 a (ново)

Текст, предложен от Комисията

Изменение

 

(41a) С цел да се поддържа сигурността и да се предотврати обработване, което е в нарушение на настоящата директива, администраторът или обработващият лични данни следва да извърши оценка на рисковете, свързани с обработването, и да предприеме мерки за намаляване на тези рискове. Тези мерки следва да гарантират подходящо ниво на сигурност, като се вземат предвид достиженията на техническия прогрес и разходите за тяхното прилагане по отношение на рисковете и естеството на личните данни, които следва да бъдат защитени. При установяването на технически стандарти и организационни мерки с оглед на гарантиране на сигурността на обработването следва да бъде насърчавана технологичната неутралност.

Изменение  35

Предложение за директива

Съображение 42

Текст, предложен от Комисията

Изменение

(42) Нарушаването на сигурността на личните данни може, ако не бъде овладяно по подходящ начин и навреме, да причини вреди, включително увреждане на репутацията на засегнатото лице. Поради това, веднага щом установи такова нарушение администраторът следва да уведоми за него компетентния национален орган. Физическите лица, за чиито лични данни и неприкосновеност на личния живот подобни нарушения на сигурността могат да имат неблагоприятни последици, следва да бъдат уведомени без излишно забавяне, за да им се даде възможност да предприемат необходимите предпазни мерки. Следва да се счита, че дадено нарушение на сигурността има неблагоприятни последици върху личните данни или неприкосновеността на личния живот на дадено физическо лице, ако то може да доведе например до кражба на самоличност или измама с фалшива самоличност, телесна повреда, значително накърняване на достойнството или на репутацията във връзка с обработването на лични данни.

(42) Нарушаването на сигурността на личните данни може, ако не бъде овладяно по подходящ и навременен начин, да причини на засегнатото физическо лице значителни икономически загуби и социални вреди, включително измами с фалшива самоличност. Поради това, веднага щом установи такова нарушение администраторът следва да уведоми за него компетентния национален орган. Физическите лица, за чиито лични данни и неприкосновеност на личния живот подобни нарушения на сигурността могат да имат неблагоприятни последици, следва да бъдат уведомени без излишно забавяне, за да им се даде възможност да предприемат необходимите предпазни мерки. Следва да се счита, че дадено нарушение на сигурността има неблагоприятни последици върху личните данни или неприкосновеността на личния живот на дадено физическо лице, ако то може да доведе например до кражба на самоличност или измама с фалшива самоличност, телесна повреда, значително накърняване на достойнството или на репутацията във връзка с обработването на лични данни. Уведомяването следва да включва информация за мерките, предприети от доставчика, за овладяване на нарушаването, както и препоръки към засегнатия абонат или засегнатото лице. Субектите на данни следва да бъдат уведомявани веднага щом това е разумно осъществимо и в тясно сътрудничество с надзорния орган, като се спазват насоките, предоставени от него.

Изменение  36

Предложение за директива

Съображение 44

Текст, предложен от Комисията

Изменение

(44) Администраторът или обработващият лични данни следва да определи лице, което да го подпомага при осъществяването на контрол за съответствие с разпоредбите, приети съгласно настоящата директива. Едно длъжностно лице по защита на данните може да бъде назначено съвместно от няколко организационни единици на компетентния орган. Длъжностните лица по защита на данните трябва да бъдат в състояние да изпълняват своите задължения и задачи независимо и ефективно.

(44) Администраторът или обработващият лични данни следва да определи лице, което да го подпомага при осъществяването на контрол и доказване на съответствие с разпоредбите, приети съгласно настоящата директива. Когато няколко компетентни органа действат под надзора на централен орган, поне този централен орган следва да назначи такова длъжностно лице по защита на данните. Длъжностните лица по защита на данните трябва да бъдат в състояние да изпълняват своите задължения и задачи независимо и ефективно, по-специално като определят правила за избягване на конфликт на интереси с други задачи, изпълнявани от длъжностното лице по защита на данните.

Изменение  37

Предложение за директива

Съображение 45

Текст, предложен от Комисията

Изменение

(45) Държавите членки следва да гарантират, че данни се предават на трета държава единствено ако това е необходимо за предотвратяването, разследването, разкриването или наказателното преследване на престъпления или за изпълнението на наказателни санкции и администраторът в третата държава или международната организация представлява компетентен орган по смисъла на настоящата директива. Предаване може да се извърши, ако Комисията е решила, че въпросната трета държава или международна организация гарантира адекватно ниво на защита или когато са представени подходящи гаранции.

(45) Държавите членки следва да гарантират, че данни се предават на трета държава единствено ако конкретното предаване е необходимо за предотвратяването, разследването, разкриването или наказателното преследване на престъпления или за изпълнението на наказателни санкции и администраторът в третата държава или международната организация представлява компетентен публичен орган по смисъла на настоящата директива. Предаване може да се извърши, ако Комисията е решила, че въпросната трета държава или международна организация гарантира адекватно ниво на защита или когато са представени подходящи гаранции или когато подходящите гаранции са представени посредством правно обвързващ инструмент. Данни, предадени на компетентни публични органи в трети държави, не следва да бъдат допълнително обработвани за цели, различни от тази, за която са предадени.

Изменение  38

Предложение за директива

Съображение 45 a (ново)

Текст, предложен от Комисията

Изменение

 

(45a) Допълнителни последващи предавания от страна на компетентните органи в трети държави или международни организации, на които са предадени лични данни, следва да бъдат разрешени само ако последващото предаване е необходимо за същата конкретна цел като първоначалното предаване и вторият получател също е компетентен обществен орган. Допълнителни последващи предавания не следва да се разрешават за общи цели, свързани с правоприлагането. Компетентният орган, извършил първоначалното предаване, следва да е изразил съгласие с последващото предаване.

Изменение  39

Предложение за директива

Съображение 48

Текст, предложен от Комисията

Изменение

(48) Комисията следва да може по същия начин да приеме, че дадена трета държава, или територия или обработващ данни сектор в трета държава, или дадена международна организация не предоставя адекватно ниво на защита на данните. В резултат на това предаването на лични данни на тази трета държава следва да бъде забранено, освен когато то се извършва въз основа на международно споразумение, подходящи гаранции или дерогация. Следва да се предвидят процедури за провеждането на консултации между Комисията и такива трети държави или международни организации. Подобно решение на Комисията не премахва обаче възможността за извършване на прехвърляния на данни въз основа на подходящи гаранции или на дерогация, предвидена в директивата.

(48) Комисията следва да може по същия начин да приеме, че дадена трета държава, или територия или обработващ данни сектор в трета държава, или дадена международна организация не предоставя адекватно ниво на защита на данните. В резултат на това предаването на лични данни на тази трета държава следва да бъде забранено, освен когато то се извършва въз основа на международно споразумение, подходящи гаранции или дерогация. Следва да се предвидят процедури за провеждането на консултации между Комисията и такива трети държави или международни организации. Подобно решение на Комисията не премахва обаче възможността за извършване на прехвърляния на данни въз основа на подходящи гаранции посредством правно обвързващи инструменти или на дерогация, предвидена в директивата.

Изменение  40

Предложение за директива

Съображение 49

Текст, предложен от Комисията

Изменение

(49) Прехвърляния, които не се основават на такова решение относно адекватността, следва да бъдат позволени единствено когато в правно обвързващ инструмент са предоставени подходящи гаранции, които осигуряват защитата на личните данни, или когато администраторът или обработващият лични данни е извършил оценка на всички обстоятелства около операцията по прехвърляне на данни или поредицата от такива операции и въз основа на тази оценка счита, че по отношение на защитата на личните данни съществуват подходящи гаранции. В случаите, при които липсват основания за разрешаване на прехвърляне следва да се позволи прилагането на дерогации, ако това е необходимо за защитата на жизненоважни интереси на субекта на данните или на друго лице или за гарантиране на законни интереси на субекта на данните, когато това е предвидено от правото на държавата членка, прехвърляща личните данни, или когато то е от особено значение за предотвратяването на непосредствена и сериозна заплаха за обществената сигурност на държава членка или на трета държава, или в отделни случаи – за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции, или в отделни случаи — за установяването, упражняването или защитата на правни претенции.

(49) Прехвърляния, които не се основават на такова решение относно адекватността, следва да бъдат позволени единствено когато в правно обвързващ инструмент са предоставени подходящи гаранции, които осигуряват защитата на личните данни.

Изменение  41

Предложение за директива

Съображение 49 a (ново)

Текст, предложен от Комисията

Изменение

 

(49a) В случаите, при които липсват основания за разрешаване на прехвърляне, следва да се позволи прилагането на дерогации, ако това е необходимо за защитата на жизненоважни интереси на субекта на данните или на друго лице или за гарантиране на законни интереси на субекта на данните, когато това е предвидено от правото на държавата членка, прехвърляща личните данни, или когато то е от особено значение за предотвратяването на непосредствена и сериозна заплаха за обществената сигурност на държава членка или на трета държава или в отделни случаи – за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции, или в отделни случаи – за установяването, упражняването или защитата на правни претенции. Тези дерогации следва да се тълкуват стеснително и да не се позволява нито често, масово и структурно предаване на лични данни, нито мащабно предаване на данни, а то следва да бъде ограничено до строго необходимото. Освен това решението за предаване на данни следва да бъде взето от надлежно оправомощено лице, като това предаване трябва да бъде документирано и следва да се предостави на надзорния орган при поискване с цел наблюдение на законосъобразността на предаването.

(Част от съображение 49 от предложението на Комисията се превърна в съображение 49а в изменението на Парламента)

Изменение  42

Предложение за директива

Съображение 51

Текст, предложен от Комисията

Изменение

(51) Създаването в държавите членки на надзорни органи, които изпълняват функциите си при пълна независимост, е съществен елемент от защитата на физическите лица по отношение на обработването на личните им данни. Надзорните органи следва да наблюдават прилагането на разпоредбите съгласно настоящата директива и да допринасят за нейното съгласувано прилагане навсякъде в Съюза с цел защита на физическите лица по отношение на обработването на личните им данни. За тази цел надзорните органи следва да си сътрудничат помежду си и с Комисията.

(51) Създаването в държавите членки на надзорни органи, които изпълняват функциите си при пълна независимост, е съществен елемент от защитата на физическите лица по отношение на обработването на личните им данни. Надзорните органи следва да наблюдават прилагането на разпоредбите съгласно настоящата директива и да допринасят за нейното съгласувано прилагане навсякъде в Съюза с цел защита на физическите лица по отношение на обработването на личните им данни. За тази цел надзорните органи следва да си сътрудничат помежду си.

Изменение  43

Предложение за директива

Съображение 53

Текст, предложен от Комисията

Изменение

(53) На държавите членки следва да бъде разрешено да създават повече от един надзорен орган, за да бъде отразена тяхната конституционна, организационна и административна структура. На всеки надзорен орган следва да бъдат предоставени адекватни финансови и човешки ресурси, служебни помещения и инфраструктура, необходими за ефективното изпълнение на неговите задачи, включително задачите, свързани с взаимопомощ и сътрудничество с други надзорни органи навсякъде в Съюза.

(53) На държавите членки следва да бъде разрешено да създават повече от един надзорен орган, за да бъде отразена тяхната конституционна, организационна и административна структура. На всеки надзорен орган следва да бъдат предоставени адекватни финансови и човешки ресурси, служебни помещения и инфраструктура, включително технически възможности, опит и умения, необходими за ефективното изпълнение на неговите задачи, включително задачите, свързани с взаимопомощ и сътрудничество с други надзорни органи навсякъде в Съюза.

Изменение  44

Предложение за директива

Съображение 54

Текст, предложен от Комисията

Изменение

(54) Общите условия за членовете на надзорния орган следва да бъдат определени със закон във всяка държава членка и следва да предвиждат по-специално, че тези членове се назначават от парламента или от правителството на държавата членка, като включват и правила относно личната квалификация и длъжността на тези членове.

(54) Общите условия за членовете на надзорния орган следва да бъдат определени със закон във всяка държава членка и следва да предвиждат по-специално, че тези членове следва да се назначават от парламента или от правителството въз основа на консултация с парламента на държавата членка, и да включват правила относно личната квалификация и длъжността на тези членове.

Изменение  45

Предложение за директива

Съображение 56

Текст, предложен от Комисията

Изменение

(56) За да се гарантира съгласувано наблюдение и прилагане на настоящата директива навсякъде в Съюза, надзорните органи следва да имат еднакви задължения и ефективни правомощия във всяка държава членка, включително правомощия за разследване, правнообвързваща намеса, вземане на решения и налагане на санкции, особено в случаи на жалби от физически лица, както и правомощие да участват в съдебни производства.

(56) За да се гарантира съгласувано наблюдение и прилагане на настоящата директива навсякъде в Съюза, надзорните органи следва да имат еднакви задължения и ефективни правомощия във всяка държава членка, включително ефективни правомощия за разследване, правомощие за достъп до всички лични данни и цялата информация, необходима за осъществяването на всяка надзорна функция, правомощие за достъп до всички служебни помещения на администратора или обработващия лични данни, включително изискванията за обработване на данни и правнообвързваща намеса, вземане на решения и налагане на санкции, особено в случаи на жалби от физически лица, както и правомощие да участват в съдебни производства.

Изменение  46

Предложение за директива

Съображение 58

Текст, предложен от Комисията

Изменение

(58) Надзорните органи следва да си сътрудничат при изпълнението на своите задължения и взаимно да се подпомагат, за да се гарантира съгласуваното прилагане и изпълнение на разпоредбите, приети съгласно настоящата директива.

(58) Надзорните органи следва да си сътрудничат при изпълнението на своите задължения и взаимно да се подпомагат, за да се гарантира съгласуваното прилагане и изпълнение на разпоредбите, приети съгласно настоящата директива. Всеки надзорен орган следва да има готовност да участва в съвместни операции на надзорните органи. Надзорният орган, до който е отправено искането, следва да бъде длъжен да отговори в определен срок на искането.

Изменение  47

Предложение за директива

Съображение 59

Текст, предложен от Комисията

Изменение

(59) Европейският комитет по защита на данните, създаден с Регламент (ЕС) № .../2012, следва да допринася за съгласуваното прилагане на настоящия регламент навсякъде в Съюза, включително като съветва Комисията и насърчава сътрудничеството на надзорните органи в Съюза.

(59) Европейският комитет по защита на данните, създаден с Регламент (ЕС) № .../2013, следва да допринася за съгласуваното прилагане на настоящата директива навсякъде в Съюза, включително като съветва институциите на Съюза, насърчава сътрудничеството на надзорните органи в Съюза и представя своето становище на Комисията при подготовката на делегирани актове и актове за изпълнение въз основа на настоящата директива.

Изменение  48

Предложение за директива

Съображение 61

Текст, предложен от Комисията

Изменение

(61) Всяка структура, организация или сдружение, учредено съгласно правото на държава членка и чиято цел е да защитава правата и интересите на субектите на данни по отношение на защитата на техните данни, следва да има право да подава жалби или да упражнява правото на съдебна защита от името на субектите на данни, ако е надлежно оправомощено от тях, или да подава жалби от свое име, независимо от жалбата на даден субект на данни, когато счита, че е извършено нарушение на сигурността на личните данни.

(61) Всяка структура, организация или сдружение, учредено съгласно правото на държава членка и действащо в обществен интерес, следва да има право да подава жалби или да упражнява правото на съдебна защита от името на субектите на данни, ако е надлежно оправомощено от тях, или да подава жалби от свое име, независимо от жалбата на даден субект на данни, когато счита, че е извършено нарушение на сигурността на личните данни.

Изменение  49

Предложение за директива

Съображение 64

Текст, предложен от Комисията

Изменение

(64) Всички вреди, които дадено лице може да претърпи в резултат на неправомерно обработване на данни, следва да бъдат обезщетени от администратора или обработващия лични данни, който може да бъде освободен от отговорност, ако докаже, че не е отговорен за вредите, и по-специално когато установи вина от страна на субекта на данни или в случай на непреодолима сила.

(64) Всички вреди, включително неимуществени вреди, които дадено лице може да претърпи в резултат на неправомерно обработване на данни, следва да бъдат обезщетени от администратора или обработващия лични данни, който може да бъде освободен от отговорност, ако докаже, че не е отговорен за вредите, и по-специално когато установи вина от страна на субекта на данни или в случай на непреодолима сила.

Изменение  50

Предложение за директива

Съображение 65 a (ново)

Текст, предложен от Комисията

Изменение

 

(65a) Предаването на лични данни към други органи или частни лица в Съюза е забранено, освен ако се извършва съгласно закона, а получателят е установен в държава членка и никакви законни специфични интереси на субекта на данните не възпрепятстват предаването, а предаването е необходимо в конкретни случаи, когато администраторът предава данни за изпълнението на задача, която му е законно възложена, или за предотвратяването на непосредствена и сериозна заплаха за обществената сигурност или за предотвратяването на сериозно нарушение на правата на физическите лица. Администраторът следва да уведоми получателя за целта на обработването на данни и надзорния орган за предаването. Получателят следва също така да бъде уведомен за ограниченията, свързани с обработването, и следва да гарантира спазването на тези ограничения.

Изменение  51

Предложение за директива

Съображение 66

Текст, предложен от Комисията

Изменение

(66) С цел да бъдат постигнати целите на настоящата директива, а именно защита на основните права и свободи на физическите лица, и по-специално на тяхното право на защита на личните данни, както и за да се гарантира свободния обмен на лични данни от компетентните органи в рамките на Съюза, на Комисията следва да бъде делегирано правомощието да приема актове в съответствие с член 290 от Договора за функционирането на Европейския съюз. По-специално делегирани актове следва да бъдат приети по отношение на уведомяването на надзорния орган за нарушение на сигурността на личните данни. От особена важност е по време на подготвителната си работа Комисията да проведе подходящи консултации, включително на експертно равнище. При подготовката и изготвянето на делегираните актове Комисията следва да осигури едновременното и своевременно предаване на съответните документи по подходящ начин на Европейския парламент и Съвета.

(66) С цел да бъдат постигнати целите на настоящата директива, а именно защита на основните права и свободи на физическите лица, и по-специално на тяхното право на защита на личните данни, както и за да се гарантира свободния обмен на лични данни от компетентните органи в рамките на Съюза, на Комисията следва да бъде делегирано правомощието да приема актове в съответствие с член 290 от Договора за функционирането на Европейския съюз. По-специално делегирани актове следва да бъдат приети, за да конкретизират критериите и условията за операциите по обработване, за които се изисква оценка на въздействието върху защитата на данните; критериите и изискванията при нарушение на сигурността на данните и подходящото ниво на защита, осигурявано от дадена трета държава или от територия или обработващ сектор в тази трета държава или от международна организация. От особено значение е Комисията да провежда подходящи консултации по време на подготвителната работа, в това число на експертно равнище, по-специално с Европейския комитет по защита на данните. При подготовката и изготвянето на делегираните актове Комисията следва да осигури едновременното и своевременно предаване на съответните документи по подходящ начин на Европейския парламент и на Съвета.

Изменение  52

Предложение за директива

Съображение 67

Текст, предложен от Комисията

Изменение

(67) За да се гарантират еднакви условия за изпълнение на настоящата директива по отношение на изготвянето на документация от администраторите и обработващите лични данни, сигурността на обработването, по-специално във връзка със стандартите за криптиране, както и по отношение на уведомяването на надзорния орган за нарушение на сигурността на личните данни и адекватното ниво на защита на данните, осигурявано от дадена трета държава, или територия или обработващ сектор в тази трета държава, или международна организация, на Комисията следва да бъдат предоставени изпълнителни правомощия. Тези правомощия следва да бъдат упражнявани в съответствие с Регламент (ЕС) № 182/2011 на Европейския парламент и на Съвета от 16 февруари 2011 г. за установяване на общите правила и принципи относно реда и условията за контрол от страна на държавите членки върху упражняването на изпълнителните правомощия от страна на Комисията37.

(67) За да се гарантират еднакви условия за изпълнение на настоящата директива по отношение на сигурността на обработването, по-специално във връзка със стандартите за криптиране и уведомяването на надзорния орган за нарушение на сигурността на личните данни, на Комисията следва да бъдат предоставени изпълнителни правомощия. Тези правомощия следва да бъдат упражнявани в съответствие с Регламент (ЕС) № 182/2011 на Европейския парламент и на Съвета37.

_____________

_______________

37 L 55, 28.2.2011 г., стр. 13.

37 Регламент (ЕС) № 182/2011 на Европейския парламент и на Съвета от 16 февруари 2011 г. за установяване на общите правила и принципи относно реда и условията за контрол от страна на държавите членки върху упражняването на изпълнителните правомощия от страна на Комисията ( L 55, 28.2.2011 г., стр. 13).

Изменение  53

Предложение за директива

Съображение 68

Текст, предложен от Комисията

Изменение

(68) За приемането на мерки по отношение на изготвянето на документация от администраторите и обработващите лични данни, сигурността на обработването, уведомяването на надзорния орган за нарушаване на сигурността на личните данни и адекватното ниво на защита, осигурявано от дадена трета държава, или територия или обработващ сектор в тази трета държава, или международна организация, следва да бъде използвана процедурата по разглеждане, доколкото тези актове са с общ характер.

(68) За приемането на мерки по отношение на сигурността на обработването и уведомяването на надзорния орган за нарушаване на сигурността на личните данни, следва да бъде използвана процедурата по разглеждане, доколкото тези актове са с общ характер.

Изменение  54

Предложение за директива

Съображение 69

Текст, предложен от Комисията

Изменение

(69) Комисията следва да приеме актове за изпълнение с незабавно приложение, когато в надлежно обосновани случаи, свързани с трета държава, или територия или обработващ данни сектор в тази трета държава, или международна организация, които не осигуряват адекватно ниво на защита, наложителни причини за спешност изискват това.

заличава се

Изменение  55

Предложение за директива

Съображение 70

Текст, предложен от Комисията

Изменение

(70) Доколкото целите на настоящата директива, а именно да се защитят основните права и свободи на физическите лица и по-специално тяхното право на защита на личните данни, както и да се гарантира свободен обмен на лични данни от компетентните органи в Съюза, не могат да бъдат постигнати в достатъчна степен от държавите членки и следователно поради обхвата или последиците от действието могат да бъдат по-добре постигнати на равнището на Съюза, Съюзът може да приеме мерки в съответствие с принципа на субсидиарност, уреден в член 5 от Договора за Европейския съюз. В съответствие с принципа на пропорционалност, уреден в същия член, настоящата директива не надхвърля необходимото за постигане на тези цели.

(70) Доколкото целите на настоящата директива, а именно да се защитят основните права и свободи на физическите лица, и по-специално тяхното право на защита на личните им данни, както и да се гарантира свободен обмен на лични данни от компетентните органи в Съюза, не могат да бъдат постигнати в достатъчна степен от държавите членки, а по-скоро могат да бъдат по-добре постигнати на равнището на Съюза поради обхвата или последиците от действието, Съюзът може да приеме мерки в съответствие с принципа на субсидиарност, уреден в член 5 от Договора за Европейския съюз. В съответствие с принципа на пропорционалност, уреден в същия член, настоящата директива не надхвърля необходимото за постигане на тези цели. Държавите членки могат да предвиждат по-високи стандарти от тези, установени в настоящата директива.

Изменение  56

Предложение за директива

Съображение 72

Текст, предложен от Комисията

Изменение

(72) Специалните разпоредби относно обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции, съдържащи се в актове на Съюза, приети преди датата на приемане на настоящата директива, с които се регламентират обработването на лични данни между държавите членки или достъпът на определени органи на държавите членки до информационни системи, създадени съгласно Договорите, следва да не бъдат засегнати. Комисията следва да извърши оценка на ситуацията по отношение на връзката между настоящата директива и актовете, приети преди датата на нейното приемане, които регламентират обработването на лични данни между държавите членки или достъпа на определените органи на държавите членки до информационни системи, създадени съгласно Договорите, за да прецени необходимостта от съгласуване на тези специални разпоредби с настоящата директива.

(72) Специалните разпоредби относно обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции, съдържащи се в актове на Съюза, приети преди датата на приемане на настоящата директива, с които се регламентират обработването на лични данни между държавите членки или достъпът на определени органи на държавите членки до информационни системи, създадени съгласно Договорите, следва да не бъдат засегнати. Тъй като член 8 от Хартата на основните права и член 16 от ДФЕС постановяват, че основното право на защита на личните данни следва да се гарантира последователно и по еднообразен начин в целия Съюз, в рамките на две години от влизане в сила на настоящата директива Комисията следва да извърши оценка на ситуацията по отношение на връзката между настоящата директива и актовете, приети преди датата на нейното приемане, които регламентират обработването на лични данни между държавите членки или достъпа на определените органи на държавите членки до информационни системи, създадени съгласно Договорите, и следва да представи съответните предложения, с цел да осигури последователни и еднообразни правни норми във връзка с обработването на лични данни от компетентните органи или с достъпа на определените органи на държавите членки до информационни системи, създадени съгласно Договорите, както и обработването на лични данни от институции, органи, служби и агенции на Съюза за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или за изпълнението на наказателни санкции в рамките на приложното поле на настоящата директива.

Изменение  57

Предложение за директива

Съображение 73

Текст, предложен от Комисията

Изменение

(73) За да се гарантира цялостна и съгласувана защита на личните данни в Съюза международните споразумения, сключени от държавите членки преди влизането в сила на настоящата директива, следва да бъдат изменени, така че да бъдат хармонизирани с директивата.

(73) За да се гарантира цялостна и съгласувана защита на личните данни в Съюза международните споразумения, сключени от Съюза или от държавите членки преди влизането в сила на настоящата директива, следва да бъдат изменени, така че да бъдат хармонизирани с директивата.

Изменение  58

Предложение за директива

Съображение 76

Текст, предложен от Комисията

Изменение

(76) В съответствие с членове 2 и 2а от Протокола относно позицията на Дания, приложен към Договора за Европейския съюз и към Договора за функционирането на Европейския съюз, Дания не е обвързана от настоящата директива, нито от нейното прилагане. Доколкото настоящата директива представлява развитие на достиженията на правото от Шенген, съгласно част трета, дял V от Договора за функционирането на Европейския съюз, в срок от шест месеца след приемането на настоящата директива Дания взема решение, в съответствие с член 4 от посочения Протокол, дали да я въведе в националното си право.

(76) В съответствие с членове 2 и 2а от Протокола относно позицията на Дания, приложен към Договора за Европейския съюз и към Договора за функционирането на Европейския съюз, Дания не е обвързана от настоящата директива, нито от нейното прилагане.

Изменение  59

Предложение за директива

Член 1

Текст, предложен от Комисията

Изменение

Предмет и цели

Предмет и цели

1. С настоящата директива се установяват правилата във връзка със защитата на физическите лица по отношение на обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции.

1. С настоящата директива се установяват правилата във връзка със защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления и изпълнението на наказателни санкции и условията за свободното движение на такива лични данни.

2. В съответствие с настоящата директива държавите членки:

2. В съответствие с настоящата директива държавите членки:

a) защитават основните права и свободи на физическите лица и по-специално правото им на защита на личните данни, и

a) защитават основните права и свободи на физическите лица, и по-специално тяхното право на защита на личните им данни и на неприкосновеност на личния им живот, и

б) гарантират, че обменът на лични данни от компетентните органи в Съюза не се ограничава, нито забранява по причини, свързани със защитата на физическите лица по отношение на обработването на лични данни.

б) гарантират, че обменът на лични данни от компетентните органи в Съюза не се ограничава, нито забранява по причини, свързани със защитата на физическите лица по отношение на обработването на лични данни.

 

2a. Настоящата директива не изключва възможността държавите членки да предоставят по-високи гаранции от тези, установени в настоящата директива.

Изменение  60

Предложение за директива

Член 2

Текст, предложен от Комисията

Изменение

Приложно поле

Приложно поле

1. Настоящата директива се прилага за обработването на лични данни от компетентните органи за целите, посочени в член 1, параграф 1.

1. Настоящата директива се прилага за обработването на лични данни от компетентните органи за целите, посочени в член 1, параграф 1.

2. Настоящата директива се прилага за обработването на лични данни изцяло или частично с автоматични средства, както и за обработването с други средства на лични данни, които са част от регистър на лични данни или които са предназначени да съставляват част от такъв регистър.

2. Настоящата директива се прилага за обработването на лични данни изцяло или частично с автоматични средства, както и за обработването с други средства на лични данни, които са част от регистър на лични данни или които са предназначени да съставляват част от такъв регистър.

3. Настоящата директива не се прилага за обработването на лични данни:

3. Настоящата директива не се прилага за обработването на лични данни

a) в хода на дейности, които са извън приложното поле на правото на Съюза, и по-специално такива, свързани с националната сигурност;

в хода на дейности, които са извън приложното поле на правото на Съюза.

б) от институциите, органите, службите и агенциите на Съюза.

 

Изменение  61

Предложение за директива

Член 3

Текст, предложен от Комисията

Изменение

Определения

Определения

За целите на настоящата директива:

За целите на настоящата директива:

(1) „субект на данни“ означава физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или косвено чрез средства, за които с основание се предполага, че е възможно да бъдат използвани от администратора или от всяко друго физическо или юридическо лице, по-специално чрез идентификационен номер, данни за местонахождение, онлайн идентификатори или чрез един или повече признаци, специфични за неговата физическа, физиологична, генетична, психическа, икономическа, културна или социална идентичност;

 

(2) „лични данни“ означава всяка информация, свързана с даден субект на данни;

(2) „лични данни“ означава всяка информация, свързана с физическо лице с установена или подлежаща на установяване самоличност („субект на данни“); лице с подлежаща на установяване самоличност е лице, чиято самоличност може пряко или косвено да се установи, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, уникален идентификатор или чрез един или повече фактори, специфични за физическата, физиологическата, генетичната, психическата, икономическата, културната или социалната самоличност на това лице или за половата му идентичност;

 

(2a) „данни под псевдоним“ означава лични данни, които не могат да бъдат свързани с конкретен субект на данни, без да се използва допълнителна информация, доколкото тази допълнителна информация се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира невъзможността да се направи такова свързване;

(3) „обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друга форма на предоставяне на данните, подреждане или комбиниране, ограничаване, заличаване или унищожаване;

(3) „обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друга форма на предоставяне на данните, подреждане или комбиниране, ограничаване, заличаване или унищожаване;

 

(3a) „профилиране“ означава всяка форма на автоматизирано обработване на лични данни, имащо за цел да се оценят определени лични аспекти, свързани с дадено физическо лице, или да се анализира или прогнозира по-специално изпълнението на професионалните му задължения, неговото икономическо положение, местоположение, здравословно състояние, лични предпочитания, надеждност или поведение;

(4) „ограничаване на обработването“ означава маркиране на съхранявани лични данни с цел ограничаване на обработването им в бъдеще;

(4) „ограничаване на обработването“ означава маркиране на съхранявани лични данни с цел ограничаване на обработването им в бъдеще;

(5) „регистър на лични данни“ означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;

(5) „регистър на лични данни“ означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;

(6) „администратор“ означава компетентен публичен орган, който сам или съвместно с други определя целите, условията и средствата за обработването на лични данни; когато целите, условията и средствата за обработването се определят от правото на Съюза или от това на държава членка, администраторът или специалните критерии за неговото назначаване могат да бъдат определени в правото на Съюза или в това на държава членка;

(6) „администратор“ означава компетентен публичен орган, който сам или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за обработването се определят от правото на Съюза или това на държава членка, администраторът или специалните критерии за неговото назначаване могат да бъдат определени в правото на Съюза или в правото на държава членка;

(7) „обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;

(7) „обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;

(8) „получател“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни;

(8) „получател“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни;

(9) „нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;

(9) „нарушение на сигурността на лични данни“ означава случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;

(10) „генетични данни“ означава всички данни, от всякакъв вид, свързани с белезите на дадено физическо лице, които са наследствени или са придобити по време на ранното пренатално развитие;

(10) „генетични данни“ означава всички данни, от всякакъв вид, свързани с белезите на дадено физическо лице, които са наследствени или са придобити по време на ранното пренатално развитие;

(11) „биометрични данни“ означава всички данни, свързани с физическите, физиологичните или поведенческите характеристики на дадено физическо лице, които позволяват неговата уникална идентификация, като лицеви изображения или дактилоскопични данни;

(11) „биометрични данни“ означава всички лични данни, свързани с физическите, физиологичните или поведенческите характеристики на дадено физическо лице, които позволяват неговата уникална идентификация, като лицеви изображения или дактилоскопични данни;

(12) „данни за здравословното състояние“ означава всяка информация, която се отнася до физическото или психическото здраве на дадено физическо лице или до предоставянето на здравни услуги на физическото лице;

(12) „данни за здравословното състояние“ означава всички лични данни, които се отнасят до физическото или психическото здраве на дадено физическо лице или до предоставянето на здравни услуги на физическото лице;

(13) „дете“ означава всяко лице на възраст под 18 години;

(13) „дете“ означава всяко лице на възраст под 18 години;

(14) „компетентни органи“ означава всеки публичен орган, компетентен по отношение на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции;

(14) „компетентни органи“ означава всеки публичен орган, компетентен по отношение на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции;

(15) „надзорен орган“ означава публичен орган, създаден от държава членка в съответствие с член 39.

(15) „надзорен орган“ означава публичен орган, създаден от държава членка в съответствие с член 39.

Изменение  62

Предложение за директива

Член 4

Текст, предложен от Комисията

Изменение

Принципи, свързани с обработването на лични данни

Принципи, свързани с обработването на лични данни

Държавите членки предвиждат, че личните данни трябва да бъдат:

Държавите членки предвиждат, че личните данни трябва да бъдат:

a) обработвани добросъвестно и в съответствие със закона;

a) обработвани в съответствие със закона, добросъвестно и по прозрачен и проверим начин по отношение на субекта на данните;

б) събирани за конкретни, изрично указани и законни цели и да не се обработват допълнително по начин, който е несъвместим с тези цели;

б) събирани за конкретни, изрично указани и законни цели и да не се обработват допълнително по начин, който е несъвместим с тези цели;

в) подходящи, релевантни и не надхвърлят необходимото във връзка с целите, за които данните се обработват;

в) подходящи, релевантни и ограничени до минимума, необходим във връзка с целите, за които данните се обработват; те се обработват само ако и дотолкова доколкото целите не могат да бъдат постигнати без обработването на информация, която не включва лични данни;

г) точни и, когато е необходимо, актуализирани; трябва да се предприемат всички разумни мерки, за да се гарантира своевременното заличаване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват;

г) точни и актуализирани; трябва да се предприемат всички разумни мерки, за да се гарантира своевременното заличаване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват;

д) съхранявани във вид, който позволява идентифицирането на субектите на данните за период не по-дълъг от необходимия за целите, за които се обработват личните данни;

д) съхранявани във вид, който позволява идентифицирането на субектите на данните за период не по-дълъг от необходимия за целите, за които се обработват личните данни;

е) обработвани под ръководството и отговорността на администратора, който осигурява спазването на разпоредбите, приети съгласно настоящата директива.

е) обработвани под ръководството и отговорността на администратора, който осигурява и може да докаже спазването на разпоредбите, приети съгласно настоящата директива;

 

еa) обработвани по начин, който дава ефективна възможност на субекта на данните да упражни правата си, както е посочено в членове 10 – 17;

 

еб) обработвани по начин, който осигурява защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки;

 

ев) обработвани само от надлежно оправомощени служители на компетентните органи в изпълнение на техните задачи.

Изменение  63

Предложение за директива

Член 4 а (нов)

Текст, предложен от Комисията

Изменение

 

Член 4а

 

Достъп до данни, първоначално обработвани за цели, различни от посочените в член 1, параграф 1

 

1. Държавите членки предвиждат, че компетентните органи могат да имат достъп до лични данни, първоначално обработвани за цели, различни от посочените в член 1, параграф 1, единствено ако са изрично оправомощени от правото на Съюза или от правото на държава членка, което трябва да спазва изискванията, определени в член 7, параграф 1а, и трябва да предвижда, че:

 

a) достъпът се разрешава само от надлежно оправомощени служители на компетентните органи в изпълнение на техните задачи, когато в конкретния случай има разумни основания да се счита, че обработването на лични данни значително ще допринесе за предотвратяването, разследването, откриването или наказателното преследване на престъпления или изпълнението на наказателни санкции;

 

б) исканията за достъп трябва да бъдат в писмен вид и да посочват правното основание за искането;

 

в) писменото искане трябва да бъде документирано; както и

 

г) предвидени са подходящи гаранции, осигуряващи защитата на основните права и свободи във връзка с обработването на лични данни. Тези гаранции не накърняват и допълват специфичните условия за достъп до лични данни, като например съдебно разрешение в съответствие с правото на дадена държава членка.

 

2. Достъп до лични данни, съхранявани от частни лица или други публични органи, се предоставя само с цел разследване или наказателно преследване на престъпления в съответствие с изискванията за необходимост и пропорционалност, които се определят от всяка държава членка в нейното национално право съгласно правото на Съюза, при пълно спазване на член 7а.

Изменение  64

Предложение за директива

Член 4 б (нов)

Текст, предложен от Комисията

Изменение

 

Член 4б

 

Срокове за съхранение и проверка

 

1. Държавите членки предвиждат, че личните данни, обработвани в съответствие с настоящата директива, се заличават от компетентните органи, когато вече не са необходими за целите, за които са били обработени.

 

2. Държавите членки предвиждат компетентните органи да въведат механизми, които да гарантират въвеждането на срокове съгласно член 4 за заличаване на лични данни и за периодична проверка на необходимостта от съхраняване на данните, включително определяне на срокове за съхранение за различните категории лични данни. Установяват се процесуални мерки, които да гарантират, че се спазват тези срокове или интервали за периодична проверка.

Изменение  65

Предложение за директива

Член 5

Текст, предложен от Комисията

Изменение

Разграничение между различните категории субекти на данни

Различни категории субекти на данни

1. Държавите членки предвиждат въвеждане на ясно разграничение от страна на администратора, доколкото това е възможно, между личните данни на различни категории субекти на данни, например:

1. Държавите членки предвиждат, че за целите, посочени в член 1, параграф 1, компетентните органи могат да обработват лични данни на следните различни категории субекти на данни, като администраторът прави ясно разграничение между тези категории:

a) лица, за които има сериозни основания да се счита, че са извършили или ще извършат престъпление;

a) лица, за които има разумни основания да се счита, че са извършили или се готвят да извършат престъпление;

б) лица, осъдени за престъпление;

б) лица, осъдени за престъпление;

в) жертви на престъпление или лица, по отношение на които определени факти дават основание да се счита, че той или тя може да е жертва на престъпление;

в) жертви на престъпление или лица, по отношение на които определени факти дават основание да се счита, че той или тя може да е жертва на престъпление; както и

г) трети страни по престъпление, например лица, които биха могли да бъдат призовани да свидетелстват при разследвания във връзка с престъпления или при последващи наказателни производства, или лица, които могат да предоставят информация за престъпления, или познати или съучастници на някое от лицата, посочени в букви а) и б); както и

г) трети страни по престъпление, например лица, които биха могли да бъдат призовани да свидетелстват при разследвания във връзка с престъпления или при последващи наказателни производства, или лица, които могат да предоставят информация за престъпления, или познати или съучастници на някое от лицата, посочени в букви а) и б).

д) лица, които не попадат в никоя от посочените по-горе категории.

 

 

2. Лични данни на субекти на данни, различни от посочените в параграф 1, могат да се обработват само:

 

a) докато са необходими за разследването или наказателното преследване на конкретно престъпление, за да се оцени относимостта на данните към някоя от категориите, посочени в параграф 1, или

 

б) когато такова обработване е необходимо за целенасочени, превантивни цели или за целите на криминален анализ, ако и докато тази цел е законна, конкретна и добре определена и обработването е строго ограничено за оценка на относимостта на данните към някоя от категориите, посочени в параграф 1. Това е предмет на редовен преглед най-малко веднъж на всеки шест месеца. Всяка допълнителна употреба е забранена.

 

3. Държавите членки предвиждат, че за допълнително обработване на лични данни, свързани със субекти на данни, посочени в параграф 1, букви в) и г), се прилагат допълнителни ограничения и гаранции според правото на държавата членка.

Изменение  66

Предложение за директива

Член 6

Текст, предложен от Комисията

Изменение

Различни степени на точност и надеждност на личните данни

Различни степени на точност и надеждност на личните данни

1. Държавите членки гарантират, че доколкото е възможно се прави разграничение между различните категории лични данни, които се обработват, в съответствие със степента им на точност и надеждност.

1. Държавите членки предвиждат, че е гарантирана точност и надеждност на личните данни, които се обработват.

2. Държавите членки гарантират, че доколкото е възможно се прави разграничение между лични данни, основани на факти, и лични данни, основани на лични оценки.

2. Държавите членки гарантират, че се прави разграничение между лични данни, основани на факти, и лични данни, основани на лични оценки, според тяхната степен на точност и надеждност.

 

2a. Държавите членки гарантират, че лични данни, които са неточни, непълни или които вече не са актуални, не се предават или предоставят. За тази цел компетентните органи оценяват качеството на личните данни преди тяхното предаване или предоставяне. Доколкото е възможно, при всяко предаване на данни се добавя информация, която позволява на получаващата държава членка да оцени степента на точност, пълнота, актуалност и надеждност на данните. Личните данни не се предават без искане от компетентен орган, по-специално данните, които първоначално са били притежавани от частни страни.

 

2б. Ако се окаже, че са предадени неверни данни или данни са предадени незаконосъобразно, получателят трябва да бъде незабавно уведомен. Получателят се задължава да коригира незабавно данните съгласно параграф 1 и член 15 или да ги заличи съгласно член 16.

Изменение  67

Предложение за директива

Член 7

Текст, предложен от Комисията

Изменение

Законосъобразност на обработването

Законосъобразност на обработването

Държавите членки предвиждат, че обработването на лични данни е законосъобразно само ако и доколкото то е необходимо:

1. Държавите членки предвиждат, че обработването на лични данни е законосъобразно само ако и доколкото то е основано на правото на Съюза или на правото на държава членка за целите, посочени в член 1, параграф 1, и е необходимо:

a) за изпълнението на задача, извършвана от компетентен орган въз основа на закона за целите, определени в член 1, параграф 1, или

a) за изпълнението на задача, извършвана от компетентен орган, или

 

б) за спазването на правно задължение, чийто субект е администраторът, или

 

в) за да бъдат защитени жизненоважни интереси на субекта на данните или на друго лице, или

в) за да бъдат защитени жизненоважни интереси на субекта на данните или на друго лице, или

г) за предотвратяване на непосредствена и сериозна заплаха за обществената сигурност.

г) за предотвратяване на непосредствена и сериозна заплаха за обществената сигурност.

 

1a. Правото на държава членка, уреждащо обработването на лични данни в рамките на приложното поле на настоящата директива, съдържа изрични и подробни разпоредби, които определят най-малко:

 

a) целите на обработването;

 

б) личните данни, които се обработват;

 

в) конкретните цели на обработването и средствата за обработване;

 

г) назначаването на администратор на лични данни или специфичните критерии за назначаване на администратора;

 

д) категориите надлежно оправомощени служители на компетентните органи за обработване на лични данни;

 

е) процедурата, която да се следва при обработването;

 

ж) за какво могат да се използват събраните лични данни;

 

з) ограниченията върху свободата на действие на компетентните органи по отношение на действията по обработването на лични данни.

Изменение  68

Предложение за директива

Член 7 а (нов)

Текст, предложен от Комисията

Изменение

 

Член 7a

 

Допълнително обработване за несъвместими цели

 

1. Държавите членки предвиждат, че личните данни могат да бъдат обработвани допълнително за друга от определените в член 1, параграф 1 цели, която не е съвместима с целите, за които данните са били събрани първоначално, само ако и доколкото:

 

a) целта е строго необходима и пропорционална в едно демократично общество и се изисква от правото на Съюза или правото на държава членка за законна, конкретна и добре определена;

 

б) обработването е строго ограничено за период, който не е по-дълъг от времето, необходимо за конкретната операция по обработване на данни;

 

в) всякаква допълнителна употреба за други цели е забранена.

 

Преди всяко обработване държавата членка се консултира с надзорен орган по защита на данните и прави оценка на въздействието за защитата на данните.

 

2. В допълнение към изискванията, посочени в член 7, параграф 1а, правото на държавата членка, позволяващо по-нататъшно обработване на лични данни, посочено в параграф 1, съдържа изрични и подробни разпоредби, които определят най-малко:

 

a) конкретните цели и средствата за конкретното обработване;

 

б) че достъпът се разрешава само от надлежно оправомощени служители на компетентните органи в изпълнение на техните задачи, когато в конкретния случай има разумни основания да се счита, че обработването на лични данни значително ще допринесе за предотвратяването, разследването, откриването или наказателното преследване на престъпления или изпълнението на наказания; както и

 

в) че са предвидени подходящи гаранции, осигуряващи защитата на основните права и свободи във връзка с обработването на лични данни.

 

Държавите членки могат да изискват по отношение на достъпа до лични данни да се изпълняват допълнителни условия, като например съдебно разрешение съгласно тяхното национално законодателство.

 

3. Държавите членки също така могат да разрешат по-нататъшно обработване на лични данни за исторически, статистически или научни цели, при условие че те осигурят подходящи гаранции, например като направят данните анонимни.

Изменение  69

Предложение за директива

Член 8

Текст, предложен от Комисията

Изменение

Обработване на специални категории лични данни

Обработване на специални категории лични данни

1. Държавите членки забраняват обработването на лични данни, които разкриват расов или етнически произход, политически мнения, религия или убеждения, членство в професионални съюзи, като и обработването на генетични данни или данни, свързани със здравословното състояние или половия живот.

1. Държавите членки забраняват обработването на лични данни, които разкриват расов или етнически произход, политически мнения, религия или философски убеждения, сексуална ориентация или полова идентичност, членство и дейност в професионални съюзи, както и обработването на биометрични данни или данни, свързани със здравословното състояние или половия живот.

2. Параграф 1 не се прилага, когато:

2. Параграф 1 не се прилага, когато:

a) обработването е разрешено със закон, който предвижда подходящи гаранции; или

a) обработването е строго необходимо и пропорционално за изпълнението на задача, която се осъществява от компетентните органи за целите, определени в член 1, параграф 1, въз основа на правото на Съюза или на правото на държава членка, което предвижда конкретни и подходящи мерки за защита на законните интереси на субекта на данни, включително специално разрешение от съдебен орган, ако се изисква от националното право; или

б) обработването е необходимо, за да бъдат защитени жизненоважни интереси на субекта на данни или на друго лице; или

б) обработването е необходимо, за да бъдат защитени жизненоважни интереси на субекта на данни или на друго лице; или

в) обработването касае данни, които явно са направени обществено достояние от субекта на данните.

в) обработването касае данни, които явно са направени обществено достояние от субекта на данните, при условие че те са относими и строго необходими за преследваната цел в конкретния случай.

Изменение  70

Предложение за директива

Член 8 а (нов)

Текст, предложен от Комисията

Изменение

 

Член 8а

 

Обработване на генетични данни с цел наказателно разследване или съдебно производство

 

1. Държавите членки гарантират, че генетични данни могат да се използват само за установяване на генетична връзка в рамките на представянето на доказателства, предотвратяването на заплаха за обществената сигурност или предотвратяването на извършването на конкретно престъпление. Генетични данни не могат да се използват за определяне на други характеристики, които могат да бъдат свързани генетично.

 

2. Държавите членки предвиждат, че генетичните данни или информацията, получена от техния анализ, могат да бъдат съхранявани, доколкото е необходимо за целите, за които се обработват данните, и когато засегнатото лице е обвинено в тежки престъпления срещу живота, неприкосновеността или сигурността на хората, в съответствие със стриктни срокове на съхранение, определени от правото на държавите членки.

 

3. Държавите членки гарантират, че генетичните данни или информацията, получена от техния анализ, се съхраняват за по-дълги периоди само когато генетичните данни не могат да бъдат приписани на даден индивид, по-специално когато те са намерени на местопрестъпление.

Изменение  71

Предложение за директива

Член 9

Текст, предложен от Комисията

Изменение

Мерки, основани на профилиране и автоматизирано обработване

Мерки, основани на профилиране и автоматизирано обработване

1. Държавите членки предвиждат, че мерките, които пораждат неблагоприятни правни последици за субекта на данни или съществено го засягат и които се основават единствено на автоматизирано обработване на лични данни, имащо за цел да се оценят определени лични аспекти, свързани със субекта на данните, са забранени, освен ако не са разрешени от закон, който установява и мерки за гарантиране на законните интереси на субекта на данните.

1. Държавите членки предвиждат, че мерките, които пораждат правна последица за субекта на данни или съществено го засягат и които частично или изцяло се основават на автоматизирано обработване на лични данни, имащо за цел да се оценят определени лични аспекти, свързани със субекта на данните, са забранени, освен ако не са разрешени от закон, който установява и мерки за гарантиране на законните интереси на субекта на данните.

2. Автоматизираното обработване на лични данни с цел оценяване на определени лични аспекти, свързани със субекта на данните, не може да се основава единствено на специалните категории лични данни, посочени в член 8.

2. Автоматизираното обработване на лични данни с цел оценяване на определени лични аспекти, свързани със субекта на данните, не може да се основава на специалните категории лични данни, посочени в член 8.

 

2a. Автоматизираното обработване на лични данни с цел разграничаване на субекта на данните, без да е налице първоначално подозрение, че субектът на данните може да е извършил престъпление, е законно само, ако и доколкото е строго необходимо за разследването на тежко престъпление или предотвратяването на ясна и непосредствена опасност, основаваща се на фактически данни, за обществената сигурност, съществуването на държавата или живота на хората.

 

2б. Забранява се във всички случаи профилиране, което (независимо дали умишлено или по друг начин) има дискриминиращо действие спрямо отделните лица въз основа на раса или етнически произход, на политически мнения, религия или убеждения, членство в профсъюз или полова или сексуална ориентация или което (независимо дали умишлено или по друг начин) води до мерки с такова действие.

Изменение  72

Предложение за директива

Член 9 а (нов)

Текст, предложен от Комисията

Изменение

 

Член 9а

 

Общи принципи за правата на субекта на данни

 

1. Държавите членки гарантират яснота на основата на защитата на данните и недвусмисленост на правата на субектите на данни, която се спазва от администратора на лични данни. Разпоредбите на настоящата директива имат за цел да засилят, да пояснят, да гарантират и по целесъобразност да кодифицират тези права.

 

2. Държавите членки гарантират, че тези права включват, наред с другото, предоставяне на ясна и лесно разбираема информация относно обработването на личните данни на субекта на данни, право на достъп, коригиране и заличаване на неговите данни, право да се подаде жалба до компетентния орган за защита на данните и да се предяви съдебен иск, както и право на компенсация и обезщетение вследствие на незаконна операция по обработване. Като цяло тези права се упражняват безплатно. Администраторът на лични данни отговаря на исканията на субекта на данни в разумен срок.

Изменение  73

Предложение за директива

Член 10

Текст, предложен от Комисията

Изменение

Условия за упражняване на правата на субекта на данни

Условия за упражняване на правата на субекта на данни

1. Държавите членки предвиждат задължение за администратора да вземе всички разумни мерки, за да разполага с прозрачни и лесно достъпни вътрешни правила по отношение на обработването на лични данни и за упражняването на правата на субектите на данни.

1. Държавите членки предвиждат администраторът да разполага с кратки, прозрачни, ясни и лесно достъпни вътрешни правила по отношение на обработването на лични данни и за упражняването на правата на субекта на данни.

2. Държавите членки предвиждат, че всякаква информация и съобщения, свързани с обработването на лични данни, се предоставят от администратора на субекта на данните в лесна за разбиране форма, като се използват ясни и прости формулировки.

2. Държавите членки предвиждат, че всякаква информация и съобщения, свързани с обработването на лични данни, се предоставят от администратора на субекта на данните в лесна за разбиране форма, като се използват ясни и прости формулировки, по-специално когато тази информация е конкретно насочена към дете.

3. Държавите членки предвиждат задължение за администратора да вземе всички разумни мерки за въвеждане на процедури за предоставяне на информацията, посочена в член 11, и за упражняване на правата на субектите на данни, посочени в членове 12—17.

3. Държавите членки предвиждат задължение за администратора да установи процедури за предоставяне на информацията, посочена в член 11, и за упражняване на правата на субекта на данни, посочени в членове 12—17. Когато личните данни се обработват с автоматични средства, администраторът осигурява средства за подаване на искания по електронен път.

4. Държавите членки предвиждат задължение за администратора да информира субекта на данните без ненужно забавяне за действията, предприети във връзка с неговото искане.

4. Държавите членки предвиждат задължение за администратора да информира субекта на данните без ненужно забавяне за действията, предприети във връзка с неговото искане, и във всеки случай най-късно в срок от един месец от получаването на искането. Информацията се предоставя в писмена форма. Когато субектът на данните подава искането в електронна форма, информацията се предоставя в електронна форма.

5. Държавите членки предвиждат, че информацията и всички действия, предприети от администратора вследствие на подадено искане по параграфи 3 и 4, са безплатни. Когато исканията са проява на злонамереност, по-специално поради своята повторяемост или размера или обема на искането, администраторът може да поиска заплащането на дадена сума за предоставянето на информацията или за изпълнението на исканото действие, или може да не изпълни исканото действие. В този случай администраторът носи тежестта на доказване на злонамереността на искането.

5. Държавите членки предвиждат, че информацията и всички действия, предприети от администратора вследствие на подадено искане по параграфи 3 и 4, са безплатни. Когато исканията са явно прекомерни, по-специално поради своята повторяемост, администраторът може да наложи разумна такса, отчитаща административните разходи за предоставянето на информацията или за изпълнението на исканото действие. В този случай администраторът носи тежестта на доказване на явно прекомерния характер на искането.

 

5a. Държавите членки могат да предвидят, че субектът на данните може да упражни своите права пряко срещу администратора или чрез посредничеството на компетентния национален надзорен орган. Когато надзорният орган е извършил действия въз основа на искане на субекта на данните, надзорният орган информира субекта на данните за извършените проверки.

Изменение  74

Предложение за директива

Член 11

Текст, предложен от Комисията

Изменение

Информация за субекта на данни

Информация за субекта на данни

1. Когато се събират лични данни, свързани със субект на данни, държавите членки гарантират, че администраторът взема всички подходящи мерки, за да предостави на субекта на данните най-малко следната информация:

1. Когато се събират лични данни, свързани със субект на данни, държавите членки гарантират, че администраторът предоставя на субекта на данните най-малко следната информация:

a) наименованието и координати за връзка на администратора и на длъжностното лице по защита на данните;

a) наименованието и координати за връзка на администратора и на длъжностното лице по защита на данните;

б) целите на обработването, за които са предназначени личните данни;

б) правното основание и целите на обработването, за които са предназначени личните данни;

в) срока, за който ще се съхраняват личните данни;

в) срока, за който ще се съхраняват личните данни;

г) съществуването на право да се изиска от администратора достъп до личните данни, свързани със субекта на данните, както и тяхното коригиране, заличаване или ограничаване на обработването;

г) съществуването на право да се изиска от администратора достъп до личните данни, свързани със субекта на данните, както и тяхното коригиране, заличаване или ограничаване на обработването;

д) правото да се подаде жалба до надзорния орган, посочен в член 39, и неговите координати за връзка;

д) правото да се подаде жалба до надзорния орган, посочен в член 39, и неговите координати за връзка;

е) получателите или категориите получатели на личните данни, включително в трети държави или международни организации;

е) получателите на личните данни, включително в трети държави или международни организации, и лицата, които имат право на достъп до тези данни съгласно законите на тази трета държава или правилата на тази международна организация, наличието или липсата на решение относно адекватността от страна на Комисията или в случай на предаване на данни, посочено в член 35 или член 36, средствата за получаване на копие от подходящите гаранции, прилагани за предаването;

 

еa) когато администраторът обработва лични данни, както е посочено в член 9, параграф 1, информация относно съществуването на обработване за мярка от вида, посочен в член 9, параграф 1, и търсеното въздействие от такова обработване върху субекта на данни, информация за логиката, използвана при профилирането, и правото на получаване на оценка от страна на човек;

 

еб) информация относно мерките за сигурност, предприети с цел защита на личните данни;

ж) всяка допълнителна информация, доколкото такава е необходима, за да се гарантира добросъвестното обработване по отношение на субекта на данните, като се отчитат конкретните обстоятелства, при които се обработват личните данни.

ж) всяка допълнителна информация, доколкото такава е необходима, за да се гарантира добросъвестното обработване по отношение на субекта на данните, като се отчитат конкретните обстоятелства, при които се обработват личните данни.

2. Когато личните данни се събират от субекта на данните, администраторът го информира, в допълнение към информацията, посочена в параграф 1, дали предоставянето на лични данни е задължително или доброволно, както и за възможните последици, ако такива данни не бъдат предоставени.

2. Когато личните данни се събират от субекта на данните, администраторът го информира, в допълнение към информацията, посочена в параграф 1, дали предоставянето на лични данни е задължително или доброволно, както и за възможните последици, ако такива данни не бъдат предоставени.

3. Администраторът предоставя информацията, посочена в параграф 1:

3. Администраторът предоставя информацията, посочена в параграф 1:

a) в момента на получаване на личните данни от субекта на данните, или

a) в момента на получаване на личните данни от субекта на данните, или

б) когато личните данни не се събират от субекта на данните, в момента на тяхното записване или в разумен срок след събирането им, като се отчитат конкретните обстоятелства, при които се обработват данните.

б) когато личните данни не се събират от субекта на данните, в момента на тяхното записване или в разумен срок след събирането им, като се отчитат конкретните обстоятелства, при които се обработват данните.

4. Държавите членки могат да приемат законодателни мерки, които забавят, ограничават или водят до пропускане на предоставянето на информация на субекта на данните до такава степен и за толкова време, за колкото такова частично или пълно ограничение представлява необходима и пропорционална мярка в едно демократично общество, като надлежно се вземат под внимание законните интереси на засегнатото лице:

4. Държавите членки могат да приемат законодателни мерки, които забавят или ограничават предоставянето на информация на субекта на данните в конкретен случай до такава степен и за толкова време, за колкото такова частично или пълно ограничение представлява необходима и пропорционална мярка в едно демократично общество, като надлежно се вземат под внимание основните права и законните интереси на засегнатото лице:

a) за да се избегне възпрепятстването на официални или съдебни проучвания, разследвания или процедури;

a) за да се избегне възпрепятстването на официални или съдебни проучвания, разследвания или процедури;

б) за да се избегне повлияване върху предотвратяването, разкриването, разследването и наказателното преследване на престъпления или изпълнението на наказателни санкции;

б) за да се избегне повлияване върху предотвратяването, разкриването, разследването и наказателното преследване на престъпления или изпълнението на наказателни санкции;

в) за защита на обществената сигурност;

в) за защита на обществената сигурност;

г) за защита на националната сигурност;

г) за защита на националната сигурност;

д) за защита на правата и свободите на други лица.

д) за защита на правата и свободите на други лица.

5. Държавите членки могат да определят категории обработване на данни, които могат изцяло или частично да бъдат обект на изключенията по параграф 4.

5. Държавите членки предвиждат задължение за администратора във всеки конкретен случай да преценява посредством конкретно и индивидуално проучване дали да наложи частично или пълно ограничение поради една от причините, посочени в параграф 4. Държавите членки могат също така да определят със закон категории обработване на данни, които могат изцяло или частично да бъдат обект на изключенията по параграф 4, букви а)—г).

Изменение  75

Предложение за директива

Член 12

Текст, предложен от Комисията

Изменение

Право на достъп на субекта на данни

Право на достъп на субекта на данни

1. Държавите членки уреждат правото на субекта на данни да получава потвърждение от администратора дали се обработват лични данни, свързани с него. Когато се обработват такива лични данни, администраторът предоставя следната информация:

1. Държавите членки уреждат правото на субекта на данни да получава потвърждение от администратора дали се обработват лични данни, свързани с него. Когато се обработват такива лични данни, администраторът предоставя следната информация, ако тя вече не е била предоставена:

 

- a) съобщаване на личните данни, които са в процес на обработване, и на всякаква налична информация за техния източник, както и ако е приложимо, разбираема информация за логиката, включена във всяко автоматизирано обработване;

 

- aa) значението и предвидените последствия от такова обработване, най-малко в случая на мерките, посочени в член 9;

a) целите на обработването;

a) целите на обработването, както и правното основание за обработването;

б) категориите засегнати лични данни;

б) категориите засегнати лични данни;

в) получателите или категориите получатели, пред които са разкрити личните данни, по-специално получателите в трети държави;

в) получателите, пред които са разкрити личните данни, по-специално получателите в трети държави;

г) срока, за който ще се съхраняват личните данни;

г) срока, за който ще се съхраняват личните данни;

д) съществуването на правото да се изиска от администратора коригиране, заличаване или ограничаване на обработването на лични данни, касаещи субекта на данните;

д) съществуването на правото да се изиска от администратора коригиране, заличаване или ограничаване на обработването на лични данни, касаещи субекта на данните;

е) правото да бъде подадена жалба до надзорния орган и да бъдат предоставени неговите координати за връзка;

е) правото да бъде подадена жалба до надзорния орган и да бъдат предоставени неговите координати за връзка;

ж) съобщаване на личните данни, които са в процес на обработване, и на всякаква налична информация за техния източник.

 

2. Държавите членки уреждат правото на субекта на данни да получи от администратора копие от личните данни, които са процес на обработване.

2. Държавите членки уреждат правото на субекта на данни да получи от администратора копие от личните данни, които са в процес на обработване. Когато субектът на данните подава искането в електронна форма, информацията се предоставя в електронна форма, освен ако субектът на данните не е поискал друго.

(Параграф 1, буква ж) от текста на Комисията вече е параграф 1, буква -аа) в изменението на Парламента)

Изменение  76

Предложение за директива

Член 13

Текст, предложен от Комисията

Изменение

Ограничения на правото на достъп

Ограничения на правото на достъп

1. Държавите членки могат да приемат законодателни мерки, които ограничават изцяло или частично правото на достъп на субекта на данните дотолкова, доколкото такова частично или пълно ограничаване представлява необходима и пропорционална мярка в едно демократично общество, като надлежно се вземат под внимание законните интереси на засегнатото лице:

1. Държавите членки могат да приемат законодателни мерки, които ограничават изцяло или частично, в зависимост от конкретния случай, правото на достъп на субекта на данните за период от време и дотолкова, доколкото такова частично или пълно ограничаване представлява строго необходима и пропорционална мярка в едно демократично общество, като надлежно се вземат под внимание основните права и законните интереси на засегнатото лице:

a) за да се избегне възпрепятстването на официални или съдебни проучвания, разследвания или процедури;

a) за да се избегне възпрепятстването на официални или съдебни проучвания, разследвания или процедури;

б) за да се избегне повлияване върху предотвратяването, разкриването, разследването и наказателното преследване на престъпления или изпълнението на наказателни санкции;

б) за да се избегне повлияване върху предотвратяването, разкриването, разследването и наказателното преследване на престъпления или изпълнението на наказателни санкции;

в) за защита на обществената сигурност;

в) за защита на обществената сигурност;

г) за защита на националната сигурност;

г) за защита на националната сигурност;

д) за защита на правата и свободите на други лица.

д) за защита на правата и свободите на други лица.

2. Държавите членки могат да определят с нормативен акт категории обработване на данни, които могат изцяло или частично да бъдат обект на изключенията по параграф 1.

2. Държавите членки предвиждат задължение за администратора във всеки конкретен случай да преценява посредством конкретно и индивидуално проучване дали да наложи частично или пълно ограничение поради една от причините, посочени в параграф 1. Държавите членки могат също така да определят с нормативен акт категории обработване на данни, които могат изцяло или частично да бъдат обект на изключенията по букви а)—г) от параграф 1.

3. В случаите по параграфи 1 и 2 държавите членки предвиждат задължение за администратора да информира в писмена форма субекта на данни за всеки отказ на достъп или ограничаване на достъпа, за причините за отказа, за възможностите за подаване на жалба до надзорния орган и за търсене на защита по съдебен ред. Информацията относно фактическите или правните основания, на които се основава решението, може да бъде пропусната когато предоставянето Й би възпрепятствало постигането на цел по параграф 1.

3. В случаите по параграфи 1 и 2 държавите членки предвиждат задължение за администратора да информира в писмена форма без ненужно забавяне субекта на данни за всеки отказ на достъп или ограничаване на достъпа, за мотивираната обосновка за отказа, за възможностите за подаване на жалба до надзорния орган и за търсене на защита по съдебен ред. Информацията относно фактическите или правните основания, на които се основава решението, може да бъде пропусната когато предоставянето Й би възпрепятствало постигането на цел по параграф 1.

4. Държавите членки гарантират, че администраторът документира причините да не бъдат съобщени фактическите или правните основания, на които се основава решението.

4. Държавите членки гарантират, че администраторът документира посочената в параграф 2 оценка, както и причините за ограничаване на съобщаването на фактическите или правните основания, на които се основава решението. Тази информация се предоставя на националните надзорни органи.

Изменение  77

Предложение за директива

Член 14

Текст, предложен от Комисията

Изменение

Условия за упражняване на правото на достъп

Условия за упражняване на правото на достъп

1. Държавите членки регламентират правото на субекта на данни да поиска, по-специално в случаите по член 13, надзорният орган да провери законосъобразността на обработването.

1. Държавите членки регламентират правото на субекта на данни да поиска по всяко време, по-специално в случаите по член 12 и член 13 , надзорният орган да провери законосъобразността на обработването.

2. Държавите членки предвиждат задължение за администратора да информира субекта на данните за правото да поиска намеса на надзорния орган съгласно параграф 1.

2. Държавите членки предвиждат задължение за администратора да информира субекта на данните за правото да поиска намеса на надзорния орган съгласно параграф 1.

3. Когато е упражнено правото по параграф 1 надзорният орган информира субекта на данните най-малко за това, че е извършил всички необходими проверки, както и за резултата относно законосъобразността на въпросното обработване.

3. Когато е упражнено правото по параграф 1 надзорният орган информира субекта на данните най-малко за това, че е извършил всички необходими проверки, както и за резултата относно законосъобразността на въпросното обработване. Надзорният орган също така информира субекта на данните за неговото право да потърси правна защита.

 

3a. Държавите членки могат да предвидят субектът на данните да може да упражни това право пряко срещу администратора или чрез посредничеството на компетентния национален надзорен орган.

 

3б. Държавите членки гарантират наличието на разумни срокове за отговор от администратора на искания на субекта на данните относно упражняването на неговото право на достъп.

Изменение  78

Предложение за директива

Член 15

Текст, предложен от Комисията

Изменение

Право на коригиране

Право на коригиране и попълване

1. Държавите членки уреждат правото на субекта на данни по негово искане администраторът да коригира неточните лични данни, свързани с него. Субектът на данните има право непълните лични данни да бъдат попълнени по негово искане, по-специално чрез декларация за коригиране.

1. Държавите членки уреждат правото на субекта на данни по негово искане администраторът да коригира или да попълни неточните или непълните лични данни, свързани с него, по-специално чрез попълване или чрез декларация за коригиране.

2. Държавите членки предвиждат задължение за администратора да информира в писмена форма субекта на данни за всеки отказ за коригиране, за причините за отказа и за възможностите за подаване на жалба до надзорния орган и за търсене на защита по съдебен ред.

2. Държавите членки предвиждат задължение за администратора да информира в писмена форма, с мотивирана обосновка, субекта на данни за всеки отказ за коригиране или попълване, за причините за отказа и за възможностите за подаване на жалба до надзорния орган и за търсене на защита по съдебен ред.

 

2a. Държавите членки предвиждат администраторът да съобщава всяко извършено коригиране на всеки получател, на когото данните са били разкрити, освен ако това е невъзможно или изисква непропорционално големи усилия.

 

. Държавите членки предвиждат администраторът да съобщава коригирането на неточни лични данни на третата страна, от която произхождат неточните лични данни.

 

. Държавите членки предвиждат субектът на данните да може да упражни това право срещу администратора също и чрез посредничеството на компетентния национален надзорен орган.

Изменение  79

Предложение за директива

Член 16

Текст, предложен от Комисията

Изменение

Право на заличаване

Право на заличаване

1. Държавите членки регламентират правото на субекта на данни по негово искане администраторът да заличи личните данни, свързани с него, когато обработването не е в съответствие с разпоредбите, приети съгласно член 4, букви а)—д) и членове 7 и 8 от настоящата директива.

1. Държавите членки регламентират правото на субекта на данни по негово искане администраторът да заличи личните данни, свързани с него, когато обработването не е в съответствие с разпоредбите, приети съгласно членове 4, 6, и 7)—8 от настоящата директива.

2. Администраторът извършва заличаването незабавно.

2. Администраторът извършва заличаването незабавно. Администраторът се въздържа от по-нататъшно разпространяване на такива данни.

3. Вместо да извърши заличаване администраторът маркира личните данни, когато:

3. Вместо да извърши заличаване, администраторът ограничава обработването на личните данни, когато:

a) точността им се оспорва от субекта на данните, за срок, който позволява на администратора да провери точността на данните;

a) точността им се оспорва от субекта на данните, за срок, който позволява на администратора да провери точността на данните;

б) личните данни трябва да бъдат запазени за доказателствени цели;

б) личните данни трябва да бъдат запазени за доказателствени цели или за защитата на жизненоважни интереси на субекта на данните или на друго лице.

в) субектът на данните не желае те да бъдат заличени, а изисква вместо това ограничаване на използването им.

 

 

3a. Когато обработването на личните данни е ограничено съгласно параграф 3, администраторът информира субекта на данните, преди да премахне ограничението за обработването.

4. Държавите членки предвиждат задължение за администратора да информира в писмена форма субекта на данни за всеки отказ за заличаване или маркиране на обработването, за причините за отказа и за възможностите за подаване на жалба до надзорния орган и за търсене на защита по съдебен ред.

4. Държавите членки предвиждат задължение за администратора да информира в писмена форма, с мотивирана обосновка, субекта на данни за всеки отказ за заличаване или ограничаване на обработването, за причините за отказа и за възможностите за подаване на жалба до надзорния орган и за търсене на защита по съдебен ред.

 

4a. Държавите членки предвиждат задължение за администратора да информира получателите, на които са били изпратени тези данни, за всяко заличаване или ограничаване, извършено съгласно параграф 1, освен ако това е невъзможно или е свързано се непропорционално голямо усилие. Администраторът информира субекта на данните за тези трети страни.

 

. Държавите членки могат да предвидят субектът на данните да може да упражни това право пряко срещу администратора или чрез посредничеството на компетентния национален надзорен орган.

Изменение  80

Предложение за директива

Член 18

Текст, предложен от Комисията

Изменение

Отговорност на администратора

Отговорност на администратора

1. Държавите членки предвиждат задължение за администратора да приема вътрешни правила и да предприема подходящи мерки, за да гарантира, че обработването на лични данни се извършва при съблюдаване на разпоредбите, приети съгласно настоящата директива.

1. Държавите членки предвиждат задължение за администратора да приема вътрешни правила и да предприема подходящи мерки, за да гарантира и да може да демонстрира по прозрачен начин за всяка операция на обработване, че обработването на лични данни се извършва при съблюдаване на разпоредбите, приети съгласно настоящата директива, както в момента на определяне на средството за обработване, така и в момента на самото обработване.

2. Мерките, посочени в параграф 1, включват по-специално:

2. Мерките, посочени в параграф 1, включват по-специално:

a) поддържане на документацията, посочена в член 23;

a) поддържане на документацията, посочена в член 23;

 

aa) извършване на оценка на въздействието върху защитата на данните съгласно член 25а;

б) спазване на изискванията за предварителна консултация съгласно член 26;

б) спазване на изискванията за предварителна консултация съгласно член 26;

в) изпълнение на изискванията за сигурност на данните, определени в член 27;

в) изпълнение на изискванията за сигурност на данните, определени в член 27;

г) определяне на длъжностно лице по защита на данните съгласно член 30.

г) определяне на длъжностно лице по защита на данните съгласно член 30.

 

гa) изготвяне и прилагане на специфични гаранции по отношение на обработването на лични данни, свързани с деца, когато е целесъобразно.

3. Администраторът прилага механизми за осигуряване на проверката за ефективност на мерките, посочени в параграф 1 от настоящия член. Ако отговаря на изискването за пропорционалност, тази проверка се извършва от независими вътрешни или външни одитори.

3. Администраторът прилага механизми за осигуряване на проверката за адекватност и ефективност на мерките, посочени в параграф 1 от настоящия член. Ако отговаря на изискването за пропорционалност, тази проверка се извършва от независими вътрешни или външни одитори.

Изменение  81

Предложение за директива

Член 19

Текст, предложен от Комисията

Изменение

Защита на данните още при проектирането и по подразбиране

Защита на данните още при проектирането и по подразбиране

1. Държавите членки предвиждат, че като взема предвид достиженията на техническия прогрес и разходите за тяхното внедряване, администраторът въвежда подходящи технически и организационни мерки и процедури, така че обработването да отговаря на изискванията на разпоредбите, приети съгласно настоящата директива, и да гарантира защитата на правата на субекта на данни.

1. Държавите членки предвиждат, че като взема предвид достиженията на техническия прогрес, текущото техническо познание, международните най-добри практики и свързаните с обработката на данни рискове, администраторът и обработващият данни, ако има такъв, както в момента на определяне на целите и средствата за обработване, така и в момента на самото обработване, въвеждат подходящи и пропорционални технически и организационни мерки и процедури, така че обработването да отговаря на изискванията на разпоредбите, приети съгласно настоящата директива, и да гарантира защитата на правата на субекта на данни, в частност по отношение на установените в член 4 принципи. Защитата на данните при проектирането взема предвид целия жизнен цикъл на управление на личните данни — от събирането през обработването до заличаването, като систематично се съсредоточава върху всеобхватните процедурни мерки за защита по отношение на точността, поверителността, целостта, физическата защита и заличаването на лични данни. Когато администраторът е извършил оценка на въздействието върху защитата на данните съгласно член 25а, резултатите се вземат под внимание при разработването на тези мерки и процедури.

2. Администраторът въвежда механизми, за да се гарантира, че по подразбиране се обработват единствено онези лични данни, които са необходими за целите на обработването.

2. Администраторът гарантира, че по подразбиране се обработват единствено онези лични данни, които са необходими за всяка конкретна цел на обработването, и по-специално, че данните не се събират, запазват или разпространяват в обем или за срок на съхранение, по-голям от минимално необходимия за тези цели. По-специално тези механизми гарантират, че по подразбиране личните данни не са достъпни за неограничен брой физически лица и че субектите на данни са в състояние да контролират разпространението на личните им данни.

Изменение  82

Предложение за директива

Член 20

Текст, предложен от Комисията

Изменение

Съвместни администратори

Съвместни администратори

Държавите членки предвиждат, че когато даден администратор определя целите, условията и средствата за обработването на лични данни съвместно с други, съвместните администратори трябва да определят чрез договорености помежду си съответните отговорности за спазване на разпоредбите, приети съгласно настоящата директива, по-специално по отношение на процедурите и механизмите за упражняване на правата на субекта на данните.

1. Държавите членки предвиждат, че когато даден администратор определя целите, условията и средствата за обработването на лични данни съвместно с други, съвместните администратори трябва да определят чрез правно обвързващо споразумение помежду си съответните отговорности за спазване на разпоредбите, приети съгласно настоящата директива, по-специално по отношение на процедурите и механизмите за упражняване на правата на субекта на данните.

 

2. Освен ако субектът на данни е информиран за това кой от съвместните администратори носи отговорност съобразно параграф 1, субектът на данни може да упражнява правата си съобразно настоящата директива по отношение на и срещу всеки един от двама или повече на брой съвместни администратори.

Изменение  83

Предложение за директива

Член 21

Текст, предложен от Комисията

Изменение

Обработващ лични данни

Обработващ лични данни

1. Държавите членки предвиждат, че когато операция по обработване се извършва от името на администратора, последният трябва да избере обработващ лични данни, който предоставя достатъчни гаранции, че ще приложи подходящи технически и организационни мерки и процедури, така че обработването да отговаря на изискванията на разпоредбите, приети съгласно настоящата директива, и да гарантира защитата на правата на субекта на данни.

1. Държавите членки предвиждат, че когато операция по обработване се извършва от името на администратора, последният избира обработващ лични данни, който предоставя достатъчни гаранции, че ще приложи подходящи технически и организационни мерки и процедури, така че обработването да отговаря на изискванията на разпоредбите, приети съгласно настоящата директива, и да гарантира защитата на правата на субекта на данни, по-специално по отношение на техническите мерки за сигурност и организационните мерки, управляващи обработването, които трябва да бъдат изпълнени, както и да гарантира спазването на тези мерки.

2. Държавите членки предвиждат, че извършването на обработване от страна на обработващ лични данни трябва да е уредено с правен акт, който обвързва обработващия лични данни с администратора и предвижда по-специално, че обработващият лични данни извършва действия само въз основа на указания от администратора, по-специално когато предаването на използваните лични данни е забранено.

2. Държавите членки предвиждат, че извършването на обработване посредством обработващ лични данни трябва да е уредено с договор или правен акт, който обвързва обработващия лични данни с администратора и предвижда по-специално, че обработващият лични данни:

 

a) действа единствено по указания на администратора;

 

б) наема единствено персонал, който е поел ангажимент за поверителност или е задължен по закон да спазва поверителност;

 

в) взема всички необходими мерки съгласно член 27;

 

г) ангажира друг обработващ лични данни единствено с разрешение на администратора, поради което информира администратора за намерението си да ангажира друг обработващ лични данни достатъчно своевременно, за да може администраторът да има възможност да възрази;

 

д) доколкото това е възможно предвид естеството на обработването, приема с одобрението на администратора необходимите технически и организационни изисквания за изпълнението на задължението на администратора да отговаря на исканията за упражняване на правата на субектите на данни, определени в глава III;

 

е) подпомага администратора да гарантира изпълнението на задълженията съгласно членове 25а—29;

 

ж) връща всички резултати на администратора след приключване на обработката и не обработва по друг начин личните данни, както и заличава съществуващи копия, освен ако правото на Съюза или държавата членка изисква съхраняването им;

 

з) предоставя на администратора и на надзорния орган цялата информация, необходима, за да се провери спазването на задълженията, определени в настоящия член;

 

и) взема под внимание принципа на защита на данните още при проектирането и по подразбиране.

 

2a. Администраторът и обработващият лични данни документират в писмена форма указанията на администратора и задължението на обработващия лични данни, посочено в параграф 2.

3. Ако обработващ лични данни обработва лични данни, различни от онези, за които е получил указания от администратора, първият се счита за администратор по отношение на това обработване и спрямо него се прилагат правилата за съвместните администратори, установени в член 20.

3. Ако обработващ лични данни обработва лични данни, различни от онези, за които е получил указания от администратора, първият се счита за администратор по отношение на това обработване и спрямо него се прилагат правилата за съвместните администратори, установени в член 20.

Изменение  84

Предложение за директива

Член 22 – параграф 1 а (нов)

Текст, предложен от Комисията

Изменение

 

1a. Когато обработващият данни е или стане определяща страна по отношение на целите, средствата или методите на обработването на данните или не действа единствено по указания на администратора, той се счита за съвместен администратор по смисъла на член 20.

Изменение  85

Предложение за директива

Член 23

Текст, предложен от Комисията

Изменение

Документация

Документация

1. Държавите членки предвиждат задължение за всички администратори и обработващи лични данни да поддържат документация за всички системи и процедури за обработване, за които носят отговорност.

1. Държавите членки предвиждат задължение за всички администратори и обработващи лични данни да поддържат документация за всички системи и процедури за обработване, за които носят отговорност.

2. Документацията съдържа най-малко следната информация:

2. Документацията съдържа най-малко следната информация:

a) наименованието и данните за контакт на администратора или на всеки съвместен администратор или обработващ лични данни;

a) наименованието и данните за контакт на администратора или на всеки съвместен администратор или обработващ лични данни;

 

aa) правно обвързващо споразумение, когато са налице съвместни администратори; списък на обработващите лични данни и извършените от тях дейности;

б) целите на обработването;

б) целите на обработването;

 

бa) указване на онези части от организацията на обработващия лични данни или администратора, на които е възложено обработването на лични данни с конкретна цел;

 

бб) описание на категорията/ите на субектите на данни и на съответните данни или категории данни;

в) получателите или категориите получатели на лични данни;

в) получателите или категориите получатели на лични данни;

 

вa) когато е приложимо, информация относно наличието на профилиране, на мерки, основани на профилиране, и на механизми за възразяване срещу профилиране;

 

вб) лесна за разбиране информация относно логиката, прилагана при всяко автоматизирано обработване;

г) предаването на данни на трета държава или международна организация, включително посочване на тази трета държава или международна организация.

г) предаването на данни на трета държава или международна организация, включително посочване на тази трета държава или международна организация, и правното основание за предаване на данните; дава се правно обяснение по същество, когато предаването е основано на член 35 или 36 от настоящата директива;

 

гa) сроковете за заличаване на различните категории данни;

 

гб) резултатите от проверките на мерките, предвидени в член 18, параграф 1;

 

гв) указване на правното основание за операцията по обработване, за която са предназначени данните.

3. При поискване администраторът и обработващият лични данни предоставят тази документация на надзорния орган.

3. При поискване администраторът и обработващият лични данни предоставят цялата тази документация на надзорния орган.

Изменение  86

Предложение за директива

Член 24

Текст, предложен от Комисията

Изменение

Водене на записи

Водене на записи

1. Държавите членки вземат мерки за гарантиране, че се водят записи най-малко за следните операции по обработване: събиране, промяна, консултиране, разкриване, комбиниране или заличаване. Записите за извършено консултиране или разкриване посочват по-специално целта, датата и часа на такива операции и, доколкото е възможно, самоличността на лицето, което се е консултирало с личните данни или ги е разкрило.

1. Държавите членки вземат мерки за гарантиране, че се водят записи най-малко за следните операции по обработване: събиране, промяна, консултиране, разкриване, комбиниране или заличаване. Записите за извършено консултиране или разкриване посочват по-специално целта, датата и часа на такива операции и, доколкото е възможно, самоличността на лицето, което се е консултирало с личните данни или ги е разкрило, както и самоличността на получателите на тези данни.

2. Записите се използват единствено за целите на проверяване на законосъобразността на обработването на данните, за самоконтрол и за гарантиране на непокътнатостта и сигурността на данните.

2. Записите се използват единствено за целите на проверяване на законосъобразността на обработването на данните, за самоконтрол и за гарантиране на непокътнатостта и сигурността на данните или с цел извършване на одит от длъжностното лице по защита на данните или от надзорния орган по защита на данните.

 

2a. При поискване администраторът и обработващият лични данни предоставят тази документация на надзорния орган.

Изменение  87

Предложение за директива

Член 25

Текст, предложен от Комисията

Изменение

Сътрудничество с надзорния орган

Сътрудничество с надзорния орган

1. Държавите членки предвиждат задължение за администратора и обработващия лични данни при поискване да сътрудничат на надзорния орган при изпълнението на неговите задължения, по-специално като предоставят всяка информация, необходима на надзорния орган за изпълнението на неговите задължения.

1. Държавите членки предвиждат задължение за администратора и обработващия лични данни при поискване да сътрудничат на надзорния орган при изпълнението на неговите задължения, по-специално като предоставят информацията, посочена в член 46, параграф 2, буква а), и като предоставят достъп, както е предвидено в член 46, параграф 2, буква б).

2. При упражняване от страна на надзорния орган на правомощията по член 46, букви а) и б) администраторът и обработващият лични данни отговарят на този орган в разумен срок. Отговорът включва описание на предприетите мерки и постигнатите резултати в отговор на отправените от надзорния орган забележки.

2. При упражняване от страна на надзорния орган на правомощията по член 46, параграф 1, букви а) и б) администраторът и обработващият лични данни отговарят на този орган в разумен срок, който се определя от надзорния орган. Отговорът включва описание на предприетите мерки и постигнатите резултати в отговор на отправените от надзорния орган забележки.

Изменение  88

Предложение за директива

Член 25 а (нов)

Текст, предложен от Комисията

Изменение

 

Член 25а

 

Оценка на въздействието върху защитата на данните

 

1. Държавите членки предвиждат администраторът или обработващият данни, който действа от името на администратора, да осъществяват оценка на въздействието на предвидените системи и процедури на обработване върху защитата на личните данни в случаите, когато операциите по обработка е възможно да носят със себе си конкретни рискове за правата и свободите на субектите на данни поради своето естество, обхват или цели, преди нови операции по обработване или възможно най-рано в случая на съществуващи операции на обработване.

 

2. Вероятност да създадат специфичните рискове, посочени в параграф 1, има по-специално за следните операции по обработване:

 

a) обработването на лични данни в широкомащабни регистри на данни за целите на предотвратяването, разкриването, разследването или наказателното преследване на престъпления и за изпълнението на наказателни санкции;

 

б) обработването на специални категории лични данни съобразно посоченото в член 8, на лични данни, свързани с деца, и на биометрични и свързани с местонахождението данни за целите на предотвратяването, разкриването, разследването или наказателното преследване на престъпления и за изпълнението на наказателни санкции.

 

в) оценка на лични аспекти, свързани с дадено физическо лице, за анализиране или прогнозиране, по-специално на неговото поведение, която се основава на автоматизирано обработване и която има вероятност да доведе до мерки, които пораждат правни последици за лицето или го засягат в значителна степен;

 

г) наблюдение на публично достъпни райони, особено когато се използват оптично-електронни устройства (видео наблюдение); или

 

д) други операции по обработване, за които се изисква консултация с надзорния орган съгласно член 26, параграф 1.

 

3. Оценката съдържа най-малко:

 

a) систематично описание на предвидените операции по обработване;

 

б) оценка на необходимостта и пропорционалността на операциите по обработване във връзка с целите;

 

в) оценка на рисковете за правата и свободите на субектите на данни и мерките, които са предвидени за справяне с тези рискове и свеждане до минимум на обема на обработваните лични данни;

 

г) мерките за сигурност и механизмите за гарантиране на защитата на личните данни и за доказване на спазването на разпоредбите, които са приети в съответствие с настоящата директива, като се вземат предвид правата и законните интереси на субектите на данните и другите засегнати лица;

 

д) общо указване на сроковете за заличаване на различните категории данни;

 

е) когато е приложимо, списък на предвиденото предаване на данни на трета държава или международна организация, включително идентификацията на тази трета държава или международна организация, а в случай на предаванията на данни, посочени в член 36, параграф 2, документация за подходящите гаранции.

 

4. Ако администраторът или обработващият данни е определил длъжностно лице по защита на данните, то участва в процедурата по оценка на въздействието.

 

5. Държавите членки предвиждат задължение за администратора да се консултира с обществеността относно планираното обработване, без да се засяга защитата на обществените интереси или сигурността на операциите по обработване.

 

6. Без да се засяга защитата на обществените интереси или сигурността на операциите по обработване, на обществеността се предоставя лесен достъп до оценката.

 

7. На Комисията се предоставя правомощието, след като е поискала становището на Европейския комитет по защита на данните, да приема делегирани актове в съответствие с член 56 с цел допълнително уточняване на критериите и условията за операциите по обработване, за които съществува вероятност да създадат конкретните рискове, посочени в параграфи 1 и 2, както и изискванията за оценката, посочена в параграф 3, включително условията за измеримост, проверка и проверимост.

Изменение  89

Предложение за директива

Член 26

Текст, предложен от Комисията

Изменение

Предварителна консултация с надзорния орган

Предварителна консултация с надзорния орган

1. Държавите членки вземат мерки, за да гарантират, че администраторът или обработващият лични данни се консултира с надзорния орган преди обработването на лични данни, които ще бъдат част от нов регистър на лични данни, който предстои да бъде създаден, когато:

1. Държавите членки вземат мерки, за да гарантират, че администраторът или обработващият лични данни се консултира с надзорния орган преди обработването на лични данни, за да се гарантира съответствието на планираното обработване с приетите разпоредби съгласно настоящата директива, и по-специално за да се смекчат съпътстващите рискове за субектите на данните, когато:

a) ще бъдат обработвани специални категории данни, посочени в член 8;

a) дадена оценка на въздействието върху защитата на данните, както е предвидена в член 25, показва, че поради своето естество, обхват и/или цели операциите по обработване има вероятност да създадат висока степен на конкретни рискове; или

б) видът обработване, и по-специално използването на нови технологии, механизми или процедури, води до специфични рискове за основните права и свободи, и в частност за защитата на личните данни на субектите на данните.

б) надзорният орган счита за необходимо да извърши предварителна консултация относно определени операции по обработване, които има вероятност да създадат конкретни рискове за правата и свободите на субектите на данните поради своето естество, обхват или цели.

 

1a. Когато надзорният орган установи, в съответствие със своите правомощия, че планираното обработване не съответства на разпоредбите, приети в съответствие с настоящата директива, и по-специално когато рисковете са недостатъчно идентифицирани или смекчени, той забранява планираното обработване и прави подходящи предложения, за да се коригира това несъответствие.

2. Държавите членки могат да предвидят задължение за надзорния орган да изготви списък на операциите по обработване, за които е необходима предварителна консултация съгласно параграф 1.

2. Държавите членки предвиждат задължение за надзорния орган, след консултиране с Европейския комитет по защита на данните да изготви списък на операциите по обработване, за които е необходима предварителна консултация съгласно параграф 1, точка б).

 

2a. Държавите членки гарантират, че администраторът или обработващият лични данни предоставя на надзорния орган оценката на въздействието върху защитата на данните, предвидена в член 25а, и при поискване – всякаква друга информация, която позволява на надзорния орган да извърши оценка на съответствието на обработването, и по-специално на рисковете за защитата на личните данни на субекта на данните и на съответните гаранции.

 

2б. Ако надзорният орган е на мнение, че планираното обработване не съответства на разпоредбите, приети в съответствие с настоящата директива, или че рисковете са недостатъчно идентифицирани или смекчени, той прави подходящи предложения, за да се коригира това несъответствие.

 

2в. Държавите членки могат да се консултират с надзорния орган при изготвянето на законодателна мярка, която да бъде приета от националния парламент, или на мярка, основаваща се на такава законодателна мярка, която определя естеството на обработването, за да се гарантира съответствието на планираното обработване съгласно настоящата директива, и по-специално за да се смекчат съпътстващите рискове за субектите на данните.

Изменение  90

Предложение за директива

Член 27

Текст, предложен от Комисията

Изменение

Сигурност на обработването

Сигурност на обработването

1. Държавите членки предвиждат задължение за администратора и обработващия лични данни да предприемат подходящи технически и организационни мерки, за да гарантират ниво на сигурност, което отговаря на свързаните с обработването рискове и естеството на подлежащите на защита данни, като вземат предвид достиженията на техническия прогрес и разходите за тяхното внедряване.

1. Държавите членки предвиждат задължение за администратора и обработващия лични данни да предприемат подходящи технически и организационни мерки и процедури, за да гарантират ниво на сигурност, което отговаря на свързаните с обработването рискове и естеството на подлежащите на защита данни, като вземат предвид достиженията на техническия прогрес и разходите за тяхното внедряване.

2. По отношение на автоматизираното обработване на данни всяка държава членка предвижда задължение след извършване на оценка на рисковете администраторът да въвежда мерки, имащи за цел:

2. По отношение на автоматизираното обработване на данни всяка държава членка предвижда задължение след извършване на оценка на рисковете администраторът да въвежда мерки, имащи за цел:

a) да се откаже достъп на неупълномощени лица до оборудването, използвано за обработване на лични данни (контрол на достъпа до оборудване);

a) да се откаже достъп на неупълномощени лица до оборудването, използвано за обработване на лични данни (контрол на достъпа до оборудване);

б) да се предотврати четенето, копирането, изменянето или отстраняването на информационни носители от неупълномощени лица (контрол на информационните носители);

б) да се предотврати четенето, копирането, изменянето или отстраняването на информационни носители от неупълномощени лица (контрол на информационните носители);

в) да се предотврати въвеждането на данни от неупълномощени лица, както и извършването на проверки, изменянето или заличаването на съхранявани лични данни от неупълномощени лица (контрол на съхраняването);

в) да се предотврати въвеждането на данни от неупълномощени лица, както и извършването на проверки, изменянето или заличаването на съхранявани лични данни от неупълномощени лица (контрол на съхраняването);

г) да се предотврати използването на автоматизирани системи за обработване на данни от неупълномощени лица чрез устройства за предаване на информация (контрол на ползвателите);

г) да се предотврати използването на автоматизирани системи за обработване на данни от неупълномощени лица чрез устройства за предаване на информация (контрол на ползвателите);

д) да се гарантира, че лицата, на които е разрешено да използват автоматизирана система за обработване на данни, имат достъп само до данните, които са обхванати от тяхното разрешение за достъп (контрол на достъпа до данни);

д) да се гарантира, че лицата, на които е разрешено да използват автоматизирана система за обработване на данни, имат достъп само до данните, които са обхванати от тяхното разрешение за достъп (контрол на достъпа до данни);

е) да се гарантира възможността за проверка и установяване на кои органи са били или могат да бъдат изпратени или предоставени лични данни чрез оборудване за предаване на данни (контрол на комуникацията);

е) да се гарантира възможността за проверка и установяване на кои органи са били или могат да бъдат изпратени или предоставени лични данни чрез оборудване за предаване на данни (контрол на комуникацията);

ж) да се гарантира възможността за последващи проверка и установяване какви лични данни са били въведени в автоматизираните системи за обработване на данни, както и кога и от кого са били въведени тези данни (контрол на въвеждането);

ж) да се гарантира възможността за последващи проверка и установяване какви лични данни са били въведени в автоматизираните системи за обработване на данни, както и кога и от кого са били въведени тези данни (контрол на въвеждането);

з) да се предотврати четенето, копирането, изменянето или заличаването на лични данни от неупълномощени лица в хода на предаването на данните или при пренасянето им на информационни носители (контрол на пренасянето);

з) да се предотврати четенето, копирането, изменянето или заличаването на лични данни от неупълномощени лица в хода на предаването на данните или при пренасянето им на информационни носители (контрол на пренасянето);

и) да се гарантира възможността за възстановяване на инсталираните системи в случай на прекъсване на функционирането (възстановяване);

и) да се гарантира възможността за възстановяване на инсталираните системи в случай на прекъсване на функционирането (възстановяване);

й) да се гарантира изпълнението на функциите на системата, докладването за появили се във функциите дефекти (надеждност), както и недопускане на увреждане на съхраняваните лични данни вследствие на неправилно функциониране на системата (непокътнатост).

й) да се гарантира изпълнението на функциите на системата, докладването за появили се във функциите дефекти (надеждност), както и недопускане на увреждане на съхраняваните лични данни вследствие на неправилно функциониране на системата (непокътнатост);

 

йa) да се гарантира, в случай на обработване на чувствителни лични данни съгласно член 8, че са налице допълнителните мерки за сигурност, за да се гарантира ситуационната осведоменост за рисковете и способността да се предприемат предпазни, коригиращи и смекчаващи последствията действия в почти реално време срещу установената уязвимост или инциденти, които могат да представляват риск за данните;

 

2a. Държавите членки предвиждат, че обработващите личните данни могат да бъдат назначавани само ако гарантират, че спазват изискваните технически и организационни мерки по параграф 1 и спазват указанията по член 21, параграф 2, буква а). Компетентният орган извършва наблюдение над обработващия личните данни в това отношение.

3. При необходимост Комисията може да приема актове за изпълнение за уточняване на изискванията, установени в параграфи 1 и 2, за различни ситуации, и по-специално стандарти за криптиране. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 57, параграф 2.

3. При необходимост Комисията може да приема актове за изпълнение за уточняване на изискванията, установени в параграфи 1 и 2, за различни ситуации, и по-специално стандарти за криптиране. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 57, параграф 2.

Изменение  91

Предложение за директива

Член 28

Текст, предложен от Комисията

Изменение

Уведомяване на надзорния орган за нарушение на сигурността на личните данни

Уведомяване на надзорния орган за нарушение на сигурността на личните данни

1. Държавите членки предвиждат, че в случай на нарушение на сигурността на личните данни администраторът, без излишно забавяне и, когато това е осъществимо, не по-късно от 24 часа след установяването на такова нарушение, уведомява надзорния орган за нарушението на сигурността на личните данни. При поискване администраторът представя на надзорния орган мотивирана обосновка в случаите, когато уведомлението не е подадено в срок от 24 часа.

1. Държавите членки предвиждат, че в случай на нарушение на сигурността на личните данни администраторът, без излишно забавяне и, когато това е осъществимо, не по-късно от 24 часа уведомява надзорния орган за нарушението на сигурността на личните данни. При поискване администраторът представя на надзорния орган мотивирана обосновка в случаите на забавяне.

2. Обработващият лични данни предупреждава и уведомява администратора незабавно след установяването на нарушение на сигурността на лични данни.

2. Обработващият лични данни предупреждава и уведомява администратора своевременно след установяването на нарушение на сигурността на лични данни.

3. В уведомлението, посочено в параграф 1, се съдържат най-малко следните данни:

3. В уведомлението, посочено в параграф 1, се съдържат най-малко следните данни:

a) описание на естеството на нарушението на сигурността на личните данни, включително категориите и броя на засегнатите субекти на данни и категориите и количеството на засегнатите записи от данни;

a) описание на естеството на нарушението на сигурността на личните данни, включително категориите и броя на засегнатите субекти на данни и категориите и количеството на засегнатите записи от данни;

б) посочване на самоличността и координатите за връзка на длъжностното лице по защита на данните, посочено в член 30, или на друго звено за контакт, от което може да се получи повече информация;

б) посочване на самоличността и координатите за връзка на длъжностното лице по защита на данните, посочено в член 30, или на друго звено за контакт, от което може да се получи повече информация;

в) препоръка относно мерките за намаляване на евентуалните неблагоприятни последици от нарушението на сигурността на личните данни;

в) препоръка относно мерките за намаляване на евентуалните неблагоприятни последици от нарушението на сигурността на личните данни;

г) описание на възможните последици от нарушението на сигурността на личните данни;

г) описание на възможните последици от нарушението на сигурността на личните данни;

д) описание на предложените или предприетите от администратора мерки за справяне с нарушението на сигурността на личните данни.

д) описание на предложените или предприетите от администратора мерки за справяне с нарушението на сигурността на личните данни и за смекчаване на неговите въздействия.

 

Ако цялата информация не може да бъде представена своевременно, администраторът може да осъществи уведомяването на втори етап.

4. Държавите членки предвиждат задължение за администратора да документира всяко нарушение на сигурността на личните данни, като включва фактите, свързани с нарушението, последиците от него и предприетите действия за справяне с него. Тази документация трябва да позволява на надзорния орган да провери дали е спазен настоящият член. Документацията съдържа единствено информацията, необходима за тази цел.

4. Държавите членки предвиждат задължение за администратора да документира всяко нарушение на сигурността на личните данни, като включва фактите, свързани с нарушението, последиците от него и предприетите действия за справяне с него. Тази документация трябва да е достатъчна, за да позволява на надзорния орган да провери дали е спазен настоящият член. Документацията съдържа единствено информацията, необходима за тази цел.

 

4a. Надзорният орган води публичен регистър на видовете съобщени нарушения.

5. На Комисията се предоставя правомощието да приема делегирани актове в съответствие с член 56 с цел допълнително уточняване на критериите и изискванията за установяване на нарушението на сигурността на данните, посочено в параграфи 1 и 2, както и на конкретните обстоятелства, при които се изисква администраторът и обработващият лични данни да уведомят за това нарушение на сигурността на личните данни.

5. На Комисията се предоставя правомощието, след като е поискала становището на Европейския комитет по защита на данните, да приема делегирани актове в съответствие с член 56 с цел допълнително уточняване на критериите и изискванията за установяване на нарушението на сигурността на данните, посочено в параграфи 1 и 2, както и на конкретните обстоятелства, при които се изисква администраторът и обработващият лични данни да уведомят за това нарушение на сигурността на личните данни.

6. Комисията може да установи образеца на такова уведомление до надзорния орган, приложимите процедури за изискването за уведомление, както и образеца и условията за документацията, посочена в параграф 4, включително сроковете за заличаване на съдържащата се в нея информация. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 57, параграф 2.

6. Комисията може да установи образеца на такова уведомление до надзорния орган, приложимите процедури за изискването за уведомление, както и образеца и условията за документацията, посочена в параграф 4, включително сроковете за заличаване на съдържащата се в нея информация. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 57, параграф 2.

Изменение  92

Предложение за директива

Член 29

Текст, предложен от Комисията

Изменение

Съобщаване на субекта на данните за нарушение на сигурността на личните данни

Съобщаване на субекта на данните за нарушение на сигурността на личните данни

1. Държавите членки предвиждат, че когато нарушението на сигурността на личните данни има вероятност да повлияе неблагоприятно на защитата на личните данни или на неприкосновеността на личния живот на субекта на данните, администраторът, след като подаде уведомлението по член 28, съобщава на субекта на данните за нарушението на сигурността на личните данни без излишно забавяне.

1. Държавите членки предвиждат, че когато нарушението на сигурността на личните данни има вероятност да повлияе неблагоприятно на защитата на личните данни, на неприкосновеността на личния живот на субекта на данните, на неговите права или законни интереси, администраторът, след като подаде уведомлението по член 28, съобщава на субекта на данните за нарушението на сигурността на личните данни без излишно забавяне.

2. В съобщението до субекта на данните, посочено в параграф 1, се описва естеството на нарушението на сигурността на личните данни и се съдържат най-малко информацията и препоръките, предвидени член 28, параграф 3, букви б) и в).

2. Съобщението до субекта на данните, посочено в параграф 1, е обстойно и написано на ясен и прост език. В него се описва естеството на нарушението на сигурността на личните данни и се съдържат най-малко информацията и препоръките, предвидени член 28, параграф 3, букви б), в) и г), както и информация относно правата на субекта на данни, включително правна защита.

3. Не се изисква съобщаване на субекта на данни за нарушение на сигурността на личните данни, ако администраторът е доказал в удовлетворителна степен пред надзорния орган, че е предприел подходящи технологични мерки за защита и че тези мерки са били приложени спрямо личните данни, засегнати от нарушението на сигурността на лични данни. Такива технологични мерки за защита правят данните неразбираеми за всяко лице, което няма разрешение за достъп до тях.

3. Не се изисква съобщаване на субекта на данни за нарушение на сигурността на личните данни, ако администраторът е доказал в удовлетворителна степен пред надзорния орган, че е предприел подходящи технологични мерки за защита и че тези мерки са били приложени спрямо личните данни, засегнати от нарушението на сигурността на лични данни. Такива технологични мерки за защита правят данните неразбираеми за всяко лице, което няма разрешение за достъп до тях.

 

3a. Без да се засяга задължението на администратора да уведоми субекта на данните за нарушението на сигурността на личните данни, ако администраторът все още не е съобщил на засегнатия субект на данни, надзорният орган може, след като отчете евентуалните неблагоприятни последици от нарушението, да изиска от администратора да извърши съобщаването.

4. Съобщаването на субекта на данните може да бъде забавено, ограничено по съдържание или да не бъде извършено, на основанията, посочени в член 11, параграф 4.

4. Съобщаването на субекта на данните може да бъде забавено или ограничено по съдържание на основанията, посочени в член 11, параграф 4.

Изменение  93

Предложение за директива

Член 30

Текст, предложен от Комисията

Изменение

Определяне на длъжностното лице по защита на данните

Определяне на длъжностното лице по защита на данните

1. Държавите членки предвиждат задължение за администратора или обработващия лични данни да определят длъжностно лице по защита на данните.

1. Държавите членки предвиждат задължение за администратора или обработващия лични данни да определят длъжностно лице по защита на данните.

2. Длъжностното лице по защита на данните се определя въз основа на неговите професионални качества и по-специално въз основа на експертните му познания в областта на законодателството и практиките в областта на защитата на данните и способността му да изпълнява задачите, посочени в член 32.

2. Длъжностното лице по защита на данните се определя въз основа на неговите професионални качества и по-специално въз основа на експертните му познания в областта на законодателството и практиките в областта на защитата на данните и способността му да изпълнява задачите, посочени в член 32. Необходимото ниво на експертни знания се определя по-специално в съответствие с извършваното обработване на данни и защитата, която е необходима за личните данни, обработвани от администратора или обработващия лични данни.

 

2a. Държавите членки предвиждат задължение за администратора или обработващия лични данни да гарантира, че всички други професионални задължения на длъжностното лице по защита на данните са съвместими със задачите и задълженията му като длъжностно лице по защита на данните и не водят до конфликт на интереси.

 

2б. Длъжностното лице по защита на данните се назначава за срок от най-малко четири години. Длъжностното лице по защита на данните може да се преназначава за следващи мандати. По време на мандата си длъжностното лице по защита на данните може да бъде освободено от тази длъжност, ако престане да отговаря на необходимите условия за изпълнението на своите задължения.

 

2в. Държавите членки предоставят на субекта на данните правото да се свързва с длъжностното лице по защита на данните по всички въпроси, свързани с обработването на неговите лични данни.

3. Длъжностното лице по защита на данните може да бъде назначено да отговаря за няколко структурни звена, като се отчита организационната структура на компетентния орган.

3. Длъжностното лице по защита на данните може да бъде назначено да отговаря за няколко структурни звена, като се отчита организационната структура на компетентния орган.

 

3a. Държавите членки предвиждат задължение за администратора или обработващият лични данни да съобщава името и координатите за връзка на длъжностното лице по защита на данните на надзорния орган и на обществеността.

Изменение  94

Предложение за директива

Член 31 – параграф 2 а (нов)

Текст, предложен от Комисията

Изменение

 

2a. Администраторът или обработващият лични данни подпомага длъжностното лице по защита на данните при изпълнението на задачите му и осигурява персонала, помещенията, оборудването, продължаващото професионално обучение и всички други ресурси, необходими за изпълнение на задълженията и задачите, посочени в член 32, както и за поддържането на професионалните му знания.

Изменение  95

Предложение за директива

Член 32

Текст, предложен от Комисията

Изменение

Задачи на длъжностното лице по защита на данните

Задачи на длъжностното лице по защита на данните

Държавите членки предвиждат задължение за администратора или обработващия лични данни да възлага на длъжностното лице по защита на данните най-малко следните задачи:

Държавите членки предвиждат задължение за администратора или обработващия лични данни да възлага на длъжностното лице по защита на данните най-малко следните задачи:

a) да информира и съветва администратора или обработващия лични данни за техните задължения в съответствие с разпоредбите, приети съгласно настоящата директива, и да документира тази дейност и получените отговори;

a) да повишава осведомеността, да информира и съветва администратора или обработващия лични данни за техните задължения в съответствие с разпоредбите, приети съгласно настоящата директива, по-специално по отношение на техническите и организационните мерки и процедури, и да документира тази дейност и получените отговори;

б) да наблюдава изпълнението и прилагането на стратегиите по отношение на защитата на личните данни, включително възлагането на отговорности, обучаването на персонала, участващ в операциите по обработване, и свързаните с това одити;

б) да наблюдава изпълнението и прилагането на стратегиите по отношение на защитата на личните данни, включително възлагането на отговорности, обучаването на персонала, участващ в операциите по обработване, и свързаните с това одити;

в) да наблюдава изпълнението и прилагането на разпоредбите, приети съгласно настоящата директива, по-специално по отношение на изискванията, свързани със защитата на данните още при проектирането, защитата на данните по подразбиране и сигурността на данните, както и по отношение на информирането на субектите на данни и техните искания при упражняване на правата им съгласно разпоредбите, приети въз основа на настоящата директива;

в) да наблюдава изпълнението и прилагането на разпоредбите, приети съгласно настоящата директива, по-специално по отношение на изискванията, свързани със защитата на данните още при проектирането, защитата на данните по подразбиране и сигурността на данните, както и по отношение на информирането на субектите на данни и техните искания при упражняване на правата им съгласно разпоредбите, приети въз основа на настоящата директива;

г) да гарантира поддържането на документацията, посочена в член 23;

г) да гарантира поддържането на документацията, посочена в член 23;

д) да наблюдава документирането, уведомяването и съобщаването за нарушения на сигурността на личните данни съгласно членове 28 и 29;

д) да наблюдава документирането, уведомяването и съобщаването за нарушения на сигурността на личните данни съгласно членове 28 и 29;

е) да наблюдава прилагането на процедурата за предварителна консултация с надзорния орган, ако съгласно член 26 се изисква такава;

е) да наблюдава извършването на оценката на въздействието върху защитата на данните от администратора или обработващия лични данни и прилагането на процедурата за предварителна консултация с надзорния орган, ако съгласно член 26, параграф 1 се изисква такава;

ж) да наблюдава отговорите на искания от надзорния орган и, в рамките на компетентността на длъжностното лице по защита на данните, да си сътрудничи с надзорния орган по искане на последния или по своя собствена инициатива;

ж) да наблюдава отговорите на искания от надзорния орган и, в рамките на компетентността на длъжностното лице по защита на данните, да си сътрудничи с надзорния орган по искане на последния или по своя собствена инициатива;

з) да действа като звено за контакт за надзорния орган по въпроси, свързани с обработването на данни, и, ако е необходимо, да се консултира с надзорния орган по своя собствена инициатива.

з) да действа като звено за контакт за надзорния орган по въпроси, свързани с обработването на данни, и, ако е необходимо, да се консултира с надзорния орган по своя собствена инициатива.

Изменение  96

Предложение за директива

Член 33

Текст, предложен от Комисията

Изменение

Общи принципи за предаване на лични данни

Общи принципи за предаване на лични данни

Държавите членки предвиждат, че предаването от компетентни органи на лични данни, които се обработват или са предназначени за обработване след предаването им на трета държава или на международна организация, включително по-нататъшно предаване на друга трета държава или международна организация, може да се извършва, само ако:

Държавите членки предвиждат, че предаването от компетентни органи на лични данни, които се обработват или са предназначени за обработване след предаването им на трета държава или на международна организация, включително по-нататъшно предаване на друга трета държава или международна организация, може да се извършва, само ако:

a) предаването е необходимо за предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции; както и

a) конкретното предаване е необходимо за предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции; както и

 

aa) данните се предават на администратор в трета държава или на международна организация — публичен орган, компетентен за целите, предвидени в член 1, параграф 1; както и

 

aб) условията, установени в настоящата глава, се спазват от администратора и обработващия данни, включително с цел по-нататъшно предаване на лични данни от третата държава или международна организация до друга трета държава или международна организация; както и

б) администраторът и обработващият лични данни спазват разпоредбите, установени в настоящата глава.

б) администраторът и обработващият лични данни спазват другите разпоредби, приети в съответствие с настоящата директива; както и

 

бa) нивото на защита на физическите лица във връзка с обработването на лични данни, гарантирано в Съюза по силата на настоящата директива, не се понижава; както и

 

бб) Комисията е решила, съгласно условията и процедурата, посочени в член 34, че въпросната трета държава или международна организация гарантира адекватно ниво на защита; или

 

бв) в правно обвързващ инструмент са предвидени подходящи гаранции във връзка със защитата на личните данни, както е предвидено в член 35.

 

Държавите членки предвиждат, че по-нататъшното предаване, посочено в параграф 1 от настоящия член, може да се извършва, само ако, в допълнение към условията, посочени в същия параграф:

 

a) по-нататъшното предаване е необходимо за същата специфична цел като първоначалното предаване; както и

 

б) компетентният орган, извършил първоначалното предаване, разрешава по-нататъшното предаване.

Изменение  97

Предложение за директива

Член 34

Текст, предложен от Комисията

Изменение

Предаване на данни въз основа на решение относно адекватността

Предаване на данни въз основа на решение относно адекватността

1. Държавите членки предвиждат, че предаване на лични данни на трета държава или международна организация може да се осъществи когато Комисията е решила в съответствие с член 41 от Регламент (ЕС) № …./2012 или в съответствие с параграф 3 от настоящия член, че третата държава или територия или обработващ сектор в тази трета държава, или въпросната международна организация гарантира адекватно ниво на защита. За такова предаване не се изисква допълнително разрешение.

1. Държавите членки предвиждат, че предаване на лични данни на трета държава или международна организация може да се осъществи когато Комисията е решила в съответствие с параграф 3 от настоящия член, че третата държава или територия или обработващ сектор в тази трета държава, или въпросната международна организация гарантира адекватно ниво на защита. За такова предаване не се изисква специално разрешение.

2. Когато няма прието решение съгласно член 41 от Регламент (ЕС) № …/2012, Комисията оценява адекватността на нивото на защита, като отчита следните елементи:

2. При оценяване на адекватността на нивото на защита Комисията отчита следните елементи:

a) принципите на правовата държава, съответното действащо законодателство — както общото, така и секторното — включително това, което се отнася до обществената сигурност, отбраната, националната сигурност и наказателното право, както и мерките за сигурност, които се спазват в тази държава или от тази международна организация; както и действителните и противопоставимите права, включително правото на ефективна административна и съдебна защита за субектите на данни, по-специално за онези субекти на данни, пребиваващи в Съюза, чиито лични данни се предават;

a) принципите на правовата държава, съответното действащо законодателство, включително това, което се отнася до обществената сигурност, отбраната, националната сигурност и наказателното право, както и изпълнението на това законодателство и мерките за сигурност, които се спазват в тази държава или от тази международна организация; прецедентите от съдебната практика, както и действителните и противопоставимите права, включително правото на ефективна административна и съдебна защита за субектите на данни, по-специално за онези субекти на данни, пребиваващи в Съюза, чиито лични данни се предават;

б) съществуването и ефективното функциониране на един или повече независими надзорни органи във въпросната трета държава или международна организация, отговорни за гарантиране на спазването на правилата за защита на данните, за подпомагане и консултиране на субектите на данни при упражняването на техните права и за осъществяване на сътрудничество с надзорните органи на Съюза и на държавите членки; както и

б) съществуването и ефективното функциониране на един или повече независими надзорни органи във въпросната трета държава или международна организация, отговорни за гарантиране на спазването на правилата за защита на данните, включително достатъчно правомощия за налагане на санкции, за подпомагане и консултиране на субектите на данни при упражняването на техните права и за осъществяване на сътрудничество с надзорните органи на Съюза и на държавите членки; както и

в) международните ангажименти, които въпросната трета държава или международна организация е поела.

в) международните ангажименти, които въпросната трета държава или международна организация е поела, по-специално всички правно обвързващи конвенции или инструменти съгласно правото по отношение на защитата на личните данни.

3. Комисията може да реши, в рамките на обхвата на настоящата директива, че дадена трета държава или територия или обработващ сектор в тази трета държава, или дадена международна организация осигурява адекватно ниво на защита по смисъла на параграф 2. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 57, параграф 2.

3. На Комисията се предоставя правомощието, след като е поискала становището на Европейския комитет по защита на данните, да приема делегирани актове в съответствие с член 56, за да реши, в рамките на обхвата на настоящата директива, дали дадена трета държава или територия или обработващ сектор в тази трета държава, или дадена международна организация, осигурява адекватно ниво на защита по смисъла на параграф 2.

4. В акта за изпълнение се посочва неговото географско и секторно приложение и, когато е приложимо, се указва надзорният орган, упоменат в параграф 2, буква б).

4. В делегирания акт се посочва неговото географско и секторно приложение и се указва надзорният орган, упоменат в параграф 2, буква б).

 

4a. Комисията осъществява постоянен мониторинг на развитието, което би могло да повлияе на изпълнението на елементите, описани в параграф 2, както в трети държави, така и в международни организации, във връзка с които е приет делегираният акт съгласно параграф 3.

5. Комисията може да реши, в рамките на обхвата на настоящата директива, че дадена трета държава или територия или обработващ сектор в тази трета държава, или дадена международна организация не осигурява адекватно ниво на защита по смисъла на параграф 2, по-специално в случаи, в които съответното законодателство, както общото, така и секторното, което е в сила в третата държава или международната организация, не гарантира действащи и противопоставими права, включително право на ефективна административна и съдебна защита за субектите на данни, по-специално за онези субекти на данни, чиито лични данни се предават. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 57, параграф 2, или, в особено спешни за физическите лица случаи във връзка с правото им на защита на личните данни ― в съответствие с процедурата, посочена в член 57, параграф 3.

5. На Комисията се предоставя правомощието да приема делегирани актове в съответствие с член 56, за да реши, в рамките на обхвата на настоящата директива, че дадена трета държава или територия или обработващ сектор в тази трета държава, или дадена международна организация не осигурява адекватно ниво на защита по смисъла на параграф 2, по-специално в случаи, в които съответното законодателство, което е в сила в третата държава или международната организация, не гарантира действащи и противопоставими права, включително право на ефективна административна и съдебна защита за субектите на данни, по-специално за онези субекти на данни, чиито лични данни се предават.

6. Държавите членки вземат мерки, за да гарантират, че когато Комисията вземе решение съгласно параграф 5 за забрана на всякакво предаване на лични данни на третата държава или територия, или обработващ сектор в тази трета държава, или на въпросната международна организация, това решение не възпрепятства предаването на данни съгласно член 35, параграф 1 или съгласно член 36. В подходящия момент Комисията започва консултации с третата държава или международна организация с цел да коригира ситуацията, произтичаща от решението, взето по силата на параграф 5 от настоящия член.

6. Държавите членки вземат мерки, за да гарантират, че когато Комисията вземе решение съгласно параграф 5, всякакво предаване на лични данни на третата държава или територия, или обработващ сектор в тази трета държава, или на въпросната международна организация, се забранява. В подходящия момент Комисията започва консултации с третата държава или международна организация с цел да коригира ситуацията, произтичаща от решението, взето по силата на параграф 5 от настоящия член.

7. Комисията публикува в Официален вестник на Европейския съюз списък на тези трети държави, територии и обработващи сектори в трета държава или международни организации, за които е решила, че осигуряват или че не осигуряват адекватно ниво на защита.

7. Комисията публикува в Официален вестник на Европейския съюз списък на тези трети държави, територии и обработващи сектори в трета държава или международни организации, за които е решила, че осигуряват или че не осигуряват адекватно ниво на защита.

8. Комисията наблюдава прилагането на актовете за изпълнение, посочени в параграфи 3 и 5.

8. Комисията наблюдава прилагането на делегираните актове, посочени в параграфи 3 и 5.

Изменение  98

Предложение за директива

Член 35

Текст, предложен от Комисията

Изменение

Предаване на данни с подходящи гаранции

Предаване на данни с подходящи гаранции

1. Когато Комисията не е взела решение по силата на член 34 държавите членки предвиждат, че може да се извърши предаване на лични данни на получател в трета държава или на международна организация когато:

1. Когато Комисията не е взела решение по силата на член 34 или когато реши, че трета държава или територия в трета държава или международна организация не осигурява адекватно ниво на защита в съответствие с член 34, параграф 5, даден администратор или обработващ лични данни може да предава лични данни на трета държава, територия в трета държава или международна организация само ако администраторът или обработващият лични данни е предвидил в правно обвързващ инструмент подходящи гаранции във връзка със защитата на личните данни.

a) в правно обвързващ инструмент са предвидени подходящи гаранции във връзка със защитата на личните данни; или

 

б) администраторът или обработващият лични данни е извършил оценка на всички обстоятелства около прехвърлянето на лични данни и е стигнал до заключението, че по отношение на защитата на личните данни съществуват подходящи гаранции.

 

1. Решението за прехвърляния по параграф 1, буква б) трябва да бъде взето от надлежно оправомощен персонал. Тези прехвърляния трябва да бъдат документирани и документацията трябва да се предостави на надзорния орган при поискване.

2. Тези прехвърляния трябва да бъдат разрешени от надзорния орган преди да се извършат.

Изменение  99

Предложение за директива

Член 36

Текст, предложен от Комисията

Изменение

Дерогации

Дерогации

 

1. Ако Комисията е установила съгласно член 34, параграф 5, че не е осигурено адекватно равнище на защита, не се извършва предаване на лични данни на третата държава или съответната международна организация, доколкото във въпросния случай законните интереси на субекта на данните по отношение на предотвратяване на предаването надделяват над обществения интерес по отношение на предаването на данните.

Чрез дерогация от членове 34 и 35 държавите членки предвиждат, че предаване на лични данни на трета държава или международна организация може да се извърши само при условие че:

2. Чрез дерогация от членове 34 и 35 държавите членки предвиждат, че предаване на лични данни на трета държава или международна организация може да се извърши само при условие че:

a) предаването е необходимо, за да бъдат защитени жизненоважни интереси на субекта на данни или на друго лице; или

a) предаването е необходимо, за да бъдат защитени жизненоважни интереси на субекта на данни или на друго лице; или

б) предаването е необходимо, за да бъдат защитени законни интереси на субекта на данните, когато законодателството на държавата членка, която предава данните, предвижда това; или

б) предаването е необходимо, за да бъдат защитени законни интереси на субекта на данните, когато законодателството на държавата членка, която предава данните, предвижда това; или

в) предаването на данните е от съществено значение за предотвратяването на непосредствена и сериозна заплаха за обществената сигурност на държава членка или на трета държава; или

в) предаването на данните е от съществено значение за предотвратяването на непосредствена и сериозна заплаха за обществената сигурност на държава членка или на трета държава; или

г) предаването е необходимо в отделни случаи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или за изпълнението на наказателни санкции; или

г) предаването е необходимо в отделни случаи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или за изпълнението на наказателни санкции; или

д) предаването е необходимо в отделни случаи за установяването, упражняването или защитата на правни претенции, свързани с предотвратяването, разследването, разкриването или наказателното преследване на конкретно престъпление или за изпълнението на конкретна наказателна санкция.

д) предаването е необходимо в отделни случаи за установяването, упражняването или защитата на правни претенции, свързани с предотвратяването, разследването, разкриването или наказателното преследване на конкретно престъпление или за изпълнението на конкретна наказателна санкция.

 

2a. За обработване по параграф 2 трябва да има правно основание в правото на Съюза или правото на държавата членка, чийто субект е администраторът; това право трябва да отговаря на цел от обществен интерес или на нуждата от защита на правата и свободите на други лица, да зачита същността на правото на защита на личните данни и да е пропорционално на преследваната законосъобразна цел.

 

2б. Всяко предаване на лични данни, за което е взето решение въз основа на дерогации, се обосновава надлежно и се ограничава до строго необходимото, като не се разрешава често или масово предаване на данни.

 

2в. Решението за прехвърляния по параграф 2 трябва да бъде взето от надлежно оправомощен персонал. Тези прехвърляния трябва да се документират и документацията трябва да бъде достъпна за надзорния орган при поискване, включително датата и момента на прехвърляне, информация относно получаващия орган, обосновка на прехвърлянето и прехвърлени данни.

Изменение  100

Предложение за директива

Член 37

Текст, предложен от Комисията

Изменение

Специални условия за предаването на лични данни

Специални условия за предаването на лични данни

Държавите членки предвиждат задължение за администратора да информира получателя на личните данни за всички ограничения върху обработването и да вземе всички основателни мерки, за да гарантира, че тези ограничения се спазват.

Държавите членки предвиждат задължение за администратора да информира получателя на личните данни за всички ограничения върху обработването и да вземе всички основателни мерки, за да гарантира, че тези ограничения се спазват. Администраторът също така уведомява получателя на личните данни за всяко актуализиране, поправяне или заличаване на данни, като получателят на свой ред прави съответното уведомление в случай на последващо прехвърляне на данните.

Изменение  101

Предложение за директива

Член 38 – параграф 1 – буква а)

Текст, предложен от Комисията

Изменение

a) разработване на ефективни механизми за международно сътрудничество с цел улесняване на прилагането на законодателството за защита на личните данни;

a) разработване на ефективни механизми за международно сътрудничество с цел гарантиране на прилагането на законодателството за защита на личните данни;

Изменение  102

Предложение за директива

Член 38 – параграф 1 – буква г а) (нова)

Текст, предложен от Комисията

Изменение

 

гa) изясняване и консултиране относно правораздавателни конфликти с трети държави.

Изменение  103

Предложение за директива

Член 38 а (нов)

Текст, предложен от Комисията

Изменение

 

Член 38а

 

Доклад на Комисията

 

Комисията редовно представя на Европейския парламент и на Съвета доклади относно прилагането на членове 33—38. Първият доклад се представя не по-късно от четири години след влизането в сила на настоящата директива. За целта Комисията може да изисква информация от държавите членки и надзорните органи, които следва да предоставят тази информация своевременно. Докладът се оповестява публично.

Изменение  104

Предложение за директива

Член 40 - параграф 1

Текст, предложен от Комисията

Изменение

1. Държавите членки гарантират, че надзорният орган действа напълно независимо при изпълнението на задълженията и правомощията, които са му възложени.

1. Държавите членки гарантират, че надзорният орган действа напълно независимо при изпълнението на задълженията и правомощията, които са му възложени, независимо от споразумения за сътрудничество съобразно глава VII от настоящата директива.

Изменение  105

Предложение за директива

Член 40 - параграф 2

Текст, предложен от Комисията

Изменение

2. Всяка държава членка предвижда, че при изпълнение на своите задължения членовете на надзорния орган не търсят и не приемат указания от никого.

2. Всяка държава членка предвижда, че при изпълнение на своите задължения членовете на надзорния орган не търсят и не приемат указания от никого, както и поддържат пълна независимост и безпристрастност.

 

Изменение  106

Предложение за директива

Член 43

Текст, предложен от Комисията

Изменение

Професионална тайна

Професионална тайна

Държавите членки предвиждат, че както по време на мандата си, така и след неговото изтичане, членовете и персоналът на надзорния орган са обвързани със задължение за опазване на професионална тайна по отношение на всякаква поверителна информация, която е стигнала до тяхното знание в хода на изпълнение на служебните им задължения.

Държавите членки предвиждат, че както по време на мандата си, така и след неговото изтичане, и в съответствие с националното законодателство и практика, членовете и персоналът на надзорния орган са обвързани със задължение за опазване на професионална тайна по отношение на всякаква поверителна информация, която е стигнала до тяхното знание в хода на изпълнение на служебните им задължения, като те са изпълнявали тези задължения при независимост и прозрачност съобразно настоящата директива.

Изменение  107

Предложение за директива

Член 44 - параграф 1

Текст, предложен от Комисията

Изменение

Компетентност

Компетентност

1. Държавите членки предвиждат, че всеки надзорен орган упражнява на територията на своята държава членка правомощията, предоставени му в съответствие с настоящата директива.

1. Държавите членки предвиждат, че всеки надзорен орган е компетентен да изпълнява задълженията и да упражнява на територията на своята държава членка правомощията, предоставени му в съответствие с настоящата директива.

Изменение  108

Предложение за директива

Член 45

Текст, предложен от Комисията

Изменение

Задължения

Задължения

Държавите членки предвиждат, че надзорният орган:

1. Държавите членки предвиждат, че надзорният орган:

a) наблюдава и гарантира прилагането на разпоредбите, приети съгласно настоящата директива, и мерките за изпълнението Й;

a) наблюдава и гарантира прилагането на разпоредбите, приети съгласно настоящата директива, и мерките за изпълнението Й;

б) разглежда жалбите, подадени от субект на данни или от сдружение, представляващо субекта на данни и надлежно упълномощено от него, в съответствие с член 50, разследва техния предмет дотолкова, доколкото това е целесъобразно, и информира субекта на данни или сдружението за напредъка и резултата от жалбата в разумен срок, особено ако е необходимо по-нататъшно разследване или координиране с друг надзорен орган;

б) разглежда жалбите, подадени от субект на данни или от сдружение в съответствие с член 50, разследва техния предмет дотолкова, доколкото това е целесъобразно, и информира субекта на данни или сдружението за напредъка и резултата от жалбата в разумен срок, особено ако е необходимо по-нататъшно разследване или координиране с друг надзорен орган;

в) проверява законосъобразността на обработването на данните съгласно член 14 и информира в разумен срок субекта на данните за резултата от проверката или за причините, поради които проверката не е била извършена;

в) проверява законосъобразността на обработването на данните съгласно член 14 и информира в разумен срок субекта на данните за резултата от проверката или за причините, поради които проверката не е била извършена;

г) предоставя взаимопомощ на други надзорни органи и осигурява съгласуваното прилагане и изпълнение на разпоредбите, приети по силата на настоящата директива;

г) предоставя взаимопомощ на други надзорни органи и осигурява съгласуваното прилагане и изпълнение на разпоредбите, приети по силата на настоящата директива;

д) провежда разследвания по своя инициатива или въз основа на жалба, или по искане на друг надзорен орган и информира в разумен срок съответния субект на данни, ако той е подал жалба, за резултата от разследванията;

д) провежда разследвания, проверки и одити по своя инициатива или въз основа на жалба, или по искане на друг надзорен орган, и информира в разумен срок съответния субект на данни, ако той е подал жалба, за резултата от разследванията;

е) наблюдава съответното развитие, по-специално в областта на информационните и комуникационни технологии, дотолкова доколкото то има въздействие върху защитата на личните данни;

е) наблюдава съответното развитие, по-специално в областта на информационните и комуникационни технологии, дотолкова доколкото то има въздействие върху защитата на личните данни;

ж) предоставя консултации на институциите и органите на държавата членка относно законодателни и административни мерки, отнасящи се до защитата на правата и свободите на физическите лица по отношение на обработването на лични данни;

ж) предоставя консултации на институциите и органите на държавата членка относно законодателни и административни мерки, отнасящи се до защитата на правата и свободите на физическите лица по отношение на обработването на лични данни;

з) предоставя консултации относно операциите по обработване съгласно член 26;

з) предоставя консултации относно операциите по обработване съгласно член 26;

и) участва в дейностите на Европейския комитет по защита на данните.

и) участва в дейностите на Европейския комитет по защита на данните.

2. Всеки надзорен орган насърчава обществената информираност относно рисковете, правилата, гаранциите и правата, свързани с обработването на лични данни. Обръща се специално внимание на дейностите, конкретно насочени към децата.

2. Всеки надзорен орган насърчава обществената информираност относно рисковете, правилата, гаранциите и правата, свързани с обработването на лични данни. Обръща се специално внимание на дейностите, конкретно насочени към децата.

3. При поискване надзорният орган консултира субектите на данни при упражняването на правата, установени с разпоредби, приети съгласно настоящата директива, и ако е целесъобразно, си сътрудничи за тази цел с надзорните органи в други държави членки.

3. При поискване надзорният орган консултира субектите на данни при упражняването на правата, установени с разпоредби, приети съгласно настоящата директива, и ако е целесъобразно, си сътрудничи за тази цел с надзорните органи в други държави членки.

4. За жалбите, посочени в параграф 1, буква б), надзорният орган предоставя формуляр за подаване на жалби, който може да бъде попълнен по електронен път, без да се изключват други средства за комуникация.

4. За жалбите, посочени в параграф 1, буква б), надзорният орган предоставя формуляр за подаване на жалби, който може да бъде попълнен по електронен път, без да се изключват други средства за комуникация.

5. Държавите членки предвиждат, че изпълнението на задълженията на надзорния орган е безплатно за субекта на данни.

5. Държавите членки предвиждат, че изпълнението на задълженията на надзорния орган е безплатно за субекта на данни.

6. Когато исканията са проява на злонамереност, по-специално поради своята повторяемост, надзорният орган може да поиска заплащането на дадена сума или да не изпълни поисканото от субекта на данни действие. Надзорният орган носи тежестта на доказване на злонамереността на искането.

6. Когато исканията са явно прекомерни, по-специално поради своята повторяемост, надзорният орган може да поиска заплащането на разумна сума. Размерът на тази такса не превишава разходите за предприемане на исканото действие. Надзорният орган носи тежестта на доказване на явната прекомерност на искането.

Изменение  109

Предложение за директива

Член 46

Текст, предложен от Комисията

Изменение

Правомощия

Правомощия

Държавите членки предвиждат, че на всеки надзорен орган трябва по-специално да бъдат предоставени:

1. Държавите членки предвиждат, че всеки надзорен орган има правомощието:

a) правомощия за разследване, например правомощия за достъп до данните, които са обект на операциите по обработване, и правомощия да събира цялата информация, необходима за изпълнението на неговите надзорни функции;

a) да уведомява администратора или обработващия лични данни за предполагаемо нарушение на разпоредбите, уреждащи обработването на лични данни, и при необходимост да разпорежда на администратора или обработващия лични данни да отстрани това нарушение по конкретен начин, за да се подобри защитата на субекта на данни;

б) действителни правомощия за намеса, например даване на становища преди извършването на обработване и осигуряване на подходящо публикуване на тези становища, даване на разпореждания за ограничаване, заличаване или унищожаване на данни, налагане на временна или окончателна забрана за обработване, отправяне на предупреждения или порицания към администратора или отнасяне на въпроса до националните парламенти или други политически институции;

б) да разпорежда на администратора да се съобрази с исканията на субекта на данни, свързани с упражняването на правата, предоставени от настоящата директива, включително тези, предоставени с членове 12—17, когато такива искания са били отказани в нарушение на тези разпоредби;

в) правомощието да участва в съдебни производства, когато разпоредбите, приети по силата на настоящата директива, са нарушени, или да сезира съдебните органи за нарушение.

в) да разпорежда на администратора или обработващия лични данни да предостави информация по силата на член 10, параграфи 1 и 2 и членове 11, 28 и 29;

 

г) да осигурява спазването на становищата за предварителните консултации, посочени в член 26;

 

д) да отправя предупреждения или порицания до администратора или обработващия лични данни;

 

е) да разпорежда коригирането, заличаването или унищожаването на всички данни, когато са били обработени в нарушение на разпоредбите, приети съгласно настоящата директива, както и уведомяването за тези действия на трети страни, пред които са били разкрити данните;

 

ж) да налага временна или окончателна забрана за обработване;

 

з) да преустановява потоци от данни към получател в трета държава или към международна организация;

 

и) да информира националните парламенти, правителството или други публични институции, както и обществеността по този въпрос.

 

2. Всеки надзорен орган има правомощието за разследване, съгласно което може да получава от администратора или обработващия лични данни:

 

a) достъп до всички лични данни и до цялата информация, необходима за изпълнението на надзорните му функции;

 

б) достъп до всички негови помещения, включително до оборудване и средства за обработване на данни, в съответствие с националното законодателство, когато съществуват разумни основания да се предполага, че в тях се осъществява дейност в нарушение на разпоредбите, приети съгласно настоящата директива, без да се засяга съдебно разрешение, ако то се изисква от националното законодателство.

 

3. Без да се засяга член 43, държавите членки предвиждат, че никакви допълнителни изисквания за опазване на тайна няма да се издават към исканията на надзорните органи.

 

4. Държавите членки могат да предвидят, че в съответствие с националното законодателство се изискват допълнителни проверки за сигурност за достъп до класифицирана информация на равнище, подобно на EU CONFIDENTIAL или по-високо. Ако съгласно законодателството на държавата членка на съответния надзорен орган не се изискват допълнителни проверки за сигурност, това трябва да бъде признато от всички други държави членки.

 

5. Всеки надзорен орган има правомощието да сведе до знанието на съдебните органи нарушения на разпоредбите, приети съгласно настоящата директива, и да участва в съдебни производства и да завежда дела пред компетентния съд по силата член 53, параграф 2.

 

6. Всеки надзорен орган има правомощието да налага санкции по отношение на административни нарушения.

Изменение  110

Предложение за директива

Член 46 а (нов)

Текст, предложен от Комисията

Изменение

 

Член 46а

 

Докладване на нарушения

 

1. Държавите членки гарантират, че надзорните органи отчитат насоките, публикувани от Европейския комитет по защита на данните съобразно член 66, параграф 4б от Регламент (ЕС) .../2013, и въвеждат ефективни механизми за насърчаване на поверителното докладване на нарушения на директивата.

 

2. Държавите членки гарантират, че компетентните органи въвеждат ефективни механизми за насърчаване на поверителното докладване на нарушения на директивата.

Изменение  111

Предложение за директива

Член 47

Текст, предложен от Комисията

Изменение

Държавите членки предвиждат, че всеки надзорен орган изготвя годишен доклад за дейността си. Докладът се предоставя на Комисията и на Европейския комитет по защита на данните.

Държавите членки предвиждат, че всеки надзорен орган изготвя доклад за дейността си най-малко на всеки две години. Докладът се предоставя на обществеността, на съответния парламент, на Комисията и на Европейския комитет по защита на данните. Той съдържа информация за степента, в която компетентните органи под тяхна юрисдикция имат достъп до данни, притежавани от частни лица, за разследване или наказателно преследване на престъпления.

Изменение  112

Предложение за директива

Член 48

Текст, предложен от Комисията

Изменение

Взаимопомощ

Взаимопомощ

1. Държавите членки предвиждат, че надзорните органи се подпомагат взаимно, за да изпълняват и прилагат разпоредбите съгласно настоящата директива по съгласуван начин, и въвеждат мерки за ефективно сътрудничество помежду си. Взаимопомощта обхваща по-специално искания за информация и мерки за надзор, например искания за извършване на предварителни консултации, проверки и разследвания.

1. Държавите членки предвиждат, че надзорните органи се подпомагат взаимно, за да изпълняват и прилагат разпоредбите съгласно настоящата директива по съгласуван начин, и въвеждат мерки за ефективно сътрудничество помежду си. Взаимопомощта обхваща по-специално искания за информация и мерки за надзор, например искания за извършване на предварителни консултации, проверки и разследвания.

2. Държавите членки предвиждат задължение за надзорния орган да взема всички подходящи мерки, които са необходими, за да отговори на исканията на друг надзорен орган.

2. Държавите членки предвиждат задължение за надзорния орган да взема всички подходящи мерки, които са необходими, за да отговори на исканията на друг надзорен орган. Такива мерки могат да включват, по-специално, предаване на значима информация или мерки за правоприлагане с цел спиране или забрана на операции по обработване, които противоречат на настоящата директива, без забавяне и не по-късно от един месец след получаване на искането.

 

2a. Искането за помощ съдържа цялата необходима информация, включително целта на искането и причините за него. Обменената информация се използва единствено по отношение на въпросите, за които е поискана.

 

2б. Надзорен орган, до който е изпратено искане за помощ, няма право да откаже да го изпълни, освен ако:

 

a) не е компетентен да разгледа искането; или

 

б) изпълнението на искането би било несъвместимо с разпоредбите, приети съгласно настоящата директива.

3. Надзорният орган, до който е отправено искането, информира искащия надзорен орган за резултатите или, в зависимост от случая, за напредъка или предприетите мерки за изпълнение на искането на искащия надзорен орган.

3. Надзорният орган, до който е отправено искането, информира искащия надзорен орган за резултатите или, в зависимост от случая, за напредъка или предприетите мерки за изпълнение на искането на искащия надзорен орган.

 

3a. Надзорните органи предоставят информацията, поискана от други надзорни органи, чрез електронни средства и във възможно най-кратък срок, като използват стандартизиран формат.

 

3б. Не се събират такси за действията, предприети в отговор на искане за взаимопомощ.

Изменение  113

Предложение за директива

Член 48 а (нов)

Текст, предложен от Комисията

Изменение

 

Член 48a

 

Съвместни операции

 

1. Държавите членки предвиждат, че с цел да бъдат засилени сътрудничеството и взаимопомощта надзорните органи могат да изпълняват съвместни мерки за правоприлагане и други съвместни операции, в които участват определени членове или персонал на надзорните органи на други държави членки, в операции на територията на дадена държава членка.

 

2. Държавите членки предвиждат, че в случаите, при които има вероятност от операции по обработване на данни да бъдат засегнати субекти на данни в друга държава членка или други държави членки, компетентният надзорен орган може да бъде поканен да участва в съвместните операции. Компетентният надзорен орган може да покани надзорния орган на всяка от тези държави членки да участва в съответната операция, а в случай че той е поканен, отговаря без забавяне на искането на даден надзорен орган да се включи в операциите.

 

3. Държавите членки определят практическите аспекти на конкретните действия за сътрудничество.

Изменение  114

Предложение за директива

Член 49

Текст, предложен от Комисията

Изменение

Задачи на Европейския комитет по защита на данните

Задачи на Европейския комитет по защита на данните

1. В рамките на настоящата директива Европейският комитет по защита на данните, създаден с Регламент (ЕС) № …/2012, изпълнява следните задачи във връзка с обработването:

1. В рамките на настоящата директива Европейският комитет по защита на данните, създаден с Регламент (ЕС) № …/2013, изпълнява следните задачи във връзка с обработването:

a) консултира Комисията по всеки въпрос, свързан със защитата на личните данни в Съюза, включително относно всяко предложено изменение на настоящата директива;

a) консултира институциите на Съюза по всеки въпрос, свързан със защитата на личните данни в Съюза, включително относно всяко предложено изменение на настоящата директива;

б) разглежда по искане на Комисията, по своя собствена инициатива или по инициатива на някой от своите членове всеки въпрос, който се отнася до прилагането на разпоредбите, приети съгласно настоящата директива, и издава насоки, препоръки и най-добри практики, предназначени за надзорните органи с цел насърчаване на съгласуваното прилагане на тези разпоредби;

б) разглежда по искане на Комисията, Европейския парламент или Съвета, по своя собствена инициатива или по инициатива на някой от своите членове всеки въпрос, който се отнася до прилагането на разпоредбите, приети съгласно настоящата директива, и издава насоки, препоръки и най-добри практики, предназначени за надзорните органи с цел насърчаване на съгласуваното прилагане на тези разпоредби, включително относно използването на правомощия за правоприлагане;

в) извършва преглед на практическото прилагане на насоките, препоръките и най-добрите практики, посочени в буква б), и докладва редовно на Комисията за това;

в) извършва преглед на практическото прилагане на насоките, препоръките и най-добрите практики, посочени в буква б), и докладва редовно на Комисията за това;

г) предоставя на Комисията становища относно нивото на защита в трети държави или международни организации;

г) предоставя на Комисията становища относно нивото на защита в трети държави или международни организации;

д) насърчава сътрудничеството и ефективния двустранен и многостранен обмен на информация и практики между надзорните органи;

д) насърчава сътрудничеството и ефективния двустранен и многостранен обмен на информация и практики между надзорните органи, включително координацията на съвместни операции и други съвместни дейности, когато вземе такова решение по искане на един или няколко надзорни органа;

е) насърчава общите програми за обучение и улеснява обмена на персонал между надзорните органи, както и с надзорните органи на трети държави или на международни организации, когато е целесъобразно;

е) насърчава общите програми за обучение и улеснява обмена на персонал между надзорните органи, както и с надзорните органи на трети държави или на международни организации, когато е целесъобразно;

ж) насърчава обмена на знания и документация с надзорните органи по защита на данните в цял свят, включително законодателство и практики в областта на защитата на данните.

ж) насърчава обмена на знания и документация с надзорните органи по защита на данните в цял свят, включително законодателство и практики в областта на защитата на данните;

 

жa) дава становището си на Комисията при подготовката на делегирани актове и актове за изпълнение съгласно настоящата директива;

2. Когато Комисията поиска съвет от Европейския комитет по защита на данните, тя може да определи срок, в рамките на който последният да предостави такъв съвет, като се взема предвид спешността на въпроса.

2. Когато Европейският парламент, Съветът или Комисията поискат съвет от Европейския комитет по защита на данните, те могат да определят срок, в рамките на който последният да предостави такъв съвет, като се взема предвид спешността на въпроса.

3. Европейският комитет по защита на данните изпраща своите становища, насоки, препоръки и най-добри практики на Комисията и на комитета, посочен в член 57, параграф 1, и ги прави обществено достояние.

3. Европейският комитет по защита на данните изпраща своите становища, насоки, препоръки и най-добри практики на Комисията и на комитета, посочен в член 57, параграф 1, и ги прави обществено достояние.

4. Комисията информира Европейския комитет по защита на данните за действията, които е предприела вследствие на становищата, насоките, препоръките и най-добрите практики, издадени от Европейския комитет по защита на данните.

4. Комисията информира Европейския комитет по защита на данните за действията, които е предприела вследствие на становищата, насоките, препоръките и най-добрите практики, издадени от Европейския комитет по защита на данните.

Изменение  115

Предложение за директива

Член 50 - параграф 2

Текст, предложен от Комисията

Изменение

2. Държавите членки предвиждат право за всяка структура, организация или сдружение, учредено съгласно правото на държава членка и чиято цел е да защитава правата и интересите на субектите на данни по отношение на защитата на техните лични данни, да подава жалби до надзорен орган в която и да било държава членка от името на един или повече субекти на данни, когато счита, че правата на даден субект на данни съгласно настоящата директива са били нарушени вследствие на обработването на лични данни. Организацията или сдружението трябва да бъдат надлежно упълномощени от субекта(ите) на данни.

2. Държавите членки предвиждат право за всяка структура, организация или сдружение, учредено съгласно правото на държава членка и действащо в обществен интерес, да подава жалби до надзорен орган в която и да било държава членка от името на един или повече субекти на данни, когато счита, че правата на даден субект на данни съгласно настоящата директива са били нарушени вследствие на обработването на лични данни.

Изменение  116

Предложение за директива

Член 51

Текст, предложен от Комисията

Изменение

Право на средства за съдебна защита срещу надзорен орган

Право на средства за съдебна защита срещу надзорен орган

1. Държавите членки регламентират правото на средства за съдебна защита срещу решенията на надзорен орган.

1. Държавите членки регламентират за всяко физическо или юридическо лице правото на средства за съдебна защита срещу решенията на надзорен орган, които ги засягат.

2. Всеки субект на данни има право на средства за съдебна защита, за да задължи надзорния орган да предприеме действия по жалба, в случай че липсва решение, необходимо за защита на неговите права, или когато надзорният орган не информира субекта на данни в срок от три месеца за напредъка или резултата от жалбата съгласно член 45, параграф 1, буква б).

2. Държавите членки предвиждат, че всеки субект на данни има право на средства за съдебна защита, за да задължи надзорния орган да предприеме действия по жалба, в случай че липсва решение, необходимо за защита на неговите права, или когато надзорният орган не информира субекта на данни в срок от три месеца за напредъка или резултата от жалбата съгласно член 45, параграф 1, буква б).

3. Държавите членки предвиждат, че производствата срещу надзорните органи се завеждат пред съдилищата на държавата членка, в която е установен съответния надзорен орган.

3. Държавите членки предвиждат, че производствата срещу надзорните органи се завеждат пред съдилищата на държавата членка, в която е установен съответния надзорен орган.

 

3a. Държавите членки гарантират, че окончателните решения на съда, посочени в настоящия член, ще бъдат изпълнени.

Изменение  117

Предложение за директива

Член 52 – параграф 1 а (нов)

Текст, предложен от Комисията

Изменение

 

1a. Държавите членки гарантират, че окончателните решения на съда, посочени в настоящия член, ще бъдат изпълнени.

Изменение  118

Предложение за директива

Член 53 - параграф 1

Текст, предложен от Комисията

Изменение

1. Държавите членки предвиждат всички структури, организации или сдружения, посочени в член 50, параграф 2, да имат право да упражняват правата, посочени в членове 51 и 52, от името на един или повече субекти на данни.

1. Държавите членки предвиждат всички структури, организации или сдружения, посочени в член 50, параграф 2, да имат право да упражняват правата, посочени в членове 51, 52 и 54, когато са упълномощени от един или повече субекти на данни.

Изменение  119

Предложение за директива

Член 53 - параграф 2

Текст, предложен от Комисията

Изменение

2. Всеки надзорен орган има право да участва в съдебни производства и да завежда дела пред съдилища с цел изпълнение на разпоредбите, приети съгласно настоящата директива, или с цел осигуряване на съгласуваност на защитата на лични данни в рамките на Съюза.

2. Държавите членки предвиждат, че всеки надзорен орган има право да участва в съдебни производства и да завежда дела пред съдилища с цел изпълнение на разпоредбите, приети съгласно настоящата директива, или с цел осигуряване на съгласуваност на защитата на лични данни в рамките на Съюза.

Изменение  120

Предложение за директива

Член 54 - параграф 1

Текст, предложен от Комисията

Изменение

1. Държавите членки предвиждат, че всяко лице, което е претърпяло вреди в резултат на неправомерна операция по обработване или действие, което е несъвместимо с разпоредбите, приети съгласно настоящата директива, има право да получи обезщетение от администратора или обработващия лични данни за претърпените вреди.

1. Държавите членки предвиждат, че всяко лице, което е претърпяло вреди, включително неимуществени вреди, в резултат на неправомерна операция по обработване или действие, което е несъвместимо с разпоредбите, приети съгласно настоящата директива, има право да изиска обезщетение от администратора или обработващия лични данни за претърпените вреди.

Изменение  121

Предложение за директива

Член 55 а (нов)

Текст, предложен от Комисията

Изменение

 

Глава VIIIа

 

Предаване на лични данни на други страни

 

Член 55a

 

Предаване на лични данни на други органи или частни страни в Съюза

 

1. Държавите членки гарантират, че администраторът не предава, нито изисква от обработващия данни да прехвърля лични данни на физически или юридически лица, които не спазват разпоредбите, приети съгласно настоящата директива, освен ако:

 

a) предаването е в съответствие със законодателството на Съюза или националното законодателство; както и

 

б) получателят е установен в държава — членка на Европейския съюз; както и

 

в) няма специфични законни интереси на субекта на данните, които да възпрепятстват предаването; както и

 

г) в конкретния случай предаването е необходимо за администратора, предаващ лични данни за:

 

и) изпълнението на законно възложена му задача; или

 

ii) предотвратяването на непосредствена и сериозна опасност за обществената сигурност; или

 

iii) предотвратяването на сериозно нарушение на правата на физически лица.

 

2. Администраторът уведомява получателя относно целта, за която личните данни могат да бъдат обработвани изключително.

 

3. Администраторът уведомява надзорния орган за такива предавания.

 

4. Администраторът уведомява получателя за ограниченията, свързани с обработването, и гарантира спазването на тези ограничения.

Изменение  122

Предложение за директива

Член 56

Текст, предложен от Комисията

Изменение

Упражняване на делегирането

Упражняване на делегирането

1. Правомощието да приема делегирани актове се предоставя на Комисията при спазване на предвидените в настоящия член условия.

1. Правомощието да приема делегирани актове се предоставя на Комисията при спазване на предвидените в настоящия член условия.

2. Правомощието да приема делегирани актове, посочено в член 28, параграф 5, се предоставя на Комисията за неопределен срок, считано от влизането в сила на настоящата директива.

2. Правомощието да приема делегирани актове, посочено в член 25a, параграф 7, член 28, параграф 5, член 34, параграф 3 и член 34, параграф 5, се предоставя на Комисията за неопределен срок, считано от влизането в сила на настоящата директива.

3. Делегирането на правомощия, посочено в член 28, параграф 5, може да бъде оттеглено по всяко време от Европейския парламент или от Съвета. С решението за оттегляне се прекратява посоченото в него делегиране на правомощия. То поражда действие в деня след публикуването на решението в Официален вестник на Европейския съюз или на по-късна, посочена в решението дата. То не засяга действителността на делегираните актове, които вече са в сила.

3. Делегирането на правомощия, посочено в член 25a, параграф 7, член 28, параграф 5, член 34, параграф 3 и член 34, параграф 5, може да бъде оттеглено по всяко време от Европейския парламент или от Съвета. С решението за оттегляне се прекратява посоченото в него делегиране на правомощия. То поражда действие в деня след публикуването на решението в Официален вестник на Европейския съюз или на по-късна, посочена в решението дата. То не засяга действителността на делегираните актове, които вече са в сила.

4. Веднага след като приеме делегиран акт, Комисията нотифицира акта едновременно на Европейския парламент и Съвета.

4. Веднага след като приеме делегиран акт, Комисията нотифицира акта едновременно на Европейския парламент и Съвета.

5. Делегиран акт, приет съгласно член 28, параграф 5, влиза в сила единствено ако нито Европейският парламент, нито Съветът не са представили възражения в срок от два месеца след нотифицирането на акта на Европейския парламент и Съвета или ако преди изтичането на този срок и Европейският парламент, и Съветът са уведомили Комисията, че няма да представят възражения. Този срок се удължава с 2 месеца по инициатива на Европейския парламент или на Съвета.

5. Делегиран акт, приет съгласно член 25a, параграф 7, член 28, параграф 5, член 34, параграф 3 и член 34, параграф 5, влиза в сила единствено ако нито Европейският парламент, нито Съветът не са представили възражения в срок от шест месеца след нотифицирането на акта на Европейския парламент и Съвета или ако преди изтичането на този срок и Европейският парламент, и Съветът са уведомили Комисията, че няма да представят възражения. Този срок се удължава с шест месеца по инициатива на Европейския парламент или на Съвета.

Изменение  123

Предложение за директива

Член 56 а (нов)

Текст, предложен от Комисията

Изменение

 

Член 56a

 

Краен срок за приемането на делегираните актове

 

1. Комисията приема делегираните актове по член 25a, параграф 7 и член 28, параграф 5 не по-късно от [шест месеца преди датата, посочена в член 62, параграф 1]. Комисията може да удължи срока, посочен в настоящия параграф, с шест месеца.

Обосновка

С цел гарантиране на правилното прилагане на директивата и на правната сигурност е необходимо делегираният акт, свързан с уведомлението за нарушение на сигурността на данните, да бъде приет преди датата на прилагането на директивата.

Изменение  124

Предложение за директива

Член 57 - параграф 3

Текст, предложен от Комисията

Изменение

3. При позоваване на настоящия параграф се прилага член 8 от Регламент (ЕС) № 182/2011 във връзка с член 5 от него.

заличава се

Изменение  125

Предложение за директива

Член 61

Текст, предложен от Комисията

Изменение

Оценка

Оценка

1. Комисията извършва оценка на прилагането на настоящата директива.

1. След като изиска становище от Европейския комитет по защита на данните, Комисията прави оценка на прилагането и изпълнението на настоящата директива.

Тя извършва координация в тясно сътрудничество с държавите членки и включва обявени и необявени посещения. Европейският парламент и Съветът трябва да бъдат информирани по време на целия процес и да имат достъп до съответните документи.

2. В срок от три години след влизането в сила на настоящата директива Комисията извършва преглед на други актове, приети от Европейския съюз, които регламентират обработването на лични данни от компетентни органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции, по-специално приетите от Съюза актове, посочени в член 59, за да прецени необходимостта от привеждането им в съответствие с настоящата директива и, ако е целесъобразно, да изготви необходимите предложения за изменение на тези актове, така че да се осигури съгласуван подход към защитата на личните данни в рамките на приложното поле на настоящата директива.

2. В срок от две години след влизането в сила на настоящата директива Комисията извършва преглед на други актове, приети от Европейския съюз, които регламентират обработването на лични данни от компетентни органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции, по-специално приетите от Съюза актове, посочени в член 59, с оглед на гарантирането на съгласувани и хомогенни правни норми, свързани с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции, в рамките на приложното поле на настоящата директива.

 

2a. В рамките на две години от влизането в сила на настоящата директива Комисията представя подходящи предложения за преразглеждане на правната рамка, приложима за обработването на лични данни от институциите, органите, службите и агенциите на Съюза за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции, с оглед на гарантирането на съгласувани и хомогенни правни норми, свързани с основното право на защита на личните данни в Съюза.

3. Съгласно параграф 1 Комисията редовно представя на Европейския парламент и на Съвета доклади относно оценката и прегледа на настоящата директива. Първите доклади се представят не по-късно от четири години след влизането в сила на настоящата директива. Следващите доклади се представят на всеки четири години след това. Комисията представя, ако е необходимо, подходящи предложения за изменение на настоящата директива и за привеждане в съответствие на други правни инструменти. Докладът се оповестява публично.

3. Съгласно параграф 1 Комисията редовно представя на Европейския парламент и на Съвета доклади относно оценката и прегледа на настоящата директива. Първите доклади се представят не по-късно от четири години след влизането в сила на настоящата директива. Следващите доклади се представят на всеки четири години след това. Комисията представя, ако е необходимо, подходящи предложения за изменение на настоящата директива и за привеждане в съответствие на други правни инструменти. Докладът се оповестява публично.


ИЗЛОЖЕНИЕ НА МОТИВИТЕ

Контекст на предложението

Докладчикът счита, че една ефективна рамка за защита на данните в Европа може да допринесе до голяма степен за постигане на добро равнище на защита на данните за всеки европейски гражданин. Съдържанието на предложение 2012/0010 (COD) на Комисията беше променено от докладчика с цел повишаване на стандартите за защита до равнище, подобно на това в предложения регламент, като същевременно беше предоставена ясна обосновка на предложените решения.

Съществуващото Рамково решение 2008/977/ПВР на Съвета от 27 ноември 2008 г. относно защитата на личните данни, обработвани в рамките на полицейското и съдебното сътрудничество по наказателноправни въпроси, не осигурява всеобхватна рамка за защита на данните от страна на правоприлагащи и съдебни органи по наказателноправни въпроси, тъй като то се отнася само до трансгранични ситуации и не разглежда проблема с паралелно съществуващите разпоредби относно защитата на данните в други инструменти на ЕС относно правоприлагането и наказателното право.

Докладчикът изразява убеждение, че бързото технологично развитие е създало нови предизвикателства пред защитата на личните данни. Мащабите на обмена и събирането на данни значително са се увеличили. Технологиите позволяват както на публичните органи, включително правоприлагащите, така и на частните субекти да използват лични данни в безпрецедентен мащаб. Хората все по-често предоставят лична информация в публичното и световното пространство. Технологиите преобразиха както икономическия, така и социалния живот.

В глобализирания и взаимосвързан свят, изграден около онлайн комуникациите, ежедневно се събират, съхраняват, използват и оценяват лични данни в безпрецедентен мащаб. През следващите няколко години, както и през следващите десетилетия, Европа трябва да реши как да използва цялата тази информация, особено по отношение на сектора на правоприлагането и във връзка с превенцията и борбата срещу престъпността, без да изневерява на основните права и норми, за които толкова много се борихме да развием. Имаме уникална възможност да създадем два високи стандарта и добре балансирани правни инструменти.

Докладчикът решително приветства предприетите от Комисията усилия за създаване на унифицирана рамка за защита на данните и за хармонизиране на различните системи между държавите — -членки на ЕС, и се надява, че Съветът също ще изпълни всички свои задължения.

Предложени от докладчика промени

Докладчикът счита, че няколко специфични въпроса трябва допълнително да бъдат пояснени в предложената директива, по отношение на, наред с другото, следното:

− Всяко изключение от принципа трябва да бъде надлежно обосновано, тъй като защитата на данните е основно право. То трябва да бъде еднакво защитавано при всякакви обстоятелства, като при това се прилага в пълна степен член 52 от Хартата, който допуска ограничения. Подобни ограничения следва да бъдат изключение от общото правило и не могат сами по себе си да се превръщат в такова. Следователно отворените изключения от общ характер и в широк смисъл са неприемливи.

- Ясно определение за принципите за защита на данните, като например елементи относно запазване на данните, прозрачност, поддържане на данните актуални, подходящи, необходими и ненадхвърлящи необходимото. Освен това липсват също и разпоредби, които изискват от администратора на данни да докаже съответствие с правилата.

- Обработването на лични данни трябва да бъде законосъобразно, справедливо и прозрачно по отношение на засегнатите лица. Конкретните цели, за които се обработват данните, следва да бъдат ясни, законни и определени към момента на събирането на личните данни. Освен това личните данни следва да бъдат подходящи, необходими и ограничени до нужния минимума за целите, за които се обработват. Личните данни следва да се обработват единствено ако целта на обработването не може да бъде постигната чрез други средства. Освен това съгласно предложената система се поставят срокове, с цел да се гарантира, че данните се съхраняват не по-дълго, отколкото е необходимо. Сроковете за тяхното заличаване или периодичен преглед следва да се определят от администратора.

- Лични данни не следва да се обработват за цели, несъвместими с целта, за която данните са били събрани. Фактът, че данните се обработват за целите на правоприлагането, не означава непременно, че тези цели са съвместими с първоначалната. Понятието за съвместимо използване трябва да се тълкува ограничително.

- От съществено значение е да бъде забранено предаването на лични данни на други органи или частни субекти в Съюза, освен ако предаването не е в съответствие със законодателството и получателят е установен в държава членка. Освен това никакви законни специфични интереси на субекта на данните не следва да възпрепятстват предаването им, като в конкретни случаи то е необходимо, когато администраторът предава данни както за изпълнението на законно възложена му задача, така и за предотвратяването на непосредствена и сериозна заплаха за обществената сигурност или на сериозно нарушение на правата на физическите лица. Администраторът следва да уведоми, от една страна, получателя за целта на обработването и, от друга, надзорния орган за предаването, като получателят следва също да бъде уведомен за ограниченията върху обработването, и да гарантира, че те се спазват.

- Липсваше механизъм за оценка по отношение на извършването на надлежна оценка на необходимостта и пропорционалността. Въпросът е от съществено значение, за да се прецени дали обработването на определени данни изобщо е необходимо и дали изпълнява целта си. Подобна оценка би предотвратила освен това установяването на подобно на тоталитарното общество в държавата Океания, описано в романа на Оруел, където накрая всички данни ще бъдат обработвани и анализирани. Събирането на данни трябва да е необходимо и оправдано за дадена цел, предвид това, че тя не може да бъде постигната с други средства, като напълно се спазва неприкосновеността на личния живот на хората. Пропорционалността е свързана също и с въпроса относно повторното използване на данни за цел, различна от тази, за която данните са били законно обработени първоначално, за да се избегне повсеместно създаване на профили на населението.

- Желателно е да се извършва оценка на въздействието на защитата на данните, което следва да се осъществява от администратора или обработващия данните, и да включва по-специално предвидените мерки, гаранции и механизми за гарантиране на защитата на личните данни и за доказване на съответствието с настоящата директива. Оценките на въздействието следва да засягат съответните системи и процеси на обработването на лични данни, а не отделни случаи. Освен това, когато оценката на въздействието на защитата на данните показва, че има вероятност операциите по обработване да представляват висока степен на конкретни рискове за правата и свободите на субектите на данни, надзорният орган следва да бъде в състояние да предотврати, преди започването на операциите, рисковото обработване, което не е в съответствие с настоящата директива, и да направи предложения за коригиране на такава ситуация. Такива консултации могат да се извършват също и в хода на изготвянето на мярка на националния парламент или на мярка, основаваща се на такава законодателна мярка, която определя характера на обработването и създава подходящи гаранции.

- Липсваше ясно определение на профилирането. Всяко такова определение следва да бъде в съответствие с Препоръка CM/Rec(2010)13 на Съвета на Европа. Профилирането в сферата на правоприлагането трябва да е предвидено със закон, който определя мерките за защита на законните интереси на субектите на данните, по-специално като им се предоставя възможност да изразят своята гледна точка. Всички отрицателни последици трябва да бъдат оценявани от хора. В същото време профилирането не следва да се превръща в картотекиране на напълно невинни хора без никаква обоснована причина, свързана с лицето — то не следва да води до т.нар. общо „растерно” издирване (Rasterfahndung).

- Предложеният режим за предаване на лични данни на трети държави беше незадоволителен и не предвиждаше всички необходими предпазни мерки за гарантиране на защитата на правата на физическите лица, чиито данни ще бъдат предавани. Тази система предвиждаше по-ниска защита в сравнение с предложения регламент. Например предложението на Комисията би допуснало предаването на данни, които няма да се използват за целите на правоприлагането, на орган в трета държава или на международна организация. Освен това, когато предаването на данни се основава на оценка, направена от администратора на данни (член 35, параграф 1, буква б), е възможно директивата да допусне масово и мащабно предаване на лични данни.

- Изключително важно е в случаите, при които липсват основания за разрешаване на прехвърляне, да се позволи, ако е необходимо, прилагането на дерогации, за да се защитят жизненоважните интереси на субекта на данните или на друго лице или да се гарантират законните му интереси. Дерогации, като например обществената сигурност на държава членка или на трета държава, следва да се тълкуват ограничително и да не се позволява нито често, масово и структурно предаване на лични данни, нито мащабно предаване на данни, а следва то да бъде ограничено до строго необходимото. Освен това решението за предаване на данни следва да бъде взето от надлежно оправомощено лице, като това предаване трябва да бъде документирано и да се предостави на надзорния орган при поискване с цел мониторинг на законосъобразността на предаването.

- Правата на националните органи за защита на данните да извършват мониторинг и да гарантират съответствието с правилата относно защитата на данните не бяха правилно очертани. В сравнение с предложения регламент правомощията на националните надзорни органи по защита на данните не бяха достатъчно ясни. Не беше видно, че националните надзорни органи по защита на данните имат право на достъп до помещенията на администратора на данни, както е предвидено в регламента. Също така санкциите и мерките за правоприлагане не бяха толкова прецизно формулирани.

- Беше въведен нов член относно генетичните данни. Обработването на генетични данни следва да бъде позволено единствено ако съществува генетична връзка, която се установява в хода на криминално разследване или съдебна процедура. Генетичните данни следва да се съхраняват единствено колкото е строго необходимо за целите на подобни разследвания или процедури, като същевременно държавите членки могат да предвидят по-дълго съхраняване съгласно условията, посочени в настоящата директива.

- Докладчикът счита, че в много отношения предложената директива не отговаряше на изискванията за високо ниво на защита на данните, описани като от „решаващо значение“ от Комисията (вж. съображение 7), и че в правно отношение не беше приведена в съответствие с разпоредбите на предложения регламент. Освен това докладчикът счита, че е от изключителна важност двата правни инструмента (директивата и регламентът за защита на данните) да се разглеждат в пакет по отношение на графика и на окончателното им приемане.

След известен период, през който националните правоприлагащи органи трябваше да адаптират равнището на защита на данните в съответствие със ситуацията, която разрешават (ситуация от вътрешно или трансгранично естество или отнасяща се до Прюм, Европол, Евроюст), наличието на един устойчив и съгласуван инструмент в крайна сметка може да им осигури правна сигурност и в същото време да бъде конкурентен в международен план, както и да послужи за модел за защита на данните през 21-ви век.


СТАНОВИЩЕ на комисията по правни въпроси (16.4.2013)

на вниманието на комисия по граждански свободи, правосъдие и вътрешни работи

относно предложението за директива на Европейския парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции и относно свободното движение на такива данни

(COM(2012)0010 – C7‑0024/2012 – 2012/0010(COD))

Докладчик по становище: Аксел Фос

КРАТКА ОБОСНОВКА

Правилно е ЕС да се стреми към установяване на цялостна, последователна и модерна рамка за защита на данните на високо ниво, тъй като предизвикателствата пред защитата на личните данни са многобройни. Те включват глобализацията, технологичното развитие, засилената онлайн дейност, използването, свързано с все повече престъпна дейност, както и опасенията за сигурността.

Затова съответните европейски разпоредби (член 16 от ДФЕС и признаването на правото на защита на личните данни като самостоятелно право в член 8 от Хартата на основните права) трябва да предоставят на отделните граждани правна сигурност и доверие в поведението на администраторите на лични данни, и по-специално на прокуратурата и правоприлагащите органи, тъй като нарушенията на разпоредбите за защита на данните може да доведат до сериозни рискове за основните права и свободи на лицата и за ценностите на държавите членки.

Следователно, Европейският парламент винаги е застъпвал мнението, че основните права на защита на личните данни и на неприкосновеност на личния живот включват също и защитата на лицата от евентуално наблюдение и злоупотреба с техните данни от самата държава. Затова е логично, че Комисията предложи също така директива „относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции и относно свободното движение на такива данни“, и докладчикът като цяло я приветства.

Въпреки това защитата на данните в областта на наказателното разследване и изпълнението на наказателни санкции трябва да бъдe приведена в съответствие с други съображения, свързани с принципите на правовата държава и произтичащи от държавния монопол върху употребата на сила. Правото на защита на личните данни в областта на предотвратяването на опасността, създаването и опазването на обществената сигурност, разследването на престъпления и изпълнението на наказателни санкции трябва да бъде адаптирано към задачите, извършвани от държавата, и трябва да гарантира, че тя все още е в състояние ефективно да изпълнява тези задачи в интерес на всички нейни граждани.

Законодателството относно защитата на данните на европейско равнище обикновено се характеризира с различни равнища на компетентност. В областта на известния преди като първи стълб съществува изключително широкообхватна компетентност, произтичаща от вътрешния пазар. В областта на известния преди като трети стълб на преден план е сътрудничеството, а не общностният подход. Ето защо и в този случай Рамково решение 2008/977/ПВР беше най-всеобхватният инструмент за определяне на минимални стандарти.

Освен това правните традиции по отношение на полицейското и съдебното сътрудничество са се развили много различно в държавите -членки на ЕС в продължение на столетия и всяко изменение на утвърдени национални структури и традиции чрез европейски правила следва да бъде въведенo в тази чувствителна област с повишено внимание и постепенно.

Положението във връзка с приложното поле на член 16 от ДФЕС по отношение на европейското законодателство за защита на данните също е спорно и предстои да бъде изяснено чрез съдебната практика. Това създава правна несигурност, която докладчикът счита, че трябва да бъде разрешена чрез прагматизъм:

Предложението на Комисията за директива включва обмен на данни на национално равнище в рамките на приложното поле на директивата, докато член 16, параграф 2 от ДФЕС предоставя компетентност на ЕС само в рамките на приложното поле на правото на Съюза. Това не включва обработката на данни на национално равнище в областта на полицейската дейност (член 87 от ДФЕС).

Особеност на защитата на данните е, че тя има хоризонтални последици и може да окаже влияние в области, които не са определени като попадащи в рамките на неограничената компетентност на ЕС, с което може да се наруши принципът на субсидиарност.

Предвид горепосочените съображения, докладчикът счита, че директивата следва да въведе най-много минимални стандарти. На практика това обезсмисля въпроса за „само трансгранична“ или „също така национална“ защита на данните; във всеки случай може да се поддържа по-високо ниво на защита на данните.

Въпреки това, с цел да се запази балансът по отношение на защитата на данните като основно право, правата на лицата трябва в същото време да се укрепят и ясно да се определят в директивата. Принципите на прозрачност и контрол трябва да бъдат заложени, но те не може да са в противоречие с целта за предотвратяване на опасността и наказателното преследване.

Докладчикът счита следните изменения за необходими, за да се запази този баланс между запазването на държавния монопол върху използването на сила, гарантирането на обществения ред и сигурността и физическата неприкосновеност на личността, от една страна, и правото на защита на данните, от друга:

Глава I

- Предотвратяването на опасност се включва в приложното поле (член 1).

- На държавите членки се предоставя изрично възможност да приемат по-високи стандарти (член 1). Директивата няма за цел хармонизиране, а определяне на минимални стандарти.

- Обхватът се разширява, за да включи институциите на Съюза, органите, службите и агенциите (член 2).

Глава II

- Текстът на ключовия раздел „Принципи обработването на данни“ е приведен в съответствие с Общия регламент за защита на данните. Този „пакетен подход“ означава, че тези принципи следва да съвпадат (член 4).

- Член 5 се заличава, тъй като той води до увеличаване на бюрокрацията и разходите за държавите членки, като същевременно правните последици не са анализирани.

- Ограничаването на целите по отношение на обработването на данните е основен принцип на защитата на данните. Членове 6 и 7 са напълно преработени и разширени въз основа на Рамково решение 2008/977/ПВР (тук: член 8 (точност), член 3 (ограничаване на целта) и член 13 (ограничаване на целта по отношение на данни от други държави -членки на ЕС).

Глава III

Измененията на глава III се съсредоточават върху необходимостта от личен интерес и действителното лично искане по отношение на съхраняваната информация.

- Възможността да се ограничи правото на информация (член 12) се ограничава до отделни случаи на проверка, като по този начин се укрепват личните права.

- Правото на информация към момента на събиране на данните, без да е направено искане, се ограничава в полза на националните правила.

- Правото на коригиране или заличаване е формулирано по-добре и е укрепено. В същото време са въведени изключения от правото на заличаване, като например правно задължение за запазване на данните.

Глава IV

- Член 20 „Съвместни администратори“ се заличава, тъй като намалява нивото на защита на данните. По отношение на външното сътрудничество следва да остане съвместната отговорност на двамата администратори, в полза на субекта на данните.

- Член 23 „Документация“ придобива по-строг характер в съответствие с член 10 от Рамково решение 2008/977/ПВР. В резултат на това член 24 „Водене на записи“ се заличава.

- Член 27 „Сигурност на данните“ е приведена в съответствие с текста на член 22 от Рамковото решение.

- Предварителна консултация/оценка на въздействието върху неприкосновеността на личния живот се въвежда под формата на нов член 28а, взаимстван от член 23 от Рамково решение 2008/977/ПВР.

- „Нарушения по отношение на данните“ трябва да бъдат съобщени единствено на надзорния орган, а не на субекта на данните (членове 28 и 29).

Глава V

- Член 35б възпроизвежда разпоредбите на член 13 от Рамковото решение и се отнася до правила относно третирането на данни с произход от други държави членки.

- Член 36 е формулиран по нов начин. В много ограничени отделни случаи предаването на данни на трети държави трябва да е възможно при възможно най-строги условия въпреки отрицателната преценка на адекватността, за да се осигури защитата на най-висши блага като живота и физическото здраве.

Глава VIII

- Правото да се предявяват колективни искове в член 50 се заличава. Всяка жалба следва да се основава на личен интерес и конкретен случай.

Делегирани актове и актове за изпълнение

- Предложението на Комисията е преработено, за да се гарантира, че се прилагат единни правила относно приемането на делегирани актове и актове за изпълнение, и за да се предотврати всяко отклонение на компетентност. Тук, подобно на планираните изменения в проекта на предложението за регламента за защита на личните данни (COM (2012) 11), се отдава предпочитание на делегирани актове или на решения на национално равнище.

Извъндоговорна отговорност

- Възможно е Европейската комисия да вземе погрешно решение относно адекватността на защитата на данните в трета страна или международна организация и това може да доведе до причиняване на вреди. Такива случаи следва да се споменат в директивата.

ИЗМЕНЕНИЯ

Комисията по правни въпроси приканва водещата комисия по граждански свободи, правосъдие и вътрешни работи да включи в доклада си следните изменения:

Изменение  1

Предложение за директива

Съображение 7

Текст, предложен от Комисията

Изменение

(7) Осигуряването на хомогенно и високо ниво на защита на личните данни на физическите лица и улесняването на обмена на лични данни между компетентните органи на държавите членки са от решаващо значение за осигуряването на ефективно съдебно сътрудничество по наказателноправни въпроси и полицейско сътрудничество. За тази цел, нивото на защита на правата и свободите на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции трябва да бъде еднакво във всички държави членки. Ефективната защита на личните данни навсякъде в Съюза изисква укрепване на правата на субектите на данни и на задълженията на онези, които обработват личните данни, но също и еквивалентни правомощия за наблюдение и гарантиране на спазването на правилата за защита на личните данни в държавите членки.

(7) Осигуряването на хомогенно и високо ниво на защита на личните данни на физическите лица и улесняването на обмена на лични данни между компетентните органи на държавите членки са от решаващо значение за осигуряването на ефективно съдебно сътрудничество по наказателноправни въпроси и полицейско сътрудничество. За тази цел, във всички държави членки се осигуряват минимални стандарти във връзка с всяко обработване на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции.

Изменение  2

Предложение за директива

Съображение 15

Текст, предложен от Комисията

Изменение

(15) Защитата на физическите лица следва да бъде неутрална от технологична гледна точка и да не зависи от използваната техника; в противен случай това би създало сериозен риск от заобикаляне на закона. Защитата на физическите лица следва да се прилага за обработването на лични данни с автоматични средства, както и за ръчното им обработване, ако данните се съхраняват или са предназначени да се съхраняват в регистър на лични данни. Досиетата или групите от досиета, както и заглавните им страници, които не са структурирани съгласно специфични критерии, не следва да попадат в приложното поле на настоящата директива. Настоящата директива не следва да се прилага спрямо обработването на лични данни в хода на дейност, която е извън приложното поле на правото на Съюза, по-специално дейност, която се отнася до националната сигурност, или спрямо данни, обработвани от институциите, органите, службите и агенциите на Съюза, като Европол и Евроюст.

(15) Защитата на физическите лица следва да бъде неутрална от технологична гледна точка и да не зависи от използваната техника; в противен случай това би създало сериозен риск от заобикаляне на закона. Защитата на физическите лица следва да се прилага за обработването на лични данни с автоматични средства, както и за ръчното им обработване, ако данните се съхраняват или са предназначени да се съхраняват в регистър на лични данни. Досиетата или групите от досиета, както и заглавните им страници, които не са структурирани съгласно специфични критерии, не следва да попадат в приложното поле на настоящата директива. Настоящата директива не следва да се прилага спрямо обработването на лични данни в хода на дейност, която е извън приложното поле на правото на Съюза, по-специално дейност, която се отнася до националната сигурност.

Изменение  3

Предложение за директива

Съображение 16

Текст, предложен от Комисията

Изменение

(16) Принципите за защита следва да се прилагат по отношение на всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано. За да се определи дали дадено физическо лице може да бъде идентифицирано, следва да се вземат предвид всички средства, които вероятно логично биха били използвани от администратора или от което и да е друго лице за идентифициране на посоченото лице. Принципите за защита на данните не следва да се прилагат по отношение на данни, които са приведени в анонимна форма по такъв начин, че субектът на данните вече не може да бъде идентифициран.

(16) Принципите за защита следва да се прилагат по отношение на всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано. За да се определи дали дадено физическо лице може да бъде идентифицирано, следва да се вземат предвид всички средства, които вероятно логично биха били използвани от администратора или от което и да е друго лице, което работи съвместно с администратора, за идентифициране на посоченото лице. Принципите за защита на данните не следва да се прилагат по отношение на данни, които са приведени в анонимна форма по такъв начин, че субектът на данните вече не може да бъде идентифициран.

Изменение  4

Предложение за директива

Съображение 23

Текст, предложен от Комисията

Изменение

(23) При обработването на лични данни в областите на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество е нормално да се обработват лични данни, които се отнасят за различни категории субекти на данни. Ето защо трябва да се прави ясно разграничение, доколкото това е възможно, между личните данни на различните категории субекти на данни, например заподозрени, лица, осъдени за престъпление, жертви и трети страни, като свидетели, лица, притежаващи полезна информация или данни за контакт и съучастници на заподозрени и осъдени престъпници.

заличава се

Изменение  5

Предложение за директива

Съображение 24

Текст, предложен от Комисията

Изменение

(24) Личните данни следва да се разграничават въз основа на степента на тяхната точност и надеждност, доколкото това е възможно. Фактите следва да се разграничават от личните оценки, за да се гарантират както защитата на физическите лица, така и качеството и надеждността на информацията, обработвана от компетентните органи.

заличава се

Изменение  6

Предложение за директива

Съображение 43

Текст, предложен от Комисията

Изменение

(43) При установяване на подробни правила за формата и процедурите, приложими за уведомяването за нарушения на сигурността на личните данни, следва да се отдаде необходимото внимание на обстоятелствата, свързани с нарушението, включително дали личните данни са били защитени чрез подходящи технически мерки за защита, ефективно ограничаващи вероятността за извършване на злоупотреба. Освен това при такива правила и процедури следва да се отчитат законните интереси на компетентните органи в случаи, когато ранното разкриване може ненужно да попречи на разследването на обстоятелствата, свързани с нарушението на сигурността.

заличава се

Изменение  7

Предложение за директива

Съображение 45

Текст, предложен от Комисията

Изменение

(45) Държавите членки следва да гарантират, че данни се предават на трета държава единствено, ако това е необходимо за предотвратяването, разследването, разкриването или наказателното преследване на престъпления или за изпълнението на наказателни санкции и администраторът в третата държава или международната организация представлява компетентен орган по смисъла на настоящата директива. Предаване може да се извърши, ако Комисията е решила, че въпросната трета държава или международна организация гарантира адекватно ниво на защита или когато са представени подходящи гаранции.

(45) Държавите членки следва да гарантират, че данни се предават на трета държава единствено, ако това е необходимо за предотвратяването, разследването, разкриването или наказателното преследване на престъпления или за изпълнението на наказателни санкции и администраторът в третата държава или международната организация представлява компетентен орган по смисъла на настоящата директива.

Изменение  8

Предложение за директива

Съображение 55

Текст, предложен от Комисията

Изменение

(55) Макар настоящата директива да се прилага и спрямо дейностите на националните съдилища, компетентността на надзорните органи не следва да обхваща обработването на лични данни когато съдилищата действат при изпълнение на съдебните си функции, за да се гарантира независимостта на съдиите при изпълнението на техните съдебни задължения. Това изключение обаче следва да бъде ограничено до действителните съдебни дейности по съдебни дела и да не се прилага за други дейности, в които съдиите могат да участват съгласно националното право.

(55) Макар настоящата директива да се прилага и спрямо дейностите на националните съдилища, компетентността на надзорните органи не следва да обхваща обработването на лични данни когато съдилищата действат при изпълнение на съдебните си функции, за да се гарантира независимостта на съдиите при изпълнението на техните съдебни задължения.

Изменение  9

Предложение за директива

Съображение 70

Текст, предложен от Комисията

Изменение

(70) Доколкото целите на настоящата директива, а именно да се защитят основните права и свободи на физическите лица и по-специално тяхното право на защита на личните данни, както и да се гарантира свободен обмен на лични данни от компетентните органи в Съюза, не могат да бъдат постигнати в достатъчна степен от държавите членки и следователно поради обхвата или последиците от действието могат да бъдат по-добре постигнати на равнището на Съюза, Съюзът може да приеме мерки в съответствие с принципа на субсидиарност, уреден в член 5 от Договора за Европейския съюз. В съответствие с принципа на пропорционалност, уреден в същия член, настоящата директива не надхвърля необходимото за постигане на тези цели.

заличава се

Изменение  10

Предложение за директива

Съображение 73

Текст, предложен от Комисията

Изменение

(73) За да се гарантира цялостна и съгласувана защита на личните данни в Съюза международните споразумения, сключени от държавите членки преди влизането в сила на настоящата директива, следва да бъдат изменени, така че да бъдат хармонизирани с директивата.

заличава се

Изменение  11

Предложение за директива

Член 1 - параграф 1

Текст, предложен от Комисията

Изменение

1. С настоящата директива се установяват правилата във връзка със защитата на физическите лица по отношение на обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции.

1. С настоящата директива се установяват правилата във връзка със защитата на физическите лица по отношение на обработването на лични данни от компетентните органи за целите на предотвратяването на опасност, разследването, разкриването или наказателното преследване на престъпления, както и изпълнението на наказателни санкции.

Обосновка

В областта на полицейските мерки за сигурност се срещат трудности при разграничаването на приложните полета на директива и регламент. Когато общественоопасното деяние не е с престъпен характер и следователно полицията не може да го предотврати по смисъла на член 1, параграф 1 от предложението за директива, последната не може да се приложи (например: данни за обявени за изчезнали лица, самоубийци). Разпоредбите на Общия регламент за защита на данните са напълно неприложими за предотвратяването на опасност.

Изменение  12

Предложение за директива

Член 1 – параграф 2 – уводна част

Текст, предложен от Комисията

Изменение

2. В съответствие с настоящата директива държавите членки:

2. Разпоредбите на настоящата директива относно минимално ниво на защита не възпрепятстват държавите членки да запазят или да приемат правила за защита на личните данни, които гарантират по-високо ниво на защита.

Обосновка

Целта на директивата следва да бъде да се осигури общоевропейски минимален стандарт за сигурност, а не да замени съществуващите национални правила. Следователно на държавите членки трябва да бъде изрично позволено да приемат по-строги разпоредби.

Изменение  13

Предложение за директива

Член 1 – параграф 2 – буква б)

Текст, предложен от Комисията

Изменение

б) гарантират, че обменът на лични данни от компетентните органи в Съюза не се ограничава, нито забранява по причини, свързани със защитата на физическите лица по отношение на обработването на лични данни.

заличава се

Изменение  14

Предложение за директива

Член 2 – параграф 3 – буква б)

Текст, предложен от Комисията

Изменение

б) от институциите, органите, службите и агенциите на Съюза.

заличава се

Обосновка

Институциите и органите на ЕС следва също така да попадат в приложното поле на директивата.

Изменение  15

Предложение за директива

Член 3 – параграф 1 – точка 1

Текст, предложен от Комисията

Изменение

(1) „субект на данни“ означава физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или косвено чрез средства, за които с основание се предполага, че е възможно да бъдат използвани от администратора или от всяко друго физическо или юридическо лице, по-специално чрез идентификационен номер, данни за местонахождение, онлайн идентификатори или чрез един или повече признаци, специфични за неговата физическа, физиологична, генетична, психическа, икономическа, културна или социална идентичност;

(1) „субект на данни“ означава физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или косвено чрез средства, за които с основание се предполага, че е възможно да бъдат използвани от администратора или от всяко друго физическо или юридическо лице, което работи съвместно с администратора, по-специално чрез идентификационен номер, данни за местонахождение, онлайн идентификатори или чрез един или повече признаци, специфични за неговата физическа, физиологична, генетична, психическа, икономическа, културна или социална идентичност;

Изменение  16

Предложение за директива

Член 3 – параграф 1 – точка 9 а (нова)

Текст, предложен от Комисията

Изменение

 

(9a) „съгласие на субекта на данните“ означава всяко свободно изразено, конкретно, информирано и изрично указание за волята на субекта на данните посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработвани;

Обосновка

Изменението въвежда съгласието на субекта на данните в рамките на тесни граници. Въпреки че по принцип гражданите и държавата не могат да са равнопоставени, съгласието в частния случай може да служи като обосновка, например при масови тестове за ДНК.

Изменение  17

Предложение за директива

Член 3 – параграф 1 – точка 14

Текст, предложен от Комисията

Изменение

(14) „компетентни органи“ означава всеки публичен орган, компетентен по отношение на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции;

(14) ) „компетентни органи“ означава всеки публичен орган, компетентен по отношение на предотвратяването на опасности, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции, включително институциите, органите, службите и агенциите на Европейския съюз;

Изменение  18

Предложение за директива

Член 4 – параграф 1 – буква а)

Текст, предложен от Комисията

Изменение

а) обработвани добросъвестно и в съответствие със закона;

а) обработвани в съответствие със закона, добросъвестно и по прозрачен и проверим начин по отношение на субекта на данните;

Изменение  19

Предложение за директива

Член 4 – буква в)

Текст, предложен от Комисията

Изменение

в) подходящи, релевантни и не надхвърлят необходимото във връзка с целите, за които данните се обработват;

в) подходящи, релевантни и ограничени до минимума, необходим във връзка с целите, за които данните се обработват; те трябва да бъдат обработвани само ако за съответната цел не е достатъчна анонимна обработка и доколкото целите не могат да бъдат постигнати чрез обработването на информация, която не включва лични данни;

Изменение  20

Предложение за директива

Член 4 – буква д)

Текст, предложен от Комисията

Изменение

д) съхранявани във вид, който позволява идентифицирането на субектите на данните за период не по-дълъг от необходимия за целите, за които се обработват личните данни;

д) съхранявани във вид, който позволява идентифицирането на субектите на данните, но за период, не по-дълъг от необходимия за целите, за които се обработват данните;

Обосновка

Изменението привежда директивата в съответствие с текста на регламента за защита на личните данни. В духа на пакетния подход следва да са в сила едни и същи основни правила и за двата законодателни акта.

Изменение  21

Предложение за директива

Член 4 – буква e)

Текст, предложен от Комисията

Изменение

е) обработвани под ръководството и отговорността на администратора, който осигурява спазването на разпоредбите, приети съгласно настоящата директива.

е) обработвани и използвани единствено от компетентните служители на компетентните органи в рамките на изпълнението на тяхната дейност

Изменение  22

Предложение за директива

Член 4 – буква e)

Текст, предложен от Комисията

Изменение

е) обработвани под ръководството и отговорността на администратора, който осигурява спазването на разпоредбите, приети съгласно настоящата директива.

е) обработвани под ръководството и отговорността на администратора, който осигурява и доказва спазването на разпоредбите, приети съгласно настоящата директива.

Изменение  23

Предложение за директива

Член 5 – параграф 1а (нов)

Текст, предложен от Комисията

Изменение

 

1a. Държавите членки могат, доколкото е възможно, да предоставят конкретни правила относно дадена категоризация на данни, включително съответните последствия, като се отчитат различните цели, за които се събират данни, включително условията за събиране на данни, сроковете за запазване, възможните ограничения на правата на достъп и информация на субекта на данните и начините на достъп до данни от страна на компетентните органи.

Изменение  24

Предложение за директива

Член 6 – заглавие

Текст, предложен от Комисията

Изменение

Различни степени на точност и надеждност на личните данни

Фактическа точност

Изменение  25

Предложение за директива

Член 6 - параграф 1

Текст, предложен от Комисията

Изменение

1. Държавите членки гарантират, че доколкото е възможно се прави разграничение между различните категории лични данни, които се обработват, в съответствие със степента им на точност и надеждност.

1. Компетентните органи гарантират, че доколкото е възможно личните данни са точни, пълни и, при необходимост, актуални.

Изменение  26

Предложение за директива

Член 6 – параграф 2 и параграф 2 а (нов)

Текст, предложен от Комисията

Изменение

2. Държавите членки гарантират, че доколкото е възможно, се прави разграничение между лични данни, основани на факти, и лични данни, основани на лични оценки.

2. Компетентните органи гарантират, че лични данни, които не са точни, не са пълни или вече не са актуални, не се предават или предоставят. За тази цел те определят, че компетентните органи проверяват качеството на личните данни преди тяхното предаване или предоставяне, доколкото това е възможно на практика. Доколкото е възможно, при всяко предаване на данни се добавя налична информация, която позволява на получаващата държава членка да оцени степента на точност, пълнота, актуалност и надеждност на данните. Ако лични данни са предадени, без да са поискани, получаващият орган незабавно проверява дали тези данни са необходими за целта, за която са предадени.

 

2a. Ако се окаже, че са предадени неверни данни или данни са предадени незаконосъобразно, получателят трябва да бъде незабавно уведомен. Получателят се задължава да коригира незабавно данните съгласно параграф 1 и член 15 или да ги заличи съгласно член 16.

Обосновка

Предложението за текст е съобразено с член 8 на Рамково решение 2008/977/ПВР и установява забрана за предаване на неточни данни.

Изменение  27

Предложение за директива

Член 7 а (нов)

Текст, предложен от Комисията

Изменение

 

Член 7 а

 

Законосъобразност на обработването, цел

 

1. Обработването на лични данни е законосъобразно само ако и доколкото се извършва при спазване на посочените по-долу принципи.

 

2. Личните данни могат да бъдат събирани от компетентните органи в рамките на техните задължения за конкретни, изрично указани и законни цели. За законни цели по-специално служи събирането на данни

 

а) за изпълнението на задача, извършвана от компетентен орган въз основа на закона за целите, определени в член 1, параграф 1; или

 

б) за спазването на правно задължение, чийто субект е администраторът; или

 

в) за защита на законните интереси на субекта на данните; или

 

г) за защита на законните интереси на друго лице, освен ако законният интерес на субекта на данните очевидно е с по-голяма тежест от изключването на обработката;

 

д) за предотвратяване на заплаха за обществената сигурност.

 

3. Обработването на лични данни трябва да съответства на целите, за които те биват събирани. Допълнителното обработване за друга цел е разрешено, когато:

 

а) служи за законни цели (параграф 2);

 

б) е необходимо за посочената друга цел;

 

в) не е несъвместимо с целите, за които са събрани данните.

 

4. По-нататъшното обработване на лични данни в отклонение от параграф 3 е допустимо за исторически, статистически или научни цели, доколкото държавите членки предвидят подходящи гаранции, като привеждането на данните в анонимна форма.

Изменение  28

Предложение за директива

Член 7 б (нов)

Текст, предложен от Комисията

Изменение

 

Член 7 б

 

Особености на лични данни, произхождащи от други държави членки

 

За лични данни, които са предадени или предоставени от компетентния орган на друга държава членка, се прилага, в добавка към общите основни принципи на обработването на лични данни, следното:

 

1. Личните данни могат да бъдат предавани на частни страни само в случай че:

 

а) компетентният орган на държавата членка, от която са получени данните, е дал съгласие за изпращане в съответствие с националното си законодателство;

 

б) няма законни специфични интереси на субекта на данните, които да възпрепятстват предаването; както и

 

в) в определени случаи предаването е от съществено значение за компетентния орган, изпращащ данните на частна страна за:

 

i) изпълнението на законно възложена му задача;

 

ii) предотвратяването, разследването, откриването и съдебното преследване на престъпления или изпълнението на наказателни санкции;

 

iii) предотвратяването на непосредствена и сериозна заплаха за обществената сигурност или

 

iv) предотвратяването на сериозна вреда на правата на лицата.

 

Компетентният орган, изпращащ данните на частна страна, уведомява последната за целите, за които данните могат да бъдат изрично използвани.

 

2. Личните данни могат, при условията на член 7, параграф 3, да бъдат обработвани допълнително само за следните цели, освен за целите, за които са предадени или предоставени:

 

а) предотвратяване, разследване, откриване или съдебно преследване на престъпления или изпълнение на наказателни санкции, различни от тези, за които са били предадени или предоставени;

 

б) други съдебни и административни действия, пряко свързани с предотвратяването, разследването, откриването и съдебното преследване на престъпления или изпълнението на наказателни санкции;

 

в) предотвратяване на непосредствена и сериозна заплаха за обществената сигурност; или

 

г) всяка друга цел само с предварителното съгласие на предаващата държава членка или със съгласието на субекта на данните, дадено в съответствие с националното законодателство.

 

Настоящият параграф се прилага, без да се засяга член 7, параграф 4.

 

3. Когато в съответствие със законодателството на предаващата държава членка спрямо обмена на данни между компетентните органи на тази държава членка се прилагат специфични ограничения при специфични обстоятелства, предаващият орган уведомява получателя за тези ограничения. Получателят гарантира, че тези свързани с обработката ограничения се спазват.

Обосновка

Извършената в този член преработка възприема разпоредбите на Рамково решение 2088/977/ПВР, член 13, относно третирането на данни с произход от други държави членки и в особена степен осигурява защита на тези данни. Член 7а служи същевременно за защита на държавите членки, от които произхождат данните, като по този начин се създава необходимото доверие за обмен на данни в рамките на Съюза, че предадените данни не се обработват по усмотрение на получаващата държава.

Изменение  29

Предложение за директива

Член 7 в (нов)

Текст, предложен от Комисията

Изменение

 

Член 7 в

 

Определяне на срокове за заличаване и преглед

 

За заличаването на лични данни или за периодично преразглеждане на необходимостта от съхранението им се определят подходящи срокове. Съблюдаването на тези срокове се гарантира чрез процедурни мерки.

Обосновка

Допълнението е взето буквално от член 5 на Рамково решение 2088/977/ПВР.

Изменение  30

Предложение за директива

Член 8

Текст, предложен от Комисията

Изменение

1. Държавите членки забраняват обработването на лични данни, които разкриват расов или етнически произход, политически мнения, религия или убеждения, членство в професионални съюзи, като и обработването на генетични данни или данни, свързани със здравословното състояние или половия живот.

Обработването на лични данни, които разкриват расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в професионални съюзи, както и обработването на данни, свързани със здравословното състояние или половия живот, са допустими единствено когато

2. Параграф 1 не се прилага, когато:

 

а) обработването е разрешено със закон, който предвижда подходящи гаранции;

а) обработването е изключително необходимо и е разрешено със закон, който предвижда подходящи гаранции; или

б) обработването е необходимо, за да бъдат защитени жизненоважни интереси на субекта на данни или на друго лице;

(Не се отнася до българския текст.)

в) обработването касае данни, които явно са направени обществено достояние от субекта на данните.

(Не се отнася до българския текст.)

Обосновка

Формулировката на настоящия член беше изменена по примера на член 6, Рамково решение 2008/977/ПВР. Въпреки че се отклонява в своята систематика от принципа за забрана на предложението за директива, обработването на чувствителни данни продължава да бъде допустимо само при строги условия. С оглед на голямото значение на доказателствата, основаващи се на ДНК, е премахната въведената от Комисията принципна забрана за обработване на генетични данни.

Изменение  31

Предложение за директива

Член 9 - параграф 1

Текст, предложен от Комисията

Изменение

1. Държавите членки предвиждат, че мерките, които пораждат неблагоприятни правни последици за субекта на данни или съществено го засягат и които се основават единствено на автоматизирано обработване на лични данни, имащо за цел да се оценят определени лични аспекти, свързани със субекта на данните, са забранени, освен ако не са разрешени от закон, който установява и мерки за гарантиране на законните интереси на субекта на данните.

1. Мерките, които пораждат неблагоприятни правни последици за субекта на данни или съществено го засягат и които се основават единствено на автоматизирано обработване на лични данни, имащо за цел да се оценят определени лични аспекти, свързани със субекта на данните, са допустими единствено в случай че са разрешени от закон, който установява и мерки за гарантиране на законните интереси на субекта на данните.

Обосновка

Извършената в този член преработка възприема отново формулировката на Рамково решение 2088/977/ПВР, чл. 7. Профилирането продължава да бъде допустимо само при спазването на строги условия, въпреки че се изоставя принципът за забрана.

Изменение  32

Предложение за директива

Член 9 - параграф 2

Текст, предложен от Комисията

Изменение

2. Автоматизираното обработване на лични данни с цел оценяване на определени лични аспекти, свързани със субекта на данните, не може да се основава единствено на специалните категории лични данни, посочени в член 8.

заличава се

Обосновка

Параграф 2 подмамва към особено всеобхватно профилиране и лесно би могъл да бъде заобиколен.

Изменение  33

Предложение за директива

Член 10 - параграф 1

Текст, предложен от Комисията

Изменение

1. Държавите членки предвиждат задължение за администратора да вземе всички разумни мерки, за да разполага с прозрачни и лесно достъпни вътрешни правила по отношение на обработването на лични данни и за упражняването на правата на субектите на данни.

1. Държавите членки предвиждат задължение за администратора да вземе подходящи и разумни мерки, за да разполага с прозрачни и лесно достъпни вътрешни правила по отношение на обработването на лични данни и за упражняването на правата на субектите на данни.

Изменение  34

Предложение за директива

Член 10 - параграф 2

Текст, предложен от Комисията

Изменение

2. Държавите членки предвиждат, че всякаква информация и съобщения, свързани с обработването на лични данни, се предоставят от администратора на субекта на данните в лесна за разбиране форма, като се използват ясни и прости формулировки.

2. Държавите членки предвиждат, че всякаква информация и съобщения, свързани с обработването на лични данни, се предоставят от администратора на субекта на данните в лесна за разбиране форма, като се използват по възможност ясни и прости формулировки.

Изменение  35

Предложение за директива

Член 10 - параграф 4

Текст, предложен от Комисията

Изменение

4. Държавите членки предвиждат задължение за администратора да информира субекта на данните без ненужно забавяне за действията, предприети във връзка с неговото искане.

заличава се

Изменение  36

Предложение за директива

Член 12 – параграф 1 – буква а) (нова)

Текст, предложен от Комисията

Изменение

 

а) всички лични данни, които са в процес на обработване, и всякаква налична информация за техния източник

Изменение  37

Предложение за директива

Член 12 – параграф 1 – буква ж)

Текст, предложен от Комисията

Изменение

ж) съобщаване на личните данни, които са в процес на обработване, и на всякаква налична информация за техния източник.

заличава се

Обосновка

Това е свързано с основното право на достъп на субекта, така че следва да се разглежда в началото на списъка.

Изменение  38

Предложение за директива

Член 13 – параграф 1 – уводна част

Текст, предложен от Комисията

Изменение

1. Държавите членки могат да приемат законодателни мерки, които ограничават изцяло или частично правото на достъп на субекта на данните дотолкова, доколкото такова частично или пълно ограничаване представлява необходима и пропорционална мярка в едно демократично общество, като надлежно се вземат под внимание законните интереси на засегнатото лице:

1. Държавите членки могат да приемат законодателни мерки, които ограничават в конкретни случаи изцяло или частично правото на достъп на субекта на данните дотолкова, доколкото и докато такова частично или пълно ограничаване представлява необходима и пропорционална мярка в едно демократично общество, като надлежно се вземат под внимание законните интереси на засегнатото лице:

Изменение  39

Предложение за директива

Член 13 – параграф 1 – буква б)

Текст, предложен от Комисията

Изменение

б) за да се избегне повлияване върху предотвратяването, разкриването, разследването и наказателното преследване на престъпления или изпълнението на наказателни санкции;

б) за да се избегне повлияване върху предотвратяването на опасности, разкриването, разследването и наказателното преследване на престъпления или изпълнението на наказателни санкции;

Изменение  40

Предложение за директива

Член 13 – параграф 1 – буква д)

Текст, предложен от Комисията

Изменение

д) за защита на правата и свободите на други лица.

д) за защита на субекта на данните или на правата и свободите на други лица.

Изменение  41

Предложение за директива

Член 13 - параграф 2

Текст, предложен от Комисията

Изменение

2. Държавите членки могат да определят с нормативен акт категории обработване на данни, които могат изцяло или частично да бъдат обект на изключенията по параграф 1.

заличава се

Обосновка

Отказът на информация трябва винаги да зависи от конкретния случай.

Изменение  42

Предложение за директива

Член 14 - параграф 1

Текст, предложен от Комисията

Изменение

1. Държавите членки регламентират правото на субекта на данни да поиска, по-специално в случаите по член 13, надзорният орган да провери законосъобразността на обработването.

1. Държавите членки регламентират правото на субекта на данни да поиска, в границите на член 12 и член 13, надзорният орган да провери законосъобразността на обработването.

Изменение  43

Предложение за директива

Член 14 - параграф 2

Текст, предложен от Комисията

Изменение

2. Държавите членки предвиждат задължение за администратора да информира субекта на данните за правото да поиска намеса на надзорния орган съгласно параграф 1.

2. Държавите членки предвиждат задължение за администратора да информира при поискване субекта на данните за правото да поиска намеса на надзорния орган съгласно параграф 1.

Изменение  44

Предложение за директива

Член 14 – параграф 3 – алинея 1 а

Текст, предложен от Комисията

Изменение

 

Държавите членки предвиждат дали субектът на данните може да упражни това право пряко срещу администратора или чрез посредничеството на компетентния национален надзорен орган.

Обосновка

Това предвижда система за непреки искания за достъп на субекта, като се използва формулировката от Рамковото решение от 2008 г.

Изменение  45

Предложение за директива

Член 15 - параграф 1

Текст, предложен от Комисията

Изменение

1. Държавите членки уреждат правото на субекта на данни по негово искане администраторът да коригира неточните лични данни, свързани с него. Субектът на данните има право непълните лични данни да бъдат попълнени по негово искане, по-специално чрез декларация за коригиране.

1. Държавите членки уреждат правото на субекта на данни по негово искане да се коригират неточните лични данни, свързани с него. Субектът на данните има право непълните лични данни да бъдат попълнени по негово искане, по-специално чрез декларация за коригиране.

Изменение  46

Предложение за директива

Член 15 – параграф 2 и параграф 2 а (нов)

Текст, предложен от Комисията

Изменение

2. Държавите членки предвиждат задължение за администратора да информира в писмена форма субекта на данни за всеки отказ за коригиране, за причините за отказа и за възможностите за подаване на жалба до надзорния орган и за търсене на защита по съдебен ред.

2. Държавите членки предвиждат дали субектът на данните може да упражни това право пряко срещу администратора или чрез посредничеството на компетентния надзорен орган.

 

2a. В случай че субектът на данните упражни правото си пряко срещу администратора и последният откаже коригирането или допълването, администраторът трябва да информира в писмена форма субекта на данни за всеки отказ за коригиране, за причините за отказа и за възможностите за подаване на жалба до надзорния орган и за търсене на защита по съдебен ред.

Обосновка

Начините за действие в този случай следва да се определят от държавите членки.

Изменение  47

Предложение за директива

Член 16 - параграф 1

Текст, предложен от Комисията

Изменение

1. Държавите членки регламентират правото на субекта на данни по негово искане администраторът да заличи личните данни, свързани с него, когато обработването не е в съответствие с разпоредбите, приети съгласно член 4, букви а)—д) и членове 7 и 8 от настоящата директива.

1. Държавите членки регламентират правото на субекта на данни по негово искане администраторът да заличи личните данни, свързани с него, когато обработването не е в съответствие с разпоредбите, приети съгласно членове 4, 6, 7 и 8 от настоящата директива.

Обосновка

Изменението разширява приложното поле и укрепва правата на отделните лица.

Изменение  48

Предложение за директива

Член 16 – параграф 2 и параграф 2 а (нов)

Текст, предложен от Комисията

Изменение

2. Администраторът извършва заличаването незабавно.

2. Държавите членки предвиждат дали субектът на данните може да упражни това право пряко срещу администратора или чрез посредничеството на компетентния национален надзорен орган.

 

2a. В случай че субектът на данните упражни правото си пряко срещу администратора и последният откаже коригирането или допълването, администраторът трябва да информира в писмена форма субекта на данни за всеки отказ за коригиране, за причините за отказа и за възможностите за подаване на жалба до надзорния орган и за търсене на защита по съдебен ред.

Изменение  49

Предложение за директива

Член 16 – параграф 3 – уводна част

Текст, предложен от Комисията

Изменение

3. Вместо да извърши заличаване администраторът маркира личните данни, когато:

3. Вместо да извърши заличаване, администраторът ограничава обработването на личните данни, когато:

Изменение  50

Предложение за директива

Член 16 – параграф 3 – буква в)

Текст, предложен от Комисията

Изменение

в) субектът на данните не желае те да бъдат заличени, а изисква вместо това ограничаване на използването им.

в) заличаването би нарушило законните интереси на субекта на данните или субектът на данните не желае те да бъдат заличени, а изисква вместо това ограничаване на използването им.

Изменение  51

Предложение за директива

Член 16 – параграф 3 – букви в а) до в в) (нови)

Текст, предложен от Комисията

Изменение

 

вa) заличаването се възпрепятства от задължения във връзка с документирането или съхранението; в този случай данните се обработват съгласно законовите задължения във връзка с документирането или съхранението;

 

вб) те се съхраняват единствено с цел сигурност на данните или контрол на защитата на данните;

 

вв) заличаването е възможно технически само при непропорционално големи усилия, например с оглед на особения начин на съхранение.

Изменение  52

Предложение за директива

Член 16 – параграф 3 а (нов)

Текст, предложен от Комисията

Изменение

 

3a. Ограничените данни могат да бъдат използвани само за целта, поради която не е извършено заличаването. Те могат да бъдат използвани също така, ако това е необходимо за отстраняване на съществуващ недостиг на доказателства.

Обосновка

Изменението изяснява правните последици, до които следва да доведе блокирането.

Изменение  53

Предложение за директива

Член 16 - параграф 4

Текст, предложен от Комисията

Изменение

4. Държавите членки предвиждат задължение за администратора да информира в писмена форма субекта на данни за всеки отказ за заличаване или маркиране на обработването, за причините за отказа и за възможностите за подаване на жалба до надзорния орган и за търсене на защита по съдебен ред.

4. Държавите членки предвиждат задължение за администратора да информира в писмена форма субекта на данни за всеки отказ за заличаване или ограничаване на обработването, за причините за отказа и за възможностите за подаване на жалба до надзорния орган и за търсене на защита по съдебен ред.

Изменение  54

Предложение за директива

Член 17 - параграф 1

Текст, предложен от Комисията

Изменение

Държавите членки могат да предвидят, че правата на информация, достъп, коригиране, заличаване и ограничаване на обработването, посочени в членове 11—16, се упражняват в съответствие с националните правила относно съдебните производства, когато личните данни се съдържат в съдебно решение или протокол, обработван в хода на наказателно разследване и наказателно производство.

Държавите членки могат да предвидят, че посочените в членове 11—16 информация, достъп, коригиране, заличаване и ограничаване на обработването се извършват в съответствие с националното процесуално право, когато личните данни се съдържат в съдебно решение или протокол, който е във връзка с издаването на съдебно решение.

Обосновка

Настоящият член следва да се отнася до всички съдилища, а не само до съдебните производства.

Изменение  55

Предложение за директива

Член 18 - параграф 3

Текст, предложен от Комисията

Изменение

3. Администраторът прилага механизми за осигуряване на проверката за ефективност на мерките, посочени в параграф 1 от настоящия член. Ако отговаря на изискването за пропорционалност, тази проверка се извършва от независими вътрешни или външни одитори.

заличава се

Обосновка

Член 18, параграф 3 се заличава, без да бъде заместен, защото в противен случай има опасност от извършване на прекомерни проверки. Наличието на длъжностно лице по защита на данните и надзорен орган следва да са достатъчни за гарантиране на защитата на данните; не са необходими допълнителни външни или вътрешни одитори, това по-скоро води до объркване.

Изменение  56

Предложение за директива

Член 21 - параграф 1

Текст, предложен от Комисията

Изменение

1. Държавите членки предвиждат, че когато операция по обработване се извършва от името на администратора, последният трябва да избере обработващ лични данни, който предоставя достатъчни гаранции, че ще приложи подходящи технически и организационни мерки и процедури, така че обработването да отговаря на изискванията на разпоредбите, приети съгласно настоящата директива, и да гарантира защитата на правата на субекта на данни.

1. Държавите членки предвиждат, че когато операция по обработване се извършва от името на администратора, последният трябва да избере обработващ лични данни, който предоставя достатъчни гаранции,

 

а) че ще приложи техническите и организационните мерки съгласно член 27, параграф 1,

 

б) че обработването също така ще отговаря на изискванията на разпоредбите, приети съгласно настоящата директива, и ще се гарантира защитата на правата на субекта на данни; както и

 

в) че ще следва указанията на администратора.

Обосновка

В основата на извършената в настоящия член преработка е Рамково решение 2008/977/ПВР, няма основания за отклоняване от него. Част от първия параграф в текста на Комисията се превръща в букви а) и б) в изменението на Парламента.

Изменение  57

Предложение за директива

Член 21 - параграф 2

Текст, предложен от Комисията

Изменение

2. Държавите членки предвиждат, че извършването на обработване от страна на обработващ лични данни трябва да е уредено с правен акт, който обвързва обработващия лични данни с администратора и предвижда по-специално, че обработващият лични данни извършва действия само въз основа на указания от администратора, по-специално когато предаването на използваните лични данни е забранено.

2. Извършването на обработване от страна на обработващ лични данни трябва да е уредено с правен акт или писмен договор, който предвижда, че обработващият лични данни извършва действия само въз основа на указания от администратора.

Обосновка

В основата на извършената в настоящия член преработка е Рамково решение 2008/977/ПВР, няма основания за отклоняване от него.

Изменение  58

Предложение за директива

Член 23 – параграф 1 и параграфи 1 а и 1 б (нови)

Текст, предложен от Комисията

Изменение

1. Държавите членки предвиждат задължение за всички администратори и обработващи лични данни да поддържат документация за всички системи и процедури за обработване, за които носят отговорност.

1. Всички компетентни органи поддържат подробна документация за всички системи и процедури за обработване, за които носят отговорност.

 

1a. Изпращането на лични данни се вписва или документира с цел проверка на законността на обработката на данните, самонаблюдение и осигуряване на подходяща цялост и сигурност на данните.

 

1б. Протоколите и документите се предоставят на надзорния орган при поискване. Надзорният орган използва тази информация единствено за целите на проверяване на законността на обработването на данните, както и за гарантиране на целостта и сигурността на данните.

Обосновка

Въз основа на член 10 от Рамково решение 2008/977/ПВР. Това изменение заличава отговорностите на национално равнище и се отнася само за трансграничното предаване, което подкопава целта на настоящата директива, отдалечава я от регламента и целия т. нар. хармонизиран пакет. Горепосоченото изменение поне осигурява някаква разпоредба на национално равнище, въпреки че би било желателно възстановяване на оригинала с цел хармонизиране с регламента.

Изменение  59

Предложение за директива

Член 27 - параграф 1

Текст, предложен от Комисията

Изменение

1. Държавите членки предвиждат задължение за администратора и обработващия лични данни да предприемат подходящи технически и организационни мерки, за да гарантират ниво на сигурност, което отговаря на свързаните с обработването рискове и естеството на подлежащите на защита данни, като вземат предвид достиженията на техническия прогрес и разходите за тяхното внедряване.

1. Държавите членки предвиждат задължение за администратора да предприема технически и организационни мерки с цел възпрепятстване на:

 

а) неумишлено или неправомерно унищожаване,

 

б) случайна загуба,

 

в) неправомерна промяна,

 

г) неправомерно предаване или неправомерен достъп – особено ако в рамките на обработването данните се предават в мрежа или се предоставят на разположение чрез пряк автоматичен достъп, както и

 

д) всяка друга форма на неправомерно обработване на лични данни.

 

Мерките трябва да гарантират равнище на сигурност, което отговаря на свързаните с обработването рискове и естеството на подлежащите на защита данни, като се вземат предвид достиженията на техническия прогрес и разходите за тяхното внедряване.

Обосновка

Промените, извършени в този член, са възприети от член 22, параграф 1 от Рамковото решение.

Изменение  60

Предложение за директива

Член 27 – параграф 2 – уводна част

Текст, предложен от Комисията

Изменение

2. По отношение на автоматизираното обработване на данни всяка държава членка предвижда задължение след извършване на оценка на рисковете администраторът да въвежда мерки, имащи за цел:

2. По отношение на автоматизираното обработване на данни всяка държава членка предприема подходящи мерки за постигане на следното:

Изменение  61

Предложение за директива

Член 27 – параграф 2 – буква й)

Текст, предложен от Комисията

Изменение

й) да се гарантира изпълнението на функциите на системата, докладването за появили се във функциите дефекти (надеждност), както и недопускане на увреждане на съхраняваните лични данни вследствие на неправилно функциониране на системата (непокътнатост).

(Не се отнася до българския текст.)

Изменение  62

Предложение за директива

Член 27 - параграф 3

Текст, предложен от Комисията

Изменение

3. При необходимост Комисията може да приема актове за изпълнение за уточняване на изискванията, установени в параграфи 1 и 2, за различни ситуации, и по-специално стандарти за криптиране. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 57, параграф 2.

3. При необходимост държавите членки може да приемат разпоредби за уточняване на изискванията, установени в параграфи 1 и 2, за различни ситуации, и по-специално стандарти за криптиране.

Изменение  63

Предложение за директива

Член 28 - параграф 1

Текст, предложен от Комисията

Изменение

1. Държавите членки предвиждат, че в случай на нарушение на сигурността на личните данни администраторът, без излишно забавяне и, когато това е осъществимо, не по-късно от 24 часа след установяването на такова нарушение, уведомява надзорния орган за нарушението на сигурността на личните данни. При поискване администраторът представя на надзорния орган мотивирана обосновка в случаите, когато уведомлението не е подадено в срок от 24 часа.

1. Държавите членки предвиждат, че в случай на нарушение на сигурността на личните данни администраторът, без излишно забавяне и след установяването на такова нарушение, уведомява надзорния орган за нарушението на сигурността на личните данни. За най-сериозните нарушения държавите членки предвиждат администраторът да уведомява за нарушението надзорния орган не по-късно от 24 часа след установяването му.

Обосновка

Изискването администраторите на лични данни да уведомяват за всички нарушения не по-късно от 24 часа след установяването им, както и искането за мотивирана обосновка, са прекалено бюрократични.

Изменение  64

Предложение за директива

Член 28 - параграф 5

Текст, предложен от Комисията

Изменение

5. На Комисията се предоставя правомощието да приема делегирани актове в съответствие с член 56 с цел допълнително уточняване на критериите и изискванията за установяване на нарушението на сигурността на данните, посочено в параграфи 1 и 2, както и на конкретните обстоятелства, при които се изисква администраторът и обработващият лични данни да уведомят за това нарушение на сигурността на личните данни.

заличава се

Обосновка

Критериите и изискванията за установяване на нарушението на сигурността на данните са определени достатъчно в параграф 1. Предложеното делегиране на законодателни правомощия във всеки случай би засегнало съществени елементи, които не могат да бъдат делегирани, и те би трябвало да бъдат посочени в основния акт. Предлага се съответно изменение и в Общия регламент за защита на данните.

Изменение  65

Предложение за директива

Член 28 а (нов)

Текст, предложен от Комисията

Изменение

 

Член 28 а

 

Предварителна консултация

 

Държавите членки гарантират, че с компетентните национални надзорни органи са проведени консултации преди обработването на лични данни, които ще съставляват част от нова система за класиране, която предстои да бъде създадена, когато:

 

а) се обработват специални категории данни, посочени в член 8; или

 

б) видът обработка, по-специално използването на нови технологии, механизъм или процедури, е свързан в противен случай със специфичен риск за основните права и свободи, и по-специално неприкосновеността на личния живот, на субекта на данните.

Обосновка

Възприема текста от член 23 от Рамково решение 2008/977/ПВР.

Изменение  66

Предложение за директива

Член 31 – параграф 2 а (нов)

Текст, предложен от Комисията

Изменение

 

2a. Длъжностното лице по защита на данните не бива да бъде ощетявано поради изпълнението на задачите си. Уволняването на длъжностното лице по защита на данните е недопустимо по време на дейността му и в годината след приключването й, освен ако са налице факти, които оправомощават администратора да го уволни на сериозно основание.

Изменение  67

Предложение за директива

Член 33 – буква а)

Текст, предложен от Комисията

Изменение

а) предаването е необходимо за предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции;

а) предаването е необходимо за предотвратяването на опасности, за разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции; както и

Изменение  68

Предложение за директива

Член 33 – буква б)

Текст, предложен от Комисията

Изменение

б) администраторът и обработващият лични данни спазват разпоредбите, установени в настоящата глава.

б) разпоредбите, установени в настоящата глава, се спазват.

Изменение  69

Предложение за директива

Член 34 – параграф 2 – уводна част

Текст, предложен от Комисията

Изменение

2. Когато няма прието решение съгласно член 41 от Регламент (ЕС) № …/2012, Комисията оценява адекватността на нивото на защита, като отчита следните елементи:

2. Когато няма прието решение съгласно член 41 от Регламент (ЕС) № …/2012, Комисията оценява адекватността на нивото на защита, като отчита всички обстоятелства, които като цяло са от значение при операции по прехвърляне на данни или поредица от такива операции и които могат да бъдат оценени без позоваване на конкретни операции по прехвърляне. Оценката се извършва преди всичко като се отчитат следните елементи:

Изменение  70

Предложение за директива

Член 34 - параграф 3

Текст, предложен от Комисията

Изменение

3. Комисията може да реши, в рамките на обхвата на настоящата директива, че дадена трета държава или територия или обработващ сектор в тази трета държава, или дадена международна организация осигурява адекватно ниво на защита по смисъла на параграф 2. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 57, параграф 2.

3. Комисията се оправомощава да приема делегирани актове в съответствие с член 56 за допълване на списъка в приложение [х] на трети страни, територии или обработващия сектор в рамките на трети държави или международни организации, които осигуряват адекватно ниво на защита по смисъла на параграф 2. При определяне на равнището на защита, Комисията трябва да прецени дали съответното законодателство, общо или секторно, в сила в третата държава или международна организация, гарантира ефективни и изпълними права, включително ефективна административна и съдебна защита за субектите на данни, по-специално за тези субекти на данни, чиито лични данни се прехвърлят.

Обосновка

Поради широкообхватния си характер определянията излизат извън това, което се изисква за еднакви условия за изпълнение, и тези несъществени елементи трябва да бъдат предмет на делегиране на законодателни правомощия в съответствие с член 290 от Договора за функционирането на ЕС. Предлага се съответно изменение и в Общия регламент за защита на данните.

Изменение  71

Предложение за директива

Член 34 - параграф 4

Текст, предложен от Комисията

Изменение

4. В акта за изпълнение се посочва неговото географско и секторно приложение и, когато е приложимо, се указва надзорният орган, упоменат в параграф 2, буква б).

4. Съгласно член 340, параграф 2 от ДФЕС и установената съдебна практика на Съда на Европейския съюз, Европейският съюз, в съответствие с основните принципи, общи за законодателствата на държавите членки, компенсира всички щети, причинени от неговите институции при изпълнение на задълженията им, включително всички вреди, възникнали поради неправомерно използване на лични данни вследствие на неправилно определяне съгласно параграфи 2 и 3.

Обосновка

Извъндоговорната отговорност на Съюза в случаите, когато са направени неправилни определяния въз основа на критериите, посочени в параграфи 2 и 3, следва да бъде изрично спомената.

Изменение  72

Предложение за директива

Член 34 - параграф 5

Текст, предложен от Комисията

Изменение

5. Комисията може да реши, в рамките на обхвата на настоящата директива, че дадена трета държава или територия или обработващ сектор в тази трета държава, или дадена международна организация не осигурява адекватно ниво на защита по смисъла на параграф 2, по-специално в случаи, в които съответното законодателство, както общото, така и секторното, което е в сила в третата държава или международната организация, не гарантира действащи и противопоставими права, включително право на ефективна административна и съдебна защита за субектите на данни, по-специално за онези субекти на данни, чиито лични данни се предават. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 57, параграф 2, или, в особено спешни за физическите лица случаи във връзка с правото им на защита на личните данни ― в съответствие с процедурата, посочена в член 57, параграф 3.

заличава се

Изменение  73

Предложение за директива

Член 34 - параграф 6

Текст, предложен от Комисията

Изменение

6. Държавите членки вземат мерки, за да гарантират, че когато Комисията вземе решение съгласно параграф 5 за забрана на всякакво предаване на лични данни на третата държава или територия, или обработващ сектор в тази трета държава, или на въпросната международна организация, това решение не възпрепятства предаването на данни съгласно член 35, параграф 1 или съгласно член 36. В подходящия момент Комисията започва консултации с третата държава или международна организация с цел да коригира ситуацията, произтичаща от решението, взето по силата на параграф 5 от настоящия член.

заличава се

Изменение  74

Предложение за директива

Член 34 - параграф 8

Текст, предложен от Комисията

Изменение

8. Комисията наблюдава прилагането на актовете за изпълнение, посочени в параграфи 3 и 5.

заличава се

Изменение  75

Предложение за директива

Член 35

Текст, предложен от Комисията

Изменение

Член 35

заличава се

Предаване на данни с подходящи гаранции

 

1. Когато Комисията не е взела решение по силата на член 34 държавите членки предвиждат, че може да се извърши предаване на лични данни на получател в трета държава или на международна организация когато:

 

а) в правно обвързващ инструмент са предвидени подходящи гаранции във връзка със защитата на личните данни; или

 

б) администраторът или обработващият лични данни е извършил оценка на всички обстоятелства около прехвърлянето на лични данни и е стигнал до заключението, че по отношение на защитата на личните данни съществуват подходящи гаранции.

 

2. Решението за прехвърляния по парагра