Член 25

Защита на данните

1. Обменът на информация съгласно настоящата директива е в съответствие Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета . Въпреки това за целите на правилното прилагане на настоящата директива държавите членки ограничават обхвата на задълженията и правата, предвидени в член 13, член 14, параграф 1 и член 15 от Регламент (ЕС) 2016/679, до степента, необходима за запазване на интересите по член 23, параграф 1, буква д) от посочения регламент“.

2. Разпоредбите на Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета се прилагат по отношение на всяко обработване на лични данни съгласно настоящата директива от страна на институциите, органите, службите и агенциите на Съюза. Въпреки това, за целите на правилното прилагане на настоящата директива, обхватът на задълженията и правата, предвидени в член 15, член 16, параграф 1 и членове 17-21 от Регламент (ЕС) 2018/1725, се ограничава до степента, необходима за запазване на интересите по член 25, параграф 1, буква в) от посочения регламент.

3. „Предоставящите информация финансови институции“, посредниците, „предоставящите информация оператори на платформи“ и компетентните органи на държавите членки се считат за администратори на лични данни, когато самостоятелно или съвместно определят целите и средствата на обработването на лични данни по смисъла на Регламент (ЕС) 2016/679.

4. Независимо от параграф 1, всяка държава членка гарантира, че всяка „предоставяща информация финансова институция“, посредник или „предоставящ информация оператор на платформа“, в зависимост от случая, които са под нейната юрисдикция:

а) информират всяко засегнато физическо лице, че информация, отнасяща се за това лице, ще бъде събрана и предадена в съответствие с настоящата директива; и

б) предоставят на всяко засегнато физическо лице цялата информация, която това лице има право да получи от администратора на лични данни, достатъчно рано, за да може лицето да упражни своите права по защита на личните данни и във всеки случай преди предоставянето на такава информация.

Независимо от буква б) от първата алинея, всяка държава членка определя правила, които задължават „предоставящите информация оператори на платформи“ да информират „продавачите, за които се предоставя информация“, относно съобщаваното „възнаграждение“.

5. Информацията, обработена в съответствие с настоящата директива, се съхранява за срок, не по-дълъг от необходимия за постигане на целите на настоящата директива, и при всички случаи в съответствие с националните правила на всеки администратор на данни относно давностните срокове.

6. Държава членка, в която е възникнало нарушение на сигурността на данните, докладва незабавно на Комисията за нарушението на сигурността на данните и всички последващи действия за справяне с него. Комисията незабавно информира всички държави членки за нарушението на сигурността на данните, за което е ѝ е било докладвано или е получила сведения, както и за всички действия за справяне с него.

Всяка държава членка може да спре обмена на информация с държавата(ите) членка(и), в която(които) е възникнало нарушението на сигурността на данните, като уведоми писмено Комисията и засегнатата(ите) държава(и) членка(и). Действието на такова спиране е незабавно.

Държавата(ите) членка(и), в която(които) е възникнало нарушение на сигурността на данните, разследва(т) и овладява(т) нарушението на данни и предприема(т) действия за справяне с него, както и иска(т) спирането на достъпа до CCN за целите на настоящата директива, като уведомят писмено Комисията, ако нарушението на сигурността на данните не може да бъде овладяно незабавно и по подходящ начин. При такова искане Комисията спира достъпа до CCN на тази(тези) държава(и) членка(и) за целите на настоящата директива.

След като държавата членка, в която е възникнало нарушение на сигурността на данните, докладва справяне с нарушението на сигурността на данните, Комисията възобновява достъпа до CCN на засегнатата(ите) държава(и) членка(и) за целите на настоящата директива. В случай че една или повече държави членки поискат от Комисията да проверят съвместно дали са предприети успешни действия за справяне с нарушението на сигурността на данните, Комисията възобновява достъпа до CCN на тази(тези) държава(и) членка(и) за целите на настоящата директива след извършване на такава проверка.

При нарушение на сигурността на данните в централния регистър или CCN за целите на настоящата директива и когато е възможно да бъде засегнат обменът на информация между държавите членки чрез CCN, Комисията информира без ненужно забавяне държавите членки за нарушението на сигурността на данните и за предприетите действия за справяне с него. Такива действия за справяне с нарушението могат да включват спиране на достъпа до централния регистър или CCN за целите на настоящата директива до отстраняването на нарушението на сигурността на данните.

7. Държавите членки, подпомагани от Комисията, се споразумяват по практическите договорености, необходими за прилагането на настоящия член, в т.ч. процедурите по управление на нарушенията на сигурността на данните, които са съобразени с международно признати добри практики и, когато е целесъобразно, съвместно споразумение между администратори на лични данни, споразумение между обработващи лични данни и администратори на лични данни или образци на такива споразумения.