Право на DSGVO

1. Настоящият регламент съдържа разпоредби относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни.
2. Настоящият регламент защитава основните права и свободи на физическите лица, и по-специално правото им на защита на личните данни.
3. Свободното движение на лични данни в рамките на Съюза не се ограничава или забранява на основания, свързани със защитата на физическите лица при обработването на лични данни.

1. Настоящият регламент се прилага за обработването на лични данни изцяло или частично с автоматични средства и за неавтоматичното обработване на лични данни, които се съхраняват или са предназначени да бъдат съхранявани в система от документи.
2. Настоящият регламент не се прилага за обработването на лични данни
   1. в контекста на дейност, която не попада в обхвата на правото на Съюза,
   2. от държавите-членки в контекста на дейности, попадащи в обхвата на дял V, глава 2 от ДЕС,
   3. от физически лица за упражняване на изключително лични или семейни дейности,
   4. от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции, включително предпазването от и предотвратяването на заплахи за обществената сигурност.
3. Регламент (ЕО) № 45/2001 се прилага за обработката на лични данни от институциите, органите, службите и агенциите на Съюза. Регламент (ЕО) № 45/2001 и други правни актове на Съюза, уреждащи такава обработка на лични данни, се адаптират към принципите и правилата, установени в настоящия регламент, в съответствие с член 98.
4. Настоящият регламент не засяга прилагането на Директива 2000/31/ЕО, и по-специално на разпоредбите на членове 12-15 от посочената директива относно отговорността на посредниците.

1. Настоящият регламент се прилага за обработването на лични данни, извършвано в контекста на дейностите на място на установяване на администратор или обработващ лични данни в Съюза, независимо дали обработването се извършва в Съюза.
2. Настоящият регламент се прилага за обработването на лични данни на субекти на данни, намиращи се в Съюза, от администратор или обработващ лични данни, който не е установен в Съюза, когато обработването на данните е свързано с
   1. да предлагат стоки или услуги на субекти на данни в Съюза, независимо от това дали тези субекти на данни трябва да извършат плащане;
   2. да наблюдава поведението на субектите на данни, доколкото поведението им се осъществява в Съюза.
3. Настоящият регламент се прилага за обработването на лични данни от администратор, който не е установен в Съюза, на място, уредено от правото на държава членка, въз основа на международното публично право.

За целите на настоящия регламент терминът:

1. "лични данни" означава всяка информация, свързана с идентифицирано или подлежащо на идентифициране физическо лице (наричано по-долу "субект на данни"); физическо лице, подлежащо на идентифициране, е лице, което може да бъде идентифицирано пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или чрез един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социалната идентичност на това физическо лице;
2. "Обработване" означава всяка операция или съвкупност от операции, които се извършват с лични данни или с набори от лични данни, независимо дали с автоматични средства или не, като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, използване, разкриване чрез предаване, разпространяване или предоставяне по друг начин, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
3. "Ограничаване на обработката" означава маркиране на съхранени лични данни с цел ограничаване на бъдещата им обработка;
4. "Профилиране" означава всяка форма на автоматизирано обработване на лични данни, която се състои в използването на лични данни за оценка на определени лични аспекти, свързани с физическо лице, по-специално за анализиране или прогнозиране на аспекти, свързани с работата на това физическо лице, неговото икономическо положение, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение;
5. "Псевдонимизация" означава обработване на лични данни по такъв начин, че личните данни вече да не могат да бъдат отнесени към конкретен субект на данни без използването на допълнителна информация, при условие че тази допълнителна информация се съхранява отделно и е предмет на технически и организационни мерки, за да се гарантира, че личните данни не се отнасят към идентифицирано или подлежащо на идентифициране физическо лице;
6. "файлова система" означава всяка структурирана колекция от лични данни, която е достъпна по определени критерии, независимо от това дали тази колекция се управлява централно, децентрално или по функционални или географски аспекти;
7. "администратор" означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработване на лични данни; когато целите и средствата за такова обработване се определят от правото на Съюза или на държава членка, администраторът или конкретните критерии за неговото определяне могат да бъдат предвидени в правото на Съюза или на държава членка;
8. "Обработващ лични данни" означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;
9. "получател" означава физическо или юридическо лице, публичен орган, агенция или друга структура, на която са разкрити личните данни, независимо дали е трета страна или не. ²Въпреки това публичните органи, които могат да получат лични данни в рамките на конкретно запитване в съответствие с правото на Съюза или правото на държава членка, не се считат за получатели; обработването на тези данни от тези публични органи се извършва в съответствие с приложимите правила за защита на данните в зависимост от целите на обработването;
10. "трета страна" означава физическо или юридическо лице, публичен орган, агенция или структура, различни от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или обработващия лични данни са упълномощени да обработват лични данни;
11. "Съгласие" на субекта на данните означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, с което той чрез изявление или ясно потвърждаващо действие изразява съгласието си с обработката на лични данни, свързани с него;
12. "нарушение на сигурността на личните данни" означава нарушение на сигурността, което води до унищожаване, загуба, промяна, неразрешено разкриване или достъп до предадени, съхранявани или обработени по друг начин лични данни, независимо дали е случайно или незаконно;
13. "генетични данни" означава лични данни, свързани с наследствените или придобитите генетични характеристики на физическо лице, които предоставят уникална информация за физиологията или здравето на това физическо лице и които са получени по-специално от анализа на биологична проба от съответното физическо лице;
14. "биометрични данни" означава лични данни, свързани с физическите, физиологичните или поведенческите характеристики на физическо лице, получени с помощта на специални технически процедури, които позволяват или потвърждават уникалната идентификация на това физическо лице, като например изображения на лицето или дактилоскопични данни;
15. "здравни данни" означава лични данни, свързани с физическото или психическото здраве на физическо лице, включително предоставянето на здравни услуги, от които се извлича информация за здравословното му състояние;
16. "Централен офис"
    1. в случай на администратор с обекти в повече от една държава членка - мястото на неговото главно управление в Съюза, освен ако решенията относно целите и средствата за обработване на лични данни се вземат в друг обект на администратора в Съюза и този обект е упълномощен да изпълнява тези решения, като в този случай обектът, който взема тези решения, се счита за основен обект;
    2. в случай на обработващ лични данни с обекти в повече от една държава членка - мястото на неговото главно управление в Съюза или, когато обработващият лични данни няма главно управление в Съюза, мястото на установяване на обработващия лични данни в Съюза, където основно се извършват дейностите по обработване в контекста на дейността на обект на обработващия лични данни, доколкото обработващият лични данни подлежи на специфични задължения съгласно настоящия регламент;
17. "представител" означава физическо или юридическо лице, установено в Съюза, което е било писмено назначено от администратора или обработващия лични данни в съответствие с член 27 и което представлява администратора или обработващия лични данни във връзка със съответните им задължения по настоящия регламент;
18. "дружество" означава физическо или юридическо лице, което извършва стопанска дейност, независимо от правната му форма, включително партньорства или сдружения, които редовно извършват стопанска дейност;
19. "група дружества" означава група, състояща се от контролиращо дружество и зависими от него дружества;
20. "задължителни фирмени правила" означава мерки за защита на личните данни, които администратор или обработващ лични данни, установен на територията на държава членка, се задължава да спазва по отношение на предаването или на набор от предавания на лични данни на администратор или обработващ лични данни в рамките на същата група предприятия или същата група предприятия, които извършват съвместна икономическа дейност в една или повече трети държави ;
21. "надзорен орган" означава независим публичен орган, създаден от държава членка в съответствие с член 51;
22. "засегнат надзорен орган" означава надзорен орган, който е засегнат от обработката на лични данни, тъй като
    1. администраторът или обработващият лични данни е установен на територията на държавата членка на този надзорен орган,
    2. това обработване има или може да има значително въздействие върху субектите на данни, пребиваващи в държавата членка на този надзорен орган, или
    3. до този надзорен орган е подадена жалба;
23. "трансгранична обработка" или
    1. обработване на лични данни, извършвано в контекста на дейностите на местата на установяване на администратора или обработващия лични данни в Съюза в повече от една държава членка, когато администраторът или обработващият лични данни е установен в повече от една държава членка, или
    2. обработване на лични данни, извършвано в контекста на дейностите на едно-единствено място на установяване на администратор или обработващ лични данни в Съюза, но което поражда или има вероятност да породи значителни последици за субектите на данни в повече от една държава членка;
24. "релевантно и обосновано възражение" означава възражение срещу проект на решение относно това дали е налице нарушение на настоящия регламент или дали планираното действие срещу администратора или обработващия лични данни е в съответствие с настоящия регламент, което ясно показва значимостта на рисковете, породени от проекта на решение, за основните права и свободи на субектите на данни и, когато е приложимо, за свободното движение на лични данни в Съюза;
25. "услуга на информационното общество" означава услуга, както е определена в член 1, точка 1, буква б) от Директива (ЕС) 2015/1535 на Европейския парламент и на Съвета¹ ;
26. "международна организация" означава международна организация и нейните подчинени органи или всеки друг орган, създаден чрез или въз основа на споразумение, сключено между две или повече държави.

1. Личните данни трябва да
   1. да се обработват законосъобразно, добросъвестно и по начин, който е разбираем за субекта на данните ("законосъобразност, добросъвестност и прозрачност");
   2. се събират за конкретни, изрично посочени и легитимни цели и не се обработват допълнително по начин, несъвместим с тези цели; по-нататъшното обработване за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели не се счита за несъвместимо с първоначалните цели ("ограничаване на целите") в съответствие с член 89, параграф 1;
   3. да бъдат адекватни, релевантни и ограничени до това, което е необходимо за целите на обработването ("свеждане на данните до минимум");
   4. да бъдат точни и, когато е необходимо, да се актуализират; трябва да се предприемат всички разумни стъпки, за да се гарантира, че личните данни, които са неточни, като се имат предвид целите, за които се обработват, се изтриват или коригират незабавно ("точност");
   5. се съхраняват във форма, която позволява идентифицирането на субектите на данни, за срок не по-дълъг от необходимия за целите, за които се обработват личните данни; личните данни могат да се съхраняват за по-дълги периоди, доколкото личните данни се обработват единствено за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели в съответствие с член 89, параграф 1, при условие че се прилагат подходящи технически и организационни мерки, изисквани от настоящия регламент, за да се гарантират правата и свободите на субекта на данните ("ограничение на съхранението");
   6. се обработват по начин, който гарантира подходяща сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се използват подходящи технически и организационни мерки ("цялостност и поверителност");
2. Администраторът носи отговорност за спазването на параграф 1 и трябва да може да докаже спазването ("отчетност").

1. Обработката е законосъобразна само ако е изпълнено поне едно от следните условия:
   1. Субектът на данните е дал съгласието си за обработване на личните му данни за една или повече конкретни цели;
   2. обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;
   3. обработването е необходимо за спазването на правно задължение, което се налага на администратора;
   4. обработването е необходимо, за да се защитят жизненоважните интереси на субекта на данните или на друго физическо лице;
   5. обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, предоставени на администратора;
   6. обработването е необходимо за целите на легитимните интереси, преследвани от администратора или от трета страна, освен когато пред тези интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете.

   Първа алинея, буква е) не се прилага за обработване, извършвано от публични органи при изпълнение на техните задачи.

2. Държавите членки могат да запазят или да въведат по-конкретни разпоредби, за да адаптират прилагането на правилата на настоящия регламент по отношение на обработването за изпълнение на параграф 1, букви в) и д), като допълнително уточнят конкретни изисквания за обработването и други мерки за гарантиране на законосъобразно и добросъвестно обработване, включително за други специфични ситуации на обработване, посочени в глава IX.
3. Правното основание за операциите по обработване, посочени в параграф 1, букви в) и д), се определя от
   1. право на Съюза или
   2. правото на държавите членки, което се прилага спрямо администратора.

   Целта на обработването се посочва в това правно основание или, по отношение на обработването, посочено в параграф 1, буква д), е необходима за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, предоставени на администратора. Това правно основание може да съдържа специфични разпоредби, адаптиращи прилагането на правилата на настоящия регламент, включително разпоредби относно общите условия, уреждащи законосъобразността на обработването от администратора, видовете обработвани данни, съответните субекти на данни, субектите, на които могат да бъдат разкривани личните данни, и целите, за които могат да бъдат разкривани, ограничението на целите, срока на съхранение и операциите и процедурите по обработване, които могат да бъдат прилагани, включително мерките за гарантиране на законосъобразно и добросъвестно обработване, като например мерките за други специфични ситуации на обработване, посочени в глава IX. Правото на Съюза или на държава членка трябва да преследва цел от обществен интерес и да е пропорционално на преследваната законна цел.

4. Когато обработването за цел, различна от тази, за която са били събрани личните данни, не се основава на съгласието на субекта на данните или на правото на Съюза или на държавата членка, което представлява необходима и пропорционална мярка в едно демократично общество за гарантиране на целите, посочени в член 23, параграф 1, администраторът, за да определи дали обработването за друга цел е съвместимо с целта, за която първоначално са били събрани личните данни, взема предвид, inter alia
   1. всякаква връзка между целите, за които са били събрани личните данни, и целите на планираното по-нататъшно обработване,
   2. контекста, в който са събрани личните данни, по-специално по отношение на взаимоотношенията между субектите на данни и администратора,
   3. естеството на личните данни, по-специално дали се обработват специални категории лични данни съгласно член 9 или дали се обработват лични данни, свързани с присъди и нарушения, съгласно член 10,
   4. възможните последици от планираното по-нататъшно обработване за субектите на данни,
   5. наличието на подходящи гаранции, които могат да включват криптиране или псевдонимизация.

1. Ако обработването се основава на съгласие, администраторът трябва да може да докаже, че субектът на данните е дал съгласието си за обработването на неговите лични данни.
2. Когато съгласието на субекта на данни се дава чрез писмена декларация, която се отнася и до други въпроси, искането за съгласие трябва да бъде направено в разбираема и лесно достъпна форма, като се използва ясен и прост език, по такъв начин, че да може да бъде ясно разграничено от другите въпроси. Части от декларацията не са задължителни, ако представляват нарушение на настоящия регламент.
3. Субектът на данните има право да оттегли съгласието си по всяко време. Оттеглянето на съгласието не засяга законосъобразността на обработката, основана на съгласието преди неговото оттегляне. Субектът на данните ще бъде информиран за това преди да даде съгласието си. Оттеглянето на съгласието трябва да бъде толкова просто, колкото и предоставянето на съгласието.
4. Когато се преценява дали съгласието е дадено доброволно, трябва да се вземе предвид във възможно най-голяма степен дали, наред с другото, изпълнението на договор, включително предоставянето на услуга, зависи от съгласието за обработване на лични данни, което не е необходимо за изпълнението на договора.

1. Когато член 6, параграф 1, буква а) се прилага към предложение за услуги на информационното общество, направено пряко на дете, обработването на личните данни на детето е законосъобразно, ако то е навършило шестнадесет години. Когато детето все още не е навършило шестнадесет години, такова обработване е законосъобразно само ако и доколкото такова съгласие е дадено от или със съгласието на носителя на родителска отговорност за детето, Държавите-членки могат да предвидят със закон по-ниска възрастова граница за тези цели, която не може да бъде по-ниска от тринадесет години.
2. Администраторът полага разумни усилия, като взема предвид наличните технологии, за да провери в такива случаи дали съгласието е дадено от или със съгласието на носителя на родителска отговорност за детето.
3. Параграф 1 не засяга общото договорно право на държавите членки, като например правилата за валидността, сключването или правните последици на договор по отношение на дете.

1. Забранено е обработването на лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикати, както и обработването на генетични данни, биометрични данни за целите на уникалното идентифициране на физическо лице, данни за здравето или данни за сексуалния живот или сексуалната ориентация на физическо лице.
2. Параграф 1 не се прилага в следните случаи:
   1. Субектът на данните е дал изрично съгласие за обработването на тези лични данни за една или повече конкретни цели, освен когато правото на Съюза или правото на държава членка не позволява забраната, посочена в параграф 1, да бъде отменена със съгласието на субекта на данните,
   2. обработването е необходимо на администратора или на субекта на данните за упражняване на правата и изпълнение на задълженията, произтичащи от трудовото право и правото в областта на социалната сигурност и социалната закрила, доколкото това е разрешено от правото на Съюза или правото на държава членка, или от колективен трудов договор съгласно правото на държава членка, който предвижда подходящи гаранции за основните права и интереси на субекта на данните,
   3. обработването е необходимо за защита на жизненоважните интереси на субекта на данните или на друго физическо лице и субектът на данните е физически или юридически неспособен да даде съгласие,
   4. обработването се извършва въз основа на подходящи гаранции от фондация, сдружение или друга организация с нестопанска цел с политическа, философска, религиозна или синдикална цел в хода на нейните законни дейности и при условие че обработването се отнася единствено до членове или бивши членове на организацията или до лица, които имат редовен контакт с нея във връзка с нейната цел, и че личните данни не се разкриват навън без съгласието на субектите на данни,
   5. обработването е свързано с лични данни, които субектът на данните явно е направил публично достояние,
   6. обработването е необходимо за установяването, упражняването или защитата на правни претенции или за упражняването на съдебно производство,
   7. обработването е необходимо по причини от значителен обществен интерес въз основа на правото на Съюза или правото на държава членка, които са пропорционални на преследваната цел, зачитат същността на правото на защита на данните и предвиждат подходящи и конкретни мерки за защита на основните права и интереси на субекта на данните,
   8. обработването е необходимо за целите на превантивната или трудовата медицина, оценката на работоспособността на работника или служителя, медицинската диагноза, предоставянето на здравни или социални грижи или лечение или управлението на системи и услуги в областта на здравеопазването или социалните грижи въз основа на правото на Съюза или на държава членка или на договор със здравен специалист и при спазване на условията и гаранциите, посочени в параграф 3,
   9. обработването е необходимо по съображения от обществен интерес в областта на общественото здраве, като например защитата срещу сериозни трансгранични заплахи за здравето или осигуряването на високи стандарти за качество и безопасност на здравните грижи и на лекарствените продукти и медицинските изделия, въз основа на правото на Съюза или правото на държава членка, което предвижда подходящи и конкретни мерки за защита на правата и свободите на субекта на данните, по-специално професионална тайна, или
   10. обработването е необходимо за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели в съответствие с член 89, параграф 1 въз основа на правото на Съюза или на държавата членка, което е пропорционално на преследваната цел, зачита същността на правото на защита на данните и предвижда подходящи и конкретни мерки за защита на основните права и интереси на субекта на данните.
3. Личните данни, посочени в параграф 1, могат да бъдат обработвани за целите, посочени в параграф 2, буква з), когато тези данни се обработват от специализиран персонал или на негова отговорност и този специализиран персонал е обвързан с професионална тайна в съответствие с правото на Съюза или на държава членка или с правилата на националните компетентни органи, или когато обработването се извършва от друго лице, което също е обвързано с професионална тайна в съответствие с правото на Съюза или на държава членка или с правилата на националните компетентни органи.
4. Държавите членки могат да въведат или запазят допълнителни условия, включително ограничения, по отношение на обработването на генетични, биометрични или здравни данни.

1. Обработването на лични данни, свързани с присъди и престъпления, или свързаните с тях мерки за сигурност съгласно член 6, параграф 1 се извършва само под контрола на публични органи или когато е разрешено от правото на Съюза или на държава членка, предвиждащо подходящи гаранции за правата и свободите на субектите на данни. Изчерпателен регистър на наказателните присъди може да се води само под контрола на публични органи.

1. Когато целите, за които администраторът обработва лични данни, не изискват или вече не изискват идентифицирането на субекта на данните от администратора, администраторът не е длъжен да съхранява, получава или обработва допълнителна информация, за да идентифицира субекта на данните единствено с цел спазване на настоящия регламент.
2. В случаите, посочени в параграф 1 от настоящия член, когато администраторът докаже, че не е в състояние да идентифицира субекта на данните, той информира съответно субекта на данните, когато това е възможно. В такива случаи членове 15-20 не се прилагат, освен ако субектът на данни не предостави допълнителна информация, която позволява идентифицирането му, за да упражни правата, предвидени в тези членове.

1. Администраторът предприема подходящи мерки, за да предостави на субекта на данните всяка информация, посочена в членове 13 и 14, и всяко съобщение, посочено в членове 15-22 и член 34, свързано с обработването, в кратка, прозрачна, разбираема и лесно достъпна форма, като използва ясен и прост език, по-специално за информацията, специално предназначена за деца. ²Информацията се предоставя в писмена или друга форма, включително по електронен път, ако е необходимо. ³По искане на субекта на данните информацията може да бъде предоставена устно, при условие че самоличността на субекта на данните е доказана под друга форма.
2. Администраторът улеснява упражняването на правата на субекта на данни по членове 15-22. В случаите, посочени в член 11, параграф 2, администраторът може да откаже да предприеме действия по искане на субекта на данни за упражняване на правата му по членове 15-22 само ако администраторът убедително докаже, че не е в състояние да идентифицира субекта на данни.
3. Администраторът предоставя на субекта на данните информация за действията, предприети по искането в съответствие с членове 15-22, без ненужно забавяне и във всички случаи в рамките на един месец от получаването на искането. ²Този срок може да бъде удължен с още два месеца, ако това е необходимо с оглед на сложността и броя на заявленията. ³Администраторът информира субекта на данните за всяко удължаване на срока в рамките на един месец от получаване на искането, като посочва причините за забавянето. ⁴Ако субектът на данните подаде заявлението по електронен път, той се информира по електронен път, когато това е възможно, освен ако не посочи друго.
4. Ако администраторът не предприеме действия по искането на субекта на данните, той информира субекта на данните незабавно, но не по-късно от един месец от получаването на искането, за причините за това и за възможността за подаване на жалба до надзорен орган или за търсене на правна защита по съдебен ред.
5. ¹Информацията по членове 13 и 14, както и всички съобщения и мерки по членове 15-22 и член 34 се предоставят безплатно. В случай на явно необосновани или прекомерни искания от страна на субект на данни, по-специално в случай на често повтаряне, администраторът може или
   1. 1. да наложи разумна такса, която отчита административните разходи за предоставяне на информацията или уведомлението или за прилагане на исканата мярка, или
      2. да откаже да предприеме действия по заявлението.

   Отговорното лице трябва да представи доказателства за явната неоснователност или прекомерност на искането.

6. Без да се засягат разпоредбите на член 11, когато администраторът има основателни съмнения относно самоличността на физическото лице, което подава искането, посочено в членове 15-21, той може да поиска допълнителна информация, необходима за потвърждаване на самоличността на субекта на данните.
7. Информацията, която трябва да се предостави на субектите на данни в съответствие с членове 13 и 14, може да се предостави в комбинация със стандартизирани икони, за да се осигури смислен преглед на планираното обработване в лесно възприемаема, разбираема и ясно разбираема форма. ²Ако иконите се показват в електронна форма, те трябва да могат да се четат машинно.
8. На Комисията се предоставя правомощието да приема делегирани актове в съответствие с член 92 относно определянето на информацията, която трябва да бъде представена чрез икони, и процедурите за предоставяне на стандартизирани икони.

1. Ако се събират лични данни от субекта на данните, администраторът информира субекта на данните за следното в момента на събиране на данните:
   1. името и данните за контакт на отговорното лице и, ако е приложимо, на неговия представител;
   2. данните за контакт с длъжностното лице по защита на данните, ако е приложимо;
   3. целите, за които ще се обработват личните данни, и правното основание за обработката;
   4. ако обработването се основава на член 6, параграф 1, буква е), законните интереси, преследвани от администратора или от трета страна;
   5. когато е приложимо, получателите или категориите получатели на личните данни; и
   6. когато е приложимо, намерението на администратора да предаде личните данни на трета държава или международна организация и наличието или липсата на решение на Комисията относно адекватното ниво на защита или, в случай на предаване на данни съгласно член 46 или член 47 или член 49, параграф 1, втора алинея, позоваване на подходящите или подходящи гаранции и как да се получи копие от тях или къде са на разположение.
2. В допълнение към информацията, посочена в параграф 1, администраторът предоставя на субекта на данните следната допълнителна информация, необходима за гарантиране на добросъвестно и прозрачно обработване в момента на събиране на данните:
   1. срока, за който ще се съхраняват личните данни, или, ако това е невъзможно, критериите за определяне на този срок;
   2. съществуването на право на достъп от страна на администратора до съответните лични данни и на коригиране, изтриване или ограничаване на обработването, или право на възражение срещу обработването и право на преносимост на данните;
   3. ако обработването се основава на член 6, параграф 1, буква а) или член 9, параграф 2, буква а), съществуването на правото да се оттегли съгласието по всяко време, без да се засяга законосъобразността на обработването, основано на съгласието преди неговото оттегляне;
   4. съществуването на право на обжалване пред надзорен орган;
   5. дали предоставянето на личните данни е законово или договорно изискване, или изискване, необходимо за сключване на договор, дали субектът на данните е задължен да предостави личните данни и възможните последици от непредоставянето на тези данни, и
   6. съществуването на автоматизирано вземане на решения, включително профилиране, посочено в член 22, параграфи 1 и 4, и поне в тези случаи - смислена информация за използваната логика, както и за значението и предвидените последици от това обработване за субекта на данните.
3. Когато администраторът възнамерява да продължи да обработва личните данни за цел, различна от тази, за която са били събрани личните данни, администраторът предоставя на субекта на данните информация за тази друга цел и всяка друга съответна информация в съответствие с параграф 2 преди това по-нататъшно обработване.
4. Параграфи 1, 2 и 3 не се прилагат, ако и доколкото субектът на данните вече разполага с информацията.

1. Ако личните данни не са събрани от субекта на данните, администраторът информира субекта на данните за следното:
   1. името и данните за контакт на отговорното лице и, ако е приложимо, на неговия представител;
   2. допълнително данните за контакт на длъжностното лице по защита на данните;
   3. целите, за които ще се обработват личните данни, и правното основание за обработката;
   4. категориите лични данни, които се обработват;
   5. когато е приложимо, получателите или категориите получатели на личните данни;
   6. когато е приложимо, намерението на администратора да предаде личните данни на получател в трета държава или на международна организация и наличието или липсата на решение на Комисията относно адекватното ниво на защита или, в случай на предаване на данни съгласно член 46 или член 47 или член 49, параграф 1, втора алинея, позоваване на подходящите или подходящи гаранции и възможността да се получи копие от тях или къде са налични.
2. В допълнение към информацията, посочена в параграф 1, администраторът предоставя на субекта на данните следната информация, необходима за осигуряване на справедливо и прозрачно обработване по отношение на субекта на данните:
   1. срока, за който ще се съхраняват личните данни, или, ако това е невъзможно, критериите за определяне на този срок;
   2. ако обработването се основава на член 6, параграф 1, буква е), законните интереси, преследвани от администратора или от трета страна;
   3. съществуването на право на достъп от страна на администратора до съответните лични данни и на коригиране, изтриване или ограничаване на обработването, както и право на възражение срещу обработването и право на преносимост на данните;
   4. ако обработването се основава на член 6, параграф 1, буква а) или член 9, параграф 2, буква а), съществуването на правото да се оттегли съгласието по всяко време, без да се засяга законосъобразността на обработването, основано на съгласието преди неговото оттегляне;
   5. съществуването на право на обжалване пред надзорен орган;
   6. източника на личните данни и, ако е приложимо, дали те произхождат от публично достъпни източници;
   7. съществуването на автоматизирано вземане на решения, включително профилиране, посочено в член 22, параграфи 1 и 4, и поне в тези случаи - смислена информация за използваната логика, както и за значението и предвидените последици от това обработване за субекта на данните.
3. Администраторът предоставя информацията, посочена в параграфи 1 и 2.
   1. като се вземат предвид конкретните обстоятелства на обработката на личните данни, в разумен срок след получаването на личните данни, но не по-късно от един месец,
   2. ако личните данни ще се използват за комуникация със субекта на данните, най-късно по време на първата комуникация със субекта на данните, или,
   3. ако се предвижда оповестяване на друг получател, най-късно в момента на първото оповестяване.
4. Когато администраторът възнамерява да продължи да обработва личните данни за цел, различна от тази, за която са били получени личните данни, той предоставя на субекта на данните информация за тази друга цел и всяка друга съответна информация в съответствие с параграф 2 преди това по-нататъшно обработване.
5. Параграфи 1-4 не се прилагат, ако и доколкото
   1. съответното лице вече разполага с информацията,
   2. предоставянето на такава информация се оказва невъзможно или би изисквало непропорционални усилия, по-специално за обработване за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели, при спазване на условията и гаранциите, посочени в член 89, параграф 1, или когато има вероятност задължението, посочено в параграф 1 от настоящия член, да направи невъзможно или сериозно да затрудни постигането на целите на това обработване. В такива случаи администраторът прилага подходящи мерки за гарантиране на правата и свободите и законните интереси на субекта на данните, включително чрез публично оповестяване на информацията,
   3. получаването или разкриването е изрично разрешено от правото на Съюза или правото на държава членка, което се прилага спрямо администратора и в което също така са предвидени подходящи мерки за защита на законните интереси на субекта на данните, или
   4. личните данни са предмет на професионална тайна съгласно правото на Съюза или на държава членка, включително законово задължение за поверителност, и следователно трябва да бъдат третирани поверително.

1. Субектът на данни има право да получи от администратора потвърждение дали се обработват лични данни, свързани с него, и, когато случаят е такъв, достъп до личните данни и следната информация:
   1. целите на обработката;
   2. категориите лични данни, които се обработват;
   3. получателите или категориите получатели, на които личните данни са били или ще бъдат разкрити, по-специално получателите в трети държави или международни организации;
   4. когато е възможно, предвидения период, за който ще се съхраняват личните данни, или, ако не е възможно, критериите, използвани за определяне на този период;
   5. съществуването на правото да се поиска от администратора коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, отнасящи се до субекта на данните, или да се възрази срещу такова обработване;
   6. съществуването на право на обжалване пред надзорен орган;
   7. ако личните данни не са събрани от субекта на данните, цялата налична информация за произхода на данните;
   8. съществуването на автоматизирано вземане на решения, включително профилиране, посочено в член 22, параграфи 1 и 4, и поне в тези случаи - смислена информация за използваната логика, както и за значението и предвидените последици от това обработване за субекта на данните.
2. Когато личните данни се предават на трета държава или на международна организация, субектът на данните има право да бъде информиран за подходящите гаранции съгласно член 46, свързани с предаването.
3. Администраторът предоставя копие от личните данни, които се обработват. ²За всички допълнителни копия, поискани от субекта на данните, администраторът може да наложи разумна такса, основана на административните разходи. Ако субектът на данните подаде искане по електронен път, информацията се предоставя в широко използван електронен формат, освен ако субектът на данните не посочи друго.
4. Правото на получаване на копие съгласно параграф 3 не трябва да засяга по неблагоприятен начин правата и свободите на други лица.

1. Субектът на данните има право да получи от администратора без ненужно забавяне коригирането на неточни лични данни, отнасящи се до него. Като се вземат предвид целите на обработката, субектът на данните има право да поиска попълване на непълните лични данни, включително чрез предоставяне на допълнителна декларация.

1. Субектът на данните има право да поиска от администратора изтриване на личните данни, отнасящи се до него, без ненужно забавяне, а администраторът е длъжен да изтрие личните данни без ненужно забавяне, когато е налице едно от следните основания:
   1. Личните данни вече не са необходими за целите, за които са били събрани или обработени по друг начин.
   2. Субектът на данните оттегля съгласието, на което се основава обработката съгласно член 6, параграф 1, буква а) или член 9, параграф 2, буква а), и когато няма друго правно основание за обработката.
   3. Субектът на данните възразява срещу обработката съгласно член 21, параграф 1 и няма надделяващи законни основания за обработката, или субектът на данните възразява срещу обработката съгласно член 21, параграф 2.
      обект на обработката.
   4. Личните данни са били обработени незаконосъобразно.
   5. Изтриването на личните данни е необходимо за изпълнение на правно задължение съгласно правото на Съюза или правото на държавите членки, което се прилага спрямо администратора.
   6. Личните данни са събрани във връзка с предлагането на услуги на информационното общество, посочени в член 8, параграф 1.
2. Когато администраторът е направил личните данни публично достояние и е задължен съгласно параграф 1 да изтрие личните данни, администраторът, като взема предвид наличните технологии и разходите за изпълнение, предприема разумни стъпки, включително технически мерки, за да информира администраторите, които обработват личните данни, че субектът на данните е поискал изтриване от тези администратори на всякакви връзки към тези лични данни, както и на тяхното копиране или репликиране.
3. Параграфи 1 и 2 не се прилагат, ако обработването е необходимо
   1. да упражняват правото си на свобода на изразяване и информация;
   2. за спазването на правно задължение, което изисква обработване съгласно правото на Съюза или правото на държава членка, което се прилага спрямо администратора, или за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, предоставени на администратора;
   3. по причини от обществен интерес в областта на общественото здраве в съответствие с член 9, параграф 2, букви з) и и) и член 9, параграф 3;
   4. за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели в съответствие с член 89
      параграф 1, доколкото има вероятност правото, посочено в параграф 1, да направи невъзможно или сериозно да затрудни постигането на целите на това обработване, или
   5. за предявяване, упражняване или защита на правни претенции.

1. Субектът на данни има право да получи от администратора ограничаване на обработването, когато се прилага едно от следните условия:
   1. точността на личните данни се оспорва от субекта на данните за период, който позволява на администратора да провери точността на личните данни,
   2. обработката е незаконна и субектът на данните се противопоставя на изтриването на личните данни и вместо това иска ограничаване на тяхното използване;
   3. администраторът вече не се нуждае от личните данни за целите на обработването, но те се изискват от субекта на данните за установяването, упражняването или защитата на правни претенции, или
   4. субектът на данните е възразил срещу обработването съгласно член 21, параграф 1 в очакване на проверка дали законните основания на администратора имат предимство пред тези на субекта на данните.
2. Когато обработването е ограничено съгласно параграф 1, тези лични данни, с изключение на съхранението, се обработват само със съгласието на субекта на данните или за установяването, упражняването или защитата на правни претенции или за защита на правата на друго физическо или юридическо лице, или по причини от важен обществен интерес на Съюза или на държава членка.
3. Администраторът информира субекта на данни, който е получил ограничение на обработването съгласно параграф 1, преди ограничението на обработването да бъде отменено.

1. Администраторът съобщава за всяко коригиране или изтриване на лични данни или ограничаване на обработването, извършено в съответствие с член 16, член 17, параграф 1 и член 18, на всеки получател, на когото личните данни са били разкрити, освен ако това се окаже невъзможно или изисква несъразмерно големи усилия. Администраторът информира субекта на данните за тези получатели, ако субектът на данните поиска това.

1. Субектът на данни има право да получи личните данни, които се отнасят до него и които той е предоставил на администратор, в структуриран, широко използван и пригоден за машинно четене формат и има право да предаде тези данни на друг администратор, без да бъде възпрепятстван от администратора, на когото личните данни са били предоставени, когато
   1. обработването се основава на съгласие съгласно член 6, параграф 1, буква а) или член 9, параграф 2, буква а) или на договор съгласно член 6, параграф 1, буква б), и
   2. обработката се извършва с помощта на автоматизирани процедури.
2. При упражняване на правото си на преносимост на данните съгласно параграф 1 субектът на данните има право да поиска личните данни да бъдат предадени директно от един администратор на друг, когато това е технически осъществимо.
3. Упражняването на правото, посочено в параграф 1 от настоящия член, не засяга разпоредбите на член 17. Това право не се прилага за обработване, необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, предоставени на администратора.
4. Правото, посочено в параграф 1, не трябва да засяга по неблагоприятен начин правата и свободите на други лица.

1. Субектът на данните има право да възрази по всяко време, на основания, свързани с неговата конкретна ситуация, срещу обработването на лични данни, отнасящи се до него, което се основава на член 6, параграф 1, буква д) или е), включително срещу профилирането, основано на тези разпоредби. Администраторът не обработва повече личните данни, освен ако не докаже убедителни легитимни основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данните, или за установяването, упражняването или защитата на правни претенции.
2. Когато личните данни се обработват за целите на директния маркетинг, субектът на данните има право по всяко време да възрази срещу обработването на лични данни, отнасящи се до него, за такъв маркетинг, което включва и профилиране, доколкото то е свързано с такъв директен маркетинг.
3. Ако субектът на данните възрази срещу обработването за целите на директния маркетинг, личните данни повече няма да бъдат обработвани за тези цели.
4. Субектът на данните трябва да бъде изрично информиран за правото, посочено в параграфи 1 и 2, най-късно в момента на първата комуникация с него; тази информация трябва да бъде предоставена в разбираема форма, отделена от друга информация.
5. В контекста на използването на услуги на информационното общество и независимо от Директива 2002/58/ЕО субектът на данните може да упражни правото си на възражение чрез автоматизирани средства, използвайки технически спецификации.
6. Субектът на данни има право да възрази, на основания, свързани с неговата конкретна ситуация, срещу обработването на лични данни, отнасящи се до него, за целите на научни или исторически изследвания или за статистически цели съгласно член 89, параграф 1, освен ако обработването е необходимо за изпълнението на задача, осъществявана по причини от обществен интерес.

1. Субектът на данните има право да не бъде обект на решение, основано единствено на автоматизирано обработване, включително профилиране, което поражда правни последици за него или по подобен начин го засяга в значителна степен.
2. Параграф 1 не се прилага, ако решението
   1. е необходимо за сключването или изпълнението на договор между субекта на данните и администратора,
   2. е разрешено от правото на Съюза или правото на държава членка, което се прилага спрямо администратора и в което също така са предвидени подходящи мерки за защита на правата и свободите и законните интереси на субекта на данните; или
   3. с изричното съгласие на субекта на данните.
3. В случаите, посочени в параграф 2, букви а) и в), администраторът на данни прилага подходящи мерки за гарантиране на правата и свободите и законните интереси на субекта на данни, като най-малкото правото да получи човешка намеса от страна на администратора, да изрази своята гледна точка и да оспори решението.
4. Решенията, посочени в параграф 2, не се основават на специални категории лични данни, посочени в член 9, параграф 1, освен ако не се прилага член 9, параграф 2, буква а) или ж) и не са въведени подходящи мерки за защита на правата и свободите и законните интереси на субекта на данните.

1. Правото на Съюза или правото на държава членка, което се прилага спрямо администратора или обработващия лични данни, може да ограничи задълженията и правата, посочени в членове 12-22, член 34 и член 5, доколкото неговите разпоредби съответстват на правата и задълженията, предвидени в членове 12-22, посредством законодателни мерки, при условие че това ограничение зачита същността на основните права и свободи и представлява необходима и пропорционална мярка в едно демократично общество, за да се гарантира, че
   1. национална сигурност;
   2. национална отбрана;
   3. обществена безопасност;
   4. предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на присъди, включително защитата от и предотвратяването на заплахи за обществената сигурност;
   5. защитата на други важни цели от общ обществен интерес на Съюза или на държава членка, по-специално важен икономически или финансов интерес на Съюза или на държава членка, като например парични, бюджетни, фискални въпроси, въпроси на общественото здраве и социалната сигурност;
   6. защита на независимостта на съдебната власт и защита на съдебните производства;
   7. предотвратяването, разкриването, разследването и наказателното преследване на нарушения на професионалните правила на регулираните професии;
   8. контролни, мониторингови и регулаторни функции, които са постоянно или временно свързани с упражняването на официални правомощия за целите, посочени в букви а)-д) и ж);
   9. защитата на субекта на данните или на правата и свободите на други лица;
   10. изпълнението на гражданскоправни искове.
2. Всяка законодателна мярка, посочена в параграф 1, съдържа по-специално, когато е целесъобразно, специфични разпоредби поне по отношение на
   1. целите на обработката или категориите на обработката,
   2. категориите лични данни,
   3. обхвата на наложените ограничения,
   4. гаранциите срещу злоупотреба или незаконен достъп или предаване;
   5. данните за администратора или категориите администратори,
   6. съответните периоди на съхранение и приложимите гаранции, като се вземат предвид естеството, обхватът и целите на обработването или категориите обработване,
   7. рисковете за правата и свободите на субектите на данни, и
   8. правото на субектите на данни да бъдат информирани за ограничението, освен ако това не е в ущърб на целта на ограничението.

1. Като взема предвид естеството, обхвата, контекста и целите на обработването, както и риска с различна вероятност и тежест за правата и свободите на физическите лица, администраторът прилага подходящи технически и организационни мерки, за да гарантира и да може да докаже, че обработването се извършва в съответствие с настоящия регламент. Тези мерки се преразглеждат и актуализират при необходимост.
2. При условие че това е пропорционално на дейностите по обработване, мерките, посочени в параграф 1, включват прилагането на подходящи гаранции за защита на данните от страна на администратора.
3. Спазването на одобрените кодекси за поведение, посочени в член 40, или на одобрен механизъм за сертифициране, посочен в член 42, може да се използва като фактор за доказване на изпълнението на задълженията на администратора.

1. Като отчита състоянието на техниката, разходите за прилагане и естеството, обхвата, контекста и целите на обработването, както и риска с различна вероятност и тежест за правата и свободите на физическите лица, който представлява обработването, администраторът прилага подходящи технически и организационни мерки, като например псевдонимизация, както при определянето на средствата за обработване, така и при самото обработване, които са предназначени за ефективно прилагане на принципите за защита на данните, като например свеждане на данните до минимум, и за интегриране на необходимите гаранции в обработването, за да се изпълнят изискванията на настоящия регламент и да се защитят правата на субектите на данни. Администраторът прилага подходящи технически и организационни мерки, като например псевдонимизация, както при определянето на средствата за обработване, така и по време на самото обработване, които са предназначени за ефективно прилагане на принципите за защита на данните, като например свеждане на данните до минимум, и за включване на необходимите гаранции в обработването, за да се изпълнят изискванията на настоящия регламент и да се защитят правата на субектите на данни.
2. Администраторът прилага подходящи технически и организационни мерки, за да гарантира, че по подразбиране се обработват само лични данни, чието обработване е необходимо за всяка конкретна цел на обработване. Това задължение се отнася до обема на събраните лични данни, обхвата на тяхното обработване, периода на съхранение и достъпността им. По-специално, тези мерки трябва да гарантират, че личните данни не са достъпни по подразбиране за неопределен брой физически лица без намесата на лицето.
3. Одобрената процедура за сертифициране, посочена в член 42, може да се използва като фактор за доказване на съответствието с изискванията, посочени в параграфи 1 и 2 от настоящия член.

1. Когато двама или повече администратори съвместно определят целите и средствата на обработването, те са съвместни администратори. Те посочват по прозрачен начин в споразумение кой от тях какво задължение изпълнява съгласно настоящия регламент, по-специално по отношение на упражняването на правата на субекта на данните, и кой какви задължения за предоставяне на информация изпълнява съгласно членове 13 и 14, освен ако и доколкото съответните задачи на администраторите не са определени от правото на Съюза или на държавата-членка, което се прилага спрямо администраторите. В споразумението може да се посочи точка за контакт със субектите на данни.
2. ¹Споразумението, посочено в параграф 1, надлежно отразява съответните действителни функции и отношения на съвместните администратори спрямо субектите на данни. Съдържанието на споразумението се предоставя на субекта на данните.
3. Независимо от подробностите на споразумението, посочено в параграф 1, субектът на данни може да упражни правата си съгласно настоящия регламент пред и срещу всеки от администраторите.

1. Ако обработването се извършва от името на администратор, администраторът работи само с обработващи лични данни, които предоставят достатъчни гаранции, че са приложени подходящи технически и организационни мерки по такъв начин, че обработването да се извършва в съответствие с изискванията на настоящия регламент и да се гарантира защитата на правата на субекта на данните.
2. Обработващият лични данни няма право да ангажира друг обработващ лични данни без предварителното отделно или общо писмено разрешение на Администратора. В случай на общо писмено разрешение Обработващият винаги информира Администратора за всяка планирана промяна по отношение на ангажирането или замяната на други Обработващи, като дава на Администратора възможност да възрази срещу такива промени.
3. Обработването от обработващ лични данни се основава на договор или друг правен инструмент съгласно правото на Съюза или правото на държава членка, който обвързва обработващия лични данни по отношение на администратора и в който се определят предметът и продължителността на обработването, естеството и целта на обработването, видът на личните данни, категориите субекти на данни и задълженията и правата на администратора. ²Този договор или друг правен инструмент предвижда по-специално, че обработващият лични данни
   1. обработва личните данни само по документирани инструкции от администратора, включително във връзка с предаването на лични данни на трета държава или международна организация, освен ако това не се изисква от правото на Съюза или на държава членка, което се прилага спрямо обработващия лични данни; в такъв случай обработващият лични данни съобщава на администратора тези правни изисквания преди обработването, освен ако въпросното право не забранява такова съобщаване по съображения за важен обществен интерес;
   2. гарантира, че лицата, упълномощени да обработват личните данни, са поели ангажимент за конфиденциалност или са обект на подходящо законово задължение за конфиденциалност;
   3. предприема всички необходими мерки в съответствие с член 32;
   4. отговаря на условията, посочени в параграфи 2 и 4, за използване на услугите на друг обработващ лични данни;
   5. с оглед на естеството на обработването, подпомага администратора, когато е възможно, с подходящи технически и организационни мерки, за да изпълни задължението си да отговори на искания за упражняване на правата на субекта на данни, посочени в глава III;
   6. като взема предвид естеството на обработването и информацията, с която разполага, подпомага администратора при изпълнението на задълженията, посочени в членове 32-36;
   7. след приключване на предоставянето на услугите по обработване или изтрива, или връща всички лични данни по преценка на администратора и изтрива съществуващите копия, освен ако не съществува задължение за съхраняване на личните данни съгласно правото на Съюза или правото на държавите членки;
   8. предоставя на администратора цялата информация, необходима за доказване на спазването на задълженията, предвидени в настоящия член, и улеснява и допринася за одитите, включително проверките, извършвани от администратора или друг одитор, упълномощен от администратора.

   Що се отнася до първа алинея, буква з), обработващият лични данни информира администратора без неоправдано забавяне, ако счита, че дадена инструкция нарушава настоящия регламент или други разпоредби на Съюза или на държава членка за защита на данните.

4. Когато обработващият лични данни използва услугите на друг обработващ лични данни, за да извършва определени дейности по обработване от името на администратора, на този друг обработващ лични данни се налагат същите задължения за защита на данните чрез договор или друг правен инструмент съгласно правото на Съюза или правото на държава членка, каквито са предвидени в договора или другия правен инструмент между администратора и обработващия лични данни, посочен в параграф 3, по-специално чрез предоставяне на достатъчни гаранции, че подходящите технически и организационни мерки ще бъдат приложени по такъв начин, че обработването да отговаря на изискванията на настоящия регламент. ²Ако другият обработващ лични данни не изпълнява задълженията си за защита на данните, първият обработващ лични данни носи отговорност пред администратора за спазването на задълженията на този друг обработващ лични данни.
5. Спазването от страна на преработвателя на одобрен кодекс за поведение съгласно член 40 или на одобрен механизъм за сертифициране съгласно член 42 може да се използва като фактор за доказване на достатъчни гаранции по смисъла на параграфи 1 и 4 от настоящия член.
6. Без да се засяга индивидуалният договор между администратора и обработващия лични данни, договорът или другият правен инструмент, посочен в параграфи 3 и 4 от настоящия член, може да се основава изцяло или частично на стандартните договорни клаузи, посочени в параграфи 7 и 8 от настоящия член, включително когато те са част от удостоверение, издадено на администратора или обработващия лични данни съгласно членове 42 и 43.
7. В съответствие с процедурата по разглеждане, посочена в член 93, параграф 2, Комисията може да приеме стандартни договорни клаузи за решаване на въпросите, посочени в параграфи 3 и 4 от настоящия член.
8. Надзорният орган може, в съответствие с механизма за съгласуваност, посочен в член 63, да приеме стандартни договорни клаузи за решаване на въпросите, посочени в параграфи 3 и 4 от настоящия член.
9. Договорът или друг правен инструмент по смисъла на параграфи 3 и 4 трябва да бъде изготвен в писмена форма, която може да бъде и в електронен формат.
10. Без да се засягат членове 82, 83 и 84, обработващ лични данни, който определя целите и средствата на обработването в нарушение на настоящия регламент, се счита за администратор по отношение на това обработване.

1. Обработващият лични данни и всяко лице, подчинено на администратора или обработващия лични данни, което има достъп до лични данни, може да обработва тези данни само по указание на администратора, освен ако не е задължен да го прави съгласно правото на Съюза или на държава членка.

1. Всеки администратор и, когато е приложимо, неговият представител водят регистър на всички дейности по обработване, за които отговарят. ²Този списък съдържа цялата следната информация:
   1. името и данните за контакт на администратора и, когато е приложимо, на съвместния администратор, на представителя на администратора и на всяко длъжностно лице по защита на данните;
   2. целите на обработката;
   3. описание на категориите субекти на данни и категориите лични данни;
   4. категориите получатели, на които личните данни са били или ще бъдат разкрити, включително получатели в трети държави или международни организации;
   5. когато е приложимо, предаването на лични данни на трета държава или международна организация, включително идентифициране на съответната трета държава или международна организация и, за предаването, посочено в член 49, параграф 1, втора алинея, документиране на подходящи гаранции;
   6. ако е възможно, предвидените срокове за изтриване на различните категории данни;
   7. когато е възможно, общо описание на техническите и организационните мерки, посочени в член 32, параграф 1.
2. Всеки обработващ лични данни и, когато е приложимо, неговият представител води регистър на всички категории дейности по обработване, извършвани от името на администратора, който включва следното:
   1. името и данните за контакт на обработващия или обработващите лични данни и на всеки администратор, от чието име действа обработващият лични данни, и, когато е приложимо, на представителя на администратора или на обработващия лични данни и на всяко длъжностно лице по защита на данните;
   2. категориите обработване, извършвани от името на всеки администратор;
   3. когато е приложимо, предаването на лични данни на трета държава или международна организация, включително идентифициране на съответната трета държава или международна организация и, за предаването, посочено в член 49, параграф 1, втора алинея, документиране на подходящи гаранции;
   4. когато е възможно, общо описание на техническите и организационните мерки, посочени в член 32, параграф 1.
3. Списъкът, посочен в параграфи 1 и 2, трябва да се съхранява в писмена форма, която може да бъде и в електронен формат.
4. Администраторът или обработващият лични данни и, когато е приложимо, представителят на администратора или обработващия лични данни предоставя списъка на надзорния орган при поискване.
5. Задълженията, посочени в параграфи 1 и 2, не се прилагат за предприятия или образувания с по-малко от 250 служители, освен ако обработването, което те извършват, може да доведе до риск за правата и свободите на субектите на данни, обработването не е случайно или включва обработване на специални категории данни, посочени в член 9, параграф 1, или обработване на лични данни, свързани с присъди и нарушения, посочени в член 10.

1. Администраторът и обработващият лични данни и, ако е приложимо, техните представители сътрудничат на надзорния орган при изпълнение на техните задачи при поискване.

1. В случай на нарушение на сигурността на личните данни администраторът уведомява без ненужно забавяне и, когато е осъществимо, не по-късно от 72 часа след като е узнал за нарушението на сигурността на личните данни надзорния орган, компетентен съгласно член 55, освен ако няма вероятност нарушението на сигурността на личните данни да доведе до риск за правата и свободите на физическите лица. Ако уведомлението до надзорния орган не е направено в рамките на 72 часа, то се придружава от причините за забавянето.
2. Ако обработващият лични данни узнае за нарушение на сигурността на личните данни, той незабавно докладва за това на администратора.
3. Уведомлението, посочено в параграф 1, съдържа най-малко следната информация:
   1. описание на естеството на нарушението на сигурността на личните данни, включително, когато е възможно, категориите и приблизителния брой на засегнатите субекти на данни, съответните категории и приблизителния брой на съответните записи на лични данни;
   2. името и данните за контакт на длъжностното лице по защита на данните или на друга точка за контакт за допълнителна информация;
   3. описание на вероятните последици от нарушението на сигурността на личните данни;
   4. описание на мерките, които администраторът е предприел или предлага да предприеме за справяне с нарушението на сигурността на личните данни, и, когато е целесъобразно, мерки за смекчаване на възможните неблагоприятни последици от него.
4. Ако и доколкото информацията не може да бъде предоставена едновременно, администраторът може да предостави тази информация на етапи без неоправдано допълнително забавяне.
5. Администраторът документира нарушенията на сигурността на личните данни, включително всички факти, свързани с нарушението на сигурността на личните данни, последиците от него и предприетите коригиращи мерки. Тази документация дава възможност на надзорния орган да провери спазването на разпоредбите на настоящия член.

1. Ако има вероятност нарушението на сигурността на личните данни да доведе до висок риск за личните права и свободи на физическите лица, администраторът уведомява субекта на данните за нарушението на сигурността на личните данни без ненужно забавяне.
2. В съобщението до субекта на данните, посочено в параграф 1, се описва на ясен и прост език естеството на нарушението на сигурността на личните данни и се съдържат най-малко информацията и мерките, посочени в член 33, параграф 3, букви б), в) и г).
3. Уведомяването на субекта на данните в съответствие с параграф 1 не се изисква, ако е изпълнено едно от следните условия:
   1. администраторът е приложил подходящи технически и организационни мерки за сигурност и тези мерки са били приложени към личните данни, засегнати от нарушението, по-специално тези, които правят личните данни неразбираеми за всяко лице, което няма право на достъп до тях, като например криптиране;
   2. администраторът е предприел последващи мерки, за да гарантира, че вече няма вероятност да възникне високият риск за правата и свободите на субектите на данни, посочен в параграф 1;
   3. уведомяването би било свързано с непропорционално големи усилия. В този случай вместо това трябва да се направи публично обявление или подобна мярка, чрез която засегнатите лица да бъдат информирани по сравнително ефективен начин.
4. Ако администраторът все още не е уведомил субекта на данните за нарушението на сигурността на личните данни, надзорният орган може, като вземе предвид вероятността нарушението на сигурността на личните данни да доведе до висок риск, да изиска от администратора да направи това или да издаде решение, с което да установи, че са изпълнени някои от условията, посочени в параграф 3.

1. Когато има вероятност дадена форма на обработване, по-специално при използването на нови технологии, да доведе до висок риск за правата и свободите на физическите лица поради естеството, обхвата, контекста и целите на обработването, администраторът извършва предварителна оценка на въздействието на предвидените операции по обработване върху защитата на личните данни. Може да бъде извършена една оценка за анализ на няколко сходни операции по обработване с еднакво високи рискове.
2. Когато извършва оценка на въздействието върху защитата на данните, администраторът търси съвета на длъжностното лице по защита на данните, ако такова е назначено.
3. Оценка на въздействието върху защитата на данните в съответствие с параграф 1 се изисква по-специално в следните случаи:
   1. систематична и задълбочена оценка на лични аспекти, свързани с физически лица, която се основава на автоматизирано обработване, включително профилиране, и която от своя страна служи за основа на решения, които пораждат правни последици за физическите лица или по подобен начин ги засягат значително;
   2. широкообхватно обработване на специални категории лични данни, посочени в член 9, параграф 1, или на лични данни, свързани с наказателни присъди и нарушения, посочени в член 10; или
   3. Систематичен, цялостен мониторинг на публично достъпните зони.
4. Надзорният орган изготвя и оповестява списък на операциите по обработване, за които трябва да се извърши оценка на въздействието върху защитата на данните в съответствие с параграф 1. Надзорният орган съобщава тези списъци на комитета, посочен в член 68.
5. Надзорният орган може също така да изготви и публикува списък на видовете операции по обработване, за които не се изисква оценка на въздействието върху защитата на данните. Надзорният орган съобщава тези списъци на Комитета.
6. Преди да състави списъците, посочени в параграфи 4 и 5, компетентният надзорен орган прилага механизма за съгласуваност, посочен в член 63, когато тези списъци включват дейности по обработване, които са свързани с предлагането на стоки или услуги на субекти на данни или с наблюдението на поведението на такива субекти на данни в няколко държави членки, или които биха могли значително да повлияят на свободното движение на лични данни в рамките на Съюза.
7. Оценката на въздействието съдържа най-малко следното:
   1. систематично описание на предвидените операции по обработване и целите на обработването, включително, когато е приложимо, законните интереси, преследвани от администратора;
   2. оценка на необходимостта и пропорционалността на операциите по обработване във връзка с целта;
   3. оценка на рисковете за правата и свободите на субектите на данни, посочени в параграф 1; и
   4. предвидените мерки за справяне с рисковете, включително предпазни мерки, мерки за сигурност и процедури за гарантиране на защитата на личните данни и за доказване на съответствието с настоящия регламент, като се вземат предвид правата и законните интереси на субектите на данни и други засегнати лица.
8. Спазването от страна на съответните администратори или обработващи лични данни на разрешените кодекси за поведение, посочени в член 40, се взема надлежно предвид при оценката на въздействието на извършваните от тях операции по обработване, по-специално за целите на оценката на въздействието върху защитата на данните.
9. Когато е целесъобразно, администраторът търси мнението на субектите на данни или на техните представители относно планираното обработване, без да се засяга защитата на търговските или обществените интереси или сигурността на операциите по обработване.
10. Когато обработването, посочено в член 6, параграф 1, буква в) или д), има правно основание в правото на Съюза или в правото на държавата членка, което се прилага спрямо администратора, и когато това право урежда конкретната операция или операции по обработване и вече е извършена оценка на въздействието върху защитата на данните в контекста на общата оценка на въздействието, свързана с приемането на това правно основание, параграфи 1-7 се прилагат само ако държавите членки считат за необходимо да извършат такава оценка на въздействието преди съответните дейности по обработване.
11. Ако е необходимо, администраторът извършва преглед, за да прецени дали обработването се извършва в съответствие с оценката на въздействието върху защитата на данните, поне ако са настъпили промени в риска, свързан с операциите по обработване.

1. Администраторът се консултира с надзорния орган преди обработването, ако оценката на въздействието върху защитата на данните съгласно член 35 показва, че обработването би довело до висок риск, освен ако администраторът не предприеме мерки за намаляване на риска.
2. Ако надзорният орган е на мнение, че планираното обработване, посочено в параграф 1, няма да бъде в съответствие с настоящия регламент, по-специално защото администраторът не е идентифицирал или намалил в достатъчна степен риска, в срок до осем седмици от получаването на искането за консултация той отправя писмени препоръки до администратора и, когато е приложимо, до обработващия лични данни и може да упражни правомощията си, посочени в член 58. Този срок може да бъде удължен с шест седмици, като се вземе предвид сложността на планираното обработване. Надзорният орган информира администратора или, когато е приложимо, обработващия лични данни за всяко такова удължаване в рамките на един месец от получаването на искането за консултация, заедно с причините за забавянето. Тези срокове могат да бъдат спрени, докато надзорният орган получи информацията, поискана за целите на консултацията.
3. По време на консултацията съгласно параграф 1 администраторът предоставя на надзорния орган следната информация:
   1. когато е приложимо, информация за съответните отговорности на администратора, съвместните администратори и обработващите лични данни, участващи в обработването, по-специално в случай на обработване в рамките на група дружества;
   2. целите и средствата на планираното обработване;
   3. мерките и гаранциите, предвидени за защита на правата и свободите на субектите на данни съгласно настоящия регламент;
   4. данните за контакт с длъжностното лице по защита на данните, ако е приложимо;
   5. оценката на въздействието върху защитата на данните съгласно член 35 и
   6. всяка друга информация, поискана от надзорния орган.
4. Държавите-членки се консултират с надзорния орган, когато изготвят предложение за законодателни мерки, които да бъдат приети от националния парламент, или регулаторни мерки, основани на такива законодателни мерки, свързани с обработването.
5. Независимо от параграф 1, съгласно правото на държавата членка от администраторите може да се изисква да се консултират с надзорния орган и да получат предварително разрешение от него, когато обработват данни за изпълнението на задача от обществен интерес, включително обработване за целите на социалната сигурност и общественото здраве.

1. Администраторът и обработващият лични данни във всички случаи назначават длъжностно лице по защита на данните, ако
   1. обработката се извършва от публичен орган или структура, с изключение на съдилищата, действащи в качеството си на съдебни органи,
   2. основната дейност на администратора или обработващия лични данни се състои в извършването на операции по обработване, които поради своето естество, обхват и/или цели изискват широкомащабно редовно и систематично наблюдение на субектите на данни, или
   3. основната дейност на администратора или обработващия лични данни е мащабно обработване на специални категории данни, посочени в член 9, или на лични данни, свързани с присъди и нарушения, посочени в член 10.
2. Група дружества може да назначи общо длъжностно лице по защита на данните, при условие че длъжностното лице по защита на данните е лесно достъпно от всеки клон.
3. Ако администраторът или обработващият лични данни е орган на властта или публичен орган, може да бъде назначено съвместно длъжностно лице по защита на данните за няколко такива органа на властта или публичния орган, като се вземат предвид тяхната организационна структура и размер.
4. В случаи, различни от посочените в параграф 1, администраторът или обработващият лични данни, или сдруженията и другите организации, представляващи категории администратори или обработващи лични данни, могат да определят длъжностно лице по защита на данните и, когато това се изисква от правото на Съюза или правото на държава членка, го определят. Длъжностното лице по защита на данните може да действа от името на такива сдружения и други организации, представляващи администратори или обработващи лични данни.
5. Длъжностното лице по защита на данните се назначава въз основа на професионалната му квалификация, и по-специално на опита му в областта на правото и практиката в областта на защитата на данните, както и на способността му да изпълнява задачите, посочени в член 39.
6. Длъжностното лице по защита на данните може да бъде служител на администратора или на обработващия лични данни или да изпълнява задачите си въз основа на договор за услуги.
7. Администраторът или обработващият лични данни публикува данните за контакт на длъжностното лице по защита на данните и съобщава тези данни на надзорния орган.

1. Администраторът и обработващият лични данни гарантират, че длъжностното лице по защита на данните е надлежно включено във всички въпроси, свързани със защитата на личните данни, на ранен етап.
2. Администраторът и обработващият лични данни оказват съдействие на длъжностното лице по защита на данните при изпълнението на задачите, посочени в член 39, като предоставят ресурсите и достъпа до личните данни и операциите по обработване, необходими за изпълнението на тези задачи, и като предоставят ресурсите, необходими за поддържане на експертния опит на длъжностното лице по защита на данните.
3. Администраторът и обработващият лични данни гарантират, че длъжностното лице по защита на данните не получава никакви указания относно изпълнението на тези задачи. Длъжностното лице по защита на данните не може да бъде уволнявано или санкционирано от администратора или обработващия лични данни за изпълнението на своите задачи. Длъжностното лице по защита на данните докладва пряко на най-високото управленско ниво на администратора или обработващия лични данни.
4. Субектите на данни могат да се консултират с длъжностното лице по защита на данните по всички въпроси, свързани с обработката на техните лични данни и упражняването на правата им съгласно настоящия регламент.
5. Длъжностното лице по защита на данните е обвързано от правото на Съюза или на държавата членка да спазва тайна или поверителност при изпълнение на задълженията си.
6. Длъжностното лице по защита на данните може да изпълнява и други задачи и задължения. Администраторът или обработващият лични данни гарантира, че тези задачи и задължения не водят до конфликт на интереси.

1. Длъжностното лице по защита на данните отговаря най-малко за следните задачи:
   1. информиране и съветване на администратора или обработващия лични данни и на служителите, извършващи операции по обработване, за техните задължения съгласно настоящия регламент и друго законодателство на Съюза или на държава членка за защита на данните;
   2. Мониторинг на спазването на настоящия регламент, на друго законодателство на Съюза или на държава членка за защита на данните и на политиките за защита на личните данни на администратора или обработващия лични данни, включително разпределяне на отговорностите, повишаване на осведомеността и обучение на персонала, участващ в операциите по обработване на данни, и свързаните с това одити;
   3. Консултации - при поискване - във връзка с оценката на въздействието върху защитата на данните и наблюдението на нейното изпълнение в съответствие с член 35;
   4. Сътрудничество с надзорния орган;
   5. Изпълняване на функцията на точка за контакт с надзорния орган по въпроси, свързани с обработването, включително предварителна консултация в съответствие с член 36, и консултиране по всякакви други въпроси, ако е необходимо.
2. Длъжностното лице по защита на данните надлежно отчита риска, свързан с операциите по обработване, при изпълнение на своите задачи, като взема предвид естеството, обхвата, контекста и целите на обработването.

1. Държавите-членки, надзорните органи, Комитетът и Комисията насърчават разработването на кодекси за поведение, които да допринесат за правилното прилагане на настоящия регламент, като вземат предвид особеностите на всеки преработвателен сектор и специфичните нужди на микропредприятията, малките и средните предприятия.
2. Асоциациите и другите организации, представляващи категории администратори или обработващи лични данни, могат да изготвят, изменят или разширяват кодекси за поведение, с които се изяснява прилагането на настоящия регламент, например относно следното:
   1. справедлива и прозрачна обработка;
   2. законните интереси на администратора в определени контексти;
   3. Събиране на лични данни;
   4. Псевдонимизиране на лични данни;
   5. Информиране на обществеността и заинтересованите лица;
   6. Упражняване на правата на субектите на данни;
   7. Информация и защита на децата и как да се получи съгласието на носителя на родителска отговорност за детето;
   8. мерките и процедурите, посочени в членове 24 и 25, и мерките относно сигурността на обработването, посочени в член 32;
   9. докладване на надзорните органи за нарушения на сигурността на личните данни и уведомяване на субекта на данните за такива нарушения на сигурността на личните данни;
   10. предаването на лични данни на трети държави или международни организации, или
   11. извънсъдебни процедури и други процедури за разрешаване на спорове за уреждане на спорове между администратори и субекти на данни във връзка с обработването, без да се засягат правата на субектите на данни съгласно членове 77 и 79.
3. В допълнение към спазването от страна на администраторите или обработващите лични данни, обхванати от настоящия регламент, кодексите за поведение, одобрени съгласно параграф 5 от настоящия член и имащи общо приложение съгласно параграф 9 от настоящия член, могат да бъдат спазвани и от администратори или обработващи лични данни, които не са обхванати от настоящия регламент съгласно член 3, за да се осигурят подходящи гаранции в контекста на предаването на лични данни на трети държави или международни организации в съответствие с член 46, параграф 2, буква д). Такива администратори или обработващи лични данни, посредством договорни или други правно обвързващи инструменти, поемат обвързващо и изпълнимо задължение да прилагат подходящи гаранции, включително по отношение на правата на субектите на данни.
4. В кодексите за поведение, посочени в параграф 2 от настоящия член, се предвиждат процедури, които позволяват на органа, посочен в член 41, параграф 1, да извършва задължително наблюдение на спазването на неговите разпоредби от администраторите или обработващите лични данни, които се задължават да прилагат кодекса за поведение, без да се засягат задачите и правомощията на надзорния орган, компетентен съгласно член 55 или 56.
5. Сдруженията и другите организации, посочени в параграф 2 от настоящия член, които възнамеряват да изготвят кодекси за поведение или да изменят или разширят съществуващи кодекси за поведение, представят проекта за кодекс за поведение или проекта за неговото изменение или разширяване на надзорния орган, компетентен съгласно член 55. Надзорният орган дава становище дали проектът на кодекс за поведение или проектът за изменение или разширение на същия е съвместим с настоящия регламент и одобрява проекта на кодекс за поведение или проекта за изменение или разширение на същия, ако счита, че той предоставя достатъчно подходящи гаранции.
6. Ако в становището, посочено в параграф 5, се одобрява проектът на кодекс за поведение или проектът за неговото изменение или разширение и ако кодексът за поведение не обхваща дейности по обработване в повече от една държава членка, надзорният орган включва кодекса за поведение в регистър и го оповестява публично.
7. Когато проектът на кодекс за поведение обхваща дейности по обработване в няколко държави членки, надзорният орган, компетентен съгласно член 55, преди да одобри проекта на кодекс за поведение или проекта за изменение или разширение на същия, го представя в съответствие с процедурата, посочена в член 63, на Комитета, който дава становище дали проектът на кодекс за поведение или проектът за изменение или разширение на същия е в съответствие с настоящия регламент или, в случая, посочен в параграф 3 от настоящия член, предвижда подходящи гаранции.
8. Ако в становището, посочено в параграф 7, се потвърждава, че проектът на кодекс за поведение или проектът за неговото изменение или разширение е съвместим с настоящия регламент или, в случая, посочен в параграф 3, предвижда подходящи гаранции, Комитетът изпраща становището си на Комисията.
9. Чрез актове за изпълнение Комисията може да реши, че одобрените кодекси за поведение, представени ѝ в съответствие с параграф 8, или одобреното им изменение или разширение имат общо приложение в Съюза. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 93, параграф 2.
10. Комисията гарантира, че одобрените кодекси за поведение, признати за общовалидни в съответствие с параграф 9, се публикуват по подходящ начин.
11. Комитетът вписва в регистър всички одобрени правила за поведение или техните одобрени изменения или разширения и ги публикува по подходящ начин.

1. Без да се засягат задачите и правомощията на компетентния надзорен орган съгласно членове 57 и 58, наблюдението на спазването на правилата за поведение, посочени в член 40, може да се извършва от орган, който има подходящ експертен опит в областта на правилата за поведение и който е акредитиран за тази цел от компетентния надзорен орган.
2. Органът, посочен в параграф 1, може да бъде акредитиран за целите на мониторинга на спазването на кодексите за поведение, ако
   1. е доказал своята независимост и експертни познания по отношение на предмета на кодекса за поведение по удовлетворителен за компетентния надзорен орган начин;
   2. е установила процедури, които ѝ позволяват да преценява дали администраторите и обработващите лични данни могат да прилагат кодекса за поведение, да наблюдава спазването на кодекса за поведение от страна на администраторите и обработващите лични данни и да прави редовен преглед на прилагането на кодекса за поведение;
   3. е установил процедури и структури, чрез които разследва жалби относно нарушения на кодекса за поведение или начина, по който кодексът за поведение се прилага или е бил прилаган от администратора или обработващия лични данни, и прави тези процедури и структури прозрачни за субектите на данни и обществеността; и
   4. е доказал по удовлетворителен за компетентния надзорен орган начин, че неговите задачи и задължения не водят до конфликт на интереси.
3. Компетентният надзорен орган представя на Комитета проекта на изискванията за акредитация на органа, посочен в параграф 1, в съответствие с механизма за съгласуваност, посочен в член 63.
4. Без да се засягат задачите и правомощията на компетентния надзорен орган и разпоредбите на глава VIII, органът, посочен в параграф 1, при спазване на подходящи гаранции, предприема подходящи мерки в случай на нарушение на кодекса за поведение от администратор или обработващ лични данни, включително временно или постоянно изключване на администратора или обработващия лични данни от кодекса за поведение. Той информира компетентния надзорен орган за тези мерки и за причините за тях.
5. Компетентният надзорен орган отнема акредитацията на даден орган в съответствие с параграф 1, ако изискванията за неговата акредитация не са изпълнени или вече не са изпълнени или ако органът предприеме мерки, които са несъвместими с настоящия регламент.
6. Настоящият член не се прилага за обработване от публични органи или институции.

1. Държавите членки, надзорните органи, Комитетът и Комисията насърчават, по-специално на равнището на Съюза, въвеждането на механизми за сертифициране на защитата на данните и на печати и маркировки за защита на данните, за да се докаже спазването на настоящия регламент от страна на администраторите или обработващите лични данни. Вземат се предвид специфичните нужди на микро-, малките и средните предприятия.
2. В допълнение към спазването на изискванията от страна на администраторите или обработващите лични данни, обхванати от настоящия регламент, могат да се предвидят и механизми за сертифициране на защитата на данните, печати или маркировки, одобрени в съответствие с параграф 5 от настоящия член, за да се докаже, че администраторите или обработващите лични данни, които не са обхванати от настоящия регламент съгласно член 3, предоставят подходящи гаранции в контекста на предаването на лични данни на трети държави или международни организации в съответствие с член 46, параграф 2, буква е). Такива администратори или обработващи лични данни, посредством договорни или други правно обвързващи инструменти, поемат обвързващо и изпълнимо задължение да прилагат тези подходящи гаранции, включително по отношение на правата на субектите на данни.
3. Сертифицирането трябва да бъде доброволно и достъпно чрез прозрачна процедура.
4. Сертифицирането съгласно настоящия член не намалява отговорността на администратора или обработващия лични данни да спазва настоящия регламент и не засяга задачите и правомощията на надзорните органи, които са компетентни съгласно член 55 или 56.
5. Сертифицирането по настоящия член се извършва от сертифициращите органи, посочени в член 43, или от компетентния надзорен орган въз основа на критерии, одобрени от този компетентен надзорен орган в съответствие с член 58, параграф 3 или от Комитета в съответствие с член 63. Ако критериите са одобрени от Комитета, това може да доведе до общо сертифициране - Европейски печат за защита на данните.
6. Администраторът или обработващият лични данни, който подлага извършваното от него обработване на механизъм за сертифициране, предоставя на сертифициращия орган, посочен в член 43, или, когато е приложимо, на компетентния надзорен орган, цялата информация, необходима за изпълнението на механизма за сертифициране, и му предоставя необходимия достъп до своите дейности по обработване в този контекст.
7. Сертифицирането се предоставя на администратора или обработващия лични данни за максимален срок от три години и може да бъде подновено при същите условия, при условие че съответните критерии продължават да бъдат изпълнявани. Сертифицирането се отменя, когато е целесъобразно, от сертифициращите органи, посочени в член 43, или от компетентния надзорен орган, ако критериите за сертифициране не са изпълнени или вече не се изпълняват.
8. Комитетът включва всички процедури за сертифициране и печати и сертификационни маркировки за защита на данните в регистър и ги публикува по подходящ начин.

1. Без да се засягат задачите и правомощията на компетентния надзорен орган съгласно членове 57 и 58, сертифициращите органи, които разполагат с подходящ експертен опит в областта на защитата на данните, издават или подновяват сертификацията, след като информират надзорния орган, така че той да може, ако е необходимо, да използва правомощията си съгласно член 58, параграф 2, буква з). Държавите членки гарантират, че тези сертифициращи органи са акредитирани от един или от двата от следните органи:
   1. компетентния надзорен орган в съответствие с член 55 или 56;
   2. националния орган по акредитация, признат в съответствие с Регламент (ЕО) № 765/2008 на Европейския парламент и на Съвета¹ е определен в съответствие с EN-ISO/IEC 17065/2012 и с допълнителните изисквания, определени от компетентния надзорен орган в съответствие с член 55 или 56.
2. Сертифициращите органи, посочени в параграф 1, могат да бъдат акредитирани в съответствие с посочения параграф само ако
   1. са доказали своята независимост и експертни познания по предмета на сертифицирането по удовлетворителен за компетентния надзорен орган начин;
   2. са поели ангажимент да спазват критериите, посочени в член 42, параграф 5, и са одобрени от компетентния надзорен орган в съответствие с член 55 или 56 или от Комитета в съответствие с член 63;
   3. са установили процедури за издаване, периодичен преглед и отмяна на сертификати за защита на данните и печати и маркировки за защита на данните;
   4. да са установили процедури и структури за разследване на жалби относно нарушения на сертифицирането или начина, по който сертифицирането се прилага или е било приложено от администратора или обработващия лични данни, и да направят тези процедури и структури прозрачни за субектите на данни и обществеността; и
   5. да са доказали по удовлетворителен за компетентния надзорен орган начин, че техните задачи и задължения не водят до конфликт на интереси.
3. Акредитацията на сертифициращите органи, посочени в параграфи 1 и 2, се основава на изискванията, одобрени от компетентния надзорен орган в съответствие с член 55 или 56 или от Комитета в съответствие с член 63. В случай на акредитация по параграф 1, буква б) от настоящия член тези изисквания допълват изискванията, предвидени в Регламент (ЕО) № 765/2008 и в техническите правила, описващи методите и процедурите на сертифициращите органи.
4. ¹Органите по сертифициране, посочени в параграф 1, отговарят за подходящата оценка, която е в основата на сертифицирането или оттеглянето на сертифицирането, без да се засяга отговорността на администратора или обработващия лични данни за спазването на настоящия регламент. Акредитацията се предоставя за максимален срок от пет години и може да бъде подновена при същите условия, при условие че сертифициращият орган отговаря на изискванията на настоящия член.
5. Сертифициращите органи, посочени в параграф 1, информират компетентните надзорни органи за причините за издаване или отнемане на исканото сертифициране.
6. Изискванията, посочени в параграф 3 от настоящия член, и критериите, посочени в член 42, параграф 5, се публикуват от надзорния орган в леснодостъпна форма. Надзорните органи съобщават тези изисквания и критерии и на Комитета.
7. Без да се засягат разпоредбите на глава VIII, компетентният надзорен орган или националният орган по акредитация отнема акредитацията на сертифициращ орган, посочен в параграф 1, ако условията за акредитация не са изпълнени или са престанали да бъдат изпълнявани или ако сертифициращият орган предприеме мерки, които са несъвместими с настоящия регламент.
8. На Комисията се предоставя правомощието да приема делегирани актове в съответствие с член 92 за определяне на изискванията, които трябва да се вземат предвид за механизмите за сертифициране на защитата на данните, посочени в член 42, параграф 1.
9. Комисията може да приема актове за изпълнение, с които се определят техническите стандарти за механизмите за сертифициране и за печатите и маркировките за защита на данните, както и механизмите за насърчаване и признаване на тези механизми за сертифициране и на печатите и маркировките за защита на данните. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 93, параграф 2.

1. Всяко предаване на лични данни, които вече се обработват или които са предназначени за обработване след предаването им на трета държава или международна организация, се разрешава само ако администраторът и обработващият лични данни спазват условията, определени в настоящата глава, и другите разпоредби на настоящия регламент, включително всяко последващо предаване на лични данни от съответната трета държава или международна организация на друга трета държава или международна организация. Всички разпоредби на настоящата глава се прилагат, за да се гарантира, че равнището на защита на физическите лица, гарантирано от настоящия регламент, не е застрашено.

1. Предаването на лични данни на трета държава или международна организация може да се осъществи, ако Комисията е решила, че третата държава, територията или един или повече конкретни сектори в тази трета държава или въпросната международна организация предлагат адекватно ниво на защита. За такова предаване на данни не се изисква специално разрешение.
2. Когато оценява целесъобразността на изискваното ниво на защита, Комисията взема предвид по-специално следното:
   1. върховенството на закона, зачитането на правата на човека и основните свободи, съответното законодателство, действащо в съответната държава или международна организация, както общо, така и секторно, включително във връзка с обществената сигурност, отбраната, националната сигурност и наказателното право и достъпа на публичните органи до лични данни, както и прилагането на това законодателство, правилата за защита на данните, професионалните правила и правилата за сигурност, включително правилата за последващо предаване на лични данни на друга трета държава или международна организация, съдебната практика, както и ефективно приложими права на субектите на данни и ефективна административна и съдебна защита за субектите на данни, чиито лични данни са предадени. друга международна организация, юрисдикция и ефективни и изпълними права на субектите на данни и ефективна административна и съдебна защита за субектите на данни, чиито лични данни са предадени,
   2. съществуването и ефективното функциониране на един или повече независими надзорни органи в съответната трета държава или на които е подчинена международна организация и които отговарят за спазването и прилагането на правилата за защита на данните, включително подходящи правомощия за прилагане, за подпомагане и консултиране на субектите на данни при упражняването на техните права и за сътрудничество с надзорните органи на държавите членки; и
   3. международните ангажименти, поети от съответната трета държава или международна организация, или други задължения, произтичащи от правно обвързващи споразумения или инструменти и от участието на третата държава или международната организация в многостранни или регионални системи, по-специално по отношение на защитата на личните данни.
3. След оценката на адекватността на нивото на защита Комисията може да реши чрез акт за изпълнение, че трета държава, територия или един или повече специфични сектори в трета държава, или международна организация предлагат адекватно ниво на защита по смисъла на параграф 2 от настоящия член. В акта за изпълнение се предвижда механизъм за редовен преглед, най-малко на всеки четири години, като се отчитат всички съответни промени в третата държава или международната организация. В акта за изпълнение се посочва териториалният и секторният обхват и, когато е приложимо, надзорният орган или органи, посочени в параграф 2, буква б) от настоящия член. Актът за изпълнение се приема в съответствие с процедурата по разглеждане, посочена в член 93, параграф 2.
4. Комисията непрекъснато следи развитието на ситуацията в трети страни и международни организации, което може да повлияе на действието на решенията, приети съгласно параграф 3 от настоящия член, и на констатациите, направени съгласно член 25, параграф 6 от Директива 95/46/ЕО.
5. Чрез актове за изпълнение Комисията отменя, изменя или спира действието на решенията, посочени в параграф 3 от настоящия член, когато е необходимо и без обратна сила, въз основа на информация, по-специално след прегледа, посочен в параграф 3 от настоящия член, че трета държава, територия или един или повече конкретни сектори в трета държава или международна организация вече не осигуряват адекватно ниво на защита по смисъла на параграф 2 от настоящия член. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 93, параграф 2, а при надлежно обосновани наложителни причини за спешност Комисията приема актове за изпълнение с незабавно приложение в съответствие с процедурата, посочена в член 93, параграф 3.
6. Комисията започва консултации със съответната трета страна или международна организация с оглед на коригиране на ситуацията, довела до решението, прието съгласно параграф 5.
7. Решението по параграф 5 от настоящия член не засяга предаването на лични данни на третата държава, на територията или на един или повече определени сектори в тази трета държава, или на съответната международна организация в съответствие с членове 46-49.
8. Комисията публикува в Официален вестник на Европейския съюз и на своя уебсайт списък на всички трети държави или територии и конкретни сектори в трета държава, както и на всички международни организации, за които с решение е определил, че осигуряват или вече не осигуряват адекватно ниво на защита.
9. Констатациите, приети от Комисията въз основа на член 25, параграф 6 от Директива 95/46/ЕО, остават в сила, докато не бъдат изменени, заменени или отменени с решение на Комисията, прието в съответствие с процедурата по разглеждане, посочена в параграфи 3 или 5 от настоящия член.

1. При липса на решение съгласно член 45, параграф 3 администраторът или обработващият лични данни може да предава лични данни на трета държава или международна организация само ако администраторът или обработващият лични данни е осигурил подходящи гаранции и ако субектите на данни разполагат с изпълними права и ефективни правни средства за защита.
2. Подходящите гаранции, посочени в параграф 1, могат, без да е необходимо специално разрешение от надзорния орган, да се състоят от
   1. правно обвързващ и изпълним документ между властите или публичните органи,
   2. обвързващи вътрешни правила за защита на данните в съответствие с член 47,
   3. стандартни клаузи за защита на данните, приети от Комисията в съответствие с процедурата по разглеждане, посочена в член 93, параграф 2,
   4. стандартни клаузи за защита на данните, приети от надзорен орган и одобрени от Комисията в съответствие с процедурата по разглеждане, посочена в член 93, параграф 2,
   5. одобрени кодекси за поведение, посочени в член 40, заедно с правно обвързващи и изпълними задължения на администратора или обработващия лични данни в третата държава да прилага подходящи гаранции, включително по отношение на правата на субектите на данни; или
   6. одобрен механизъм за сертифициране съгласно член 42, заедно с правно обвързващи и изпълними задължения на администратора или обработващия лични данни в третата държава да прилага подходящи гаранции, включително по отношение на правата на субектите на данни.
3. След разрешение от страна на компетентния надзорен орган подходящите гаранции, посочени в параграф 1, могат да се състоят по-специално от
   1. договорни клаузи, договорени между администратора или обработващия лични данни и администратора, обработващия лични данни или получателя на личните данни в третата държава или международна организация, или
   2. Разпоредби, които трябва да бъдат включени в административните споразумения между публичните органи или организации, включително приложими и ефективни права за субектите на данни.
4. Надзорният орган прилага механизма за съгласуваност, посочен в член 63, в случая, посочен в параграф 3 от настоящия член.
5. Разрешенията, издадени от държава членка или от надзорен орган въз основа на член 26, параграф 2 от Директива 95/46/ЕО, остават валидни, докато не бъдат изменени, заменени или отменени от този надзорен орган, ако е необходимо. Констатациите, приети от Комисията въз основа на член 26, параграф 4 от Директива 95/46/ЕО, остават в сила, докато не бъдат изменени, заменени или отменени, ако е необходимо, с решение на Комисията, прието в съответствие с параграф 2 от настоящия член.

1. Компетентният надзорен орган разрешава задължителни фирмени правила в съответствие с механизма за съгласуваност, посочен в член 63, при условие че те
   1. са правно обвързващи, прилагат се и се изпълняват от всички съответни членове на група дружества или група дружества, участващи в съвместна икономическа дейност, и се прилагат и за техните служители,
   2. изрично да предоставят изпълними права на субектите на данни във връзка с обработката на техните лични данни; и
   3. да отговарят на изискванията, посочени в параграф 2.
2. Задължителните вътрешни правила за защита на данните, посочени в параграф 1, съдържат най-малко следната информация:
   1. Структура и данни за контакт на групата от дружества или групата от дружества, извършващи съвместна икономическа дейност, и на всеки от нейните членове;
   2. съответните предавания на данни или поредици от предавания на данни, включително видовете лични данни, естеството и целта на обработката на данни, вида на субектите на данни и съответната трета държава или трети държави;
   3. вътрешния и външния правно обвързващ характер на съответните вътрешни разпоредби за защита на данните;
   4. прилагането на общите принципи за защита на данните, по-специално ограничаване на целите, свеждане на данните до минимум, ограничени периоди на съхранение, качество на данните, защита на данните чрез проектиране на технологии и чрез настройки по подразбиране, благоприятстващи защитата на данните, правно основание за обработване, обработване на специални категории лични данни, мерки за гарантиране на сигурността на данните и изисквания за последващо предаване на органи, които не са обвързани с тези вътрешни правила за защита на данните;
   5. правата на субектите на данни във връзка с обработването и средствата, с които разполагат, за да упражняват тези права, включително правото да не бъдат обект на решение, основано единствено на автоматизирано обработване, включително профилиране, в съответствие с член 22, както и правото да подадат жалба до компетентния надзорен орган или да потърсят съдебна защита пред компетентните съдилища на държавите членки, както е предвидено в член 79, и да получат обезщетение и, когато е целесъобразно, компенсация в случай на нарушение на задължителните корпоративни правила за защита на данните;
   6. отговорността, поета от администратора или обработващия лични данни, установен в държава членка, за всяко нарушение на задължителните фирмени правила от страна на член на групата предприятия, който не е установен в Съюза; администраторът или обработващият лични данни се освобождава от такава отговорност, изцяло или частично, само ако докаже, че събитието, довело до вредата, не може да бъде приписано на този член;
   7. начинът, по който субектите на данни са информирани, в допълнение към разпоредбите на членове 13 и 14, за задължителните корпоративни правила за защита на данните, и по-специално за аспектите, посочени в букви г), д) и е) от настоящия параграф;
   8. задачите на всяко длъжностно лице по защита на данните, определено в съответствие с член 37, или на всяко друго лице или орган, отговарящ за наблюдението на спазването на задължителните корпоративни правила за защита на данните в рамките на групата предприятия или групата дружества, извършващи съвместна икономическа дейност, и за наблюдението на обучението и разглеждането на жалби;
   9. процедурата за подаване на жалби;
   10. процедурите, въведени в рамките на групата от дружества или групата от дружества, участващи в съвместна икономическа дейност, за проверка на спазването на задължителните вътрешни правила за защита на данните. Тези процедури включват одити за защита на данните и процедури за осигуряване на коригиращи действия за защита на правата на субекта на данните. Резултатите от тези прегледи следва да се съобщават на лицето или образуванието, посочено в буква з), и на управителния съвет на контролиращото предприятие на групата предприятия или на групата предприятия, извършващи съвместна стопанска дейност, и следва да се предоставят на компетентния надзорен орган при поискване;
   11. процедурите за докладване и регистриране на промените в нормативната уредба и докладването им на надзорния орган;
   12. процедурите за сътрудничество с надзорния орган, за да се гарантира спазването на изискванията от всички членове на групата предприятия или групата дружества, извършващи съвместна икономическа дейност, по-специално чрез оповестяване пред надзорния орган на резултатите от прегледите на мерките, посочени в буква й);
   13. процедурите за уведомяване на компетентния надзорен орган за всякакви правни разпоредби, приложими към член на група предприятия или група дружества, участващи в съвместна икономическа дейност в трета държава, които биха могли да повлияят неблагоприятно на гаранциите, предвидени в задължителните фирмени правила; и
   14. подходящо обучение за защита на данните за персонала с постоянен или редовен достъп до лични данни.
3. Комисията може да определи формата и процедурите за обмен на информация относно задължителните фирмени правила, посочени в настоящия член, между администраторите, обработващите лични данни и надзорните органи. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 93, параграф 2.

1. Всеки надзорен орган гарантира, че налагането на глоби съгласно настоящия член за нарушения на настоящия регламент в съответствие с параграфи 4, 5 и 6 е ефективно, пропорционално и възпиращо във всеки отделен случай.
2. Глобите се налагат в допълнение към или вместо мерките, посочени в член 58, параграф 2, букви а)-з) и й), в зависимост от обстоятелствата по конкретния случай. При вземането на решение дали да се наложи глоба и какъв да бъде нейният размер, във всеки отделен случай се вземат предвид следните обстоятелства:
   1. естеството, тежестта и продължителността на нарушението, като се вземат предвид естеството, обхватът или целта на съответното обработване, броят на субектите на данни, засегнати от обработването, и степента на претърпените от тях вреди;
   2. Умишлен или непредпазлив характер на престъплението;
   3. всички мерки, предприети от администратора или обработващия лични данни за намаляване на вредите, причинени на субектите на данни;
   4. степента на отговорност на администратора или обработващия лични данни, като се вземат предвид техническите и организационните мерки, въведени от тях в съответствие с членове 25 и 32;
   5. всички съответни предишни нарушения от страна на администратора или обработващия лични данни;
   6. Степента на сътрудничество с надзорния орган за отстраняване на нарушението и смекчаване на възможните неблагоприятни последици от него;
   7. Категории лични данни, засегнати от нарушението;
   8. Начинът, по който нарушението е станало известно на надзорния орган, по-специално дали администраторът или обработващият лични данни е уведомил за нарушението и, ако е така, в каква степен;
   9. спазване на мерките, разпоредени преди това съгласно член 58, параграф 2, срещу съответния администратор или обработващ лични данни във връзка със същия предмет, когато такива мерки са били разпоредени;
   10. съответствие с одобрените кодекси за поведение, посочени в член 40, или с одобрените процедури за сертифициране, посочени в член 42; и
   11. всякакви други утежняващи или смекчаващи вината обстоятелства в конкретния случай, като например финансови ползи или загуби, избегнати пряко или косвено в резултат на престъплението.
3. Когато администратор или обработващ лични данни умишлено или по небрежност наруши няколко разпоредби на настоящия регламент във връзка с една и съща или свързана операция по обработване, общият размер на глобата не надвишава размера на най-тежкото нарушение.
4. За нарушения на следните разпоредби се налагат глоби в размер до 10 000 000 EUR или, в случай на предприятие, до 2 % от общия му световен годишен оборот за предходната стопанска година в съответствие с параграф 2в зависимост от това, коя от сумите е по-висока:
   1. задълженията на администраторите и обработващите лични данни съгласно членове 8, 11, 25-39, 42 и 43;
   2. задълженията на сертифициращия орган съгласно членове 42 и 43;
   3. задълженията на мониторинговия орган, посочени в член 41, параграф 4.
5. За нарушения на следните разпоредби се налагат глоби в размер до 20 000 000 EUR или, в случай на предприятие, до 4 % от общия му световен годишен оборот за предходната стопанска година, в зависимост от това коя от двете суми е по-висока, в съответствие с параграф 2:
   1. принципите за обработване, включително условията за съгласие, в съответствие с членове 5, 6, 7 и 9;
   2. правата на субекта на данните в съответствие с членове 12-22;
   3. предаването на лични данни на получател в трета държава или на международна организация в съответствие с членове 44-49;
   4. всички задължения съгласно законодателството на държавите-членки, прието съгласно глава IX;
   5. неизпълнение на указание или временно или окончателно ограничаване или спиране на предаването на данни от надзорния орган съгласно член 58, параграф 2 или непредоставяне на достъп в нарушение на член 58, параграф 1.
6. За неизпълнение на разпореждане на надзорния орган съгласно член 58, параграф 2 се налагат глоби в размер до 20 000 000 EUR или, в случай на предприятие, до 4 % от общия му световен годишен оборот за предходната стопанска година, в зависимост от това коя от двете суми е по-висока, в съответствие с параграф 2 от настоящия член.
7. Без да се засягат коригиращите правомощия на надзорните органи съгласно член 58, параграф 2, всяка държава-членка може да определи правила относно това дали и в какъв размер могат да се налагат административни глоби на публични органи и институции, установени в тази държава-членка.
8. Упражняването от страна на надзорен орган на собствените му правомощия по настоящия член подлежи на адекватни процесуални гаранции в съответствие с правото на Съюза и националното право, включително ефективни средства за правна защита и справедлив съдебен процес.
9. Когато правната система на дадена държава членка не предвижда глоби, настоящият член може да се прилага по такъв начин, че глобата да се инициира от компетентния надзорен орган и да се налага от компетентните национални съдилища, като се гарантира, че тези средства за правна защита са ефективни и имат същия ефект като глобите, налагани от надзорните органи. Във всеки случай наложените глоби трябва да бъдат ефективни, пропорционални и възпиращи. Съответните държави членки уведомяват Комисията до 25 май 2018 г. за разпоредбите на националното право, които приемат съгласно настоящия параграф, и я уведомяват незабавно за всяко последващо изменение или допълнение, което ги засяга.

1. Държавите-членки определят правилата за други санкции, приложими за нарушения на настоящия регламент, по-специално за нарушения, за които не се налага глоба съгласно член 83, и предприемат всички необходими мерки, за да гарантират тяхното прилагане. Тези санкции са ефективни, пропорционални и възпиращи.
2. Всяка държава членка уведомява Комисията до 25 май 2018 г. за разпоредбите на националното право, които приема съгласно параграф 1, и незабавно за всяко последващо изменение, което ги засяга.

1. Държавите членки съгласуват по законодателен път правото на защита на личните данни съгласно настоящия регламент с правото на свобода на изразяване и информация, включително обработването за журналистически цели и за научни, художествени или литературни цели.
2. За обработването, извършвано за журналистически, научни, художествени или литературни цели, държавите членки предвиждат дерогации или изключения от глава II (Принципи), глава III (Права на субекта на данните), глава IV (Администратор и обработващ лични данни), глава V (Предаване на лични данни на трети държави или международни организации), глава VI (Независими надзорни органи), глава VII (Сътрудничество и съгласуваност) и глава IX (Правила за специфични ситуации на обработване), когато това е необходимо за съгласуване на правото на защита на личните данни със свободата на изразяване и информация.
3. Всяка държава-членка уведомява Комисията за разпоредбите на националното законодателство, които приема съгласно параграф 2, и незабавно за всички последващи изменения или допълнения към тях.

1. Личните данни, съдържащи се в официални документи, съхранявани от публичен орган или структура, или от частна организация за изпълнението на задача от обществен интерес, могат да бъдат разкрити от публичния орган или структура в съответствие с правото на Съюза или правото на държавата членка, на което е подчинен публичният орган или структура, за да се съчетае публичният достъп до официални документи с правото на защита на личните данни съгласно настоящия регламент.

1. Държавите членки могат да определят и конкретните условия, при които национален идентификационен номер или други идентификатори от общо значение могат да бъдат обект на обработване. В този случай националният идентификационен номер или друг идентификатор от общо значение може да се използва само при спазване на подходящи гаранции за правата и свободите на субекта на данните в съответствие с настоящия регламент.

1. Държавите членки могат да установят със закон или с колективен трудов договор по-конкретни правила, за да гарантират защитата на правата и свободите по отношение на обработването на лични данни на работниците и служителите в контекста на заетостта, по-специално за целите на набирането на персонал, изпълнението на трудовия договор, включително изпълнението на задълженията, предвидени в закона или в колективните трудови договори, управление, планиране и организация на работата, равенство и разнообразие на работното място, здравословни и безопасни условия на труд, защита на имуществото на работодателя или клиента, както и за целите на упражняване на индивидуални или колективни права и обезщетения, свързани с трудовата заетост, и за целите на прекратяване на трудовото правоотношение.
2. Тези правила включват подходящи и конкретни мерки за защита на човешкото достойнство, законните интереси и основните права на субекта на данните, по-специално по отношение на прозрачността на обработването, предаването на лични данни в рамките на група предприятия или група предприятия, участващи в съвместна икономическа дейност, и системите за наблюдение на работното място.
3. Всяка държава членка уведомява Комисията до 25 май 2018 г. за разпоредбите на националното право, които приема съгласно параграф 1, и незабавно за всяко последващо изменение, което ги засяга.

1. Държавите членки могат да регламентират правомощията на надзорните органи, посочени в член 58, параграф 1, букви д) и е), по отношение на администраторите или обработващите лични данни, които са задължени да спазват професионална тайна или равностойно задължение за поверителност съгласно правото на Съюза или на държава членка, или съгласно задължение, наложено от компетентните национални органи, доколкото това е необходимо и пропорционално, за да се съчетае правото на защита на личните данни със задължението за поверителност. Тези разпоредби се прилагат само за лични данни, получени или събрани от администратора или обработващия лични данни в хода на дейност, подлежаща на такова задължение за поверителност.
2. До 25 май 2018 г. всяка държава членка уведомява Комисията за разпоредбите, приети съгласно параграф 1, и незабавно я уведомява за всяко последващо изменение, което ги засяга.

1. Когато църква, религиозна организация или общност в държава членка прилага всеобхватни правила за защита на физическите лица по отношение на обработването към датата на влизане в сила на настоящия регламент, тези правила могат да продължат да се прилагат, при условие че бъдат приведени в съответствие с настоящия регламент.
2. Църквите и религиозните сдружения или общности, които прилагат всеобхватни правила за защита на данните в съответствие с параграф 1, подлежат на надзор от независим надзорен орган, който може да бъде със специфичен характер, при условие че отговаря на условията, определени в глава VI.

1. Правомощието да приема делегирани актове се предоставя на Комисията при спазване на условията, предвидени в настоящия член.
2. Правомощието да приема делегирани актове, посочено в член 12, параграф 8 и член 43, параграф 8, се предоставя на Комисията за неопределен период от време, считано от 24 май 2016 г.
3. Делегирането на правомощия, посочено в член 12, параграф 8 и член 43, параграф 8, може да бъде оттеглено по всяко време от Европейския парламент или от Съвета. С решението за оттегляне се прекратява делегирането на правомощията, посочени в това решение. То влиза в сила в деня след публикуването му в Официален вестник на Европейския съюз или на по-късна дата, посочена в решението за отмяна. Решението за отмяна не засяга валидността на делегираните актове, които вече са в сила.
4. Веднага след като Комисията приеме делегиран акт, тя го изпраща едновременно на Европейския парламент и на Съвета.
5. Делегиран акт, приет съгласно член 12, параграф 8 и член 43, параграф 8, влиза в сила единствено ако нито Европейският парламент, нито Съветът не са представили възражения в срок от три месеца след нотифицирането на акта на Европейския парламент и на Съвета или ако преди изтичането на този срок и Европейският парламент, и Съветът са уведомили Комисията, че няма да представят възражения. Този срок се удължава с три месеца по инициатива на Европейския парламент или на Съвета.

1. Комисията се подпомага от комитет. Този комитет е комитет по смисъла на Регламент (ЕС) № 182/2011.
2. Когато се прави позоваване на настоящия параграф, се прилага член 5 от Регламент (ЕС) № 182/2011.
3. Когато се прави позоваване на настоящия параграф, се прилага член 8 от Регламент (ЕС) № 182/2011 във връзка с член 5 от него.

1. Директива 95/46/ЕО ще бъде отменена, считано от 25 май 2018 г.
2. Позоваванията на отменената директива се считат за позовавания на настоящия регламент. Позоваванията на Работната група за защита на физическите лица при обработването на лични данни, създадена с член 29 от Директива 95/46/ЕО, се считат за позовавания на Европейския комитет по защита на данните, създаден с настоящия регламент.

1. С настоящия регламент не се налагат допълнителни задължения на физическите или юридическите лица във връзка с обработването на данни при предоставянето на обществено достъпни електронни съобщителни услуги в обществени съобщителни мрежи в Съюза, доколкото те подлежат на специфични задължения, установени в Директива 2002/58/ЕО, които преследват същата цел.

1. Международните споразумения, включващи предаването на лични данни на трети държави или международни организации, които са сключени от държавите членки преди 24 май 2016 г. и които са в съответствие с правото на Съюза, действащо преди тази дата, остават в сила, докато не бъдат изменени, заменени или прекратени.

1. До 25 май 2020 г. и на всеки четири години след това Комисията представя на Европейския парламент и на Съвета доклад относно оценката и прегледа на настоящия регламент. Докладите се оповестяват публично.
2. Като част от оценките и проверките, посочени в параграф 1, Комисията разглежда по-специално прилагането и функционирането на
   1. от глава V относно предаването на лични данни на трети държави или международни организации, по-специално по отношение на решенията, приети съгласно член 45, параграф 3 от настоящия регламент, и констатациите, приети съгласно член 25, параграф 6 от Директива 95/46/ЕО,
   2. на глава VII относно сътрудничеството и съгласуваността.
3. За целите, посочени в параграф 1, Комисията може да поиска информация от държавите-членки и надзорните органи.
4. При оценките и прегледите, посочени в параграфи 1 и 2, Комисията взема предвид становищата и констатациите на Европейския парламент, Съвета и други съответни органи или източници.
5. Комисията, ако е необходимо, представя подходящи предложения за изменение на настоящия регламент, като отчита по-специално развитието на информационните технологии и напредъка на информационното общество.

1. Когато е целесъобразно, Комисията представя законодателни предложения за изменение на други актове на Съюза относно защитата на личните данни, за да се осигури хармонизирана и последователна защита на физическите лица по отношение на обработването. Това се отнася по-специално за правилата за защита на физическите лица по отношение на обработването на такива данни от институциите, органите, службите и агенциите на Съюза и за свободното движение на такива данни.

1. Настоящата наредба влиза в сила на двадесетия ден след публикуването й в Официален вестник на Европейския съюз в сила.
2. Тя ще се прилага от 25 май 2018 г.