(b) передавання є необхідним для виконання контракту між суб'єктом даних і контролером або реалізації переддоговірних заходів, вжитих на запит суб'єкта даних;
(c) передавання є необхідним для укладення чи виконання договору, укладеного в інтересах суб'єкта даних між контролером та іншою фізичною чи юридичною особою;
(d) передавання є необхідним на важливих підставах суспільного інтересу;
(e) передавання є необхідним для формування, здійснення або захисту правових претензій;
(f) передавання є необхідним для захисту життєво важливих інтересів суб'єкта даних або інших осіб, якщо суб'єкт даних фізично чи юридично неспроможний надати згоду;
(g) передавання здійснюють з реєстру, що, відповідно до законодавства Союзу або держави-члена, призначений для надання інформації громадськості та є відкритим для доступу як громадськості загалом, так і будь-якої іншої особи, яка може довести законний інтерес, але лише тією мірою, якою в конкретному випадку доступу виконано умови, встановлені законодавством Союзу або держави-члена.
Якщо передавання не можна обґрунтувати на підставі положення статті 45 чи 46, в тому числі положень про зобов'язальні корпоративні правила, та жодний з відступів, застосовних до спеціальної ситуації, вказаної в першому підпараграфі цього параграфа, не є застосовним, передавання до третьої країни чи до міжнародної організації може мати місце лише у разі, якщо передавання не є повторюваним, стосується лише обмеженої кількості суб'єктів даних, є необхідним для цілей істотних законних інтересів контролера, над якими не переважають інтереси чи права і свободи суб'єкта даних, і контролер оцінив усі обставини, що супроводжують передавання даних, і на підставі такої оцінки надав належні гарантії щодо захисту персональних даних. Контролер повинен поінформувати наглядовий орган про передавання. Окрім надання інформації, вказаної в статтях 13 і 14, контролер інформує суб'єкта даних про передавання та свої істотні законні інтереси, що їх він переслідує.
2. Передавання відповідно до пункту (g) першого підпараграфа параграфа 1 не включає всі персональні дані чи всі категорії персональних даних, що містяться в реєстрі. Якщо реєстр призначений для доступу осіб, які мають законний інтерес, передавання здійснюють лише на запит таких осіб, або якщо вони мають бути одержувачами.
3. Пункти (a), (b) і (c) першого підпараграфа параграфа 1 та його другого підпараграфа не застосовують до видів діяльності, які здійснюють органи публічної влади під час виконання своїх публічних повноважень.
4. Суспільний інтерес, вказаний в пункті (d) першого підпараграфа параграфа 1, визнається в законодавстві Союзу чи законодавстві держави-члена, яке поширюється на контролера.
5. За відсутності рішення про відповідність, законодавство Союзу або держави-члена можуть, на важливих підставах суспільного інтересу, чітко встановлювати обмеження на передавання спеціальних категорій даних до третьої країни чи міжнародної організації. Держави-члени повідомляють Комісію про такі положення.
6. Контролер або оператор повинні задокументувати оцінку, а також належні гарантії, вказані в другому підпараграфі параграфа 1 цієї статті, у формі записів, вказаних у статті 30.
Стаття 50. Міжнародна співпраця у сфері захисту персональних даних
У тому, що стосується третіх країн і міжнародних організацій, Комісія та наглядові органи вживають необхідних заходів для:
(a) розвитку механізмів міжнародної співпраці для сприяння ефективному застосуванню законодавства з метою захисту персональних даних;
(b) надання міжнародної взаємної допомоги в застосуванні законодавства з метою захисту персональних даних, у тому числі через нотифікацію, звернення скарг, допомогу в проведенні розслідувань та обмін інформацією, з урахуванням необхідних гарантій для захисту персональних даних і інших фундаментальних прав і свобод;
(c) залучення відповідних стейкхолдерів до обговорення та діяльності, спрямованої на подальший розвиток міжнародної співпраці щодо застосування законодавства з метою захисту персональних даних;
(d) сприяння обміну та документації законодавства і практики захисту персональних даних, у тому числі щодо юрисдикційних колізій з третіми країнами.
ГЛАВА VI
Незалежні наглядові органи
Секція 1
Незалежний статус
Стаття 51. Наглядовий орган
1. Кожна держава-член покладає на один або декілька незалежних публічних органів відповідальність за моніторинг застосування цього Регламенту, для того, щоб захистити фундаментальні права та свободи фізичних осіб у сфері опрацювання та сприяти вільному руху персональних даних у межах Союзу ("наглядовий орган").
2. Кожний наглядовий орган сприяє послідовному застосуванню цього Регламенту в межах Союзу. З цією метою наглядові органи співпрацюють один з одним і з Комісією відповідно до глави VII.
3. Якщо в державі-члені засновують більше, аніж один наглядовий орган, така держава-член призначає наглядовий орган, що повинен представляти такі органи в Раді, та встановлює механізм забезпечення дотримання іншими органами правил щодо механізму послідовності, вказаного в статті 63.
4. Кожна держава-член повідомляє Комісію про положення свого закону, який вона ухвалює відповідно до цієї глави, до 25 травня 2018 року та, без затримки, про будь-які подальші зміни і доповнення, що на них впливають.
Стаття 52. Незалежність
1. Кожний наглядовий орган діє абсолютно незалежно під час виконання своїх завдань та здійснення своїх повноважень згідно з цим Регламентом.
2. Член або члени кожного наглядового органу, під час виконання своїх завдань та здійснення своїх повноважень згідно з цим Регламентом, повинні залишатися вільними від зовнішнього впливу, прямого чи опосередкованого, та не повинні запитувати чи приймати вказівки від будь-якої особи.
3. Член або члени кожного наглядового органу повинні утримуватися від будь-якої дії, що є несумісною з їхніми обов'язками, та не повинні, протягом строку їхніх повноважень, займатися будь-якою несумісною діяльністю, прибутковою чи ні.
4. Кожна держава-член забезпечує, щоб кожний наглядовий орган мав у своєму розпорядженні людські, технічні та фінансові ресурси, приміщення та інфраструктуру, необхідну для результативного виконання своїх завдань та здійснення своїх повноважень, у тому числі тих, які здійснюють в контексті взаємної допомоги, співпраці та участі в Раді.
5. Кожна держава-член забезпечує, щоб кожен наглядовий орган обирав і мав свій власний персонал, що підпорядковується безпосередньому керівництву відповідного члена чи членів наглядового органу.
6. Кожна держава-член забезпечує, щоб кожний наглядовий орган підлягав фінансовому контролю, що не впливає на його незалежність, і мав окремі, публічні річні бюджети, що може бути частиною загальнодержавного або національного бюджету.
Стаття 53. Загальні умови для членів наглядового органу
1. Держави-члени забезпечують, щоб кожного члена їхніх наглядових органів було призначено у порядку прозорої процедури:
- їхній парламент;
- їхній уряд;
- їхній голова держави; або
- незалежний орган, якому доручено здійснити призначення згідно з законодавством держави-члена.
2. Кожний член повинен мати кваліфікації, досвід і вміння, зокрема, в сфері захисту персональних даних, які є необхідними для виконання його обов'язків та здійснення повноважень.
3. Обов'язки члена припиняються в разі закінчення строку повноваження, відставки чи обов'язкового виходу на пенсію згідно з законодавством відповідної держави-члена.
4. Член підлягає звільненню лише у випадках серйозного проступку або якщо член більше не дотримується умов, необхідних для виконання обов'язків.
Стаття 54. Правила заснування наглядового органу
1. Кожна держава-член на законодавчому рівні повинна забезпечити:
(a) заснування кожного наглядового органу;
(b) кваліфікації та умови прийнятності, необхідні для призначення як члена кожного наглядового органу;
(c) правила і процедури для призначення члена чи членів кожного наглядового органу;
(d) тривалість строку повноважень члена чи членів кожного наглядового органу становить не менше чотирьох років, за винятком першого призначення після 24 травня 2016 року, частина якого може становити коротший період, якщо це необхідно для захисту незалежності наглядового органу за допомогою поетапної процедури призначення;
(e) чи і, якщо так, на скільки строків можна повторно призначити члена чи членів кожного наглядового органу;
(f) умови, що регулюють обов'язки члена чи членів і персоналу кожного наглядового органу, заборони на дії, види діяльності та переваги, несумісні з ними, протягом і після строку повноважень і правила, що регулюють припинення зайнятості.
2. На члена або членів та персонал кожного наглядового органу поширюється, згідно з законодавством Союзу або держави-члена, обов'язок збереження професійної таємниці як протягом, так і після строку їхніх повноважень, щодо будь-якої конфіденційної інформації, про яку вони дізналися під час виконання своїх завдань або реалізації своїх повноважень. Під час строку їхніх повноважень, такий обов'язок збереження професійної таємниці, зокрема, застосовують до звітування фізичних осіб про порушення за цим Регламентом.
Секція 2
Компетенція, завдання і повноваження
Стаття 55. Компетенція
1. Кожен наглядовий орган має компетенцію для виконання завдань і реалізації повноважень, покладених на нього згідно з цим Регламентом на території його власної держави-члена.
2. Якщо опрацювання здійснюється публічними органами або приватними органами, які діють на підставі пункту (c) або (e) статті 6(1), компетенцію має наглядовий орган відповідної держави-члена. У таких випадках статтю 56 не застосовують.
3. Наглядові органи не мають компетенції здійснювати нагляд за операціями опрацювання, які здійснюють суди, діючи як судові інстанції.
Стаття 56. Компетенція керівного наглядового органу
1. Без обмеження статті 55, наглядовий орган за головним осідком або єдиним осідком контролера або оператора має компетенцію діяти як керівний наглядовий орган для транскордонного опрацювання, що здійснює контролер або оператор відповідно до процедури, передбаченої у статті 60.
2. Відступаючи від параграфа 1, кожний наглядовий орган має компетенцію розглядати скаргу, подану до нього, або можливе порушення положень цього Регламенту, якщо предмет стосується лише осідку в його державі-члені чи істотно впливає на суб'єктів даних лише в його державі-члені.
3. У випадках, вказаних у параграфі 2 цієї статті, наглядовий орган повідомляє керівний наглядовий орган без затримки про таке питання. Протягом тритижневого періоду з дати отримання повідомлення керівний наглядовий орган повинен вирішити, чи розглядатиме справу згідно з процедурою, передбаченою в статті 60, зважаючи на те, чи знаходиться осідок контролера або оператора в державі-члені, з якої наглядовий орган повідомив про це.
4. Якщо керівний наглядовий орган вирішує розглядати справу, застосовують процедуру, передбачену в статті 60. Наглядовий орган, який повідомив керівний наглядовий орган, може подати керівному наглядовому органу проект рішення. Керівний наглядовий орган звертає максимальну увагу на такий проект під час підготування проекту рішення, вказаного в статті 60(3).
5. Якщо наглядовий орган вирішує не розглядати справу, наглядовий орган, який повідомив керівний наглядовий орган, повинен розглянути її відповідно до статей 61 і 62.
6. Керівний наглядовий орган є єдиним посередником контролера або оператора в транскордонному опрацюванні, яке здійснює такий контролер або оператор.
Стаття 57. Завдання
1. Без обмеження інших завдань, встановлених згідно з цим Регламентом, кожний наглядовий орган на своїй території:
(a) здійснює моніторинг і забезпечує застосування цього Регламенту;
(b) сприяє обізнаності громадськості та її розумінню ризиків, правил, гарантій і прав у зв'язку з опрацюванням. Особливу увагу необхідно приділити опрацюванню, спрямованому безпосередньо на дітей;
(c) консультує, згідно з законодавством держави-члена, національний парламент, уряд і інші установи та органи щодо законодавчих і адміністративних інструментів, що пов'язані з захистом прав і свобод фізичних осіб у зв'язку з опрацюванням;
(d) сприяє обізнаності контролерів і операторів про їхні обов'язки за цим Регламентом;
(e) на запит, надає інформацію будь-якому суб'єкту даних щодо реалізації їхніх прав за цим Регламентом і, за необхідності, з цією метою співпрацює з наглядовими органами в інших державах-членах;
(f) розглядає скарги, подані суб'єктом даних, або органом, організацією чи асоціацією згідно зі статтею 80, і розслідує, наскільки це можливо, предмет скарги та повідомляє позивача про прогрес і наслідки розслідування в розумний строк, зокрема якщо існує необхідність подальшого розслідування чи координації з іншим наглядовим органом;
(g) співпрацює, в тому числі, шляхом обміну інформацією та надання взаємної допомоги, з іншими наглядовими органами для забезпечення послідовності застосування та забезпечення виконання цього Регламенту;
(h) проводить розслідування щодо застосування цього Регламенту, в тому числі, на підставі інформації, отриманої від іншого наглядового органу чи іншого публічного органу;
(i) здійснює моніторинг відповідних тенденцій, доки вони впливають на захист персональних даних, зокрема, розроблення інформаційно-комунікаційних технологій і комерційної практики;
(j) ухвалює стандартні договірні положення, вказані в статті 28(8) та пункті (d) статті 46(2);
(k) започатковує і веде список у зв'язку з вимогами для оцінювання впливу на захист даних згідно зі статтею 35(4);
(l) консультує щодо операцій опрацювання, вказаних у статті 36(2);
(m) заохочує розроблення кодексів поведінки відповідно до статті 40(1), надає висновок і схвалює такі кодекси поведінки, що забезпечують достатні гарантії, відповідно до статті 40(5);
(n) заохочує запровадження механізмів сертифікації захисту даних і штампів і знаків захисту даних згідно зі статтею 42(1), і схвалює критерії сертифікації згідно зі статтею 42(5);
(o) за необхідності, здійснює періодичний перегляд сертифікацій, виданих згідно зі статтею 42(7);
(p) розробляє і опубліковує критерії для акредитації органу для моніторингу кодексів поведінки згідно зі статтею 41 чи органу сертифікації згідно зі статтею 43;
(q) проводить акредитацію органу для моніторингу кодексів поведінки згідно зі статтею 41 чи органу сертифікації згідно зі статтею 43;
(r) надає дозвіл на договірні положення, вказані в статті 46(3);
(s) ухвалює зобов'язальні корпоративні правила відповідно до статті 47;
(t) сприяє діяльності Ради;
(u) веде внутрішні записи порушень положень цього Регламенту та заходів, вжитих згідно зі статтею 58(2); і
(v) виконує будь-які інші завдання, пов'язані з захистом персональних даних.
2. Кожний наглядовий орган полегшує подання скарг, вказаних у пункті (f) параграфа 1 за допомогою заходів, таких як форма подання скарги, яку також можна оформити в електронному форматі без обмеження інших засобів зв'язку.
3. Виконання завдань кожного наглядового органу здійснюють на безоплатній основі для суб'єкта даних і, за необхідності, для співробітника з питань захисту даних.
4. Якщо запити є явно необґрунтованими чи надмірними, зокрема, через їхнє багаторазове повторення, наглядовий орган може стягувати розумну плату, що ґрунтується на адміністративних витратах, або ухилитися від виконання дій на запит. Наглядовий орган повинен нести тягар доведення явно необґрунтованого чи надмірного характеру запиту.
Стаття 58. Повноваження
1. Кожний наглядовий орган має всі слідчі повноваження, а саме:
(a) видавати розпорядження контролеру або оператору і, за необхідності, представнику контролера або оператора надати будь-яку інформацію, яку він вимагає для виконання своїх завдань;
(b) проводити розслідування в формі перевірок захисту даних;
(c) здійснювати перегляд сертифікацій, виданих згідно зі статтею 42(7);
(d) повідомляти контролера або оператора про передбачуване порушення цього Регламенту;
(e) отримувати, від контролера або оператора, доступ до всіх персональних даних і до всієї інформації, необхідної для виконання його завдань;
(f) отримувати доступ до будь-яких приміщень контролера або оператора, в тому числі до будь-якого обладнання і засобів опрацювання даних згідно з процесуальним законодавством Союзу чи держави-члена.
2. Кожний наглядовий орган має всі виправні повноваження, а саме:
(a) надсилати попередження контролеру або оператору про те, що призначені операції опрацювання ймовірно порушать положення цього Регламенту;
(b) виносити догану контролеру або оператору, якщо операції опрацювання порушують положення цього Регламенту;
(c) наказувати контролеру або оператору дотримуватися запитів суб'єкта даних для реалізації його прав відповідно до цього Регламенту;
(d) наказувати контролеру або оператору привести операції опрацювання у відповідність з положеннями цього Регламенту, за необхідності, у встановленому порядку та протягом встановленого періоду;
(e) наказувати контролеру повідомити суб'єкта даних про порушення захисту персональних даних;
(f) накладати тимчасове чи остаточне обмеження, в тому числі, заборону, на опрацювання.
(g) наказувати здійснити виправлення чи стирання персональних даних або обмеження опрацювання згідно зі статтями 16, 17 і 18, і нотифікацію про такі дії кожного одержувача, якому було розкрито персональні дані відповідно до статті 17(2) і статті 19;
(h) відкликати сертифікацію чи наказати органу сертифікації відкликати сертифікацію, видану відповідно до статей 42 і 43, або наказати органу сертифікації не видавати сертифікацію, якщо вимоги для сертифікації не виконано або більше не виконуються;
(i) накладати адміністративні штрафи відповідно до статті 83, як доповнення до, чи замість, заходів, вказаних у цьому параграфі, залежно від обставин кожної індивідуальної справи;
(j) наказувати призупинення потоків даних до одержувача в третій країні чи до міжнародної організації.
3. Кожний наглядовий орган має всі дозвільні і консультативні повноваження, а саме:
(a) консультувати контролера відповідно до процедури попередніх консультацій, вказаної в статті 36;
(b) видавати, за власною ініціативою чи на запит, висновки для національного парламенту, уряду держави-члена чи, відповідно до законодавства держави-члена, інших установ і органів, а також громадськості щодо будь-якого питання, пов'язаного з захистом персональних даних;
(c) надавати дозвіл на опрацювання, вказане в статті 36(5), якщо законодавство держави-члена вимагає надання такого попереднього дозволу;
(d) надавати висновок і затверджувати проекти кодексів поведінки відповідно до статті 40(5);
(e) надавати акредитацію органам сертифікації відповідно до статті 43;
(f) видавати сертифікації та затверджувати критерії сертифікації відповідно до статті 42(5);
(g) ухвалювати стандартні положення щодо захисту даних, вказані в статті 28(8) та пункті (d) статті 46(2);
(h) надавати дозвіл на договірні положення, вказані в пункті (a) статті 46(3);
(i) надавати дозвіл на адміністративні домовленості, вказані в пункті (b) статті 46(3);
(j) затверджувати зобов'язальні корпоративні правила відповідно до статті 47.
4. На реалізацію повноважень, покладених на наглядовий орган відповідно до цієї статті, поширюються належні гарантії, у тому числі, дієвий судовий засіб правового захисту та належний процес, передбачений в законодавстві Союзу або держави-члена згідно з Хартією.
5. Кожна держава-член забезпечує на законодавчому рівні, щоб її наглядовий орган було наділено повноваженням виносити порушення цього Регламенту до уваги судових органів і, в разі необхідності, розпочинати процесуальні дії чи іншим чином залучати до них для того, щоб забезпечити виконання положень цього Регламенту.
6. Кожна держава-член може передбачити на законодавчому рівні, щоб її наглядовий орган було наділено додатковими повноваженнями, крім тих, що вказано в параграфах 1, 2 і 3. Реалізація таких повноважень не повинна перешкоджати результативному застосуванню глави VII.
Стаття 59. Звіти про виконану роботу
Кожний наглядовий орган складає щорічний звіт про свою діяльність, що може містити список типів порушення, про які було повідомлено, та типи заходів, яких було вжито відповідно до статті 58(2). Ці звіти передають до національного парламенту, уряду та інших органів, як це призначено законодавством держави-члена. Громадськість, Комісія та Рада отримують до них доступ.
ГЛАВА VII
Співпраця і послідовність
Секція 1
Співпраця
Стаття 60. Співпраця між керівним наглядовим органом і іншими відповідними наглядовими органами
1. Керівний наглядовий орган співпрацює з іншими відповідними наглядовими органами відповідно до цієї статті, прагнучи досягти консенсусу. Керівний наглядовий орган і відповідні наглядові органи обмінюються всією належною інформацією один з одним.
2. Керівний наглядовий орган може надсилати запит у будь-який час до інших відповідних наглядових органів на надання взаємної допомоги відповідно до статті 61 і може проводити об'єднані операції відповідно до статті 62, зокрема, для здійснення розслідувань або для моніторингу реалізації заходу щодо контролера або оператора, що має осідок в іншій державі-члені.
3. Керівний наглядовий орган повинен, без затримки, повідомити відповідну інформацію щодо питання іншим відповідним наглядовим органам. Він повинен без затримки надати проект рішення іншим відповідним наглядовим органам для отримання їхнього висновку та звернути належну увагу на їхні думки.
4. Якщо будь-який з інших відповідних наглядових органів протягом періоду в чотири тижні після отримання консультації згідно з параграфом 3 цієї статті висловлює належне та обґрунтоване заперечення щодо проекту рішення, керівний наглядовий орган повинен, якщо він не зважає на відповідне та обґрунтоване заперечення або якщо вважає, що заперечення не є належним або обґрунтованим, передати питання до механізму послідовності, вказаному в статті 63.
5. Якщо керівний наглядовий орган має намір враховувати висловлене належне та вмотивоване заперечення, він повинен надати іншим відповідним наглядовим органам допрацьований проект рішення для отримання їх висновку. Такий допрацьований проект рішення підлягає процедурі, вказаній у параграфі 4, протягом двотижневого періоду.
6. Якщо жодний з інших відповідних наглядових органів не заперечує щодо проекту рішення, поданого керівним наглядовим органом, протягом періоду, вказаного в параграфах 4 і 5, керівний наглядовий орган і відповідні наглядові органи можна вважати такими, що погоджуються із таким проектом рішення і зобов'язані ним.
7. Керівний наглядовий орган ухвалює і повідомляє про рішення до головного або єдиного осідку контролера або оператора залежно від обставин і повідомляє інші відповідні наглядові органи та Раду про рішення, що розглядається, в тому числі про належні факти та підстави. Наглядовий орган, до якого було подано скаргу, повідомляє позивача про рішення.
8. Відступаючи від параграфа 7, якщо скаргу було відхилено чи у ній було відмовлено, наглядовий орган, до якого було подано скаргу, ухвалює рішення та повідомляє про нього позивача та контролера.
9. Якщо керівний наглядовий орган і відповідні наглядові органи погоджуються відхилити або відмовити в частині скарги та діяти щодо інших частин такої скарги, окреме рішення ухвалюють для кожної такої частини справи. Керівний наглядовий орган ухвалює рішення щодо частини, що стосується дій щодо оператора, повідомляє про це головний або єдиний осідок контролера або оператора на території своєї держави-члена та повідомляє про це позивача, в той час як наглядовий орган позивача ухвалює рішення щодо частини, що стосується відхилення чи відмови в такій заяві, та повідомляє про це такому позивачу та інформує про це контролера або оператора.
10. Після отримання повідомлення про рішення керівного наглядового органу відповідно до параграфів 7 і 9, контролер або оператор вживають необхідних заходів для забезпечення відповідності рішенню в тому, що стосується опрацювання даних в контексті всіх його осідків в Союзі. Контролер або оператор повідомляють про заходи, вжиті для відповідності рішенню, керівний наглядовий орган, який повідомляє інші відповідні наглядові органи.
11. Якщо, за виняткових обставин, відповідний наглядовий орган має причини вважати, що є нагальна потреба вживати дії для захисту інтересів суб'єктів даних, застосовують екстрену процедуру, вказану в статті 66.
12. Керівний наглядовий орган і інші відповідні наглядові органи надають інформацію, необхідну за цією статтею, один одному електронними засобами, з використанням стандартного формату.
Стаття 61. Взаємна допомога
1. Наглядові органи надають один одному відповідну інформацію і взаємну допомогу з метою імплементації та послідовного застосування цього Регламенту та живають заходів для результативної співпраці один з одним. Взаємна допомога охоплює, зокрема, інформаційні запити та заходи щодо нагляду, такі як запити на видачу попередніх дозволів і проведення попередніх консультацій, інспекцій і розслідувань.
2. Кожний наглядовий орган вживає всіх необхідних заходів, необхідних для відповіді на запит іншого наглядового органу без необґрунтованої затримки та не пізніше одного місяця після отримання запиту. Такі заходи можуть включати, зокрема, передавання відповідної інформації щодо проведення розслідування.
3. Запити на надання допомоги містять усю необхідну інформацію, в тому числі, про цілі та причини запиту. Інформацію, якою обмінюються, необхідно використовувати лише відповідно до цілі, для якої надавали запит.
4. Наглядовий орган, якому надійшов запит, не повинен відмовляти в задоволенні запиту за винятком тих випадків, коли:
(a) він володіє компетенцією щодо предмету запиту чи заходів, на вжиття яких надіслано запит; або
(b) задоволення запиту може порушити положення цього Регламенту або законодавства Союзу чи держави-члена, яке поширюється на наглядовий орган, до якого надійшов запит.
5. Наглядовий орган, до якого надійшов запит, повідомляє наглядовий орган, який надіслав запит, про результати чи, залежно від обставин, прогрес заходів, вжитих для відповіді на запит. Наглядовий орган, до якого надійшов запит, повинен надати інформацію про причини будь-якої відмови в задоволенні запиту відповідно до параграфа 4.
6. Наглядові органи, які отримали запити, надають, як правило, інформацію, на яку запитують інші наглядові органи, електронними засобами, з використанням стандартного формату.
7. Наглядові органи, яким надійшли запити, не стягують плати за будь-яку дію, яку вони застосовують згідно із запитом на взаємну допомогу. Наглядові органи можуть узгоджувати правила для відшкодування один одному за окремі витрати, що випливають з надання взаємної допомоги за виняткових обставин.
8. Якщо наглядовий орган не надає інформацію, вказану в параграфі 5 цієї статті, протягом одного місяця з дати отримання запиту іншого наглядового органу, наглядовий орган, який надіслав запит, може вжити тимчасового заходу на території своєї держави-члена згідно зі статтею 55(1). У такому разі, передбачається, що негайну потребу діяти згідно зі статтею 66(1) задоволено, що вимагає ухвалення негайного зобов'язального рішення Ради згідно зі статтею 66(2).
9. Комісія може, шляхом ухвалення імплементаційних актів, визначити формат і процедури взаємної допомоги, вказаної в цій статті, та домовленості для обміну інформацією електронними засобами між наглядовими органами та між наглядовими органами та Радою, зокрема стандартний формат, вказаний у параграфі 6 цієї статті. Такі імплементаційні акти ухвалюють відповідно до експертної процедури, вказаної в статті 93(2).
Стаття 62. Спільні операції наглядових органів
1. Наглядові органи проводять, за необхідності, спільні операції, в тому числі, спільні розслідування і спільні заходи із забезпечення виконання, до яких залучають члени чи персонал наглядових органів інших держав-членів.
2. Якщо контролер або оператор мають осідки в декількох державах-членах, або якщо істотна кількість суб'єктів даних у декількох державах-членах ймовірно зазнає істотного впливу внаслідок операцій опрацювання, наглядовий орган кожної з цих держав-членів має право брати участь у спільних операціях. Наглядовий орган, що володіє компетенцією згідно зі статтею 56(1) або (4), запрошує наглядовий орган кожної з таких держав-членів брати участь в спільних операціях і відповідає без затримки на запит щодо участі від наглядового органу.
3. Наглядовий орган може, згідно з законом держави-члена, та з дозволу наглядового органу, що направляє, надавати повноваження, в тому числі, слідчі повноваження на членів або персонал наглядового органу, що направляє, залучених до спільних операцій чи, мірою, якою це дозволено законодавством держави-члени за місцем перебування наглядового органу, дозволяти членам чи персоналу наглядового органу, що направляє, реалізовувати їхні слідчі повноваження згідно з законодавством держави-члена наглядового органу, що направляє. Такі слідчі повноваження можна здійснювати лише під керівництвом і за присутності членів або персоналу наглядового органу за місцем перебування. Члени або персонал наглядового органу, що направляє, підпорядковуються законодавству держави-члена наглядового органу за місцем перебування.
4. Якщо, згідно з параграфом 1, персонал наглядового органу, що направляє, діє в іншій державі-члені, держава-член за місцем перебування наглядового органу бере на себе відповідальність за їхні дії, в тому числі за будь-яку шкоду, заподіяну ними під час їхніх операцій, відповідно до законодавства держави-члена, на території якої вони провадять діяльність.
5. Держава-член, на території якої було нанесено шкоду, виправляє її на умовах, які застосовують до нанесення шкоди її власним персоналом. Держава-член наглядового органу, що направляє, чий персонал заподіяв шкоду будь-якій особі на території іншої держави-члена, відшкодовує тій іншій державі-члену повністю будь-які кошти, які вона виплатила особам, що мають на це право, від їхнього імені.
6. Без обмеження реалізації своїх прав щодо третіх сторін і за винятком параграфа 5, кожна держава-член повинна утримуватися, у ситуації, передбаченій параграфом 1, від вимоги відшкодування від іншої держави-члена щодо шкоди, вказаної в параграфі 4.
7. Якщо призначено спільну операцію і наглядовий орган не дотримується, протягом одного місяця, обов'язку, встановленого в другому реченні параграфа 2 цієї статті, інші наглядові органи можуть вжити тимчасового заходу на території своєї держави-члена згідно зі статтею 55. У такому разі, передбачається, що негайну потребу діяти згідно зі статтею 66(1) задоволено, що вимагає винесення висновку або ухвалення негайного зобов'язального рішення Ради згідно зі статтею 66(2).
Секція 2
Послідовність
Стаття 63. Механізм послідовності
Для того, щоб сприяти послідовному застосуванню цього Регламенту в межах Союзу, наглядові органи повинні співпрацювати один з одним і, в належних випадках, з Комісією, через механізм послідовності, як встановлено в цій секції.
Стаття 64. Висновок Ради
1. Рада ухвалює висновок, за яким компетентний наглядовий орган має намір ухвалити будь-який з інструментів, зазначених нижче. З цією метою компетентний наглядовий орган повідомляє проект рішення Ради, якщо воно:
(a) спрямоване на ухвалення списку операцій опрацювання, з урахуванням вимог для оцінювання впливу на захист даних згідно зі статтею 35(4);
(b) стосується питання відповідно до статті 40(7) про те, чи відповідає проект кодексу поведінки чи зміни або розширення кодексу поведінки цьому Регламенту;
(c) спрямоване на затвердження критеріїв для акредитації органу згідно зі статтею 41(3) чи органу сертифікації згідно зі статтею 43(3);
(d) спрямоване на визначення стандартних положень щодо захисту даних, вказаних у пункті (d) статті 46(2) та в статті 28(8);
(e) спрямоване на надання дозволу на договірні положення, вказані в пункті (a) статті 46(3); чи
(f) спрямоване на ухвалення зобов'язальних корпоративних правил у значенні статті 47;
2. Будь-який наглядовий орган, Голова Ради чи Комісія можуть направити запит про те, щоб будь-яке питання загального застосування або таке, що породжує наслідки у декількох державах-членах, було розглянуто Радою, з метою отримання висновку, зокрема, якщо компетентний наглядовий орган не дотримується обов'язків щодо взаємної допомоги згідно зі статтею 61 або щодо об'єднаних операцій згідно зі статтею 62.
3. У випадках, вказаних у параграфах 1 і 2, Рада ухвалює висновок з питання, поданого до неї, за умови, що вона не ухвалила раніше висновок з того самого питання. Такий висновок ухвалюють протягом восьми тижнів простою більшістю голосів членів Ради. Цей період може бути подовжено на наступні шість тижнів, беручи до уваги складність предмету. Стосовно проекту рішення, вказаного в параграфі 1, що розіслано членам Ради відповідно до параграфа 5, члена, який не заперечує протягом розумного строку, визначеного Головою, можна вважати таким, що погодився з проектом рішення.
4. Наглядові органи і Комісія, без необґрунтованої затримки, повідомляють Раді за допомогою електронних засобів, з використанням стандартного формату, будь-яку належну інформацію, в тому числі, залежно від обставин короткий виклад фактів, проект рішення, підстави, що викликають необхідність вжиття такого заходу, та погляди інших відповідних наглядових органів.
5. Голова Ради, без необґрунтованої затримки, інформує за допомогою електронних засобів:
(a) членів Ради і Комісію про будь-яку належну інформацію, повідомлену йому з використанням стандартного формату. Секретаріат Ради, в разі необхідності, надає переклади належної інформації; та
(b) наглядовий орган, як вказано, залежно від ситуації, в параграфах 1 і 2, та Комісію про висновок і оприлюднює його.
6. Компетентний наглядовий орган не ухвалює свій проект рішення, вказаний в параграфі 1, протягом періоду, вказаного в параграфі 3.
7. Наглядовий орган, вказаний у параграфі 1, повинен належним чином враховувати висновок Ради та, протягом двох тижнів з дати отримання висновку, повідомляти Голову Ради за допомогою електронних засобів про те, чи залишає він або чи вносить зміни та доповнення до її проекту рішення та, якщо такі будуть, проект рішення зі внесеними змінами та доповненнями, з використанням стандартного формату.
8. Якщо відповідний наглядовий орган інформує Голову Ради протягом періоду, вказаного в параграфі 7 цієї статті, що він не має наміру враховувати висновок Ради, в цілому чи частково, надаючи відповідні підстави, у такому разі застосовують статтю 65(1).
Стаття 65. Врегулювання спорів Радою
1. Для того, щоб забезпечити точне і послідовне застосування цього Регламенту в індивідуальних випадках, Рада ухвалює зобов'язальне рішення в таких випадках:
(a) якщо, в ситуації, вказаній в статті 60(4), відповідний наглядовий орган висунув належне і обґрунтоване заперечення щодо проекту рішення керівного органу, або якщо керівний орган відхилив таке заперечення як неналежне чи необґрунтоване. Зобов'язальне рішення стосується всіх питань, що є предметом належного та обґрунтованого заперечення, зокрема того, чи існують порушення цього Регламенту;
(b) у разі виникнення розбіжностей щодо того, який із відповідних наглядових органів є компетентним для цілей головного осідку;
(c) якщо компетентний наглядовий орган не запитує висновок Ради у ситуаціях, вказаних у статті 64(1), або не враховує висновок Ради, ухвалений згідно зі статтею 64. У такому разі, будь-який відповідний наглядовий орган або Комісія може направити питання на розгляд Раді.
2. Рішення, зазначене в параграфі 1, ухвалюють протягом одного місяця з дати направлення предмету більшістю в дві третини голосів членів Ради. Цей період може бути подовжено на наступний місяць, зважаючи на складність суті питання. Рішення, вказане в параграфі 1, повинно бути вмотивованим і адресованим до керівного наглядового органу та всіх відповідних наглядових органів та бути зобов'язальним для них.
3. Якщо Рада не змогла ухвалити рішення протягом періодів, вказаних у параграфі 2, вона повинна ухвалити своє рішення протягом двох тижнів після закінчення другого місяця, вказаного в параграфі 2, простою більшістю голосів членів Ради. У разі виникнення розбіжностей серед членів Ради, рішення ухвалює Голова.
4. Відповідні наглядові органи не повинні ухвалювати рішення щодо питання, поданого на розгляд до Ради згідно з параграфом 1, протягом періодів, вказаних у параграфах 2 і 3.
5. Голова Ради повідомляє, без необґрунтованої затримки, рішення, вказане в параграфі 1, відповідні наглядові органи. Він інформує про це Комісію. Рішення опубліковують на сторінці Ради в мережі Інтернет без затримки після того, як наглядовий орган повідомив остаточне рішення, зазначене в параграфі 6.
6. Керівний наглядовий орган або, залежно від ситуації, наглядовий орган, до якого було подано скаргу, ухвалює своє остаточне рішення на підставі рішення, вказаного в параграфі 1 цієї статті, без необґрунтованої затримки та щонайменше протягом одного місяця після того, як Рада повідомила про своє рішення. Керівний наглядовий орган або, залежно від ситуації, наглядовий орган, до якого було подано скаргу, інформує Раду про дату, коли його остаточне рішення повідомлено, відповідно, контролеру або оператору та суб'єкту даних. Остаточне рішення відповідних наглядових органів ухвалюють на умовах статті 60(7), (8) і (9). Остаточне рішення повинно базуватися на рішенні, вказаному в параграфі 1 цієї статті, та уточнювати, що рішення, вказане в тому параграфі, буде опубліковано на сторінці Ради в мережі Інтернет відповідно до параграфа 5 цієї статті. Остаточне рішення додають до рішення, вказаного в параграфі 1 цієї статті.
Стаття 66. Екстрена процедура
1. За виняткових обставин, якщо залучений наглядовий орган вважає, що існує нагальна потреба вжити дії для захисту інтересів суб'єктів даних, він може, шляхом застосування відступу від механізму послідовності, вказаного в статтях 63, 64 і 65, або процедури, вказаної в статті 60, негайно вжити тимчасових заходів, спрямованих на породження юридичних наслідків на своїй власній території з уточненим строком дійсності, що не перевищує три місяці. Наглядовий орган повинен, без затримки, повідомити про такі заходи та причини їх прийняття іншим відповідним наглядовим органам, Раді та Комісії.
2. Якщо наглядовий орган вжив захід відповідно до параграфа 1 та вважає, що необхідно негайно ухвалити остаточні інструменти, він може направити запит на отримання від Ради термінового висновку чи ухвалення термінового зобов'язального рішення, надаючи інформацію про причини для запиту на такий висновок чи рішення.
3. Будь -який наглядовий орган може направляти запит на отримання від Ради термінового висновку чи ухвалення термінового зобов'язального рішення, залежно від обставин, якщо компетентний наглядовий орган не вжив необхідного заходу в ситуації, де є нагальна потреба діяти, для того, щоб захистити права та свободи суб'єктів даних, надаючи інформацію про причини для запиту на такий висновок чи рішення, в тому числі, для нагальної потреби діяти.
4. Відступаючи від статті 64(3) і статті 65(2), терміновий висновок чи термінове зобов'язальне рішення, вказані в параграфах 2 і 3 цієї статті, ухвалюють протягом двох тижнів простою більшістю голосів членів Ради.
Стаття 67. Обмін інформацією
Комісія може ухвалювати імплементаційні акти загальної сфери дії для того, щоб визначити домовленості щодо обміну інформацією електронними засобами між наглядовими органами та між наглядовими органами і Радою, зокрема, стандартний формат, вказаний у статті 64.
Такі імплементаційні акти ухвалюють відповідно до експертної процедури, вказаної в статті 93(2).
Секція 3
Європейська рада із захисту даних
Стаття 68. Європейська рада із захисту даних
1. Цим засновується Європейська рада із захисту даних ("Рада") як орган Союзу, що має правосуб'єктність.
2. Раду представляє її Голова.
3. Рада складається з голови одного наглядового органу кожної держави-члена та Європейського інспектора із захисту даних або їхніх відповідних представників.
4. Якщо в державі-члені понад один наглядовий орган несе відповідальність за моніторинг застосування положень згідно з цим Регламентом, призначають спільного представника відповідно до права держави-члена.
5. Комісія має право брати участь у роботі та засіданнях Ради без права голосу. Комісія призначає представника. Голова Ради повідомляє Комісії про роботу Ради.
6. У випадках, вказаних у статті 65, Європейський інспектор із захисту даних володіє правом голосу лише щодо рішень, що стосуються принципів і правил, застосовних до установ, органів, служб і агентств Союзу, які по суті відповідають принципам і нормам цього Регламенту.
Стаття 69. Незалежність
1. Рада діє незалежно під час виконання своїх завдань чи здійснення своїх повноважень відповідно до статей 70 і 71.
2. Без обмеження запитів Комісії, вказаних у пункті (b) статті 70(1) та статті 70(2), Рада, під час виконання своїх завдань чи здійснення своїх повноважень, не повинна запитувати чи приймати вказівки від будь-якої особи.
Стаття 70. Завдання Ради
1. Рада забезпечує послідовне застосування цього Регламенту. З цією метою Рада, за власною ініціативою, або, за необхідності, на запит Комісії, зокрема:
(a) здійснює моніторинг і забезпечує правильне застосування цього Регламенту у випадках, передбачених статтями 64 і 65, без обмеження завдань національних наглядових органів;
(b) консультує Комісію з будь-якого питання, пов'язаного з захистом персональних даних у Союзі, в тому числі, з будь-яких змін і доповнень, які запропоновано внести до цього Регламенту;
(c) консультує Комісію щодо формату і процедур для обміну інформацією між контролерами, операторами та наглядовими органами щодо зобов'язальних корпоративних правил;
(d) видає настанови, рекомендації та інформацію про кращу практику щодо процедур для стирання посилань, копій чи накладів персональних даних із загальнодоступних послуг зв'язку, вказаних у статті 17(2);
(e) розглядає, за власною ініціативою, на запит одного з її членів або на запит Комісії, будь-яке питання, що охоплює застосування цього Регламенту та видає настанови, рекомендації та інформацію про кращу практику для того, щоб заохотити послідовне застосування цього Регламенту;
(f) видає настанови, рекомендації та інформацію про кращу практику згідно з пунктом (е) цього параграфа для подальшого визначення критеріїв і умов для рішень, що ґрунтуються на профайлінгу відповідно до статті 22(2);
(g) видає настанови, рекомендації та інформацію про кращу практику згідно з пунктом (е) цього параграфа для встановлення порушень захисту персональних даних і визначення неналежної затримки, вказаної в статті 33(1) і (2), та для конкретних обставин, за яких необхідно, щоб контролер або оператор повідомляли про порушення захисту персональних даних;
(h) видає настанови, рекомендації та інформацію про кращу практику згідно з пунктом (е) цього параграфа щодо обставин, за яких порушення захисту персональних даних ймовірно створюватиме високий ризик для прав і свобод фізичних осіб, вказаних у статті 34(1).
(i) видає настанови, рекомендації та інформацію про кращу практику згідно з пунктом (е) цього параграфа з метою подальшого визначення критеріїв і вимог для передавання персональних даних на підставі зобов'язальних корпоративних правил, яких дотримуються контролери, і зобов'язальних корпоративних правил, яких дотримуються оператори, а також подальших вимог, необхідних для забезпечення захисту персональних даних залучених суб'єктів даних, вказаних у статті 47;
(j) видає настанови, рекомендації та інформацію про кращу практику згідно з пунктом (е) цього параграфа для подальшого уточнення критеріїв і вимог для передавання персональних даних на підставі статті 49(1);
(k) розробляє настанови для наглядових органів щодо застосування заходів, вказаних у статті 58(1), (2) і (3), та встановлення адміністративних штрафів відповідно до статті 83;
(l) переглядає практичне застосування настанов, рекомендацій і прикладів кращої практики, вказаних у пунктах (e) і (f);
(m) видає настанови, рекомендації та інформацію про кращу практику згідно з пунктом (е) цього параграфа для запровадження спільних процедур через звітування фізичними особами про порушення цього Регламенту згідно зі статтею 54(2);
(n) заохочує розроблення кодексів поведінки та запровадження механізмів сертифікації захисту даних та штампів і знаків захисту даних згідно зі статтями 40 і 42;
(o) проводить акредитацію органів сертифікації, здійснює періодичний перегляд відповідно до статті 43, веде публічний реєстр акредитованих органів відповідно до статті 43(6) та акредитованих контролерів або операторів, які мають свої осідки в третіх країнах згідно зі статтею 42(7);
(p) визначає вимоги, вказані в статті 43(3), для акредитації органів сертифікації згідно зі статтею 42;
(q) надає Комісії висновок щодо вимог до сертифікації, вказаних у статті 43(8);
(r) надає Комісії висновок щодо іконок, вказаних у статті 12(7);
(s) надає Комісії висновок для оцінювання належного рівня захисту в третій країні чи міжнародній організації, в тому числі для оцінювання, чи не забезпечує більше третя країна, територія чи один або декілька визначених секторів у межах третьої країни, чи міжнародна організація належний рівень захисту даних. З цією метою, Комісія надає Раді всю необхідну документацію, в тому числі кореспонденцію з урядом третьої країни, щодо такої третьої країни, території чи визначеного сектору, чи з міжнародною організацією.
(t) видає висновки щодо проектів рішень наглядових органів відповідно до механізму послідовності, вказаного в статті 64(1), щодо питань, поданих відповідно до статті 64(2), та видає зобов'язальні рішення відповідно до статті 65, у тому числі у випадках, вказаних у статті 66;
(u) заохочує співпрацю та ефективний двосторонній і багатосторонній обмін інформацією та кращою практикою між наглядовими органами;
(v) сприяє спільним навчальним програмам і забезпечує можливість обмінів персоналом між наглядовими органами та, за необхідності, з наглядовими органами третіх країн або з міжнародними організаціями;
(w) сприяє обміну знаннями та документацією щодо законодавства із захисту даних і практикою з органами нагляду за захистом даних у всьому світі.
(x) видає висновки щодо кодексів поведінки, розроблених на рівні Союзу відповідно до статті 40(9); і
(y) веде загальнодоступний електронний реєстр рішень, ухвалених наглядовими органами та судами щодо питань, які розглядали за механізмом послідовності.
2. Якщо Комісія надає запит на консультацію Ради, вона може вказати часове обмеження, беручи до уваги терміновий характер питання.
3. Рада передає свої висновки, настанови, рекомендації та інформацію про кращу практику Комісії та комітету, вказаному в статті 93, і опубліковує їх.
4. Рада, за необхідності, консультує відповідні сторони та забезпечує їх можливістю надавати коментарі у розумний строк. Рада, без обмеження статті 76, оприлюднює результати процедури консультації.
Стаття 71. Звіти
1. Рада складає річний звіт щодо захисту фізичних осіб у зв'язку з опрацюванням в Союзі та, у відповідних випадках, у третіх країнах і міжнародних організаціях. Звіт оприлюднюють та передають до Європейського Парламенту, Ради та Комісії.
2. Річний звіт містить перегляд практичного застосування настанов, рекомендацій і прикладів кращої практики, вказаних у пункті (і) статті 70(1), а також зобов'язальних рішень, вказаних у статті 65.
Стаття 72. Процедура
1. Рада ухвалює рішення простою більшістю своїх членів, якщо інше не передбачено цим Регламентом.
2. Рада ухвалює свої власні правила процедури більшістю в дві третини голосів своїх членів і розробляє власні технічні заходи.
Стаття 73. Голова
1. Рада обирає голову та двох заступників голови з числа її членів простою більшістю.
2. Строк повноважень Голови та заступників Голови становить п'ять років з можливістю переобрання на повторний строк.
Стаття 74. Завдання Голови
1. Голова має такі завдання:
(a) скликати засідання Ради та готувати його порядок денний;
(b) повідомляти керівний наглядовий орган і залучені наглядові органи про рішення, схвалені Радою відповідно до статті 65;
(c) забезпечувати вчасне виконання завдань Ради, зокрема, щодо механізму послідовності, вказаного в статті 63.
