Показалец 
 Назад 
 Напред 
 Пълен текст 
Процедура : 2012/0010(COD)
Етапи на разглеждане в заседание
Етапи на разглеждане на документа : A7-0403/2013

Внесени текстове :

A7-0403/2013

Разисквания :

PV 11/03/2014 - 13
CRE 11/03/2014 - 13

Гласувания :

PV 12/03/2014 - 8.12
Обяснение на вота

Приети текстове :

P7_TA(2014)0219

Приети текстове
PDF 789kWORD 459k
Сряда, 12 март 2014 г. - Страсбург
Обработване на лични данни за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления ***I
P7_TA(2014)0219A7-0403/2013
Резолюция
 Консолидиран текст

Законодателна резолюция на Европейския парламент от 12 март 2014 г. относно предложението за директива на Европейския парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции и относно свободното движение на такива данни (COM(2012)0010 – C7‑0024/2012 – 2012/0010(COD))

(Обикновена законодателна процедура: първо четене)

Европейският парламент,

—  като взе предвид предложението на Комисията до Парламента и до Съвета (COM(2012)0010),

—  като взе предвид член 294, параграф 2 и член 16, параграф 2 от Договора за функционирането на Европейския съюз, съгласно които Комисията е внесла в Парламента предложението (C7-0024/2012),

—  като взе предвид член 294, параграф 3 от Договора за функционирането на ЕС,

—  като взе предвид мотивираните становища, внесени в рамките на Протокол № 2 относно прилагането на принципите на субсидиарност и пропорционалност от Бундесрата на Федерална република Германия и Риксдага на Кралство Швеция, в които се посочва, че проектът на законодателен акт не съответства на принципа на субсидиарност,

—  като взе предвид становището на Европейския надзорен орган по защита на данните от 7 март 2012 г.(1),

—  като взе предвид становището на Агенцията на Европейския съюз за основните права от 1 октомври 2012 г.,

—  като взе предвид член 55 от своя правилник,

—  като взе предвид доклада на комисията по граждански свободи, правосъдие и вътрешни работи и становището на комисията по външни работи (A7-0403/2013),

1.  Приема изложената по-долу позиция на първо четене;

2.  Изисква Комисията да се отнесе до него отново, в случай че възнамерява да внесе съществени промени в своето предложение или да го замени с друг текст;

3.  Възлага на своя председател да предаде позицията на Парламента съответно на Съвета и на Комисията, както и на националните парламенти.

(1) ОВ C 192, 30.6.2012 г., стр. 7.


Позиция на Европейския парламент, приета на първо четене на 12 март 2014 г. с оглед приемането на Директива 2014/.../ЕС на Европейския парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции и относно свободното движение на такива данни
P7_TC1-COD(2012)0010

ЕВРОПЕЙСКИЯТ ПАРЛАМЕНТ И СЪВЕТЪТ НА ЕВРОПЕЙСКИЯ СЪЮЗ,

като взеха предвид Договора за функционирането на Европейския съюз, и по-специално член 16, параграф 2 от него,

като взеха предвид предложението на Европейската комисия,

след предаване на проекта на законодателния акт на националните парламенти,

като взеха предвид становището на Еврпейския надзорен орган за защита на данните(1),

в съответствие с обикновената законодателна процедура(2),

като имат предвид, че:

(1)  Защитата на физическите лица във връзка с обработването на лични данни е основно право. Член 8, параграф 1 от Хартата на основните права на Европейския съюз („Хартата“) и член 16, параграф 1 от Договора за функционирането на Европейския съюз предвиждат, че всеки има право на защита на личните му данни. Член 8, параграф 2 от Хартата предвижда, че такива данни трябва да бъдат обработвани добросъвестно, за точно определени цели и въз основа на съгласието на заинтересованото лице или по силата на друго предвидено от закона легитимно основание. [Изм. 1]

(2)  Обработването на личните данни е предназначено да служи на хората; принципите и правилата относно защитата на физическите лица във връзка с обработването на личните им данни следва, независимо от гражданството или местопребиваването на физическите лица, да съблюдават техните основни права и свободи и по-конкретно правото на защита на личните им данни. То следва да допринася за изграждането на пространство на свобода, сигурност и правосъдие.

(3)  Бързото технологично развитие и глобализацията изправиха защитата на личните данни пред нови предизвикателства. Забележително се увеличи мащабът на събирането и споделянето на данни. Технологиите позволяват на компетентните органи да използват личните данни в безпрецедентен мащаб, за да извършват своите дейности.

(4)  Това изисква улесняване на свободното движение на данни, когато това е необходимо и пропорционално, между компетентните органи в Съюза и предаването им на трети държави и международни организации, като същевременно се гарантира високо ниво на защита на личните данни. Тези развития изискват изграждане на стабилна и по-съгласувана рамка за защита на данните в Съюза, подкрепена от силно правоприлагане. [Изм. 2]

(5)  Директива 95/46/ЕО на Европейския парламент и на Съвета(3) се прилага за всички дейности по обработване на лични данни в държавите членки както в публичния, така и в частния сектор. Въпреки това тя не се прилага за обработването на лични данни „при извършване на дейности извън приложното поле на правото на Общността“, като например дейности в областите на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество.

(6)  Рамково решение 2008/977/ПВР на Съвета(4) се прилага в областите на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество. Приложното поле на това рамково решение е ограничено до обработването на лични данни, които се предават или предоставят между държавите членки.

(7)  Осигуряването на хомогенно и високо ниво на защита на личните данни на физическите лица и улесняването на обмена на лични данни между компетентните органи на държавите членки са от решаващо значение за осигуряването на ефективно съдебно сътрудничество по наказателноправни въпроси и полицейско сътрудничество. За тази цел, нивото на защита на правата и свободите на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции трябва да бъде еднакво във всички държави членки. В целия Съюз следва да се гарантира съгласувано и еднакво прилагане на правилата за защита на основните права и свободи на физическите лица във връзка с обработването на лични данни. Ефективната защита на личните данни навсякъде в Съюза изисква укрепване на правата на субектите на данни и на задълженията на онези, които обработват личните данни, но също и еквивалентни правомощия за наблюдение и гарантиране на спазването на правилата за защита на личните данни в държавите членки. [Изм. 3]

(8)  В член 16, параграф 2 от Договора за функционирането на Европейския съюз се предвижда, че Европейският парламент и Съветът следва да определят правилата относно защитата на физическите лица по отношение на обработването на личните данни, както и правилата относно свободното движение на такива техните лични данни. [Изм. 4]

(9)  Въз основа на това в Регламент (ЕС) № .../2014 на Европейския парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни (общ регламент относно защитата на данните) се определят общи правила за защита на физическите лица във връзка с обработването на лични данни и за гарантиране на свободното движение на такива данни в Съюза.

(10)  В Декларация 21 относно защитата на личните данни в областите на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество, приложена към заключителния акт на Междуправителствената конференция, която прие Договора от Лисабон, Конференцията признава, че може да са необходими специални правила относно защитата на личните данни и свободното движение на такива данни в областите на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество въз основа на член 16 от Договора за функционирането на Европейския съюз поради специфичното естество на тези области.

(11)  Ето защо специфичното естество на тези области следва да се вземе под внимание в отделна специална директива, която да установи правила за защита на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции. [Изм. 5]

(12)  С цел да се гарантира еднакво ниво на защита на физическите лица чрез гарантирани от закона права навсякъде в Съюза и да се предотвратят различия, възпрепятстващи обмена на лични данни между компетентните органи, с настоящата директиваследва да се предвидят хармонизирани правила за защитата и свободното движение на лични данни в областите на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество.

(13)  Настоящата директива дава възможност при прилагане на нейните разпоредби да се взема предвид принципът за публичен достъп до официални документи.

(14)  Защитата, предоставяна от настоящата директива, следва да се отнася за физическите лица, независимо от тяхното гражданство или местопребиваване, във връзка с обработването на лични данни.

(15)  Защитата на физическите лица следва да бъде неутрална от технологична гледна точка и да не зависи от използваната техника; в противен случай това би създало сериозен риск от заобикаляне на закона. Защитата на физическите лица следва да се прилага за обработването на лични данни с автоматични средства, както и за ръчното им обработване, ако данните се съхраняват или са предназначени да се съхраняват в регистър на лични данни. Досиетата или групите от досиета, както и заглавните им страници, които не са структурирани съгласно специфични критерии, не следва да попадат в приложното поле на настоящата директива. Настоящата директива не следва да се прилага спрямо обработването на лични данни в хода на дейност, която е извън приложното поле на правото на Съюза, по-специално дейност, която се отнася до националната сигурност, или спрямо данни, обработвани от институциите, органите, службите и агенциите на Съюза, като Европол и Евроюст. Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета(5) и специалните правни инструменти, приложими към агенциите, органите или службите на Съюза, следва да бъдат приведени в съответствие с настоящата директива и следва да се прилагат в съответствие с настоящата директива. [Изм. 6]

(16)  Принципите за защита следва да се прилагат по отношение на всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано. За да се определи дали дадено физическо лице може да бъде идентифицирано, следва да се вземат предвид всички средства, които вероятно логично биха били използвани от администратора или от което и да е друго лице за идентифициране или разграничаването на посоченото лице. Принципите за защита на данните не следва да се прилагат по отношение на данни, които са приведени в анонимна форма по такъв начин, че субектът на данните вече не може да бъде идентифициран. Настоящата директива не следва да се прилага по отношение на анонимни данни, тоест всички данни, които не могат да бъдат отнесени към физическо лице пряко или косвено, самостоятелно или в комбинация със свързаните с тях данни. Предвид значимостта на извършващото се понастоящем в рамките на информационното общество развитие на техниките, използвани за улавяне, предаване, манипулиране, записване, съхраняване или предаване на данни за местонахождението на физически лица, които могат да се използват за различни цели, включително за наблюдение или създаване на профили, настоящата директива следва да се прилага за обработване, включващо такива лични данни. [Изм. 7]

(16a)  Всяко обработване на лични данни трябва да бъде законосъобразно, добросъвестно и прозрачно по отношение на засегнатите физически лица. По-специално, конкретните цели, за които се обработват данните, следва да бъдат ясно формулирани, законни и определени към момента на събирането на личните данни. Личните данни следва да бъдат подходящи, съответстващи и ограничени до необходимия минимум за целите, за които се обработват. По-специално, това налага ограничаване на събраните данни и на срока, за който се съхраняват, до строг минимум. Личните данни следва да се обработват единствено ако целта на обработването не може да бъде постигната чрез други средства. Следва да се предприемат всички разумни мерки, за да се гарантира коригиране или заличаване на лични данни, които са неточни. С цел да се гарантира, че данните не се съхраняват по-дълго от необходимото, администраторът следва да установи срокове за тяхното заличаване или периодичен преглед. [Изм. 8]

(17)  Личните данни, отнасящи се до здравето, следва да обхващат по-специално всички данни, свързани със здравословното състояние на субекта на данните, информацията относно регистрацията на физическото лице за целите на предоставянето на здравно обслужване, информация за плащанията или за правото на ползване на здравно обслужване от лицето, номер, символ или характеристика, присвоени на дадено физическо лице с цел уникалното му идентифициране за здравни цели; всякаква информация за лицето, събрана в хода на предоставянето на здравно обслужване на това лице; информация, получена в резултат от изследването или прегледа на част от тялото или на телесно вещество, включително биологични проби; идентифициране на дадено лице като доставчик на здравно обслужване на физическото лице; или всякаква информация отнасяща се например за: заболяване, увреждане, риск от заболяване, медицинска история, клинично лечение или текущото физиологично или биомедицинско състояние на субекта на данните, независимо от източника на информация, напр. лекар или друг медицински специалист, болница, медицинско изделие или ин витро диагностично изследване.

(18)  Всяко обработване на лични данни трябва да бъде добросъвестно и законосъобразно по отношение на засегнатите физически лица. По-специално, конкретните цели, за които се обработват данните следва да бъдат ясно формулирани. [Изм. 9]

(19)  За целите на предотвратяването, разследването и наказателното преследване на престъпленията компетентните органи имат нужда да запазват и обработват лични данни, събрани в контекста на предотвратяването, разследването, разкриването или наказателното преследване на конкретни престъпления, извън този контекст, за да достигнат до разбиране на престъпните феномени и тенденции, да съберат информация относно организираните престъпни мрежи и да установят връзки между различни разкрити престъпления. [Изм. 10]

(20)  Лични данни не следва да се обработват за цели, които са несъвместими с целта, за която данните са били събрани. Личните данни следва да са подходящи, релевантни и да не надвишават необходимото за целите, за които данните се обработват. Следва да се предприемат всички разумни мерки, за да се гарантира коригиране или заличаване на лични данни, които са неточни. [Изм. 11]

(20a)  Самият факт, че две цели се отнасят до предотвратяването, разкриването, разследването и наказателното преследване на престъпления или изпълнението на наказателни санкции, не означава непременно, че те са съвместими. Въпреки това има случаи, в които следва да бъде възможна допълнителна обработка за несъвместими цели, с цел съобразяване с правно задължение, чийто субект е администраторът, за да се защитят жизненоважните интереси на субекта на данните или за предотвратяване на непосредствена и сериозна заплаха за обществената сигурност. Държавите членки следва да бъдат в състояние да приемат националното законодателство, предвидено за такива дерогации, доколкото то е строго необходимо. Такова национално законодателство трябва да съдържа подходящи гаранции. [Изм. 12]

(21)  Принципът за точност на данните следва да се прилага като се вземат предвид естеството и целта на съответното обработване. Особено в съдебни производства изявления, съдържащи лични данни, се основават на субективното възприемане от физически лица и в някои случаи не могат винаги да бъдат проверени. По тази причина изискването за точност не следва да се отнася за точността на изявлението, а само за факта, че е направено конкретно изявление.

(22)  При тълкуването и прилагането на общите принципи, свързани с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции, следва да се вземат предвид особеностите на съответния сектор, включително конкретните цели, които се преследват. [Изм. 13]

(23)  При обработването на лични данни в областите на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество е нормално да се обработват лични данни, които се отнасят за различни категории субекти на данни. Ето защо трябва да се прави ясно разграничение, доколкото това е възможно, между личните данни на различните категории субекти на данни, например заподозрени, лица, осъдени за престъпление, жертви и трети страни, като свидетели, лица, притежаващи полезна информация или данни за контакт и съучастници на заподозрени и осъдени престъпници. Държавите членки следва да предоставят конкретни правила относно последиците от тази категоризация, като вземат предвид различните цели, за които са събират данните, и като предоставят конкретни гаранции за лица, които не са заподозрени в извършване на престъпление или не са осъждани за престъпление. [Изм. 14]

(24)  Личните данни следва да се разграничават въз основа на степента на тяхната точност и надеждност, доколкото това е възможно. Фактите следва да се разграничават от личните оценки, за да се гарантират както защитата на физическите лица, така и качеството и надеждността на информацията, обработвана от компетентните органи.

(25)  За да бъде законосъобразно, обработването на лични данни следва да бъде разрешено единствено когато е необходимо за спазването на законово задължение, на което администраторът е обект, за изпълнението от компетентен орган на задача от обществен интерес, предвидена от закона, или за да бъдат защитени жизненоважните интереси на субекта на данните или на друго лице, или за предотвратяване на непосредствена и сериозна заплаха за обществената сигурност правото на Съюза или правото на държава членка, което следва да съдържа ясно формулирани и подробни разпоредби най-малко по отношение на целите, личните данни, конкретните цели и средства, да определя администратора или да позволява да се определи администраторът, процедурите, които да бъдат прилагани, използването и ограниченията на обхвата на всякаква свобода на действие, предоставена на компетентните органи във връзка с дейностите по обработване. [Изм. 15]

(25a)  Лични данни не следва да се обработват за цели, несъвместими с целта, за която данните са били събрани. По-нататъшно обработване от компетентните органи за цел, попадаща в приложното поле на настоящата директива, която не е съвместима с първоначалната цел, следва да бъде разрешено единствено в специални случаи, в които такова обработване е необходимо за спазването на законово задължение, основаващо се на правото на Съюза или на държава членка, на което се подчинява администраторът, или за да бъдат защитени жизненоважните интереси на субекта на данните или на друго лице, или за предотвратяване на непосредствена и сериозна заплаха за обществената сигурност. Фактът, че данните се обработват за целите на правоприлагането, не означава непременно, че тези цели са съвместими с първоначалната. Понятието за съгласувано използване трябва да се тълкува стеснително. [Изм. 16]

(25б)  Обработването на лични данни в нарушение на националните разпоредби, приети в съответствие с настоящата директива, следва да бъде прекратено. [Изм. 17]

(26)  На личните данни, които по своето естество са особено чувствителни що се отнася до и уязвими по отношение на основните права или правото на неприкосновеност на личния живот, включително генетични данни, се полага специална защита. Такива данни не следва да се обработват, освен ако обработването е изрично разрешено със закон, който необходимо за изпълнението на задача, която се осъществява в обществен интерес, на основание на правото на Съюза или на държава членка, което предвижда подходящи мерки за защита на основните права и законните интереси на субекта на данните,; или ако обработването е необходимо, за да бъдат защитени жизненоважни интереси на субекта на данните или на друго лице, или ако обработването касае данни, които явно са направени обществено достояние от субекта на данните. Чувствителни лични данни следва да се обработват само ако те допълват други лични данни, които вече се обработват за целите на правоприлагането. Всяка дерогация на забраната за обработване на чувствителни данни следва да се тълкува стеснително и да не води до често, масово или структурно обработване на чувствителни лични данни. [Изм. 18]

(26a)  Обработването на генетични данни следва да бъде позволено единствено ако съществува генетична връзка, която се установява в хода на наказателно разследване или съдебна процедура. Генетичните данни следва да се съхраняват единствено доколкото е строго необходимо за целите на подобни разследвания или процедури, като същевременно държавите членки могат да предвидят по-дълго съхраняване съгласно условията, посочени в настоящата директива. [Изм. 19]

(27)  Всяко физическо лице следва да има право да не бъде обект на налагане на мярка, която се основава единствено на частично или пълно профилиране чрез автоматизирано обработване, ако тя. Подобно обработване, което води до неблагоприятни правни последици за лицето или оказва значително въздействие върху него, следва да бъде забранено, освен ако това е разрешено от закона и при условие, че са предвидени подходящи мерки за защита на основните права и на законните интереси на субекта на данните, включително правото да му бъде предоставена съдържателна информация относно логиката, използвана при създаването на профила. При никакви обстоятелства такова обработване не трябва да съдържа или да генерира специални категории данни или да дискриминира въз основа на тях. [Изм. 20]

(28)  За да се даде възможност на засегнатите лица да упражняват правата си, всяка информация, предназначена за тях, следва да бъде лесно достъпна и разбираема, като се използват ясни и недвусмислени формулировки. Тази информация следва да бъде адаптирана към потребностите на субекта на данните, по-специално когато информацията е конкретно насочена към дете. [Изм. 21]

(29)  Следва да се предвидят условия за улесняване на субектите на данни при упражняването на правата им по настоящата директива, включително механизми за безплатно искане на достъп до данни, коригиране и заличаване. Администраторът следва да бъде задължен да отговаря на исканията на субекта на данни без излишно забавяне и в срок от един месец от получаването на искането. Когато личните данни се обработват с автоматични средства, администраторът следва да осигури средства за подаване на искания по електронен път. [Изм. 22]

(30)  Принципът на добросъвестно и прозрачно обработване изисква субектите на данни да бъдат информирани по-специално за наличието на дейност по обработване и за нейните цели, за правното й основание, за продължителността на съхранение на данните, за съществуването на право на достъп, коригиране или заличаване и за правото да се подават жалби. Освен това субектът на данните следва да бъде информиран, ако се създава профил, както и за последиците от това. Когато данните се събират от субекта на данни, същият следва да бъде информиран и относно това дали е задължен да предостави данните и относно последствията, ако не предостави тези данни. [Изм. 23]

(31)  Информацията относно обработването на лични данни, свързани със субекта на данните, следва да се предоставя на субектите в момента на събирането или, ако данните не са получени от субекта на данни, в момента на записване или в рамките на разумен срок след събирането на данните, като се вземат предвид конкретните обстоятелства, при които данните се обработват.

(32)  Всяко лице следва да има право на достъп до събраните данни, които го засягат, и да упражнява това право лесно, за да бъде информирано и да проверява законосъобразността на обработването. Поради това всеки субект на данни следва да има правото да е наясно и да получава информация, по-специално относно целите, за които се обработват данните, за правното основание, за какъв срок, кои са получателите на данните, включително в трети държави, разбираема информация за логиката, включена във всяко автоматизирано обработване, и неговите важни и предвидени последствия, ако това е приложимо, както и правото да се внесе жалба до надзорния орган и неговите данните за връзка. Субектите на данните следва да могат да получават копие от личните им данни, които се обработват. [Изм. 24]

(33)  На държавите членки следва да се разреши да приемат законодателни мерки, които забавят, или ограничават или водят до пропускане на информирането на субектите на данни или достъпа до техните лични данни до такава степен и за толкова време, за колкото такова частично или пълно ограничаване представлява необходима и пропорционална мярка в едно демократично общество, като надлежно се вземат под внимание основните права и законните интереси на засегнатото лице, за да се избегне възпрепятстване на официални или съдебни проучвания, разследвания или процедури, да се избегне засягане на предотвратяването, разкриването, разследването и наказателното преследване на престъпления или изпълнението на наказателни санкции, за да се защити обществената или националната сигурност или за да се защитят субектът на данните или правата и свободите на други лица. Администраторът следва да направи оценка, чрез конкретно и индивидуално проучване, на всеки един случай по отношение на това дали следва да се приложи частично или пълно ограничаване на правото на достъп. [Изм. 25]

(34)  Всеки отказ или ограничаване на достъпа следва да бъдат представени в писмен вид на субекта на данните, включително фактическите или правните основания, на които се основава решението.

(34a)  Всяко ограничение на правата на субекта на данни трябва да бъде в съответствие с Хартата и с Европейската конвенция за защита на правата на човека и основните свободи, както става ясно от съдебната практика на Съда на Европейския съюз и Европейския съд по правата на човека, и по-специално като се зачита същността на правата и свободите. [Изм. 26]

(35)  Когато държавите членки са приели законодателни мерки, които ограничават изцяло или частично правото на достъп, субектът на данни следва да има правото да поиска от компетентния национален надзорен орган да провери законосъобразността на обработването. Субектът на данни следва да бъде информиран за това право. Когато правото на достъп се упражнява от надзорния орган от името на субекта на данните, последният следва да бъде информиран от надзорния орган най-малко за това, че посоченият орган е извършил всички необходими проверки, както и за резултатите относно законосъобразността на въпросното обработване. Надзорният орган също така следва да информира субекта на данните за неговото право да потърси правна защита. [Изм. 27]

(36)  Всяко лице следва да има право да поиска коригиране на неточни или незаконно обработени лични данни, отнасящи се за него, както и право на заличаване на данните, когато обработването им не е в съответствие с основните принципи, установени с разпоредбите, предвидени в настоящата директива. Такова коригиране, допълване или заличаване следва да се съобщава на получателите, на които са били разкрити данните, както и на трети страни, от които произхождат неточните данни. Администраторите следва също така се въздържат от по-нататъшно разпространение на такива данни. Когато личните данни се обработват в хода на наказателно разследване и наказателно производство, правото на получаване на информация, правото на достъп, коригиране, заличаване и ограничаване на обработването могат да се упражняват в съответствие с националните разпоредби относно съдебните производства. [Изм. 36]

(37)  Следва да се въведе цялостна отговорност на администратора за всяко обработване на лични данни, извършено от него самия или от негово име. По-специално администраторът следва да гарантира и да бъде задължен да доказва съответствието на операциите всяка операция по обработване с разпоредбите, приети съгласно настоящата директива. [Изм. 29]

(38)  Защитата на правата и свободите на субектите на данни с оглед на обработването на лични данни изисква приемане на подходящи технически и организационни мерки, за да се гарантира, че са изпълнени изискванията на настоящата директива. За да се гарантира съответствие с разпоредбите, приети съгласно настоящата директива, администраторът следва да одобри стратегии и да въведе подходящи мерки, които отговарят по-специално на принципите за защита на данните още при проектирането и за защита на данните по подразбиране.

(39)  Защитата на правата и свободите на субектите на данни, както и отговорността, която носят администраторите и обработващите лични данни, налагат ясно определяне на отговорностите съгласно настоящата директива, включително в случаите когато администраторът определя целите, условията и средствата на обработването съвместно с други администратори или когато действие по обработване се извършва от името на администратор. Субектът на данни следва да има правото да упражнява своите права съгласно настоящата директива по отношение на и срещу всеки двама или повече съвместни администратори. [Изм. 30]

(40)  Администраторът или обработващият лични данни следва да водят документация за дейностите по обработване, за да се даде възможност за упражняване на контрол за съответствие с настоящата директива. Всеки администратор и обработващ лични данни следва да бъде задължен да оказва съдействие на надзорния орган и да предоставя тази документация при поискване, за да може тя да бъде използвана при упражняване на контрол върху дейностите по обработване.

(40a)  Всяка операция по обработване на лични данни се вписва с цел проверка на законосъобразността на обработването на данните, самонаблюдение и осигуряване на подходяща цялост и сигурност на данните. Това вписване следва да бъде предоставено при поискване на надзорния орган, с цел да се наблюдава спазването на разпоредбите, предвидени в настоящата директива. [Изм. 31]

(40б)  Администраторът или обработващите лични данни следва да извършат оценка на въздействието, когато операциите по обработването могат да породят конкретен риск за правата и свободите на субектите на данни поради тяхното естество, обхвата или целите им, като тази оценка следва да включва по-специално предвижданите мерки, гаранции и механизми за осигуряване на защитата на личните данни и за доказване на съответствие с разпоредбите на настоящата директива. Оценките на въздействието следва да се отнасят до съответните системи и процеси на операциите по обработване на лични данни, а не до отделни случаи. [Изм. 32]

(41)  За да се гарантира ефективна защита на правата и свободите на субектите на данни посредством превантивни действия, в определени случаи администраторът или обработващият данни следва да се консултират с надзорния орган преди обработването да започне. Освен това, когато оценката на въздействието на защитата на данните показва, че има вероятност операциите по обработване да представляват висока степен на конкретни рискове за правата и свободите на субектите на данни, надзорният орган следва да бъде в състояние да предотврати, преди започването на операциите, рисковото обработване, което не е в съответствие с настоящата директива, и да направи предложения за коригиране на такава ситуация. Такива консултации могат да се извършват също и в хода на изготвянето на мярка на националния парламент или на мярка, основаваща се на такава законодателна мярка, която определя характера на обработването и създава подходящи гаранции. [Изм. 33]

(41a)  С цел да се поддържа сигурността и да се предотврати обработване, което е в нарушение на настоящата директива, администраторът или обработващият лични данни следва да извърши оценка на рисковете, свързани с обработването, и да предприеме мерки за намаляване на тези рискове. Тези мерки следва да гарантират подходящо ниво на сигурност, като се вземат предвид достиженията на техническия прогрес и разходите за тяхното прилагане по отношение на рисковете и естеството на личните данни, които следва да бъдат защитени. При установяването на технически стандарти и организационни мерки с оглед на гарантиране на сигурността на обработването следва да бъде насърчавана технологичната неутралност. [Изм. 34]

(42)  Нарушаването на сигурността на личните данни може, ако не бъде овладяно по подходящ и навременен начин и навреме, да причини на засегнатото физическо лице значителни икономически загуби и социални вреди, включително увреждане на репутацията на засегнатото лице измами с фалшива самоличност. Поради това, веднага щом установи такова нарушение администраторът следва да уведоми за него компетентния национален орган. Физическите лица, за чиито лични данни и неприкосновеност на личния живот подобни нарушения на сигурността могат да имат неблагоприятни последици, следва да бъдат уведомени незабавно, за да им се даде възможност да предприемат необходимите предпазни мерки. Следва да се счита, че дадено нарушение на сигурността има неблагоприятни последици върху личните данни или неприкосновеността на личния живот на дадено физическо лице, ако то може да доведе например до кражба на самоличност или измама с фалшива самоличност, телесна повреда, значително накърняване на достойнството или на репутацията във връзка с обработването на лични данни. Уведомяването следва да включва информация за мерките, предприети от доставчика, за овладяване на нарушаването, както и препоръки към засегнатия абонат или засегнатото лице. Субектите на данни следва да бъдат уведомявани веднага щом това е разумно осъществимо и в тясно сътрудничество с надзорния орган, като се спазват насоките, предоставени от него. [Изм. 35]

(43)  При установяване на подробни правила за формàта и процедурите, приложими за уведомяването за нарушения на сигурността на личните данни, следва да се отдаде необходимото внимание на обстоятелствата, свързани с нарушението, включително дали личните данни са били защитени чрез подходящи технически мерки за защита, ефективно ограничаващи вероятността за извършване на злоупотреба. Освен това при такива правила и процедури следва да се отчитат законните интереси на компетентните органи в случаи, когато ранното разкриване може ненужно да попречи на разследването на обстоятелствата, свързани с нарушението на сигурността.

(44)  Администраторът или обработващият лични данни следва да определи лице, което да го подпомага при осъществяването на контрол за и доказване на съответствие с разпоредбите, приети съгласно настоящата директива. Едно Когато няколко компетентни органа действат под надзора на централен орган, поне този централен орган следва да назначи такова длъжностно лице по защита на данните може да бъде назначено съвместно от няколко организационни единици на компетентния орган. Длъжностните лица по защита на данните трябва да бъдат в състояние да изпълняват своите задължения и задачи независимо и ефективно, по-специално като определят правила за избягване на конфликти на интереси с други задачи, изпълнявани от длъжностното лице по защита на данните. [Изм. 36]

(45)  Държавите членки следва да гарантират, че данни се предават на трета държава единствено, ако това конкретното предаване е необходимо за предотвратяването, разследването, разкриването или наказателното преследване на престъпления или за изпълнението на наказателни санкции и администраторът в третата държава или международната организация представлява компетентен публичен орган по смисъла на настоящата директива. Предаване може да се извърши, ако Комисията е решила, че въпросната трета държава или международна организация гарантира адекватно ниво на защита или когато са представени подходящи гаранции или когато подходящите гаранции са представени посредством правно обвързващ инструмент. Данни, предадени на компетентни публични органи в трети държави, не следва да бъдат допълнително обработвани за цели, различни от тази, за която са предадени. [Изм. 37]

(45a)  Допълнителни последващи предавания от страна на компетентните органи в трети държави или международни организации, на които са предадени лични данни, следва да бъдат разрешени само ако последващото предаване е необходимо за същата конкретна цел като първоначалното предаване и вторият получател също е компетентен обществен орган. Допълнителни последващи предавания не следва да се разрешават за общи цели, свързани с правоприлагането. Компетентният орган, извършил първоначалното предаване, следва да е изразил съгласие с последващото предаване. [Изм. 38]

(46)  Комисията може да реши, с действие по отношение на целия Съюз, че определени трети държави или територия или обработващ данни сектор в трета държава, или международна организация предоставят адекватно ниво на защита на данните, с което се осигуряват правна сигурност и еднообразие навсякъде в Съюза по отношение на третите държави или международни организации, за които се смята, че предоставят такова ниво на защита. В тези случаи предаването на лични данни на тези държави може да се извършва, без да е необходимо допълнително разрешение.

(47)  В съответствие с основните ценности, въз основа на които е създаден Съюзът, по-специално защитата на правата на човека, Комисията следва да вземе предвид как се зачитат в дадената трета държава принципите на правовата държава, достъпът до правосъдие, както и международните норми и стандарти за правата на човека.

(48)  Комисията следва да може по същия начин да приеме, че дадена трета държава, или територия или обработващ данни сектор в трета държава, или дадена международна организация не предоставя адекватно ниво на защита на данните. В резултат на това предаването на лични данни на тази трета държава следва да бъде забранено, освен когато то се извършва въз основа на международно споразумение, подходящи гаранции или дерогация. Следва да се предвидят процедури за провеждането на консултации между Комисията и такива трети държави или международни организации. Подобно решение на Комисията не премахва обаче възможността за извършване на прехвърляния на данни въз основа на подходящи гаранции посредством правно обвързващи инструменти или на дерогация, предвидена в настоящата директива. [Изм. 39]

(49)  Прехвърляния, които не се основават на такова решение относно адекватността, следва да бъдат позволени единствено когато в правно обвързващ инструмент са предоставени подходящи гаранции, които осигуряват защитата на личните данни, или когато администраторът или обработващият лични данни е извършил оценка на всички обстоятелства около операцията по прехвърляне на данни или поредицата от такива операции и въз основа на тази оценка счита, че по отношение на защитата на личните данни съществуват подходящи гаранции. В случаите, при които липсват основания за разрешаване на прехвърляне следва да се позволи прилагането на дерогации, ако това е необходимо за защитата на жизненоважни интереси на субекта на данните или на друго лице или за гарантиране на законни интереси на субекта на данните, когато това е предвидено от правото на държавата членка, прехвърляща личните данни, или когато то е от особено значение за предотвратяването на непосредствена и сериозна заплаха за обществената сигурност на държава членка или на трета държава, или в отделни случаи – за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции, или в отделни случаи — за установяването, упражняването или защитата на правни претенции. [Изм. 40]

(49a)  В случаите, при които липсват основания за разрешаване на прехвърляне, следва да се позволи прилагането на дерогации, ако това е необходимо за защитата на жизненоважни интереси на субекта на данните или на друго лице или за гарантиране на законни интереси на субекта на данните, когато това е предвидено от правото на държавата членка, прехвърляща личните данни, или когато то е от особено значение за предотвратяването на непосредствена и сериозна заплаха за обществената сигурност на държава членка или на трета държава или в отделни случаи – за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции, или в отделни случаи – за установяването, упражняването или защитата на правни претенции. Тези дерогации следва да се тълкуват стеснително и да не се позволява нито често, масово и структурно предаване на лични данни, нито мащабно предаване на данни, а то следва да бъде ограничено до строго необходимото. Освен това решението за предаване на данни следва да бъде взето от надлежно оправомощено лице, като това предаване трябва да бъде документирано и следва да се предостави на надзорния орган при поискване с цел наблюдение на законосъобразността на предаването. [Изм. 41]

(50)  Трансграничното движение на лични данни може да увеличи риска физическите лица да не могат да упражнят правата на защита на данните, за да се защитят срещу неправомерна употреба или разкриване на тези данни. В същото време надзорните органи могат да бъдат изправени пред невъзможността да разглеждат жалби или да провеждат разследвания, свързани с дейности, извършвани извън техните граници. Техните усилия за сътрудничество в трансграничния контекст могат да бъдат възпрепятствани също от недостатъчни правомощия за предотвратяване или защита, от различаващи се правни режими. Ето защо е необходимо да се насърчава по-тясното сътрудничество между надзорните органи по защита на данните, за им се помогне да обменят информация със своите международни партньори.

(51)  Създаването в държавите членки на надзорни органи, които изпълняват функциите си при пълна независимост, е съществен елемент от защитата на физическите лица по отношение на обработването на личните им данни. Надзорните органи следва да наблюдават прилагането на разпоредбите съгласно настоящата директива и да допринасят за нейното съгласувано прилагане навсякъде в Съюза с цел защита на физическите лица по отношение на обработването на личните им данни. За тази цел надзорните органи следва да си сътрудничат помежду си и с Комисията. [Изм. 42]

(52)  Държавите членки могат да възложат на надзорен орган, който вече е създаден в съответната държава членка съгласно Регламент № (ЕС) .../2014, отговорността за изпълнението на задачите, които трябва да бъдат осъществявани от националните надзорни органи, които ще бъдат създадени съгласно настоящата директива.

(53)  На държавите членки следва да бъде разрешено да създават повече от един надзорен орган, за да бъде отразена тяхната конституционна, организационна и административна структура. На всеки надзорен орган следва да бъдат предоставени адекватни финансови и човешки ресурси, служебни помещения и инфраструктура, включително технически възможности, опит и умения, необходими за ефективното изпълнение на неговите задачи, включително задачите, свързани с взаимопомощ и сътрудничество с други надзорни органи навсякъде в Съюза. [Изм. 43]

(54)  Общите условия за членовете на надзорния орган следва да бъдат определени със закон във всяка държава членка и следва да предвиждат по-специално, че тези членове следва да се назначават от парламента или от правителството въз основа на консултация с парламента на държавата членка, като и да включват и правила относно личната квалификация и длъжността на тези членове. [Изм. 44]

(55)  Макар настоящата директива да се прилага и спрямо дейностите на националните съдилища, компетентността на надзорните органи не следва да обхваща обработването на лични данни когато съдилищата действат при изпълнение на съдебните си функции, за да се гарантира независимостта на съдиите при изпълнението на техните съдебни задължения. Това изключение обаче следва да бъде ограничено до действителните съдебни дейности по съдебни дела и да не се прилага за други дейности, в които съдиите могат да участват съгласно националното право.

(56)  За да се гарантира съгласувано наблюдение и прилагане на настоящата директива навсякъде в Съюза, надзорните органи следва да имат еднакви задължения и ефективни правомощия във всяка държава членка, включително ефективни правомощия за разследване, правомощие за достъп до всички лични данни и цялата информация, необходима за осъществяването на всяка надзорна функция, правомощие за достъп до всички служебни помещения на администратора или обработващия лични данни, включително оборудването за обработване на данни и правнообвързваща намеса, вземане на решения и налагане на санкции, особено в случаи на жалби от физически лица, както и правомощие да участват в съдебни производства. [Изм. 45]

(57)  Всеки надзорен орган следва да разглежда жалбите, подадени от субект на данни, и да извършва разследване по въпроса. Разследването въз основа на жалба следва да се извършва под съдебен контрол и в целесъобразна за конкретния случай степен. Надзорният орган следва да информира субекта на данните за напредъка и резултата от жалбата в разумен срок. Ако случаят изисква допълнително разследване или координиране с друг надзорен орган, на субекта на данните следва да бъде предоставена междинна информация.

(58)  Надзорните органи следва да си сътрудничат при изпълнението на своите задължения и взаимно да се подпомагат, за да се гарантира съгласуваното прилагане и изпълнение на разпоредбите, приети съгласно настоящата директива. Всеки надзорен орган следва да има готовност да участва в съвместни операции на надзорните органи. Надзорният орган, до който е отправено искането, следва да бъде длъжен да отговори в определен срок на искането. [Изм. 46]

(59)  Европейският комитет по защита на данните, създаден с Регламент (ЕС) № .../2012 2014, следва да допринася за съгласуваното прилагане на настоящия регламент настоящата директива навсякъде в Съюза, включително като съветва Комисията и институциите на Съюза, насърчава сътрудничеството на надзорните органи в Съюза и представя своето становище на Комисията при подготовката на делегирани актове и актове за изпълнение въз основа на настоящата директива. [Изм. 47]

(60)  Всеки субект на данни следва да има право да подаде жалба до надзорен орган във всяка държава членка, както и право на средства за съдебна защита, ако счита, че правата му по настоящата директива са нарушени или ако надзорният орган не предприеме действия по подадена жалба или не предприеме действия, когато такива са необходими, за да се защитят правата на субекта на данни.

(61)  Всяка структура, организация или сдружение, чиято цел е да защитава правата и интересите на субектите на данни по отношение на защитата на техните данни, действащо в обществен интерес и учредено съгласно правото на държава членка, следва да има право да подава жалби или да упражнява правото на съдебна защита от името на субектите на данни, ако е надлежно оправомощено от тях, или да подава жалби от свое име, независимо от жалбата на даден субект на данни, когато счита, че е извършено нарушение на сигурността на личните данни. [Изм. 48]

(62)  Всяко физическо или юридическо лице следва да има право на средства за съдебна защита срещу решенията на надзорен орган, които го засягат. Производствата срещу даден надзорен орган следва да бъдат завеждани пред съдилищата на държавата членка, в която е установен надзорният орган.

(63)  Държавите членки следва да гарантират, че за да бъдат ефективни, съдебните искове позволяват бързо приемане на мерки за поправяне или предотвратяване на нарушение на настоящата директива.

(64)  Всички вреди, включително неимуществени вреди, които дадено лице може да претърпи в резултат на неправомерно обработване на данни, следва да бъдат обезщетени от администратора или обработващия лични данни, който може да бъде освободен от отговорност, ако докаже, че не е отговорен за вредите, и по-специално когато установи вина от страна на субекта на данни или в случай на непреодолима сила. [Изм. 49]

(65)  На всяко физическо или юридическо лице, което не спазва настоящата директива, следва да се налагат санкции, независимо дали то е субект на частното или публичното право. Държавите членки следва да гарантират, че санкциите са ефективни, съразмерни и възпиращи, и трябва да предприемат всички мерки за тяхното изпълнение.

(65a)  Предаването на лични данни към други органи или частни лица в Съюза е забранено, освен ако се извършва съгласно закона, а получателят е установен в държава членка и никакви законни специфични интереси на субекта на данните не възпрепятстват предаването, а предаването е необходимо в конкретни случаи, когато администраторът предава данни за изпълнението на задача, която му е законно възложена, или за предотвратяването на непосредствена и сериозна заплаха за обществената сигурност или за предотвратяването на сериозно нарушение на правата на физическите лица. Администраторът следва да уведоми получателя за целта на обработването на данни и надзорния орган за предаването. Получателят следва също така да бъде уведомен за ограниченията, свързани с обработването, и следва да гарантира спазването на тези ограничения. [Изм. 50]

(66)  С цел да бъдат постигнати целите на настоящата директива, а именно защита на основните права и свободи на физическите лица, и по-специално на тяхното право на защита на личните данни, както и за да се гарантира свободния обмен на лични данни от компетентните органи в рамките на Съюза, на Комисията следва да бъде делегирано правомощието да приема актове в съответствие с член 290 от Договора за функционирането на Европейския съюз. По-специално делегирани актове следва да бъдат приети по отношение на уведомяването на надзорния орган за, за да конкретизират критериите и условията за операциите по обработване, за които се изисква оценка на въздействието върху защитата на данните; критериите и изискванията при нарушение на сигурността на личните данни данните и относно подходящото ниво на защита, осигурявано от дадена трета държава или от територия или обработващ сектор в тази трета държава или от международна организация. От особена важност особена важност е по време на подготвителната си работа Комисията да проведе подходящи консултации Комисията да проведе подходящи консултации, включително, включителнона експертно равнище, по-специално с Европейския комитет по защита на данните. При подготовката и изготвянето на делегираните актове Комисията следва да осигури едновременното и своевременно предаване на съответните документи по подходящ начин на Европейския парламент и на Съвета. [Изм. 51]

(67)  За да се гарантират еднакви условия за изпълнение на настоящата директива по отношение на изготвянето на документация от администраторите и обработващите лични данни, сигурността на обработването, по-специално във връзка със стандартите за криптиране, както и по отношение на и уведомяването на надзорния орган за нарушение на сигурността на личните данни и адекватното ниво на защита на данните, осигурявано от дадена трета държава, или територия или обработващ сектор в тази трета държава, или международна организация, на Комисията следва да бъдат предоставени изпълнителни правомощия. Тези правомощия следва да бъдат упражнявани в съответствие с Регламент (ЕС) № 182/2011 на Европейския парламент и на Съветаот 16 февруари 2011 г. за установяване на общите правила и принципи относно реда и условията за контрол от страна на държавите членки върху упражняването на изпълнителните правомощия от страна на Комисията(6). [Изм. 52]

(68)  За приемането на мерки по отношение на изготвянето на документация от администраторите и обработващите лични данни, сигурността на обработването, и уведомяването на надзорния орган за нарушаване на сигурността на личните данни и адекватното ниво на защита, осигурявано от дадена трета държава, или територия или обработващ сектор в тази трета държава, или международна организация, следва да бъде използвана процедурата по разглеждане, доколкото тези актове са с общ характер. [Изм. 53]

(69)  Комисията следва да приеме актове за изпълнение с незабавно приложение, когато в надлежно обосновани случаи, свързани с трета държава, или територия или обработващ данни сектор в тази трета държава, или международна организация, които не осигуряват адекватно ниво на защита, наложителни причини за спешност изискват това. [Изм. 54]

(70)  Доколкото целите на настоящата директива, а именно да се защитят основните права и свободи на физическите лица и по-специално тяхното право на защита на личните им данни, както и да се гарантира свободен обмен на лични данни от компетентните органи в Съюза, не могат да бъдат постигнати в достатъчна степен от държавите членкии следователно поради обхвата или последиците от действието, а поради обхвата или последиците от действието могат да бъдат по-добре постигнати на равнището на Съюза, Съюзът може да приеме мерки в съответствие с принципа на субсидиарност, уреден в член 5 от Договора за Европейския съюз. В съответствие с принципа на пропорционалност, уреден в същия член, настоящата директива не надхвърля необходимото за постигане на тези цели. Държавите членки могат да предвиждат по-високи стандарти от тези, установени в настоящата директива. [Изм. 55]

(71)  Рамково решение 2008/977/ПВР следва да бъде отменено с настоящата директива.

(72)  Специалните разпоредби относно обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции, съдържащи се в актове на Съюза, приети преди датата на приемане на настоящата директива, с които се регламентират обработването на лични данни между държавите членки или достъпът на определени органи на държавите членки до информационни системи, създадени съгласно Договорите, следва да не бъдат засегнати. Тъй като член 8 от Хартата на основните права и член 16 от ДФЕС постановяват, че основното право на защита на личните данни следва да се гарантира последователно и по еднообразен начин в целия Съюз, в рамките на две години от влизане в сила на настоящата директива Комисията следва да извърши оценка на ситуацията по отношение на връзката между настоящата директива и актовете, приети преди датата на нейното приемане, които регламентират обработването на лични данни между държавите членки или достъпа на определените органи на държавите членки до информационни системи, създадени съгласно Договорите, за да прецени необходимостта от съгласуване на тези специални разпоредби с и следва да представи съответните предложения, с цел да осигури последователни и еднообразни правни норми във връзка с обработването на лични данни от компетентните органи или с достъпа на определените органи на държавите членки до информационни системи, създадени съгласно Договорите, както и обработването на лични данни от институции, органи, служби и агенции на Съюза за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или за изпълнението на наказателни санкции в рамките на приложното поле на настоящата директива. [Изм. 56]

(73)  За да се гарантира цялостна и съгласувана защита на личните данни в Съюза международните споразумения, сключени от Съюза или от държавите членки преди влизането в сила на настоящата директива, следва да бъдат изменени, така че да бъдат хармонизирани с директивата. [Изм. 57]

(74)  Настоящата директива не засяга разпоредбите относно борбата със сексуалното насилие и със сексуалната експлоатация на деца, както и с детската порнография, установени с Директива 2011/93/ЕС на Европейския парламент и на Съвета(7)

(75)  В съответствие с член 6а от Протокол № 21 относно позицията на Обединеното кралство и Ирландия по отношение на пространството на свобода, сигурност и правосъдие, приложен към Договора за Европейския съюз и към Договора за функционирането на Европейския съюз, Обединеното кралство и Ирландия не са обвързани от разпоредбите на настоящата директива когато Обединеното кралство и Ирландия не са обвързани от правилата, уреждащи формите на съдебно сътрудничество по наказателноправни въпроси или на полицейско сътрудничество, в рамките на които трябва да бъдат съблюдавани разпоредбите, установени въз основа на член 16 от Договора за функционирането на Европейския съюз.

(76)  В съответствие с членове 2 и 2а от Протокол № 22 относно позицията на Дания, приложен към Договора за Европейския съюз и към Договора за функционирането на Европейския съюз, Дания не е обвързана от настоящата директива, нито от нейното прилагане. Доколкото настоящата директива представлява развитие на достиженията на правото от Шенген, съгласно част трета, дял V от Договора за функционирането на Европейския съюз, в срок от шест месеца след приемането на настоящата директива Дания взема решение, в съответствие с член 4 от посочения Протокол, дали да я въведе в националното си право. [Изм. 58]

(77)  По отношение на Исландия и Норвегия настоящата директива представлява развитие на разпоредбите на достиженията на правото от Шенген по смисъла на Споразумението, сключено от Съвета на Европейския съюз и Република Исландия и Кралство Норвегия за асоциирането на последните в процеса на изпълнение, прилагане и развитие на достиженията на правото от Шенген(8).

(78)  По отношение на Швейцария настоящата директива представлява развитие на разпоредбите на достиженията на правото от Шенген по смисъла на Споразумението между Европейския съюз, Европейската общност и Конфедерация Швейцария относно асоциирането на Конфедерация Швейцария към изпълнението, прилагането и развитието на достиженията на правото от Шенген(9).

(79)  По отношение на Лихтенщайн настоящата директива представлява развитие на разпоредбите на достиженията на правото от Шенген по смисъла на Протокола между Европейския съюз, Европейската общност, Конфедерация Швейцария и Княжество Лихтенщайн относно присъединяването на Княжество Лихтенщайн към Споразумението между Европейския съюз, Европейската общност и Конфедерация Швейцария относно асоциирането на Конфедерация Швейцария към изпълнението, прилагането и развитието на достиженията на правото от Шенген(10).

(80)  Настоящата директива зачита основните права и спазва принципите, признати в Хартата и залегнали в Договора, и по-специално правото на зачитане на личния и семейния живот, правото на защита на личните данни, правото на ефективни правни средства за защита и на справедлив съдебен процес. Ограниченията, наложени върху тези права, са в съответствие с член 52, параграф 1 от Хартата, тъй като са необходими, за да се отговори на признати от Съюза цели от общ интерес или на необходимостта да се защитят правата и свободите на други хора.

(81)  Съгласно Съвместната политическа декларация от 28 септември 2011 г. на държавите членки и на Комисията относно обяснителните документи(11), държавите членки са се задължили в обосновани случаи да прилагат към съобщението за мерките си за транспониране един или повече документи, обясняващи връзката между компонентите на дадена директива и съответните елементи от националните инструменти за транспониране. По отношение на настоящата директива законодателят смята, че предоставянето на такива документи е обосновано.

(82)  Настоящата директива не следва да възпрепятства държавите членки да привеждат в действие упражняването на правата на субектите на данни във връзка с информацията, достъпа, коригирането, заличаването и ограничаването на личните им данни, обработвани в хода на наказателно производство, и евентуалното ограничаване на тези права, в националните разпоредби относно наказателното производство,

ПРИЕХА НАСТОЯЩАТА ДИРЕКТИВА:

ГЛАВА I

ОБЩИ РАЗПОРЕДБИ

Член 1

Предмет и цели

1.  С настоящата директива се установяват правилата във връзка със защитата на физическите лица по отношение на във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или и наказателното преследване на престъпления или изпълнението на наказателни санкции и условията за свободното движение на такива лични данни.

2.  В съответствие с настоящата директива държавите членки:

а)  защитават основните права и свободи на физическите лица и по-специално правото им тяхното право на защита на личните им данни и на неприкосновеност на личния им живот, и

б)  гарантират, че обменът на лични данни от компетентните органи в Съюза не се ограничава, нито забранява по причини, свързани със защитата на физическите лица по отношение на обработването на лични данни.

2a.  Настоящата директива не изключва възможността държавите членки да предоставят по-високи гаранции от тези, установени в настоящата директива. [Изм. 59]

Член 2

Приложно поле

1.  Настоящата директива се прилага за обработването на лични данни от компетентните органи за целите, посочени в член 1, параграф 1.

2.  Настоящата директива се прилага за обработването на лични данни изцяло или частично с автоматични средства, както и за обработването с други средства на лични данни, които са част от регистър на лични данни или които са предназначени да съставляват част от такъв регистър.

3.  Настоящата директива не се прилага за обработването на лични данни:

а)   в хода на дейности, които са извън приложното поле на правото на Съюза, и по-специално такива, свързани с националната сигурност;

б)  от институциите, органите, службите и агенциите на Съюза. [Изм. 60]

Член 3

Определения

За целите на настоящата директива:

1)  „субект на данни“ означава физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или косвено чрез средства, за които с основание се предполага, че е възможно да бъдат използвани от администратора или от всяко друго физическо или юридическо лице, по-специално чрез идентификационен номер, данни за местонахождение, онлайн идентификатори или чрез един или повече признаци, специфични за неговата физическа, физиологична, генетична, психическа, икономическа, културна или социална идентичност;

2)  „лични данни“ означава всяка информация, свързана с даден физическо лице с установена или подлежаща на установяване самоличност („субект на данни“); лице с подлежаща на установяване самоличност е лице, чиято самоличност може пряко или косвено да се установи, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, уникален идентификатор или чрез един или повече фактори, специфични за физическата, физиологическата, генетичната, психическата, икономическата, културната или социалната самоличност на това лице или за половата му идентичност;

2a)  „данни под псевдоним“ означава лични данни, които не могат да бъдат свързани с конкретен субект на данни, без да се използва допълнителна информация, доколкото тази допълнителна информация се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира невъзможността да се направи такова свързване;

3)  „обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друга форма на предоставяне на данните, подреждане или комбиниране, ограничаване, заличаване или унищожаване;

3a)  „профилиране“ означава всяка форма на автоматизирано обработване на лични данни, имащо за цел да се оценят определени лични аспекти, свързани с дадено физическо лице, или да се анализира или прогнозира по-специално изпълнението на професионалните му задължения, неговото икономическо положение, местоположение, здравословно състояние, лични предпочитания, надеждност или поведение;

4)  „ограничаване на обработването“ означава маркиране на съхранявани лични данни с цел ограничаване на обработването им в бъдеще;

5)  „регистър на лични данни“ означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;

6)  „администратор“ означава компетентен публичен орган, който сам или съвместно с други определя целите, условията и средствата за обработването на лични данни; когато целите, условията и средствата за обработването се определят от правото на Съюза или от това на държава членка, администраторът или специалните критерии за неговото назначаване могат да бъдат определени в правото на Съюза или в това правото на държава членка;

7)  „обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;

8)  „получател“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни;

9)  „нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;

10)  „генетични данни“ означава всички данни, от всякакъв вид, свързани с белезите на дадено физическо лице, които са наследствени или са придобити по време на ранното пренатално развитие;

11)  „биометрични данни“ означава всички лични данни, свързани с физическите, физиологичните или поведенческите характеристики на дадено физическо лице, които позволяват неговата уникална идентификация, като лицеви изображения или дактилоскопични данни;

12)  „данни за здравословното състояние“ означава всяка информация, която се отнася всички лични данни, които се отнасят до физическото или психическото здраве на дадено физическо лице или до предоставянето на здравни услуги на физическото лице;

13)  „дете“ означава всяко лице на възраст под 18 години;

14)  „компетентни органи“ означава всеки публичен орган, компетентен по отношение на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции;

15)  „надзорен орган“ означава публичен орган, създаден от държава членка в съответствие с член 39. [Изм. 61]

ГЛАВА II

ПРИНЦИПИ

Член 4

Принципи, свързани с обработването на лични данни

Държавите членки предвиждат, че личните данни трябва да бъдат:

а)  обработвани добросъвестно и в съответствие със закона, добросъвестно и по прозрачен и проверим начин по отношение на субекта на данните;

б)  събирани за конкретни, изрично указани и законни цели и да не се обработват допълнително по начин, който е несъвместим с тези цели;

в)  подходящи, релевантни и не надхвърлят необходимото ограничени до минимума, необходим във връзка с целите, за които данните се обработват; те се обработват само ако и дотолкова доколкото целите не могат да бъдат постигнати без обработването на информация, която не включва лични данни;

г)  точни и, когато е необходимо, актуализирани; трябва да се предприемат всички разумни мерки, за да се гарантира своевременното заличаване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват;

д)  съхранявани във вид, който позволява идентифицирането на субектите на данните за период не по-дълъг от необходимия за целите, за които се обработват личните данни;

е)  обработвани под ръководството и отговорността на администратора, който осигурява и може да докаже спазването на разпоредбите, приети съгласно настоящата директива;

еa)  обработвани по начин, който дава ефективна възможност на субекта на данните да упражни правата си, както е посочено в членове 10—17;

еб)  обработвани по начин, който осигурява защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки;

ев)  обработвани само от надлежно оправомощени служители на компетентните органи в изпълнение на техните задачи. [Изм. 62]

Член 4а

Достъп до данни, първоначално обработвани за цели, различни от посочените в член 1, параграф 1

1.  Държавите членки предвиждат, че компетентните органи могат да имат достъп до лични данни, първоначално обработвани за цели, различни от посочените в член 1, параграф 1, единствено ако са изрично оправомощени от правото на Съюза или от правото на държава членка, което трябва да спазва изискванията, определени в член 7, параграф 1а, и трябва да предвижда, че:

a)  достъпът се разрешава само на надлежно оправомощени служители на компетентните органи в изпълнение на техните задачи, когато в конкретния случай има разумни основания да се счита, че обработването на лични данни значително ще допринесе за предотвратяването, разследването, откриването или наказателното преследване на престъпления или изпълнението на наказателни санкции;

б)  исканията за достъп трябва да бъдат в писмен вид и да посочват правното основание за искането;

в)  писменото искане трябва да бъде документирано; както и

г)  предвидени са подходящи гаранции, осигуряващи защитата на основните права и свободи във връзка с обработването на лични данни. Тези гаранции не накърняват и допълват специфичните условия за достъп до лични данни, като например съдебно разрешение в съответствие с правото на дадена държава членка.

2.  Достъп до лични данни, съхранявани от частни лица или други публични органи, се предоставя само с цел разследване или наказателно преследване на престъпления в съответствие с изискванията за необходимост и пропорционалност, които се определят от правото на Съюза или на държава членка, при пълно спазване на член 7а. [Изм. 63]

Член 4б

Срокове за съхранение и проверка

1.  Държавите членки предвиждат, че личните данни, обработвани в съответствие с настоящата директива, се заличават от компетентните органи, когато вече не са необходими за целите, за които са били обработени.

2.  Държавите членки предвиждат компетентните органи да въведат механизми, които да гарантират въвеждането на срокове съгласно член 4 за заличаване на лични данни и за периодична проверка на необходимостта от съхраняване на данните, включително определяне на срокове за съхранение за различните категории лични данни. Установяват се процесуални мерки, които да гарантират, че се спазват тези срокове или интервали за периодична проверка. [Изм. 64]

Член 5

Разграничение между различните Различни категории субекти на данни

1.  Държавите членки предвиждат въвеждане на ясно разграничение от страна на администратора, доколкото това е възможно, между личните, че за целите, посочени в член 1, параграф 1, компетентните органи могат да обработват лични данни на различни категории субекти на данни, например като администраторът прави ясно разграничение между тези категории:

а)  лица, за които има сериозни разумни основания да се счита, че са извършили или се готвят да ще извършат престъпление;

б)  лица, осъдени за престъпление;

в)  жертви на престъпление или лица, по отношение на които определени факти дават основание да се счита, че той или тя може да е жертва на престъпление; както и

г)  трети страни по престъпление, например лица, които биха могли да бъдат призовани да свидетелстват при разследвания във връзка с престъпления или при последващи наказателни производства, или лица, които могат да предоставят информация за престъпления, или познати или съучастници на някое от лицата, посочени в букви а) и б); и.

д)  лица, които не попадат в никоя от посочените по-горе категории.

2.  Лични данни на субекти на данни, различни от посочените в параграф 1, могат да се обработват само:

a)  докато са необходими за разследването или наказателното преследване на конкретно престъпление, за да се оцени относимостта на данните към някоя от категориите, посочени в параграф 1, или

б)  когато такова обработване е необходимо за целенасочени, превантивни цели или за целите на криминален анализ, ако и докато тази цел е законна, конкретна и добре определена и обработването е строго ограничено за оценка на относимостта на данните към някоя от категориите, посочени в параграф 1. Това е предмет на редовен преглед най-малко веднъж на всеки шест месеца. Всяка допълнителна употреба е забранена.

3.  Държавите членки предвиждат, че за допълнително обработване на лични данни, свързани със субекти на данни, посочени в параграф 1, букви в) и г), се прилагат допълнителни ограничения и гаранции според правото на държавата членка. [Изм. 65]

Член 6

Различни степени на точност и надеждност на личните данни

1.  Държавите членки гарантират предвиждат, че доколкото е възможно се прави разграничение между различните категории лични е гарантирана точност и надеждност на личните данни, които се обработват, в съответствие със степента им на точност и надеждност.

2.  Държавите членки гарантират, че доколкото е възможно се прави разграничение между лични данни, основани на факти, и лични данни, основани на лични оценки, според тяхната степен на точност и надеждност.

2a.  Държавите членки гарантират, че лични данни, които са неточни, непълни или които вече не са актуални, не се предават или предоставят. За тази цел компетентните органи оценяват качеството на личните данни преди тяхното предаване или предоставяне. Доколкото е възможно, при всяко предаване на данни се добавя информация, която позволява на получаващата държава членка да оцени степента на точност, пълнота, актуалност и надеждност на данните. Личните данни не се предават без искане от компетентен орган, по-специално данните, които първоначално са били притежавани от частни страни.

2б.  Ако се окаже, че са предадени неверни данни или данни са предадени незаконосъобразно, получателят трябва да бъде незабавно уведомен. Получателят се задължава да коригира незабавно данните съгласно параграф 1 и член 15 или да ги заличи съгласно член 16. [Изм. 66]

Член 7

Законосъобразност на обработването

1.  Държавите членки предвиждат, че обработването на лични данни е законосъобразно само ако и доколкото то е основано на правото на Съюза или на правото на държава членка за целите, посочени в член 1, параграф 1, и е необходимо:

а)  за изпълнението на задача, извършвана от компетентен орган въз основа на закона за целите, определени в член 1, параграф 1, или

б)  за спазването на правно задължение, чийто субект е администраторът, или

в)  за да бъдат защитени жизненоважни интереси на субекта на данните или на друго лице, или

г)  за предотвратяване на непосредствена и сериозна заплаха за обществената сигурност.

1a.  Правото на държава членка, уреждащо обработването на лични данни в рамките на приложното поле на настоящата директива, съдържа изрични и подробни разпоредби, които определят най-малко:

a)  целите на обработването;

б)  личните данни, които се обработват;

в)  конкретните цели на обработването и средствата за обработване;

г)  назначаването на администратор на лични данни или специфичните критерии за назначаване на администратора;

д)  категориите надлежно оправомощени служители на компетентните органи за обработване на лични данни;

е)  процедурата, която да се следва при обработването;

ж)  за какво могат да се използват събраните лични данни;

з)  ограниченията върху свободата на действие на компетентните органи по отношение на действията по обработването на лични данни. [Изм. 67]

Член 7a

Допълнително обработване за несъвместими цели

1.  Държавите членки предвиждат, че личните данни могат да бъдат обработвани допълнително за друга от определените в член 1, параграф 1 цели, която не е съвместима с целите, за които данните са били събрани първоначално, само ако и доколкото:

a)  целта е строго необходима и пропорционална в едно демократично общество и се изисква от правото на Съюза или правото на държава членка за законна, конкретна и добре определена;

б)  обработването е строго ограничено за период, който не е по-дълъг от времето, необходимо за конкретната операция по обработване на данни;

в)  всякаква допълнителна употреба за други цели е забранена.

Преди всяко обработване държавата членка се консултира с компетентния национален надзорен орган и прави оценка на въздействието за защитата на данните.

2.  В допълнение към изискванията, посочени в член 7, параграф 1а, правото на държавата членка, позволяващо по-нататъшно обработване на лични данни, посочено в параграф 1, съдържа изрични и подробни разпоредби, които определят най-малко:

a)  конкретните цели и средствата за конкретното обработване;

б)  че достъпът се разрешава само от надлежно оправомощени служители на компетентните органи в изпълнение на техните задачи, когато в конкретния случай има разумни основания да се счита, че обработването на лични данни значително ще допринесе за предотвратяването, разследването, откриването или наказателното преследване на престъпления или изпълнението на наказания; както и

в)  че са предвидени подходящи гаранции, осигуряващи защитата на основните права и свободи във връзка с обработването на лични данни.

Държавите членки могат да изискват по отношение на достъпа до лични данни да се изпълняват допълнителни условия, като например съдебно разрешение съгласно тяхното национално законодателство.

3.  Държавите членки също така могат да разрешат по-нататъшно обработване на лични данни за исторически, статистически или научни цели, при условие че те осигурят подходящи гаранции, например като направят данните анонимни. [Изм. 68]

Член 8

Обработване на специални категории лични данни

1.  Държавите членки забраняват обработването на лични данни, които разкриват расов или етнически произход, политически мнения, религия или философски убеждения, сексуална ориентация или полова идентичност, членство и дейност в професионални съюзи, като както и обработването на генетични биометрични данни или данни, свързани със здравословното състояние или половия живот.

2.  Параграф 1 не се прилага, когато:

а)  обработването е разрешено със закон, който строго необходимо и пропорционално за изпълнението на задача, която се осъществява от компетентните органи за целите, определени в член 1, параграф 1, въз основа на правото на Съюза или на правото на държава членка, което предвижда конкретни и подходящи гаранции мерки за защита на законните интереси на субекта на данни, включително специално разрешение от съдебен орган, ако се изисква от националното право; или

б)  обработването е необходимо, за да бъдат защитени жизненоважни интереси на субекта на данни или на друго лице; или

в)  обработването касае данни, които явно са направени обществено достояние от субекта на данните, при условие че те са относими и строго необходими за преследваната цел в конкретния случай. [Изм. 69]

Член 8а

Обработване на генетични данни с цел наказателно разследване или съдебно производство

1.  Държавите членки гарантират, че генетични данни могат да се използват само за установяване на генетична връзка в рамките на представянето на доказателства, предотвратяването на заплаха за обществената сигурност или предотвратяването на извършването на конкретно престъпление. Генетични данни не могат да се използват за определяне на други характеристики, които могат да бъдат свързани генетично.

2.  Държавите членки предвиждат, че генетичните данни или информацията, получена от техния анализ, могат да бъдат съхранявани, доколкото е необходимо за целите, за които се обработват данните, и когато засегнатото лице е обвинено в тежки престъпления срещу живота, неприкосновеността или сигурността на хората, в съответствие със стриктни срокове на съхранение, определени от правото на държавите членки.

3.  Държавите членки гарантират, че генетичните данни или информацията, получена от техния анализ, се съхраняват за по-дълги периоди само когато генетичните данни не могат да бъдат приписани на даден индивид, по-специално когато те са намерени на местопрестъпление. [Изм. 70]

Член 9

Мерки, основани на профилиране и автоматизирано обработване

1.  Държавите членки предвиждат, че мерките, които пораждат неблагоприятни правни последици правна последица за субекта на данни или съществено го засягат и които частично или изцяло се основават единствено на автоматизирано обработване на лични данни, имащо за цел да се оценят определени лични аспекти, свързани със субекта на данните, са забранени, освен ако не са разрешени от закон, който установява и мерки за гарантиране на законните интереси на субекта на данните.

2.  Автоматизираното обработване на лични данни с цел оценяване на определени лични аспекти, свързани със субекта на данните, не може да се основава единствено на специалните категории лични данни, посочени в член 8.

2a.  Автоматизираното обработване на лични данни с цел разграничаване на субекта на данните, без да е налице първоначално подозрение, че субектът на данните може да е извършил престъпление, е законно само, ако и доколкото е строго необходимо за разследването на тежко престъпление или предотвратяването на ясна и непосредствена опасност, основаваща се на фактически данни, за обществената сигурност, съществуването на държавата или живота на хората.

2б.  Забранява се във всички случаи профилиране, което (независимо дали умишлено или по друг начин) има дискриминиращо действие спрямо отделните лица въз основа на раса или етнически произход, на политически мнения, религия или убеждения, членство в профсъюз или полова или сексуална ориентация или което (независимо дали умишлено или по друг начин) води до мерки с такова действие. [Изм. 71]

Член 9а

Общи принципи за правата на субекта на данни

1.  Държавите членки гарантират яснота на основата на защитата на данните и недвусмисленост на правата на субектите на данни, която се спазва от администратора на лични данни. Разпоредбите на настоящата директива имат за цел да засилят, да пояснят, да гарантират и по целесъобразност да кодифицират тези права.

2.  Държавите членки гарантират, че тези права включват, наред с другото, предоставяне на ясна и лесно разбираема информация относно обработването на личните данни на субекта на данни, право на достъп, коригиране и заличаване на неговите данни, право да се подаде жалба до компетентния орган за защита на данните и да се предяви съдебен иск, както и право на компенсация и обезщетение вследствие на незаконна операция по обработване. Като цяло тези права се упражняват безплатно. Администраторът на лични данни отговаря на исканията на субекта на данни в разумен срок. [Изм. 72]

ГЛАВА III

ПРАВА НА СУБЕКТА НА ДАННИ

Член 10

Условия за упражняване на правата на субекта на данни

1.  Държавите членки предвиждат задължение за администратора да вземе всички разумни мерки, за администраторът да разполага с кратки, прозрачни, ясни и лесно достъпни вътрешни правила по отношение на обработването на лични данни и за упражняването на правата на субектите субекта на данни.

2.  Държавите членки предвиждат, че всякаква информация и съобщения, свързани с обработването на лични данни, се предоставят от администратора на субекта на данните в лесна за разбиране форма, като се използват ясни и прости формулировки, по-специално когато тази информация е конкретно насочена към дете.

3.  Държавите членки предвиждат задължение за администратора да вземе всички разумни мерки за въвеждане на установи процедури за предоставяне на информацията, посочена в член 11, и за упражняване на правата на субектите субекта на данни, посочени в членове 12—17. Когато личните данни се обработват с автоматични средства, администраторът осигурява средства за подаване на искания по електронен път.

4.  Държавите членки предвиждат задължение за администратора да информира субекта на данните без ненужно забавяне за действията, предприети във връзка с неговото искане, и във всеки случай най-късно в срок от един месец от получаването на искането. Информацията се предоставя в писмена форма. Когато субектът на данните подава искането в електронна форма, информацията се предоставя в електронна форма.

5.  Държавите членки предвиждат, че информацията и всички действия, предприети от администратора вследствие на подадено искане по параграфи 3 и 4, са безплатни. Когато исканията са проява на злонамереност явно прекомерни, по-специално поради своята повторяемост или размера или обема на искането, администраторът може да поиска заплащането на дадена сума наложи разумна такса, отчитаща административните разходи за предоставянето на информацията или за изпълнението на исканото действие, или може да не изпълни исканото действие. В този случай администраторът носи тежестта на доказване на злонамереността явно прекомерния характер на искането.

5a.  Държавите членки могат да предвидят, че субектът на данните може да упражни своите права пряко срещу администратора или чрез посредничеството на компетентния национален надзорен орган. Когато надзорният орган е извършил действия въз основа на искане на субекта на данните, надзорният орган информира субекта на данните за извършените проверки. [Изм. 73]

Член 11

Информация за субекта на данни

1.  Когато се събират лични данни, свързани със субект на данни, държавите членки гарантират, че администраторът взема всички подходящи мерки, за да предостави предоставя на субекта на данните най-малко следната информация:

а)  наименованието и координати за връзка на администратора и на длъжностното лице по защита на данните;

б)  правното основание и целите на обработването, за които са предназначени личните данни;

в)  срока, за който ще се съхраняват личните данни;

г)  съществуването на право да се изиска от администратора достъп до личните данни, свързани със субекта на данните, както и тяхното коригиране, заличаване или ограничаване на обработването;

д)  правото да се подаде жалба до надзорния орган, посочен в член 39, и неговите координати за връзка;

е)  получателите или категориите получатели на личните данни, включително в трети държави или международни организации, и лицата, които имат право на достъп до тези данни съгласно законите на тази трета държава или правилата на тази международна организация, наличието или липсата на решение относно адекватността от страна на Комисията или в случай на предаване на данни, посочено в член 35 или член 36, средствата за получаване на копие от подходящите гаранции, прилагани за предаването;

еa)  когато администраторът обработва лични данни, както е посочено в член 9, параграф 1, информация относно съществуването на обработване за мярка от вида, посочен в член 9, параграф 1, и търсеното въздействие от такова обработване върху субекта на данни, информация за логиката, използвана при профилирането, и правото на получаване на оценка от страна на човек;

еб)  информация относно мерките за сигурност, предприети с цел защита на личните данни;

ж)  всяка допълнителна информация, доколкото такава е необходима, за да се гарантира добросъвестното обработване по отношение на субекта на данните, като се отчитат конкретните обстоятелства, при които се обработват личните данни.

2.  Когато личните данни се събират от субекта на данните, администраторът го информира, в допълнение към информацията, посочена в параграф 1, дали предоставянето на лични данни е задължително или доброволно, както и за възможните последици, ако такива данни не бъдат предоставени.

3.  Администраторът предоставя информацията, посочена в параграф 1:

а)  в момента на получаване на личните данни от субекта на данните, или

б)  когато личните данни не се събират от субекта на данните, в момента на тяхното записване или в разумен срок след събирането им, като се отчитат конкретните обстоятелства, при които се обработват данните.

4.  Държавите членки могат да приемат законодателни мерки, които забавят, или ограничават или водят до пропускане на предоставянето на информация на субекта на данните в конкретен случай до такава степен и за толкова време, за колкото такова частично или пълно ограничение представлява необходима и пропорционална мярка в едно демократично общество, като надлежно се вземат под внимание основните права и законните интереси на засегнатото лице:

а)  за да се избегне възпрепятстването на официални или съдебни проучвания, разследвания или процедури;

б)  за да се избегне повлияване върху предотвратяването, разкриването, разследването и наказателното преследване на престъпления или изпълнението на наказателни санкции;

в)  за защита на обществената сигурност;

г)  за защита на националната сигурност;

д)  за защита на правата и свободите на други лица.

5.  Държавите членки предвиждат задължение за администратора във всеки конкретен случай да преценява посредством конкретно и индивидуално проучване дали да наложи частично или пълно ограничение поради една от причините, посочени в параграф 4. Държавите членки могат също така да определят със закон категории обработване на данни, които могат изцяло или частично да бъдат обект на изключенията по параграф 4, букви а)—г). [Изм. 74]

Член 12

Право на достъп на субекта на данни

1.  Държавите членки уреждат правото на субекта на данни да получава потвърждение от администратора дали се обработват лични данни, свързани с него. Когато се обработват такива лични данни, администраторът предоставя следната информация, ако тя вече не е била предоставена:

–  a) съобщаване на личните данни, които са в процес на обработване, и на всякаква налична информация за техния източник, както и ако е приложимо, разбираема информация за логиката, включена във всяко автоматизирано обработване;

–  aa) значението и предвидените последствия от такова обработване, най-малко в случая на мерките, посочени в член 9;

а)  целите на обработването, както и правното основание за обработването;

б)  категориите засегнати лични данни;

в)  получателите или категориите получатели, пред които са разкрити личните данни, по-специално получателите в трети държави;

г)  срока, за който ще се съхраняват личните данни;

д)  съществуването на правото да се изиска от администратора коригиране, заличаване или ограничаване на обработването на лични данни, касаещи субекта на данните;

е)  правото да бъде подадена жалба до надзорния орган и да бъдат предоставени неговите координати за връзка.

ж)  съобщаване на личните данни, които са в процес на обработване, и на всякаква налична информация за техния източник.

2.  Държавите членки уреждат правото на субекта на данни да получи от администратора копие от личните данни, които са в процес на обработване. Когато субектът на данните подава искането в електронна форма, информацията се предоставя в електронна форма, освен ако субектът на данните не е поискал друго. [Изм. 75]

Член 13

Ограничения на правото на достъп

1.  Държавите членки могат да приемат законодателни мерки, които ограничават изцяло или частично, в зависимост от конкретния случай, правото на достъп на субекта на данните за период от време и дотолкова, доколкото такова частично или пълно ограничаване представлява строго необходима и пропорционална мярка в едно демократично общество, като надлежно се вземат под внимание основните права и законните интереси на засегнатото лице:

а)  за да се избегне възпрепятстването на официални или съдебни проучвания, разследвания или процедури;

б)  за да се избегне повлияване върху предотвратяването, разкриването, разследването и наказателното преследване на престъпления или изпълнението на наказателни санкции;

в)  за защита на обществената сигурност;

г)  за защита на националната сигурност;

д)  за защита на правата и свободите на други лица.

2.  Държавите членки предвиждат задължение за администратора във всеки конкретен случай да преценява посредством конкретно и индивидуално проучване дали да наложи частично или пълно ограничение поради една от причините, посочени в параграф 1. Държавите членки могат също така да определят с нормативен акт категории обработване на данни, които могат изцяло или частично да бъдат обект на изключенията по букви а)—г) от параграф 1.

3.  В случаите по параграфи 1 и 2 държавите членки предвиждат задължение за администратора да информира в писмена форма без ненужно забавяне субекта на данни за всеки отказ на достъп или ограничаване на достъпа, за причините мотивираната обосновка за отказа, за възможностите за подаване на жалба до надзорния орган и за търсене на защита по съдебен ред. Информацията относно фактическите или правните основания, на които се основава решението, може да бъде пропусната когато предоставянето ѝ би възпрепятствало постигането на цел по параграф 1.

4.  Държавите членки гарантират, че администраторът документира посочената в параграф 2 оценка, както и причините да не бъдат съобщени за ограничаване на съобщаването на фактическите или правните основания, на които се основава решението. Тази информация се предоставя на националните надзорни органи. [Изм. 76]

Член 14

Условия за упражняване на правото на достъп

1.  Държавите членки регламентират правото на субекта на данни да поиска по всяко време, по-специално в случаите по член 12 и член 13, надзорният орган да провери законосъобразността на обработването.

2.  Държавите членки предвиждат задължение за администратора да информира субекта на данните за правото да поиска намеса на надзорния орган съгласно параграф 1.

3.  Когато е упражнено правото по параграф 1 надзорният орган информира субекта на данните най-малко за това, че е извършил всички необходими проверки, както и за резултата относно законосъобразността на въпросното обработване. Надзорният орган също така информира субекта на данните за неговото право да потърси правна защита.

3a.  Държавите членки могат да предвидят субектът на данните да може да упражни това право пряко срещу администратора или чрез посредничеството на компетентния национален надзорен орган.

3б.  Държавите членки гарантират наличието на разумни срокове за отговор от администратора на искания на субекта на данните относно упражняването на неговото право на достъп. [Изм. 77]

Член 15

Право на коригиране и попълване

1.  Държавите членки уреждат правото на субекта на данни по негово искане администраторът да коригира или да попълни неточните или непълните лични данни, свързани с него. Субектът на данните има право непълните лични данни да бъдат попълнени по негово искане, по-специално чрез попълване или чрез декларация за коригиране.

2.  Държавите членки предвиждат задължение за администратора да информира в писмена форма, с мотивирана обосновка, субекта на данни за всеки отказ за коригиране или попълване, за причините за отказа и за възможностите за подаване на жалба до надзорния орган и за търсене на защита по съдебен ред.

2a.  Държавите членки предвиждат администраторът да съобщава всяко извършено коригиране на всеки получател, на когото данните са били разкрити, освен ако това е невъзможно или изисква непропорционално големи усилия.

2б.  Държавите членки предвиждат администраторът да съобщава коригирането на неточни лични данни на третата страна, от която произхождат неточните лични данни.

2в.  Държавите членки предвиждат субектът на данните да може да упражни това право срещу администратора също и чрез посредничеството на компетентния национален надзорен орган. [Изм. 78]

Член 16

Право на заличаване

1.  Държавите членки регламентират правото на субекта на данни по негово искане администраторът да заличи личните данни, свързани с него, когато обработването не е в съответствие с разпоредбите, приети съгласно член 4, букви а)—д) и членове 7 и 8 членове 4, 6, и 7—8 от настоящата директива.

2.  Администраторът извършва заличаването незабавно. Администраторът се въздържа от по-нататъшно разпространяване на такива данни.

3.  Вместо да извърши заличаване администраторът маркира ограничава обработването на личните данни, когато:

а)  точността им се оспорва от субекта на данните, за срок, който позволява на администратора да провери точността на данните;

б)  личните данни трябва да бъдат запазени за доказателствени цели или за защитата на жизненоважни интереси на субекта на данните или на друго лице.

в)  субектът на данните не желае те да бъдат заличени, а изисква вместо това ограничаване на използването им.

3a.  Когато обработването на личните данни е ограничено съгласно параграф 3, администраторът информира субекта на данните, преди да премахне ограничението за обработването.

4.  Държавите членки предвиждат задължение за администратора да информира в писмена форма, с мотивирана обосновка, субекта на данни за всеки отказ за заличаване или маркиране ограничаване на обработването, за причините за отказа и за възможностите за подаване на жалба до надзорния орган и за търсене на защита по съдебен ред.

4a.  Държавите членки предвиждат задължение за администратора да информира получателите, на които са били изпратени тези данни, за всяко заличаване или ограничаване, извършено съгласно параграф 1, освен ако това е невъзможно или е свързано се непропорционално голямо усилие. Администраторът информира субекта на данните за тези трети страни.

4б.  Държавите членки могат да предвидят субектът на данните да може да упражни това право пряко срещу администратора или чрез посредничеството на компетентния национален надзорен орган. [Изм. 79]

Член 17

Права на субектите на данни при наказателно разследване и наказателно производство

Държавите членки могат да предвидят, че правата на информация, достъп, коригиране, заличаване и ограничаване на обработването, посочени в членове 11—16, се упражняват в съответствие с националните правила относно съдебните производства, когато личните данни се съдържат в съдебно решение или протокол, обработван в хода на наказателно разследване и наказателно производство.

ГЛАВА IV

АДМИНИСТРАТОР И ОБРАБОТВАЩ ЛИЧНИ ДАННИ

РАЗДЕЛ 1

ОБЩИ ЗАДЪЛЖЕНИЯ

Член 18

Отговорност на администратора

1.  Държавите членки предвиждат задължение за администратора да приема вътрешни правила и да предприема подходящи мерки, за да гарантира и да може да демонстрира по прозрачен начин за всяка операция на обработване, че обработването на лични данни се извършва при съблюдаване на разпоредбите, приети съгласно настоящата директива, както в момента на определяне на средството за обработване, така и в момента на самото обработване.

2.  Мерките, посочени в параграф 1, включват по-специално:

а)  поддържане на документацията, посочена в член 23;

aa)   извършване на оценка на въздействието върху защитата на данните съгласно член 25а;

б)  спазване на изискванията за предварителна консултация съгласно член 26;

в)  изпълнение на изискванията за сигурност на данните, определени в член 27;

г)  определяне на длъжностно лице по защита на данните съгласно член 30;

гa)  изготвяне и прилагане на специфични гаранции по отношение на обработването на лични данни, свързани с деца, когато е целесъобразно.

3.  Администраторът прилага механизми за осигуряване на проверката за адекватност и ефективност на мерките, посочени в параграф 1 от настоящия член. Ако отговаря на изискването за пропорционалност, тази проверка се извършва от независими вътрешни или външни одитори. [Изм. 80]

Член 19

Защита на данните още при проектирането и по подразбиране

1.  Държавите членки предвиждат, че като взема предвид достиженията на техническия прогрес и разходите за тяхното внедряване администраторът въвежда, текущото техническо познание, международните най-добри практики и свързаните с обработката на данни рискове, администраторът и обработващият данни, ако има такъв, както в момента на определяне на целите и средствата за обработване, така и в момента на самото обработване, въвеждат подходящи и пропорционални технически и организационни мерки и процедури, така че обработването да отговаря на изискванията на разпоредбите, приети съгласно настоящата директива, и да гарантира защитата на правата на субекта на данни, по-специлано по отношение на установените в член 4 принципи. Защитата на данните при проектирането взема предвид целия жизнен цикъл на управление на личните данни — от събирането през обработването до заличаването, като систематично се съсредоточава върху всеобхватните процедурни мерки за защита по отношение на точността, поверителността, целостта, физическата защита и заличаването на лични данни. Когато администраторът е извършил оценка на въздействието върху защитата на данните съгласно член 25а, резултатите се вземат под внимание при разработването на тези мерки и процедури.

2.  Администраторът въвежда механизми, за да се гарантира гарантира, че по подразбиране се обработват единствено онези лични данни, които са необходими за целите на обработването за всяка конкретна цел на обработването, и по-специално, че данните не се събират, запазват или разпространяват в обем или за срок на съхранение, по-голям от минимално необходимия за тези цели. По-специално тези механизми гарантират, че по подразбиране личните данни не са достъпни за неограничен брой физически лица и че субектите на данни са в състояние да контролират разпространението на личните им данни. [Изм. 81]

Член 20

Съвместни администратори

1.   Държавите членки предвиждат, че когато даден администратор определя целите, условията и средствата за обработването на лични данни съвместно с други, съвместните администратори трябва да определят чрез договорености чрез правно обвързващо споразумение помежду си съответните отговорности за спазване на разпоредбите, приети съгласно настоящата директива, по-специално по отношение на процедурите и механизмите за упражняване на правата на субекта на данните.

2.   Освен ако субектът на данни е информиран за това кой от съвместните администратори носи отговорност съобразно параграф 1, субектът на данни може да упражнява правата си съобразно настоящата директива по отношение на и срещу всеки един от двама или повече на брой съвместни администратори. [Изм. 82]

Член 21

Обработващ лични данни

1.  Държавите членки предвиждат, че когато обработването се извършва от името на администратора, последният трябва да избере избира обработващ лични данни, който предоставя достатъчни гаранции, че ще приложи подходящи технически и организационни мерки и процедури, така че обработването да отговаря на изискванията на разпоредбите, приети съгласно настоящата директива, и да гарантира защитата на правата на субекта на данни, по-специално по отношение на техническите мерки за сигурност и организационните мерки, управляващи обработването, които трябва да бъдат изпълнени, както и да гарантира спазването на тези мерки.

2.  Държавите членки предвиждат, че извършването на обработване от страна на посредством обработващ лични данни трябва да е уредено с договор или правен акт, който обвързва обработващия лични данни с администратора и предвижда по-специално, че обработващият лични данни извършва действия само въз основа на указания от администратора, по-специално когато предаването на използваните лични данни е забранено.:

a)  действа единствено по указания на администратора;

б)  наема единствено персонал, който е поел ангажимент за поверителност или е задължен по закон да спазва поверителност;

в)  взема всички необходими мерки съгласно член 27;

г)  ангажира друг обработващ лични данни единствено с разрешение на администратора, поради което информира администратора за намерението си да ангажира друг обработващ лични данни достатъчно своевременно, за да може администраторът да има възможност да възрази;

д)  доколкото това е възможно предвид естеството на обработването, приема с одобрението на администратора необходимите технически и организационни изисквания за изпълнението на задължението на администратора да отговаря на исканията за упражняване на правата на субектите на данни, определени в глава III;

е)  подпомага администратора да гарантира изпълнението на задълженията съгласно членове 25а—29;

ж)  връща всички резултати на администратора след приключване на обработката и не обработва по друг начин личните данни, както и заличава съществуващи копия, освен ако правото на Съюза или държавата членка изисква съхраняването им;

з)  предоставя на администратора и на надзорния орган цялата информация, необходима, за да се провери спазването на задълженията, определени в настоящия член;

и)  взема под внимание принципа на защита на данните още при проектирането и по подразбиране.

2a.  Администраторът и обработващият лични данни документират в писмена форма указанията на администратора и задължението на обработващия лични данни, посочено в параграф 2.

3.  Ако обработващ лични данни обработва лични данни, различни от онези, за които е получил указания от администратора, първият се счита за администратор по отношение на това обработване и спрямо него се прилагат правилата за съвместните администратори, установени в член 20. [Изм. 83]

Член 22

Обработване под ръководството на администратора и обработващия лични данни

1.   Държавите членки предвиждат, че обработващият лични данни и всяко лице, действащо под ръководството на администратора или на обработващия лични данни, което има достъп до личните данни, може да обработва тези данни само по указание на администратора или когато това се изисква от законодателството на Съюза или на държава членка.

1a.   Когато обработващият данни е или стане определяща страна по отношение на целите, средствата или методите на обработването на данните или не действа единствено по указания на администратора, той се счита за съвместен администратор по смисъла на член 20. [Изм. 84]

Член 23

Документация

1.  Държавите членки предвиждат задължение за всички администратори и обработващи лични данни да поддържат документация за всички системи и процедури за обработване, за които носят отговорност.

2.  Документацията съдържа най-малко следната информация:

а)  наименованието и данните за контакт на администратора или на всеки съвместен администратор или обработващ лични данни;

aa)   правно обвързващо споразумение, когато са налице съвместни администратори; списък на обработващите лични данни и извършените от тях дейности;

б)  целите на обработването;

бa)   указване на онези части от организацията на обработващия лични данни или администратора, на които е възложено обработването на лични данни с конкретна цел;

бб)  описание на категорията/ите на субектите на данни и на съответните данни или категории данни;

в)  получателите или категориите получатели на лични данни;

вa)  когато е приложимо, информация относно наличието на профилиране, на мерки, основани на профилиране, и на механизми за възразяване срещу профилиране;

вб)  лесна за разбиране информация относно логиката, прилагана при всяко автоматизирано обработване;

г)  предаването на данни на трета държава или международна организация, включително посочване на тази трета държава или международна организация, и правното основание за предаване на данните; дава се правно обяснение по същество, когато предаването е основано на член 35 или 36 от настоящата директива;

гa)  сроковете за заличаване на различните категории данни;

гб)  резултатите от проверките на мерките, предвидени в член 18, параграф 1;

гв)  указване на правното основание за операцията по обработване, за която са предназначени данните.

3.  При поискване администраторът и обработващият лични данни предоставят цялата тази документация на надзорния орган. [Изм. 85]

Член 24

Водене на записи

1.  Държавите членки вземат мерки за гарантиране, че се водят записи най-малко за следните операции по обработване: събиране, промяна, консултиране, разкриване, комбиниране или заличаване. Записите за извършено консултиране или разкриване посочват по-специално целта, датата и часа на такива операции и, доколкото е възможно, самоличността на лицето, което се е консултирало с личните данни или ги е разкрило, както и самоличността на получателите на тези данни.

2.  Записите се използват единствено за целите на проверяване на законосъобразността на обработването на данните, за самоконтрол и за гарантиране на непокътнатостта и сигурността на данните или с цел извършване на одит от длъжностното лице по защита на данните или от надзорния орган по защита на данните.

2a.  При поискване администраторът и обработващият лични данни предоставят тази документация на надзорния орган. [Изм. 86]

Член 25

Сътрудничество с надзорния орган

1.  Държавите членки предвиждат задължение за администратора и обработващия лични данни при поискване да сътрудничат на надзорния орган при изпълнението на неговите задължения, по-специално като предоставят всяка информация, необходима на надзорния орган за изпълнението на неговите задължения информацията, посочена в член 46, параграф 2, буква а), и като предоставят достъп, както е предвидено в член 46, параграф 2, буква б).

2.  При упражняване от страна на надзорния орган на правомощията по член 46, параграф 1, букви а) и б) администраторът и обработващият лични данни отговарят на този орган в разумен срок, който се определя от надзорния орган. Отговорът включва описание на предприетите мерки и постигнатите резултати в отговор на отправените от надзорния орган забележки. [Изм. 87]

Член 25а

Оценка на въздействието върху защитата на данните

1.  Държавите членки предвиждат администраторът или обработващият данни, който действа от името на администратора, да осъществяват оценка на въздействието на предвидените системи и процедури на обработване върху защитата на личните данни в случаите, когато операциите по обработка е възможно да носят със себе си конкретни рискове за правата и свободите на субектите на данни поради своето естество, обхват или цели, преди нови операции по обработване или възможно най-рано в случая на съществуващи операции на обработване.

2.  Вероятност да създадат специфичните рискове, посочени в параграф 1, има по-специално за следните операции по обработване:

a)  обработването на лични данни в широкомащабни регистри на данни за целите на предотвратяването, разкриването, разследването или наказателното преследване на престъпления и за изпълнението на наказателни санкции;

б)  обработването на специални категории лични данни съобразно посоченото в член 8, на лични данни, свързани с деца, и на биометрични и свързани с местонахождението данни за целите на предотвратяването, разкриването, разследването или наказателното преследване на престъпления и за изпълнението на наказателни санкции.

в)  оценка на лични аспекти, свързани с дадено физическо лице, за анализиране или прогнозиране, по-специално на неговото поведение, която се основава на автоматизирано обработване и която има вероятност да доведе до мерки, които пораждат правни последици за лицето или го засягат в значителна степен;

г)  наблюдение на публично достъпни райони, особено когато се използват оптично-електронни устройства (видео наблюдение); или

д)  други операции по обработване, за които се изисква консултация с надзорния орган съгласно член 26, параграф 1.

3.  Оценката съдържа най-малко:

a)  систематично описание на предвидените операции по обработване;

б)  оценка на необходимостта и пропорционалността на операциите по обработване във връзка с целите;

в)  оценка на рисковете за правата и свободите на субектите на данни и мерките, които са предвидени за справяне с тези рискове и свеждане до минимум на обема на обработваните лични данни;

г)  мерките за сигурност и механизмите за гарантиране на защитата на личните данни и за доказване на спазването на разпоредбите, които са приети в съответствие с настоящата директива, като се вземат предвид правата и законните интереси на субектите на данните и другите засегнати лица;

д)  общо указване на сроковете за заличаване на различните категории данни;

е)  когато е приложимо, списък на предвиденото предаване на данни на трета държава или международна организация, включително идентификацията на тази трета държава или международна организация, а в случай на предаванията на данни, посочени в член 36, параграф 2, документация за подходящите гаранции.

4.  Ако администраторът или обработващият данни е определил длъжностно лице по защита на данните, то участва в процедурата по оценка на въздействието.

5.  Държавите членки предвиждат задължение за администратора да се консултира с обществеността относно планираното обработване, без да се засяга защитата на обществените интереси или сигурността на операциите по обработване.

6.  Без да се засяга защитата на обществените интереси или сигурността на операциите по обработване, на обществеността се предоставя лесен достъп до оценката.

7.  На Комисията се предоставя правомощието, след като е поискала становището на Европейския комитет по защита на данните, да приема делегирани актове в съответствие с член 56 с цел допълнително уточняване на критериите и условията за операциите по обработване, за които съществува вероятност да създадат конкретните рискове, посочени в параграфи 1 и 2, както и изискванията за оценката, посочена в параграф 3, включително условията за измеримост, проверка и проверимост. [Изм. 88]

Член 26

Предварителна консултация с надзорния орган

1.  Държавите членки вземат мерки, за да гарантират, че администраторът или обработващият лични данни се консултира с надзорния орган преди обработването на лични данни, които ще бъдат част от нов регистър на лични данни, който предстои да бъде създаден, за да се гарантира съответствието на планираното обработване с приетите разпоредби съгласно настоящата директива, и по-специално за да се смекчат съпътстващите рискове за субектите на данните, когато:

а)  ще бъдат обработвани специални категории данни, посочени в член 8; дадена оценка на въздействието върху защитата на данните, както е предвидена в член 25а, показва, че поради своето естество, обхват и/или цели операциите по обработване има вероятност да създадат висока степен на конкретни рискове; или

б)  видът обработване, и по-специално използването на нови технологии, механизми или процедури, води до специфични рискове за основните права и свободи, и в частност за защитата на личните данни на субектите на данните. надзорният орган счита за необходимо да извърши предварителна консултация относно определени операции по обработване, които има вероятност да създадат конкретни рискове за правата и свободите на субектите на данните поради своето естество, обхват или цели.

1a.  Когато надзорният орган установи, в съответствие със своите правомощия, че планираното обработване не съответства на разпоредбите, приети в съответствие с настоящата директива, и по-специално когато рисковете са недостатъчно идентифицирани или смекчени, той забранява планираното обработване и прави подходящи предложения, за да се коригира това несъответствие.

2.  Държавите членки могат да предвидят предвиждат задължение за надзорния орган да изготви, след консултиране с Европейския комитет по защита на данните списък на операциите по обработване, за които е необходима предварителна консултация съгласно параграф 1, точка б).

2a.  Държавите членки гарантират, че администраторът или обработващият лични данни предоставя на надзорния орган оценката на въздействието върху защитата на данните, предвидена в член 25а, и при поискване – всякаква друга информация, която позволява на надзорния орган да извърши оценка на съответствието на обработването, и по-специално на рисковете за защитата на личните данни на субекта на данните и на съответните гаранции.

2б.  Ако надзорният орган е на мнение, че планираното обработване не съответства на разпоредбите, приети в съответствие с настоящата директива, или че рисковете са недостатъчно идентифицирани или смекчени, той прави подходящи предложения, за да се коригира това несъответствие.

2в.  Държавите членки могат да се консултират с надзорния орган при изготвянето на законодателна мярка, която да бъде приета от националния парламент, или на мярка, основаваща се на такава законодателна мярка, която определя естеството на обработването, за да се гарантира съответствието на планираното обработване съгласно настоящата директива, и по-специално за да се смекчат съпътстващите рискове за субектите на данните. [Изм. 89]

РАЗДЕЛ 2

СИГУРНОСТ НА ДАННИТЕ

Член 27

Сигурност на обработването

1.  Държавите членки предвиждат задължение за администратора и обработващия лични данни да предприемат подходящи технически и организационни мерки и процедури, за да гарантират ниво на сигурност, което отговаря на свързаните с обработването рискове и естеството на подлежащите на защита данни, като вземат предвид достиженията на техническия прогрес и разходите за тяхното внедряване.

2.  По отношение на автоматизираното обработване на данни всяка държава членка предвижда задължение след извършване на оценка на рисковете администраторът да въвежда мерки, имащи за цел:

а)  да се откаже достъп на неупълномощени лица до оборудването, използвано за обработване на лични данни (контрол на достъпа до оборудване);

б)  да се предотврати четенето, копирането, изменянето или отстраняването на информационни носители от неупълномощени лица (контрол на информационните носители);

в)  да се предотврати въвеждането на данни от неупълномощени лица, както и извършването на проверки, изменянето или заличаването на съхранявани лични данни от неупълномощени лица (контрол на съхраняването);

г)  да се предотврати използването на автоматизирани системи за обработване на данни от неупълномощени лица чрез устройства за предаване на информация (контрол на ползвателите);

д)  да се гарантира, че лицата, на които е разрешено да използват автоматизирана система за обработване на данни, имат достъп само до данните, които са обхванати от тяхното разрешение за достъп (контрол на достъпа до данни);

е)  да се гарантира възможността за проверка и установяване на кои органи са били или могат да бъдат изпратени или предоставени лични данни чрез оборудване за предаване на данни (контрол на комуникацията);

ж)  да се гарантира възможността за последващи проверка и установяване какви лични данни са били въведени в автоматизираните системи за обработване на данни, както и кога и от кого са били въведени тези данни (контрол на въвеждането);

з)  да се предотврати четенето, копирането, изменянето или заличаването на лични данни от неупълномощени лица в хода на предаването на данните или при пренасянето им на информационни носители (контрол на пренасянето);

и)  да се гарантира възможността за възстановяване на инсталираните системи в случай на прекъсване на функционирането (възстановяване);

й)  да се гарантира изпълнението на функциите на системата, докладването за появили се във функциите дефекти (надеждност), както и недопускане на увреждане на съхраняваните лични данни вследствие на неправилно функциониране на системата (непокътнатост);

йa)  да се гарантира, в случай на обработване на чувствителни лични данни съгласно член 8, че са налице допълнителните мерки за сигурност, за да се гарантира ситуационната осведоменост за рисковете и способността да се предприемат предпазни, коригиращи и смекчаващи последствията действия в почти реално време срещу установената уязвимост или инциденти, които могат да представляват риск за данните;

2a.  Държавите членки предвиждат, че обработващите личните данни могат да бъдат назначавани само ако гарантират, че спазват изискваните технически и организационни мерки по параграф 1 и спазват указанията по член 21, параграф 2, буква а). Компетентният орган извършва наблюдение над обработващия личните данни в това отношение.

3.  При необходимост Комисията може да приема актове за изпълнение за уточняване на изискванията, установени в параграфи 1 и 2, за различни ситуации, и по-специално стандарти за криптиране. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 57, параграф 2. [Изм. 90]

Член 28

Уведомяване на надзорния орган за нарушение на сигурността на личните данни

1.  Държавите членки предвиждат, че в случай на нарушение на сигурността на личните данни администраторът, без излишно забавяне и, когато това е осъществимо, не по-късно от 24 часа след установяването на такова нарушение, уведомява надзорния орган за нарушението на сигурността на личните данни. При поискване администраторът представя на надзорния орган мотивирана обосновка в случаите когато уведомлението не е подадено в срок от 24 часа на забавяне.

2.  Обработващият лични данни предупреждава и уведомява администратора незабавно след установяването на своевременно след установяването на нарушение на сигурността на лични данни.

3.  В уведомлението, посочено в параграф 1, се съдържат най-малко следните данни:

а)  описание на естеството на нарушението на сигурността на личните данни, включително категориите и броя на засегнатите субекти на данни и категориите и количеството на засегнатите записи от данни;

б)  посочване на самоличността и координатите за връзка на длъжностното лице по защита на данните, посочено в член 30, или на друго звено за контакт, от което може да се получи повече информация;

в)  препоръка относно мерките за намаляване на евентуалните неблагоприятни последици от нарушението на сигурността на личните данни;

г)  описание на възможните последици от нарушението на сигурността на личните данни;

д)  описание на предложените или предприетите от администратора мерки за справяне с нарушението на сигурността на личните данни и за смекчаване на неговите въздействия.

Ако цялата информация не може да бъде представена своевременно, администраторът може да осъществи уведомяването на втори етап.

4.  Държавите членки предвиждат задължение за администратора да документира всяко нарушение на сигурността на личните данни, като включва фактите, свързани с нарушението, последиците от него и предприетите действия за справяне с него. Тази документация трябва да е достатъчна, за да позволява на надзорния орган да провери дали е спазен настоящият член. Документацията съдържа единствено информацията, необходима за тази цел.

4a.  Надзорният орган води публичен регистър на видовете съобщени нарушения.

5.  На Комисията се предоставя правомощието, след като е поискала становището на Европейския комитет по защита на данните, да приема делегирани актове в съответствие с член 56 с цел допълнително уточняване на критериите и изискванията за установяване на нарушението на сигурността на данните, посочено в параграфи 1 и 2, както и на конкретните обстоятелства, при които се изисква администраторът и обработващият лични данни да уведомят за това нарушение на сигурността на личните данни.

6.  Комисията може да установи образеца на такова уведомление до надзорния орган, приложимите процедури за изискването за уведомление, както и образеца и условията за документацията, посочена в параграф 4, включително сроковете за заличаване на съдържащата се в нея информация. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 57, параграф 2. [Изм. 91]

Член 29

Съобщаване на субекта на данните за нарушение на сигурността на личните данни

1.  Държавите членки предвиждат, че когато нарушението на сигурността на личните данни има вероятност да повлияе неблагоприятно на защитата на личните данни или, на неприкосновеността на личния живот на субекта на данните, на неговите права или законни интереси, администраторът, след като подаде уведомлението по член 28, съобщава на субекта на данните за нарушението на сигурността на личните данни без излишно забавяне.

2.  В Съобщението до субекта на данните, посочено в параграф 1, е обстойно и написано на ясен и прост език. В него се описва естеството на нарушението на сигурността на личните данни и се съдържат най-малко информацията и препоръките, предвидени член 28, параграф 3, букви б), в) и г), както и информация относно правата на субекта на данни, включително правна защита.

3.  Не се изисква съобщаване на субекта на данни за нарушение на сигурността на личните данни, ако администраторът е доказал в удовлетворителна степен пред надзорния орган, че е предприел подходящи технологични мерки за защита и че тези мерки са били приложени спрямо личните данни, засегнати от нарушението на сигурността на лични данни. Такива технологични мерки за защита правят данните неразбираеми за всяко лице, което няма разрешение за достъп до тях.

3a.  Без да се засяга задължението на администратора да уведоми субекта на данните за нарушението на сигурността на личните данни, ако администраторът все още не е съобщил на засегнатия субект на данни, надзорният орган може, след като отчете евентуалните неблагоприятни последици от нарушението, да изиска от администратора да извърши съобщаването.

4.  Съобщаването на субекта на данните може да бъде забавено, или ограничено по съдържание или да не бъде извършено, на основанията, посочени в член 11, параграф 4. [Изм. 92]

РАЗДЕЛ 3

ДЛЪЖНОСТНО ЛИЦЕ ПО ЗАЩИТА НА ДАННИТЕ

Член 30

Определяне на длъжностното лице по защита на данните

1.  Държавите членки предвиждат задължение за администратора или обработващия лични данни да определят длъжностно лице по защита на данните.

2.  Длъжностното лице по защита на данните се определя въз основа на неговите професионални качества и по-специално въз основа на експертните му познания в областта на законодателството и практиките в областта на защитата на данните и способността му да изпълнява задачите, посочени в член 32. Необходимото ниво на експертни знания се определя, по-специално, в съответствие с извършваното обработване на данни и защитата, която е необходима за личните данни, обработвани от администратора или обработващия лични данни.

2a.  Държавите членки предвиждат задължение за администратора или обработващия лични данни да гарантира, че всички други професионални задължения на длъжностното лице по защита на данните са съвместими със задачите и задълженията му като длъжностно лице по защита на данните и не водят до конфликт на интереси.

2б.  Длъжностното лице по защита на данните се назначава за срок от най-малко четири години. Длъжностното лице по защита на данните може да се преназначава за следващи мандати. По време на мандата си длъжностното лице по защита на данните може да бъде освободено от тази длъжност, ако престане да отговаря на необходимите условия за изпълнението на своите задължения.

2в.  Държавите членки предоставят на субекта на данните правото да се свързва с длъжностното лице по защита на данните по всички въпроси, свързани с обработването на неговите лични данни.

3.  Длъжностното лице по защита на данните може да бъде назначено да отговаря за няколко структурни звена, като се отчита организационната структура на компетентния орган.

3a.  Държавите членки предвиждат задължение за администратора или обработващият лични данни да съобщава името и координатите за връзка на длъжностното лице по защита на данните на надзорния орган и на обществеността. [Изм. 93]

Член 31

Длъжност на длъжностното лице по защита на данните

1.  Държавите членки предвиждат задължение за администратора или обработващия лични данни да гарантира, че длъжностното лице по защита на данните участва по подходящ начин и своевременно във всички въпроси, свързани със защитата на личните данни.

2.  Администраторът или обработващият лични данни вземат мерки, за да гарантират, че длъжностното лице по защита на данните разполага със средствата за ефективно изпълнение на задълженията и задачите по член 32 при условия на независимост и не получава указания относно упражняването на функциите си.

2a.  Администраторът или обработващият лични данни подпомага длъжностното лице по защита на данните при изпълнението на задачите му и осигурява персонала, помещенията, оборудването, продължаващото професионално обучение и всички други ресурси, необходими за изпълнение на задълженията и задачите, посочени в член 32, както и за поддържането на професионалните му знания. [Изм. 94]

Член 32

Задачи на длъжностното лице по защита на данните

Държавите членки предвиждат задължение за администратора или обработващия лични данни да възлага на длъжностното лице по защита на данните най-малко следните задачи:

а)  да повишава осведомеността, да информира и съветва администратора или обработващия лични данни за техните задължения в съответствие с разпоредбите, приети съгласно настоящата директива, по-специално по отношение на техническите и организационните мерки и процедури, и да документира тази дейност и получените отговори;

б)  да наблюдава изпълнението и прилагането на стратегиите по отношение на защитата на личните данни, включително възлагането на отговорности, обучаването на персонала, участващ в операциите по обработване, и свързаните с това одити;

в)  да наблюдава изпълнението и прилагането на разпоредбите, приети съгласно настоящата директива, по-специално по отношение на изискванията, свързани със защитата на данните още при проектирането, защитата на данните по подразбиране и сигурността на данните, както и по отношение на информирането на субектите на данни и техните искания при упражняване на правата им съгласно разпоредбите, приети въз основа на настоящата директива;

г)  да гарантира поддържането на документацията, посочена в член 23;

д)  да наблюдава документирането, уведомяването и съобщаването за нарушения на сигурността на личните данни съгласно членове 28 и 29;

е)  да наблюдава извършването на оценката на въздействието върху защитата на данните от администратора или обработващия лични данни и прилагането на процедурата за предварителна консултация с надзорния орган, ако съгласно член 26, параграф 1 се изисква такава;

ж)  да наблюдава отговорите на искания от надзорния орган и, в рамките на компетентността на длъжностното лице по защита на данните, да си сътрудничи с надзорния орган по искане на последния или по своя собствена инициатива;

з)  да действа като звено за контакт за надзорния орган по въпроси, свързани с обработването на данни, и, ако е необходимо, да се консултира с надзорния орган по своя собствена инициатива. [Изм. 95]

ГЛАВА V

ПРЕДАВАНЕ НА ЛИЧНИ ДАННИ НА ТРЕТИ ДЪРЖАВИ ИЛИ МЕЖДУНАРОДНИ ОРГАНИЗАЦИИ

Член 33

Общи принципи за предаване на лични данни

Държавите членки предвиждат, че предаването от компетентни органи на лични данни, които се обработват или са предназначени за обработване след предаването им на трета държава или на международна организация, включително по-нататъшно предаване на друга трета държава или международна организация, може да се извършва, само ако:

а)  предаването конкретното предаване е необходимо за предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции; както и

aa)  данните се предават на администратор в трета държава или на международна организация — публичен орган, компетентен за целите, предвидени в член 1, параграф 1; както и

aб)  условията, установени в настоящата глава, се спазват от администратора и обработващия данни, включително с цел по-нататъшно предаване на лични данни от трета държава или международна организация до друга трета държава или международна организация; както и

б)  администраторът и обработващият лични данни спазват разпоредбите, установени в настоящата глава другите разпоредби, приети в съответствие с настоящата директива; както и;

бa)  нивото на защита на физическите лица във връзка с обработването на лични данни, гарантирано в Съюза по силата на настоящата директива, не се понижава; както и

бб)  Комисията е решила, съгласно условията и процедурата, посочени в член 34, че въпросната трета държава или международна организация гарантира адекватно ниво на защита; или

бв)  в правно обвързващ инструмент са предвидени подходящи гаранции във връзка със защитата на личните данни, както е предвидено в член 35.

Държавите членки предвиждат, че по-нататъшното предаване, посочено в параграф 1 от настоящия член, може да се извършва, само ако, в допълнение към условията, посочени в същия параграф:

a)  по-нататъшното предаване е необходимо за същата специфична цел като първоначалното предаване; както и

б)  компетентният орган, извършил първоначалното предаване, разрешава по-нататъшното предаване. [Изм. 96]

Член 34

Предаване на данни въз основа на решение относно адекватността

1.  Държавите членки предвиждат, че предаване на лични данни на трета държава или международна организация може да се осъществи когато Комисията е решила в съответствие с член 41 от Регламент (ЕС) № …./2012 или в съответствие с параграф 3 от настоящия член, че третата държава или територия или обработващ сектор в тази трета държава, или въпросната международна организация гарантира адекватно ниво на защита. За такова предаване не се изисква допълнително специално разрешение.

2.  Когато няма прието решение съгласно член 41 от Регламент (ЕС) № …/2012, При оценяване на адекватността на нивото на защита Комисията оценява адекватността на нивото на защита, като отчита следните елементи:

а)  принципите на правовата държава, съответното действащо законодателство — както общото, така и секторното — включително това, което се отнася до обществената сигурност, отбраната, националната сигурност и наказателното право, както и изпълнението на това законодателство и мерките за сигурност, които се спазват в тази държава или от тази международна организация; прецедентите от съдебната практика, както и действителните и противопоставимите права, включително правото на ефективна административна и съдебна защита за субектите на данни, по-специално за онези субекти на данни, пребиваващи в Съюза, чиито лични данни се предават;

б)  съществуването и ефективното функциониране на един или повече независими надзорни органи във въпросната трета държава или международна организация, отговорни за гарантиране на спазването на правилата за защита на данните, включително достатъчно правомощия за налагане на санкции, за подпомагане и консултиране на субектите на данни при упражняването на техните права и за осъществяване на сътрудничество с надзорните органи на Съюза и на държавите членки; както и

в)  международните ангажименти, които въпросната трета държава или международна организация е поела, по-специално всички правно обвързващи конвенции или инструменти съгласно правото по отношение на защитата на личните данни.

3.  На Комисията може да се предоставя правомощието, след като е поискала становището на Европейския комитет по защита на данните, да приема делегирани актове в съответствие с член 56, за да реши, в рамките на обхвата на настоящата директива, че дадена трета държава или територия или обработващ сектор в тази трета държава, или дадена международна организация осигурява адекватно ниво на защита по смисъла на параграф 2. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 57, параграф 2.

4.  В акта за изпълнение делегирания акт се посочва неговото географско и секторно приложение и, когато е приложимо, се указва надзорният орган, упоменат в параграф 2, буква б).

4a.  Комисията осъществява постоянен мониторинг на развитието, което би могло да повлияе на изпълнението на елементите, описани в параграф 2, както в трети държави, така и в международни организации, във връзка с които е приет делегираният акт съгласно параграф 3.

5.  На Комисията може се предоставя правомощието да приема делегирани актове в съответствие с член 56, за да реши, в рамките на обхвата на настоящата директива, че дадена трета държава или територия или обработващ сектор в тази трета държава, или дадена международна организация не осигурява адекватно ниво на защита по смисъла на параграф 2, по-специално в случаи, в които съответното законодателство, както общото, така и секторното, което е в сила в третата държава или международната организация, не гарантира действащи и противопоставими права, включително право на ефективна административна и съдебна защита за субектите на данни, по-специално за онези субекти на данни, чиито лични данни се предават. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 57, параграф 2, или, в особено спешни за физическите лица случаи във връзка с правото им на защита на личните данни ― в съответствие с процедурата, посочена в член 57, параграф 3.

6.  Държавите членки вземат мерки, за да гарантират, че когато Комисията вземе решение съгласно параграф 5 за забрана на всякакво предаване на лични данни на третата държава или територия, или обработващ сектор в тази трета държава, или на въпросната международна организация, това решение не възпрепятства предаването на данни съгласно член 35, параграф 1 или съгласно член 36 се забранява. В подходящия момент Комисията започва консултации с третата държава или международна организация с цел да коригира ситуацията, произтичаща от решението, взето по силата на параграф 5 от настоящия член.

7.  Комисията публикува в Официален вестник на Европейския съюз списък на тези трети държави, територии и обработващи сектори в трета държава или международни организации, за които е решила, че осигуряват или че не осигуряват адекватно ниво на защита.

8.  Комисията наблюдава прилагането на актовете за изпълнение делегираните актове, посочени в параграфи 3 и 5. [Изм. 97]

Член 35

Предаване на данни с подходящи гаранции

1.  Когато Комисията не е взела решение по силата на член 34 държавите членки предвиждат, че може да се извърши предаване на лични данни на получател или когато реши, че трета държава или територия в трета държава или на международна организация когато: не осигурява адекватно ниво на защита в съответствие с член 34, параграф 5, даден администратор или обработващ лични данни може да предава лични данни на трета държава, територия в трета държава или международна организация само ако администраторът или обработващият лични данни е предвидил в правно обвързващ инструмент подходящи гаранции във връзка със защитата на личните данни.

а)  в правно обвързващ инструмент са предвидени подходящи гаранции във връзка със защитата на личните данни; или

б)  администраторът или обработващият лични данни е извършил оценка на всички обстоятелства около прехвърлянето на лични данни и е стигнал до заключението, че по отношение на защитата на личните данни съществуват подходящи гаранции.

2.   Решението за прехвърляния по параграф 1, буква б) трябва да бъде взето от надлежно оправомощен персонал. Тези прехвърляния трябва да бъдат документирани и документацията трябва да се предостави на надзорния орган при поискване разрешени от надзорния орган преди да се извършат. [Изм. 98]

Член 36

Дерогации

1.  Ако Комисията е установила съгласно член 34, параграф 5, че не е осигурено адекватно равнище на защита, не се извършва предаване на лични данни на третата държава или съответната международна организация, доколкото във въпросния случай законните интереси на субекта на данните по отношение на предотвратяване на предаването надделяват над обществения интерес по отношение на предаването на данните.

2.   Чрез дерогация от членове 34 и 35 държавите членки предвиждат, че предаване на лични данни на трета държава или международна организация може да се извърши само при условие че:

а)  предаването е необходимо, за да бъдат защитени жизненоважни интереси на субекта на данни или на друго лице; или

б)  предаването е необходимо, за да бъдат защитени законни интереси на субекта на данните, когато законодателството на държавата членка, която предава данните, предвижда това; или

в)  предаването на данните е от съществено значение за предотвратяването на непосредствена и сериозна заплаха за обществената сигурност на държава членка или на трета държава; или

г)  предаването е необходимо в отделни случаи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или за изпълнението на наказателни санкции; или

д)  предаването е необходимо в отделни случаи за установяването, упражняването или защитата на правни претенции, свързани с предотвратяването, разследването, разкриването или наказателното преследване на конкретно престъпление или за изпълнението на конкретна наказателна санкция.

2a.  За обработване по параграф 2 трябва да има правно основание в правото на Съюза или правото на държавата членка, чийто субект е администраторът; това право трябва да отговаря на цел от обществен интерес или на нуждата от защита на правата и свободите на други лица, да зачита същността на правото на защита на личните данни и да е пропорционално на преследваната законосъобразна цел.

2б.  Всяко предаване на лични данни, за което е взето решение въз основа на дерогации, се обосновава надлежно и се ограничава до строго необходимото, като не се разрешава често или масово предаване на данни.

2в.  Решението за прехвърляния по параграф 2 трябва да бъде взето от надлежно оправомощен персонал. Тези прехвърляния трябва да се документират и документацията трябва да бъде достъпна за надзорния орган при поискване, включително датата и момента на прехвърляне, информация относно получаващия орган, обосновка на прехвърлянето и прехвърлени данни. [Изм. 99]

Член 37

Специални условия за предаването на лични данни

Държавите членки предвиждат задължение за администратора да информира получателя на личните данни за всички ограничения върху обработването и да вземе всички основателни мерки, за да гарантира, че тези ограничения се спазват. Администраторът също така уведомява получателя на личните данни за всяко актуализиране, поправяне или заличаване на данни, като получателят на свой ред прави съответното уведомление в случай на последващо прехвърляне на данните. [Изм. 100]

Член 38

Международно сътрудничество за защита на личните данни

1.  По отношение на трети държави и международни организации Комисията и държавите членки предприемат подходящи мерки за:

а)  разработване на ефективни механизми за международно сътрудничество с цел улесняване гарантиране на прилагането на законодателството за защита на личните данни; [Изм. 101]

б)  осигуряване на международна взаимопомощ при прилагането на законодателството за защита на личните данни, включително чрез уведомяване, препращане на жалби, помощ при разследвания и обмен на информация при условие, че има подходящи гаранции за защитата на личните данни и другите основни права и свободи;

в)  включване на съответните заинтересовани страни в обсъждания и дейности, насочени към допълнително задълбочаване на международното сътрудничество за прилагането на законодателството за защита на личните данни;

г)  насърчаване на обмена и документирането на законодателството и практиките в областта на защитата на личните данни;

гa)  изясняване и консултиране относно правораздавателни конфликти с трети държави. [Изм. 102]

2.  За целите на параграф 1 Комисията взема подходящи мерки за укрепване на отношенията с трети държави или международни организации, и по-специално с техните надзорни органи, когато Комисията е решила, че те осигуряват адекватно ниво на защита по смисъла на член 34, параграф 3.

Член 38а

Доклад на Комисията

Комисията редовно представя на Европейския парламент и на Съвета доклади относно прилагането на членове 33—38. Първият доклад се представя не по-късно от четири години след влизането в сила на настоящата директива. За целта Комисията може да изисква информация от държавите членки и надзорните органи, които следва да предоставят тази информация своевременно. Докладът се оповестява публично. [Изм. 103]

ГЛАВА VI

НЕЗАВИСИМИ НАДЗОРНИ ОРГАНИ

РАЗДЕЛ 1

НЕЗАВИСИМ СТАТУТ

Член 39

Надзорен орган

1.  Всяка държава членка предвижда, че един или повече публични органи отговарят за наблюдението на прилагането на разпоредбите, приети съгласно настоящата директива, и допринасят за нейното съгласувано прилагане навсякъде в Съюза с цел да се защитят основните права и свободи на физическите лица във връзка с обработването на личните им данни и да се улесни свободното движение на лични данни в рамките на Съюза. За тази цел надзорните органи си сътрудничат помежду си и с Комисията.

2.  Държавите членки могат да предвидят, че надзорният орган, създаден от тях по силата на Регламент (ЕС) № ..../2014, отговаря за изпълнението на задачите на надзорния орган, които трябва да бъде създаден съгласно параграф 1 от настоящия член.

3.  Когато в дадена държава членка е създаден повече от един надзорен орган, тази държава членка определя надзорния орган, който ще функционира като единно звено за контакт за ефективното участие на тези органи в Европейския комитет по защита на данните.

Член 40

Независимост

1.  Държавите членки гарантират, че надзорният орган действа напълно независимо при изпълнението на задълженията и правомощията, които са му възложени, независимо от споразумения за сътрудничество съобразно глава VII от настоящата директива. [Изм. 104]

2.  Всяка държава членка предвижда, че при изпълнение на своите задължения членовете на надзорния орган не търсят и не приемат указания от никого, както и поддържат пълна независимост и безпристрастност. [Изм. 105]

3.  Членовете на надзорния орган се въздържат от всякакви несъвместими с длъжностните им задължения действия и по време на своя мандат не се ангажират с никакви несъвместими функции, независимо дали срещу възнаграждение или безвъзмездно.

4.  Членовете на надзорния орган проявяват почтеност и тактичност по отношение на приемането на назначения и облаги след края на мандата си.

5.  Всяка държава членка гарантира, че на надзорния орган са предоставени подходящи човешки, технически и финансови ресурси, помещения и инфраструктура, необходими за ефективното изпълнение на неговите задължения и правомощия, включително на тези, които ще бъдат изпълнявани в контекста на взаимопомощта, сътрудничеството и активното участие в Европейския комитет по защита на данните.

6.  Всяка държава членка гарантира, че надзорният орган трябва да има свой собствен персонал, който се назначава от ръководителя на надзорния орган и e подчинен на него.

7.  Държавите членки гарантират, че по отношение на надзорния орган се извършва финансов контрол, който не накърнява неговата независимост. Държавите членки гарантират, че надзорният орган има отделни годишни бюджети. Бюджетите се оповестяват публично.

Член 41

Общи условия за членовете на надзорния орган

1.  Държавите членки предвиждат, че членовете на надзорния орган трябва да се назначават или от парламента, или от правителството на съответната държава членка.

2.  Членовете се избират измежду лица, чиято независимост не подлежи на съмнение и за които е доказано, че притежават необходимите опит и умения, за да изпълняват задълженията си.

3.  Задълженията на даден член приключват при изтичането на мандата му, подаването на оставка или задължителното му пенсиониране в съответствие с параграф 5.

4.  Член на надзорния орган може да бъде освободен или лишен от правото на пенсия или други облаги от компетентния национален съд, ако този член престане да отговаря на необходимите условия за изпълнение на задълженията или е виновен за извършването на тежко провинение.

5.  При изтичане на мандата или подаване на оставка от даден член, той продължава да изпълнява задълженията си, докато бъде назначен нов член.

Член 42

Правила за създаването на надзорния орган

Всяка държава членка урежда със закон:

а)  създаването и статута на надзорния орган в съответствие с членове 39 и 40;

б)  необходимите квалификации, опит и умения за изпълнение на задълженията на членовете на надзорния орган;

в)  правилата и процедурите за назначаването на членовете на надзорния орган, както и правилата относно несъвместимите със служебните им задължения действия или функции;

г)  продължителността на мандата на членовете на надзорния орган, която е не по-малко от четири години, с изключение на първите назначения след влизането в сила на настоящата директива, някои от които може да са за по-кратък срок;

д)  дали членовете на надзорния орган могат да бъдат преназначавани;

е)  правилника и общите условия за изпълнение на задълженията на членовете и персонала на надзорния орган;

ж)  правилата и процедурите за прекратяване на задълженията на членовете на надзорния орган, включително ако престанат да отговарят на необходимите условия за изпълнение на техните задължения или са виновни за извършването на тежко провинение.

Член 43

Професионална тайна

Държавите членки предвиждат, че както по време на мандата си, така и след неговото изтичане, и в съответствие с националното законодателство и практика, членовете и персоналът на надзорния орган са обвързани със задължение за опазване на професионална тайна по отношение на всякаква поверителна информация, която е стигнала до тяхното знание в хода на изпълнение на служебните им задължения, като те са изпълнявали тези задължения при независимост и прозрачност съобразно настоящата директива. [Изм. 106]

РАЗДЕЛ 2

ЗАДЪЛЖЕНИЯ И ПРАВОМОЩИЯ

Член 44

Компетентност

1.  Държавите членки предвиждат, че всеки надзорен орган е компетентен да изпълнява задълженията и да упражнява на територията на своята държава членка правомощията, предоставени му в съответствие с настоящата директива. [Изм. 107]

2.  Държавите членки предвиждат, че надзорният орган не е компетентен да осъществява надзор на дейностите по обработване, извършвани от съдилищата при изпълнение на съдебните им функции.

Член 45

Задължения

1.  Държавите членки предвиждат, че надзорният орган:

а)  наблюдава и гарантира прилагането на разпоредбите, приети съгласно настоящата директива, и мерките за изпълнението ѝ;

б)  разглежда жалбите, подадени от субект на данни или от сдружение, представляващо субекта на данни и надлежно упълномощено от него, в съответствие с член 50, разследва техния предмет дотолкова, доколкото това е целесъобразно, и информира субекта на данни или сдружението за напредъка и резултата от жалбата в разумен срок, особено ако е необходимо по-нататъшно разследване или координиране с друг надзорен орган;

в)  проверява законосъобразността на обработването на данните съгласно член 14 и информира в разумен срок субекта на данните за резултата от проверката или за причините, поради които проверката не е била извършена;

г)  предоставя взаимопомощ на други надзорни органи и осигурява съгласуваното прилагане и изпълнение на разпоредбите, приети по силата на настоящата директива;

д)  провежда разследвания, проверки и одити по своя инициатива или въз основа на жалба, или по искане на друг надзорен орган, и информира в разумен срок съответния субект на данни, ако той е подал жалба, за резултата от разследванията;

е)  наблюдава съответното развитие, по-специално в областта на информационните и комуникационни технологии, дотолкова доколкото то има въздействие върху защитата на личните данни;

ж)  предоставя консултации на институциите и органите на държавата членка относно законодателни и административни мерки, отнасящи се до защитата на правата и свободите на физическите лица по отношение на обработването на лични данни;

з)  предоставя консултации относно операциите по обработване съгласно член 26;

и)  участва в дейностите на Европейския комитет по защита на данните.

2.  Всеки надзорен орган насърчава обществената информираност относно рисковете, правилата, гаранциите и правата, свързани с обработването на лични данни. Обръща се специално внимание на дейностите, конкретно насочени към децата.

3.  При поискване надзорният орган консултира субектите на данни при упражняването на правата, установени с разпоредби, приети съгласно настоящата директива, и ако е целесъобразно, си сътрудничи за тази цел с надзорните органи в други държави членки.

4.  За жалбите, посочени в параграф 1, буква б), надзорният орган предоставя формуляр за подаване на жалби, който може да бъде попълнен по електронен път, без да се изключват други средства за комуникация.

5.  Държавите членки предвиждат, че изпълнението на задълженията на надзорния орган е безплатно за субекта на данни.

6.  Когато исканията са проява на злонамереност явно прекомерни, по-специално поради своята повторяемост, надзорният орган може да поиска заплащането на дадена разумна сума или да не изпълни поисканото от субекта на данни действие. Размерът на тази такса не превишава разходите за предприемане на исканото действие. Надзорният орган носи тежестта на доказване на злонамереността явната прекомерност на искането. [Изм. 108]

Член 46

Правомощия

1.   Държавите членки предвиждат, че на всеки надзорен орган трябва по-специално да бъдат предоставени има правомощието:

а)  правомощия за разследване, например правомощия за достъп до данните, които са обект на операциите по обработване, и правомощия да събира цялата информация, необходима за изпълнението на неговите надзорни функции; да уведомява администратора или обработващия лични данни за предполагаемо нарушение на разпоредбите, уреждащи обработването на лични данни, и при необходимост да разпорежда на администратора или обработващия лични данни да отстрани това нарушение по конкретен начин, за да се подобри защитата на субекта на данни;

б)  действителни правомощия за намеса, например даване на становища преди извършването на обработване и осигуряване на подходящо публикуване на тези становища, даване на разпореждания за ограничаване, заличаване или унищожаване на данни, налагане на временна или окончателна забрана за обработване, отправяне на предупреждения или порицания към администратора или отнасяне на въпроса до националните парламенти или други политически институции; да разпорежда на администратора да се съобрази с исканията на субекта на данни, свързани с упражняването на правата, предоставени от настоящата директива, включително тези, предоставени с членове 12—17, когато такива искания са били отказани в нарушение на тези разпоредби;

в)  правомощието да участва в съдебни производства, когато разпоредбите, приети по силата на настоящата директива, са нарушени, или да сезира съдебните органи за нарушение. да разпорежда на администратора или обработващия лични данни да предостави информация по силата на член 10, параграфи 1 и 2 и членове 11, 28 и 29;

г)  да осигурява спазването на становищата за предварителните консултации, посочени в член 26;

д)  да отправя предупреждения или порицания до администратора или обработващия лични данни;

е)  да разпорежда коригирането, заличаването или унищожаването на всички данни, когато са били обработени в нарушение на разпоредбите, приети съгласно настоящата директива, както и уведомяването за тези действия на трети страни, пред които са били разкрити данните;

ж)  да налага временна или окончателна забрана за обработване;

з)  да преустановява потоци от данни към получател в трета държава или към международна организация;

и)  да информира националните парламенти, правителството или други публични институции, както и обществеността по този въпрос.

2.  Всеки надзорен орган има правомощието за разследване, съгласно което може да получава от администратора или обработващия лични данни:

a)  достъп до всички лични данни и до цялата информация, необходима за изпълнението на надзорните му функции;

б)  достъп до всички негови помещения, включително до оборудване и средства за обработване на данни, в съответствие с националното законодателство, когато съществуват разумни основания да се предполага, че в тях се осъществява дейност в нарушение на разпоредбите, приети съгласно настоящата директива, без да се засяга съдебно разрешение, ако то се изисква от националното законодателство.

3.  Без да се засяга член 43, държавите членки предвиждат, че никакви допълнителни изисквания за опазване на тайна няма да се издават към исканията на надзорните органи.

4.  Държавите членки могат да предвидят, че в съответствие с националното законодателство се изискват допълнителни проверки за сигурност за достъп до класифицирана информация на равнище, подобно на EU CONFIDENTIAL или по-високо. Ако съгласно законодателството на държавата членка на съответния надзорен орган не се изискват допълнителни проверки за сигурност, това трябва да бъде признато от всички други държави членки.

5.  Всеки надзорен орган има правомощието да сведе до знанието на съдебните органи нарушения на разпоредбите, приети съгласно настоящата директива, и да участва в съдебни производства и да завежда дела пред компетентния съд по силата член 53, параграф 2.

6.  Всеки надзорен орган има правомощието да налага санкции по отношение на административни нарушения. [Изм. 109]

Член 46а

Докладване на нарушения

1.  Държавите членки гарантират, че надзорните органи отчитат насоките, публикувани от Европейския комитет по защита на данните съобразно член 66, параграф 4б от Регламент (ЕС) .../2014, и въвеждат ефективни механизми за насърчаване на поверителното докладване на нарушения на директивата.

2.  Държавите членки гарантират, че компетентните органи въвеждат ефективни механизми за насърчаване на поверителното докладване на нарушения на директивата. [Изм. 110]

Член 47

Доклад за дейността

Държавите членки предвиждат, че всеки надзорен орган изготвя годишен доклад за дейността си най-малко на всеки две години. Докладът се предоставя на обществеността, на съответния парламент, на Комисията и на Европейския комитет по защита на данните. Той съдържа информация за степента, в която компетентните органи под тяхна юрисдикция имат достъп до данни, притежавани от частни лица, за разследване или наказателно преследване на престъпления. [Изм. 111]

ГЛАВА VII

СЪТРУДНИЧЕСТВО

Член 48

Взаимопомощ

1.  Държавите членки предвиждат, че надзорните органи се подпомагат взаимно, за да изпълняват и прилагат разпоредбите съгласно настоящата директива по съгласуван начин, и въвеждат мерки за ефективно сътрудничество помежду си. Взаимопомощта обхваща по-специално искания за информация и мерки за надзор, например искания за извършване на предварителни консултации, проверки и разследвания.

2.  Държавите членки предвиждат задължение за надзорния орган да взема всички подходящи мерки, които са необходими, за да отговори на исканията на друг надзорен орган. Такива мерки могат да включват, по-специално, предаване на значима информация или мерки за правоприлагане с цел спиране или забрана на операции по обработване, които противоречат на настоящата директива, без забавяне и не по-късно от един месец след получаване на искането.

2a.  Искането за помощ съдържа цялата необходима информация, включително целта на искането и причините за него. Обменената информация се използва единствено по отношение на въпросите, за които е поискана.

2б.  Надзорен орган, до който е изпратено искане за помощ, няма право да откаже да го изпълни, освен ако:

a)  не е компетентен да разгледа искането; или

б)  изпълнението на искането би било несъвместимо с разпоредбите, приети съгласно настоящата директива.

3.  Надзорният орган, до който е отправено искането, информира искащия надзорен орган за резултатите или, в зависимост от случая, за напредъка или предприетите мерки за изпълнение на искането на искащия надзорен орган.

3a.  Надзорните органи предоставят информацията, поискана от други надзорни органи, чрез електронни средства и във възможно най-кратък срок, като използват стандартизиран формат.

3б.  Не се събират такси за действията, предприети в отговор на искане за взаимопомощ. [Изм. 112]

Член 48a

Съвместни операции

1.  Държавите членки предвиждат, че с цел да бъдат засилени сътрудничеството и взаимопомощта надзорните органи могат да изпълняват съвместни мерки за правоприлагане и други съвместни операции, в които участват определени членове или персонал на надзорните органи на други държави членки, в операции на територията на дадена държава членка.

2.  Държавите членки предвиждат, че в случаите, при които има вероятност от операции по обработване на данни да бъдат засегнати субекти на данни в друга държава членка или други държави членки, компетентният надзорен орган може да бъде поканен да участва в съвместните операции. Компетентният надзорен орган може да покани надзорния орган на всяка от тези държави членки да участва в съответната операция, а в случай че той е поканен, отговаря без забавяне на искането на даден надзорен орган да се включи в операциите.

3.  Държавите членки определят практическите аспекти на конкретните действия за сътрудничество. [Изм. 113]

Член 49

Задачи на Европейския комитет по защита на данните

1.  В рамките на настоящата директива Европейският комитет по защита на данните, създаден с Регламент (ЕС) № …/2012 2014, изпълнява следните задачи във връзка с обработването:

а)  консултира Комисията институциите на Съюза по всеки въпрос, свързан със защитата на личните данни в Съюза, включително относно всяко предложено изменение на настоящата директива;

б)  разглежда по искане на Комисията, Европейския парламент или Съвета, по своя собствена инициатива или по инициатива на някой от своите членове всеки въпрос, който се отнася до прилагането на разпоредбите, приети съгласно настоящата директива, и издава насоки, препоръки и най-добри практики, предназначени за надзорните органи с цел насърчаване на съгласуваното прилагане на тези разпоредби, включително относно използването на правомощия за правоприлагане;

в)  извършва преглед на практическото прилагане на насоките, препоръките и най-добрите практики, посочени в буква б), и докладва редовно на Комисията за това;

г)  предоставя на Комисията становища относно нивото на защита в трети държави или международни организации;

д)  насърчава сътрудничеството и ефективния двустранен и многостранен обмен на информация и практики между надзорните органи, включително координацията на съвместни операции и други съвместни дейности, когато вземе такова решение по искане на един или няколко надзорни органа;

е)  насърчава общите програми за обучение и улеснява обмена на персонал между надзорните органи, както и с надзорните органи на трети държави или на международни организации, когато е целесъобразно;

ж)  насърчава обмена на знания и документация с надзорните органи по защита на данните в цял свят, включително законодателство и практики в областта на защитата на данните;

жa)  дава становището си на Комисията при подготовката на делегирани актове и актове за изпълнение съгласно настоящата директива;

2.  Когато Европейският парламент, Съветът или Комисията поиска поискат съвет от Европейския комитет по защита на данните, тя може да определи срок, в рамките на който последният да предостави такъв съвет, като се взема предвид спешността на въпроса.

3.  Европейският комитет по защита на данните изпраща своите становища, насоки, препоръки и най-добри практики на Комисията и на комитета, посочен в член 57, параграф 1, и ги прави обществено достояние.

4.  Комисията информира Европейския комитет по защита на данните за действията, които е предприела вследствие на становищата, насоките, препоръките и най-добрите практики, издадени от Европейския комитет по защита на данните. [Изм. 114]

ГЛАВА VIII

СРЕДСТВА ЗА ПРАВНА ЗАЩИТА, ОТГОВОРНОСТ ЗА ПРИЧИНЕНИ ВРЕДИ И САНКЦИИ

Член 50

Право на подаване на жалба до надзорен орган

1.  Без да се засягат които и да било други средства за административна или правна защита, държавите членки предвиждат всеки субект на данни да има право да подаде жалба до надзорен орган в която и да било държава членка, ако счита, че обработването на личните му данни не е в съответствие с разпоредбите, приети съгласно настоящата директива.

2.  Държавите членки предвиждат право за всяка структура, организация или сдружение, действащо в обществен интерес и законосъобразно учредено съгласно правото на държава членка и чиято цел е да защитава правата и интересите на субектите на данни по отношение на защитата на техните лични данни, да подава жалби до надзорен орган в която и да било държава членка от името на един или повече субекти на данни, когато счита, че правата на даден субект на данни съгласно настоящата директива са били нарушени вследствие на обработването на лични данни. Организацията или сдружението трябва да бъдат надлежно упълномощени от субекта(ите) на данни. [Изм. 115]

3.  Държавите членки предвиждат право за всяка структура, организация или сдружение, посочено в параграф 2, да подаде жалба до надзорен орган в която и да било държава членка независимо от подадена от субект на данни жалба, когато счита, че е налице нарушение на сигурността на личните данни.

Член 51

Право на средства за съдебна защита срещу надзорен орган

1.  Държавите членки регламентират за всяко физическо или юридическо лице правото на средства за съдебна защита срещу решенията на надзорен орган, които ги засягат.

2.  Държавите членки предвиждат, че всеки субект на данни има право на средства за съдебна защита, за да задължи надзорния орган да предприеме действия по жалба, в случай че липсва решение, необходимо за защита на неговите права, или когато надзорният орган не информира субекта на данни в срок от три месеца за напредъка или резултата от жалбата съгласно член 45, параграф 1, буква б).

3.  Държавите членки предвиждат, че производствата срещу надзорните органи се завеждат пред съдилищата на държавата членка, в която е установен съответния надзорен орган.

3a.  Държавите членки гарантират, че окончателните решения на съда, посочени в настоящия член, ще бъдат изпълнени. [Изм. 116]

Член 52

Право на средства за съдебна защита срещу администратор или обработващ лични данни

1.   Без да се засяга което и да било административно средство за правна защита, което е на разположение, включително правото да се подаде жалба до надзорен орган, държавите членки регламентират правото на всяко физическо лице на средства за съдебна защита, ако то счита, че правата му, установени в разпоредби, приети съгласно настоящата директива, са нарушени вследствие на обработването на неговите лични данни при неспазване на горепосочените разпоредби.

1a.  Държавите членки гарантират, че окончателните решения на съда, посочени в настоящия член, ще бъдат изпълнени. [Изм. 117]

Член 53

Общи правила за съдебните производства

1.  Държавите членки предвиждат всички структури, организации или сдружения, посочени в член 50, параграф 2, да имат право да упражняват правата, посочени в членове 51 и, 52 и 54, от името на когато са упълномощени от един или повече субекти на данни. [Изм. 118]

2.  Държавите членки предвиждат, че всеки надзорен орган има право да участва в съдебни производства и да завежда дела пред съдилища с цел изпълнение на разпоредбите, приети съгласно настоящата директива, или с цел осигуряване на съгласуваност на защитата на лични данни в рамките на Съюза. [Изм. 119]

3.  Държавите членки гарантират, че съдебните производства, които са на разположение съгласно националното право, позволяват бързото приемане на мерки, включително временни мерки, предназначени за преустановяването на предполагаемо нарушение и за предотвратяването на по-нататъшно накърняване на съответните интереси.

Член 54

Отговорност за причинени вреди и право на обезщетение

1.  Държавите членки предвиждат, че всяко лице, което е претърпяло вреди, включително неимуществени вреди, в резултат на неправомерна операция по обработване или действие, което е несъвместимо с разпоредбите, приети съгласно настоящата директива, има право да получи изиска обезщетение от администратора или обработващия лични данни за претърпените вреди. [Изм. 120]

2.  Ако в обработването са участвали повече от един администратор или обработващ лични данни, всеки от тях е солидарно отговорен за целия размер на вредите.

3.  Администраторът или обработващият лични данни може да бъде изцяло или частично освободен от такава отговорност, ако докаже, че не носи отговорност за събитието, довело до причиняване на вредите.

Член 55

Санкции

Държавите членки установяват правилата относно санкциите, които се налагат при нарушения на разпоредбите, приети в съответствие с настоящата директива, и вземат всички необходими мерки за гарантиране на тяхното изпълнение. Предвидените санкции трябва да бъдат ефективни, пропорционални и възпиращи.

ГЛАВА VIIIА

ПРЕДАВАНЕ НА ЛИЧНИ ДАННИ НА ДРУГИ СТРАНИ

Член 55a

Предаване на лични данни на други органи или частни страни в Съюза

1.  Държавите членки гарантират, че администраторът не предава, нито изисква от обработващия данни да прехвърля лични данни на физически или юридически лица, които не спазват разпоредбите, приети съгласно настоящата директива, освен ако:

a)  предаването е в съответствие със законодателството на Съюза или на държава членка; както и

б)  получателят е установен в държава — членка на Европейския съюз; както и

в)  няма специфични законни интереси на субекта на данните, които да възпрепятстват предаването; както и

г)  в конкретния случай предаването е необходимо за администратора, предаващ лични данни за:

i)  изпълнението на законно възложена му задача; или

ii)  предотвратяването на непосредствена и сериозна опасност за обществената сигурност; или

iii)  предотвратяването на сериозно нарушение на правата на физически лица.

2.  Администраторът уведомява получателя относно целта, за която личните данни могат да бъдат обработвани изключително.

3.  Администраторът уведомява надзорния орган за такива предавания.

4.  Администраторът уведомява получателя за ограниченията, свързани с обработването, и гарантира спазването на тези ограничения. [Изм. 121]

ГЛАВА IX

ДЕЛЕГИРАНИ АКТОВЕ И АКТОВЕ ЗА ИЗПЪЛНЕНИЕ

Член 56

Упражняване на делегирането

1.  Правомощието да приема делегирани актове се предоставя на Комисията при спазване на предвидените в настоящия член условия.

2.  Правомощието да приема делегирани актове, посочено в член 25a, параграф 7, член 28, параграф 5, член 34, параграф 3 и член 34, параграф 5, се предоставя на Комисията за неопределен срок, считано от влизането в сила на настоящата директива.

3.  Делегирането на правомощия, посочено в член 25a, параграф 7, член 28, параграф 5, член 34, параграф 3 и член 34, параграф 5, може да бъде оттеглено по всяко време от Европейския парламент или от Съвета. С решението за оттегляне се прекратява посоченото в него делегиране на правомощия. То поражда действие в деня след публикуването на решението в Официален вестник на Европейския съюз или на по-късна, посочена в решението дата. То не засяга действителността на делегираните актове, които вече са в сила.

4.  Веднага след като приеме делегиран акт, Комисията нотифицира акта едновременно на Европейския парламент и Съвета.

5.  Делегиран акт, приет съгласно член 25a, параграф 7, член 28, параграф 5, член 34, параграф 3 и член 34, параграф 5, влиза в сила единствено ако нито Европейският парламент, нито Съветът не са представили възражения в срок от два шест месеца след нотифицирането на акта на Европейския парламент и Съвета или ако преди изтичането на този срок и Европейският парламент, и Съветът са уведомили Комисията, че няма да представят възражения. Този срок се удължава с 2 месеца шест месеца по инициатива на Европейския парламент или на Съвета. [Изм. 122]

Член 56a

Краен срок за приемането на делегираните актове

Комисията приема делегираните актове по член 25a, параграф 7 и член 28, параграф 5 не по-късно от [шест месеца преди датата, посочена в член 62, параграф 1]. Комисията може да удължи срока, посочен в настоящия параграф, с шест месеца. [Изм. 123]

Член 57

Процедура на комитет

1.  Комисията се подпомага от комитет. Този комитет е комитет по смисъла на Регламент (ЕС) № 182/2011.

2.  При позоваване на настоящия параграф се прилага член 5 от Регламент (ЕС) № 182/2011.

3.  При позоваване на настоящия параграф се прилага член 8 от Регламент (ЕС) № 182/2011 във връзка с член 5 от него. [Изм. 124]

ГЛАВА X

ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ

Член 58

Отмяна

1.  Рамково решение 2008/977/ПВР се отменя.

2.  Позоваванията на отмененото рамково решение, посочено в параграф 1, се тълкуват като позовавания на настоящата директива.

Член 59

Връзка с предишни актове на Съюза за съдебно сътрудничество по наказателноправни въпроси и полицейско сътрудничество

Специалните разпоредби относно обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции, съдържащи се в актове на Съюза, приети преди датата на приемане на настоящата директива, с които се регламентират обработването на лични данни между държавите членки и достъпът на определени органи на държавите членки до информационни системи, създадени съгласно Договорите, и които попадат в приложното поле на настоящата директива, остават незасегнати.

Член 60

Връзка с по-рано сключени международни споразумения в областта на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество

Международните споразумения, сключени от държавите членки преди влизането в сила на настоящата директива, се изменят, когато е необходимо, в срок от пет години след влизането в сила на настоящата директива.

Член 61

Оценка

1.  След като изиска становище от Европейския комитет по защита на данните, Комисията извършва прави оценка на прилагането и изпълнението на настоящата директива. Тя извършва координация в тясно сътрудничество с държавите членки и включва обявени и необявени посещения. Европейският парламент и Съветът трябва да бъдат информирани по време на целия процес и да имат достъп до съответните документи.

2.  В срок от три две години след влизането в сила на настоящата директива Комисията извършва преглед на други актове, приети от Европейския съюз, които регламентират обработването на лични данни от компетентни органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции, по-специално приетите от Съюза актове, посочени в член 59, за да прецени необходимостта от привеждането им в съответствие с настоящата директива и, ако е целесъобразно, да изготви необходимите предложения за изменение на тези актове, така че да се осигури съгласуван подход към защитата на личните данни в рамките на приложното поле на настоящата директива с оглед на гарантирането на съгласувани и хомогенни правни норми, свързани с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции, в рамките на приложното поле на настоящата директива.

2a.  В рамките на две години от влизането в сила на настоящата директива Комисията представя подходящи предложения за преразглеждане на правната рамка, приложима за обработването на лични данни от институциите, органите, службите и агенциите на Съюза за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции, с оглед на гарантирането на съгласувани и хомогенни правни норми, свързани с основното право на защита на личните данни в Съюза.

3.  Съгласно параграф 1 Комисията редовно представя на Европейския парламент и на Съвета доклади относно оценката и прегледа на настоящата директива. Първите доклади се представят не по-късно от четири години след влизането в сила на настоящата директива. Следващите доклади се представят на всеки четири години след това. Комисията представя, ако е необходимо, подходящи предложения за изменение на настоящата директива и за привеждане в съответствие на други правни инструменти. Докладът се оповестява публично. [Изм. 125]

Член 62

Изпълнение

1.  Държавите членки приемат и публикуват най-късно до ...(12) законовите, подзаконовите и административните разпоредби, необходими, за да се съобразят с настоящата директива. Те незабавно съобщават на Комисията текста на тези разпоредби.

Те прилагат посочените разпоредби от ...*.

Когато държавите членки приемат тези разпоредби, в тях се съдържа позоваване на настоящата директива или то се извършва при официалното им публикуване. Условията и редът на позоваване се определят от държавите членки.

2.  Държавите членки съобщават на Комисията текста на основните разпоредби в националното право, които те приемат в областта, уредена с настоящата директива.

Член 63

Влизане в сила и прилагане

Настоящата директива влиза в сила на първия ден след публикуването ѝ в Официален вестник на Европейския съюз.

Член 64

Адресати

Адресати на настоящата директива са държавите членки.

Съставено в ...,

За Европейския парламент За Съвета

Председател Председател

(1) ОВ С 192, 30.6.2012 г., стр. 7.
(2) Позиция на Европейския парламент от 12 март 2014 г.
(3)Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 г. за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (OВ L 281, 23.11.1995 г., стр. 31).
(4)Рамково решение 2008/977/ПВР на Съвета от 27 ноември 2008 г. относно защитата на личните данни, обработвани в рамките на полицейското и съдебното сътрудничество по наказателноправни въпроси (OВ L 350, 30.12.2008 г., стр. 60).
(5) Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета от 18 декември 2000 г. относно защитата на физическите лица по отношение на обработката на лични данни от институциите и органите на Общността и относно свободното движение на такива данни (ОВ L 8, 12.1.2001 г., стр. 1).
(6)Регламент (ЕС) № 182/2011 на Европейския парламент и на Съвета от 16 февруари 2011 г. за установяване на общите правила и принципи относно реда и условията за контрол от страна на държавите членки върху упражняването на изпълнителните правомощия от страна на Комисията (OВ L 55, 28.2.2011 г., стр. 13).
(7)Директива 2011/93/ЕС на Европейския парламент и на Съвета от 13 декември 2011 г. относно борбата със сексуалното насилие и със сексуалната експлоатация на деца, както и с детската порнография и за замяна на Рамково решение 2004/68/ПВР на Съвета (ОВ L 335, 17.12.2011 г., стр. 1).
(8)OВ L 176, 10.7.1999 г., стр. 36.
(9)OВ L 53, 27.2.2008 г., стр. 52.
(10)ОВ L 160, 18.6.2011 г., стр. 19.
(11) ОВ C 369, 17.12.2011 г., стр. 14.
(12) Две години след влизането в сила на настоящата директива.

Правна информация - Политика за поверителност