Закон за защита на личните данни
Отговор, предоставен от
PortalTRZnormativi.bg
PortalTRZnormativi.bg
01 Авг 2019
В сила от 01.01.2002 г.
Обн. ДВ. бр.1 от 4 Януари 2002г., изм. ДВ. бр.70 от 10 Август 2004г., изм. ДВ. бр.93 от 19 Октомври 2004г., изм. ДВ. бр.43 от 20 Май 2005г., изм. ДВ. бр.103 от 23 Декември 2005г., изм. ДВ. бр.30 от 11 Април 2006г., изм. ДВ. бр.91 от 10 Ноември 2006г., изм. ДВ. бр.57 от 13 Юли 2007г., изм. ДВ. бр.42 от 5 Юни 2009г., изм. ДВ. бр.94 от 30 Ноември 2010г., изм. ДВ. бр.97 от 10 Декември 2010г., изм. ДВ. бр.39 от 20 Май 2011г., изм. ДВ. бр.81 от 18 Октомври 2011г., изм. ДВ. бр.105 от 29 Декември 2011г., изм. и доп. ДВ. бр.15 от 15 Февруари 2013г., доп. ДВ. бр.81 от 14 Октомври 2016г., изм. ДВ. бр.85 от 24 Октомври 2017г., доп. ДВ. бр.103 от 28 Декември 2017г., изм. ДВ. бр.7 от 19 Януари 2018г., изм. и доп. ДВ. бр.17 от 26 Февруари 2019г.
Обн. ДВ. бр.1 от 4 Януари 2002г., изм. ДВ. бр.70 от 10 Август 2004г., изм. ДВ. бр.93 от 19 Октомври 2004г., изм. ДВ. бр.43 от 20 Май 2005г., изм. ДВ. бр.103 от 23 Декември 2005г., изм. ДВ. бр.30 от 11 Април 2006г., изм. ДВ. бр.91 от 10 Ноември 2006г., изм. ДВ. бр.57 от 13 Юли 2007г., изм. ДВ. бр.42 от 5 Юни 2009г., изм. ДВ. бр.94 от 30 Ноември 2010г., изм. ДВ. бр.97 от 10 Декември 2010г., изм. ДВ. бр.39 от 20 Май 2011г., изм. ДВ. бр.81 от 18 Октомври 2011г., изм. ДВ. бр.105 от 29 Декември 2011г., изм. и доп. ДВ. бр.15 от 15 Февруари 2013г., доп. ДВ. бр.81 от 14 Октомври 2016г., изм. ДВ. бр.85 от 24 Октомври 2017г., доп. ДВ. бр.103 от 28 Декември 2017г., изм. ДВ. бр.7 от 19 Януари 2018г., изм. и доп. ДВ. бр.17 от 26 Февруари 2019г.
Глава първа.
Общи положения
Чл. 1. (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 17 от 2019 г.) (1) Този закон урежда обществените отношения, свързани със защитата на правата на физическите лица при обработване на личните им данни, доколкото същите не са уредени в Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (ОВ, L 119/1 от 4 май 2016 г.), наричан по-нататък "Регламент (ЕС) 2016/679".
(2) С този закон се определят и правила във връзка със защитата на физическите лица при обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществения ред и сигурност и тяхното предотвратяване.
(3) Целта на закона е да осигури защита на физическите лица във връзка с обработването на лични данни в съответствие с Регламент (ЕС) 2016/679, както и във връзка с обработването на лични данни от компетентните органи за целите по ал. 2.
(4) Този закон урежда и:
1. статута на Комисията за защита на личните данни като надзорен орган, отговорен за защита на основните права и свободи на физическите лица във връзка с обработването и улесняването на свободното движение на лични данни в Европейския съюз;
2. правомощията на Инспектората към Висшия съдебен съвет при осъществяването на надзор при обработването на лични данни в случаите по чл. 17;
3. средствата за правна защита;
4. акредитирането и сертифицирането в областта на защитата на личните данни;
5. особени случаи на обработване на лични данни.
(5) Този закон не се прилага за обработването на лични данни за целите на отбраната на страната и националната сигурност, доколкото в специален закон не е предвидено друго.
(6) Този закон не се прилага за обработването на лични данни на починали лица, освен в случаите по чл. 25е.
(7) При обработването на лични данни по чл. 2 от Регламент (ЕС) 2016/679 държавите, които са страни по Споразумението за Европейското икономическо пространство, и Конфедерация Швейцария са равнопоставени на държавите - членки на Европейския съюз. Всички други държави са трети държави.
(8) При обработването на лични данни за целите по чл. 42, ал. 1 държавите, участващи в изпълнението, прилагането и развитието на достиженията на правото от Шенген, са равнопоставени на държавите - членки на Европейския съюз. Всички други държави са трети държави.
Чл. 2. (Доп. - ДВ, бр. 70 от 2004 г., в сила от 01.01.2005 г., изм. - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 17 от 2019 г.)
Чл. 3. (Отм. - ДВ, бр. 17 от 2019 г.)
Чл. 4. (Изм. - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 17 от 2019 г.)
Чл. 5. (Изм. - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 17 от 2019 г.)
Глава втора.
Комисия за защита на личните данни
Чл. 6. (1) (Изм. - ДВ, бр. 17 от 2019 г.) Комисията за защита на личните данни, наричана по-нататък "комисията", е постоянно действащ независим надзорен орган, който осъществява защитата на лицата при обработването на техните лични данни и при осъществяването на достъпа до тези данни, както и контрола по спазването на Регламент (ЕС) 2016/679 и на този закон.
(2) (Нова - ДВ, бр. 94 от 2010 г.) Комисията съдейства за провеждането на държавната политика в областта на защита на личните данни.
(3) (Доп. - ДВ, бр. 91 от 2006 г., в сила от 01.01.2007 г., предишна ал. 2 - ДВ, бр. 94 от 2010 г., изм. - ДВ, бр. 15 от 2013 г., в сила от 01.01.2014 г., изм. - ДВ, бр. 17 от 2019 г.) Комисията е юридическо лице на бюджетна издръжка със седалище София, а нейният председател е първостепенен разпоредител с бюджет.
Чл. 7. (1) Комисията е колегиален орган и се състои от председател и 4 членове.
(2) (Изм. - ДВ, бр. 91 от 2006 г., доп. - ДВ, бр. 17 от 2019 г.) Членовете на комисията и председателят ѝ се избират от Народното събрание по предложение на Министерския съвет за срок 5 години и могат да бъдат преизбирани за още един мандат. Председателят и членовете на комисията изпълняват функциите си и след изтичането на мандата им до избора на новите председател и членове.
(3) Председателят и членовете на комисията осъществяват своята дейност по трудово правоотношение.
(4) (Нова - ДВ, бр. 91 от 2006 г.) Членовете на комисията получават основно месечно възнаграждение, равно на 2,5 средномесечни работни заплати на наетите лица по трудово и служебно правоотношение в обществения сектор съобразно данни на Националния статистически институт. Основното месечно възнаграждение се преизчислява всяко тримесечие, като се взема предвид средномесечната работна заплата за последния месец от предходното тримесечие.
(5) (Нова - ДВ, бр. 91 от 2006 г.) Председателят на комисията получава месечно възнаграждение с 30 на сто по-високо от основното месечно възнаграждение по ал. 4.
(6) (Изм. - ДВ, бр. 103 от 2005 г., предишна ал. 4 - ДВ, бр. 91 от 2006 г., изм. - ДВ, бр. 17 от 2019 г.) Комисията до 31 март всяка година представя годишен отчет за своята дейност пред Народното събрание.
Чл. 8. (1) За членове на комисията могат да бъдат избирани български граждани, които:
1. имат висше образование по информатика, по право или са магистри по информационни технологии;
2. имат трудов стаж по специалността си не по-малко от 10 години;
3. (доп. - ДВ, бр. 103 от 2005 г.) не са осъждани на лишаване от свобода за умишлени престъпления от общ характер, независимо дали са реабилитирани;
(2) Членове на комисията не могат:
1. (изм. - ДВ, бр. 103 от 2005 г.) да бъдат лица, които са еднолични търговци, управители/прокуристи или членове на управителни или на контролни органи на търговски дружества, кооперации или администратори на лични данни по смисъла на този закон;
2. да заемат друга платена длъжност, освен когато упражняват научна или преподавателска дейност;
3. (нова - ДВ, бр. 42 от 2009 г.) да бъдат лица, които са съпрузи или се намират във фактическо съжителство, роднини по права линия, по съребрена линия - до четвърта степен включително, или по сватовство - до втора степен включително, с друг член на комисията.
(3) За председател на комисията се избира правоспособен юрист, който отговаря на изискванията по ал. 1 и 2.
(4) Мандатът на председателя или член на комисията се прекратява предсрочно:
1. при смърт или поставяне под запрещение;
2. по решение на Народното събрание, когато:
а) е подал молба за освобождаване;
б) е извършил грубо нарушение на този закон;
в) е извършил умишлено престъпление от общ характер, за което има влязла в сила присъда;
г) е налице невъзможност да изпълнява задълженията си за срок по-дълъг от шест месеца;
д) (нова - ДВ, бр. 42 от 2009 г., изм. - ДВ, бр. 97 от 2010 г., в сила от 10.12.2010 г., изм. - ДВ, бр. 7 от 2018 г.) е налице влязъл в сила акт, с който е установен конфликт на интереси по Закона за противодействие на корупцията и за отнемане на незаконно придобитото имущество.
(5) (Изм. и доп. - ДВ, бр. 103 от 2005 г.) В случаите по ал. 4 Министерският съвет предлага на Народното събрание да избере нов член за срок до края на първоначалния мандат на съответния член на комисията.
(6) Времето, през което лицето е работило като председател или член на комисията, се признава и за служебен стаж по Закона за държавния служител.
(7) (Нова - ДВ, бр. 103 от 2017 г., в сила от 01.01.2018 г.) Обстоятелствата по ал. 1, т. 3 се установяват служебно от органа, който прави предложението.
Чл. 9. (1) (Изм. - ДВ, бр. 17 от 2019 г.) При осъществяването на своята дейност комисията се подпомага от администрация.
(2) (Изм. - ДВ, бр. 17 от 2019 г.) Комисията урежда в правилник своята дейност, дейността на администрацията си и реда за разглеждане на производствата пред нея и го обнародва в "Държавен вестник".
(3) Решенията на комисията се вземат с мнозинство от общия брой на членовете ѝ.
(4) Заседанията на комисията са открити. Комисията може да реши отделни заседания да бъдат закрити.
Чл. 10. (1) (Нова - ДВ, бр. 17 от 2019 г.) Комисията изпълнява задачите по чл. 57 от Регламент (ЕС) 2016/679.
(2) (Отм., предишна ал. 1, изм. - ДВ, бр. 17 от 2019 г.) Освен задачите по ал. 1, комисията:
1. анализира и осъществява цялостен надзор и осигурява спазването на Регламент (ЕС) 2016/679, на този закон и на нормативните актове в областта на защитата на лични данни, освен в случаите по чл. 17;
2. издава подзаконови нормативни актове в областта на защитата на личните данни;
3. осигурява прилагането на решенията на Европейската комисия в областта на защитата на личните данни и изпълнението на задължителните решения на Европейския комитет по защита на данните по чл. 65 от Регламент (ЕС) 2016/679;
4. участва в международното сътрудничество с други органи по защита на личните данни и международните организации по въпросите в областта на защитата на личните данни;
5. участва в преговорите и сключването на двустранни или многостранни споразумения по въпроси от своята компетентност;
6. организира, координира и провежда обучение в областта на защитата на личните данни;
7. издава общи и нормативни административни актове, свързани с правомощията ѝ, в случаите, предвидени в закон.
(3) (Доп. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г.) Комисията издава бюлетин, в който публикува информация за своята дейност и за взетите решения. В бюлетина се публикува и отчетът по чл. 7, ал. 6.
(4) (Нова - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г., отм. - ДВ, бр. 17 от 2019 г.)
Чл. 10а. (Нов - ДВ, бр. 17 от 2019 г.) (1) Комисията упражнява правомощията по чл. 58 от Регламент (ЕС) 2016/679.
(2) Комисията има и следните правомощия:
1. сезира съда за нарушаване на Регламент (ЕС) 2016/679;
2. дава указания, издава насоки, препоръки и най-добри практики във връзка със защитата на личните данни.
Чл. 10б. (Нов - ДВ, бр. 17 от 2019 г.) На комисията може да се възлагат други задачи и правомощия само със закон.
Чл. 10в. (Нов - ДВ, бр. 17 от 2019 г.) (1) Комисията участва в механизма за съгласуваност по чл. 63 от Регламент (ЕС) 2016/679 и осъществява сътрудничество с водещия или със засегнатите надзорни органи на държавите - членки на Европейския съюз, включително като обменя информация, предоставя или иска взаимопомощ или участва в съвместни операции съгласно Регламент (ЕС) 2016/679.
(2) Формите на участие в механизма за съгласуваност, предоставянето и искането на взаимопомощ и участието в съвместни операции, както и процедурите, по които те се осъществяват, се определят с правилника по чл. 9, ал. 2.
Чл. 10г. (Нов - ДВ, бр. 17 от 2019 г.) При упражняване на задачите и правомощията си по отношение на администратори или обработващи лични данни, които са микропредприятия, малки и средни предприятия по смисъла на чл. 3 от Закона за малките и средните предприятия, комисията взема предвид техните специални потребности и налични ресурси.
Чл. 11. Председателят на комисията:
1. организира и ръководи дейността на комисията съобразно закона и решенията на комисията и отговаря за изпълнението на задълженията ѝ;
2. представлява комисията пред трети лица;
3. (доп. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 81 от 2011 г.) назначава и освобождава държавните служители и сключва и прекратява трудовите договори на служителите по трудови правоотношения от администрацията.
4. (нова - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 17 от 2019 г.) издава наказателни постановления по чл. 87, ал. 3.
Чл. 12. (Изм. - ДВ, бр. 91 от 2006 г.) (1) (Изм. - ДВ, бр. 17 от 2019 г.) Председателят и членовете на комисията или упълномощени от нея лица от администрацията ѝ осъществяват контрол чрез предварителни консултации, проверки и съвместни операции за спазване на Регламент (ЕС) 2016/679 и на този закон.
(2) (Изм. - ДВ, бр. 17 от 2019 г.) Освен в случаите по чл. 36, параграф 1 от Регламент (ЕС) 2016/679 предварителни консултации се извършват и когато се обработват лични данни в изпълнение на задача в обществен интерес, включително обработване във връзка със социалната закрила и общественото здраве. В този случай комисията може да разреши обработването преди изтичането на срока по чл. 36, параграф 2 от Регламент (ЕС) 2016/679.
(3) (Изм. - ДВ, бр. 17 от 2019 г.) Предварителните консултации се извършват съгласно чл. 36, параграфи 2 и 3 от Регламент (ЕС) 2016/679.
(4) (Изм. - ДВ, бр. 17 от 2019 г.) Проверки се извършват по инициатива на комисията, по жалба на заинтересовани лица или след подаден сигнал.
(5) Проверяващите лица се легитимират със служебна карта и заповед на председателя на комисията за съответната проверка.
(6) При извършване на проверки лицата по ал. 1 могат да възлагат изготвяне на експертизи по реда на Гражданския процесуален кодекс.
(7) Проверката завършва с констативен акт.
(8) (Изм. - ДВ, бр. 17 от 2019 г.) Когато в хода на проверката се установи административно нарушение, се образува административнонаказателно производство.
(9) (Нова - ДВ, бр. 17 от 2019 г.) Независимо от административното наказание, при установяване на административно нарушение може да се приложи принудителна административна мярка по глава девета.
(10) (Предишна ал. 9 - ДВ, бр. 17 от 2019 г.) Условията и редът за осъществяване на контрол се определят с инструкция на комисията.
(11) (Нова - ДВ, бр. 17 от 2019 г.) Съвместни операции с надзорни органи на други държави - членки на Европейския съюз, съгласно чл. 62 от Регламент (ЕС) 2016/679 се извършват по целесъобразност за съвместни разследвания и съвместни мерки за изпълнение и в тях участват освен лицата по ал. 1 и членове или упълномощени представители от надзорния орган на съответната държава - членка на Европейския съюз.
Чл. 12а. (Нов - ДВ, бр. 17 от 2019 г.) (1) При поискване администраторът и обработващият лични данни оказват съдействие на комисията при изпълнение на нейните задачи и правомощия.
(2) Когато при упражняването на правомощията на комисията по чл. 58, параграф 1, букви "д" и "е" от Регламент (ЕС) 2016/679 може да се наруши задължение на администратора или обработващия лични данни за опазване на професионална тайна или друго задължение за опазване на тайна, произтичащо от закон, администраторът или обработващият лични данни отказва предоставяне или достъп само до информацията, защитена като тайна.
(3) Когато информацията съдържа данни, представляващи класифицирана информация, се прилага редът за достъп по Закона за защита на класифицираната информация.
Чл. 13. (Изм. - ДВ, бр. 103 от 2005 г.) (1) Председателят и членовете на комисията и служителите от нейната администрация са длъжни да не разгласяват и да не се възползват за свое или чуждо облагодетелстване от информацията, представляваща защитена от закон тайна, която им е станала известна при осъществяване на тяхната дейност, до изтичане на срока за защитата ѝ.
(2) При постъпване на работа лицата по ал. 1 подават декларация за задълженията си по ал. 1.
(3) (Нова - ДВ, бр. 17 от 2019 г.) Председателят, членовете на комисията и служителите от администрацията, назначени по трудово правоотношение, имат право ежегодно на представително облекло на стойност до две минимални работни заплати, като средствата се осигуряват от бюджета на комисията. Индивидуалният размер на средствата се определя от председателя на комисията при условия и по ред, определени с правилника по чл. 9, ал. 2.
Чл. 14. (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 17 от 2019 г.) (1) Комисията извършва акредитация на сертифициращи органи в съответствие с Регламент (ЕС) 2016/679 въз основа на изисквания, определени от нея или от Европейския комитет по защита на данните.
(2) Акредитацията се издава съгласно чл. 43, параграф 2 от Регламент (ЕС) 2016/679 за срок 5 години и може да се поднови.
(3) Комисията отнема акредитацията на сертифициращ орган, когато не са спазени условията за акредитация или когато предприетите от сертифициращия орган действия нарушават този закон или Регламент (ЕС) 2016/679.
(4) Решенията на комисията за отнемане на акредитация по ал. 3 може да се обжалват по реда на Административнопроцесуалния кодекс.
(5) Условията, включително изискванията по ал. 1, и редът за акредитация и отнемане на акредитацията се определят с наредба, приета от комисията. Наредбата се обнародва в "Държавен вестник".
(6) Критериите, механизмите и процедурите за сертифициране, печати и маркировки се определят с наредба, приета от комисията. Наредбата се обнародва в "Държавен вестник".
Чл. 14а. (Нов - ДВ, бр. 17 от 2019 г.) (1) Комисията одобрява проекти на кодекси за поведение по сектори и области на дейност съгласно чл. 40 от Регламент (ЕС) 2016/679. Условията, редът и критериите за одобряване на кодексите за поведение се определят с правилника по чл. 9, ал. 2.
(2) Комисията извършва акредитация на органи за наблюдение на одобрени кодекси за поведение по ал. 1 в съответствие с чл. 41 от Регламент (ЕС) 2016/679.
(3) Изискванията за акредитация по ал. 2 и редът за акредитация и отнемане на акредитацията се определят с наредба, приета от комисията. Наредбата се обнародва в "Държавен вестник".
(4) Комисията отнема акредитацията на орган за наблюдение на одобрени кодекси за поведение, когато не са спазени изискванията за акредитация, или когато предприетите от органа действия нарушават този закон или Регламент (ЕС) 2016/679.
(5) Решенията на комисията за отнемане на акредитация по ал. 4 може да се обжалват по реда на Административнопроцесуалния кодекс.
Чл. 15. (Отм. - ДВ, бр. 103 от 2005 г., нов - ДВ, бр. 17 от 2019 г.) (1) Комисията води следните публични регистри:
1. регистър на администраторите и обработващите лични данни, които са определили длъжностни лица по защита на данните;
2. регистър на акредитираните по чл. 14 сертифициращи органи;
3. регистър на кодексите за поведение по чл. 40 от Регламент (ЕС) 2016/679.
(2) Комисията води следните регистри, които не са публични:
1. регистър на нарушенията на Регламент (ЕС) 2016/679 и на този закон, както и на предприетите мерки в съответствие с упражняването на правомощията по чл. 58, параграф 2 от Регламент (ЕС) 2016/679;
2. регистър на уведомленията за нарушения на сигурността на личните данни по чл. 33 от Регламент (ЕС) 2016/679 и по чл. 67.
(3) Редът за създаване и поддържане на регистрите по ал. 1 и 2 и достъпът до тях се определят съгласно Закона за електронното управление, а съдържанието им - с правилника по чл. 9, ал. 2.
Чл. 16. (Изм. - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 91 от 2006 г., нов - ДВ, бр. 17 от 2019 г.) (1) Условията и редът за провеждане на обучение по чл. 10, ал. 2, т. 6 се определят с правилника по чл. 9, ал. 2.
(2) Комисията издава сертификат на лицата, преминали обучение по ал. 1, след успешно положен изпит. Сертификатът се издава за срок три години. След изтичането на срока по изречение второ сертификат се подновява след успешно положен изпит при условия и по ред, определени с правилника по чл. 9, ал. 2.
(3) Наличието на сертификат по ал. 2 не може да бъде задължително условие за назначаване или изпълнение на функциите на длъжностно лице по защита на данните.
(4) За обучението по ал. 1 се събират такси, освен в случаите на обучение, организирано и проведено по инициатива на комисията. Таксите се определят с тарифа, одобрена от Министерския съвет по предложение на комисията.
Глава трета.
Инспекторат към висшия съдебен съвет
(загл. Изм. - дв, бр. 103 от 2005 г., изм. - дв, бр. 17 от 2019 г.)
Чл. 17. (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г., изм. - ДВ, бр. 17 от 2019 г.) (1) Инспекторатът към Висшия съдебен съвет, наричан по-нататък "инспектората", осъществява надзор и осигурява спазването на Регламент (ЕС) 2016/679, на този закон и на нормативните актове в областта на защитата на личните данни при обработване на лични данни от:
1. съда при изпълнение на функциите му на орган на съдебната власт, и
2. прокуратурата и следствените органи при изпълнение на функциите им на органи на съдебната власт за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания.
(2) Редът за осъществяване на дейността по ал. 1, включително за извършване на проверки и за разглеждане на производствата пред инспектората, се определя с правилника по чл. 55, ал. 8 от Закона за съдебната власт.
(3) При осъществяване на надзора по ал. 1 се прилага и чл. 12а.
Чл. 17а. (Нов - ДВ, бр. 91 от 2006 г., изм. - ДВ, бр. 17 от 2019 г.) (1) При осъществяване на надзора при обработване на лични данни от съда при изпълнение на функциите му на орган на съдебната власт, освен при обработване на лични данни за целите по чл. 42, ал. 1 инспекторатът:
1. изпълнява задачите по чл. 57, параграф 1, букви "а" - "и", "л", "ф" и "х" и параграфи 2 и 3 от Регламент (ЕС) 2016/679;
2. упражнява правомощията по чл. 58, параграф 1, букви "а", "б", "г", "д", "е", параграф 2, букви "а" - "ж", "и" и "й" и параграф 3, букви "а", "б" и "в" от Регламент (ЕС) 2016/679;
3. прилага съответно списъка, изготвен от комисията съгласно чл. 35, параграф 4 от Регламент (ЕС) 2016/679 във връзка с изискването за оценка на въздействието върху защитата на данните;
4. сезира съда за нарушаване на Регламент (ЕС) 2016/679.
(2) Освен задачите и правомощията по ал. 1 инспекторатът:
1. участва в международното сътрудничество с други органи по защита на личните данни и международните организации по въпросите в областта на защитата на личните данни;
2. дава указания, издава насоки, препоръки и най-добри практики във връзка със защитата на личните данни.
(3) При осъществяване на надзора при обработване на лични данни за целите по чл. 42, ал. 1 от съда, прокуратурата и следствените органи при изпълнение на функциите им на органи на съдебната власт инспекторатът изпълнява задачите и упражнява правомощията по глава осма.
Чл. 17б. (Нов - ДВ, бр. 91 от 2006 г., изм. - ДВ, бр. 17 от 2019 г.) (1) Инспекторатът извършва предварителни консултации:
1. в случаите по чл. 36, параграф 1 от Регламент (ЕС) 2016/679;
2. при обработване на лични данни в изпълнение на задача в обществен интерес; в този случай инспекторатът може да разреши обработването преди изтичането на срока по чл. 36, параграф 2 от Регламент (ЕС) 2016/679.
(2) Предварителните консултации се извършват съгласно чл. 36, параграфи 2 и 3 от Регламент (ЕС) 2016/679.
Чл. 18. (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 17 от 2019 г.) (1) При осъществяване на надзора по чл. 17, ал. 1 инспекторатът извършва проверки, предвидени в годишната му програма или по сигнали. За сигнал се приема и публикация в средствата за масово осведомяване.
(2) Проверката се извършва от главния инспектор или от инспектор, който се подпомага от експерти, въз основа на заповед на главния инспектор.
Чл. 19. (Доп. - ДВ, бр. 93 от 2004 г., изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 17 от 2019 г.) (1) Проверката приключва с акт за резултати, в който се отразяват направените констатации и при необходимост се правят препоръки.
(2) Когато при проверката бъде установено нарушение на Регламент (ЕС) 2016/679 и на този закон, в зависимост от характера и степента на нарушението се прилагат мерките по чл. 58, параграф 2, букви "а" - "ж" и "й" от Регламент (ЕС) 2016/679 или по чл. 80, ал. 1, т. 3, 4 и 5 и/или се налагат административни наказания в съответствие с чл. 83 от Регламент (ЕС) 2016/679, както и по глава девета.
(3) Мерките по чл. 58, параграф 2, букви "а" - "ж" и "й" от Регламент (ЕС) 2016/679 и по чл. 80, ал. 1, т. 3, 4 и 5 се прилагат с решение на инспектората по предложение на инспектора, извършил проверката.
Чл. 20. (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 17 от 2019 г.) (1) Главният инспектор, инспекторите и съдебните служители в администрацията на инспектората са длъжни да не разгласяват и да не се възползват за свое или чуждо облагодетелстване от информацията, представляваща защитена от закон тайна, която им е станала известна при осъществяване на тяхната дейност по този закон, до изтичане на срока за защитата ѝ.
Чл. 21. (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 17 от 2019 г.) (1) Инспекторатът води следните регистри, които не са публични:
1. регистър на нарушенията на Регламент (ЕС) 2016/679 и на този закон, както и на предприетите мерки в съответствие с упражняването на правомощията по чл. 58, параграф 2, букви "а" - "ж", "и" и "й" от Регламент (ЕС) 2016/679;
2. регистър на уведомленията за нарушения на сигурността на личните данни по чл. 33 от Регламент (ЕС) 2016/679 и по чл. 67.
(2) Редът за създаване и поддържане на регистрите по ал. 1 и достъпът до тях се определят съгласно Закона за електронното управление, а съдържанието им - с правилника по чл. 55, ал. 8 от Закона за съдебната власт.
Чл. 22. (Изм. - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 17 от 2019 г.)
Чл. 22а. (Нов - ДВ, бр. 91 от 2006 г., отм. - ДВ, бр. 17 от 2019 г.)
Глава четвърта.
Защита на личните данни
(отм. - дв, бр. 17 от 2019 г.)
Чл. 23. (Изм. - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 17 от 2019 г.)
Чл. 23а. (Нов - ДВ, бр. 81 от 2011 г., отм. - ДВ, бр. 17 от 2019 г.)
Чл. 23б. (Нов - ДВ, бр. 81 от 2011 г., отм. - ДВ, бр. 17 от 2019 г.)
Чл. 24. (Отм. - ДВ, бр. 17 от 2019 г.)
Чл. 25. (Отм. - ДВ, бр. 17 от 2019 г.)
Глава четвърта "а".
Общи правила при обработване на лични данни. Особени случаи на обработване на лични данни (нова - дв, бр. 17 от 2019 г.)
Чл. 25а. (Нов - ДВ, бр. 17 от 2019 г.) Когато лични данни са предоставени от субекта на данни на администратор или обработващ лични данни без правно основание по чл. 6, параграф 1 от Регламент (ЕС) 2016/679 или в противоречие с принципите по чл. 5 от същия регламент, в срок един месец от узнаването администраторът или обработващият лични данни ги връща, а ако това е невъзможно или изисква несъразмерно големи усилия, ги изтрива или унищожава. Изтриването и унищожаването се документират.
Чл. 25б. (Нов - ДВ, бр. 17 от 2019 г.) Администраторът и обработващият лични данни уведомяват комисията за имената, единния граждански номер или личния номер на чужденец или друг аналогичен идентификатор, и за данните за контакт на длъжностното лице по защита на данните, както и за последващи промени в тях. Формата и съдържанието на уведомлението и редът за подаването му се определят с правилника по чл. 9, ал. 2.
Чл. 25в. (Нов - ДВ, бр. 17 от 2019 г.) Обработването на данни на субект на данни - лице, ненавършило 14 години, въз основа на съгласие по смисъла на чл. 4, т. 11 от Регламент (ЕС) 2016/679, включително в случаите на пряко предлагане на услуги на информационното общество по смисъла на чл. 1, ал. 3 от Закона за електронната търговия, е законосъобразно само ако съгласието е дадено от упражняващия родителски права родител или от настойника на субекта на данните.
Чл. 25г. (Нов - ДВ, бр. 17 от 2019 г.) Администратор или обработващ лични данни може да копира документ за самоличност, свидетелство за управление на моторно превозно средство или документ за пребиваване само ако това е предвидено със закон.
Чл. 25д. (Нов - ДВ, бр. 17 от 2019 г.) (1) Администраторът или обработващият лични данни приема и прилага правила при мащабно обработване на лични данни или при систематично мащабно наблюдение на публично достъпни зони, включително чрез видеонаблюдение, с които въвежда подходящи технически и организационни мерки за защита на правата и свободите на субектите на данни. Правилата за систематично мащабно наблюдение на публично достъпни зони съдържат правните основания и целите за изграждане на система за наблюдение, териториалния обхват на наблюдение и средствата за наблюдение, срока на съхранение на записите с информация и изтриването им, правото на достъп от страна на наблюдаваните лица, информиране на обществеността за осъществяваното наблюдение, както и ограничения при предоставяне на достъп до информацията на трети лица.
(2) Комисията дава насоки на администраторите и на обработващите лични данни при изпълнение на задължението им по ал. 1, които публикува на Интернет страницата си.
Чл. 25е. (Нов - ДВ, бр. 17 от 2019 г.) (1) Администраторът или обработващият лични данни може да обработва лични данни на починали лица само при наличие на правно основание за това. В тези случаи администраторът или обработващият лични данни предприема подходящи мерки за недопускане на неблагоприятно засягане на правата и свободите на други лица или на обществен интерес.
(2) Администраторът осигурява при поискване достъп до лични данни на починало лице, включително предоставя копие от тях, на наследниците му или на други лица с правен интерес.
Чл. 25ж. (Нов - ДВ, бр. 17 от 2019 г.) (1) Свободен публичен достъп до информация, съдържаща единен граждански номер или личен номер на чужденец, не се допуска, освен ако закон предвижда друго.
(2) Администраторите, предоставящи услуги по електронен път, предприемат подходящи технически и организационни мерки, които не позволяват единният граждански номер или личният номер на чужденец да е единственото средство за идентификация на потребителя при предоставяне на отдалечен достъп до съответната услуга.
(3) За целите на предоставяне на административни услуги по електронен път при условията на Закона за електронното управление администраторът осигурява възможност на субекта на данни да се идентифицира по ред, предвиден със закон.
Чл. 25з. (Нов - ДВ, бр. 17 от 2019 г.) (1) Обработването на лични данни за журналистически цели, както и за академичното, художественото или литературното изразяване, е законосъобразно, когато се извършва за осъществяване на свободата на изразяване и правото на информация, при зачитане на неприкосновеността на личния живот.
(2) При разкриване чрез предаване, разпространяване или друг начин, по който лични данни, събрани за целите по ал. 1, стават достъпни, балансът между свободата на изразяване и правото на информация и правото на защита на личните данни се преценява въз основа на следните критерии, доколкото са относими:
1. естеството на личните данни;
2. влиянието, което разкриването на личните данни или тяхното обществено оповестяване би оказало върху неприкосновеността на личния живот на субекта на данни и неговото добро име;
3. обстоятелствата, при които личните данни са станали известни на администратора;
4. характера и естеството на изявлението, чрез което се упражняват правата по ал. 1;
5. значението на разкриването на лични данни или общественото им оповестяване за изясняването на въпрос от обществен интерес;
6. отчитане дали субектът на данни е лице, което заема длъжност по чл. 6 от Закона за противодействие на корупцията и за отнемане на незаконно придобитото имущество, или е лице, което поради естеството на своята дейност или ролята му в обществения живот е с по-занижена защита на личната си неприкосновеност или чиито действия имат влияние върху обществото;
7. отчитане дали субектът на данни с действията си е допринесъл за разкриване на свои лични данни и/или информация за личния си и семеен живот;
8. целта, съдържанието, формата и последиците от изявлението, чрез което се упражняват правата по ал. 1;
9. съответствието на изявлението, чрез което се упражняват правата по ал. 1, с основните права на гражданите;
10. други обстоятелства, относими към конкретния случай.
(3) При обработване на лични данни за целите по ал. 1:
1. не се прилагат чл. 6, 9, 10, 30, 34 и глава пета от Регламент (ЕС) 2016/679, както и чл. 25в;
2. администраторът или обработващият лични данни може да откаже пълно или частично упражняването на правата на субектите на данни по чл. 12 - 21 от Регламент (ЕС) 2016/679.
(4) Упражняването на правомощията на комисията по чл. 58, параграф 1 от Регламент (ЕС) 2016/679 не може да води до разкриване на тайната на източника на информация.
(5) При обработването на лични данни за целите на създаване на фотографско или аудио-визуално произведение чрез заснемане на лице в хода на обществената му дейност или на обществено място не се прилагат чл. 6, чл. 12 - 21, чл. 30 и 34 от Регламент (ЕС) 2016/679.
Чл. 25и. (Нов - ДВ, бр. 17 от 2019 г.) (1) Работодател или орган по назначаването, в качеството си на администратор на лични данни, приема правила и процедури при:
1. използване на система за докладване на нарушения;
2. ограничения при използване на вътрешнофирмени ресурси;
3. въвеждане на системи за контрол на достъпа, работното време и трудовата дисциплина.
(2) Правилата и процедурите по ал. 1 съдържат информация относно обхвата, задълженията и методите за прилагането им на практика. С тях се отчитат предметът на дейност на работодателя или органа по назначаването и свързаното с него естество на работата и не може да се ограничават правата на субектите на данните по Регламент (ЕС) 2016/679 и по този закон.
(3) Работниците и служителите се уведомяват за правилата и процедурите по ал. 1.
Чл. 25к. (Нов - ДВ, бр. 17 от 2019 г.) (1) Работодател или орган по назначаването, в качеството си на администратор на лични данни, определя срок за съхранение на лични данни на участници в процедури по набиране и подбор на персонала, който не може да е по-дълъг от 6 месеца, освен ако кандидатът е дал своето съгласие за съхранение за по-дълъг срок. След изтичането на този срок работодателят или органът по назначаването изтрива или унищожава съхраняваните документи с лични данни, освен ако специален закон предвижда друго.
(2) Когато в процедура по ал. 1 работодателят или органът по назначаването е изискал да се представят оригинали или нотариално заверени копия на документи, които удостоверяват физическа и психическа годност на кандидата, необходимата квалификационна степен и стаж за заеманата длъжност, той връща тези документи на субекта на данни, който не е одобрен за назначаване, в 6-месечен срок от окончателното приключване на процедурата, освен ако специален закон предвижда друго.
Чл. 25л. (Нов - ДВ, бр. 17 от 2019 г.) Обработването на лични данни за целите на Националния архивен фонд на Република България е обработване в обществен интерес. В тези случаи не се прилагат чл. 15, 16, 18, 19, 20 и 21 от Регламент (ЕС) 2016/679.
Чл. 25м. (Нов - ДВ, бр. 17 от 2019 г.) При обработването на лични данни за статистически цели не се прилагат чл. 15, 16, 18 и 21 от Регламент (ЕС) 2016/679.
Чл. 25н. (Нов - ДВ, бр. 17 от 2019 г.) Лични данни, първоначално събрани за друга цел, може да се обработват за целите на Националния архивен фонд, за целите на научни или исторически изследвания или за статистически цели. В тези случаи администраторът прилага подходящи технически и организационни мерки, които гарантират правата и свободите на субекта на данни в съответствие с чл. 89, параграф 1 от Регламент (ЕС) 2016/679.
Чл. 25о. (Нов - ДВ, бр. 17 от 2019 г.) Обработването на лични данни за хуманитарни цели от публични органи или хуманитарни организации, както и обработването в случаите на бедствия по смисъла на Закона за защита при бедствия, е законосъобразно. В този случай не се прилагат чл. 12 - 21 и чл. 34 от Регламент (ЕС) 2016/679.
Глава пета.
Права на физическите лица
(загл. изм. - дв, бр. 103 от 2005 г., отм. - дв, бр. 17 от 2019 г.)
Чл. 26. (Отм. - ДВ, бр. 17 от 2019 г.)
Чл. 27. (Изм. - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 91 от 2006 г.)
Чл. 28. (Изм. - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 17 от 2019 г.)
Чл. 28а. (Нов - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 17 от 2019 г.)
Чл. 29. (Отм. - ДВ, бр. 17 от 2019 г.)
Чл. 30. (Изм. - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 17 от 2019 г.)
Чл. 31. (Отм. - ДВ, бр. 17 от 2019 г.)
Чл. 32. (Изм. - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 17 от 2019 г.)
Чл. 33. (Отм. - ДВ, бр. 17 от 2019 г.)
Чл. 34. (Отм. - ДВ, бр. 17 от 2019 г.)
Чл. 34а. (Нов - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 17 от 2019 г.)
Чл. 34б. (Нов - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 17 от 2019 г.)
Глава шеста.
Предоставяне на лични данни на трети лица
(отм. - дв, бр. 17 от 2019 г.)
Чл. 35. (Изм. - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 91 от 2006 г.)
Чл. 36. (Изм. - ДВ, бр. 103 от 2005 г., в сила до 01.01.2007 г., отм. - ДВ, бр. 17 от 2019 г.)
Чл. 36а. (Нов - ДВ, бр. 103 от 2005 г., в сила от 01.01.2007 г., отм. - ДВ, бр. 17 от 2019 г.)
Чл. 36б. (Нов - ДВ, бр. 103 от 2005 г., в сила от 01.01.2007 г., отм. - ДВ, бр. 17 от 2019 г.)
Чл. 36в. (Нов - ДВ, бр. 81 от 2011 г., отм. - ДВ, бр. 17 от 2019 г.)
Чл. 36г. (Нов - ДВ, бр. 81 от 2011 г., отм. - ДВ, бр. 17 от 2019 г.)
Чл. 36д. (Нов - ДВ, бр. 81 от 2011 г., отм. - ДВ, бр. 17 от 2019 г.)
Чл. 36е. (Нов - ДВ, бр. 81 от 2011 г., отм. - ДВ, бр. 17 от 2019 г.)
Чл. 36ж. (Нов - ДВ, бр. 81 от 2011 г., отм. - ДВ, бр. 17 от 2019 г.)
Чл. 36з. (Нов - ДВ, бр. 81 от 2011 г., отм. - ДВ, бр. 17 от 2019 г.)
Чл. 36и. (Нов - ДВ, бр. 81 от 2011 г., отм. - ДВ, бр. 17 от 2019 г.)
Чл. 37. (Отм. - ДВ, бр. 103 от 2005 г.)
Глава седма.
Упражняване на правата на субектите на данни. Средства за правна защита
(загл. изм. - дв, бр. 17 от 2019 г.)
Чл. 37а. (Нов - ДВ, бр. 17 от 2019 г.) (1) Администраторът или обработващият лични данни може да откаже пълно или частично упражняването на правата на субектите на данни по чл. 12 - 22 от Регламент (ЕС) 2016/679, както и да не изпълни задължението си по чл. 34 от Регламент (ЕС) 2016/679, когато упражняването на правата или изпълнението на задължението би създало риск за:
1. националната сигурност;
2. отбраната;
3. обществения ред и сигурност;
4. предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наложените наказания, включително предпазването от и предотвратяването на заплахи за обществения ред и сигурност;
5. други важни цели от широк обществен интерес и по-специално важен икономически или финансов интерес, включително паричните, бюджетните и данъчните въпроси, общественото здраве и социалната сигурност;
6. защитата на независимостта на съдебната власт и съдебните производства;
7. предотвратяването, разследването, разкриването и наказателното преследване на нарушения на етичните кодекси при регулираните професии;
8. защитата на субекта на данните или на правата и свободите на други лица;
9. изпълнението по гражданскоправни искове.
(2) Условията и редът за прилагане на ал. 1 се определят със закон и в съответствие с чл. 23, параграф 2 от Регламент (ЕС) 2016/679.
Чл. 37б. (Нов - ДВ, бр. 17 от 2019 г.) (1) Субектът на данни упражнява правата по чл. 15 - 22 от Регламент (ЕС) 2016/679 чрез писмено заявление до администратора на лични данни или по друг определен от администратора начин.
(2) Заявление може да се подаде и по електронен път при условията на Закона за електронния документ и електронните удостоверителни услуги, Закона за електронното управление и Закона за електронната идентификация.
(3) Заявление може да се подаде и чрез действия в потребителския интерфейс на информационната система, която обработва данните, след като лицето е идентифицирано със съответните за информационната система средства за идентификация.
Чл. 37в. (Нов - ДВ, бр. 17 от 2019 г.) (1) Заявлението по чл. 37б съдържа:
1. име, адрес, единен граждански номер или личен номер на чужденец или друг аналогичен идентификатор, или други идентификационни данни на физическото лице, определени от администратора, във връзка с извършваната от него дейност;
2. описание на искането;
3. предпочитана форма за получаване на информация при упражняване на правата по чл. 15 - 22 от Регламент (ЕС) 2016/679;
4. подпис, дата на подаване на заявлението и адрес за кореспонденция.
(2) При подаването на заявление от упълномощено лице към заявлението се прилага и пълномощното.
Чл. 38. (1) (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г., изм. - ДВ, бр. 17 от 2019 г.) При нарушаване на правата му по Регламент (ЕС) 2016/679 и по този закон субектът на данни има право да сезира комисията в срок 6 месеца от узнаване на нарушението, но не по-късно от две години от извършването му.
(2) (Нова - ДВ, бр. 17 от 2019 г.) Комисията информира жалбоподателя за напредъка в разглеждането на жалбата или за резултата от нея в тримесечен срок от сезирането ѝ.
(3) (Изм. - ДВ, бр. 103 от 2005 г., предишна ал. 2, изм. - ДВ, бр. 17 от 2019 г.) Комисията се произнася с решение, като може да приложи мерките по чл. 58, параграф 2, букви "а" - "з" и "й" от Регламент (ЕС) 2016/679 или по чл. 80, ал. 1, т. 3, 4 и 5 и в допълнение към тези мерки или вместо тях да наложи административно наказание в съответствие с чл. 83 от Регламент (ЕС) 2016/679, както и по глава девета.
(4) (Нова - ДВ, бр. 17 от 2019 г.) Когато жалбата е очевидно неоснователна или прекомерна, с решение на комисията жалбата може да се остави без разглеждане.
(5) (Предишна ал. 4, изм. - ДВ, бр. 17 от 2019 г.) Комисията изпраща копие от решението си и на субекта на данните.
(6) (Нова - ДВ, бр. 91 от 2006 г., предишна ал. 5, изм. - ДВ, бр. 17 от 2019 г.) В случаите по ал. 1, когато се обработват лични данни за целите по чл. 42, ал. 1, решението на комисията съдържа само констатация относно законосъобразността на обработването.
(7) (Изм. - ДВ, бр. 103 от 2005 г., предишна ал. 5 - ДВ, бр. 91 от 2006 г., изм. - ДВ, бр. 39 от 2011 г., предишна ал. 6, изм. - ДВ, бр. 17 от 2019 г.) Решението на комисията по ал. 3 и 4 подлежи на обжалване по реда на Административнопроцесуалния кодекс в 14-дневен срок от получаването му.
Чл. 38а. (Нов - ДВ, бр. 17 от 2019 г.) (1) Жалбата до комисията може да се подаде с писмо, по факса или по електронен път по реда на Закона за електронния документ и електронните удостоверителни услуги.
(2) Не се разглеждат анонимни жалби, както и жалби, които не са подписани от подателя или от негов представител по закон или пълномощие.
Чл. 38б. (Нов - ДВ, бр. 17 от 2019 г.) (1) При нарушаване на правата му по Регламент (ЕС) 2016/679 и по този закон при обработване на лични данни от съда при изпълнение на функциите му на орган на съдебната власт и от прокуратурата и следствените органи при изпълнение на функциите им на органи на съдебната власт за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, субектът на данни има право да подаде жалба до инспектората в срок 6 месеца от узнаване на нарушението, но не по-късно от две години от извършването му.
(2) В случаите по ал. 1 се прилага съответно чл. 38а.
Чл. 38в. (Нов - ДВ, бр. 17 от 2019 г.) (1) Жалбата по чл. 38б, ал. 1 се разглежда от инспектор, определен на принципа на случайния подбор от главния инспектор.
(2) При разглеждането на жалбата се събират данни, относими към твърдяното нарушение, включително и информация от администратора или обработващия лични данни.
(3) Жалбоподателят се информира за напредъка в разглеждането на жалбата или за резултата от нея в тримесечен срок от сезирането на инспектората.
(4) Когато жалбата е неоснователна, инспекторът се произнася с решение, което подлежи на обжалване по реда на Административнопроцесуалния кодекс в 14-дневен срок от получаването му.
(5) Когато жалбата е основателна, инспекторатът се произнася с решение по предложение на инспектора. Решението подлежи на обжалване по реда на Административнопроцесуалния кодекс в 14-дневен срок от получаването му.
(6) Когато жалбата е очевидно неоснователна или прекомерна, инспекторът може да я остави без разглеждане.
Чл. 38г. (Нов - ДВ, бр. 17 от 2019 г.) (1) Когато в производството по чл. 38в бъде установено нарушение на Регламент (ЕС) 2016/679 и на този закон, в зависимост от характера и степента на нарушението, се прилагат мерките по чл. 58, параграф 2, букви "а" - "ж" и "й" от Регламент (ЕС) 2016/679 или по чл. 80, ал. 1, т. 3, 4 и 5 и/или се налагат административни наказания в съответствие с чл. 83 от Регламент (ЕС) 2016/679, както и по глава девета.
(2) Мерките по чл. 58, параграф 2, букви "а" - "ж" и "й" от Регламент (ЕС) 2016/679 и по чл. 80, ал. 1, т. 3, 4 и 5 се прилагат с решение на инспектората по предложение на инспектора, разгледал жалбата по чл. 38б, ал. 1.
Чл. 39. (1) (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 30 от 2006 г., в сила от 01.03.2007 г., изм. - ДВ, бр. 91 от 2006 г., изм. - ДВ, бр. 17 от 2019 г.) При нарушаване на правата му по Регламент (ЕС) 2016/679 и по този закон субектът на данни може да обжалва действия и актове на администратора и на обработващия лични данни пред съда по реда на Административнопроцесуалния кодекс.
(2) (Изм. - ДВ, бр. 103 от 2005 г., изм. и доп. - ДВ, бр. 17 от 2019 г.) В производството по ал. 1 субектът на данни може да иска обезщетение за претърпените от него вреди вследствие на неправомерно обработване на лични данни от страна на администратора или на обработващия лични данни.
(3) (Нова - ДВ, бр. 81 от 2011 г., отм. - ДВ, бр. 17 от 2019 г.)
(4) (Нова - ДВ, бр. 103 от 2005 г., предишна ал. 3 - ДВ, бр. 81 от 2011 г., изм. - ДВ, бр. 17 от 2019 г.) Субектът на данни не може да сезира съда, когато има висящо производство пред комисията за същото нарушение или нейно решение относно същото нарушение е обжалвано и няма влязло в сила решение на съда. По искане на субекта на данни или на съда комисията удостоверява липсата на висящо производство пред нея по същия спор.
(5) (Предишна ал. 4, изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 30 от 2006 г., в сила от 12.07.2006 г., отм. - ДВ, бр. 91 от 2006 г., нова - ДВ, бр. 17 от 2019 г.) Алинея 4 се прилага и при висящо производство пред инспектората.
Чл. 40. (Отм. - ДВ, бр. 103 от 2005 г., нов - ДВ, бр. 17 от 2019 г.) Когато решението по чл. 38, ал. 3 е прието в изпълнение на решение със задължителен характер на Европейския комитет по защита на данните, се прилагат съответно чл. 263 и 267 от Договора за функционирането на Европейския съюз.
Чл. 41. (Отм. - ДВ, бр. 103 от 2005 г.)
Глава осма.
Правила за защита на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществения ред и сигурност и тяхното предотвратяване (загл. изм. - дв, бр. 17 от 2019 г.)
Раздел I.
Общи разпоредби (Нов - ДВ, бр. 17 от 2019 г.)
Чл. 42. (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 17 от 2019 г.) (1) Правилата на тази глава се прилагат при обработването на лични данни от компетентни органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществения ред и сигурност и тяхното предотвратяване.
(2) Лични данни, събрани за целите по ал. 1, не се обработват за други цели, освен ако правото на Европейския съюз или законодателството на Република България предвижда друго.
(3) Когато компетентните органи по ал. 1 обработват лични данни за цели, различни от тези по ал. 1, както и в случаите по ал. 2, се прилагат Регламент (ЕС) 2016/679 и съответните разпоредби от този закон, които въвеждат мерки за неговото прилагане.
(4) Компетентни органи по ал. 1 са държавните органи, които имат правомощия по предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване.
(5) Освен ако закон предвижда друго, администратор по смисъла на тази глава при обработването на лични данни за целите по ал. 1 е компетентен орган по ал. 4 или съответната административна структура, част от която е този орган, които самостоятелно или съвместно с други органи определят целите и средствата за обработване на лични данни.
Чл. 42а. (Нов - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 17 от 2019 г.)
Чл. 43. (1) (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 17 от 2019 г.) Правилата на тази глава се прилагат за обработването на лични данни изцяло или частично с автоматични средства, както и за обработването с други средства на лични данни, които са част от регистър с лични данни или са предназначени да съставляват част от такъв регистър.
Чл. 44. (Нов - ДВ, бр. 17 от 2019 г.) Обменът на лични данни между компетентните органи на държавите - членки на Европейския съюз, когато такъв обмен се изисква от правото на Европейския съюз или от законодателството на Република България, не се ограничава, нито забранява по причини, свързани със защитата на физическите лица във връзка с обработването на лични данни.
Чл. 45. (Нов - ДВ, бр. 17 от 2019 г.) (1) При обработването на лични данни за целите по чл. 42, ал. 1 личните данни трябва да:
1. се обработват законосъобразно и добросъвестно;
2. се събират за конкретни, изрично указани и законни цели и да не се обработват по начин, който е несъвместим с тези цели;
3. са подходящи, относими и да не надхвърлят необходимото във връзка с целите, за които данните се обработват;
4. са точни и при необходимост да са поддържани в актуален вид; трябва да се предприемат всички необходими мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват;
5. се съхраняват във вид, който позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимия за целите, за които те се обработват;
6. се обработват по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки.
(2) Обработването на лични данни от администратор, който първоначално ги е събрал, или от друг администратор за която и да е от целите по чл. 42, ал. 1, различна от целта, за която личните данни са събрани, се разрешава, при условие че:
1. администраторът е оправомощен да обработва лични данни за такава цел в съответствие с правото на Европейския съюз или законодателството на Република България, и
2. обработването е необходимо и пропорционално на тази различна цел в съответствие с правото на Европейския съюз или със законодателството на Република България.
(3) Обработването от администратор по ал. 2 може да включва архивиране в обществен интерес, научно, статистическо или историческо използване на данните за целите по чл. 42, ал. 1 при прилагането на подходящи гаранции за правата и свободите на субекта на данните.
(4) Администраторът носи отговорност за спазването на ал. 1, 2 и 3 и трябва да е в състояние да го докаже.
Чл. 46. (Нов - ДВ, бр. 17 от 2019 г.) (1) Когато сроковете за изтриване на лични данни или за периодична проверка на необходимостта от съхранението им не са нормативно установени, те се определят от администратора.
(2) Извършването на периодична проверка по ал. 1 се документира, а решението за продължаване на съхранението на данните се мотивира.
Чл. 47. (Нов - ДВ, бр. 17 от 2019 г.) Администраторът, когато е приложимо и доколкото е възможно, прави ясно разграничение между личните данни на различни категории субекти на данни, например:
1. лица, за които има сериозни основания да се смята, че са извършили или ще извършат престъпление;
2. лица, осъдени за престъпление;
3. лица, пострадали от престъпление, или лица, по отношение на които определени факти дават основание да се смята, че може да са пострадали от престъпление, и
4. други трети лица по отношение на престъпление, например лица, които биха могли да бъдат призовани да свидетелстват при разследване на престъпления или в наказателни производства, лица, които могат да предоставят информация за престъпления или свързани лица.
Чл. 48. (Нов - ДВ, бр. 17 от 2019 г.) (1) Компетентният орган, доколкото е възможно, прави разграничение между лични данни, основани на факти, и лични данни, основани на лични оценки.
(2) Компетентният орган предприема необходимите мерки лични данни, които са неточни, непълни или вече не са актуални, да не се предават. За тази цел всеки компетентен орган, доколкото това е възможно, проверява качеството на личните данни преди тяхното предаване. Доколкото е възможно, при всяко предаване на лични данни се добавя необходимата информация, позволяваща на получаващия компетентен орган да оцени степента на точност, пълнотата и надеждността на личните данни и до каква степен те са актуални.
(3) Когато предадените лични данни са неточни или са предадени незаконосъобразно, получателят се уведомява незабавно. В този случай предаващият компетентен орган и получателят коригират, изтриват или ограничават обработването на личните данни.
Чл. 49. (Нов - ДВ, бр. 17 от 2019 г.) Обработването на лични данни е законосъобразно, когато е необходимо за упражняване на правомощия от компетентен орган за целите по чл. 42, ал. 1 и е предвидено в правото на Европейския съюз или в нормативен акт, в който са определени целите на обработването и категориите лични данни, които се обработват.
Чл. 50. (Нов - ДВ, бр. 17 от 2019 г.) (1) Когато правото на Европейския съюз или законодателството на Република България, приложимо за предаващия компетентен орган, предвижда специфични условия за обработването на лични данни, органът уведомява получателя на данните за тези условия и за задължението му да ги спазва.
(2) Предаването на лични данни на получатели в други държави - членки на Европейския съюз, или на агенции, служби и органи на Европейския съюз, създадени съгласно дял V, глави 4 и 5 от Договора за функционирането на Европейския съюз, се извършва при същите условия, които се прилагат при подобно предаване в Република България.
Чл. 51. (Нов - ДВ, бр. 17 от 2019 г.) (1) Обработването на лични данни, разкриващо расов или етнически произход, политически възгледи, религиозни или философски убеждения, членство в професионални съюзи, обработването на генетични данни, биометрични данни с цел уникално идентифициране на физическото лице, данни, свързани със здравословното състояние или сексуалния живот и сексуалната ориентация на лицето, е разрешено, когато това е абсолютно необходимо, съществуват подходящи гаранции за правата и свободите на субекта на данни и е предвидено в правото на Европейския съюз или в законодателството на Република България.
(2) Когато обработването по ал. 1 не е предвидено в правото на Европейския съюз или в законодателството на Република България, данните по ал. 1 може да се обработват, когато това е абсолютно необходимо, съществуват подходящи гаранции за правата и свободите на субекта на данни и:
1. обработването е за защита на жизненоважни интереси на субекта на данните или на друго физическо лице, или
2. ако обработването се отнася за данни, които очевидно са направени обществено достояние от субекта на данните.
(3) При обработване на данни по ал. 1 се прилагат подходящи мерки и гаранции за недопускане на дискриминация на физическите лица.
Чл. 52. (Нов - ДВ, бр. 17 от 2019 г.) (1) Вземането на решение, основано единствено на автоматизирано обработване, включително профилиране, което поражда неблагоприятни правни последици за субекта на данните или съществено го засяга, е забранено, освен когато това е предвидено в правото на Европейския съюз или в законодателството на Република България и са осигурени подходящи гаранции за правата и свободите на субекта на данните, най-малко човешка намеса при вземането на съответното решение от администратора.
(2) Решенията по ал. 1 не може да се основават на категориите лични данни по чл. 51, ал. 1, освен ако са въведени подходящи мерки за защита на правата и свободите и законните интереси на субекта на данните.
(3) В случаите по ал. 1 и 2 администраторът извършва оценка на въздействието по чл. 64.
(4) Забранява се профилирането, което води до дискриминация на физически лица въз основа на категориите лични данни по чл. 51, ал. 1.
(5) Субектът на данни има право да получи информация за обработването по ал. 1, да изрази своето мнение, да получи обяснение за решението по ал. 1, взето в резултат на това обработване, както и да обжалва решението.
Раздел II.
Права на субекта на данни (Нов - ДВ, бр. 17 от 2019 г.)
Чл. 53. (Нов - ДВ, бр. 17 от 2019 г.) (1) Администраторът предприема необходими мерки за предоставяне на субекта на данни на информацията по чл. 54 и за кореспонденция с него във връзка с чл. 52, ал. 5, чл. 55 - 58 и 68 относно обработването на лични данни в сбита, разбираема и леснодостъпна форма, като използва ясен и прост език. Администраторът предоставя информацията по начина на постъпване на искането. Когато това е невъзможно или изисква несъразмерно големи усилия, информацията се предоставя по друг подходящ начин, включително по електронен път.
(2) Администраторът улеснява упражняването на правата на субекта на данни по чл. 52, ал. 5 и чл. 55 - 58.
(3) Администраторът отговаря на искането на субекта на данни или го информира писмено за действията, предприети във връзка с неговото искане, в срок до два месеца от получаване на искането. Срокът може да се удължи с още един месец, когато това се налага заради сложността или броя на исканията.
(4) Информацията по чл. 54 и кореспонденцията или действията, предприети съгласно чл. 52, ал. 5, чл. 55 - 58 и 68, са безплатни. Когато исканията от даден субект на данни са очевидно неоснователни или прекомерни, по-специално поради своята повторяемост, администраторът може да:
1. начисли такса в размер, съобразен с административните разходи за предоставяне на информация или за кореспонденция със субекта на данни, или за предприемане на действия по искането, или
2. откаже да предприеме действия по искането.
(5) Администраторът носи тежестта на доказване на очевидно неоснователния или прекомерен характер на искането.
(6) Когато администраторът има основателни съмнения относно самоличността на физическото лице, което подава искане по чл. 55 или 56, той може да поиска да се предостави допълнителна информация, необходима за потвърждаване на самоличността на субекта на данните. Срокът по ал. 3 започва да тече от получаването на тази допълнителна информация.
Чл. 54. (Нов - ДВ, бр. 17 от 2019 г.) (1) Администраторът предоставя на субекта на данни най-малко следната информация:
1. данните, които идентифицират администратора, и координатите за връзка с него;
2. координатите за връзка с длъжностното лице по защита на данните, когато е приложимо;
3. целите, за които се обработват личните данни;
4. правото на жалба до комисията, съответно до инспектората, и координатите им за връзка;
5. правото да се изиска от администратора достъп до, коригиране, допълване или изтриване на лични данни и ограничаване на обработването на лични данни, свързано със субекта на данните;
6. възможността при отказ по ал. 3, по чл. 55, ал. 3 и 4 и чл. 56, ал. 6 и 7 да упражни правата си чрез комисията, съответно чрез инспектората.
(2) Освен информацията по ал. 1, по искане на субекта на данни или по своя инициатива администраторът предоставя на субекта на данните, в конкретни случаи и с цел да му се даде възможност да упражни правата си, следната допълнителна информация:
1. правното основание за обработването;
2. срока, за който ще се съхраняват личните данни, а ако това е невъзможно - критериите, използвани за определяне на този срок;
3. когато е приложимо, получателите или категориите получатели на личните данни, включително в трети държави или международни организации;
4. когато е необходимо, и друга допълнителна информация, по-специално в случаите, когато личните данни са събрани без знанието на субекта на данните.
(3) Администраторът може да забави или да откаже изцяло или частично предоставянето на информацията по ал. 2, когато това е необходимо, за да:
1. не се допусне възпрепятстването на служебни или законово регламентирани проверки, разследвания или процедури;
2. не се допусне неблагоприятно засягане на предотвратяването, разкриването, разследването или наказателното преследване на престъпления или изпълнението на наказания;
3. се защити общественият ред и сигурност;
4. се защити националната сигурност;
5. се защитят правата и свободите на други лица.
(4) След отпадане на обстоятелство по ал. 3 администраторът предоставя без забавяне исканата информация в срока по чл. 53, ал. 3.
(5) При вземане на решение по ал. 3 администраторът отчита основните права и законните интереси на засегнатото физическо лице.
Чл. 55. (Нов - ДВ, бр. 17 от 2019 г.) (1) Субектът на данните има право да получи от администратора потвърждение дали се обработват лични данни, които го засягат, и ако това е така, да получи достъп до тях, както и информация за:
1. обстоятелствата по чл. 54, ал. 1, т. 3 - 5 и ал. 2, т. 1 - 3;
2. обработваните категории лични данни;
3. личните данни, които са в процес на обработване, и всякаква налична информация за техния произход, освен ако тя е защитена от закон тайна.
(2) Администраторът предоставя информацията по ал. 1 в срока по чл. 53, ал. 3.
(3) Правото на достъп до данните и информацията по ал. 1 може да се ограничи изцяло или частично, като се отчитат основните права и законните интереси на засегнатото физическо лице в случаите по чл. 54, ал. 3. В тези случаи се прилага чл. 54, ал. 4.
(4) В случаите по ал. 3 администраторът информира писмено в срока по чл. 53, ал. 3 субекта на данните за всеки отказ за достъп или за ограничаването на достъпа и за причините за това. Тази информация може да не бъде предоставена, когато нейното предоставяне би възпрепятствало постигането на някоя от целите по чл. 54, ал. 3. Администраторът информира субекта на данните за правото му на жалба до комисията, съответно до инспектората, или за търсене на защита по съдебен ред.
(5) Администраторът документира фактическите или правните основания за решението. Тази информация се предоставя на комисията, съответно на инспектората.
Чл. 56. (Нов - ДВ, бр. 17 от 2019 г.) (1) Субектът на данните има право да поиска администраторът да коригира неточните лични данни, свързани с него. Като се има предвид целта на обработването, субектът на данните има право да поиска непълните лични данни да бъдат допълнени, включително чрез предоставяне на допълнително заявление.
(2) Администраторът по ал. 1 е длъжен да изтрие личните данни и субектът на данните има право да поиска администраторът да изтрие личните данни, които го засягат, когато обработването нарушава разпоредбите на чл. 45, 49 или 51 или когато личните данни трябва да бъдат изтрити с цел спазване на правно задължение на администратора.
(3) Администраторът коригира или допълва данните по ал. 1 или изтрива данните в случаите по ал. 2 в срока по чл. 53, ал. 3.
(4) Администраторът ограничава обработването на личните данни, без да ги изтрие, когато:
1. точността на личните данни се оспорва от субекта на данните и това не може да се провери, или
2. личните данни трябва да се запазят за доказателствени цели.
(5) В случаите по ал. 4, т. 1 администраторът информира субекта на данните, преди да премахне ограничаването на обработването.
(6) Коригиране, допълване, изтриване или ограничаване на обработването на лични данни може да се откаже, като се отчитат основните права и законните интереси на засегнатото физическо лице, в случаите по чл. 54, ал. 3. В тези случаи се прилага чл. 54, ал. 4. Администраторът информира писмено субекта на данните за отказа, както и за причините за него в срока по чл. 53, ал. 3.
(7) Администраторът може да не информира субекта на данните за отказа по ал. 6 в случаите по чл. 54, ал. 3, като се прилага съответно чл. 54, ал. 4 и 5.
(8) Администраторът информира субекта на данните за правото му на жалба до комисията, съответно до инспектората и за търсене на защита по съдебен ред.
(9) Администраторът съобщава на компетентния орган, от който е получил неточните лични данни, за тяхното коригиране.
(10) Когато лични данни са коригирани, допълнени, изтрити или обработването им е ограничено, администраторът уведомява получателите им, които съответно ги коригират, допълват, изтриват или ограничават обработването им.
Чл. 57. (Нов - ДВ, бр. 17 от 2019 г.) (1) В случаите по чл. 54, ал. 3, чл. 55, ал. 3 и 4 и чл. 56, ал. 6 и 7 субектът на данните може да упражни правата си чрез комисията, съответно чрез инспектората. В тези случаи комисията, съответно инспекторатът проверява законосъобразността на отказа.
(2) В случаите по ал. 1 комисията, съответно инспекторатът информира субекта на данните най-малко за това, че са извършени всички необходими проверки или справки, както и за неговото право да потърси защита по съдебен ред.
Чл. 58. (Нов - ДВ, бр. 17 от 2019 г.) Упражняването на правата по чл. 54, 55 и 56, когато личните данни се съдържат в съдебно решение, документ или материали по дело, изготвени в наказателно производство, не засяга и не може да противоречи на разпоредбите на Наказателно-процесуалния кодекс.
Раздел III.
Администратор на лични данни и обработващ лични данни (Нов - ДВ, бр. 17 от 2019 г.)
Чл. 59. (Нов - ДВ, бр. 17 от 2019 г.) (1) Администраторът на лични данни, като отчита естеството, обхвата, контекста и целите на обработването, както и рисковете за правата и свободите на физическите лица, прилага подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с този закон. При необходимост тези мерки се преразглеждат и актуализират.
(2) Когато това е пропорционално на дейностите по обработване, мерките по ал. 1 включват прилагане от администратора на подходящи политики за защита на данните.
(3) Чрез мерки по ал. 1 администраторът осигурява защита на личните данни на етапа на проектирането, като отчита достиженията на техническия прогрес, разходите за прилагане и естеството, обхвата, контекста и целите на обработването на лични данни, както и рисковете за правата и свободите на физическите лица при обработването. Мерките трябва да са съобразени с изискванията на чл. 45, планират се към момента на определяне на средствата за обработването на лични данни и се прилагат при самото обработване. Мерките може да включват псевдонимизация, свеждане на данните до минимум и въвеждане на необходими гаранции в процеса на обработване на лични данни.
(4) Чрез мерки по ал. 1 администраторът гарантира, че по подразбиране се обработват само лични данни, които са необходими за всяка конкретна цел на обработването. Това задължение се отнася до обема на събраните лични данни, степента на обработването, срока на съхраняването им и тяхната достъпност. Чрез тези мерки се гарантира, че по подразбиране без намеса от страна на физическото лице личните данни не са достъпни за неограничен брой физически лица.
Чл. 60. (Нов - ДВ, бр. 17 от 2019 г.) (1) Когато двама или повече администратори на лични данни съвместно определят целите и средствата на обработването, те са съвместни администратори.
(2) Съвместните администратори по ал. 1 определят по прозрачен начин правата и задълженията си по тази глава, по-специално тези, свързани с упражняването на правата на субекта на данни и с предоставянето на информацията по реда на чл. 54 чрез съвместни правила, освен когато правата и задълженията им са предвидени в правото на Европейския съюз или в законодателството на Република България. В правилата се определя звеното за контакт за субектите на данни, като съвместните администратори може да посочат кой от тях действа като единно звено за контакт.
(3) Независимо от определеното в правилата по ал. 1, субектът на данни може да упражнява правата си по тази глава спрямо всеки от администраторите по ал. 1.
Чл. 61. (Нов - ДВ, бр. 17 от 2019 г.) (1) Администратор на лични данни може да възложи обработване на лични данни от негово име само на обработващи лични данни, които предоставят достатъчни гаранции, че ще прилагат подходящи технически и организационни мерки по такъв начин, че обработването да отговаря на изискванията на тази глава и да се гарантира защитата на правата на субекта на данни.
(2) Обработващият лични данни не може да включва в обработването друг обработващ лични данни без предварителното конкретно или общо писмено разрешение на администратора по ал. 1. В случай на общо писмено разрешение обработващият лични данни информира администратора за всякакви планирани промени за включване или замяна на други обработващи лични данни, като администраторът може да възрази срещу тези промени.
(3) Обработването от страна на обработващия лични данни се урежда с договор или с друг правен акт съгласно правото на Европейския съюз или законодателството на Република България, който обвързва обработващия лични данни с администратора по ал. 1 и регламентира предмета и срока на обработването, естеството и целта на обработването, вида лични данни и категориите субекти на данни, задълженията и правата на администратора. Посоченият договор или друг правен акт предвижда по-специално, че обработващият лични данни:
1. действа единствено по указания на администратора;
2. гарантира, че лицата, оправомощени да обработват личните данни, са поели задължение за поверителност или са задължени по закон да спазват поверителност;
3. подпомага администратора с всички подходящи средства, за да се гарантира спазването на правата на субекта на данни;
4. по избор на администратора изтрива или връща на администратора всички лични данни след приключване на предоставянето на услуги по обработване на данни и изтрива съществуващите копия, освен ако правото на Европейския съюз или законодателството на Република България не изисква съхранение на личните данни;
5. предоставя на администратора цялата информация, необходима за доказване на спазването на този член;
6. спазва условията по т. 1 - 5 и по ал. 2 за включване на друг обработващ лични данни.
(4) Договорът или другият правен акт, посочен в ал. 3, се изготвя в писмена, включително в електронна форма.
(5) Когато обработващ лични данни определи в нарушение на правилата на тази глава целите и средствата на обработването, той се смята за администратор на лични данни по отношение на това обработване.
(6) Обработващият лични данни и всяко лице, действащо под негово ръководство или под ръководството на администратора по ал. 1, което има достъп до личните данни, обработва тези данни само по указание на администратора, освен когато условията и редът за обработването са предвидени в правото на Европейския съюз или в законодателството на Република България.
Чл. 62. (Нов - ДВ, бр. 17 от 2019 г.) (1) Администраторът на лични данни поддържа регистър с категориите дейности по обработване на лични данни, който съдържа:
1. наименованието и координатите за връзка на администратора, и когато е приложимо, на съвместните администратори и на длъжностното лице по защита на данните;
2. целите на обработването на лични данни;
3. категориите получатели, пред които са или ще бъдат разкрити личните данни, включително получателите в трети държави или международни организации;
4. описание на категориите субекти на данни и на категориите лични данни;
5. когато е приложимо, информация дали се извършва профилиране;
6. когато е приложимо, категориите предаване на лични данни на трета държава или международна организация;
7. правното основание за операцията по обработване, включително предаването на данни, за която са предназначени личните данни;
8. когато е възможно, предвидените срокове за изтриване на различните категории лични данни;
9. когато е възможно, общо описание на техническите и организационните мерки за сигурност по чл. 66.
(2) Обработващият лични данни поддържа регистър с категориите дейности по обработване, извършвани от името на администратор, който съдържа:
1. наименованието и координатите за връзка на обработващия или обработващите лични данни, на всеки администратор на лични данни, от чието име действа обработващият лични данни, и на длъжностното лице за защита на данните, когато е приложимо;
2. категориите обработване на лични данни, извършени от името на всеки администратор;
3. когато е приложимо, предаването на лични данни на трета държава или на международна организация, когато има изрични указания от администратора за това, включително наименованието на третата държава или на международната организация;
4. когато е възможно, общо описание на техническите и организационните мерки за сигурност по чл. 66.
(3) Регистрите по ал. 1 и 2 се поддържат в писмена форма, включително в електронен формат.
(4) При поискване администраторът и обработващият лични данни предоставят достъп до регистрите на комисията, съответно на инспектората.
Чл. 63. (Нов - ДВ, бр. 17 от 2019 г.) (1) В системите за автоматизирано обработване, поддържани от администратора и обработващия лични данни, се водят системни дневници (логове) най-малко за следните операции по обработване - събиране, промяна, справки, разкриване, включително предаване, комбиниране и изтриване.
(2) При извършване на справка или разкриване на данни дневниците по ал. 1 трябва да дават възможност за установяване на основанието, датата и часа на тези операции и доколкото е възможно - идентификацията на лицето, което е направило справката или е разкрило личните данни, както и данни, идентифициращи получателите на тези лични данни.
(3) Дневниците по ал. 1 се използват единствено за проверка на законосъобразността на обработването, за самоконтрол, за гарантиране на целостността и сигурността на личните данни и при наказателни производства.
(4) Администраторът на лични данни определя подходящи срокове за съхранение, включително архивиране на дневниците по ал. 1.
(5) При поискване администраторът и обработващият лични данни предоставят дневниците по ал. 1 на комисията, съответно на инспектората.
Чл. 64. (Нов - ДВ, бр. 17 от 2019 г.) (1) Когато има вероятност определен вид обработване, по-специално това при което се използват нови технологии и предвид естеството, обхвата, контекста и целите на обработването, да доведе до висок риск за правата и свободите на физическите лица, преди да бъде извършено обработването, администраторът на лични данни извършва оценка на въздействието на предвидените операции по обработването върху защитата на личните данни.
(2) Оценката по ал. 1 съдържа най-малко общо описание на предвидените операции по обработване, оценка на рисковете за правата и свободите на субектите на данните, мерките, предвидени за справяне с тези рискове, гаранции, мерки за сигурност и механизми за гарантиране на защитата на личните данни и за доказване на съответствие с правилата на тази глава, като се вземат предвид правата и законните интереси на субектите на данните и другите засегнати лица.
Чл. 65. (Нов - ДВ, бр. 17 от 2019 г.) (1) Администраторът или обработващият лични данни се консултира с комисията, съответно с инспектората преди обработването на лични данни, което ще е част от нов регистър с лични данни, който предстои да се създаде, когато:
1. съгласно оценката на въздействието по чл. 64 обработването ще породи висок риск въпреки предприетите от администратора мерки за ограничаване на риска, или
2. видът обработване, по-специално когато се използват нови технологии, механизми или процедури, включва висока степен на риск за правата и свободите на субектите на данните.
(2) При изготвянето на проекти на закони и на подзаконови нормативни актове, съдържащи мерки относно обработването, се провеждат консултации с комисията, съответно с инспектората.
(3) Комисията приема и публикува списък на операциите по обработване, за които е задължителна предварителната консултация по ал. 1. Инспекторатът прилага съответно списъка по изречение първо.
(4) Администраторът предоставя на комисията, съответно на инспектората, оценката на въздействието по чл. 64 и при поискване - всяка друга информация, която ще им позволи да извършат оценка на съответствието на обработването и по-специално на рисковете за защитата на личните данни и на съответните гаранции за тази защита.
(5) Когато комисията, съответно инспекторатът прецени, че планираното обработване по ал. 1 би нарушило разпоредбите на тази глава, по-специално когато администраторът не е идентифицирал или ограничил риска в достатъчна степен, те предоставят в срок до 6 седмици след получаването на искането за консултация писмено становище на администратора и когато това е приложимо - на обработващия лични данни. Този срок може да се удължи с още един месец в зависимост от сложността на планираното обработване. В срок до един месец от получаването на искането за консултация комисията, съответно инспекторатът уведомява администратора и когато е приложимо - обработващия лични данни, за удължаването на срока, включително за причините за забавянето.
(6) Предоставянето на писмено становище по ал. 5 не засяга възможността на комисията, съответно на инспектората, да упражни и правомощията си по чл. 80 спрямо администратора или обработващия лични данни.
Чл. 66. (Нов - ДВ, бр. 17 от 2019 г.) (1) Администраторът и обработващият лични данни, като отчитат достиженията на техническия прогрес, разходите за прилагане и естеството, обхвата, контекста и целите на обработването, както и рисковете за правата и свободите на физическите лица, прилагат подходящи технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност, по-специално по отношение на обработването на категориите лични данни по чл. 51, ал. 1.
(2) По отношение на автоматизираното обработване администраторът или обработващият лични данни след оценка на рисковете прилага мерки, имащи за цел:
1. контрол върху достъпа до оборудване - да се откаже достъп на неоправомощени лица до оборудването, използвано за обработване на лични данни;
2. контрол върху носителите на данни - да се предотврати четенето, копирането, изменянето или отстраняването на носители на данни от неоправомощени лица;
3. контрол върху съхраняването - да се предотврати въвеждането на лични данни от неоправомощени лица, както и извършването на проверки, изменянето или изтриването на съхранявани лични данни от неоправомощени лица;
4. контрол върху потребителите - да се предотврати използването на автоматизирани системи за обработване от неоправомощени лица чрез използване на оборудване за предаване на данни;
5. контрол върху достъпа до данни - да се гарантира, че лицата, на които е разрешено да използват автоматизирана система за обработване, имат достъп само до личните данни, които са обхванати от тяхното разрешение за достъп;
6. контрол върху комуникацията - да се гарантира възможността за проверка и установяване на кои органи са били или могат да бъдат предадени лични данни, или кои органи имат достъп до лични данни чрез оборудване за предаване на данни;
7. контрол върху въвеждането на данни - да се гарантира възможността за последваща проверка и установяване на това какви лични данни са били въведени в автоматизираните системи за обработване, както и кога и от кого те са били въведени;
8. контрол върху пренасянето - да се предотврати четенето, копирането, изменянето или изтриването на лични данни от неоправомощени лица при предаването на лични данни или при пренасянето на носители на данни;
9. възстановяване - да се гарантира възможността за възстановяване на инсталираните системи в случай на отказ на функциите на системите;
10. надеждност - да се гарантира изпълнението на функциите на системата и докладването за появили се във функциите дефекти;
11. цялостност - да се гарантира недопускане на увреждане на съхраняваните лични данни вследствие на неправилно функциониране на системата.
Чл. 67. (Нов - ДВ, бр. 17 от 2019 г.) (1) В случай на нарушение на сигурността на личните данни, което има вероятност да доведе до риск за правата и свободите на субектите на данни, администраторът без излишно забавяне, но не по-късно от 72 часа след като е разбрал за нарушението, уведомява комисията, съответно инспектората, за него. Когато уведомлението е подадено след срока по изречение първо, в него се посочват причините за забавянето.
(2) Обработващият лични данни уведомява администратора без излишно забавяне, но не по-късно от 72 часа след като е установил нарушение на сигурността на лични данни.
(3) Уведомлението по ал. 1 съдържа най-малко:
1. описание на нарушението на сигурността на личните данни, включително когато е възможно, категориите и приблизителния брой на засегнатите субекти на данни и категориите и приблизителния брой на засегнатите записи на лични данни;
2. името и координатите за връзка на длъжностното лице по защита на данните или на друго звено за контакт, от което може да се получи повече информация;
3. описание на евентуалните последици от нарушението на сигурността на личните данни;
4. описание на предприетите или предложените от администратора мерки за справяне с нарушението на сигурността на личните данни, включително по целесъобразност мерки за намаляване на евентуалните неблагоприятни последици.
(4) Когато не е възможно информацията да се подаде едновременно, тя може да се подаде поетапно без по-нататъшно ненужно забавяне.
(5) Администраторът документира всяко нарушение на сигурността на личните данни по ал. 1, като включва фактите, свързани с нарушението, последиците от него и предприетите действия за справяне с него.
(6) Когато нарушението на сигурността на личните данни засяга лични данни, които са изпратени от или на администратор от друга държава - членка на Европейския съюз, информацията по ал. 3 се съобщава на този администратор без излишно забавяне, но не по-късно от 7 дни от установяването на нарушението.
Чл. 68. (Нов - ДВ, бр. 17 от 2019 г.) (1) Когато има вероятност нарушението на сигурността на личните данни по чл. 67, ал. 1 да доведе до висок риск за правата и свободите на субектите на данни, администраторът на лични данни уведомява и субекта на данните за нарушението не по-късно от 7 дни от установяването му.
(2) В уведомлението по ал. 1 на ясен и разбираем език се посочва описание на нарушението и най-малко информацията и мерките по чл. 67, ал. 3, т. 2, 3 и 4.
(3) Субектът на данните не се уведомява за нарушение по ал. 1, ако е изпълнено някое от следните условия:
1. администраторът е предприел подходящи технически и организационни мерки за защита и тези мерки са били приложени по отношение на личните данни, засегнати от нарушението, по-специално мерки, които правят личните данни неразбираеми за всяко лице, което няма право на достъп до тях, като например криптиране;
2. администраторът е взел впоследствие мерки, които гарантират, че вече няма вероятност да се реализира високият риск за правата и свободите на субектите на данни;
3. уведомяването би довело до непропорционални усилия; в този случай се прави публично съобщение или се взема друга подобна мярка, така че субектите на данни да са в еднаква степен ефективно информирани.
(4) Когато администраторът не е уведомил субекта на данните за нарушението на сигурността на личните данни по ал. 1, комисията, съответно инспекторатът, след като отчете каква е вероятността нарушението да породи висок риск, може да изиска от администратора да уведоми субекта на данните.
(5) В случаите по чл. 54, ал. 3 администраторът може да не уведоми субекта на данните за нарушението по ал. 1, да го уведоми след срока по ал. 1, както и да ограничи информацията по ал. 2.
Чл. 69. (Нов - ДВ, бр. 17 от 2019 г.) (1) Администраторът на лични данни определя длъжностно лице по защита на данните въз основа на неговите професионални качества и по-специално въз основа на експертните му познания по законодателството и практиките в областта на защитата на личните данни и способността му да изпълнява задачите по чл. 70.
(2) Едно длъжностно лице по защита на данните може да е определено съвместно за няколко администратори, като се отчитат организационната им структура и мащаб.
(3) Администраторът оповестява по подходящ начин координатите за връзка на длъжностното лице по защита на данните и уведомява комисията по реда на чл. 25б.
(4) Длъжностните лица по защита на данните, определени от органите на съдебната власт, не изпълняват задачите по чл. 70 при обработване на лични данни за целите по чл. 42, ал. 1 от съда, прокуратурата и следствените органи при изпълнение на функциите им на органи на съдебната власт.
Чл. 70. (Нов - ДВ, бр. 17 от 2019 г.) (1) Администраторът на лични данни гарантира, че длъжностното лице по защита на данните участва по подходящ начин и своевременно при разглеждането на всички въпроси, свързани със защитата на личните данни.
(2) Администраторът възлага на длъжностното лице по защита на данните най-малко следните задачи:
1. да информира и да съветва администратора и служителите, които извършват обработването, за задълженията им по този закон и съгласно други нормативни изисквания за защита на личните данни;
2. да наблюдава спазването на този закон и на други нормативни изисквания за защита на личните данни и на политиките на администратора по отношение на защитата на личните данни, включително възлагането на отговорности, повишаването на осведомеността и обучението на персонала, участващ в операциите по обработване, и съответните проверки;
3. при поискване да предоставя съвети по отношение на оценката на въздействието по чл. 64 и да наблюдава извършването ѝ;
4. да си сътрудничи с комисията, съответно с инспектората;
5. да действа като звено за контакт с комисията, включително за целите на предварителната консултация по чл. 65, и при необходимост да се консултира с комисията, съответно с инспектората по въпросите, свързани с обработването на лични данни.
(3) Администраторът осигурява технически и организационно дейността на длъжностното лице по защита на данните, включително необходимите ресурси, достъп до личните данни и операциите по обработването, както и поддържането на неговите експертни знания.
Чл. 71. (Нов - ДВ, бр. 17 от 2019 г.) Компетентните органи определят подходящи процедури, които дават възможност на служителите им пряко и поверително да докладват на съответното административно звено в структурата на администратора или на комисията, съответно на инспектората, за нарушения по тази глава.
Раздел IV.
Предаване на лични данни на трети държави или международни организации (Нов - ДВ, бр. 17 от 2019 г.)
Чл. 72. (Нов - ДВ, бр. 17 от 2019 г.) (1) Компетентен орган може да предава лични данни, които са в процес на обработване или са предназначени за обработване след предаването им, на трета държава или на международна организация, включително за последващо предаване на друга трета държава или международна организация, при условие че предаването е в съответствие с този закон и е изпълнено всяко едно от следните условия:
1. предаването е необходимо за целите по чл. 42, ал. 1;
2. личните данни се предават на администратор в трета държава или на международна организация, които са органи, компетентни за целите по чл. 42, ал. 1;
3. когато се предават лични данни, получени от друга държава - членка на Европейския съюз, тази държава членка е дала своето предварително разрешение за предаването в съответствие с националното си право;
4. когато:
а) Европейската комисия е приела решение, че съответната трета държава, територия или един или повече конкретни сектори в тази трета държава, или съответната международна организация осигуряват адекватно ниво на защита, или
б) при отсъствие на решение по буква "а" са предвидени или съществуват подходящи гаранции съгласно чл. 74, или
в) при отсъствието на решение по буква "а" и подходящи гаранции по буква "б" предаването на личните данни е необходимо в случаите по чл. 75;
5. при последващо предаване на лични данни на друга трета държава или международна организация компетентният орган, извършил първоначалното предаване, или друг компетентен орган в Република България разрешава последващото предаване на данни, след като надлежно е взел предвид всички значими фактори, включително тежестта на престъплението, целта на първоначалното предаване на личните данни и нивото на защита на личните данни в другата трета държава или международната организация, към която се извършва последващото предаване на лични данни.
(2) Предаването на лични данни без предварителното разрешение на другата държава - членка на Европейския съюз, съгласно ал. 1, т. 3 се разрешава само ако предаването е необходимо за предотвратяването на непосредствена и сериозна заплаха за обществения ред и сигурност на държава - членка на Европейския съюз, или на трета държава или за основните интереси на държава - членка на Европейския съюз, и предварителното разрешение не може да се получи своевременно. В тези случаи незабавно се уведомява органът на държавата - членка на Европейския съюз, предоставила личните данни, който е компетентен да даде предварителното разрешение по ал. 1, т. 3.
Чл. 73. (Нов - ДВ, бр. 17 от 2019 г.) Когато Европейската комисия отмени, измени или спре действието на решение по чл. 72, ал. 1, т. 4, буква "а", предаването на лични данни на съответната трета държава, на територията или на един или повече конкретни сектори в тази трета държава, или на съответната международна организация може да се осъществи при условията на чл. 74 и 75.
Чл. 74. (Нов - ДВ, бр. 17 от 2019 г.) (1) При липса на решение на Европейската комисия по чл. 72, ал. 1, т. 4, буква "а" предаване на лични данни на трета държава или международна организация може да се осъществи, когато:
1. в законодателството на третата държава или в устава на международната организация, или във влязъл в сила международен договор, по който Република България е страна, или в друг правно обвързващ акт са предвидени подходящи гаранции във връзка със защитата на личните данни, или
2. администраторът е извършил оценка на обстоятелствата, свързани с предаването на лични данни, и е преценил, че по отношение на защитата на личните данни съществуват подходящи гаранции.
(2) Администраторът документира предаването в случаите по ал. 1, т. 2, включително датата и часа на предаване, информацията относно получаващия компетентен орган, обосновка на предаването и предадените лични данни.
(3) Администраторът информира комисията, съответно инспектората за категориите предаване по ал. 1, т. 2 и при поискване им предоставя достъп до документацията по ал. 2.
Чл. 75. (Нов - ДВ, бр. 17 от 2019 г.) (1) При липса на решение на Европейската комисия по чл. 72, ал. 1, т. 4, буква "а" или на подходящи гаранции съгласно чл. 74 предаване на лични данни на трета държава или международна организация може да се извърши само ако предаването е необходимо:
1. за да бъдат защитени жизненоважни интереси на субекта на данни или на друго лице;
2. за да бъдат защитени законни интереси на субекта на данни, когато законодателството на Република България предвижда това;
3. за предотвратяването на непосредствена и сериозна заплаха за обществения ред и сигурност на държава - членка на Европейския съюз, или на трета държава;
4. в отделни случаи за целите по чл. 42, ал. 1, или
5. в отделни случаи за установяването, упражняването или защитата на правни претенции, свързани с целите по чл. 42, ал. 1.
(2) Лични данни не могат да се предават, ако предаващият компетентен орган реши, че основните права и свободи на субекта на данните надделяват над обществения интерес от предаването по ал. 1, т. 4 и 5.
(3) Предаването на данни по ал. 1 се документира и документацията се предоставя на комисията, съответно на инспектората, при поискване, включително датата и часа на предаване, информация относно получаващия компетентен орган, обосновка на предаването и предадените лични данни.
Чл. 76. (Нов - ДВ, бр. 17 от 2019 г.) (1) В отделни и специфични случаи компетентен орган може, без да е налице условието по чл. 72, ал. 1, т. 2 и без да се засяга международен договор, да предава лични данни пряко на получатели, установени в трети държави, само ако са спазени разпоредбите на тази глава и е изпълнено всяко едно от следните условия:
1. без предаването не може да се изпълни или сериозно би се затруднило изпълнението на задача на предаващия компетентен орган, произтичаща от правото на Европейския съюз или от законодателството на Република България, за целите по чл. 42, ал. 1;
2. предаващият компетентен орган реши, че основните права и свободи на субекта на данни не надделяват над обществения интерес, който налага предаването в конкретния случай;
3. предаващият компетентен орган смята, че предаването на орган, който е компетентен в третата държава за целите по чл. 42, ал. 1, е неефективно или неподходящо, по-специално тъй като предаването не може да се осъществи навреме;
4. органът на третата държава, който е компетентен за целите по чл. 42, ал. 1, е уведомен без излишно забавяне, освен ако това е неефективно или неподходящо;
5. предаващият компетентен орган уведоми получателя за конкретната цел или цели, единствено за които получателят може да обработва личните данни, при условие че такова обработване е необходимо.
(2) Международен договор по ал. 1 е всяко двустранно или многостранно международно споразумение, което е в сила между държави - членки на Европейския съюз, и трети държави в областта на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество.
(3) Компетентният орган, предаващ личните данни, документира всяко предаване по ал. 1 и уведомява комисията, съответно инспектората, за него.
Чл. 77. (Нов - ДВ, бр. 17 от 2019 г.) По отношение на трети държави и международни организации комисията предприема подходящи мерки за:
1. разработване на механизми за международно сътрудничество с цел подпомагане на ефективното прилагане на законодателството за защита на личните данни;
2. осигуряване на международна взаимопомощ при прилагането на законодателството за защита на личните данни, включително чрез уведомяване, препращане на жалби, помощ при разследвания и обмен на информация, при условие че има подходящи гаранции за защитата на личните данни и другите основни права и свободи;
3. включване на съответните заинтересовани страни в обсъждания и дейности, насочени към допълнително задълбочаване на международното сътрудничество за прилагането на законодателството за защита на личните данни;
4. насърчаване на обмена и документирането на законодателство и практики в областта на защитата на личните данни, включително във връзка със спорове за компетентност с трети държави.
Раздел V.
Надзор за спазване на правилата за защита на личните данни. Средства за правна защита (Нов - ДВ, бр. 17 от 2019 г.)
Чл. 78. (Нов - ДВ, бр. 17 от 2019 г.) (1) Надзорът по тази глава при обработване на лични данни за целите по чл. 42, ал. 1 се осъществява от комисията, освен в случаите по ал. 2.
(2) Надзорът по тази глава при обработване на лични данни за целите по чл. 42, ал. 1 от съда, прокуратурата и следствените органи при изпълнение на функциите им на органи на съдебната власт се осъществява от инспектората.
Чл. 79. (Нов - ДВ, бр. 17 от 2019 г.) (1) При осъществяване на надзора по тази глава комисията, съответно инспекторатът изпълнява следните задачи:
1. наблюдава и гарантира прилагането на разпоредбите на тази глава;
2. насърчава обществената информираност и разбиране на рисковете, правилата, гаранциите и правата, свързани с обработването на лични данни;
3. повишава осведомеността на администраторите и обработващите лични данни за техните задължения;
4. предоставя информация на всеки субект на данни във връзка с упражняването на правата му при поискване и, при необходимост, си сътрудничи за тази цел с надзорните органи в други държави - членки на Европейския съюз;
5. разглежда жалби, подадени от субект на данни при условията и по реда на глава седма;
6. проверява законосъобразността на обработването в случаите по чл. 57 и информира субекта на данните за резултата от проверката в тримесечен срок от сезирането или за причините, поради които проверката не е била извършена;
7. осъществява сътрудничество с други надзорни органи, включително чрез обмен на информация, и им предоставя взаимна помощ с оглед на осигуряване на съгласуваното прилагане и привеждане в изпълнение на правилата за защита на личните данни;
8. извършва проучвания в областта на защитата на личните данни, включително въз основа на информация, получена от друг надзорен или публичен орган;
9. следи за развитието на информационните и комуникационните технологии с оглед въздействието им върху защитата на личните данни.
(2) Освен задачите по ал. 1, комисията при осъществяване на надзора по тази глава изпълнява и задачите по чл. 10, ал. 2, както и участва в дейностите на Европейския комитет по защита на данните.
(3) При изпълнението на задачите по ал. 1 не се събира такса от субекта на данни и от длъжностното лице по защита на данните.
(4) Администраторът и обработващият лични данни сътрудничат при поискване с комисията, съответно с инспектората, при изпълнението на задачите им.
Чл. 80. (Нов - ДВ, бр. 17 от 2019 г.) (1) При осъществяване на надзора по тази глава комисията, съответно инспекторатът има правомощия да:
1. получава от администратора или от обработващия лични данни достъп до всички лични данни, които се обработват;
2. получава от администратора или от обработващия лични данни цялата информация, необходима за изпълнението на задачите по чл. 79;
3. отправя предупреждения до администратора или до обработващия лични данни, когато има вероятност планираните операции по обработване на данни да нарушат разпоредбите на тази глава;
4. разпорежда на администратора или на обработващия лични данни да приведат операциите по обработване на данни в съответствие с разпоредбите на тази глава, включително да разпорежда коригирането, допълването, изтриването на лични данни или ограничаването на обработването им съгласно чл. 56;
5. налага временно или окончателно ограничаване, включително забрана, на обработването на данни;
6. дава становища на администратора и на обработващия лични данни в съответствие с процедурата по предварителна консултация по чл. 65;
7. дава становища по собствена инициатива или при поискване по проекти на закони и други нормативни актове, както и на административни мерки, свързани със защитата на личните данни на физическите лица;
8. дава становища по собствена инициатива или при поискване по въпроси, свързани със защитата на личните данни.
(2) Освен правомощията по ал. 1, комисията, съответно инспекторатът упражнява и правомощията по чл. 10а, ал. 2, т. 2, съответно по чл. 17а, ал. 2, т. 2.
(3) Комисията, съответно инспекторатът може да сезира съда за нарушения по тази глава.
Чл. 81. (Нов - ДВ, бр. 17 от 2019 г.) (1) Комисията, съответно инспекторатът си сътрудничи със съответните надзорни органи на другите държави - членки на Европейския съюз, включително чрез обмен на информация и отправяне и изпълнение на искания за консултации, проверки и разследвания. Исканията следва да съдържат цялата необходима информация, включително целта и основанията на искането. Обменената информация се използва единствено за целите, за които е поискана.
(2) Комисията, съответно инспекторатът предприема всички необходими и подходящи мерки, за да се отговори на искането на друг надзорен орган без излишно забавяне и не по-късно от един месец след получаване на искането.
(3) Комисията, съответно инспекторатът може да откаже искане по ал. 1, като мотивира отказа си, когато:
1. не е компетентен относно предмета на искането или мерките, които се изисква да изпълни, или
2. изпълнението на искането би нарушило законодателството на Република България или правото на Европейския съюз.
(4) Комисията, съответно инспекторатът информира искащия надзорен орган за резултатите или, в зависимост от случая, за напредъка на предприетите мерки в отговор на искането.
(5) Формите на сътрудничество и взаимопомощ между комисията, съответно инспектората, и надзорните органи на други държави - членки на Европейския съюз, и процедурите, по които те се осъществяват, се определят с правилника по чл. 9, ал. 2, съответно с правилника по чл. 55, ал. 8 от Закона за съдебната власт.
Чл. 82. (Нов - ДВ, бр. 17 от 2019 г.) (1) При нарушаване на правата му по тази глава субектът на данните разполага със средствата за правна защита и може да търси отговорност за причинените му вреди по реда на глава седма.
(2) В случаите по чл. 38, ал. 1 и чл. 38б, ал. 1 комисията, съответно инспекторатът улеснява подаването на жалба от субект на данни чрез осигуряване на формуляр.
Чл. 83. (Нов - ДВ, бр. 17 от 2019 г.) (1) Субектът на данни има право да възложи на юридическо лице с нестопанска цел, което има уставни цели от обществен интерес и развива дейност в областта на защитата на правата и свободите на физическите лица по отношение на защитата на техните лични данни, да подаде жалба от негово име и да упражни от негово име правата по чл. 38, ал. 1 и 6, чл. 38б, ал. 1, чл. 38в, ал. 4 и 5 и чл. 39, ал. 1.
(2) Субектът на данни не може да възложи на лице по ал. 1 да упражни правото му на обезщетение по чл. 39, ал. 2.
Глава девета.
Принудителни административни мерки. Административнонаказателни разпоредби (нова - дв, бр. 17 от 2019 г.)
Чл. 84. (Нов - ДВ, бр. 17 от 2019 г.) (1) Мерките по чл. 58, параграф 2, букви "а" - "з" и "й" от Регламент (ЕС) 2016/679 и мерките по чл. 80, ал. 1, т. 3, 4 и 5 са принудителни административни мерки по смисъла на Закона за административните нарушения и наказания.
(2) Мерките по ал. 1 се прилагат с решение на комисията, съответно на инспектората, което подлежи на обжалване по реда на Административнопроцесуалния кодекс в 14-дневен срок от получаването му.
Чл. 85. (Нов - ДВ, бр. 17 от 2019 г.) (1) За нарушения по чл. 25в на администратора или обработващия лични данни се налага глоба или имуществена санкция в размерите по чл. 83, параграф 4 от Регламент (ЕС) 2016/679.
(2) За нарушения по чл. 12а, ал. 2, чл. 25ж, ал. 1 и 2, чл. 25з, ал. 1 и 2, чл. 25и, чл. 25к и чл. 25н на администратора или обработващия лични данни се налага глоба или имуществена санкция в размерите по чл. 83, параграф 5 от Регламент (ЕС) 2016/679.
(3) За нарушения по чл. 45, чл. 49, чл. 51, чл. 53 - 56 и чл. 80, ал. 1, т. 1 и 2 на администратора или обработващия лични данни се налага глоба или имуществена санкция в размерите по чл. 83, параграф 5 от Регламент (ЕС) 2016/679.
(4) За нарушения по чл. 59, ал. 3 и 4, чл. 62 и 64 - 70 на администратора или обработващия лични данни се налага глоба или имуществена санкция в размерите по чл. 83, параграф 4 от Регламент (ЕС) 2016/679.
(5) За неизпълнение на влязло в сила решение по чл. 84, ал. 2, с което са приложени принудителни административни мерки по чл. 80, ал. 1, т. 4 и 5, на администратора или обработващия лични данни се налага глоба или имуществена санкция в размерите по чл. 83, параграф 5 от Регламент (ЕС) 2016/679.
(6) Размерите на предвидените в ал. 1 - 5 административни наказания се определят съгласно посочените в чл. 83, параграф 2 от Регламент (ЕС) 2016/679 критерии и се налагат в тяхната левова равностойност.
Чл. 86. (Нов - ДВ, бр. 17 от 2019 г.) (1) За други нарушения по този закон на администратор или обработващ лични данни се налага глоба или имуществена санкция до 5000 лв.
(2) За нарушение по ал. 1, извършено повторно, се налага глоба или имуществена санкция в двоен размер на първоначално наложената.
Чл. 87. (Нов - ДВ, бр. 17 от 2019 г.) (1) Извън случаите по чл. 38, ал. 1, установяването на нарушенията на Регламент (ЕС) 2016/679 или на този закон, издаването, обжалването и изпълнението на наказателните постановления се извършват по реда на Закона за административните нарушения и наказания.
(2) Актовете за установяване на административните нарушения се съставят от член на комисията или от оправомощени от комисията длъжностни лица, съответно от оправомощени със заповед на главния инспектор лица.
(3) Наказателните постановления се издават от председателя на комисията, съответно от главния инспектор или от оправомощени от него инспектори.
(4) Имуществените санкции и глобите по влезли в сила решения по чл. 38, ал. 3 и наказателни постановления се събират по реда на Данъчно-осигурителния процесуален кодекс.
(5) Събраните суми от наложени от комисията имуществени санкции и глоби постъпват по бюджета на комисията.
(6) Събраните суми от наложени от инспектората имуществени санкции и глоби постъпват по бюджета на съдебната власт.
Допълнителни разпоредби
§ 1. (Изм. - ДВ, бр. 17 от 2019 г.) По смисъла на този закон:
1. "Лични данни" е понятието по чл. 4, т. 1 от Регламент (ЕС) 2016/679.
2. "Администратор", с изключение на администратора по глава осма, е понятието по чл. 4, т. 7 от Регламент (ЕС) 2016/679.
3. "Обработващ лични данни" е понятието по чл. 4, т. 8 от Регламент (ЕС) 2016/679.
4. "Обработване" е понятието по чл. 4, т. 2 от Регламент (ЕС) 2016/679.
5. "Ограничаване на обработването" е понятието по чл. 4, т. 3 от Регламент (ЕС) 2016/679.
6. "Профилиране" е понятието по чл. 4, т. 4 от Регламент (ЕС) 2016/679.
7. "Псевдонимизация" е понятието по чл. 4, т. 5 от Регламент (ЕС) 2016/679.
8. "Регистър с лични данни" е понятието по чл. 4, т. 6 от Регламент (ЕС) 2016/679.
9. "Получател" е понятието по чл. 4, т. 9 от Регламент (ЕС) 2016/679. Държавен или местен орган, както и структура, чиято основна дейност е свързана с разходване на публични средства, които могат да получават лични данни в рамките на конкретно разследване в съответствие със закон, не се смятат за получатели по смисъла на глава осма. Обработването на лични данни от тези органи или структури отговаря на приложимите правила за защита на данните съгласно целите на обработването.
10. "Нарушение на сигурността на лични данни" е понятието по чл. 4, т. 12 от Регламент (ЕС) 2016/679.
11. "Генетични данни" е понятието по чл. 4, т. 13 от Регламент (ЕС) 2016/679.
12. "Биометрични данни" е понятието по чл. 4, т. 14 от Регламент (ЕС) 2016/679.
13. "Данни, свързани със здравословното състояние" е понятието по чл. 4, т. 15 от Регламент (ЕС) 2016/679.
14. "Международна организация" е понятието по чл. 4, т. 26 от Регламент (ЕС) 2016/679.
15. "Мащабно" е наблюдение и/или обработване на лични данни на значителен или неограничен брой субекти на данни или обем лични данни, когато основните дейности на администратора или обработващия лични данни, включително средствата за тяхното изпълнение, се състоят в такива операции.
16. "Риск" е възможността за настъпване на имуществена или неимуществена вреда за субекта на данните при определени условия, оценена от гледна точка на нейната тежест и вероятност.
17. "Публичен орган" е държавен или местен орган, както и структура, чиято основна дейност е свързана с разходване на публични средства.
18. "Изтриване" е необратимо заличаване на информацията от съответния носител.
19. "Унищожаване" е необратимо физическо разрушаване на материалния носител на информация.
20. "Повторно" е нарушението, извършено в срок една година от влизането в сила на решението на комисията или на наказателното постановление, с което нарушителят е наказан за същото по вид нарушение.
§ 1а. (Нов - ДВ, бр. 91 от 2006 г., изм. - ДВ, бр. 17 от 2019 г.) Този закон предвижда мерки по прилагане на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (ОВ, L 119/1 от 4 май 2016 г.), както и въвежда изискванията на Директива (ЕС) 2016/680 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания и относно свободното движение на такива данни, и за отмяна на Рамково решение 2008/977/ПВР на Съвета (ОВ, L 119/89 от 4 май 2016 г.).
Преходни и Заключителни разпоредби
§ 2. (1) В едномесечен срок от влизането в сила на този закон Министерският съвет предлага на Народното събрание състава на Комисията за защита на личните данни.
(2) В 14-дневен срок от внасяне на предложението по ал. 1 Народното събрание избира състава на Комисията за защита на личните данни.
(3) В 3-месечен срок от избирането ѝ Комисията за защита на личните данни приема и обнародва в "Държавен вестник" правилника по чл. 9, ал. 2.
(4) Министерският съвет в едномесечен срок от влизането в сила на решението на Народното събрание по ал. 2 осигурява необходимото имущество и финансови ресурси за започване работа на комисията.
§ 3. (1) В 6-месечен срок от влизането в сила на правилника по чл. 9, ал. 2 лицата, които към момента на влизане в сила на закона поддържат регистри с лични данни, ги привеждат в съответствие с изискванията на закона и уведомяват за това комисията.
(2) Комисията извършва предварителни проверки, регистрира или отказва да регистрира като администратори лица, които поддържат регистри към момента на влизане в сила на закона, както и водените от тях регистри в 3-месечен срок от получаването на заявлението по ал. 1.
(3) Решенията на комисията за отказ на регистрация подлежат на обжалване пред Върховния административен съд в 14-дневен срок.
(4) С влизането в сила на решението на комисията за отказ на регистрация или на решението на Върховния административен съд, с което се потвърждава отказът на комисията, лицето, което неправомерно води регистър, е длъжно да унищожи лични данни, съдържащи се в регистъра му, или със съгласието на комисията да ги прехвърли на друг администратор, който е регистрирал своя регистър и обработва лични данни за същите цели.
(5) Комисията осъществява контрол върху изпълнението на задължението по ал. 4.
(6) В 3-месечен срок от регистрацията администраторът по чл. 3, ал. 1 е длъжен да публикува в бюлетина на Комисията за защита на личните данни сведенията по чл. 22, ал. 1.
§ 4. В Закона за достъп до обществена информация (ДВ, бр. 55 от 2000 г.) се правят следните изменения:
1. В чл. 2, ал. 3 думите "лична информация" се заменят с "лични данни".
2. В § 1 т. 2 се изменя така:
"2. "Лични данни" са информация за физическо лице, която разкрива неговата физическа, психологическа, умствена, семейна, икономическа, културна или обществена идентичност."
§ 5. Законът влиза в сила от 1 януари 2002 г.
-------------------------
Законът е приет от ХХХIХ Народно събрание на 21 декември 2001 г. и е подпечатан с официалния печат на Народното събрание.
Преходни и Заключителни разпоредби
към закона за частните съдебни изпълнители
(ОБН. - ДВ, бр. 43 ОТ 2005 г., В СИЛА ОТ 01.09.2005 г.)
§ 23. Законът влиза в сила от 1 септември 2005 г.
Преходни и Заключителни разпоредби
към закона за изменение и допълнение на закона за защита на личните данни
(ОБН. - ДВ, бр. 103 ОТ 2005 г., ИЗМ. - ДВ, бр. 91 ОТ 2006 г.)
§ 50. Разпоредбата на § 38, относно чл. 36, се прилага до влизане в сила на Договора за присъединяване на Република България към Европейския съюз.
§ 51. (Изм. - ДВ, бр. 91 от 2006 г.) Разпоредбите на § 1, относно чл. 1, ал. 4, т. 3, § 8, т. 1, буква "в", относно чл. 10, ал. 1, т. 9, § 39, относно чл. 36а,§ 40, относно чл. 36б, и § 48, т. 5, относно т. 14 от допълнителната разпоредба, влизат в сила от датата на влизане в сила на Договора за присъединяване на Република България към Европейския съюз.
§ 52. В тримесечен срок от влизане в сила на закона Комисията за защита на личните данни приема Етичния кодекс по чл. 10, ал. 4 и наредбата по чл. 23, ал. 5.
Преходни и Заключителни разпоредби
към административнопроцесуалния кодекс
(ОБН. - ДВ, бр. 30 ОТ 2006 г., В СИЛА ОТ 12.07.2006 г.)
§ 142. Кодексът влиза в сила три месеца след обнародването му в "Държавен вестник", с изключение на:
1. дял трети, § 2, т. 1 и § 2, т. 2 - относно отмяната на глава трета, раздел II "Обжалване по съдебен ред", § 9, т. 1 и 2, § 11, т. 1 и 2, § 15, § 44, т. 1 и 2, § 51, т. 1, § 53, т. 1, § 61, т. 1, § 66, т. 3, § 76, т. 1 - 3, § 78, § 79, § 83, т. 1, § 84, т. 1 и 2, § 89, т. 1 - 4, § 101, т. 1, § 102, т. 1, § 107, § 117, т. 1 и 2, § 125, § 128, т. 1 и 2, § 132, т. 2 и § 136, т. 1, както и § 34, § 35, т. 2, § 43, т. 2, § 62, т. 1, § 66, т. 2 и 4, § 97, т. 2 и § 125, т. 1 - относно замяната на думата "окръжния" с "административния" и замяната на думите "Софийския градски съд" с "Административния съд - град София", които влизат в сила от 1 март 2007 г.;
2. параграф 120, който влиза в сила от 1 януари 2007 г.;
3. параграф 3, който влиза в сила от деня на обнародването на кодекса в "Държавен вестник".
Преходни и Заключителни разпоредби
към закона за изменение и допълнение на закона за защита на личните данни
(ОБН. - ДВ, бр. 91 ОТ 2006 г.)
§ 31. Разпоредбата на § 6 относно чл. 6, ал. 2 влиза в сила от 1 януари 2007 г.
§ 32. В срок два месеца от влизането в сила на този закон Комисията за защита на личните данни приема инструкцията по чл. 12, ал. 9.
§ 33. В срок три месеца от влизането в сила на този закон администраторите, които подлежат на регистрация, подават заявление за регистрация.
Преходни и Заключителни разпоредби
към закона за националния архивен фонд
(ОБН. - ДВ, бр. 57 ОТ 2007 г., В СИЛА ОТ 13.07.2007 г.)
§ 23. Законът влиза в сила от деня на обнародването му в "Държавен вестник".
Преходни и Заключителни разпоредби
към закона за изменение и допълнение на закона за предотвратяване и разкриване на конфликт на интереси
(ОБН. - ДВ, бр. 97 ОТ 2010 г., В СИЛА ОТ 10.12.2010 г.)
§ 61. Законът влиза в сила от деня на обнародването му в "Държавен вестник" с изключение на:
1. параграф 11 относно чл. 22а – 22д, който влиза в сила от 1 януари 2011 г.;
2. параграфи 7, 8, 9, § 11 относно чл. 22е – 22и и § 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22 и 23, които влизат в сила от 1 април 2011 г.
Допълнителни разпоредби
към закона за изменение и допълнение на закона за защита на личните данни
(ОБН. - ДВ, бр. 81 ОТ 2011 г.)
§ 15. Този закон въвежда изискванията на Рамково решение 2008/977/ПВР на Съвета от 27 ноември 2008 г. относно защитата на личните данни, обработвани в рамките на полицейското и съдебното сътрудничество по наказателноправни въпроси (ОВ, L 350/ 60 от 30 декември 2008 г.).
Преходни и Заключителни разпоредби
към закона за изменение и допълнение на закона за електронните съобщения
(ОБН. - ДВ, бр. 105 ОТ 2011 г., В СИЛА ОТ 29.12.2011 г.)
§ 220. Законът влиза в сила от деня на обнародването му в "Държавен вестник".
Преходни и Заключителни разпоредби
към закона за публичните финанси
(ОБН. - ДВ, бр. 15 ОТ 2013 г., В СИЛА ОТ 01.01.2014 г.)
§ 123. Законът влиза в сила от 1 януари 2014 г. с изключение на § 115, който влиза в сила от 1 януари 2013 г., и § 18, § 114, § 120, § 121 и § 122, които влизат в сила от 1 февруари 2013 г.
Преходни и Заключителни разпоредби
към закона за изменение и допълнение на закона за министерството на вътрешните работи
(ОБН. - ДВ, бр. 81 ОТ 2016 г., В СИЛА ОТ 01.01.2017 г.)
§ 102. Законът влиза в сила от 1 януари 2017 г., с изключение на:
1. параграфи 6 - 8, § 12, т. 1, 2 и 4, § 13, § 14, § 18 - 20, § 23, § 26 - 31, § 32, т. 1 и 4, § 33 - 39, § 41 - 48, § 49 относно чл. 187, ал. 3, изречение първо, § 50 - 59, § 61 - 65, § 81 - 85, § 86, т. 4 и 5, § 87, т. 3, § 90, т. 1, § 91, т. 2 и 3, § 92, § 93 и § 97 - 101, които влизат в сила от деня на обнародването на закона в "Държавен вестник";
2. параграф 32, т. 2 и 3, § 49 относно чл. 187, ал. 3, ново изречение второ, § 69 - 72, § 76 относно лицата по § 70, § 78 по отношение на служителите по § 69 и § 70, § 79 по отношение на служителите по § 69 и § 70, § 91, т. 1 и § 94, които влизат в сила от 1 февруари 2017 г.
Преходни и Заключителни разпоредби
към закона за допълнение на закона за ограничаване на административното регулиране и административния контрол върху стопанската дейност
(ОБН. - ДВ, бр. 103 ОТ 2017 г., В СИЛА ОТ 01.01.2018 г.)
§ 68. Законът влиза в сила от 1 януари 2018 г.
Преходни и Заключителни разпоредби
към закона за изменение и допълнение на закона за защита на личните данни
(ОБН. - ДВ, бр. 17 ОТ 2019 г.)
§ 44. (1) Образуваните до 25 май 2018 г. и неприключили до влизането в сила на този закон производства за нарушения на закона се довършват по досегашния ред.
(2) За нарушения на закона и на Регламент (ЕС) 2016/679, извършени до влизането в сила на този закон, срокът за сезиране на комисията по чл. 38 е една година от узнаването на нарушението, но не по-късно от 5 години от извършването му.
§ 45. Системите за автоматизирано обработване, използвани от компетентните органи по чл. 42, ал. 4 за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществения ред и сигурност и тяхното предотвратяване, създадени преди 6 май 2016 г., се привеждат в съответствие с чл. 63, ал. 1 и 2 до 6 май 2023 г.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
§ 120. В срок до една година от влизането в сила на този закон Комисията за защита на личните данни приема наредбите по чл. 14, ал. 5 и 6 и по чл. 14а, ал. 3.
Релевантни актове от Европейското законодателство
Директиви:
ДИРЕКТИВА (ЕС) 2016/680 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания и относно свободното движение на такива данни, и за отмяна на Рамково решение 2008/977/ПВР на Съвета
ДИРЕКТИВА 2002/58/ЕО НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 12 юли 2002 година относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации (Директива за правото на неприкосновеност на личния живот и електронни комуникации)
ДИРЕКТИВА 95/46/ЕО НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (отм.)
Регламенти:
РЕГЛАМЕНТ (ЕС) 2016/679 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните)
РЕГЛАМЕНТ (ЕС) № 910/2014 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 23 юли 2014 година относно електронната идентификация и удостоверителните услуги при електронни трансакции на вътрешния пазар и за отмяна на Директива 1999/93/ЕО
РЕГЛАМЕНТ (ЕО) № 45/2001 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 18 декември 2000 година относно защитата на лицата по отношение на обработката на лични данни от институции и органи на Общността и за свободното движение на такива данни
РЕГЛАМЕНТ (ЕИО) № 2380/74 НА СЪВЕТА от 17 септември 1974 година за приемане на разпоредби за разпространяване на информация, свързана с научноизследователски програми за Европейската икономическа общност
Решения:
РАМКОВО РЕШЕНИЕ 2008/977/ПВР НА СЪВЕТА от 27 ноември 2008 година относно защитата на личните данни, обработвани в рамките на полицейското и съдебното сътрудничество по наказателноправни въпроси (отм.)
РЕШЕНИЕ 2001/497/ЕО НА КОМИСИЯТА от 15 юни 2001 година относно общите договорни клаузи за трансфера на лични данни към трети страни съгласно Директива 95/46/ЕО (нотифицирано под номер С(2001) 1539)
РЕШЕНИЕ 2000/518/ЕО НА КОМИСИЯТА от 26 юли 2000 година съгласно Директива 95/46/EО на Европейския парламент и на Съвета за адекватната защита на личните данни, предоставяни в Швейцария (нотифицирано под номер C(2000) 2304)
Общи положения
Чл. 1. (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 17 от 2019 г.) (1) Този закон урежда обществените отношения, свързани със защитата на правата на физическите лица при обработване на личните им данни, доколкото същите не са уредени в Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (ОВ, L 119/1 от 4 май 2016 г.), наричан по-нататък "Регламент (ЕС) 2016/679".
(2) С този закон се определят и правила във връзка със защитата на физическите лица при обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществения ред и сигурност и тяхното предотвратяване.
(3) Целта на закона е да осигури защита на физическите лица във връзка с обработването на лични данни в съответствие с Регламент (ЕС) 2016/679, както и във връзка с обработването на лични данни от компетентните органи за целите по ал. 2.
(4) Този закон урежда и:
1. статута на Комисията за защита на личните данни като надзорен орган, отговорен за защита на основните права и свободи на физическите лица във връзка с обработването и улесняването на свободното движение на лични данни в Европейския съюз;
2. правомощията на Инспектората към Висшия съдебен съвет при осъществяването на надзор при обработването на лични данни в случаите по чл. 17;
3. средствата за правна защита;
4. акредитирането и сертифицирането в областта на защитата на личните данни;
5. особени случаи на обработване на лични данни.
(5) Този закон не се прилага за обработването на лични данни за целите на отбраната на страната и националната сигурност, доколкото в специален закон не е предвидено друго.
(6) Този закон не се прилага за обработването на лични данни на починали лица, освен в случаите по чл. 25е.
(7) При обработването на лични данни по чл. 2 от Регламент (ЕС) 2016/679 държавите, които са страни по Споразумението за Европейското икономическо пространство, и Конфедерация Швейцария са равнопоставени на държавите - членки на Европейския съюз. Всички други държави са трети държави.
(8) При обработването на лични данни за целите по чл. 42, ал. 1 държавите, участващи в изпълнението, прилагането и развитието на достиженията на правото от Шенген, са равнопоставени на държавите - членки на Европейския съюз. Всички други държави са трети държави.
Чл. 2. (Доп. - ДВ, бр. 70 от 2004 г., в сила от 01.01.2005 г., изм. - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 17 от 2019 г.)
Чл. 3. (Отм. - ДВ, бр. 17 от 2019 г.)
Чл. 4. (Изм. - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 17 от 2019 г.)
Чл. 5. (Изм. - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 17 от 2019 г.)
Глава втора.
Комисия за защита на личните данни
Чл. 6. (1) (Изм. - ДВ, бр. 17 от 2019 г.) Комисията за защита на личните данни, наричана по-нататък "комисията", е постоянно действащ независим надзорен орган, който осъществява защитата на лицата при обработването на техните лични данни и при осъществяването на достъпа до тези данни, както и контрола по спазването на Регламент (ЕС) 2016/679 и на този закон.
(2) (Нова - ДВ, бр. 94 от 2010 г.) Комисията съдейства за провеждането на държавната политика в областта на защита на личните данни.
(3) (Доп. - ДВ, бр. 91 от 2006 г., в сила от 01.01.2007 г., предишна ал. 2 - ДВ, бр. 94 от 2010 г., изм. - ДВ, бр. 15 от 2013 г., в сила от 01.01.2014 г., изм. - ДВ, бр. 17 от 2019 г.) Комисията е юридическо лице на бюджетна издръжка със седалище София, а нейният председател е първостепенен разпоредител с бюджет.
Чл. 7. (1) Комисията е колегиален орган и се състои от председател и 4 членове.
(2) (Изм. - ДВ, бр. 91 от 2006 г., доп. - ДВ, бр. 17 от 2019 г.) Членовете на комисията и председателят ѝ се избират от Народното събрание по предложение на Министерския съвет за срок 5 години и могат да бъдат преизбирани за още един мандат. Председателят и членовете на комисията изпълняват функциите си и след изтичането на мандата им до избора на новите председател и членове.
(3) Председателят и членовете на комисията осъществяват своята дейност по трудово правоотношение.
(4) (Нова - ДВ, бр. 91 от 2006 г.) Членовете на комисията получават основно месечно възнаграждение, равно на 2,5 средномесечни работни заплати на наетите лица по трудово и служебно правоотношение в обществения сектор съобразно данни на Националния статистически институт. Основното месечно възнаграждение се преизчислява всяко тримесечие, като се взема предвид средномесечната работна заплата за последния месец от предходното тримесечие.
(5) (Нова - ДВ, бр. 91 от 2006 г.) Председателят на комисията получава месечно възнаграждение с 30 на сто по-високо от основното месечно възнаграждение по ал. 4.
(6) (Изм. - ДВ, бр. 103 от 2005 г., предишна ал. 4 - ДВ, бр. 91 от 2006 г., изм. - ДВ, бр. 17 от 2019 г.) Комисията до 31 март всяка година представя годишен отчет за своята дейност пред Народното събрание.
Чл. 8. (1) За членове на комисията могат да бъдат избирани български граждани, които:
1. имат висше образование по информатика, по право или са магистри по информационни технологии;
2. имат трудов стаж по специалността си не по-малко от 10 години;
3. (доп. - ДВ, бр. 103 от 2005 г.) не са осъждани на лишаване от свобода за умишлени престъпления от общ характер, независимо дали са реабилитирани;
(2) Членове на комисията не могат:
1. (изм. - ДВ, бр. 103 от 2005 г.) да бъдат лица, които са еднолични търговци, управители/прокуристи или членове на управителни или на контролни органи на търговски дружества, кооперации или администратори на лични данни по смисъла на този закон;
2. да заемат друга платена длъжност, освен когато упражняват научна или преподавателска дейност;
3. (нова - ДВ, бр. 42 от 2009 г.) да бъдат лица, които са съпрузи или се намират във фактическо съжителство, роднини по права линия, по съребрена линия - до четвърта степен включително, или по сватовство - до втора степен включително, с друг член на комисията.
(3) За председател на комисията се избира правоспособен юрист, който отговаря на изискванията по ал. 1 и 2.
(4) Мандатът на председателя или член на комисията се прекратява предсрочно:
1. при смърт или поставяне под запрещение;
2. по решение на Народното събрание, когато:
а) е подал молба за освобождаване;
б) е извършил грубо нарушение на този закон;
в) е извършил умишлено престъпление от общ характер, за което има влязла в сила присъда;
г) е налице невъзможност да изпълнява задълженията си за срок по-дълъг от шест месеца;
д) (нова - ДВ, бр. 42 от 2009 г., изм. - ДВ, бр. 97 от 2010 г., в сила от 10.12.2010 г., изм. - ДВ, бр. 7 от 2018 г.) е налице влязъл в сила акт, с който е установен конфликт на интереси по Закона за противодействие на корупцията и за отнемане на незаконно придобитото имущество.
(5) (Изм. и доп. - ДВ, бр. 103 от 2005 г.) В случаите по ал. 4 Министерският съвет предлага на Народното събрание да избере нов член за срок до края на първоначалния мандат на съответния член на комисията.
(6) Времето, през което лицето е работило като председател или член на комисията, се признава и за служебен стаж по Закона за държавния служител.
(7) (Нова - ДВ, бр. 103 от 2017 г., в сила от 01.01.2018 г.) Обстоятелствата по ал. 1, т. 3 се установяват служебно от органа, който прави предложението.
Чл. 9. (1) (Изм. - ДВ, бр. 17 от 2019 г.) При осъществяването на своята дейност комисията се подпомага от администрация.
(2) (Изм. - ДВ, бр. 17 от 2019 г.) Комисията урежда в правилник своята дейност, дейността на администрацията си и реда за разглеждане на производствата пред нея и го обнародва в "Държавен вестник".
(3) Решенията на комисията се вземат с мнозинство от общия брой на членовете ѝ.
(4) Заседанията на комисията са открити. Комисията може да реши отделни заседания да бъдат закрити.
Чл. 10. (1) (Нова - ДВ, бр. 17 от 2019 г.) Комисията изпълнява задачите по чл. 57 от Регламент (ЕС) 2016/679.
(2) (Отм., предишна ал. 1, изм. - ДВ, бр. 17 от 2019 г.) Освен задачите по ал. 1, комисията:
1. анализира и осъществява цялостен надзор и осигурява спазването на Регламент (ЕС) 2016/679, на този закон и на нормативните актове в областта на защитата на лични данни, освен в случаите по чл. 17;
2. издава подзаконови нормативни актове в областта на защитата на личните данни;
3. осигурява прилагането на решенията на Европейската комисия в областта на защитата на личните данни и изпълнението на задължителните решения на Европейския комитет по защита на данните по чл. 65 от Регламент (ЕС) 2016/679;
4. участва в международното сътрудничество с други органи по защита на личните данни и международните организации по въпросите в областта на защитата на личните данни;
5. участва в преговорите и сключването на двустранни или многостранни споразумения по въпроси от своята компетентност;
6. организира, координира и провежда обучение в областта на защитата на личните данни;
7. издава общи и нормативни административни актове, свързани с правомощията ѝ, в случаите, предвидени в закон.
(3) (Доп. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г.) Комисията издава бюлетин, в който публикува информация за своята дейност и за взетите решения. В бюлетина се публикува и отчетът по чл. 7, ал. 6.
(4) (Нова - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г., отм. - ДВ, бр. 17 от 2019 г.)
Чл. 10а. (Нов - ДВ, бр. 17 от 2019 г.) (1) Комисията упражнява правомощията по чл. 58 от Регламент (ЕС) 2016/679.
(2) Комисията има и следните правомощия:
1. сезира съда за нарушаване на Регламент (ЕС) 2016/679;
2. дава указания, издава насоки, препоръки и най-добри практики във връзка със защитата на личните данни.
Чл. 10б. (Нов - ДВ, бр. 17 от 2019 г.) На комисията може да се възлагат други задачи и правомощия само със закон.
Чл. 10в. (Нов - ДВ, бр. 17 от 2019 г.) (1) Комисията участва в механизма за съгласуваност по чл. 63 от Регламент (ЕС) 2016/679 и осъществява сътрудничество с водещия или със засегнатите надзорни органи на държавите - членки на Европейския съюз, включително като обменя информация, предоставя или иска взаимопомощ или участва в съвместни операции съгласно Регламент (ЕС) 2016/679.
(2) Формите на участие в механизма за съгласуваност, предоставянето и искането на взаимопомощ и участието в съвместни операции, както и процедурите, по които те се осъществяват, се определят с правилника по чл. 9, ал. 2.
Чл. 10г. (Нов - ДВ, бр. 17 от 2019 г.) При упражняване на задачите и правомощията си по отношение на администратори или обработващи лични данни, които са микропредприятия, малки и средни предприятия по смисъла на чл. 3 от Закона за малките и средните предприятия, комисията взема предвид техните специални потребности и налични ресурси.
Чл. 11. Председателят на комисията:
1. организира и ръководи дейността на комисията съобразно закона и решенията на комисията и отговаря за изпълнението на задълженията ѝ;
2. представлява комисията пред трети лица;
3. (доп. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 81 от 2011 г.) назначава и освобождава държавните служители и сключва и прекратява трудовите договори на служителите по трудови правоотношения от администрацията.
4. (нова - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 17 от 2019 г.) издава наказателни постановления по чл. 87, ал. 3.
Чл. 12. (Изм. - ДВ, бр. 91 от 2006 г.) (1) (Изм. - ДВ, бр. 17 от 2019 г.) Председателят и членовете на комисията или упълномощени от нея лица от администрацията ѝ осъществяват контрол чрез предварителни консултации, проверки и съвместни операции за спазване на Регламент (ЕС) 2016/679 и на този закон.
(2) (Изм. - ДВ, бр. 17 от 2019 г.) Освен в случаите по чл. 36, параграф 1 от Регламент (ЕС) 2016/679 предварителни консултации се извършват и когато се обработват лични данни в изпълнение на задача в обществен интерес, включително обработване във връзка със социалната закрила и общественото здраве. В този случай комисията може да разреши обработването преди изтичането на срока по чл. 36, параграф 2 от Регламент (ЕС) 2016/679.
(3) (Изм. - ДВ, бр. 17 от 2019 г.) Предварителните консултации се извършват съгласно чл. 36, параграфи 2 и 3 от Регламент (ЕС) 2016/679.
(4) (Изм. - ДВ, бр. 17 от 2019 г.) Проверки се извършват по инициатива на комисията, по жалба на заинтересовани лица или след подаден сигнал.
(5) Проверяващите лица се легитимират със служебна карта и заповед на председателя на комисията за съответната проверка.
(6) При извършване на проверки лицата по ал. 1 могат да възлагат изготвяне на експертизи по реда на Гражданския процесуален кодекс.
(7) Проверката завършва с констативен акт.
(8) (Изм. - ДВ, бр. 17 от 2019 г.) Когато в хода на проверката се установи административно нарушение, се образува административнонаказателно производство.
(9) (Нова - ДВ, бр. 17 от 2019 г.) Независимо от административното наказание, при установяване на административно нарушение може да се приложи принудителна административна мярка по глава девета.
(10) (Предишна ал. 9 - ДВ, бр. 17 от 2019 г.) Условията и редът за осъществяване на контрол се определят с инструкция на комисията.
(11) (Нова - ДВ, бр. 17 от 2019 г.) Съвместни операции с надзорни органи на други държави - членки на Европейския съюз, съгласно чл. 62 от Регламент (ЕС) 2016/679 се извършват по целесъобразност за съвместни разследвания и съвместни мерки за изпълнение и в тях участват освен лицата по ал. 1 и членове или упълномощени представители от надзорния орган на съответната държава - членка на Европейския съюз.
Чл. 12а. (Нов - ДВ, бр. 17 от 2019 г.) (1) При поискване администраторът и обработващият лични данни оказват съдействие на комисията при изпълнение на нейните задачи и правомощия.
(2) Когато при упражняването на правомощията на комисията по чл. 58, параграф 1, букви "д" и "е" от Регламент (ЕС) 2016/679 може да се наруши задължение на администратора или обработващия лични данни за опазване на професионална тайна или друго задължение за опазване на тайна, произтичащо от закон, администраторът или обработващият лични данни отказва предоставяне или достъп само до информацията, защитена като тайна.
(3) Когато информацията съдържа данни, представляващи класифицирана информация, се прилага редът за достъп по Закона за защита на класифицираната информация.
Чл. 13. (Изм. - ДВ, бр. 103 от 2005 г.) (1) Председателят и членовете на комисията и служителите от нейната администрация са длъжни да не разгласяват и да не се възползват за свое или чуждо облагодетелстване от информацията, представляваща защитена от закон тайна, която им е станала известна при осъществяване на тяхната дейност, до изтичане на срока за защитата ѝ.
(2) При постъпване на работа лицата по ал. 1 подават декларация за задълженията си по ал. 1.
(3) (Нова - ДВ, бр. 17 от 2019 г.) Председателят, членовете на комисията и служителите от администрацията, назначени по трудово правоотношение, имат право ежегодно на представително облекло на стойност до две минимални работни заплати, като средствата се осигуряват от бюджета на комисията. Индивидуалният размер на средствата се определя от председателя на комисията при условия и по ред, определени с правилника по чл. 9, ал. 2.
Чл. 14. (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 17 от 2019 г.) (1) Комисията извършва акредитация на сертифициращи органи в съответствие с Регламент (ЕС) 2016/679 въз основа на изисквания, определени от нея или от Европейския комитет по защита на данните.
(2) Акредитацията се издава съгласно чл. 43, параграф 2 от Регламент (ЕС) 2016/679 за срок 5 години и може да се поднови.
(3) Комисията отнема акредитацията на сертифициращ орган, когато не са спазени условията за акредитация или когато предприетите от сертифициращия орган действия нарушават този закон или Регламент (ЕС) 2016/679.
(4) Решенията на комисията за отнемане на акредитация по ал. 3 може да се обжалват по реда на Административнопроцесуалния кодекс.
(5) Условията, включително изискванията по ал. 1, и редът за акредитация и отнемане на акредитацията се определят с наредба, приета от комисията. Наредбата се обнародва в "Държавен вестник".
(6) Критериите, механизмите и процедурите за сертифициране, печати и маркировки се определят с наредба, приета от комисията. Наредбата се обнародва в "Държавен вестник".
Чл. 14а. (Нов - ДВ, бр. 17 от 2019 г.) (1) Комисията одобрява проекти на кодекси за поведение по сектори и области на дейност съгласно чл. 40 от Регламент (ЕС) 2016/679. Условията, редът и критериите за одобряване на кодексите за поведение се определят с правилника по чл. 9, ал. 2.
(2) Комисията извършва акредитация на органи за наблюдение на одобрени кодекси за поведение по ал. 1 в съответствие с чл. 41 от Регламент (ЕС) 2016/679.
(3) Изискванията за акредитация по ал. 2 и редът за акредитация и отнемане на акредитацията се определят с наредба, приета от комисията. Наредбата се обнародва в "Държавен вестник".
(4) Комисията отнема акредитацията на орган за наблюдение на одобрени кодекси за поведение, когато не са спазени изискванията за акредитация, или когато предприетите от органа действия нарушават този закон или Регламент (ЕС) 2016/679.
(5) Решенията на комисията за отнемане на акредитация по ал. 4 може да се обжалват по реда на Административнопроцесуалния кодекс.
Чл. 15. (Отм. - ДВ, бр. 103 от 2005 г., нов - ДВ, бр. 17 от 2019 г.) (1) Комисията води следните публични регистри:
1. регистър на администраторите и обработващите лични данни, които са определили длъжностни лица по защита на данните;
2. регистър на акредитираните по чл. 14 сертифициращи органи;
3. регистър на кодексите за поведение по чл. 40 от Регламент (ЕС) 2016/679.
(2) Комисията води следните регистри, които не са публични:
1. регистър на нарушенията на Регламент (ЕС) 2016/679 и на този закон, както и на предприетите мерки в съответствие с упражняването на правомощията по чл. 58, параграф 2 от Регламент (ЕС) 2016/679;
2. регистър на уведомленията за нарушения на сигурността на личните данни по чл. 33 от Регламент (ЕС) 2016/679 и по чл. 67.
(3) Редът за създаване и поддържане на регистрите по ал. 1 и 2 и достъпът до тях се определят съгласно Закона за електронното управление, а съдържанието им - с правилника по чл. 9, ал. 2.
Чл. 16. (Изм. - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 91 от 2006 г., нов - ДВ, бр. 17 от 2019 г.) (1) Условията и редът за провеждане на обучение по чл. 10, ал. 2, т. 6 се определят с правилника по чл. 9, ал. 2.
(2) Комисията издава сертификат на лицата, преминали обучение по ал. 1, след успешно положен изпит. Сертификатът се издава за срок три години. След изтичането на срока по изречение второ сертификат се подновява след успешно положен изпит при условия и по ред, определени с правилника по чл. 9, ал. 2.
(3) Наличието на сертификат по ал. 2 не може да бъде задължително условие за назначаване или изпълнение на функциите на длъжностно лице по защита на данните.
(4) За обучението по ал. 1 се събират такси, освен в случаите на обучение, организирано и проведено по инициатива на комисията. Таксите се определят с тарифа, одобрена от Министерския съвет по предложение на комисията.
Глава трета.
Инспекторат към висшия съдебен съвет
(загл. Изм. - дв, бр. 103 от 2005 г., изм. - дв, бр. 17 от 2019 г.)
Чл. 17. (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г., изм. - ДВ, бр. 17 от 2019 г.) (1) Инспекторатът към Висшия съдебен съвет, наричан по-нататък "инспектората", осъществява надзор и осигурява спазването на Регламент (ЕС) 2016/679, на този закон и на нормативните актове в областта на защитата на личните данни при обработване на лични данни от:
1. съда при изпълнение на функциите му на орган на съдебната власт, и
2. прокуратурата и следствените органи при изпълнение на функциите им на органи на съдебната власт за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания.
(2) Редът за осъществяване на дейността по ал. 1, включително за извършване на проверки и за разглеждане на производствата пред инспектората, се определя с правилника по чл. 55, ал. 8 от Закона за съдебната власт.
(3) При осъществяване на надзора по ал. 1 се прилага и чл. 12а.
Чл. 17а. (Нов - ДВ, бр. 91 от 2006 г., изм. - ДВ, бр. 17 от 2019 г.) (1) При осъществяване на надзора при обработване на лични данни от съда при изпълнение на функциите му на орган на съдебната власт, освен при обработване на лични данни за целите по чл. 42, ал. 1 инспекторатът:
1. изпълнява задачите по чл. 57, параграф 1, букви "а" - "и", "л", "ф" и "х" и параграфи 2 и 3 от Регламент (ЕС) 2016/679;
2. упражнява правомощията по чл. 58, параграф 1, букви "а", "б", "г", "д", "е", параграф 2, букви "а" - "ж", "и" и "й" и параграф 3, букви "а", "б" и "в" от Регламент (ЕС) 2016/679;
3. прилага съответно списъка, изготвен от комисията съгласно чл. 35, параграф 4 от Регламент (ЕС) 2016/679 във връзка с изискването за оценка на въздействието върху защитата на данните;
4. сезира съда за нарушаване на Регламент (ЕС) 2016/679.
(2) Освен задачите и правомощията по ал. 1 инспекторатът:
1. участва в международното сътрудничество с други органи по защита на личните данни и международните организации по въпросите в областта на защитата на личните данни;
2. дава указания, издава насоки, препоръки и най-добри практики във връзка със защитата на личните данни.
(3) При осъществяване на надзора при обработване на лични данни за целите по чл. 42, ал. 1 от съда, прокуратурата и следствените органи при изпълнение на функциите им на органи на съдебната власт инспекторатът изпълнява задачите и упражнява правомощията по глава осма.
Чл. 17б. (Нов - ДВ, бр. 91 от 2006 г., изм. - ДВ, бр. 17 от 2019 г.) (1) Инспекторатът извършва предварителни консултации:
1. в случаите по чл. 36, параграф 1 от Регламент (ЕС) 2016/679;
2. при обработване на лични данни в изпълнение на задача в обществен интерес; в този случай инспекторатът може да разреши обработването преди изтичането на срока по чл. 36, параграф 2 от Регламент (ЕС) 2016/679.
(2) Предварителните консултации се извършват съгласно чл. 36, параграфи 2 и 3 от Регламент (ЕС) 2016/679.
Чл. 18. (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 17 от 2019 г.) (1) При осъществяване на надзора по чл. 17, ал. 1 инспекторатът извършва проверки, предвидени в годишната му програма или по сигнали. За сигнал се приема и публикация в средствата за масово осведомяване.
(2) Проверката се извършва от главния инспектор или от инспектор, който се подпомага от експерти, въз основа на заповед на главния инспектор.
Чл. 19. (Доп. - ДВ, бр. 93 от 2004 г., изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 17 от 2019 г.) (1) Проверката приключва с акт за резултати, в който се отразяват направените констатации и при необходимост се правят препоръки.
(2) Когато при проверката бъде установено нарушение на Регламент (ЕС) 2016/679 и на този закон, в зависимост от характера и степента на нарушението се прилагат мерките по чл. 58, параграф 2, букви "а" - "ж" и "й" от Регламент (ЕС) 2016/679 или по чл. 80, ал. 1, т. 3, 4 и 5 и/или се налагат административни наказания в съответствие с чл. 83 от Регламент (ЕС) 2016/679, както и по глава девета.
(3) Мерките по чл. 58, параграф 2, букви "а" - "ж" и "й" от Регламент (ЕС) 2016/679 и по чл. 80, ал. 1, т. 3, 4 и 5 се прилагат с решение на инспектората по предложение на инспектора, извършил проверката.
Чл. 20. (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 17 от 2019 г.) (1) Главният инспектор, инспекторите и съдебните служители в администрацията на инспектората са длъжни да не разгласяват и да не се възползват за свое или чуждо облагодетелстване от информацията, представляваща защитена от закон тайна, която им е станала известна при осъществяване на тяхната дейност по този закон, до изтичане на срока за защитата ѝ.
Чл. 21. (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 17 от 2019 г.) (1) Инспекторатът води следните регистри, които не са публични:
1. регистър на нарушенията на Регламент (ЕС) 2016/679 и на този закон, както и на предприетите мерки в съответствие с упражняването на правомощията по чл. 58, параграф 2, букви "а" - "ж", "и" и "й" от Регламент (ЕС) 2016/679;
2. регистър на уведомленията за нарушения на сигурността на личните данни по чл. 33 от Регламент (ЕС) 2016/679 и по чл. 67.
(2) Редът за създаване и поддържане на регистрите по ал. 1 и достъпът до тях се определят съгласно Закона за електронното управление, а съдържанието им - с правилника по чл. 55, ал. 8 от Закона за съдебната власт.
Чл. 22. (Изм. - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 17 от 2019 г.)
Чл. 22а. (Нов - ДВ, бр. 91 от 2006 г., отм. - ДВ, бр. 17 от 2019 г.)
Глава четвърта.
Защита на личните данни
(отм. - дв, бр. 17 от 2019 г.)
Чл. 23. (Изм. - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 17 от 2019 г.)
Чл. 23а. (Нов - ДВ, бр. 81 от 2011 г., отм. - ДВ, бр. 17 от 2019 г.)
Чл. 23б. (Нов - ДВ, бр. 81 от 2011 г., отм. - ДВ, бр. 17 от 2019 г.)
Чл. 24. (Отм. - ДВ, бр. 17 от 2019 г.)
Чл. 25. (Отм. - ДВ, бр. 17 от 2019 г.)
Глава четвърта "а".
Общи правила при обработване на лични данни. Особени случаи на обработване на лични данни (нова - дв, бр. 17 от 2019 г.)
Чл. 25а. (Нов - ДВ, бр. 17 от 2019 г.) Когато лични данни са предоставени от субекта на данни на администратор или обработващ лични данни без правно основание по чл. 6, параграф 1 от Регламент (ЕС) 2016/679 или в противоречие с принципите по чл. 5 от същия регламент, в срок един месец от узнаването администраторът или обработващият лични данни ги връща, а ако това е невъзможно или изисква несъразмерно големи усилия, ги изтрива или унищожава. Изтриването и унищожаването се документират.
Чл. 25б. (Нов - ДВ, бр. 17 от 2019 г.) Администраторът и обработващият лични данни уведомяват комисията за имената, единния граждански номер или личния номер на чужденец или друг аналогичен идентификатор, и за данните за контакт на длъжностното лице по защита на данните, както и за последващи промени в тях. Формата и съдържанието на уведомлението и редът за подаването му се определят с правилника по чл. 9, ал. 2.
Чл. 25в. (Нов - ДВ, бр. 17 от 2019 г.) Обработването на данни на субект на данни - лице, ненавършило 14 години, въз основа на съгласие по смисъла на чл. 4, т. 11 от Регламент (ЕС) 2016/679, включително в случаите на пряко предлагане на услуги на информационното общество по смисъла на чл. 1, ал. 3 от Закона за електронната търговия, е законосъобразно само ако съгласието е дадено от упражняващия родителски права родител или от настойника на субекта на данните.
Чл. 25г. (Нов - ДВ, бр. 17 от 2019 г.) Администратор или обработващ лични данни може да копира документ за самоличност, свидетелство за управление на моторно превозно средство или документ за пребиваване само ако това е предвидено със закон.
Чл. 25д. (Нов - ДВ, бр. 17 от 2019 г.) (1) Администраторът или обработващият лични данни приема и прилага правила при мащабно обработване на лични данни или при систематично мащабно наблюдение на публично достъпни зони, включително чрез видеонаблюдение, с които въвежда подходящи технически и организационни мерки за защита на правата и свободите на субектите на данни. Правилата за систематично мащабно наблюдение на публично достъпни зони съдържат правните основания и целите за изграждане на система за наблюдение, териториалния обхват на наблюдение и средствата за наблюдение, срока на съхранение на записите с информация и изтриването им, правото на достъп от страна на наблюдаваните лица, информиране на обществеността за осъществяваното наблюдение, както и ограничения при предоставяне на достъп до информацията на трети лица.
(2) Комисията дава насоки на администраторите и на обработващите лични данни при изпълнение на задължението им по ал. 1, които публикува на Интернет страницата си.
Чл. 25е. (Нов - ДВ, бр. 17 от 2019 г.) (1) Администраторът или обработващият лични данни може да обработва лични данни на починали лица само при наличие на правно основание за това. В тези случаи администраторът или обработващият лични данни предприема подходящи мерки за недопускане на неблагоприятно засягане на правата и свободите на други лица или на обществен интерес.
(2) Администраторът осигурява при поискване достъп до лични данни на починало лице, включително предоставя копие от тях, на наследниците му или на други лица с правен интерес.
Чл. 25ж. (Нов - ДВ, бр. 17 от 2019 г.) (1) Свободен публичен достъп до информация, съдържаща единен граждански номер или личен номер на чужденец, не се допуска, освен ако закон предвижда друго.
(2) Администраторите, предоставящи услуги по електронен път, предприемат подходящи технически и организационни мерки, които не позволяват единният граждански номер или личният номер на чужденец да е единственото средство за идентификация на потребителя при предоставяне на отдалечен достъп до съответната услуга.
(3) За целите на предоставяне на административни услуги по електронен път при условията на Закона за електронното управление администраторът осигурява възможност на субекта на данни да се идентифицира по ред, предвиден със закон.
Чл. 25з. (Нов - ДВ, бр. 17 от 2019 г.) (1) Обработването на лични данни за журналистически цели, както и за академичното, художественото или литературното изразяване, е законосъобразно, когато се извършва за осъществяване на свободата на изразяване и правото на информация, при зачитане на неприкосновеността на личния живот.
(2) При разкриване чрез предаване, разпространяване или друг начин, по който лични данни, събрани за целите по ал. 1, стават достъпни, балансът между свободата на изразяване и правото на информация и правото на защита на личните данни се преценява въз основа на следните критерии, доколкото са относими:
1. естеството на личните данни;
2. влиянието, което разкриването на личните данни или тяхното обществено оповестяване би оказало върху неприкосновеността на личния живот на субекта на данни и неговото добро име;
3. обстоятелствата, при които личните данни са станали известни на администратора;
4. характера и естеството на изявлението, чрез което се упражняват правата по ал. 1;
5. значението на разкриването на лични данни или общественото им оповестяване за изясняването на въпрос от обществен интерес;
6. отчитане дали субектът на данни е лице, което заема длъжност по чл. 6 от Закона за противодействие на корупцията и за отнемане на незаконно придобитото имущество, или е лице, което поради естеството на своята дейност или ролята му в обществения живот е с по-занижена защита на личната си неприкосновеност или чиито действия имат влияние върху обществото;
7. отчитане дали субектът на данни с действията си е допринесъл за разкриване на свои лични данни и/или информация за личния си и семеен живот;
8. целта, съдържанието, формата и последиците от изявлението, чрез което се упражняват правата по ал. 1;
9. съответствието на изявлението, чрез което се упражняват правата по ал. 1, с основните права на гражданите;
10. други обстоятелства, относими към конкретния случай.
(3) При обработване на лични данни за целите по ал. 1:
1. не се прилагат чл. 6, 9, 10, 30, 34 и глава пета от Регламент (ЕС) 2016/679, както и чл. 25в;
2. администраторът или обработващият лични данни може да откаже пълно или частично упражняването на правата на субектите на данни по чл. 12 - 21 от Регламент (ЕС) 2016/679.
(4) Упражняването на правомощията на комисията по чл. 58, параграф 1 от Регламент (ЕС) 2016/679 не може да води до разкриване на тайната на източника на информация.
(5) При обработването на лични данни за целите на създаване на фотографско или аудио-визуално произведение чрез заснемане на лице в хода на обществената му дейност или на обществено място не се прилагат чл. 6, чл. 12 - 21, чл. 30 и 34 от Регламент (ЕС) 2016/679.
Чл. 25и. (Нов - ДВ, бр. 17 от 2019 г.) (1) Работодател или орган по назначаването, в качеството си на администратор на лични данни, приема правила и процедури при:
1. използване на система за докладване на нарушения;
2. ограничения при използване на вътрешнофирмени ресурси;
3. въвеждане на системи за контрол на достъпа, работното време и трудовата дисциплина.
(2) Правилата и процедурите по ал. 1 съдържат информация относно обхвата, задълженията и методите за прилагането им на практика. С тях се отчитат предметът на дейност на работодателя или органа по назначаването и свързаното с него естество на работата и не може да се ограничават правата на субектите на данните по Регламент (ЕС) 2016/679 и по този закон.
(3) Работниците и служителите се уведомяват за правилата и процедурите по ал. 1.
Чл. 25к. (Нов - ДВ, бр. 17 от 2019 г.) (1) Работодател или орган по назначаването, в качеството си на администратор на лични данни, определя срок за съхранение на лични данни на участници в процедури по набиране и подбор на персонала, който не може да е по-дълъг от 6 месеца, освен ако кандидатът е дал своето съгласие за съхранение за по-дълъг срок. След изтичането на този срок работодателят или органът по назначаването изтрива или унищожава съхраняваните документи с лични данни, освен ако специален закон предвижда друго.
(2) Когато в процедура по ал. 1 работодателят или органът по назначаването е изискал да се представят оригинали или нотариално заверени копия на документи, които удостоверяват физическа и психическа годност на кандидата, необходимата квалификационна степен и стаж за заеманата длъжност, той връща тези документи на субекта на данни, който не е одобрен за назначаване, в 6-месечен срок от окончателното приключване на процедурата, освен ако специален закон предвижда друго.
Чл. 25л. (Нов - ДВ, бр. 17 от 2019 г.) Обработването на лични данни за целите на Националния архивен фонд на Република България е обработване в обществен интерес. В тези случаи не се прилагат чл. 15, 16, 18, 19, 20 и 21 от Регламент (ЕС) 2016/679.
Чл. 25м. (Нов - ДВ, бр. 17 от 2019 г.) При обработването на лични данни за статистически цели не се прилагат чл. 15, 16, 18 и 21 от Регламент (ЕС) 2016/679.
Чл. 25н. (Нов - ДВ, бр. 17 от 2019 г.) Лични данни, първоначално събрани за друга цел, може да се обработват за целите на Националния архивен фонд, за целите на научни или исторически изследвания или за статистически цели. В тези случаи администраторът прилага подходящи технически и организационни мерки, които гарантират правата и свободите на субекта на данни в съответствие с чл. 89, параграф 1 от Регламент (ЕС) 2016/679.
Чл. 25о. (Нов - ДВ, бр. 17 от 2019 г.) Обработването на лични данни за хуманитарни цели от публични органи или хуманитарни организации, както и обработването в случаите на бедствия по смисъла на Закона за защита при бедствия, е законосъобразно. В този случай не се прилагат чл. 12 - 21 и чл. 34 от Регламент (ЕС) 2016/679.
Глава пета.
Права на физическите лица
(загл. изм. - дв, бр. 103 от 2005 г., отм. - дв, бр. 17 от 2019 г.)
Чл. 26. (Отм. - ДВ, бр. 17 от 2019 г.)
Чл. 27. (Изм. - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 91 от 2006 г.)
Чл. 28. (Изм. - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 17 от 2019 г.)
Чл. 28а. (Нов - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 17 от 2019 г.)
Чл. 29. (Отм. - ДВ, бр. 17 от 2019 г.)
Чл. 30. (Изм. - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 17 от 2019 г.)
Чл. 31. (Отм. - ДВ, бр. 17 от 2019 г.)
Чл. 32. (Изм. - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 17 от 2019 г.)
Чл. 33. (Отм. - ДВ, бр. 17 от 2019 г.)
Чл. 34. (Отм. - ДВ, бр. 17 от 2019 г.)
Чл. 34а. (Нов - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 17 от 2019 г.)
Чл. 34б. (Нов - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 17 от 2019 г.)
Глава шеста.
Предоставяне на лични данни на трети лица
(отм. - дв, бр. 17 от 2019 г.)
Чл. 35. (Изм. - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 91 от 2006 г.)
Чл. 36. (Изм. - ДВ, бр. 103 от 2005 г., в сила до 01.01.2007 г., отм. - ДВ, бр. 17 от 2019 г.)
Чл. 36а. (Нов - ДВ, бр. 103 от 2005 г., в сила от 01.01.2007 г., отм. - ДВ, бр. 17 от 2019 г.)
Чл. 36б. (Нов - ДВ, бр. 103 от 2005 г., в сила от 01.01.2007 г., отм. - ДВ, бр. 17 от 2019 г.)
Чл. 36в. (Нов - ДВ, бр. 81 от 2011 г., отм. - ДВ, бр. 17 от 2019 г.)
Чл. 36г. (Нов - ДВ, бр. 81 от 2011 г., отм. - ДВ, бр. 17 от 2019 г.)
Чл. 36д. (Нов - ДВ, бр. 81 от 2011 г., отм. - ДВ, бр. 17 от 2019 г.)
Чл. 36е. (Нов - ДВ, бр. 81 от 2011 г., отм. - ДВ, бр. 17 от 2019 г.)
Чл. 36ж. (Нов - ДВ, бр. 81 от 2011 г., отм. - ДВ, бр. 17 от 2019 г.)
Чл. 36з. (Нов - ДВ, бр. 81 от 2011 г., отм. - ДВ, бр. 17 от 2019 г.)
Чл. 36и. (Нов - ДВ, бр. 81 от 2011 г., отм. - ДВ, бр. 17 от 2019 г.)
Чл. 37. (Отм. - ДВ, бр. 103 от 2005 г.)
Глава седма.
Упражняване на правата на субектите на данни. Средства за правна защита
(загл. изм. - дв, бр. 17 от 2019 г.)
Чл. 37а. (Нов - ДВ, бр. 17 от 2019 г.) (1) Администраторът или обработващият лични данни може да откаже пълно или частично упражняването на правата на субектите на данни по чл. 12 - 22 от Регламент (ЕС) 2016/679, както и да не изпълни задължението си по чл. 34 от Регламент (ЕС) 2016/679, когато упражняването на правата или изпълнението на задължението би създало риск за:
1. националната сигурност;
2. отбраната;
3. обществения ред и сигурност;
4. предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наложените наказания, включително предпазването от и предотвратяването на заплахи за обществения ред и сигурност;
5. други важни цели от широк обществен интерес и по-специално важен икономически или финансов интерес, включително паричните, бюджетните и данъчните въпроси, общественото здраве и социалната сигурност;
6. защитата на независимостта на съдебната власт и съдебните производства;
7. предотвратяването, разследването, разкриването и наказателното преследване на нарушения на етичните кодекси при регулираните професии;
8. защитата на субекта на данните или на правата и свободите на други лица;
9. изпълнението по гражданскоправни искове.
(2) Условията и редът за прилагане на ал. 1 се определят със закон и в съответствие с чл. 23, параграф 2 от Регламент (ЕС) 2016/679.
Чл. 37б. (Нов - ДВ, бр. 17 от 2019 г.) (1) Субектът на данни упражнява правата по чл. 15 - 22 от Регламент (ЕС) 2016/679 чрез писмено заявление до администратора на лични данни или по друг определен от администратора начин.
(2) Заявление може да се подаде и по електронен път при условията на Закона за електронния документ и електронните удостоверителни услуги, Закона за електронното управление и Закона за електронната идентификация.
(3) Заявление може да се подаде и чрез действия в потребителския интерфейс на информационната система, която обработва данните, след като лицето е идентифицирано със съответните за информационната система средства за идентификация.
Чл. 37в. (Нов - ДВ, бр. 17 от 2019 г.) (1) Заявлението по чл. 37б съдържа:
1. име, адрес, единен граждански номер или личен номер на чужденец или друг аналогичен идентификатор, или други идентификационни данни на физическото лице, определени от администратора, във връзка с извършваната от него дейност;
2. описание на искането;
3. предпочитана форма за получаване на информация при упражняване на правата по чл. 15 - 22 от Регламент (ЕС) 2016/679;
4. подпис, дата на подаване на заявлението и адрес за кореспонденция.
(2) При подаването на заявление от упълномощено лице към заявлението се прилага и пълномощното.
Чл. 38. (1) (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г., изм. - ДВ, бр. 17 от 2019 г.) При нарушаване на правата му по Регламент (ЕС) 2016/679 и по този закон субектът на данни има право да сезира комисията в срок 6 месеца от узнаване на нарушението, но не по-късно от две години от извършването му.
(2) (Нова - ДВ, бр. 17 от 2019 г.) Комисията информира жалбоподателя за напредъка в разглеждането на жалбата или за резултата от нея в тримесечен срок от сезирането ѝ.
(3) (Изм. - ДВ, бр. 103 от 2005 г., предишна ал. 2, изм. - ДВ, бр. 17 от 2019 г.) Комисията се произнася с решение, като може да приложи мерките по чл. 58, параграф 2, букви "а" - "з" и "й" от Регламент (ЕС) 2016/679 или по чл. 80, ал. 1, т. 3, 4 и 5 и в допълнение към тези мерки или вместо тях да наложи административно наказание в съответствие с чл. 83 от Регламент (ЕС) 2016/679, както и по глава девета.
(4) (Нова - ДВ, бр. 17 от 2019 г.) Когато жалбата е очевидно неоснователна или прекомерна, с решение на комисията жалбата може да се остави без разглеждане.
(5) (Предишна ал. 4, изм. - ДВ, бр. 17 от 2019 г.) Комисията изпраща копие от решението си и на субекта на данните.
(6) (Нова - ДВ, бр. 91 от 2006 г., предишна ал. 5, изм. - ДВ, бр. 17 от 2019 г.) В случаите по ал. 1, когато се обработват лични данни за целите по чл. 42, ал. 1, решението на комисията съдържа само констатация относно законосъобразността на обработването.
(7) (Изм. - ДВ, бр. 103 от 2005 г., предишна ал. 5 - ДВ, бр. 91 от 2006 г., изм. - ДВ, бр. 39 от 2011 г., предишна ал. 6, изм. - ДВ, бр. 17 от 2019 г.) Решението на комисията по ал. 3 и 4 подлежи на обжалване по реда на Административнопроцесуалния кодекс в 14-дневен срок от получаването му.
Чл. 38а. (Нов - ДВ, бр. 17 от 2019 г.) (1) Жалбата до комисията може да се подаде с писмо, по факса или по електронен път по реда на Закона за електронния документ и електронните удостоверителни услуги.
(2) Не се разглеждат анонимни жалби, както и жалби, които не са подписани от подателя или от негов представител по закон или пълномощие.
Чл. 38б. (Нов - ДВ, бр. 17 от 2019 г.) (1) При нарушаване на правата му по Регламент (ЕС) 2016/679 и по този закон при обработване на лични данни от съда при изпълнение на функциите му на орган на съдебната власт и от прокуратурата и следствените органи при изпълнение на функциите им на органи на съдебната власт за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, субектът на данни има право да подаде жалба до инспектората в срок 6 месеца от узнаване на нарушението, но не по-късно от две години от извършването му.
(2) В случаите по ал. 1 се прилага съответно чл. 38а.
Чл. 38в. (Нов - ДВ, бр. 17 от 2019 г.) (1) Жалбата по чл. 38б, ал. 1 се разглежда от инспектор, определен на принципа на случайния подбор от главния инспектор.
(2) При разглеждането на жалбата се събират данни, относими към твърдяното нарушение, включително и информация от администратора или обработващия лични данни.
(3) Жалбоподателят се информира за напредъка в разглеждането на жалбата или за резултата от нея в тримесечен срок от сезирането на инспектората.
(4) Когато жалбата е неоснователна, инспекторът се произнася с решение, което подлежи на обжалване по реда на Административнопроцесуалния кодекс в 14-дневен срок от получаването му.
(5) Когато жалбата е основателна, инспекторатът се произнася с решение по предложение на инспектора. Решението подлежи на обжалване по реда на Административнопроцесуалния кодекс в 14-дневен срок от получаването му.
(6) Когато жалбата е очевидно неоснователна или прекомерна, инспекторът може да я остави без разглеждане.
Чл. 38г. (Нов - ДВ, бр. 17 от 2019 г.) (1) Когато в производството по чл. 38в бъде установено нарушение на Регламент (ЕС) 2016/679 и на този закон, в зависимост от характера и степента на нарушението, се прилагат мерките по чл. 58, параграф 2, букви "а" - "ж" и "й" от Регламент (ЕС) 2016/679 или по чл. 80, ал. 1, т. 3, 4 и 5 и/или се налагат административни наказания в съответствие с чл. 83 от Регламент (ЕС) 2016/679, както и по глава девета.
(2) Мерките по чл. 58, параграф 2, букви "а" - "ж" и "й" от Регламент (ЕС) 2016/679 и по чл. 80, ал. 1, т. 3, 4 и 5 се прилагат с решение на инспектората по предложение на инспектора, разгледал жалбата по чл. 38б, ал. 1.
Чл. 39. (1) (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 30 от 2006 г., в сила от 01.03.2007 г., изм. - ДВ, бр. 91 от 2006 г., изм. - ДВ, бр. 17 от 2019 г.) При нарушаване на правата му по Регламент (ЕС) 2016/679 и по този закон субектът на данни може да обжалва действия и актове на администратора и на обработващия лични данни пред съда по реда на Административнопроцесуалния кодекс.
(2) (Изм. - ДВ, бр. 103 от 2005 г., изм. и доп. - ДВ, бр. 17 от 2019 г.) В производството по ал. 1 субектът на данни може да иска обезщетение за претърпените от него вреди вследствие на неправомерно обработване на лични данни от страна на администратора или на обработващия лични данни.
(3) (Нова - ДВ, бр. 81 от 2011 г., отм. - ДВ, бр. 17 от 2019 г.)
(4) (Нова - ДВ, бр. 103 от 2005 г., предишна ал. 3 - ДВ, бр. 81 от 2011 г., изм. - ДВ, бр. 17 от 2019 г.) Субектът на данни не може да сезира съда, когато има висящо производство пред комисията за същото нарушение или нейно решение относно същото нарушение е обжалвано и няма влязло в сила решение на съда. По искане на субекта на данни или на съда комисията удостоверява липсата на висящо производство пред нея по същия спор.
(5) (Предишна ал. 4, изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 30 от 2006 г., в сила от 12.07.2006 г., отм. - ДВ, бр. 91 от 2006 г., нова - ДВ, бр. 17 от 2019 г.) Алинея 4 се прилага и при висящо производство пред инспектората.
Чл. 40. (Отм. - ДВ, бр. 103 от 2005 г., нов - ДВ, бр. 17 от 2019 г.) Когато решението по чл. 38, ал. 3 е прието в изпълнение на решение със задължителен характер на Европейския комитет по защита на данните, се прилагат съответно чл. 263 и 267 от Договора за функционирането на Европейския съюз.
Чл. 41. (Отм. - ДВ, бр. 103 от 2005 г.)
Глава осма.
Правила за защита на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществения ред и сигурност и тяхното предотвратяване (загл. изм. - дв, бр. 17 от 2019 г.)
Раздел I.
Общи разпоредби (Нов - ДВ, бр. 17 от 2019 г.)
Чл. 42. (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 17 от 2019 г.) (1) Правилата на тази глава се прилагат при обработването на лични данни от компетентни органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществения ред и сигурност и тяхното предотвратяване.
(2) Лични данни, събрани за целите по ал. 1, не се обработват за други цели, освен ако правото на Европейския съюз или законодателството на Република България предвижда друго.
(3) Когато компетентните органи по ал. 1 обработват лични данни за цели, различни от тези по ал. 1, както и в случаите по ал. 2, се прилагат Регламент (ЕС) 2016/679 и съответните разпоредби от този закон, които въвеждат мерки за неговото прилагане.
(4) Компетентни органи по ал. 1 са държавните органи, които имат правомощия по предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване.
(5) Освен ако закон предвижда друго, администратор по смисъла на тази глава при обработването на лични данни за целите по ал. 1 е компетентен орган по ал. 4 или съответната административна структура, част от която е този орган, които самостоятелно или съвместно с други органи определят целите и средствата за обработване на лични данни.
Чл. 42а. (Нов - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 17 от 2019 г.)
Чл. 43. (1) (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 17 от 2019 г.) Правилата на тази глава се прилагат за обработването на лични данни изцяло или частично с автоматични средства, както и за обработването с други средства на лични данни, които са част от регистър с лични данни или са предназначени да съставляват част от такъв регистър.
Чл. 44. (Нов - ДВ, бр. 17 от 2019 г.) Обменът на лични данни между компетентните органи на държавите - членки на Европейския съюз, когато такъв обмен се изисква от правото на Европейския съюз или от законодателството на Република България, не се ограничава, нито забранява по причини, свързани със защитата на физическите лица във връзка с обработването на лични данни.
Чл. 45. (Нов - ДВ, бр. 17 от 2019 г.) (1) При обработването на лични данни за целите по чл. 42, ал. 1 личните данни трябва да:
1. се обработват законосъобразно и добросъвестно;
2. се събират за конкретни, изрично указани и законни цели и да не се обработват по начин, който е несъвместим с тези цели;
3. са подходящи, относими и да не надхвърлят необходимото във връзка с целите, за които данните се обработват;
4. са точни и при необходимост да са поддържани в актуален вид; трябва да се предприемат всички необходими мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват;
5. се съхраняват във вид, който позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимия за целите, за които те се обработват;
6. се обработват по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки.
(2) Обработването на лични данни от администратор, който първоначално ги е събрал, или от друг администратор за която и да е от целите по чл. 42, ал. 1, различна от целта, за която личните данни са събрани, се разрешава, при условие че:
1. администраторът е оправомощен да обработва лични данни за такава цел в съответствие с правото на Европейския съюз или законодателството на Република България, и
2. обработването е необходимо и пропорционално на тази различна цел в съответствие с правото на Европейския съюз или със законодателството на Република България.
(3) Обработването от администратор по ал. 2 може да включва архивиране в обществен интерес, научно, статистическо или историческо използване на данните за целите по чл. 42, ал. 1 при прилагането на подходящи гаранции за правата и свободите на субекта на данните.
(4) Администраторът носи отговорност за спазването на ал. 1, 2 и 3 и трябва да е в състояние да го докаже.
Чл. 46. (Нов - ДВ, бр. 17 от 2019 г.) (1) Когато сроковете за изтриване на лични данни или за периодична проверка на необходимостта от съхранението им не са нормативно установени, те се определят от администратора.
(2) Извършването на периодична проверка по ал. 1 се документира, а решението за продължаване на съхранението на данните се мотивира.
Чл. 47. (Нов - ДВ, бр. 17 от 2019 г.) Администраторът, когато е приложимо и доколкото е възможно, прави ясно разграничение между личните данни на различни категории субекти на данни, например:
1. лица, за които има сериозни основания да се смята, че са извършили или ще извършат престъпление;
2. лица, осъдени за престъпление;
3. лица, пострадали от престъпление, или лица, по отношение на които определени факти дават основание да се смята, че може да са пострадали от престъпление, и
4. други трети лица по отношение на престъпление, например лица, които биха могли да бъдат призовани да свидетелстват при разследване на престъпления или в наказателни производства, лица, които могат да предоставят информация за престъпления или свързани лица.
Чл. 48. (Нов - ДВ, бр. 17 от 2019 г.) (1) Компетентният орган, доколкото е възможно, прави разграничение между лични данни, основани на факти, и лични данни, основани на лични оценки.
(2) Компетентният орган предприема необходимите мерки лични данни, които са неточни, непълни или вече не са актуални, да не се предават. За тази цел всеки компетентен орган, доколкото това е възможно, проверява качеството на личните данни преди тяхното предаване. Доколкото е възможно, при всяко предаване на лични данни се добавя необходимата информация, позволяваща на получаващия компетентен орган да оцени степента на точност, пълнотата и надеждността на личните данни и до каква степен те са актуални.
(3) Когато предадените лични данни са неточни или са предадени незаконосъобразно, получателят се уведомява незабавно. В този случай предаващият компетентен орган и получателят коригират, изтриват или ограничават обработването на личните данни.
Чл. 49. (Нов - ДВ, бр. 17 от 2019 г.) Обработването на лични данни е законосъобразно, когато е необходимо за упражняване на правомощия от компетентен орган за целите по чл. 42, ал. 1 и е предвидено в правото на Европейския съюз или в нормативен акт, в който са определени целите на обработването и категориите лични данни, които се обработват.
Чл. 50. (Нов - ДВ, бр. 17 от 2019 г.) (1) Когато правото на Европейския съюз или законодателството на Република България, приложимо за предаващия компетентен орган, предвижда специфични условия за обработването на лични данни, органът уведомява получателя на данните за тези условия и за задължението му да ги спазва.
(2) Предаването на лични данни на получатели в други държави - членки на Европейския съюз, или на агенции, служби и органи на Европейския съюз, създадени съгласно дял V, глави 4 и 5 от Договора за функционирането на Европейския съюз, се извършва при същите условия, които се прилагат при подобно предаване в Република България.
Чл. 51. (Нов - ДВ, бр. 17 от 2019 г.) (1) Обработването на лични данни, разкриващо расов или етнически произход, политически възгледи, религиозни или философски убеждения, членство в професионални съюзи, обработването на генетични данни, биометрични данни с цел уникално идентифициране на физическото лице, данни, свързани със здравословното състояние или сексуалния живот и сексуалната ориентация на лицето, е разрешено, когато това е абсолютно необходимо, съществуват подходящи гаранции за правата и свободите на субекта на данни и е предвидено в правото на Европейския съюз или в законодателството на Република България.
(2) Когато обработването по ал. 1 не е предвидено в правото на Европейския съюз или в законодателството на Република България, данните по ал. 1 може да се обработват, когато това е абсолютно необходимо, съществуват подходящи гаранции за правата и свободите на субекта на данни и:
1. обработването е за защита на жизненоважни интереси на субекта на данните или на друго физическо лице, или
2. ако обработването се отнася за данни, които очевидно са направени обществено достояние от субекта на данните.
(3) При обработване на данни по ал. 1 се прилагат подходящи мерки и гаранции за недопускане на дискриминация на физическите лица.
Чл. 52. (Нов - ДВ, бр. 17 от 2019 г.) (1) Вземането на решение, основано единствено на автоматизирано обработване, включително профилиране, което поражда неблагоприятни правни последици за субекта на данните или съществено го засяга, е забранено, освен когато това е предвидено в правото на Европейския съюз или в законодателството на Република България и са осигурени подходящи гаранции за правата и свободите на субекта на данните, най-малко човешка намеса при вземането на съответното решение от администратора.
(2) Решенията по ал. 1 не може да се основават на категориите лични данни по чл. 51, ал. 1, освен ако са въведени подходящи мерки за защита на правата и свободите и законните интереси на субекта на данните.
(3) В случаите по ал. 1 и 2 администраторът извършва оценка на въздействието по чл. 64.
(4) Забранява се профилирането, което води до дискриминация на физически лица въз основа на категориите лични данни по чл. 51, ал. 1.
(5) Субектът на данни има право да получи информация за обработването по ал. 1, да изрази своето мнение, да получи обяснение за решението по ал. 1, взето в резултат на това обработване, както и да обжалва решението.
Раздел II.
Права на субекта на данни (Нов - ДВ, бр. 17 от 2019 г.)
Чл. 53. (Нов - ДВ, бр. 17 от 2019 г.) (1) Администраторът предприема необходими мерки за предоставяне на субекта на данни на информацията по чл. 54 и за кореспонденция с него във връзка с чл. 52, ал. 5, чл. 55 - 58 и 68 относно обработването на лични данни в сбита, разбираема и леснодостъпна форма, като използва ясен и прост език. Администраторът предоставя информацията по начина на постъпване на искането. Когато това е невъзможно или изисква несъразмерно големи усилия, информацията се предоставя по друг подходящ начин, включително по електронен път.
(2) Администраторът улеснява упражняването на правата на субекта на данни по чл. 52, ал. 5 и чл. 55 - 58.
(3) Администраторът отговаря на искането на субекта на данни или го информира писмено за действията, предприети във връзка с неговото искане, в срок до два месеца от получаване на искането. Срокът може да се удължи с още един месец, когато това се налага заради сложността или броя на исканията.
(4) Информацията по чл. 54 и кореспонденцията или действията, предприети съгласно чл. 52, ал. 5, чл. 55 - 58 и 68, са безплатни. Когато исканията от даден субект на данни са очевидно неоснователни или прекомерни, по-специално поради своята повторяемост, администраторът може да:
1. начисли такса в размер, съобразен с административните разходи за предоставяне на информация или за кореспонденция със субекта на данни, или за предприемане на действия по искането, или
2. откаже да предприеме действия по искането.
(5) Администраторът носи тежестта на доказване на очевидно неоснователния или прекомерен характер на искането.
(6) Когато администраторът има основателни съмнения относно самоличността на физическото лице, което подава искане по чл. 55 или 56, той може да поиска да се предостави допълнителна информация, необходима за потвърждаване на самоличността на субекта на данните. Срокът по ал. 3 започва да тече от получаването на тази допълнителна информация.
Чл. 54. (Нов - ДВ, бр. 17 от 2019 г.) (1) Администраторът предоставя на субекта на данни най-малко следната информация:
1. данните, които идентифицират администратора, и координатите за връзка с него;
2. координатите за връзка с длъжностното лице по защита на данните, когато е приложимо;
3. целите, за които се обработват личните данни;
4. правото на жалба до комисията, съответно до инспектората, и координатите им за връзка;
5. правото да се изиска от администратора достъп до, коригиране, допълване или изтриване на лични данни и ограничаване на обработването на лични данни, свързано със субекта на данните;
6. възможността при отказ по ал. 3, по чл. 55, ал. 3 и 4 и чл. 56, ал. 6 и 7 да упражни правата си чрез комисията, съответно чрез инспектората.
(2) Освен информацията по ал. 1, по искане на субекта на данни или по своя инициатива администраторът предоставя на субекта на данните, в конкретни случаи и с цел да му се даде възможност да упражни правата си, следната допълнителна информация:
1. правното основание за обработването;
2. срока, за който ще се съхраняват личните данни, а ако това е невъзможно - критериите, използвани за определяне на този срок;
3. когато е приложимо, получателите или категориите получатели на личните данни, включително в трети държави или международни организации;
4. когато е необходимо, и друга допълнителна информация, по-специално в случаите, когато личните данни са събрани без знанието на субекта на данните.
(3) Администраторът може да забави или да откаже изцяло или частично предоставянето на информацията по ал. 2, когато това е необходимо, за да:
1. не се допусне възпрепятстването на служебни или законово регламентирани проверки, разследвания или процедури;
2. не се допусне неблагоприятно засягане на предотвратяването, разкриването, разследването или наказателното преследване на престъпления или изпълнението на наказания;
3. се защити общественият ред и сигурност;
4. се защити националната сигурност;
5. се защитят правата и свободите на други лица.
(4) След отпадане на обстоятелство по ал. 3 администраторът предоставя без забавяне исканата информация в срока по чл. 53, ал. 3.
(5) При вземане на решение по ал. 3 администраторът отчита основните права и законните интереси на засегнатото физическо лице.
Чл. 55. (Нов - ДВ, бр. 17 от 2019 г.) (1) Субектът на данните има право да получи от администратора потвърждение дали се обработват лични данни, които го засягат, и ако това е така, да получи достъп до тях, както и информация за:
1. обстоятелствата по чл. 54, ал. 1, т. 3 - 5 и ал. 2, т. 1 - 3;
2. обработваните категории лични данни;
3. личните данни, които са в процес на обработване, и всякаква налична информация за техния произход, освен ако тя е защитена от закон тайна.
(2) Администраторът предоставя информацията по ал. 1 в срока по чл. 53, ал. 3.
(3) Правото на достъп до данните и информацията по ал. 1 може да се ограничи изцяло или частично, като се отчитат основните права и законните интереси на засегнатото физическо лице в случаите по чл. 54, ал. 3. В тези случаи се прилага чл. 54, ал. 4.
(4) В случаите по ал. 3 администраторът информира писмено в срока по чл. 53, ал. 3 субекта на данните за всеки отказ за достъп или за ограничаването на достъпа и за причините за това. Тази информация може да не бъде предоставена, когато нейното предоставяне би възпрепятствало постигането на някоя от целите по чл. 54, ал. 3. Администраторът информира субекта на данните за правото му на жалба до комисията, съответно до инспектората, или за търсене на защита по съдебен ред.
(5) Администраторът документира фактическите или правните основания за решението. Тази информация се предоставя на комисията, съответно на инспектората.
Чл. 56. (Нов - ДВ, бр. 17 от 2019 г.) (1) Субектът на данните има право да поиска администраторът да коригира неточните лични данни, свързани с него. Като се има предвид целта на обработването, субектът на данните има право да поиска непълните лични данни да бъдат допълнени, включително чрез предоставяне на допълнително заявление.
(2) Администраторът по ал. 1 е длъжен да изтрие личните данни и субектът на данните има право да поиска администраторът да изтрие личните данни, които го засягат, когато обработването нарушава разпоредбите на чл. 45, 49 или 51 или когато личните данни трябва да бъдат изтрити с цел спазване на правно задължение на администратора.
(3) Администраторът коригира или допълва данните по ал. 1 или изтрива данните в случаите по ал. 2 в срока по чл. 53, ал. 3.
(4) Администраторът ограничава обработването на личните данни, без да ги изтрие, когато:
1. точността на личните данни се оспорва от субекта на данните и това не може да се провери, или
2. личните данни трябва да се запазят за доказателствени цели.
(5) В случаите по ал. 4, т. 1 администраторът информира субекта на данните, преди да премахне ограничаването на обработването.
(6) Коригиране, допълване, изтриване или ограничаване на обработването на лични данни може да се откаже, като се отчитат основните права и законните интереси на засегнатото физическо лице, в случаите по чл. 54, ал. 3. В тези случаи се прилага чл. 54, ал. 4. Администраторът информира писмено субекта на данните за отказа, както и за причините за него в срока по чл. 53, ал. 3.
(7) Администраторът може да не информира субекта на данните за отказа по ал. 6 в случаите по чл. 54, ал. 3, като се прилага съответно чл. 54, ал. 4 и 5.
(8) Администраторът информира субекта на данните за правото му на жалба до комисията, съответно до инспектората и за търсене на защита по съдебен ред.
(9) Администраторът съобщава на компетентния орган, от който е получил неточните лични данни, за тяхното коригиране.
(10) Когато лични данни са коригирани, допълнени, изтрити или обработването им е ограничено, администраторът уведомява получателите им, които съответно ги коригират, допълват, изтриват или ограничават обработването им.
Чл. 57. (Нов - ДВ, бр. 17 от 2019 г.) (1) В случаите по чл. 54, ал. 3, чл. 55, ал. 3 и 4 и чл. 56, ал. 6 и 7 субектът на данните може да упражни правата си чрез комисията, съответно чрез инспектората. В тези случаи комисията, съответно инспекторатът проверява законосъобразността на отказа.
(2) В случаите по ал. 1 комисията, съответно инспекторатът информира субекта на данните най-малко за това, че са извършени всички необходими проверки или справки, както и за неговото право да потърси защита по съдебен ред.
Чл. 58. (Нов - ДВ, бр. 17 от 2019 г.) Упражняването на правата по чл. 54, 55 и 56, когато личните данни се съдържат в съдебно решение, документ или материали по дело, изготвени в наказателно производство, не засяга и не може да противоречи на разпоредбите на Наказателно-процесуалния кодекс.
Раздел III.
Администратор на лични данни и обработващ лични данни (Нов - ДВ, бр. 17 от 2019 г.)
Чл. 59. (Нов - ДВ, бр. 17 от 2019 г.) (1) Администраторът на лични данни, като отчита естеството, обхвата, контекста и целите на обработването, както и рисковете за правата и свободите на физическите лица, прилага подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с този закон. При необходимост тези мерки се преразглеждат и актуализират.
(2) Когато това е пропорционално на дейностите по обработване, мерките по ал. 1 включват прилагане от администратора на подходящи политики за защита на данните.
(3) Чрез мерки по ал. 1 администраторът осигурява защита на личните данни на етапа на проектирането, като отчита достиженията на техническия прогрес, разходите за прилагане и естеството, обхвата, контекста и целите на обработването на лични данни, както и рисковете за правата и свободите на физическите лица при обработването. Мерките трябва да са съобразени с изискванията на чл. 45, планират се към момента на определяне на средствата за обработването на лични данни и се прилагат при самото обработване. Мерките може да включват псевдонимизация, свеждане на данните до минимум и въвеждане на необходими гаранции в процеса на обработване на лични данни.
(4) Чрез мерки по ал. 1 администраторът гарантира, че по подразбиране се обработват само лични данни, които са необходими за всяка конкретна цел на обработването. Това задължение се отнася до обема на събраните лични данни, степента на обработването, срока на съхраняването им и тяхната достъпност. Чрез тези мерки се гарантира, че по подразбиране без намеса от страна на физическото лице личните данни не са достъпни за неограничен брой физически лица.
Чл. 60. (Нов - ДВ, бр. 17 от 2019 г.) (1) Когато двама или повече администратори на лични данни съвместно определят целите и средствата на обработването, те са съвместни администратори.
(2) Съвместните администратори по ал. 1 определят по прозрачен начин правата и задълженията си по тази глава, по-специално тези, свързани с упражняването на правата на субекта на данни и с предоставянето на информацията по реда на чл. 54 чрез съвместни правила, освен когато правата и задълженията им са предвидени в правото на Европейския съюз или в законодателството на Република България. В правилата се определя звеното за контакт за субектите на данни, като съвместните администратори може да посочат кой от тях действа като единно звено за контакт.
(3) Независимо от определеното в правилата по ал. 1, субектът на данни може да упражнява правата си по тази глава спрямо всеки от администраторите по ал. 1.
Чл. 61. (Нов - ДВ, бр. 17 от 2019 г.) (1) Администратор на лични данни може да възложи обработване на лични данни от негово име само на обработващи лични данни, които предоставят достатъчни гаранции, че ще прилагат подходящи технически и организационни мерки по такъв начин, че обработването да отговаря на изискванията на тази глава и да се гарантира защитата на правата на субекта на данни.
(2) Обработващият лични данни не може да включва в обработването друг обработващ лични данни без предварителното конкретно или общо писмено разрешение на администратора по ал. 1. В случай на общо писмено разрешение обработващият лични данни информира администратора за всякакви планирани промени за включване или замяна на други обработващи лични данни, като администраторът може да възрази срещу тези промени.
(3) Обработването от страна на обработващия лични данни се урежда с договор или с друг правен акт съгласно правото на Европейския съюз или законодателството на Република България, който обвързва обработващия лични данни с администратора по ал. 1 и регламентира предмета и срока на обработването, естеството и целта на обработването, вида лични данни и категориите субекти на данни, задълженията и правата на администратора. Посоченият договор или друг правен акт предвижда по-специално, че обработващият лични данни:
1. действа единствено по указания на администратора;
2. гарантира, че лицата, оправомощени да обработват личните данни, са поели задължение за поверителност или са задължени по закон да спазват поверителност;
3. подпомага администратора с всички подходящи средства, за да се гарантира спазването на правата на субекта на данни;
4. по избор на администратора изтрива или връща на администратора всички лични данни след приключване на предоставянето на услуги по обработване на данни и изтрива съществуващите копия, освен ако правото на Европейския съюз или законодателството на Република България не изисква съхранение на личните данни;
5. предоставя на администратора цялата информация, необходима за доказване на спазването на този член;
6. спазва условията по т. 1 - 5 и по ал. 2 за включване на друг обработващ лични данни.
(4) Договорът или другият правен акт, посочен в ал. 3, се изготвя в писмена, включително в електронна форма.
(5) Когато обработващ лични данни определи в нарушение на правилата на тази глава целите и средствата на обработването, той се смята за администратор на лични данни по отношение на това обработване.
(6) Обработващият лични данни и всяко лице, действащо под негово ръководство или под ръководството на администратора по ал. 1, което има достъп до личните данни, обработва тези данни само по указание на администратора, освен когато условията и редът за обработването са предвидени в правото на Европейския съюз или в законодателството на Република България.
Чл. 62. (Нов - ДВ, бр. 17 от 2019 г.) (1) Администраторът на лични данни поддържа регистър с категориите дейности по обработване на лични данни, който съдържа:
1. наименованието и координатите за връзка на администратора, и когато е приложимо, на съвместните администратори и на длъжностното лице по защита на данните;
2. целите на обработването на лични данни;
3. категориите получатели, пред които са или ще бъдат разкрити личните данни, включително получателите в трети държави или международни организации;
4. описание на категориите субекти на данни и на категориите лични данни;
5. когато е приложимо, информация дали се извършва профилиране;
6. когато е приложимо, категориите предаване на лични данни на трета държава или международна организация;
7. правното основание за операцията по обработване, включително предаването на данни, за която са предназначени личните данни;
8. когато е възможно, предвидените срокове за изтриване на различните категории лични данни;
9. когато е възможно, общо описание на техническите и организационните мерки за сигурност по чл. 66.
(2) Обработващият лични данни поддържа регистър с категориите дейности по обработване, извършвани от името на администратор, който съдържа:
1. наименованието и координатите за връзка на обработващия или обработващите лични данни, на всеки администратор на лични данни, от чието име действа обработващият лични данни, и на длъжностното лице за защита на данните, когато е приложимо;
2. категориите обработване на лични данни, извършени от името на всеки администратор;
3. когато е приложимо, предаването на лични данни на трета държава или на международна организация, когато има изрични указания от администратора за това, включително наименованието на третата държава или на международната организация;
4. когато е възможно, общо описание на техническите и организационните мерки за сигурност по чл. 66.
(3) Регистрите по ал. 1 и 2 се поддържат в писмена форма, включително в електронен формат.
(4) При поискване администраторът и обработващият лични данни предоставят достъп до регистрите на комисията, съответно на инспектората.
Чл. 63. (Нов - ДВ, бр. 17 от 2019 г.) (1) В системите за автоматизирано обработване, поддържани от администратора и обработващия лични данни, се водят системни дневници (логове) най-малко за следните операции по обработване - събиране, промяна, справки, разкриване, включително предаване, комбиниране и изтриване.
(2) При извършване на справка или разкриване на данни дневниците по ал. 1 трябва да дават възможност за установяване на основанието, датата и часа на тези операции и доколкото е възможно - идентификацията на лицето, което е направило справката или е разкрило личните данни, както и данни, идентифициращи получателите на тези лични данни.
(3) Дневниците по ал. 1 се използват единствено за проверка на законосъобразността на обработването, за самоконтрол, за гарантиране на целостността и сигурността на личните данни и при наказателни производства.
(4) Администраторът на лични данни определя подходящи срокове за съхранение, включително архивиране на дневниците по ал. 1.
(5) При поискване администраторът и обработващият лични данни предоставят дневниците по ал. 1 на комисията, съответно на инспектората.
Чл. 64. (Нов - ДВ, бр. 17 от 2019 г.) (1) Когато има вероятност определен вид обработване, по-специално това при което се използват нови технологии и предвид естеството, обхвата, контекста и целите на обработването, да доведе до висок риск за правата и свободите на физическите лица, преди да бъде извършено обработването, администраторът на лични данни извършва оценка на въздействието на предвидените операции по обработването върху защитата на личните данни.
(2) Оценката по ал. 1 съдържа най-малко общо описание на предвидените операции по обработване, оценка на рисковете за правата и свободите на субектите на данните, мерките, предвидени за справяне с тези рискове, гаранции, мерки за сигурност и механизми за гарантиране на защитата на личните данни и за доказване на съответствие с правилата на тази глава, като се вземат предвид правата и законните интереси на субектите на данните и другите засегнати лица.
Чл. 65. (Нов - ДВ, бр. 17 от 2019 г.) (1) Администраторът или обработващият лични данни се консултира с комисията, съответно с инспектората преди обработването на лични данни, което ще е част от нов регистър с лични данни, който предстои да се създаде, когато:
1. съгласно оценката на въздействието по чл. 64 обработването ще породи висок риск въпреки предприетите от администратора мерки за ограничаване на риска, или
2. видът обработване, по-специално когато се използват нови технологии, механизми или процедури, включва висока степен на риск за правата и свободите на субектите на данните.
(2) При изготвянето на проекти на закони и на подзаконови нормативни актове, съдържащи мерки относно обработването, се провеждат консултации с комисията, съответно с инспектората.
(3) Комисията приема и публикува списък на операциите по обработване, за които е задължителна предварителната консултация по ал. 1. Инспекторатът прилага съответно списъка по изречение първо.
(4) Администраторът предоставя на комисията, съответно на инспектората, оценката на въздействието по чл. 64 и при поискване - всяка друга информация, която ще им позволи да извършат оценка на съответствието на обработването и по-специално на рисковете за защитата на личните данни и на съответните гаранции за тази защита.
(5) Когато комисията, съответно инспекторатът прецени, че планираното обработване по ал. 1 би нарушило разпоредбите на тази глава, по-специално когато администраторът не е идентифицирал или ограничил риска в достатъчна степен, те предоставят в срок до 6 седмици след получаването на искането за консултация писмено становище на администратора и когато това е приложимо - на обработващия лични данни. Този срок може да се удължи с още един месец в зависимост от сложността на планираното обработване. В срок до един месец от получаването на искането за консултация комисията, съответно инспекторатът уведомява администратора и когато е приложимо - обработващия лични данни, за удължаването на срока, включително за причините за забавянето.
(6) Предоставянето на писмено становище по ал. 5 не засяга възможността на комисията, съответно на инспектората, да упражни и правомощията си по чл. 80 спрямо администратора или обработващия лични данни.
Чл. 66. (Нов - ДВ, бр. 17 от 2019 г.) (1) Администраторът и обработващият лични данни, като отчитат достиженията на техническия прогрес, разходите за прилагане и естеството, обхвата, контекста и целите на обработването, както и рисковете за правата и свободите на физическите лица, прилагат подходящи технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност, по-специално по отношение на обработването на категориите лични данни по чл. 51, ал. 1.
(2) По отношение на автоматизираното обработване администраторът или обработващият лични данни след оценка на рисковете прилага мерки, имащи за цел:
1. контрол върху достъпа до оборудване - да се откаже достъп на неоправомощени лица до оборудването, използвано за обработване на лични данни;
2. контрол върху носителите на данни - да се предотврати четенето, копирането, изменянето или отстраняването на носители на данни от неоправомощени лица;
3. контрол върху съхраняването - да се предотврати въвеждането на лични данни от неоправомощени лица, както и извършването на проверки, изменянето или изтриването на съхранявани лични данни от неоправомощени лица;
4. контрол върху потребителите - да се предотврати използването на автоматизирани системи за обработване от неоправомощени лица чрез използване на оборудване за предаване на данни;
5. контрол върху достъпа до данни - да се гарантира, че лицата, на които е разрешено да използват автоматизирана система за обработване, имат достъп само до личните данни, които са обхванати от тяхното разрешение за достъп;
6. контрол върху комуникацията - да се гарантира възможността за проверка и установяване на кои органи са били или могат да бъдат предадени лични данни, или кои органи имат достъп до лични данни чрез оборудване за предаване на данни;
7. контрол върху въвеждането на данни - да се гарантира възможността за последваща проверка и установяване на това какви лични данни са били въведени в автоматизираните системи за обработване, както и кога и от кого те са били въведени;
8. контрол върху пренасянето - да се предотврати четенето, копирането, изменянето или изтриването на лични данни от неоправомощени лица при предаването на лични данни или при пренасянето на носители на данни;
9. възстановяване - да се гарантира възможността за възстановяване на инсталираните системи в случай на отказ на функциите на системите;
10. надеждност - да се гарантира изпълнението на функциите на системата и докладването за появили се във функциите дефекти;
11. цялостност - да се гарантира недопускане на увреждане на съхраняваните лични данни вследствие на неправилно функциониране на системата.
Чл. 67. (Нов - ДВ, бр. 17 от 2019 г.) (1) В случай на нарушение на сигурността на личните данни, което има вероятност да доведе до риск за правата и свободите на субектите на данни, администраторът без излишно забавяне, но не по-късно от 72 часа след като е разбрал за нарушението, уведомява комисията, съответно инспектората, за него. Когато уведомлението е подадено след срока по изречение първо, в него се посочват причините за забавянето.
(2) Обработващият лични данни уведомява администратора без излишно забавяне, но не по-късно от 72 часа след като е установил нарушение на сигурността на лични данни.
(3) Уведомлението по ал. 1 съдържа най-малко:
1. описание на нарушението на сигурността на личните данни, включително когато е възможно, категориите и приблизителния брой на засегнатите субекти на данни и категориите и приблизителния брой на засегнатите записи на лични данни;
2. името и координатите за връзка на длъжностното лице по защита на данните или на друго звено за контакт, от което може да се получи повече информация;
3. описание на евентуалните последици от нарушението на сигурността на личните данни;
4. описание на предприетите или предложените от администратора мерки за справяне с нарушението на сигурността на личните данни, включително по целесъобразност мерки за намаляване на евентуалните неблагоприятни последици.
(4) Когато не е възможно информацията да се подаде едновременно, тя може да се подаде поетапно без по-нататъшно ненужно забавяне.
(5) Администраторът документира всяко нарушение на сигурността на личните данни по ал. 1, като включва фактите, свързани с нарушението, последиците от него и предприетите действия за справяне с него.
(6) Когато нарушението на сигурността на личните данни засяга лични данни, които са изпратени от или на администратор от друга държава - членка на Европейския съюз, информацията по ал. 3 се съобщава на този администратор без излишно забавяне, но не по-късно от 7 дни от установяването на нарушението.
Чл. 68. (Нов - ДВ, бр. 17 от 2019 г.) (1) Когато има вероятност нарушението на сигурността на личните данни по чл. 67, ал. 1 да доведе до висок риск за правата и свободите на субектите на данни, администраторът на лични данни уведомява и субекта на данните за нарушението не по-късно от 7 дни от установяването му.
(2) В уведомлението по ал. 1 на ясен и разбираем език се посочва описание на нарушението и най-малко информацията и мерките по чл. 67, ал. 3, т. 2, 3 и 4.
(3) Субектът на данните не се уведомява за нарушение по ал. 1, ако е изпълнено някое от следните условия:
1. администраторът е предприел подходящи технически и организационни мерки за защита и тези мерки са били приложени по отношение на личните данни, засегнати от нарушението, по-специално мерки, които правят личните данни неразбираеми за всяко лице, което няма право на достъп до тях, като например криптиране;
2. администраторът е взел впоследствие мерки, които гарантират, че вече няма вероятност да се реализира високият риск за правата и свободите на субектите на данни;
3. уведомяването би довело до непропорционални усилия; в този случай се прави публично съобщение или се взема друга подобна мярка, така че субектите на данни да са в еднаква степен ефективно информирани.
(4) Когато администраторът не е уведомил субекта на данните за нарушението на сигурността на личните данни по ал. 1, комисията, съответно инспекторатът, след като отчете каква е вероятността нарушението да породи висок риск, може да изиска от администратора да уведоми субекта на данните.
(5) В случаите по чл. 54, ал. 3 администраторът може да не уведоми субекта на данните за нарушението по ал. 1, да го уведоми след срока по ал. 1, както и да ограничи информацията по ал. 2.
Чл. 69. (Нов - ДВ, бр. 17 от 2019 г.) (1) Администраторът на лични данни определя длъжностно лице по защита на данните въз основа на неговите професионални качества и по-специално въз основа на експертните му познания по законодателството и практиките в областта на защитата на личните данни и способността му да изпълнява задачите по чл. 70.
(2) Едно длъжностно лице по защита на данните може да е определено съвместно за няколко администратори, като се отчитат организационната им структура и мащаб.
(3) Администраторът оповестява по подходящ начин координатите за връзка на длъжностното лице по защита на данните и уведомява комисията по реда на чл. 25б.
(4) Длъжностните лица по защита на данните, определени от органите на съдебната власт, не изпълняват задачите по чл. 70 при обработване на лични данни за целите по чл. 42, ал. 1 от съда, прокуратурата и следствените органи при изпълнение на функциите им на органи на съдебната власт.
Чл. 70. (Нов - ДВ, бр. 17 от 2019 г.) (1) Администраторът на лични данни гарантира, че длъжностното лице по защита на данните участва по подходящ начин и своевременно при разглеждането на всички въпроси, свързани със защитата на личните данни.
(2) Администраторът възлага на длъжностното лице по защита на данните най-малко следните задачи:
1. да информира и да съветва администратора и служителите, които извършват обработването, за задълженията им по този закон и съгласно други нормативни изисквания за защита на личните данни;
2. да наблюдава спазването на този закон и на други нормативни изисквания за защита на личните данни и на политиките на администратора по отношение на защитата на личните данни, включително възлагането на отговорности, повишаването на осведомеността и обучението на персонала, участващ в операциите по обработване, и съответните проверки;
3. при поискване да предоставя съвети по отношение на оценката на въздействието по чл. 64 и да наблюдава извършването ѝ;
4. да си сътрудничи с комисията, съответно с инспектората;
5. да действа като звено за контакт с комисията, включително за целите на предварителната консултация по чл. 65, и при необходимост да се консултира с комисията, съответно с инспектората по въпросите, свързани с обработването на лични данни.
(3) Администраторът осигурява технически и организационно дейността на длъжностното лице по защита на данните, включително необходимите ресурси, достъп до личните данни и операциите по обработването, както и поддържането на неговите експертни знания.
Чл. 71. (Нов - ДВ, бр. 17 от 2019 г.) Компетентните органи определят подходящи процедури, които дават възможност на служителите им пряко и поверително да докладват на съответното административно звено в структурата на администратора или на комисията, съответно на инспектората, за нарушения по тази глава.
Раздел IV.
Предаване на лични данни на трети държави или международни организации (Нов - ДВ, бр. 17 от 2019 г.)
Чл. 72. (Нов - ДВ, бр. 17 от 2019 г.) (1) Компетентен орган може да предава лични данни, които са в процес на обработване или са предназначени за обработване след предаването им, на трета държава или на международна организация, включително за последващо предаване на друга трета държава или международна организация, при условие че предаването е в съответствие с този закон и е изпълнено всяко едно от следните условия:
1. предаването е необходимо за целите по чл. 42, ал. 1;
2. личните данни се предават на администратор в трета държава или на международна организация, които са органи, компетентни за целите по чл. 42, ал. 1;
3. когато се предават лични данни, получени от друга държава - членка на Европейския съюз, тази държава членка е дала своето предварително разрешение за предаването в съответствие с националното си право;
4. когато:
а) Европейската комисия е приела решение, че съответната трета държава, територия или един или повече конкретни сектори в тази трета държава, или съответната международна организация осигуряват адекватно ниво на защита, или
б) при отсъствие на решение по буква "а" са предвидени или съществуват подходящи гаранции съгласно чл. 74, или
в) при отсъствието на решение по буква "а" и подходящи гаранции по буква "б" предаването на личните данни е необходимо в случаите по чл. 75;
5. при последващо предаване на лични данни на друга трета държава или международна организация компетентният орган, извършил първоначалното предаване, или друг компетентен орган в Република България разрешава последващото предаване на данни, след като надлежно е взел предвид всички значими фактори, включително тежестта на престъплението, целта на първоначалното предаване на личните данни и нивото на защита на личните данни в другата трета държава или международната организация, към която се извършва последващото предаване на лични данни.
(2) Предаването на лични данни без предварителното разрешение на другата държава - членка на Европейския съюз, съгласно ал. 1, т. 3 се разрешава само ако предаването е необходимо за предотвратяването на непосредствена и сериозна заплаха за обществения ред и сигурност на държава - членка на Европейския съюз, или на трета държава или за основните интереси на държава - членка на Европейския съюз, и предварителното разрешение не може да се получи своевременно. В тези случаи незабавно се уведомява органът на държавата - членка на Европейския съюз, предоставила личните данни, който е компетентен да даде предварителното разрешение по ал. 1, т. 3.
Чл. 73. (Нов - ДВ, бр. 17 от 2019 г.) Когато Европейската комисия отмени, измени или спре действието на решение по чл. 72, ал. 1, т. 4, буква "а", предаването на лични данни на съответната трета държава, на територията или на един или повече конкретни сектори в тази трета държава, или на съответната международна организация може да се осъществи при условията на чл. 74 и 75.
Чл. 74. (Нов - ДВ, бр. 17 от 2019 г.) (1) При липса на решение на Европейската комисия по чл. 72, ал. 1, т. 4, буква "а" предаване на лични данни на трета държава или международна организация може да се осъществи, когато:
1. в законодателството на третата държава или в устава на международната организация, или във влязъл в сила международен договор, по който Република България е страна, или в друг правно обвързващ акт са предвидени подходящи гаранции във връзка със защитата на личните данни, или
2. администраторът е извършил оценка на обстоятелствата, свързани с предаването на лични данни, и е преценил, че по отношение на защитата на личните данни съществуват подходящи гаранции.
(2) Администраторът документира предаването в случаите по ал. 1, т. 2, включително датата и часа на предаване, информацията относно получаващия компетентен орган, обосновка на предаването и предадените лични данни.
(3) Администраторът информира комисията, съответно инспектората за категориите предаване по ал. 1, т. 2 и при поискване им предоставя достъп до документацията по ал. 2.
Чл. 75. (Нов - ДВ, бр. 17 от 2019 г.) (1) При липса на решение на Европейската комисия по чл. 72, ал. 1, т. 4, буква "а" или на подходящи гаранции съгласно чл. 74 предаване на лични данни на трета държава или международна организация може да се извърши само ако предаването е необходимо:
1. за да бъдат защитени жизненоважни интереси на субекта на данни или на друго лице;
2. за да бъдат защитени законни интереси на субекта на данни, когато законодателството на Република България предвижда това;
3. за предотвратяването на непосредствена и сериозна заплаха за обществения ред и сигурност на държава - членка на Европейския съюз, или на трета държава;
4. в отделни случаи за целите по чл. 42, ал. 1, или
5. в отделни случаи за установяването, упражняването или защитата на правни претенции, свързани с целите по чл. 42, ал. 1.
(2) Лични данни не могат да се предават, ако предаващият компетентен орган реши, че основните права и свободи на субекта на данните надделяват над обществения интерес от предаването по ал. 1, т. 4 и 5.
(3) Предаването на данни по ал. 1 се документира и документацията се предоставя на комисията, съответно на инспектората, при поискване, включително датата и часа на предаване, информация относно получаващия компетентен орган, обосновка на предаването и предадените лични данни.
Чл. 76. (Нов - ДВ, бр. 17 от 2019 г.) (1) В отделни и специфични случаи компетентен орган може, без да е налице условието по чл. 72, ал. 1, т. 2 и без да се засяга международен договор, да предава лични данни пряко на получатели, установени в трети държави, само ако са спазени разпоредбите на тази глава и е изпълнено всяко едно от следните условия:
1. без предаването не може да се изпълни или сериозно би се затруднило изпълнението на задача на предаващия компетентен орган, произтичаща от правото на Европейския съюз или от законодателството на Република България, за целите по чл. 42, ал. 1;
2. предаващият компетентен орган реши, че основните права и свободи на субекта на данни не надделяват над обществения интерес, който налага предаването в конкретния случай;
3. предаващият компетентен орган смята, че предаването на орган, който е компетентен в третата държава за целите по чл. 42, ал. 1, е неефективно или неподходящо, по-специално тъй като предаването не може да се осъществи навреме;
4. органът на третата държава, който е компетентен за целите по чл. 42, ал. 1, е уведомен без излишно забавяне, освен ако това е неефективно или неподходящо;
5. предаващият компетентен орган уведоми получателя за конкретната цел или цели, единствено за които получателят може да обработва личните данни, при условие че такова обработване е необходимо.
(2) Международен договор по ал. 1 е всяко двустранно или многостранно международно споразумение, което е в сила между държави - членки на Европейския съюз, и трети държави в областта на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество.
(3) Компетентният орган, предаващ личните данни, документира всяко предаване по ал. 1 и уведомява комисията, съответно инспектората, за него.
Чл. 77. (Нов - ДВ, бр. 17 от 2019 г.) По отношение на трети държави и международни организации комисията предприема подходящи мерки за:
1. разработване на механизми за международно сътрудничество с цел подпомагане на ефективното прилагане на законодателството за защита на личните данни;
2. осигуряване на международна взаимопомощ при прилагането на законодателството за защита на личните данни, включително чрез уведомяване, препращане на жалби, помощ при разследвания и обмен на информация, при условие че има подходящи гаранции за защитата на личните данни и другите основни права и свободи;
3. включване на съответните заинтересовани страни в обсъждания и дейности, насочени към допълнително задълбочаване на международното сътрудничество за прилагането на законодателството за защита на личните данни;
4. насърчаване на обмена и документирането на законодателство и практики в областта на защитата на личните данни, включително във връзка със спорове за компетентност с трети държави.
Раздел V.
Надзор за спазване на правилата за защита на личните данни. Средства за правна защита (Нов - ДВ, бр. 17 от 2019 г.)
Чл. 78. (Нов - ДВ, бр. 17 от 2019 г.) (1) Надзорът по тази глава при обработване на лични данни за целите по чл. 42, ал. 1 се осъществява от комисията, освен в случаите по ал. 2.
(2) Надзорът по тази глава при обработване на лични данни за целите по чл. 42, ал. 1 от съда, прокуратурата и следствените органи при изпълнение на функциите им на органи на съдебната власт се осъществява от инспектората.
Чл. 79. (Нов - ДВ, бр. 17 от 2019 г.) (1) При осъществяване на надзора по тази глава комисията, съответно инспекторатът изпълнява следните задачи:
1. наблюдава и гарантира прилагането на разпоредбите на тази глава;
2. насърчава обществената информираност и разбиране на рисковете, правилата, гаранциите и правата, свързани с обработването на лични данни;
3. повишава осведомеността на администраторите и обработващите лични данни за техните задължения;
4. предоставя информация на всеки субект на данни във връзка с упражняването на правата му при поискване и, при необходимост, си сътрудничи за тази цел с надзорните органи в други държави - членки на Европейския съюз;
5. разглежда жалби, подадени от субект на данни при условията и по реда на глава седма;
6. проверява законосъобразността на обработването в случаите по чл. 57 и информира субекта на данните за резултата от проверката в тримесечен срок от сезирането или за причините, поради които проверката не е била извършена;
7. осъществява сътрудничество с други надзорни органи, включително чрез обмен на информация, и им предоставя взаимна помощ с оглед на осигуряване на съгласуваното прилагане и привеждане в изпълнение на правилата за защита на личните данни;
8. извършва проучвания в областта на защитата на личните данни, включително въз основа на информация, получена от друг надзорен или публичен орган;
9. следи за развитието на информационните и комуникационните технологии с оглед въздействието им върху защитата на личните данни.
(2) Освен задачите по ал. 1, комисията при осъществяване на надзора по тази глава изпълнява и задачите по чл. 10, ал. 2, както и участва в дейностите на Европейския комитет по защита на данните.
(3) При изпълнението на задачите по ал. 1 не се събира такса от субекта на данни и от длъжностното лице по защита на данните.
(4) Администраторът и обработващият лични данни сътрудничат при поискване с комисията, съответно с инспектората, при изпълнението на задачите им.
Чл. 80. (Нов - ДВ, бр. 17 от 2019 г.) (1) При осъществяване на надзора по тази глава комисията, съответно инспекторатът има правомощия да:
1. получава от администратора или от обработващия лични данни достъп до всички лични данни, които се обработват;
2. получава от администратора или от обработващия лични данни цялата информация, необходима за изпълнението на задачите по чл. 79;
3. отправя предупреждения до администратора или до обработващия лични данни, когато има вероятност планираните операции по обработване на данни да нарушат разпоредбите на тази глава;
4. разпорежда на администратора или на обработващия лични данни да приведат операциите по обработване на данни в съответствие с разпоредбите на тази глава, включително да разпорежда коригирането, допълването, изтриването на лични данни или ограничаването на обработването им съгласно чл. 56;
5. налага временно или окончателно ограничаване, включително забрана, на обработването на данни;
6. дава становища на администратора и на обработващия лични данни в съответствие с процедурата по предварителна консултация по чл. 65;
7. дава становища по собствена инициатива или при поискване по проекти на закони и други нормативни актове, както и на административни мерки, свързани със защитата на личните данни на физическите лица;
8. дава становища по собствена инициатива или при поискване по въпроси, свързани със защитата на личните данни.
(2) Освен правомощията по ал. 1, комисията, съответно инспекторатът упражнява и правомощията по чл. 10а, ал. 2, т. 2, съответно по чл. 17а, ал. 2, т. 2.
(3) Комисията, съответно инспекторатът може да сезира съда за нарушения по тази глава.
Чл. 81. (Нов - ДВ, бр. 17 от 2019 г.) (1) Комисията, съответно инспекторатът си сътрудничи със съответните надзорни органи на другите държави - членки на Европейския съюз, включително чрез обмен на информация и отправяне и изпълнение на искания за консултации, проверки и разследвания. Исканията следва да съдържат цялата необходима информация, включително целта и основанията на искането. Обменената информация се използва единствено за целите, за които е поискана.
(2) Комисията, съответно инспекторатът предприема всички необходими и подходящи мерки, за да се отговори на искането на друг надзорен орган без излишно забавяне и не по-късно от един месец след получаване на искането.
(3) Комисията, съответно инспекторатът може да откаже искане по ал. 1, като мотивира отказа си, когато:
1. не е компетентен относно предмета на искането или мерките, които се изисква да изпълни, или
2. изпълнението на искането би нарушило законодателството на Република България или правото на Европейския съюз.
(4) Комисията, съответно инспекторатът информира искащия надзорен орган за резултатите или, в зависимост от случая, за напредъка на предприетите мерки в отговор на искането.
(5) Формите на сътрудничество и взаимопомощ между комисията, съответно инспектората, и надзорните органи на други държави - членки на Европейския съюз, и процедурите, по които те се осъществяват, се определят с правилника по чл. 9, ал. 2, съответно с правилника по чл. 55, ал. 8 от Закона за съдебната власт.
Чл. 82. (Нов - ДВ, бр. 17 от 2019 г.) (1) При нарушаване на правата му по тази глава субектът на данните разполага със средствата за правна защита и може да търси отговорност за причинените му вреди по реда на глава седма.
(2) В случаите по чл. 38, ал. 1 и чл. 38б, ал. 1 комисията, съответно инспекторатът улеснява подаването на жалба от субект на данни чрез осигуряване на формуляр.
Чл. 83. (Нов - ДВ, бр. 17 от 2019 г.) (1) Субектът на данни има право да възложи на юридическо лице с нестопанска цел, което има уставни цели от обществен интерес и развива дейност в областта на защитата на правата и свободите на физическите лица по отношение на защитата на техните лични данни, да подаде жалба от негово име и да упражни от негово име правата по чл. 38, ал. 1 и 6, чл. 38б, ал. 1, чл. 38в, ал. 4 и 5 и чл. 39, ал. 1.
(2) Субектът на данни не може да възложи на лице по ал. 1 да упражни правото му на обезщетение по чл. 39, ал. 2.
Глава девета.
Принудителни административни мерки. Административнонаказателни разпоредби (нова - дв, бр. 17 от 2019 г.)
Чл. 84. (Нов - ДВ, бр. 17 от 2019 г.) (1) Мерките по чл. 58, параграф 2, букви "а" - "з" и "й" от Регламент (ЕС) 2016/679 и мерките по чл. 80, ал. 1, т. 3, 4 и 5 са принудителни административни мерки по смисъла на Закона за административните нарушения и наказания.
(2) Мерките по ал. 1 се прилагат с решение на комисията, съответно на инспектората, което подлежи на обжалване по реда на Административнопроцесуалния кодекс в 14-дневен срок от получаването му.
Чл. 85. (Нов - ДВ, бр. 17 от 2019 г.) (1) За нарушения по чл. 25в на администратора или обработващия лични данни се налага глоба или имуществена санкция в размерите по чл. 83, параграф 4 от Регламент (ЕС) 2016/679.
(2) За нарушения по чл. 12а, ал. 2, чл. 25ж, ал. 1 и 2, чл. 25з, ал. 1 и 2, чл. 25и, чл. 25к и чл. 25н на администратора или обработващия лични данни се налага глоба или имуществена санкция в размерите по чл. 83, параграф 5 от Регламент (ЕС) 2016/679.
(3) За нарушения по чл. 45, чл. 49, чл. 51, чл. 53 - 56 и чл. 80, ал. 1, т. 1 и 2 на администратора или обработващия лични данни се налага глоба или имуществена санкция в размерите по чл. 83, параграф 5 от Регламент (ЕС) 2016/679.
(4) За нарушения по чл. 59, ал. 3 и 4, чл. 62 и 64 - 70 на администратора или обработващия лични данни се налага глоба или имуществена санкция в размерите по чл. 83, параграф 4 от Регламент (ЕС) 2016/679.
(5) За неизпълнение на влязло в сила решение по чл. 84, ал. 2, с което са приложени принудителни административни мерки по чл. 80, ал. 1, т. 4 и 5, на администратора или обработващия лични данни се налага глоба или имуществена санкция в размерите по чл. 83, параграф 5 от Регламент (ЕС) 2016/679.
(6) Размерите на предвидените в ал. 1 - 5 административни наказания се определят съгласно посочените в чл. 83, параграф 2 от Регламент (ЕС) 2016/679 критерии и се налагат в тяхната левова равностойност.
Чл. 86. (Нов - ДВ, бр. 17 от 2019 г.) (1) За други нарушения по този закон на администратор или обработващ лични данни се налага глоба или имуществена санкция до 5000 лв.
(2) За нарушение по ал. 1, извършено повторно, се налага глоба или имуществена санкция в двоен размер на първоначално наложената.
Чл. 87. (Нов - ДВ, бр. 17 от 2019 г.) (1) Извън случаите по чл. 38, ал. 1, установяването на нарушенията на Регламент (ЕС) 2016/679 или на този закон, издаването, обжалването и изпълнението на наказателните постановления се извършват по реда на Закона за административните нарушения и наказания.
(2) Актовете за установяване на административните нарушения се съставят от член на комисията или от оправомощени от комисията длъжностни лица, съответно от оправомощени със заповед на главния инспектор лица.
(3) Наказателните постановления се издават от председателя на комисията, съответно от главния инспектор или от оправомощени от него инспектори.
(4) Имуществените санкции и глобите по влезли в сила решения по чл. 38, ал. 3 и наказателни постановления се събират по реда на Данъчно-осигурителния процесуален кодекс.
(5) Събраните суми от наложени от комисията имуществени санкции и глоби постъпват по бюджета на комисията.
(6) Събраните суми от наложени от инспектората имуществени санкции и глоби постъпват по бюджета на съдебната власт.
Допълнителни разпоредби
§ 1. (Изм. - ДВ, бр. 17 от 2019 г.) По смисъла на този закон:
1. "Лични данни" е понятието по чл. 4, т. 1 от Регламент (ЕС) 2016/679.
2. "Администратор", с изключение на администратора по глава осма, е понятието по чл. 4, т. 7 от Регламент (ЕС) 2016/679.
3. "Обработващ лични данни" е понятието по чл. 4, т. 8 от Регламент (ЕС) 2016/679.
4. "Обработване" е понятието по чл. 4, т. 2 от Регламент (ЕС) 2016/679.
5. "Ограничаване на обработването" е понятието по чл. 4, т. 3 от Регламент (ЕС) 2016/679.
6. "Профилиране" е понятието по чл. 4, т. 4 от Регламент (ЕС) 2016/679.
7. "Псевдонимизация" е понятието по чл. 4, т. 5 от Регламент (ЕС) 2016/679.
8. "Регистър с лични данни" е понятието по чл. 4, т. 6 от Регламент (ЕС) 2016/679.
9. "Получател" е понятието по чл. 4, т. 9 от Регламент (ЕС) 2016/679. Държавен или местен орган, както и структура, чиято основна дейност е свързана с разходване на публични средства, които могат да получават лични данни в рамките на конкретно разследване в съответствие със закон, не се смятат за получатели по смисъла на глава осма. Обработването на лични данни от тези органи или структури отговаря на приложимите правила за защита на данните съгласно целите на обработването.
10. "Нарушение на сигурността на лични данни" е понятието по чл. 4, т. 12 от Регламент (ЕС) 2016/679.
11. "Генетични данни" е понятието по чл. 4, т. 13 от Регламент (ЕС) 2016/679.
12. "Биометрични данни" е понятието по чл. 4, т. 14 от Регламент (ЕС) 2016/679.
13. "Данни, свързани със здравословното състояние" е понятието по чл. 4, т. 15 от Регламент (ЕС) 2016/679.
14. "Международна организация" е понятието по чл. 4, т. 26 от Регламент (ЕС) 2016/679.
15. "Мащабно" е наблюдение и/или обработване на лични данни на значителен или неограничен брой субекти на данни или обем лични данни, когато основните дейности на администратора или обработващия лични данни, включително средствата за тяхното изпълнение, се състоят в такива операции.
16. "Риск" е възможността за настъпване на имуществена или неимуществена вреда за субекта на данните при определени условия, оценена от гледна точка на нейната тежест и вероятност.
17. "Публичен орган" е държавен или местен орган, както и структура, чиято основна дейност е свързана с разходване на публични средства.
18. "Изтриване" е необратимо заличаване на информацията от съответния носител.
19. "Унищожаване" е необратимо физическо разрушаване на материалния носител на информация.
20. "Повторно" е нарушението, извършено в срок една година от влизането в сила на решението на комисията или на наказателното постановление, с което нарушителят е наказан за същото по вид нарушение.
§ 1а. (Нов - ДВ, бр. 91 от 2006 г., изм. - ДВ, бр. 17 от 2019 г.) Този закон предвижда мерки по прилагане на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (ОВ, L 119/1 от 4 май 2016 г.), както и въвежда изискванията на Директива (ЕС) 2016/680 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания и относно свободното движение на такива данни, и за отмяна на Рамково решение 2008/977/ПВР на Съвета (ОВ, L 119/89 от 4 май 2016 г.).
Преходни и Заключителни разпоредби
§ 2. (1) В едномесечен срок от влизането в сила на този закон Министерският съвет предлага на Народното събрание състава на Комисията за защита на личните данни.
(2) В 14-дневен срок от внасяне на предложението по ал. 1 Народното събрание избира състава на Комисията за защита на личните данни.
(3) В 3-месечен срок от избирането ѝ Комисията за защита на личните данни приема и обнародва в "Държавен вестник" правилника по чл. 9, ал. 2.
(4) Министерският съвет в едномесечен срок от влизането в сила на решението на Народното събрание по ал. 2 осигурява необходимото имущество и финансови ресурси за започване работа на комисията.
§ 3. (1) В 6-месечен срок от влизането в сила на правилника по чл. 9, ал. 2 лицата, които към момента на влизане в сила на закона поддържат регистри с лични данни, ги привеждат в съответствие с изискванията на закона и уведомяват за това комисията.
(2) Комисията извършва предварителни проверки, регистрира или отказва да регистрира като администратори лица, които поддържат регистри към момента на влизане в сила на закона, както и водените от тях регистри в 3-месечен срок от получаването на заявлението по ал. 1.
(3) Решенията на комисията за отказ на регистрация подлежат на обжалване пред Върховния административен съд в 14-дневен срок.
(4) С влизането в сила на решението на комисията за отказ на регистрация или на решението на Върховния административен съд, с което се потвърждава отказът на комисията, лицето, което неправомерно води регистър, е длъжно да унищожи лични данни, съдържащи се в регистъра му, или със съгласието на комисията да ги прехвърли на друг администратор, който е регистрирал своя регистър и обработва лични данни за същите цели.
(5) Комисията осъществява контрол върху изпълнението на задължението по ал. 4.
(6) В 3-месечен срок от регистрацията администраторът по чл. 3, ал. 1 е длъжен да публикува в бюлетина на Комисията за защита на личните данни сведенията по чл. 22, ал. 1.
§ 4. В Закона за достъп до обществена информация (ДВ, бр. 55 от 2000 г.) се правят следните изменения:
1. В чл. 2, ал. 3 думите "лична информация" се заменят с "лични данни".
2. В § 1 т. 2 се изменя така:
"2. "Лични данни" са информация за физическо лице, която разкрива неговата физическа, психологическа, умствена, семейна, икономическа, културна или обществена идентичност."
§ 5. Законът влиза в сила от 1 януари 2002 г.
-------------------------
Законът е приет от ХХХIХ Народно събрание на 21 декември 2001 г. и е подпечатан с официалния печат на Народното събрание.
Преходни и Заключителни разпоредби
към закона за частните съдебни изпълнители
(ОБН. - ДВ, бр. 43 ОТ 2005 г., В СИЛА ОТ 01.09.2005 г.)
§ 23. Законът влиза в сила от 1 септември 2005 г.
Преходни и Заключителни разпоредби
към закона за изменение и допълнение на закона за защита на личните данни
(ОБН. - ДВ, бр. 103 ОТ 2005 г., ИЗМ. - ДВ, бр. 91 ОТ 2006 г.)
§ 50. Разпоредбата на § 38, относно чл. 36, се прилага до влизане в сила на Договора за присъединяване на Република България към Европейския съюз.
§ 51. (Изм. - ДВ, бр. 91 от 2006 г.) Разпоредбите на § 1, относно чл. 1, ал. 4, т. 3, § 8, т. 1, буква "в", относно чл. 10, ал. 1, т. 9, § 39, относно чл. 36а,§ 40, относно чл. 36б, и § 48, т. 5, относно т. 14 от допълнителната разпоредба, влизат в сила от датата на влизане в сила на Договора за присъединяване на Република България към Европейския съюз.
§ 52. В тримесечен срок от влизане в сила на закона Комисията за защита на личните данни приема Етичния кодекс по чл. 10, ал. 4 и наредбата по чл. 23, ал. 5.
Преходни и Заключителни разпоредби
към административнопроцесуалния кодекс
(ОБН. - ДВ, бр. 30 ОТ 2006 г., В СИЛА ОТ 12.07.2006 г.)
§ 142. Кодексът влиза в сила три месеца след обнародването му в "Държавен вестник", с изключение на:
1. дял трети, § 2, т. 1 и § 2, т. 2 - относно отмяната на глава трета, раздел II "Обжалване по съдебен ред", § 9, т. 1 и 2, § 11, т. 1 и 2, § 15, § 44, т. 1 и 2, § 51, т. 1, § 53, т. 1, § 61, т. 1, § 66, т. 3, § 76, т. 1 - 3, § 78, § 79, § 83, т. 1, § 84, т. 1 и 2, § 89, т. 1 - 4, § 101, т. 1, § 102, т. 1, § 107, § 117, т. 1 и 2, § 125, § 128, т. 1 и 2, § 132, т. 2 и § 136, т. 1, както и § 34, § 35, т. 2, § 43, т. 2, § 62, т. 1, § 66, т. 2 и 4, § 97, т. 2 и § 125, т. 1 - относно замяната на думата "окръжния" с "административния" и замяната на думите "Софийския градски съд" с "Административния съд - град София", които влизат в сила от 1 март 2007 г.;
2. параграф 120, който влиза в сила от 1 януари 2007 г.;
3. параграф 3, който влиза в сила от деня на обнародването на кодекса в "Държавен вестник".
Преходни и Заключителни разпоредби
към закона за изменение и допълнение на закона за защита на личните данни
(ОБН. - ДВ, бр. 91 ОТ 2006 г.)
§ 31. Разпоредбата на § 6 относно чл. 6, ал. 2 влиза в сила от 1 януари 2007 г.
§ 32. В срок два месеца от влизането в сила на този закон Комисията за защита на личните данни приема инструкцията по чл. 12, ал. 9.
§ 33. В срок три месеца от влизането в сила на този закон администраторите, които подлежат на регистрация, подават заявление за регистрация.
Преходни и Заключителни разпоредби
към закона за националния архивен фонд
(ОБН. - ДВ, бр. 57 ОТ 2007 г., В СИЛА ОТ 13.07.2007 г.)
§ 23. Законът влиза в сила от деня на обнародването му в "Държавен вестник".
Преходни и Заключителни разпоредби
към закона за изменение и допълнение на закона за предотвратяване и разкриване на конфликт на интереси
(ОБН. - ДВ, бр. 97 ОТ 2010 г., В СИЛА ОТ 10.12.2010 г.)
§ 61. Законът влиза в сила от деня на обнародването му в "Държавен вестник" с изключение на:
1. параграф 11 относно чл. 22а – 22д, който влиза в сила от 1 януари 2011 г.;
2. параграфи 7, 8, 9, § 11 относно чл. 22е – 22и и § 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22 и 23, които влизат в сила от 1 април 2011 г.
Допълнителни разпоредби
към закона за изменение и допълнение на закона за защита на личните данни
(ОБН. - ДВ, бр. 81 ОТ 2011 г.)
§ 15. Този закон въвежда изискванията на Рамково решение 2008/977/ПВР на Съвета от 27 ноември 2008 г. относно защитата на личните данни, обработвани в рамките на полицейското и съдебното сътрудничество по наказателноправни въпроси (ОВ, L 350/ 60 от 30 декември 2008 г.).
Преходни и Заключителни разпоредби
към закона за изменение и допълнение на закона за електронните съобщения
(ОБН. - ДВ, бр. 105 ОТ 2011 г., В СИЛА ОТ 29.12.2011 г.)
§ 220. Законът влиза в сила от деня на обнародването му в "Държавен вестник".
Преходни и Заключителни разпоредби
към закона за публичните финанси
(ОБН. - ДВ, бр. 15 ОТ 2013 г., В СИЛА ОТ 01.01.2014 г.)
§ 123. Законът влиза в сила от 1 януари 2014 г. с изключение на § 115, който влиза в сила от 1 януари 2013 г., и § 18, § 114, § 120, § 121 и § 122, които влизат в сила от 1 февруари 2013 г.
Преходни и Заключителни разпоредби
към закона за изменение и допълнение на закона за министерството на вътрешните работи
(ОБН. - ДВ, бр. 81 ОТ 2016 г., В СИЛА ОТ 01.01.2017 г.)
§ 102. Законът влиза в сила от 1 януари 2017 г., с изключение на:
1. параграфи 6 - 8, § 12, т. 1, 2 и 4, § 13, § 14, § 18 - 20, § 23, § 26 - 31, § 32, т. 1 и 4, § 33 - 39, § 41 - 48, § 49 относно чл. 187, ал. 3, изречение първо, § 50 - 59, § 61 - 65, § 81 - 85, § 86, т. 4 и 5, § 87, т. 3, § 90, т. 1, § 91, т. 2 и 3, § 92, § 93 и § 97 - 101, които влизат в сила от деня на обнародването на закона в "Държавен вестник";
2. параграф 32, т. 2 и 3, § 49 относно чл. 187, ал. 3, ново изречение второ, § 69 - 72, § 76 относно лицата по § 70, § 78 по отношение на служителите по § 69 и § 70, § 79 по отношение на служителите по § 69 и § 70, § 91, т. 1 и § 94, които влизат в сила от 1 февруари 2017 г.
Преходни и Заключителни разпоредби
към закона за допълнение на закона за ограничаване на административното регулиране и административния контрол върху стопанската дейност
(ОБН. - ДВ, бр. 103 ОТ 2017 г., В СИЛА ОТ 01.01.2018 г.)
§ 68. Законът влиза в сила от 1 януари 2018 г.
Преходни и Заключителни разпоредби
към закона за изменение и допълнение на закона за защита на личните данни
(ОБН. - ДВ, бр. 17 ОТ 2019 г.)
§ 44. (1) Образуваните до 25 май 2018 г. и неприключили до влизането в сила на този закон производства за нарушения на закона се довършват по досегашния ред.
(2) За нарушения на закона и на Регламент (ЕС) 2016/679, извършени до влизането в сила на този закон, срокът за сезиране на комисията по чл. 38 е една година от узнаването на нарушението, но не по-късно от 5 години от извършването му.
§ 45. Системите за автоматизирано обработване, използвани от компетентните органи по чл. 42, ал. 4 за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществения ред и сигурност и тяхното предотвратяване, създадени преди 6 май 2016 г., се привеждат в съответствие с чл. 63, ал. 1 и 2 до 6 май 2023 г.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
§ 120. В срок до една година от влизането в сила на този закон Комисията за защита на личните данни приема наредбите по чл. 14, ал. 5 и 6 и по чл. 14а, ал. 3.
Релевантни актове от Европейското законодателство
Директиви:
ДИРЕКТИВА (ЕС) 2016/680 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания и относно свободното движение на такива данни, и за отмяна на Рамково решение 2008/977/ПВР на Съвета
ДИРЕКТИВА 2002/58/ЕО НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 12 юли 2002 година относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации (Директива за правото на неприкосновеност на личния живот и електронни комуникации)
ДИРЕКТИВА 95/46/ЕО НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (отм.)
Регламенти:
РЕГЛАМЕНТ (ЕС) 2016/679 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните)
РЕГЛАМЕНТ (ЕС) № 910/2014 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 23 юли 2014 година относно електронната идентификация и удостоверителните услуги при електронни трансакции на вътрешния пазар и за отмяна на Директива 1999/93/ЕО
РЕГЛАМЕНТ (ЕО) № 45/2001 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 18 декември 2000 година относно защитата на лицата по отношение на обработката на лични данни от институции и органи на Общността и за свободното движение на такива данни
РЕГЛАМЕНТ (ЕИО) № 2380/74 НА СЪВЕТА от 17 септември 1974 година за приемане на разпоредби за разпространяване на информация, свързана с научноизследователски програми за Европейската икономическа общност
Решения:
РАМКОВО РЕШЕНИЕ 2008/977/ПВР НА СЪВЕТА от 27 ноември 2008 година относно защитата на личните данни, обработвани в рамките на полицейското и съдебното сътрудничество по наказателноправни въпроси (отм.)
РЕШЕНИЕ 2001/497/ЕО НА КОМИСИЯТА от 15 юни 2001 година относно общите договорни клаузи за трансфера на лични данни към трети страни съгласно Директива 95/46/ЕО (нотифицирано под номер С(2001) 1539)
РЕШЕНИЕ 2000/518/ЕО НА КОМИСИЯТА от 26 юли 2000 година съгласно Директива 95/46/EО на Европейския парламент и на Съвета за адекватната защита на личните данни, предоставяни в Швейцария (нотифицирано под номер C(2000) 2304)
БЕЗПЛАТНО приложение portaltrznormativi.bg
Бъдете в крак с всички решения, предложени от специалистите.
Абонирайте се сега в бюлетина на PortalTRZnormativi.bg и получете специален PDF "9 експертни решения за трудовоправни отношения"!
Подобни статии от категория Лични данни
04Ноем2021
Комисията за защита от дискриминация също взе отношение по темата за третирането на лицата във връзка с ваксинационния им статус
от доц. д-р Андрей Александров
04 Ноем 2021
02Ноем2021
Комисията за защита на личните данни разяснява обработването на данни за ваксинационния статус на лицата
от доц. д-р Андрей Александров
02 Ноем 2021
23Юли2020
Допустимо ли е задължителното подлагане на тестове на персонала за COVID-19 и за чия сметка трябва да се провежда?
от доц. д-р Андрей Александров
23 Юли 2020
21Апр2020
Граници на допустимото вмешателство в личното пространство в условия на извънредно положение
от доц. д-р Андрей Александров
21 Апр 2020