keyboard_tab Data Act 2023/2854 BG
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Член 4 Права и задължения на ползвателите и държателите на данни по отношение на достъпа, използването и предоставянето на данни от продукти и от свързани услуги
- 1 Член 5 Право на ползвателя да споделя данни с трети страни
- 1 Член 6 Задължения на третите страни, получаващи данни по искане на ползвателя
- 1 Член 7 Обхват на задълженията за споделяне на данни между предприятия и потребители и между предприятия
- 1 Член 8 Условия, при които държателите на данни предоставят данни на получателите на данни
- 1 Член 17 Искания за предоставяне на данни
- 1 Член 19 Задължения на органите от публичния сектор, Комисията, Европейската централна банка и органите на Съюза
- 2 Член 31 Специален режим за някои услуги за обработка на данни
- 1 Член 37 Компетентни органи и координатори за данните
- 1 Член 38 Право на жалба
ГЛАВА I
ОБЩИ РАЗПОРЕДБИ
ГЛАВА II
СПОДЕЛЯНЕ НА ДАННИ МЕЖДУ ПРЕДПРИЯТИЯ И ПОТРЕБИТЕЛИ И МЕЖДУ ПРЕДПРИЯТИЯ
ГЛАВА III
ЗАДЪЛЖЕНИЯ НА ДЪРЖАТЕЛИТЕ НА ДАННИ, КОИТО СА ЗАДЪЛЖЕНИ ДА ПРЕДОСТАВЯТ ДАННИ СЪГЛАСНО ПРАВОТО НА СЪЮЗА
ГЛАВА IV
НЕРАВНОПРАВНИ ДОГОВОРНИ КЛАУЗИ, СВЪРЗАНИ С ДОСТЪПА ДО ДАННИ И ИЗПОЛЗВАНЕТО ИМ МЕЖДУ ПРЕДПРИЯТИЯ
ГЛАВА V
ПРЕДОСТАВЯНЕ НА ДАННИ НА ОРГАНИТЕ ОТ ПУБЛИЧНИЯ СЕКТОР, НА КОМИСИЯТА, НА ЕВРОПЕЙСКАТА ЦЕНТРАЛНА БАНКА И НА ОРГАНИТЕ НА СЪЮЗА ВЪЗ ОСНОВА НА ИЗВЪНРЕДНА НЕОБХОДИМОСТ
ГЛАВА VI
СМЯНА НА УСЛУГИ ЗА ОБРАБОТКА НА ДАННИ
ГЛАВА VII
НЕЗАКОНЕН МЕЖДУНАРОДЕН ДОСТЪП НА ОРГАНИ НА ПУБЛИЧНАТА ВЛАСТ ДО НЕЛИЧНИ ДАННИ И НЕЗАКОНОСЪОБРАЗНО ПРЕХВЪРЛЯНЕ НА НЕЛИЧНИ ДАННИ НА ТАКИВА ОРГАНИ
ГЛАВА VIII
ОПЕРАТИВНА СЪВМЕСТИМОСТ
ГЛАВА IX
ИЗПЪЛНЕНИЕ И ОСИГУРЯВАНЕ НА СПАЗВАНЕТО
ГЛАВА Х
ПРАВО SUI GENERIS СЪГЛАСНО ДИРЕКТИВА 96/9/ЕО
ГЛАВА XI
ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ
- на 518
- за 182
- или 140
- от 135
- данните 126
- данни 125
- да 125
- се 86
- не 63
- съгласно 61
- член 54
- орган 49
- настоящия 48
- страна 40
- по 38
- които 38
- Съюза 35
- са 33
- ползвателя 33
- регламент 30
- когато 30
- органи 29
- до 28
- параграф 26
- предоставя 25
- тайни 24
- държателя 24
- като 24
- съответствие 23
- че 22
- който 21
- включително 21
- държателят 21
- свързани 21
- публичния 21
- услуги 21
- Комисията 20
- ако 20
- сектор 20
- при 18
- информация 18
- член 17
- използването 17
- централна 16
- третата 16
- прилагането 16
- членка 16
- Европейската 16
- искане 16
- банка 16
Член 4
Права и задължения на ползвателите и държателите на данни по отношение на достъпа, използването и предоставянето на данни от продукти и от свързани услуги
1. Когато ползвателят няма пряк достъп до данните от свързания продукт или от свързаните услуги, държателите на данните му предоставят леснодостъпните данни, както и съответните метаданни, необходими за тълкуването и използването на тези данни, без неоснователно забавяне, със същото качество, каквото се предоставя на държателя на данните, лесно, сигурно, безплатно, в изчерпателен, структуриран, широко използван и машинночетим формат и, когато е относимо и технически осъществимо, непрекъснато и в реално време. Това се извършва въз основа на обикновено искане чрез електронни средства, когато е технически осъществимо.
2. Ползвателите и държателите на данните могат чрез договор да ограничат или забранят достъпа, използването или по-нататъшното споделяне на данни, ако такава обработка би могла да подкопае изискванията за сигурност на свързания продукт съгласно предвиденото в правото на Съюза или в националното право, което да доведе до сериозно неблагоприятно въздействие върху здравето, безопасността или сигурността на физическите лица. Секторните органи могат да осигурят на ползвателите и държателите на данните технически експертен опит в този контекст. Когато държателят на данните откаже да сподели данни съгласно настоящия член, той уведомява компетентния орган, определен съгласно член 37.
3. Без да се засяга правото на ползвателя да търси правна защита на всеки етап пред съд или друг правораздавателен орган на държава членка, във връзка с всеки спор с държателя на данните относно договорните ограничения или забрани, посочени в параграф 2, ползвателят може:
| a) | да подаде жалба до компетентния орган в съответствие с член 37, параграф 5, буква б); или |
| б) | да се споразумее с държателя на данните въпросът да бъде отнесен до орган за уреждане на спорове в съответствие с член 10, параграф 1. |
4. Държателите на данни не затрудняват неоправдано упражняването от страна на ползвателя на избора или правата съгласно настоящия член, включително като предлагат избор на ползвателя по начин, който не е неутрален, или като подриват или накърняват автономността на ползвателя, вземането на решения или избора му чрез структурата, проектирането, функционирането или начина на работа на ползвания потребителски цифров интерфейс или част от такъв интерфейс.
5. За целите на проверката дали дадено физическо или юридическо лице се квалифицира като ползвател за целите на параграф 1, държателят на данните не може да изисква от това лице да предостави информация извън необходимото. Държателите на данните не съхраняват никаква информация, по-специално данни за влизане, относно достъпа на ползвателя до исканите данни извън необходимото за правилното изпълнение на искането му за достъп и за сигурността и поддръжката на инфраструктурата за данни.
6. Търговски тайни се съхраняват и се разкриват само когато държателят на данните и ползвателят предприемат всички необходими мерки преди разкриването, за да запазят поверителността на данните, по-специално по отношение на трети страни. Държателят на данните или, когато става дума за различно лице, притежателят на търговска тайна идентифицира данните, които са защитени като търговски тайни, включително в съответните метаданни, и се споразумява с ползвателя относно пропорционални технически и организационни мерки, необходими за запазване на поверителността на споделените данни, по-специално по отношение на трети страни, като образци на договорни клаузи, споразумения за поверителност, строги протоколи за достъп, технически стандарти и прилагане на кодекси за поведение.
7. Когато няма споразумение относно необходимите мерки, посочени в параграф 6, или ако ползвателят не прилага мерките, договорени съгласно параграф 6, или застрашава поверителността на търговските тайни, държателят на данните може да се въздържи или, в зависимост от случая, да преустанови споделянето на данни, идентифицирани като търговски тайни. Решението на държателя на данните се обосновава надлежно и своевременно се предоставя в писмен вид на ползвателя. В такива случаи държателят на данните уведомява компетентния орган, посочен съгласно член 37, че е отказал или преустановил споделянето на данни, и посочва кои мерки не са били договорени или приложени и, когато е нужно, поверителността на кои търговски тайни е застрашена.
8. При извънредни обстоятелства, когато държателят на данните, който е притежател на търговска тайна, може да докаже, че е много вероятно да претърпи сериозни икономически вреди от разкриването на търговски тайни въпреки техническите и организационните мерки, предприети от ползвателя съгласно параграф 6 от настоящия член, този държател на данните може да откаже искане за достъп до въпросните конкретни данни, като разглежда всеки случай поотделно. Доказването става чрез надлежна обосновка въз основа на обективни елементи, по-специално осъществяването на защитата на търговските тайни в трети държави, естеството и нивото на поверителност на исканите данни, както и уникалността и новостта на свързания продукт, и се предоставя на ползвателя в писмен вид без неоснователно забавяне. Когато държателят на данните откаже да сподели данни съгласно настоящия параграф, той уведомява компетентния орган, определен съгласно член 37.
9. Без да се засяга правото на ползвател да търси правна защита на всеки етап пред съд или друг правораздавателен орган на държава членка, ползвател, който желае да оспори решението на държател на данните да откаже, да се въздържи или да преустанови споделянето на данни съгласно параграфи 7 и 8, може:
| а) | да подаде жалба в съответствие с член 37, параграф 5, буква б) до националния компетентен орган, който своевременно взема решение дали и при какви условия споделянето на данните да започне или да бъде възобновено; или |
| б) | да се споразумее с държателя на данните въпросът да бъде отнесен до орган за уреждане на спорове в съответствие с член 10, параграф 1. |
10. Ползвателят не използва данните, получени по искане съгласно параграф 1, за разработване на свързан продукт, който се конкурира със свързания продукт, от който произхождат данните, нито споделя данните с трета страна с такова намерение и не използва тези данни, за да получи информация за икономическото положение, активите и методите на производство на производителя или, когато е приложимо, на държателя на данните.
11. Ползвателят не използва средства за принуда, нито злоупотребява с пропуски в техническата инфраструктура на държателя на данните, предназначена за защита на данните, за да получи достъп до тях.
12. Когато ползвателят не е субектът на данните, чиито лични данни са поискани, всякакви лични данни, генерирани от използването на свързан продукт или свързана услуга, му се предоставят от държателя на данните само когато е налице валидно правно основание за обработване съгласно член 6 от Регламент (ЕС) 2016/679 и, когато е приложимо, са изпълнени условията на член 9 от същия регламент и на член 5, параграф 3 от Директива 2002/58/ЕО.
13. Държателят на данните използва всички леснодостъпни данни, които са нелични данни, само въз основа на договор с ползвателя. Държателят на данните не използва такива данни, за да получи информация за икономическото положение, активите и методите на производство или използването от страна на ползвателя по всеки друг начин, който би могъл да подкопае търговската позиция на този ползвател на пазарите, на които той осъществява дейност.
14. Държателите на данните не предоставят нелични данни от продукти на трети страни за търговски или нетърговски цели, различни от изпълнението на договора им с ползвателя. Когато е приложимо, държателите на данните обвързват чрез договор третите страни да не споделят с други лица получените от тях данни.
Член 5
Право на ползвателя да споделя данни с трети страни
1. По искане на ползвател или на страна, действаща от името на ползвател, държателят на данните предоставя на разположение на трета страна леснодостъпни данни, както и съответните метаданни, необходими за тълкуването и използването на тези данни, без неоснователно забавяне, със същото качество, което е на разположение на държателя на данните, лесно, сигурно, безплатно за ползвателя, в изчерпателен, структуриран, широко използван и машинночетим формат и когато е нужно и технически осъществимо, непрекъснато и в реално време. Държателят на данните предоставя данните на третата страна в съответствие с членове 8 и 9.
2. Параграф 1 не се прилага за леснодостъпни данни в контекста на изпитването на нови свързани продукти, вещества или процеси, които все още не са пуснати на пазара, освен ако използването им от трета страна не е разрешено съгласно договор.
3. Никое предприятие, определено за контролиращо достъпа предприятие съгласно член 3 от Регламент (ЕС) 2022/1925, не е допустима трета страна съгласно настоящия член и следователно не може:
| a) | да изисква от ползвателя или да му предлага търговски стимули по какъвто и да е начин, включително чрез предоставяне на парично или друго възнаграждение, за това ползвателят да предостави данни на някоя от неговите услуги, които ползвателят е получил след искане съгласно член 4, параграф 1; |
| б) | да изисква от ползвателя или да му предлага търговски стимули, за да поиска от държателя на данни да предостави данни на някоя от неговите услуги съгласно параграф 1 от настоящия член; |
| в) | да получава данни от ползвателя, които самият ползвател е получил след искане съгласно член 4, параграф 1. |
4. За целите на проверката дали физическо или юридическо лице се квалифицира като ползвател или трета страна за целите на параграф 1, от ползвателя или третата страна не може да се изисква да предоставят никаква информация извън необходимото. Държателите на данните не съхраняват никаква информация относно достъпа на третата страна до исканите данни извън необходимото за правилното изпълнение на искането за достъп на третата страна и за сигурността и поддръжката на инфраструктурата за данни.
5. Третата страна не използва средства за принуда, нито злоупотребява с пропуски в техническата инфраструктура на държателя на данните, която е предназначена за защита на данните, за да получи достъп до тях.
6. Държателят на данните не използва никакви леснодостъпни данни, за да получи информация за икономическото положение, активите и методите на производство или използването от третата страна по всеки друг начин, който би могъл да подкопае нейната търговската позиция на пазарите, на които тя осъществява дейност, освен ако третата страна не е дала разрешение за такова използване и има техническата възможност да оттегли лесно това разрешение по всяко време.
7. Когато ползвателят не е субектът на данните, чиито лични данни са поискани, всякакви лични данни, генерирани от използването на свързан продукт или свързана услуга, се предоставят на третата страна от държателя на данните само когато е налице валидно правно основание за обработване съгласно член 6 от Регламент (ЕС) 2016/679 и, ако е приложимо, когато са изпълнени условията на член 9 от посочения регламент и на член 5, параграф 3 от Директива 2002/58/ЕО.
8. Ако държателят на данните и третата страна не се споразумеят относно механизмите за предаване на данните, това не може да затруднява, възпрепятства или нарушава упражняването на правата на субекта на данните съгласно Регламент (ЕС) 2016/679, и по-специално правото на преносимост на данните съгласно член 20 от посочения регламент.
9. Търговски тайни се съхраняват и се разкриват на трети страни само доколкото такова разкриване е строго необходимо за постигане на целта, договорена между ползвателя и третата страна. Държателят на данните или когато става дума за различно лице, притежателят на търговска тайна идентифицира данните, които са защитени като търговски тайни, включително в съответните метаданни, и се споразумява с третата страна относно всички пропорционални технически и организационни мерки, необходими за запазване на поверителността на споделените данни, като образци на договорни клаузи, споразумения за поверителност, строги протоколи за достъп, технически стандарти и прилагане на кодекси за поведение.
10. Когато няма споразумение относно необходимите мерки, посочени в параграф 9 от настоящия член, или ако третата страна не прилага мерките, договорени съгласно параграф 9 от настоящия член, или застрашава поверителността на търговските тайни, държателят на данните може да се въздържи или, в зависимост от случая, да преустанови споделянето на данни, идентифицирани като търговски тайни. Решението на държателя на данните се обосновава надлежно и се предоставя своевременно в писмен вид на третата страна. В такива случаи държателят на данните уведомява компетентния орган, посочен съгласно член 37, че е отказал или преустановил споделянето на данни, и посочва кои мерки не са били договорени или приложени и, когато е нужно, поверителността на кои търговски тайни е застрашена.
11. При извънредни обстоятелства, когато държателят на данните, който е притежател на търговска тайна, може да докаже, че е много вероятно да претърпи сериозни икономически вреди от разкриването на търговски тайни въпреки техническите и организационните мерки, предприети от третата страна съгласно параграф 9 от настоящия член, този държател на данните може да откаже искане за достъп до въпросните конкретни данни, като разглежда всеки случай поотделно. Доказването става чрез надлежна обосновка въз основа на обективни елементи, по-специално осъществяването на защитата на търговските тайни в трети държави, естеството и нивото на поверителност на исканите данни, както и уникалността и новостта на свързания продукт, и се предоставя на третата страна в писмен вид без неоснователно забавяне. Когато държателят на данните откаже да сподели данни съгласно настоящия параграф, той уведомява компетентния орган, определен съгласно член 37.
12. Без да се засяга правото на третата страна за търсене на правна защита на всеки етап пред съд или друг правораздавателен орган на държава членка, трета страна, която желае да оспори решението на държател на данните да откаже, да се въздържи или да преустанови споделянето на данни съгласно параграфи 10 и 11, може:
| а) | да подаде жалба в съответствие с член 37, параграф 5, буква б) до компетентния орган, който своевременно взема решение дали и при какви условия споделянето на данните да започне или да бъде възобновено; или |
| б) | да се споразумее с държателя на данните въпросът да бъде отнесен до орган за уреждане на спорове в съответствие с член 10, параграф 1. |
13. Правото, посочено в параграф 1, не оказва неблагоприятно въздействие върху правата на субекти на данни съгласно приложимото право на Съюза и национално право за защита на личните данни.
Член 6
Задължения на третите страни, получаващи данни по искане на ползвателя
1. Третата страна обработва данните, които са ѝ предоставени съгласно член 5, само за целите и при условията, договорени с ползвателя, и при спазване на законодателството на Съюза и националното законодателство за защита на личните данни, включително правата на субекта на данните по отношение на личните данни. Третата страна изтрива данните, когато те вече не са необходими за договорената цел, освен ако не е договорено друго с ползвателя във връзка с неличните данни.
2. Третата страна не може:
| a) | да затруднява неоправдано упражняването от страна на ползвателя на избора или правата съгласно член 5 и настоящия член, включително като предлага избор на ползвателя по начин, който не е неутрален, или като го принуждава, заблуждава или манипулира, или като подрива или накърнява автономността, вземането на решения или избора на ползвателя, включително чрез потребителски цифров интерфейс или част от такъв интерфейс; |
| б) | независимо от член 22, параграф 2, букви а) и в) от Регламент (ЕС) 2016/679, да използва данните, които получава, за профилиране, освен ако това е необходимо за предоставяне на услугата, поискана от ползвателя; |
| в) | да предоставя данните, които получава, на друга трета страна, освен ако данните се предоставят въз основа на договор с ползвателя и при условие че другата трета страна предприеме всички необходими мерки, договорени между държателя на данните и третата страна за запазване на поверителността на търговските тайни; |
| г) | да предоставя данните, които получава, на предприятие, определено като контролиращо достъпа предприятие съгласно член 3 от Регламент (ЕС) 2022/1925; |
| д) | да използва данните, които получава, за разработване на свързан продукт, който се конкурира с продукта, от който произхождат данните, до които е получен достъп, или да споделя данните с друга трета страна за тази цел; също така третите страни не използват никакви нелични данни от продукти или от свързани услуги, които са им били предоставени, за да получат информация за икономическото положение, активите и методите на производство или използването от страна на държателя на данните; |
| е) | да използва получените данни по начин, който оказва неблагоприятно въздействие върху сигурността на свързания продукт или свързаната услуга; |
| ж) | да игнорира конкретните мерки, договорени с държателя на данните или с притежателя на търговските тайни съгласно член 5, параграф 9, и да застрашава поверителността на търговските тайни; |
| з) | да възпрепятства ползвателя, който е потребител, включително въз основа на договор, да предоставя получените от него данни на други страни. |
Член 7
Обхват на задълженията за споделяне на данни между предприятия и потребители и между предприятия
1. Задълженията по настоящата глава не се прилагат за данни, генерирани чрез използването на свързани продукти, произвеждани или проектирани, или свързани услуги, предоставяни от микропредприятие или малко предприятие, при условие че това предприятие няма предприятие партньор или свързано предприятие по смисъла на член 3 от приложението към Препоръка 2003/361/ЕО, което не се квалифицира като микропредприятие или малко предприятие, и когато на микропредприятието или малкото предприятие не е възложено с договор за подизпълнител да произведе или проектира свързан продукт или да предостави свързана услуга.
Същото се прилага и за данните, генерирани чрез използването на свързани продукти, произведени от или свързани услуги, предоставени от предприятие, което е било квалифицирано като средно предприятие съгласно член 2 от приложението към Препоръка 2003/361/ЕО преди по-малко от една година, както и за свързаните продукти за срок от една година от датата, на която са били пуснати на пазара от средно предприятие.
2. Всяка договорна клауза, която в ущърб на ползвателя изключва прилагането на неговите права съгласно настоящата глава, дерогира от тях или изменя техните последици, не е обвързваща за ползвателя.
ГЛАВА III
ЗАДЪЛЖЕНИЯ НА ДЪРЖАТЕЛИТЕ НА ДАННИ, КОИТО СА ЗАДЪЛЖЕНИ ДА ПРЕДОСТАВЯТ ДАННИ СЪГЛАСНО ПРАВОТО НА СЪЮЗА
Член 8
Условия, при които държателите на данни предоставят данни на получателите на данни
1. Когато в отношенията между предприятия държател на данни е задължен да предоставя данни на получател на данни съгласно член 5 или съгласно друго приложимо право на Съюза или национални правни разпоредби, приети в съответствие с правото на Съюза, той договаря с получателя на данните условията за предоставяне на данните и прави това при справедливи, разумни и недискриминационни ред и условия и по прозрачен начин в съответствие с настоящата глава и глава IV.
2. Договорна клауза относно достъпа до и използването на данните или отговорността и средствата за правна защита при нарушение или прекратяване на задълженията, свързани с данните, не е обвързваща, ако представлява неравноправна договорна клауза по смисъла на член 13 или ако в ущърб на ползвателя изключва прилагането на правата на ползвателя съгласно глава II, дерогира от тях или изменя техните последици.
3. Когато предоставя данните, държателят на данни не прави разлика между сравними категории получатели на данни, включително свои предприятия партньори или свързани предприятия, по отношение на условията за предоставяне на данните. Когато получател на данните счита, че условията, при които са му били предоставени данни, са дискриминационни, държателят на данните своевременно предоставя на получателя на данните, при обосновано искане от негова страна, информация, показваща, че не е налице дискриминация.
4. Държателят на данни не предоставя данни на получателя на данни, включително на изключителна основа, освен ако това не е поискано от ползвателя съгласно глава II.
5. От държателите на данни и получателите на данни не се изисква да предоставят информация, която надхвърля необходимото за проверка на спазването на договорните клаузи, договорени за предоставянето на данни, или спрямо задълженията им съгласно настоящия регламент или други приложими правни разпоредби на Съюза или национални правни разпоредби, приети в съответствие с правото на Съюза.
6. Освен ако в правните разпоредби на Съюза, включително в член 4, параграф 6 и член 5, параграф 9 от настоящия регламент, или в националните правни разпоредби, приети в съответствие с правото на Съюза, не е предвидено друго, задължението за предоставяне на данни на получателя на данни не налага разкриването на търговски тайни.
Член 17
Искания за предоставяне на данни
1. Когато иска данни съгласно член 14 органът от публичния сектор, Комисията, Европейската централна банка или органът на Съюза:
| a) | уточнява изискваните данни, включително съответните метаданни, необходими за тълкуването и използването на тези данни; |
| б) | доказва, че са изпълнени условията, необходими за съществуването на извънредна необходимост, както е посочено в член 15, за целта, за която се искат данните; |
| в) | обяснява целта на искането, планираното използване на исканите данни, включително, когато е приложимо, от трета страна в съответствие с параграф 4 от настоящия член, продължителността на това използване и, когато е приложимо, как обработката на лични данни трябва да отговори на извънредната необходимост; |
| г) | посочва, ако е възможно, кога се очаква данните да бъдат изтрити от всички страни, които имат достъп до тях; |
| д) | обосновава избора на държател на данни, до когото е адресирано искането; |
| е) | посочва други органи от публичния сектор, или Комисията, Европейската централна банка или органи на Съюза и трети страни, с които се очаква данните да бъдат споделени; |
| ж) | когато се искат лични данни, посочва всички необходими и пропорционални технически и организационни мерки за прилагане на принципите за защита на данните и необходимите гаранции за защита на данните, като например псевдонимизиране, и дали преди предоставянето на данните държателят на данните може да приложи анонимизация; |
| з) | посочва правната разпоредба, с която на органа от публичния сектор, отправил искането, Комисията, Европейската централна банка или органа на Съюза се възлага конкретната задача от обществен интерес, свързана с искането на данните; |
| и) | посочва срока, в който данните трябва да бъдат предоставени, и срока, упоменат в член 18, параграф 2, в който държателят на данните може да отхвърли искането или да поиска то да бъде изменено; |
| й) | полага максимални усилия, за да избегне изпълнение на искане за данни, водещо до отговорност на държателите на данни за нарушение на правото на Съюза или на националното право. |
2. Искането за данни, отправено съгласно параграф 1 от настоящия член:
| a) | е в писмена форма и е изразено на ясен, сбит и прост език, разбираем за държателя на данните; |
| б) | е конкретно по отношение на вида на исканите данни и съответства на данните, които държателят на данните контролира към момента на искането; |
| в) | е пропорционално на извънредната необходимост и надлежно обосновано от гледна точка на детайлността и обема на исканите данни и честотата на достъп до тях; |
| г) | зачита законните цели на държателя на данните, като се ангажира да осигури защитата на търговските тайни в съответствие с член 19, параграф 3, и взема предвид разходите и усилията, необходими за предоставянето на данните; |
| д) | се отнася до нелични данни и само ако се докаже, че това е недостатъчно, за да се отговори на извънредната необходимост от използване на данни в съответствие с член 15, параграф 1, буква а), изисква лични данни в псевдонимизирана форма и установява техническите и организационните мерки, които трябва да бъдат предприети за защита на данните; |
| е) | информира държателя на данни за санкциите, които се налагат съгласно член 40 от компетентния орган, посочен съгласно член 37, в случай на неизпълнение на искането; |
| ж) | когато искането е отправено от орган от публичния сектор, то се предава на посочения в член 37 координатор за данните на държавата членка, където е установен органът от публичния сектор, отправил искането, като въпросният координатор предоставя без неоснователно забавяне публичен достъп до искането онлайн, освен ако координаторът за данните счита, че това публикуване би породило риск за обществената сигурност; |
| з) | когато искането е отправено от Комисията, Европейската централна банка или орган на Съюза, се оповестява своевременно онлайн; |
| и) | когато се искат лични данни, своевременно се нотифицира на надзорния орган, отговарящ за наблюдението на прилагането на Регламент (ЕС) 2016/679 в държавата членка, в която е установен органът от публичния сектор. |
Европейската централна банка и органите на Съюза информират Комисията за своите искания.
3. Орган от публичния сектор, Комисията, Европейската централна банка или орган на Съюза не предоставя данни, получени съгласно настоящата глава, за повторно използване съгласно определението в член 2, точка 2 от Регламент (ЕС) 2022/868 или член 2, точка 11 от Директива (ЕС) 2019/1024. Регламент (ЕС) 2022/868 и Директива (ЕС) 2019/1024 не се прилагат за данните, държани от органи от публичния сектор и получени съгласно настоящата глава.
4. Параграф 3 от настоящия член не възпрепятства орган от публичния сектор, Комисията, Европейската централна банка или орган на Съюза да обменя данни, получени съгласно настоящата глава, с друг орган от публичния сектор или Комисията, Европейската централна банка или орган на Съюза с цел изпълнение на задачите, посочени в член 15, както е посочено в искането в съответствие с параграф 1, буква е) от настоящия член, или да предоставя данните на трета страна в случаите, когато чрез публично достъпно споразумение е делегирал на тази трета страна технически проверки или други функции. Задълженията на органите от публичния сектор съгласно член 19, по-специално гаранциите за запазване на поверителността на търговските тайни, се прилагат и за такива трети страни. Когато орган от публичния сектор, Комисията, Европейската централна банка или орган на Съюза предава или предоставя данни съгласно настоящия параграф, той уведомява своевременно държателя на данни, от когото са получени данните.
5. Когато държателят на данни счита, че правата му по настоящата глава са били нарушени от предаването или предоставянето на данни, той може да подаде жалба до посочения съгласно член 37 компетентен орган на държавата членка, в която е установен държателят на данните.
6. Комисията разработва примерен образец за искания съгласно настоящия член.
Член 19
Задължения на органите от публичния сектор, Комисията, Европейската централна банка и органите на Съюза
1. Орган от публичния сектор, Комисията, Европейската централна банка или орган на Съюза, получаващи данни в резултат на искане, отправено съгласно член 14:
| a) | не използват данните по начин, несъвместим с целта, за която са поискани; |
| б) | са въвели технически и организационни мерки, които запазват поверителността и целостта на исканите данни и сигурността на прехвърлянето на данни, по-специално на личните данни, и гарантират правата и свободите на субектите на данни; |
| в) | изтриват данните веднага щом престанат да бъдат необходими за посочената цел и информират своевременно държателя на данните и физическите лица или организациите, които са получили данните съгласно член 21, параграф 1, че данните са били изтрити, освен ако не се изисква архивиране на данните в съответствие с правото на Съюза или националното право относно публичния достъп до документи в контекста на задълженията за прозрачност. |
2. Орган от публичния сектор, Комисията, Европейската централна банка, орган на Съюза или трета страна, получаващи данни съгласно настоящата глава, не може:
| a) | да използва данните или информацията за икономическото положение, активите и методите на производство или експлоатация на държателя на данни, за да разработи или подобри свързан продукт или свързана услуга, които се конкурират със свързания продукт или свързаната услуга на държателя на данни; |
| б) | да споделя данните с друга трета страна за някоя от целите, посочени в буква а). |
3. Разкриването на търговски тайни на орган от публичния сектор, Комисията, Европейската централна банка или орган на Съюза се изисква само доколкото това е строго необходимо за постигане на целта на дадено искане по член 15. В такъв случай държателят на данни или, ако те не са едно и също лице, притежателят на търговска тайна идентифицира данните, които са защитени като търговски тайни, включително в съответните метаданни. Преди разкриването на търговска тайна органът от публичния сектор, Комисията, Европейската централна банка или органът на Съюза предприема всички необходими и подходящи технически и организационни мерки за запазване на поверителността на търговските тайни, включително, когато е целесъобразно, използването на образци на договорни клаузи, технически стандарти и прилагането на кодекси за поведение.
4. Всеки орган от публичния сектор, Комисията, Европейската централна банка или орган на Съюза отговарят за сигурността на данните, които получават.
Член 31
Специален режим за някои услуги за обработка на данни
1. Задълженията, установени в член 23, буква г), член 29 и член 30, параграфи 1 и 3, не се прилагат за услуги за обработка на данни, повечето от основните характеристики на които са били специално разработени в отговор на специфичните нужди на отделен клиент или при които всички компоненти са били разработени за целите на отделен клиент, и когато тези услуги за обработка на данни не се предлагат в големи търговски мащаби чрез каталога за услуги на доставчика на услуги за обработка на данни.
2. Задълженията, установени в настоящата глава, не се прилагат за услуги за обработка на данни, предоставяни като непроизводствена версия за целите на изпитването и оценката и за ограничен период от време.
3. Преди сключването на договор за предоставяне на услугите за обработка на данни, посочени в настоящия член, доставчикът на услуги за обработка на данни информира потенциалния клиент за задълженията по настоящата глава, които не се прилагат.
ГЛАВА VII
НЕЗАКОНЕН МЕЖДУНАРОДЕН ДОСТЪП НА ОРГАНИ НА ПУБЛИЧНАТА ВЛАСТ ДО НЕЛИЧНИ ДАННИ И НЕЗАКОНОСЪОБРАЗНО ПРЕХВЪРЛЯНЕ НА НЕЛИЧНИ ДАННИ НА ТАКИВА ОРГАНИ
Член 37
Компетентни органи и координатори за данните
1. Всяка държава членка определя един или повече компетентни органи, които да отговарят за прилагането и осигуряването на спазването на настоящия регламент (наричани по-нататък „компетентни органи“). Държавите членки могат да създадат един или повече нови органи или да разчитат на съществуващи органи.
2. Когато държава членка определи повече от един компетентен орган, тя посочва един от тях за координатор за данните, за да се улесни сътрудничеството между компетентните органи и да се подпомагат образуванията, попадащи в обхвата на настоящия регламент, по всички въпроси, свързани с прилагането и осигуряването на спазването му. При изпълнението на задачите и правомощията, които са им възложени съгласно параграф 5, компетентните органи си сътрудничат помежду си.
3. Надзорните органи, отговарящи за наблюдението на прилагането на Регламент (ЕС) 2016/679, отговарят за наблюдението на прилагането на настоящия регламент по отношение на защитата на личните данни. Глави VI и VII от Регламент (ЕС) 2016/679 се прилагат mutatis mutandis.
Европейският надзорен орган по защита на данните отговаря за наблюдението на прилагането на настоящия регламент, доколкото това засяга Комисията, Европейската централна банка или органите на Съюза. Когато е целесъобразно, член 62 от Регламент (ЕС) 2018/1725 се прилага mutatis mutandis.
Задачите и правомощията на надзорните органи, посочени в настоящия параграф, се упражняват по отношение на обработката на лични данни.
4. Без да се засяга прилагането на параграф 1 от настоящия член:
| а) | по специфични секторни въпроси относно достъпа и използването на данни, свързани с прилагането на настоящия регламент, се зачита компетентността на секторните органи; |
| б) | компетентният орган, отговарящ за прилагането и осигуряването на спазването на членове 23 – 31 и членове 34 и 35, има опит в областта на данните и електронните съобщителни услуги. |
5. Държавите членки гарантират, че задачите и правомощията на компетентните органи са ясно дефинирани и включват:
| a) | насърчаване на грамотността по отношение на данните и осведомеността сред ползвателите и образуванията, попадащи в обхвата на настоящия регламент, относно правата и задълженията по този регламент; |
| б) | разглеждане на жалбите, произтичащи от предполагаеми нарушения на настоящия регламент, включително във връзка с търговските тайни, разследване на предмета на жалбите, доколкото е целесъобразно, и редовно уведомяване на жалбоподателите, при целесъобразност и в съответствие с националното право, за хода и резултатите от разследването в разумен срок, по-специално ако е необходимо по-нататъшно разследване или координиране с друг компетентен орган; |
| в) | провеждане на разследвания по въпроси, засягащи прилагането на настоящия регламент, включително въз основа на информация, получена от друг компетентен орган или друг публичен орган; |
| г) | налагане на ефективни, пропорционални и възпиращи финансови санкции, които могат да включват периодични санкции и санкции с обратно действие, или образуване на съдебни производства за налагане на глоби; |
| д) | наблюдение на технологичното и съответното търговско развитие, което е от значение за предоставянето и използването на данни; |
| е) | сътрудничество с компетентните органи на други държави членки и, когато е приложимо, с Комисията или Европейския комитет за иновации в областта на данните, за да се гарантира последователното и ефективно прилагане на настоящия регламент, в т.ч. обмена на цялата съответна информация по електронен път, без неоснователно забавяне, включително по отношение на параграф 10 от настоящия член; |
| ж) | сътрудничество със съответните компетентни органи, отговарящи за изпълнението на други правни актове на Съюза или национални правни актове, включително с органите, компетентни в областта на данните и електронните съобщителни услуги, с надзорния орган, отговарящ за наблюдението на прилагането на Регламент (ЕС) 2016/679, или със секторните органи, за да се гарантира, че настоящият регламент се прилага съгласувано с други правни актове на Съюза и с националното право; |
| з) | сътрудничество със съответните компетентни органи, за да се гарантира, че членове 23 – 31 и членове 34 и 35 се спазват съгласувано с останалото право на Съюза и с разпоредбите за саморегулиране, приложими за доставчиците на услуги за обработка на данни; |
| и) | гарантиране, че таксите за смяна на доставчика се премахват в съответствие с член 29; |
| й) | разглеждане на исканията за предоставяне на данни, отправени съгласно глава V. |
Когато е определен, координаторът за данните улеснява сътрудничеството, посочено в букви е), ж) и з) от първа алинея, и подпомага компетентните органи при поискване от тях.
6. Координаторът за данните, когато такъв компетентен орган е определен:
| a) | действа като единно звено за контакт по всички въпроси, свързани с прилагането на настоящия регламент; |
| б) | осигурява публичен достъп онлайн до искания за предоставяне на данни, подадени от органи от публичния сектор в случай на извънредна необходимост съгласно глава V, и насърчава доброволните споразумения за споделяне на данни между органите от публичния сектор и държателите на данни; |
| в) | ежегодно информира Комисията за отказите, нотифицирани съгласно член 4, параграфи 2 и 8 и член 5, параграф 11. |
7. Държавите членки нотифицират Комисията относно наименованията на компетентните органи и техните задачи и правомощия, и, когато е приложимо, наименованието на координатора за данните. Комисията поддържа публичен регистър на тези органи.
8. При изпълнението на своите задачи и упражняването на правомощията си в съответствие с настоящия регламент компетентните органи остават безпристрастни и свободни от всякакво външно влияние, независимо дали пряко, или косвено, и не търсят, нито приемат указания за отделните случаи от който и да е друг публичен орган или от който и да е частноправен субект.
9. Държавите членки гарантират, че на компетентните органи са предоставени достатъчно човешки и технически ресурси и съответният експертен опит, необходими за ефективното изпълнение на задачите им в съответствие с настоящия регламент.
10. Образуванията, попадащи в обхвата на настоящия регламент, са в рамките на компетентността на държавата членка, в която е установен субектът. Когато образуванието е установено в повече от една държава членка, се счита, че то е в рамките на компетентността на държавата членка, в която се намира основното му място на установяване, т.е. където е главното управление или регистрираното седалище на образуванието, от което се упражняват основните финансови функции и оперативен контрол.
11. Всяко попадащо в обхвата на настоящия регламент образувание, което предоставя свързани продукти или предлага свързани услуги в Съюза и което не е установено в Съюза, определя законен представител в една от държавите членки.
12. За да се гарантира спазването на настоящия регламент, всяко попадащо в обхвата на настоящия регламент образувание, което предоставя свързани продукти или предлага свързани услуги в Съюза, упълномощава законен представител, към когото компетентните органи да се обръщат в допълнение или вместо към образуванието по всички въпроси, свързани с въпросното образувание. Този законен представител си сътрудничи с компетентните органи и при поискване предоставя изчерпателна информация за предприетите действия и въведените разпоредби от попадащото в обхвата на настоящия регламент образувание, което предоставя свързани продукти или предлага свързани услуги в Съюза, за да се гарантира спазването на настоящия регламент.
13. Счита се, че попадащо в обхвата на настоящия регламент образувание, което предоставя свързани продукти или предлага свързани услуги в Съюза, попада в компетентността на държавата членка, в която се намира неговият законен представител. Определянето на законен представител от образуванието не засяга въпроса за отговорността на въпросното образувание и за исковете, които биха могли да бъдат заведени срещу това образувание. Докато образуванието не определи законен представител в съответствие с настоящия член, при целесъобразност то попада в рамките на компетентността на всички държави членки за целите на гарантирането на прилагането и осигуряването на изпълнението на настоящия регламент. Всеки компетентен орган може да упражнява своята компетентност, включително чрез налагане на ефективни, пропорционални и възпиращи санкции, при условие че образуванието не е обект на производство за принудително изпълнение съгласно настоящия регламент по отношение на същите факти, образувано от друг компетентен орган.
14. Компетентните органи имат правомощието да изискват от ползвателите, държателите на данни или получателите на данни или техните законни представители, попадащи в рамките на компетентността на тяхната държава членка, цялата информация, необходима за проверка на спазването на настоящия регламент. Всяко искане за информация е пропорционално с оглед на изпълнението на свързаната с него задача и е обосновано.
15. Когато компетентен орган в една държава членка поиска предприемане на мерки за съдействие или осигуряване на съблюдаването от компетентен орган в друга държава членка, той подава обосновано искане. При получаване на такова искане компетентният орган предоставя отговор, в който се описват подробно действията, които са били предприети или които се планира да бъдат предприети, без неоснователно забавяне.
16. Компетентните органи зачитат принципите на поверителност и на опазване на професионална и търговска тайна и защитават личните данни в съответствие с правото на Съюза или националното право. Всяка информация, обменена в контекста на искане за съдействие и предоставена съгласно настоящия член, се използва единствено по отношение на въпросите, за които е поискана.
Член 38
Право на жалба
1. Без да се засягат които и да било други административни средства или средства за правна защита, физическите и юридическите лица имат право да подават жалба, индивидуално или, когато е уместно, колективно, до съответния компетентен орган в държавата членка на обичайното си пребиваване, месторабота или установяване, ако считат, че правата им съгласно настоящия регламент са били нарушени. Координаторът за данните предоставя при поискване цялата необходима информация на физическите и юридическите лица за подаване на техните жалби до съответния компетентен орган.
2. Компетентният орган, до който е подадена жалбата, информира жалбоподателя в съответствие с националното право за хода на производството и за взетото решение.
3. Компетентните органи си сътрудничат ефективно и своевременно за разглеждането и решаването на жалби, включително чрез обмен на цялата съответна информация по електронен път, без неоснователно забавяне. Това сътрудничество не засяга механизмите за сътрудничество, предвиден в глави VI и VII от Регламент (ЕС) 2016/679 и в Регламент (ЕС) 2017/2394.
whereas