Член 25

Защита на данните

1.По отношение на обработването на лични данни съгласно настоящия регламент се прилага Регламент (ЕС) 2016/679. По отношение на обработването на лични данни, което съгласно настоящия регламент се осъществява от Комисията или ЕБО, се прилага Регламент (ЕС) 2018/1725.

2.Личните данни се обработват от доставчиците на платежни услуги и доставчиците на услуги за криптоактиви въз основа на настоящия регламент единствено за целите на предотвратяването на изпирането на пари и финансирането на тероризма и не се обработват допълнително по начин, несъвместим с тези цели. Забранява се обработката на лични данни въз основа на настоящия регламент за търговски цели.

3.Доставчиците на платежни услуги и доставчиците на услуги за криптоактиви предоставят на новите клиенти информацията, изисквана съгласно член 13 от Регламент (ЕС) 2016/679, преди да установят делови взаимоотношения или да извършат случайна трансакция. Тази информация се предоставя в кратка, прозрачна, разбираема и леснодостъпна форма в съответствие с член 12 от Регламент (ЕС) 2016/679 и включва по-специално общо уведомление относно правните задължения на доставчиците на платежни услуги и доставчиците на услуги за криптоактиви по настоящия регламент при обработката на лични данни за целите на предотвратяването на изпирането на пари и финансирането на тероризма.

4.Доставчиците на платежни услуги и доставчиците на услуги за криптоактиви гарантират по всяко време, че предаването на каквито и да е лични данни относно страните, участващи в даден превод на средства или в прехвърляне на криптоактиви, се извършва в съответствие с Регламент (ЕС) 2016/679.

След консултация с ЕБО Европейският комитет по защита на данните издава насоки относно практическото прилагане на изискванията за защита на данните при предаването на лични данни на трети държави в контекста на прехвърляне на криптоактиви. ЕБО издава насоки относно подходящи процедури за определяне дали да се извърши, откаже, върне или спре прехвърляне на криптоактиви, когато при прехвърлянето на лични данни към трети държави не може да се гарантира спазването на изискванията за защита на данните.