Администраторите на данни и операторите на данни, работещи в повече от една държава-членка ще трябва да определят основното си място.

Един от ключовите въпроси, с който компаниите се мъчат да се справят, е определяне идентичността на техния водещ надзорен орган по GDPR. Това е важно, защото водещият надзорен органът ще играе ключова роля при урегулиране спазване изискванията на GDPR от страна на тази компания. Водещият орган ще има основна отговорност за справянето с трансграничните данни, включително обработката и разследването на жалбите, подадени от субектите на данни, и налагането на произтичащи от това санкции.

Дружества, опериращи в една държава-членка!

Когато едно дружество има едно предприятие в ЕС и неговите дейности не засягат съществено субектите на данни в други държави-членки, нещата са по-ясни. Тези компании просто ще имат един надзорен орган в държавата-членка на тяхното установяване.

Фирми, които извършват трансгранична обработка!

"Трансграничната обработка" се определя от GDPR или като преработка в контекста на дейности на фирмените структури в повече от една държава-членка (i), или като в единствено предприятие в ЕС (ii), но което оказва съществено влияние или е вероятно да засегне значително субектите на данни в повече от една държава-членка.Тези фирми, които извършват трансгранична обработка (работят в няколко държави по i или ii), трябва да търсят да определят своя водещ надзорен орган чрез определяне местонахождението на тяхната "основна структура".

Тест за "Основна структура"!

Основната структура за администратор на данни е мястото на фирмената централна администрация в ЕС, освен ако не се вземе решение, за целите и средствата за обработка на лични данни, да се използва друго предприятие (което има правомощията да ги прилага), което тогава би било считано за "Основно структура".За обработката на данни това е мястото на централната му администрация в ЕС или, ако няма такова, в страната в ЕС "където основните обработващи дейности стават в контекста на мястото на извършване на обработката", до толкова, до колкото са обект на GDPR.Обърнете внимание, че когато са включени администратор и оператор, водещата роля е на администратора.

Докато Работната група по член 29 избягва свободно обсъждане, тяхното ръководство предполага, че има място за маневра, ако даден бизнес няма очевидно установена основна структура. Те обаче са изяснили, че ако една компания твърди, че има водеща структура в държава-членка, но не покрива изложените по-горе изисквания, съответните надзорните органи (и в крайна сметка European Data Protection Board-EDPB) може да поискат компанията да докаже своето решение, както и да го оспорят, решавайки за "водещата роля", основавайки се на фактите.

Работа с надзорния орган!

След като бъде идентифицирано основното (или единствено) предприятие, администраторът или операторът трябва да съобщят на своя водещ орган детайли за техния Служител по защита на данните (когато имат един). Те трябва, при поискване, да си сътрудничат с надзорния орган, при изпълнението на задачите им. Мнозина считат, че най-добрата практика е да се започне диалог с водещия орган възможно най-рано, особено когато, например, организацията разполага с Обвързващи корпоративни правила (BCRs).Има случаи, при които едно дружество може да има повече от един водещ надзорен орган. Компанията може да взема решения за различни трансгранични обработки в отделни ръководни центрове. Може да е трудно да се определи къде са взети главните решения. Тези компании, които нямат "структура" в накоя Държава-членка, няма да се възползва от водещ надзорен орган и ще трябва да се справят индивидуално с регулатора във всяка юрисдикция, в която са заловени по отношение на GDPR. GDPR създава сътрудничество и режим на съгласуваност между надзорните органи, наречени "One Stop Shop"

Когато едно дружество има водещ надзорен орган се прилага режимът "One Stop Shop". Това е набор от сложно сътрудничество и координационни процедури, което надзорните органи трябва да следват, за да се гарантира, че всички съответни органи имат думата. Надзорните органи в други държави-членки могат да участват като "заинтересовани органи", където, например, администраторът има структура в своята юрисдикция, или субектите на данни съществено са засегнати от този орган на Държавата-членка. Има изключение за местни и спешни случаи, които могат да бъдат разглеждани по подходящ начин. Водещият орган трябва да си сътрудничи със заинтересованите власти в стремежа си да постигнат консенсус, включително и да внася проекторешения в тях без ненужно забавяне и отчитане на техните възгледи. Ако водещият орган не е съгласен с каквито и да било уместни и обосновани повдигнати възражения, те трябва да се подчинят на процедурата за съгласуваност, която се контролира от Европейския съвет за защита на данните.

Процесът на преминаване през Европейския съвет за защита на данните (EDPB) и неговите кръгове на гласуване е сложно. EDPB има един месец (който може да бъде удължен с още един месец), за да се споразумеят членовете му за обвързващо решение с мнозинство от две трети. Ако обаче не могат да постигат съгласие в рамките на два месеца, те имат още две седмици да постигнат съгласие с обикновено мнозинство. Това може да стане донякъде политически процес и можем да станем свидетели на блокиращо гласуване от страна на някои Надзорни органи на държавите-членки в съюза. Това би могло да направи този механизъм много труден инструмент за осигуряване на последователност в процеса на вземане на решения и има опасение, че случаите могат да се закучат в процеса, независимо от уговорените срокове, предвид ограничените ресурси на EDPB. Това ще зависи от броя на подобни случаи. Надзорните органи трябва да обменят информация, а водещият орган може да поиска взаимопомощ, например във връзка с прилагането на GDPR по един съвместим начин. Може също така да провеждат съвместни операции, като например съвместни разследвания. Все още не е ясно колко добре тази система ще работи на практика. Дори когато е договорен водещ надзорен орган, системата разчита в голяма степен на това водещият орган да се съгласува с някой от заинтересованите органи. Органите за защита на данните не са свикнали да работят заедно, по този начин с толкова тясно сътрудничество и често предприемат много различни подходи за да разрешат отделните случаи.

Свързани с горните текстове членове от Регламента:

Член 4 - Определения за "основно предприятие", "трансгранична обработка", "релевантни и обосновани възражения" и "заинтересован надзорен орган",

16) „основно място на установяване“ (основно предприятие) означава:

a) по отношение на администратор, установен в повече от една държава членка — мястото, където се намира централното му управление в Съюза, освен в случаите, когато решенията по отношение на целите и средствата за обработването на лични данни се вземат на друго място на установяване на администратора в Съюза и на това място на установяване има правомощия за прилагане на тези решения, в който случай мястото на установяване, където са взети тези решения, се счита за основно място на установяване;

б) по отношение на обработващ лични данни, установен в повече от една държава членка — мястото, където се намира централното му управление в Съюза, или ако обработващият лични данни няма централно управление в Съюза, мястото на установяване на обработващия лични данни в Съюза, където се осъществяват основните дейности по обработването в контекста на дейностите на дадено място на установяване на обработващия лични данни, доколкото обработващият има специфични задължения съгласно настоящия регламент;

22) „засегнат надзорен орган“ (заинтересован) означава надзорен орган, който е засегнат от обработването на лични данни, тъй като:

a) администраторът или обработващият лични данни е установен на територията на държавата членка на този надзорен орган;

б) субектите на данни с местопребиваване в държавата членка на този надзорен орган са засегнати съществено или е вероятно да бъдат засегнати съществено от обработването; или в) до този надзорен орган е подадена жалба;

23) „трансгранично обработване“ означава или:

a) обработване на лични данни, което се осъществява в контекста на дейностите на местата на установяване в повече от една държава членка на администратор или обработващ лични данни в Съюза, като администраторът или обработващият лични данни е установен в повече от една държава членка; или

б) обработване на лични данни, което се осъществява в контекста на дейностите на едно-единствено място на установяване на администратор или обработващ лични данни в Съюза, но което засяга съществено или е вероятно да засегне съществено субекти на данни в повече от една държава членка;

24) „относимо и обосновано възражение“ означава възражение срещу проект на решение относно това дали е налице нарушение на настоящия регламент или не, или дали предвижданото действие по отношение на администратора или обработващия лични данни отговаря на изискванията на настоящия регламент, което ясно доказва, че проектът за решение води до значителни рискове за основните права и свободи на субектите на данни и, където е приложимо, за свободното движение на лични данни в рамките на Съюза; 

Изложение 36, към Член 4

(36) Основното място на установяване на администратор на данни в Съюза следва да бъде мястото в Съюза, където се намира централното му управление в Съюза, освен ако решенията относно целите и средствата за обработването на лични данни не се вземат на друго място на установяване на администратора на данни в Съюза, в който случай това друго място на установяване следва да се счита за основното място на установяване. Основното място на установяване на администратор в Съюза следва да се определя съгласно обективни критерии и следва да означава ефективното и действително упражняване на управленски дейности, определящи основните решения по отношение на целите и средствата за обработване на данни по силата на стабилни договорености. Този критерий не следва да зависи от това дали обработването на лични данни се извършва на това място. Наличието и употребата на технически средства и технологии за обработване на лични данни или дейностите по обработване не представляват сами по себе си основно място на установяване и следователно не са определящи критерии за понятието „основно място на установяване“. Основното място на установяване на обработващия лични данни следва да бъде мястото, където се намира централното му управление в Съюза, а ако няма централно управление в Съюза, мястото в Съюза, където се осъществяват основните дейности по обработването. В случаи, когато участват и администратор, и обработващ лични данни, компетентният водещ надзорен орган следва да остане надзорният орган на държавата членка, в която се намира основното място на установяване на администратора, а надзорният орган на обработващия лични данни следва да се счита за засегнат надзорен орган и този надзорен орган следва да участва в процедурата за сътрудничество, предвидена в настоящия регламент. При всички положения надзорните органи на държавата членка или държавите членки, където е установен обработващият лични данни, не следва да се считат за засегнати надзорни органи, когато проектът за решение засяга единствено администратора. Когато обработването се извършва от група предприятия, основното място на установяване на контролиращото предприятие следва да се счита за основно място на установяване на групата предприятия, с изключение на случаите, в които целите и средствата на обработването на данни се определят от друго предприятие.

Член 31 – Сътрудничество с надзорния орган,

При поискване администраторът и обработващият лични данни и — когато това е приложимо — техните представители си сътрудничат с надзорния орган при изпълнението на неговите задължения.

Изложение 82, към Член 31

(82) За да докаже спазването на настоящия регламент, администраторът или обработващият данни следва да поддържа документация за дейностите по обработване, за които той е отговорен. Всеки администратор и обработващ лични данни следва да е длъжен да си сътрудничи с надзорния орган и да му осигури достъп до тази документация при поискване, за да може да бъде използвана за наблюдение на тези операции по обработване.

Член 51 – Надзорен орган

1. Всяка държава членка осигурява един или повече независими публични органи, които са отговорни за наблюдението на прилагането на настоящия регламент, за да се защитят основните права и свободи на физическите лица във връзка с обработването и да се улесни свободното движение на личните данни в рамките на Съюза („надзорен орган“).

2. Всеки надзорен орган допринася за последователното прилагане на настоящия регламент в рамките на Съюза. За тази цел надзорните органи си сътрудничат помежду си и с Комисията в съответствие с глава VII.

3. Когато в дадена държава членка е създаден повече от един надзорен орган, тази държава членка определя надзорния орган, който представлява тези органи в Комитета, и определя механизма за осигуряване на спазването от другите органи на правилата, отнасящи се до механизма за съгласуваност, посочен в член 63.

4. Всяка държава членка уведомява Комисията за разпоредбите в своето законодателство, които приема по силата на настоящата глава, най-късно до 25 май 2018 г. и я уведомява без забавяне за всяко последващо изменение, което ги засяга.

Изложения 116-117, към Член 51

(116) Трансграничното движение на лични данни извън Съюза може да увеличи риска физическите лица да не могат да упражнят правата на защита на данните, по-специално да се защитят срещу неправомерна употреба или разкриване на тези данни. В същото време надзорните органи могат да бъдат изправени пред невъзможността да разглеждат жалби или да провеждат разследвания, свързани с дейности, извършвани извън техните граници. Техните усилия за сътрудничество в трансграничния контекст могат да бъдат възпрепятствани и от недостатъчни правомощия за предотвратяване или защита, различаващи се правни режими, както и от практически пречки като ограничения на ресурсите. Ето защо е необходимо да се насърчава по-тясното сътрудничество между надзорните органи по защита на данните, за им се помогне да обменят информация и да извършват разследвания съвместно със своите международни партньори. За целите на разработването на механизми за международно сътрудничество, улесняващи и осигуряващи международна взаимопомощ при прилагането на законодателство за защита на личните данни, Комисията и надзорните органи следва да обменят информация и да си сътрудничат в дейностите по упражняването на техните правомощия с компетентните органи в трети държави на реципрочна основа и в съответствие с настоящия регламент.

(117) Създаването в държавите членки на надзорни органи, оправомощени да изпълняват задачите и упражняват своите правомощия при пълна независимост, е първостепенен елемент от защитата на физическите лица във връзка с обработването на личните им данни. Държавите членки следва да могат да създават повече от един надзорен орган, за да отговаря на тяхната конституционна, организационна и административна структура.

Член 55 – Компетентност на Надзорния орган,

1. Всеки надзорен орган е компетентен да изпълнява задачите и да упражнява правомощията, възложени му в съответствие с настоящия регламент, на територията на своята собствена държава членка.

2. Когато обработването се извършва от публични органи или частни организации на основание член 6, параграф 1, буква в) или д), компетентен е надзорният орган на съответната държава членка. В тези случаи член 56 не се прилага.

3. Надзорните органи не са компетентни да осъществяват надзор на дейностите по обработване, извършвани от съдилищата при изпълнение на съдебните им функции.

Изложения 20 и 122, към Член 55

(20) Макар настоящият регламент да се прилага, inter alia, спрямо дейностите на съдилищата и други съдебни органи, в правото на Съюза или в правото на държава членка могат да се определят конкретно операциите и процедурите по обработване на лични данни от съдилищата и другите съдебни органи. Компетентността на надзорните органи не следва да обхваща обработването на лични данни, когато съдилищата действат при изпълнение на своите съдебни функции, за да се гарантира независимостта на съдебната власт при изпълнението на съдебните ѝ задължения, включително вземането на решения. Следва да е възможно да се повери надзорът на такива операции по обработване на данни на специални органи в рамките на съдебната система на държавата членка, които по- конкретно следва да осигурят спазването на правилата на настоящия регламент, да повишават осведомеността сред членовете на съдебното съсловие за техните задължения по силата на настоящия регламент и да се занимават с жалбите във връзка с такива операции по обработване на данни. 

(122) Всеки надзорен орган следва да бъде компетентен на територията на своята държава членка да упражнява правомощията и изпълнява задачите, възложени му в съответствие с настоящия регламент. Това следва да обхваща по-специално обработването в контекста на дейностите на място на установяване на администратора или обработващия лични данни на територията на неговата държава членка, обработването на лични данни, извършвано от публични органи или частни структури, действащи в обществен интерес, обработване, което засяга субекти на данни на неговата територия, или обработване, извършвано от администратор или обработващ лични данни, който не е установен в Съюза, когато субектите на данни, към които това обработване е насочено, са с местопребиваване на негова територия. Това следва да включва разглеждане на жалби, внесени от субекти на данни, водене на разследвания за прилагането на настоящия регламент и повишаване на обществената осведоменост за рисковете, правилата, гаранциите и правата, свързани с обработването на лични данни.

Член 56 – Компетентност на водещия надзорен орган,

1. Без да се засяга член 55, надзорният орган на основното място на установяване или на единственото място на установяване на администратора или обработващия лични данни е компетентен да действа като водещ надзорен орган за трансграничното обработване, извършвано от посочения администратор или обработващ лични данни в съответствие с процедурата по член 60.

2. Чрез дерогация от параграф 1 всеки надзорен орган е компетентен да разглежда внесена при него жалба или евентуални нарушения на настоящия регламент, ако случаят се отнася единствено до място на установяване в държавата членка на надзорния орган или засяга в значителна степен субекти на данни единствено в тази държава членка.

3. В посочените в параграф 2 от настоящия член случаи надзорният орган незабавно уведомява за тях водещия надзорен орган. В срок от три седмици след като е бил уведомен, водещият надзорен орган взема решение за това дали той самият ще разгледа или не случая в съответствие с процедурата, предвидена в член 60, като отчита дали администраторът или обработващият лични данни е установен в държавата членка на надзорния орган, който го е уведомил.

4. Когато водещият надзорен орган реши да разгледа случая, се прилага процедурата по член 60. Надзорният орган, уведомил водещия надзорен орган, може да му предостави на проект за решение. Водещият надзорен орган отчита в максимална степен този проект при изготвянето на проекта за решение, посочен в член 60, параграф 3.

5. Ако водещият надзорен орган реши да не разгледа случая, надзорният орган, уведомил водещия надзорен орган, го разглежда в съответствие с членове 61 и 62.

6. За трансграничното обработване, което извършва, администраторът или обработващият лични данни комуникира единствено с водещия надзорен орган.

Изложения 36, 124-125 и 128, към Член 56

(36) Основното място на установяване на администратор на данни в Съюза следва да бъде мястото в Съюза, където се намира централното му управление в Съюза, освен ако решенията относно целите и средствата за обработването на лични данни не се вземат на друго място на установяване на администратора на данни в Съюза, в който случай това друго място на установяване следва да се счита за основното място на установяване. Основното място на установяване на администратор в Съюза следва да се определя съгласно обективни критерии и следва да означава ефективното и действително упражняване на управленски дейности, определящи основните решения по отношение на целите и средствата за обработване на данни по силата на стабилни договорености. Този критерий не следва да зависи от това дали обработването на лични данни се извършва на това място. Наличието и употребата на технически средства и технологии за обработване на лични данни или дейностите по обработване не представляват сами по себе си основно място на установяване и следователно не са определящи критерии за понятието „основно място на установяване“. Основното място на установяване на обработващия лични данни следва да бъде мястото, където се намира централното му управление в Съюза, а ако няма централно управление в Съюза, мястото в Съюза, където се осъществяват основните дейности по обработването. В случаи, когато участват и администратор, и обработващ лични данни, компетентният водещ надзорен орган следва да остане надзорният орган на държавата членка, в която се намира основното място на установяване на администратора, а надзорният орган на обработващия лични данни следва да се счита за засегнат надзорен орган и този надзорен орган следва да участва в процедурата за сътрудничество, предвидена в настоящия регламент. При всички положения надзорните органи на държавата членка или държавите членки, където е установен обработващият лични данни, не следва да се считат за засегнати надзорни органи, когато проектът за решение засяга единствено администратора. Когато обработването се извършва от група предприятия, основното място на установяване на контролиращото предприятие следва да се счита за основно място на установяване на групата предприятия, с изключение на случаите, в които целите и средствата на обработването на данни се определят от друго предприятие.

(124) Когато обработването на лични данни се извършва в контекста на дейностите на място на установяване на администратор или обработващ лични данни в Съюза, а администраторът или обработващият лични данни е установен в повече от една държава членка, или когато обработване, което се осъществява в контекста на дейностите на едно- единствено място на установяване на администратор или обработващ лични данни в Съюза, засяга съществено или е вероятно да засегне съществено субекти на данни в повече от една държава членка, надзорният орган на основното място на установяване на администратора или обработващия лични данни или на единственото място на установяване на администратора или обработващия лични данни следва да функционира като водещ орган. Той следва да си сътрудничи с други засегнати органи, тъй като администраторът или обработващият лични данни има място на установяване на територията на тяхната държава членка, тъй като субекти на данни с местопребиваване на тяхната територия са съществено засегнати или тъй като до тях е била подадена жалба. Също когато субект на данни, който не е с местопребиваване в тази държава членка, е подал жалба, надзорният орган, до който е подадена такава жалба, следва също да се счита за засегнат надзорен орган. В рамките на задачите му да дава насоки по всякакви въпроси, отнасящи се до прилагането на настоящия регламент, Комитетът следва да може да дава насоки по-специално относно критериите, които да се вземат предвид, за да се установи дали въпросното обработване засяга съществено субекти на данни в повече от една държава членка и относно това какво представлява едно относимо и обосновано възражение.

(125) Водещият орган следва да е компетентен да приема решения със задължителен характер относно мерките за прилагане на правомощията, които са му предоставени по силата на настоящия регламент. В качеството си на водещ орган надзорният орган следва да осигурява активно участие и да координира засегнатите надзорни органи в процеса на вземане на решения.Когато решението е за пълно или частично отхвърляне на жалба от субект на данни, това решение следва да се приема от надзорния орган, до който е подадена жалбата.

(128) Правилата за водещия надзорен орган и механизма „обслужване на едно гише“ не следва да се прилагат, когато обработването се извършва от публични органи или от частни структури в обществен интерес. В такива случаи единственият надзорен орган, който е компетентен да упражнява правомощията, предоставени му съгласно настоящия регламент, следва да бъде надзорният орган на държавата членка, в която е установен публичният орган или частната структура.

Член 57 – Задачи на надзорния орган

1. Без да се засягат останалите задачи, определени с настоящия регламент, на своята територия всеки надзорен орган:

a) наблюдава и осигурява прилагането на настоящия регламент;

б) насърчава обществената информираност и разбиране на рисковете, правилата, гаранциите и правата, свързани с обработването. Обръща се специално внимание на дейностите, специално насочени към децата; по Дейвид Смит, бивш зам. Председател на Офиса на Комисията по Информация на UK, подбрани и обработени от Чавдар Пенков 8/19

в) дава становища, в съответствие с правото на държавата членка, на националния парламент, правителството и други институции и органи относно законодателните и административните мерки, свързани със защитата на правата и свободите на физическите лица по отношение на обработването;

г) насърчава информираността на администраторите и обработващите лични данни за задълженията им по силата на настоящия регламент;

д) при поискване предоставя информация на всеки субект на данни във връзка с упражняването на правата му по силата на настоящия регламент и ако е необходимо, си сътрудничи за тази цел с надзорните органи в други държави членки;

е) разглежда жалбите, подадени от субект на данни или от структура, организация или сдружение в съответствие с член 80, и разследва предмета на жалбата, доколкото това е целесъобразно, и информира жалбоподателя за напредъка и резултатите от разследването в разумен срок, особено ако е необходимо по-нататъшно разследване или координиране с друг надзорен орган;

ж) сътрудничи си с други надзорни органи, включително чрез обмен на информация и взаимопомощ, с оглед осигуряване на съгласувано прилагане и изпълнение на настоящия регламент;

з) извършва проучвания относно прилагането на настоящия регламент, включително въз основа на информация, получена от друг надзорен или публичен орган;

и) наблюдава съответното развитие, по-специално в областта на информационните и комуникационни технологии и търговските практики, дотолкова доколкото то оказва влияние върху защитата на личните данни;

й) приема стандартните договорни клаузи, посочени в член 28, параграф 8 и член 46, параграф 2, буква г);

к) съставя и поддържа списък във връзка с изискването за оценка на въздействието върху защитата на данните съгласно член 35, параграф 4;

л) дава становища по операциите за обработване на данни, посочени в член 36, параграф 2;

м) насърчава съставянето на кодекси за поведение съгласно член 40 и предоставя становище и одобрява кодексите за поведение, които осигуряват достатъчно гаранции съгласно член 40, параграф 5;

н) насърчава създаването на механизми за сертифициране за защита на данните и на печати и маркировки за защита на данните съгласно член 42, параграф 1, и одобрява критериите за сертифициране съгласно член 42, параграф 5;

о) когато е приложимо, извършва периодичен преглед на сертификатите, издадени в съответствие с член 42, параграф 7;

п) изготвя и публикува критериите за акредитация на органите за наблюдение на кодексите за поведение съгласно член 41 и на сертифициращите органи съгласно член 43;

р) извършва акредитацията на органите за наблюдение на кодексите за поведение съгласно член 41 и на сертифициращите органи съгласно член 43;

с) дава разрешение за договорните клаузи и разпоредбите, посочени в член 46, параграф 3;

т) одобрява задължителните фирмени правила съгласно член 47;

у) допринася за дейностите на Комитета;

ф) поддържа вътрешен регистър на нарушенията на настоящия регламент, както и на предприетите мерки в съответствие с член 58, параграф 2; и

х) изпълнява други задачи, свързани със защитата на лични данни.

2. Всеки надзорен орган улеснява подаването на жалбите, посочени в параграф 1, буква е), чрез мерки като например формуляр за подаване на жалби, който може да бъде попълнен и по електронен път, без да се изключват други средства за комуникация. по Дейвид Смит, бивш зам. Председател на Офиса на Комисията по Информация на UK, подбрани и обработени от Чавдар Пенков 9/19

3. Изпълнението на задачите от страна на всеки надзорен орган е безплатно за субекта на данни и — когато това е приложимо — за длъжностното лице за защита на данните.

4. Когато исканията са очевидно неоснователни или прекомерни, по-специално поради своята повторяемост, надзорният орган може да наложи разумна такса, основана на административните разходи, или да откаже да предприеме действия по искането. Надзорният орган носи тежестта на доказване на очевидно неоснователния или прекомерния характер на искането

Изложения 120-123 и 132, към Член 57

(120) Всеки надзорен орган следва да получи финансови и човешки ресурси, помещения и инфраструктура, необходими за ефективното изпълнение на неговите задачи, включително задачите по линия на взаимопомощта и сътрудничеството с други надзорни органи навсякъде в Съюза. Всеки надзорен орган следва да има отделен публичен годишен бюджет, който може да е част от общия държавен или национален бюджет.

(121) Общите условия за члена или членовете на надзорния орган следва да бъдат определени със закон във всяка държава членка, и по-специално да осигурят тези членове да се назначават посредством прозрачна процедура от парламента, правителството или от държавния глава на държавата членка въз основа на предложение на правителството или член на правителството или парламента или камара на парламента, или от независим орган, оправомощен съгласно правото на държавата членка. За да се гарантира независимостта на надзорния орган, членът или членовете следва да действат добросъвестно, да се въздържат от всякакви несъвместими със задълженията им действия и по време на своя мандат да не се ангажират с никакви несъвместими функции, независимо дали срещу възнаграждение или безвъзмездно. Надзорният орган следва да разполага със собствен персонал, подбран от надзорния орган или от независим орган, установен съгласно правото на държава членка, който да е поставен под изключителното ръководство на члена или членовете на надзорния орган.

(122) Всеки надзорен орган следва да бъде компетентен на територията на своята държава членка да упражнява правомощията и изпълнява задачите, възложени му в съответствие с настоящия регламент. Това следва да обхваща по-специално обработването в контекста на дейностите на място на установяване на администратора или обработващия лични данни на територията на неговата държава членка, обработването на лични данни, извършвано от публични органи или частни структури, действащи в обществен интерес, обработване, което засяга субекти на данни на неговата територия, или обработване, извършвано от администратор или обработващ лични данни, който не е установен в Съюза, когато субектите на данни, към които това обработване е насочено, са с местопребиваване на негова територия. Това следва да включва разглеждане на жалби, внесени от субекти на данни, водене на разследвания за прилагането на настоящия регламент и повишаване на обществената осведоменост за рисковете, правилата, гаранциите и правата, свързани с обработването на лични данни.

(123) Надзорните органи следва да наблюдават прилагането на разпоредбите съгласно настоящия регламент и да допринасят за неговото последователно прилагане навсякъде в Съюза с цел защита на физическите лица по отношение на обработването на личните им данни и улесняване на свободното движение на личните данни в рамките на вътрешния пазар. За тази цел надзорните органи следва да сътрудничат помежду си и с Комисията, без да е необходимо споразумение между държавите членки относно предоставянето на взаимопомощ или относно такова сътрудничество.

(132) Дейностите на надзорния орган за повишаване на обществената осведоменост следва да включват специални мерки, насочени към администраторите и обработващите лични данни, в това число микропредприятията и малките и средните предприятия, както и физическите лица, особено в образователен контекст. 

Член 58 – Правомощия на надзорния орган

1. Всеки надзорен орган има всички от посочените по-долу правомощия за разследване:

a) да разпорежда на администратора и на обработващия лични данни и, когато е приложимо — на представителя на администратора или на обработващия лични данни, да предоставят всяка информация, която той поиска за изпълнението на своите задачи;

б) да провежда разследвания под формата на одити във връзка със защитата на данните;

в) да извършва преглед на сертификатите, издадени в съответствие с член 42, параграф 7;

г) да уведомява администратора или обработващия лични данни за предполагаемо нарушение на настоящия регламент;

д) да получава от администратора и обработващия лични данни достъп до всички лични данни и до цялата информация, от която се нуждае за изпълнението на своите задачи;

е) да получава достъп до всички помещения на администратора и обработващия лични данни, включително до всяко оборудване и средство за обработване на данни, в съответствие с правото на Съюза или процесуалното право на държавата членка.

2. Всеки надзорен орган има всички от посочените по-долу корективни правомощия:

a) да отправя предупреждения до администратора или обработващия лични данни, когато има вероятност операции по обработване на данни, които те възнамеряват да извършат, да нарушат разпоредбите на настоящия регламент;

б) да отправя официално предупреждение до администратора или обработващия лични данни, когато операции по обработване на данни са нарушили разпоредбите на настоящия регламент;

в) да разпорежда на администратора или обработващия лични данни да изпълнят исканията на субекта на данни да упражнява правата си съгласно настоящия регламент;

г) да разпорежда на администратора или обработващия лични данни да съобразят операциите по обработване на данни с разпоредбите на настоящия регламент и, ако е целесъобразно, това да стане по указан начин и в определен срок;

д) да разпорежда на администратора да съобщава на субекта на данните за нарушение на сигурността на личните данни;

е) да налага временно или окончателно ограничаване, в т.ч. забрана, на обработването на данни;

ж) да разпорежда коригирането, или изтриването на лични данни или ограничаването на обработването им съгласно членове 16, 17 и 18, както и уведомяването за тези действия на получатели, пред които личните данни са били разкрити съгласно член 17, параграф 2 и член 19;

з) да отнема сертификат или да разпорежда на сертифициращия орган да отнеме сертификат, издаден съгласно членове 42 и 43, или да разпорежда на сертифициращия орган да не издава сертификат, ако изискванията за сертифицирането не са спазени или вече не се спазват;

и) да налага административно наказание „глоба“ или „имуществена санкция“ съгласно член 83, в допълнение към мерките, посочени в настоящия параграф, или вместо тях, в зависимост от особеностите на всеки отделен случай;

й) да разпорежда преустановяването на потока на данни към получател в трета държава или към международна организация;

3. Всеки надзорен орган има всички от посочените по-долу правомощия да дава разрешения и становища:

a) да дава становища на администратора в съответствие с процедурата по предварителна консултация, посочена в член 36;

б) да издава по собствена инициатива или при поискване становища до националния парламент, правителството на държавата членка или, в съответствие с правото на държавата членка — до други институции и органи, както и до обществеността по всякакви въпроси, свързани със защитата на лични данни;

в) да дава разрешение за обработването, посочено в член 36, параграф 5, ако съгласно правото на държавата членка се изисква такова предварително разрешение;

г) да дава становища и да одобрява проекти на кодекси за поведение съгласно член 40, параграф 5;

д) да акредитира сертифициращи органи съгласно член 43;

е) да издава сертификати и да одобрява критериите за сертифициране в съответствие с член 42, параграф 5;

ж) да приема стандартните клаузи за защита на данните, посочени в член 28, параграф 8 и в член 46, параграф 2, буква г);

з) да дава разрешение за договорните клаузи, посочени в член 46, параграф 3, буква а);

и) да дава разрешение за административните договорености, посочени в член 46, параграф 3, буква б);

й) да одобрява задължителните фирмени правила съгласно член 47.

4. Упражняването на правомощията, предоставени на надзорния орган по силата на настоящия член, се осъществява при осигуряване на подходящи гаранции, в т.ч. ефективни съдебни средства за правна защита и справедлив съдебен процес, определени в правото на Съюза и правото на държава членка в съответствие с Хартата.

5. Всяка държава членка урежда със закон нейният надзорен орган да има правомощието да довежда нарушенията на настоящия регламент до знанието на съдебните органи и по целесъобразност да инициира или по друг начин да участва в съдебни производства, с цел осигуряване на изпълнението на настоящия регламент.

6. Всяка държава членка може да урежда със закон нейният надзорен орган да има допълнителни правомощия освен посочените в параграфи 1, 2 и 3. Упражняването на тези правомощия не нарушава ефективното действие на глава VII.

Изложения 129, 131 и 150, към Член 58

(129) За да се гарантира последователно наблюдение и прилагане на настоящия регламент навсякъде в Съюза, надзорните органи следва да имат еднакви задачи и ефективни правомощия във всяка държава членка, включително правомощия за разследване, корективни правомощия и правомощия за налагане на санкции, правомощия за даване на разрешения и становища, особено в случаи на жалби от физически лица, и без да се засягат правомощията на прокуратурата съгласно правото на държавата членка — правомощието да довеждат нарушения на настоящия регламент до знанието на съдебните органи и да встъпват в съдебни производства. Тези правомощия следва да включват и правомощието за налагане на временно или окончателно ограничаване, включително забрана, на обработването на данни. Държавите членки могат да посочат други конкретни задачи, свързани със защитата на лични данни съгласно настоящия регламент. Надзорните органи следва да упражняват правомощията си в съответствие с подходящите процедурни гаранции, определени в правото на Съюза и правото на държава членка, независимо, справедливо и в разумен срок. По-специално всяка мярка следва да бъде подходяща, необходима и пропорционална с оглед на осигуряването на съответствие с настоящия регламент, като се отчитат обстоятелствата при всеки конкретен случай, зачита се правото на всяко лице да бъде изслушано преди да бъде взета каквато и да е конкретна мярка, която би го засегнала неблагоприятно, и се избягват излишни разходи и прекалени неудобства за засегнатите лица. Правомощията за разследване по отношение на достъпа до помещения следва да се упражняват в съответствие със специфичните изисквания на процесуалното право на държавите членки, като например изискването за получаване на предварително съдебно разрешение. Всяка мярка със задължителен характер на надзорен орган следва да бъде в писмен вид, да бъде ясна и недвусмислена, да посочва надзорния орган, който е издал мярката, датата на издаване на мярката, да е подписана от ръководителя или член на надзорния орган, упълномощен от него, да посочва основанията за мярката и да се позовава на правото на ефективни правни средства за защита. Това не следва да възпрепятства поставянето на допълнителни изисквания съгласно процесуалното право на държавите членки. Приемането на такова решение със задължителен характер предполага, че то може да подлежи на съдебен контрол в държавата членка на надзорния орган, приел решението.

(131) Когато друг надзорен орган следва да функционира като водещ надзорен орган за дейностите по обработване на администратора или обработващия лични данни, но конкретният предмет на жалбата или възможното нарушение засяга единствено дейностите по обработване на администратора или обработващия лични данни в държавата членка, в която е подадена жалбата или е установено възможното нарушение, и предметът не засяга съществено или няма вероятност да засегне съществено субекти на данни в други държави членки, надзорният орган, който е получил жалба, е установил или е бил информиран по друг начин за ситуации, които водят до възможни нарушения на настоящия регламент, следва да се стреми към уреждане на спора по взаимно съгласие с администратора, а ако този опит се окаже неуспешен, да упражни целия си набор от правомощия. Това следва да включва специфично обработване, извършвано на територията на държавата членка на надзорния орган или по отношение на субекти на данни на територията на тази държава членка; обработване, което се извършва в контекста на предлагането на стоки или услуги, специално предназначени за субекти на данни на територията на държавата членка на надзорния орган; или обработване, което трябва да се прецени, като се вземат предвид съответните правни задължения съгласно правото на държавата членка.

(150) С цел да се засилят и хармонизират административните наказания за нарушения на настоящия регламент, всеки надзорен орган следва да има правомощието да налага административни наказания „глоба“ или „имуществена санкция“. В настоящия регламент следва да се посочат нарушенията и максималният размер и критериите за определяне на съответните административни наказания „глоба“ или „имуществена санкция“, които следва да се определят от компетентния надзорен орган във всеки отделен случай, като се вземат предвид всички обстоятелства, свързани с конкретната ситуация, по-специално при надлежно отчитане на естеството, тежестта и продължителността на нарушението и на последиците от него, както и на мерките, предприети, за да се гарантира спазване на задълженията по настоящия регламент и за да се предотвратят или смекчат последиците от нарушението. Когато имуществената санкция се налага на предприятие, понятието „предприятие“ следва да се разбира като предприятие в съответствие с членове 101 и 102 от ДФЕС за тези цели. При налагане на административни наказания „глоба“ и „имуществена санкция“ на лица, които не са предприятие, надзорният орган следва да има предвид общото равнище на доход в съответната държава членка, както и икономическото състояние на лицето, за да определи подходящия размер на глобата. Механизмът за съгласуваност може да се използва също за утвърждаването на съгласувано прилагане на административните наказания „глоба“ или „имуществена санкция“. Държавите членки следва да определят дали и до каква степен публичните органи следва да подлежат на административни наказания „глоба“ или „имуществена санкция“. Налагането на административно наказание „глоба“ или „имуществена санкция“ или отправянето на предупреждение не засяга упражняването на други правомощия на надзорните органи или прилагането на други санкции по настоящия регламент.

Член 60 – Сътрудничество между водещия надзорен орган и другите засегнати надзорни органи

1. Водещият надзорен орган си сътрудничи с другите засегнати надзорни органи в съответствие с настоящия член и се стреми към постигането на консенсус. Водещият надзорен орган и засегнатите надзорни органи обменят всяка имаща отношение информация помежду си.

2. Водещият надзорен орган може да поиска по всяко време от другите засегнати надзорни органи да предоставят взаимопомощ съгласно член 61 и може да провежда съвместни операции съгласно член 62, по-специално за да извършва разследвания или да наблюдава изпълнението на мярка, засягаща администратор или обработващ лични данни, установен в друга държава членка.

3. Водещият надзорен орган незабавно предава информация за това на другите засегнати надзорни органи. Водещият надзорен орган незабавно представя на другите засегнати надзорни органи проект за решение, за да получи тяхното становище и да вземе надлежно предвид вижданията им.

4. Ако някой от другите засегнати надзорни органи изрази относимо и обосновано възражение срещу проекта за решение в срок от четири седмици, след като е било поискано мнението му в съответствие с параграф 3 от настоящия член, водещият надзорен орган, в случай че не приема относимото и обосновано възражение или счита, че това възражение не е относимо или обосновано, отнася въпроса до механизма за съгласуваност, посочен в член 63.

5. Ако водещият надзорен орган възнамерява да приеме направено относимо и обосновано възражение, той изпраща на другите засегнати надзорни органи преработен проект за решението, за да получи тяхното становище. За този преработен проект на решението се следва процедурата, посочена в параграф 4, за срок от две седмици.

6. Когато нито един от другите засегнати органи не е възразил срещу проекта на решение, представен от водещия надзорен орган в посочения в параграфи 4 и 5 срок, се счита, че водещият надзорен орган и засегнатите надзорни органи са съгласни с този проект на решение и са обвързани от него.

7. Водещият надзорен орган приема решението и уведомява за него основното място на установяване или единственото място на установяване на администратора или обработващия лични данни, според случая, и информира другите засегнати надзорни органи и Комитета за въпросното решение, като включва резюме на съответните факти и основания. Надзорният орган, до когото е била подадена жалбата, информира жалбоподателя за решението.

8. Чрез дерогация от параграф 7, когато дадена жалба е оставена без разглеждане или отхвърлена, надзорният орган, до който е била подадена жалбата, приема решението и уведомява жалбоподателя за него, като информира и администратора

9. Когато водещият надзорен орган и засегнатите надзорни органи постигнат съгласие определени части от жалбата да бъдат оставени без разглеждане или отхвърлени, а по други части от тази жалба да се предприемат действия, за всяка от тези части се приема отделно решение. Водещият надзорен орган приема решението относно частта, за която се предприемат действия във връзка с администратора, уведомява за него основното място на установяване или единственото място на установяване на администратора или обработващия лични данни на територията на неговата държава членка и информира жалбоподателя за това, а надзорният орган по жалбата приема решението относно частта, с която е свързано оставянето без разглеждане или отхвърлянето на тази жалба, уведомява за него жалбоподателя и информира за това администратора или обработващия лични данни.

10. След като е бил уведомен за решението на водещия надзорен орган съгласно параграфи 7 и 9, администраторът или обработващият лични данни взема необходимите мерки, за да осигури съответствие с решението по отношение на дейностите по обработването на всички места, на които е установен в Съюза. Администраторът или обработващият лични данни уведомява водещия надзорен орган за мерките, взети с цел осигуряване на съответствие с решението, а водещият орган информира другите засегнати надзорни органи.

11. Когато при изключителни обстоятелства засегнат надзорен орган има основания да счита, че са необходими спешни действия, за да се защитят интересите на субекти на данни, се прилага процедурата по спешност по член 66.

12. Водещият надзорен орган и другите засегнати надзорни органи си предават информацията, изисквана съгласно настоящия член, по електронен път, използвайки стандартизиран формат.

Изложения 116, 125-128, 130-131 и 133-134, към Член 60

(116) Трансграничното движение на лични данни извън Съюза може да увеличи риска физическите лица да не могат да упражнят правата на защита на данните, по-специално да се защитят срещу неправомерна употреба или разкриване на тези данни. В същото време надзорните органи могат да бъдат изправени пред невъзможността да разглеждат жалби или да провеждат разследвания, свързани с дейности, извършвани извън техните граници. Техните усилия за сътрудничество в трансграничния контекст могат да бъдат възпрепятствани и от недостатъчни правомощия за предотвратяване или защита, различаващи се правни режими, както и от практически пречки като ограничения на ресурсите. Ето защо е необходимо да се насърчава по-тясното сътрудничество между надзорните органи по защита на данните, за им се помогне да обменят информация и да извършват разследвания съвместно със своите международни партньори. За целите на разработването на механизми за международно сътрудничество, улесняващи и осигуряващи международна взаимопомощ при прилагането на законодателство за защита на личните данни, Комисията и надзорните органи следва да обменят информация и да си сътрудничат в дейностите по упражняването на техните правомощия с компетентните органи в трети държави на реципрочна основа и в съответствие с настоящия регламент.

(125) Водещият орган следва да е компетентен да приема решения със задължителен характер относно мерките за прилагане на правомощията, които са му предоставени по силата на настоящия регламент. В качеството си на водещ орган надзорният орган следва да осигурява активно участие и да координира засегнатите надзорни органи в процеса на вземане на решения.Когато решението е за пълно или частично отхвърляне на жалба от субект на данни, това решение следва да се приема от надзорния орган, до който е подадена жалбата.

(126) Решението следва да се съгласува между водещия надзорен орган и засегнатите надзорни органи и следва да е насочено към основното или единственото място на установяване на администратора или обработващия лични данни и да бъде със задължителен характер за администратора или обработващия лични данни. Администраторът или обработващият лични данни следва да вземе необходимите мерки, за да осигури спазването на настоящия регламент и изпълнението на решението, за което водещият надзорен орган е уведомил основното място на установяване на администратора или обработващия лични данни по отношение на дейностите по обработване в Съюза.

(127) Всеки надзорен орган, който не функционира като водещ надзорен орган, следва да бъде компетентен да разглежда случаи на местно равнище, когато администраторът или обработващият лични данни е установен в повече от една държава членка, но предметът на конкретното обработване засяга единствено обработването, извършвано в една държава членка, и включва единствено субекти на данни в тази единствена държава членка, например когато предметът се отнася до обработването на лични данни на наети лица в контекста на специфично трудово правоотношение в държава членка. В такива случаи надзорният орган следва без отлагане да информира за случая водещия надзорен орган. След като бъде информиран, водещият надзорен орган следва да реши дали ще разгледа случая съгласно разпоредбата относно сътрудничеството между водещия надзорен орган и другите засегнати надзорни органи („обслужване на едно гише“) или информиралият го надзорен орган следва да разгледа случая на местно равнище. Когато взема това решение, водещият надзорен орган следва да отчете дали администраторът или обработващият лични данни е установен в държавата членка на надзорния орган, който го е информирал, за да се гарантира ефективно изпълнение на решението спрямо администратора или обработващия лични данни. Когато водещият надзорен орган реши да разгледа случая, информиралият го надзорен орган следва да има възможността да представи проект за решение, което водещият надзорен орган следва да отчита в максимална степен при изготвянето на своя проект за решение в рамките на посочения механизъм „обслужване на едно гише“.

(128) Правилата за водещия надзорен орган и механизма „обслужване на едно гише“ не следва да се прилагат, когато обработването се извършва от публични органи или от частни структури в обществен интерес. В такива случаи единственият надзорен орган, който е компетентен да упражнява правомощията, предоставени му съгласно настоящия регламент, следва да бъде надзорният орган на държавата членка, в която е установен публичният орган или частната структура.

(130) Когато надзорният орган, до когото е подадена жалбата, не е водещият надзорен орган, водещият надзорен орган следва да работи в тясно сътрудничество с надзорния орган, до когото е подадена жалбата, в съответствие с разпоредбите за сътрудничество и съгласуваност, установени в настоящия регламент. В такива случаи, когато взема мерки, предназначени да породят правни последици, включително налагане на административни наказания „глоба“ или „имуществена санкция“, водещият надзорен орган следва да отчита във възможно най-голяма степен становището на надзорния орган, до когото е подадена жалбата и който следва да запази компетентността за провеждане на разследване на територията на собствената си държава членка, като си сътрудничи с компетентния надзорен орган.

(131) Когато друг надзорен орган следва да функционира като водещ надзорен орган за дейностите по обработване на администратора или обработващия лични данни, но конкретният предмет на жалбата или възможното нарушение засяга единствено дейностите по обработване на администратора или обработващия лични данни в държавата членка, в която е подадена жалбата или е установено възможното нарушение, и предметът не засяга съществено или няма вероятност да засегне съществено субекти на данни в други държави членки, надзорният орган, който е получил жалба, е установил или е бил информиран по друг начин за ситуации, които водят до възможни нарушения на настоящия регламент, следва да се стреми към уреждане на спора по взаимно съгласие с администратора, а ако този опит се окаже неуспешен, да упражни целия си набор от правомощия. Това следва да включва специфично обработване, извършвано на територията на държавата членка на надзорния орган или по отношение на субекти на данни на територията на тази държава членка; обработване, което се извършва в контекста на предлагането на стоки или услуги, специално предназначени за субекти на данни на територията на държавата членка на надзорния орган; или обработване, което трябва да се прецени, като се вземат предвид съответните правни задължения съгласно правото на държавата членка.

(133) Надзорните органи следва да си сътрудничат при изпълнението на своите задачи и взаимно да се подпомагат, за да се гарантира съгласуваното прилагане и изпълнение на настоящия регламент в рамките на вътрешния пазар. Надзорен орган, който е поискал взаимопомощ, може да приеме временна мярка, ако не е получил отговор на искането за взаимопомощ в рамките на един месец от получаването му от другия надзорен орган.

(134) Всеки надзорен орган следва да участва в съвместни операции с други надзорни органи, когато е целесъобразно. Надзорният орган, до който е отправено искането, следва да е длъжен да отговори в определен срок на искането.

Член 61 – Взаимопомощ

1. Надзорните органи си предоставят взаимно значима информация и помощ, за да изпълняват и прилагат настоящия регламент по съгласуван начин, и въвеждат мерки за ефективно сътрудничество помежду си. Взаимопомощта обхваща по- специално искания за информация и мерки за надзор, например искания за предоставяне на предварителни разрешения или провеждане на предварителни консултации, проверки и разследвания.

2. Всеки надзорен орган предприема всички подходящи мерки, които са необходими, за да се отговори на искането на друг надзорен орган без ненужно забавяне и не по-късно от един месец след получаване на искането. Такива мерки могат да включват, по-специално, предаване на значима информация относно хода на дадено разследване.

3. Исканията за помощ съдържат цялата необходима информация, включително целта на искането и причините за него. Обменената информация се използва единствено за целите, за които е поискана.

4. Надзорен орган, до който е отправено искане, няма право да откаже да го изпълни, освен ако:

а) не е компетентен относно предмета на искането или мерките, които се изисква да изпълни; или

б) удовлетворяването на искането би било в нарушение на настоящия регламент или правото на Съюза или правото на държава членка, което се прилага спрямо надзорния орган, до който е отправено искането.

5. Надзорният орган, до който е отправено искането, информира искащия надзорен орган за резултатите или, в зависимост от случая, за напредъка на предприетите мерки в отговор на искането. Надзорният орган, до който е отправено искането, излага мотивите си в случай на отказ да изпълни искането по силата на параграф 4.

6. Надзорните органи, до които са отправени искания, по правило предоставят информацията, поискана от други надзорни органи, по електронен път, като използват стандартизиран формат.

7. Надзорните органи, до които са отправени искания, не събират такси за действията, които са предприели в отговор на искане за взаимопомощ. Надзорните органи могат да постигнат съгласие с други надзорни органи относно правила за предоставяне на обезщетение един на друг за конкретни разходи, свързани с предоставянето на взаимопомощ при извънредни обстоятелства.

8. Когато в рамките на един месец от получаване на искането на друг надзорен орган надзорният орган не предостави информацията, посочена в параграф 5 от настоящия член, искащият надзорен орган може да приеме временна мярка на територията на своята държава членка в съответствие с член 55, параграф 1. В този случай се счита, че са необходими спешни действия съгласно член 66, параграф 1, което изисква спешно решение със задължителен характер от страна на Комитета в съответствие с член 66, параграф 2.

9. Комисията може посредством актове за изпълнение да определи формата и процедурите за взаимопомощ по настоящия член, както и договореностите за обмена на информация по електронен път между надзорните органи и между надзорните органи и Комитета, и по-специално стандартизирания формат, посочен в параграф 6 от настоящия член. Тези актове за изпълнение се приемат в съответствие с процедурата по разглеждане, посочена в член 93, параграф 2.

Изложения 123, 133, към Член 61

(123) Надзорните органи следва да наблюдават прилагането на разпоредбите съгласно настоящия регламент и да допринасят за неговото последователно прилагане навсякъде в Съюза с цел защита на физическите лица по отношение на обработването на личните им данни и улесняване на свободното движение на личните данни в рамките на вътрешния пазар. За тази цел надзорните органи следва да сътрудничат помежду си и с Комисията, без да е необходимо споразумение между държавите членки относно предоставянето на взаимопомощ или относно такова сътрудничество.

(133) Надзорните органи следва да си сътрудничат при изпълнението на своите задачи и взаимно да се подпомагат, за да се гарантира съгласуваното прилагане и изпълнение на настоящия регламент в рамките на вътрешния пазар. Надзорен орган, който е поискал взаимопомощ, може да приеме временна мярка, ако не е получил отговор на искането за взаимопомощ в рамките на един месец от получаването му от другия надзорен орган.

Член 62 – Съвместни операции на надзорни органи

1. Когато е целесъобразно, надзорните органи провеждат съвместни операции, включително съвместни разследвания и съвместни мерки за изпълнение, в които участват членове или персонал на надзорни органи от други държави членки.

2. Когато администраторът или обработващият лични данни е установен в няколко държави членки или когато има вероятност от операции по обработване на данни да бъдат засегнати съществено значителен брой субекти на данни в повече от една държава членка, надзорният орган на всяка от тези държави членки има право да участва в съвместни операции. Надзорният орган, който е компетентен съгласно член 56, параграф 1 или параграф 4, кани надзорния орган на всяка от тези държави членки да участва в съответните съвместни операции и отговаря незабавно на искането на даден надзорен орган за участие.

3. В съответствие с правото на държавата членка и с разрешението на командироващия надзорен орган надзорният орган може да предостави правомощия, в това число правомощия за разследване, на членовете или персонала на командироващия надзорен орган, участващи в съвместни операции, или, доколкото правото на държавата членка на надзорния орган домакин позволява, да разреши на членовете или персонала на командироващия надзорен орган да упражняват своите правомощия за разследване в съответствие с правото на държавата членка на командироващия надзорен орган. Тези правомощия за разследване могат да се упражняват единствено под ръководството и в присъствието на членове или персонал на надзорния орган домакин. Спрямо членовете и персонала на командироващия надзорен орган се прилага правото на държавата членка на надзорния орган домакин.

4. Когато в съответствие с параграф 1 персонал на командироващ надзорен орган участва в операция в друга държава членка, държавата членка на надзорния орган домакин носи отговорност за действията на този персонал, включително отговорност за всякакви вреди, нанесени от него по време на операцията, в съответствие с правото на държавата членка, на чиято територия се провежда операцията.

5. Държавата членка, на чиято територия е нанесена вредата, поправя тази вреда при условията, приложими към вреди, нанесени от собствения ѝ персонал. Държавата членка на командироващия надзорен орган, чиито служители са причинили вреди на лице на територията на друга държава членка, възстановява изцяло сумите, които последната е изплатила от тяхно име на лицата, които са имали правото да ги получат. 

6. Без да се засяга упражняването на правата ѝ по отношение на трети страни и с изключение на параграф 5, всяка държава членка се въздържа в случая, предвиден в параграф 1, да иска обезщетение от друга държава членка за вредите, посочени в параграф 4.

7. Когато се планира съвместна операция и в срок от един месец даден надзорен орган не изпълни задължението, предвидено във второто изречение на параграф 2 от настоящия член, другите надзорни органи могат да приемат временна мярка на територията на своята държава членка в съответствие с член 55. В този случай се счита, че са необходими спешни действия съгласно член 66, параграф 1, което изисква становище или спешно решение със задължителен характер от страна на Комитета в съответствие с член 66, параграф 2.

Изложение 134, към Член 62

(134) Всеки надзорен орган следва да участва в съвместни операции с други надзорни органи, когато е целесъобразно. Надзорният орган, до който е отправено искането, следва да е длъжен да отговори в определен срок на искането.

Член 63 – Механизъм за съгласуваност

С цел да допринесат за съгласуваното прилагане на настоящия регламент в целия Съюз, надзорните органи си сътрудничат помежду си и, ако е целесъобразно, с Комисията чрез механизъм за съгласуваност, както е определено в настоящия раздел.

Изложения 119, 123, 128-129, 135-136, 139 и 141, към Член 63

(119) Когато държава членка създаде няколко надзорни органа, тя следва да установи със закон механизми за гарантиране на ефективното участие на тези надзорни органи в механизма за съгласуваност. Тази държава членка следва по-специално да определи надзорния орган, който функционира като единна точка за контакт, за да гарантира ефективното участие на тези органи в механизма, както и бързото и безпрепятствено сътрудничество с други надзорни органи, Комитета и Комисията.

(123) Надзорните органи следва да наблюдават прилагането на разпоредбите съгласно настоящия регламент и да допринасят за неговото последователно прилагане навсякъде в Съюза с цел защита на физическите лица по отношение на обработването на личните им данни и улесняване на свободното движение на личните данни в рамките на вътрешния пазар. За тази цел надзорните органи следва да сътрудничат помежду си и с Комисията, без да е необходимо споразумение между държавите членки относно предоставянето на взаимопомощ или относно такова сътрудничество.

(128) Правилата за водещия надзорен орган и механизма „обслужване на едно гише“ не следва да се прилагат, когато обработването се извършва от публични органи или от частни структури в обществен интерес. В такива случаи единственият надзорен орган, който е компетентен да упражнява правомощията, предоставени му съгласно настоящия регламент, следва да бъде надзорният орган на държавата членка, в която е установен публичният орган или частната структура.

(129) За да се гарантира последователно наблюдение и прилагане на настоящия регламент навсякъде в Съюза, надзорните органи следва да имат еднакви задачи и ефективни правомощия във всяка държава членка, включително правомощия за разследване, корективни правомощия и правомощия за налагане на санкции, правомощия за даване на разрешения и становища, особено в случаи на жалби от физически лица, и без да се засягат правомощията на прокуратурата съгласно правото на държавата членка — правомощието да довеждат нарушения на настоящия регламент до знанието на съдебните органи и да встъпват в съдебни производства. Тези правомощия следва да включват и правомощието за налагане на временно или окончателно ограничаване, включително забрана, на обработването на данни. Държавите членки могат да посочат други конкретни задачи, свързани със защитата на лични данни съгласно настоящия регламент. Надзорните органи следва да упражняват правомощията си в съответствие с подходящите процедурни гаранции, определени в правото на Съюза и правото на държава членка, независимо, справедливо и в разумен срок. По-специално всяка мярка следва да бъде подходяща, необходима и пропорционална с оглед на осигуряването на съответствие с настоящия регламент, като се отчитат обстоятелствата при всеки конкретен случай, зачита се правото на всяко лице да бъде изслушано преди да бъде взета каквато и да е конкретна мярка, която би го засегнала неблагоприятно, и се избягват излишни разходи и прекалени неудобства за засегнатите лица. Правомощията за разследване по отношение на достъпа до помещения следва да се упражняват в съответствие със специфичните изисквания на процесуалното право на държавите членки, като например изискването за получаване на предварително съдебно разрешение. Всяка мярка със задължителен характер на надзорен орган следва да бъде в писмен вид, да бъде ясна и недвусмислена, да посочва надзорния орган, който е издал мярката, датата на издаване на мярката, да е подписана от ръководителя или член на надзорния орган, упълномощен от него, да посочва основанията за мярката и да се позовава на правото на ефективни правни средства за защита. Това не следва да възпрепятства поставянето на допълнителни изисквания съгласно процесуалното право на държавите членки. Приемането на такова решение със задължителен характер предполага, че то може да подлежи на съдебен контрол в държавата членка на надзорния орган, приел решението.

(135) За да се гарантира последователното прилагане на настоящия регламент навсякъде в Съюза, следва да се създаде механизъм за съгласуваност за осъществяване на сътрудничество между надзорните органи. Този механизъм следва по-специално да се прилага, когато даден надзорен орган възнамерява да приеме мярка, целяща да породи правни последици по отношение на операции по обработване на данни, които засягат съществено значителен брой субекти на данни в няколко държави членки. Той следва да се прилага също, когато засегнатият надзорен орган или Комисията поиска този въпрос да бъде разгледан чрез механизма за съгласуваност. Този механизъм следва да действа, без да се засягат мерките, които Комисията може да предприеме в изпълнение на своите правомощия съгласно Договорите.

(136) При прилагането на механизма за съгласуваност Комитетът следва да излезе със становище в рамките на определен срок, ако такова решение бъде взето с мнозинство от неговите членове или ако това бъде поискано от засегнат надзорен орган или от Комисията. На Комитета следва също да бъде делегирано правомощието да приема решения със задължителен характер в случай на спорове между надзорни органи. За целта той следва по принцип да взема с мнозинство от две трети от своите членове решения със задължителен характер в точно определени случаи, когато има противоречиви становища сред надзорните органи, по-специално в механизма за сътрудничество, между водещия надзорен орган и засегнатите надзорни органи по съществото на спора, по-специално дали е налице нарушение на настоящия регламент.

(139) За да се насърчи последователното прилагане на настоящия регламент, Комитетът следва да бъде създаден като независим орган на Съюза. За да изпълнява целите си, Комитетът следва да притежава правосубектност. Комитетът следва да се представлява от своя председател. Той следва да замени Работната група за защита на физическите лица при обработването на лични данни, създадена с Директива 95/46/ЕО. Той следва да е съставен от ръководителите на надзорните органи на всяка държава членка и на Европейския надзорен орган по защита на данните или съответните им представители. Комисията следва да участва в дейностите на Комитета без право на глас, а Европейският надзорен орган по защита на данните следва да има специално право на глас. Комитетът следва да допринася за съгласуваното прилагане на настоящия регламент навсякъде в Съюза, включително като съветва Комисията, по-специално относно нивото на защита в трети държави или международни организации, и като насърчава сътрудничеството на надзорните органи навсякъде в Съюза. Комитетът следва да действа независимо при изпълнението на задачите си.

(141) Всеки субект на данни следва да има право да подаде жалба до един надзорен орган, по-специално в държавата членка на обичайно си местопребиваване, както и право на ефективни правни средства за защита в съответствие с член 47 от Хартата, ако счита, че правата му по настоящия регламент са нарушени или ако надзорният орган не предприема действия по подадена жалба, изцяло или частично отхвърля или оставя без разглеждане жалба или не предприема действия, когато такива са необходими, за да се защитят правата на субекта на данни. Разследването въз основа на жалби следва да се извършва под съдебен контрол и в целесъобразна за конкретния случай степен. Надзорният орган следва да информира субекта на данните за напредъка и резултата от жалбата в разумен срок. Ако случаят изисква допълнително разследване или координиране с друг надзорен орган, на субекта на данните следва да бъде предоставена междинна информация. За да се улесни подаването на жалбите, всеки надзорен орган следва да вземе мерки, като например осигуряване на формуляр за подаване на жалби, който да може да бъде попълнен и по електронен път, без да се изключват други средства за комуникация.

Член 66 – Процедура по спешност

1. При извънредни обстоятелства, когато засегнат надзорен орган счита, че е налице спешна необходимост да се действа в защита на правата и свободите на субектите на данни, той може чрез дерогация от механизма за съгласуваност, предвиден в членове 63, 64 и 65, или процедурата, предвидена в член 60, да приеме незабавно временни мерки, водещи до правни последици на собствената му територия, с определен срок на валидност, който не надвишава три месеца. Надзорният орган съобщава незабавно тези мерки и мотивите за приемането им на другите засегнати надзорни органи, на Комитета и на Комисията.

2. Когато надзорен орган е предприел мярка съгласно параграф 1 и счита, че е необходимо спешно да бъдат приети окончателни мерки, той може да поиска от Комитета спешно становище или спешно решение със задължителен характер, като изтъкне причини за искането на такова становище или решение.

3. Всеки надзорен орган може да поиска спешно становище или спешно решение със задължителен характер, според случая, от Комитета, когато компетентен надзорен орган не е предприел подходящи мерки в ситуация, в която е налице спешна необходимост от предприемане на действия с цел защита на правата и свободите на субектите на данни, като посочи причините за искането на такова становище или решение, както и за спешната нужда от предприемане на действия.

4. Чрез дерогация от член 64, параграф 3 и член 65, параграф 2, в срок от две седмици с обикновено мнозинство от членовете на Комитета се приема спешно становище или спешно решение със задължителен характер, както са посочени в параграфи 2 и 3 от настоящия член.

Изложения 137-138, към Член 66

(137) Възможно е да има спешна необходимост от действия за защита на правата и свободите на субекти на данни, по- специално когато съществува опасност прилагането на право на субект на данни да бъде значително възпрепятствано. Поради това даден надзорен орган следва да може да приема надлежно обосновани временни мерки на своя територия с определен срок на действие, който не следва да надвишава три месеца.

(138) Прилагането на такъв механизъм следва да бъде условие за законосъобразността на мярка, целяща да породи правни последици, издадена от надзорния орган в случаите, когато прилагането му е задължително. В други случаи с трансгранично значение следва да се прилага механизмът за сътрудничество между водещия надзорен орган и засегнатите надзорни органи и могат да се осъществяват взаимопомощ и съвместни операции между засегнатите надзорни органи на двустранна или многостранна основа, без да се задейства механизмът за съгласуваност.

Въздействие

 Ако извършвате дейности в повече от една Държава-членка, трябва да прецените къде е вашата основна структура и да определите дали имате водещ надзорен орган.

 Когато случаят не е ясен, би било добре да потърсите съвети за определяне на основната структура.

 Ако вашата основна структура понастоящем е във Великобритания, неправдоподобно ще е за трансгранична обработка на данни тя да бъде опция след Brexit.

 След като сте определили водещият си надзорен орган, ангажирайте се с него, когато се подготвяте за изпълнението на изискванията на GDPR, например като потърсите насоки или помощ, които органът предлага.