ЗАКОН ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

Глава първа.

ОБЩИ ПОЛОЖЕНИЯ

Чл. 1. (Изм. - ДВ, бр. 103 от 2005 г.) (1) Този закон урежда защитата на правата на физическите лица при обработването на личните им данни.

(2) Целта на закона е гарантиране на неприкосновеността на личността и личния живот чрез осигуряване на защита на физическите лица при неправомерно обработване на свързаните с тях лични данни в процеса на свободното движение на данните.

(3) (Нова - ДВ, бр. 91 от 2006 г.) Този закон се прилага за обработването на лични данни със:

1. автоматични средства;

2. неавтоматични средства, когато тези данни съставляват или са предназначени да съставляват част от регистър.

(4) (Предишна ал. 3, изм. - ДВ, бр. 91 от 2006 г.) Този закон се прилага за обработването на лични данни, когато администраторът на лични данни:

1. (изм. - ДВ, бр. 91 от 2006 г.) е установен на територията на Република България и обработва лични данни във връзка със своята дейност;

2. (изм. - ДВ, бр. 91 от 2006 г.) не е установен на територията на Република България, но е задължен да прилага този закон по силата на международното публично право;

3. (В сила от Договора за присъединяване на Република България към Европейския съюз, изм. - ДВ, бр. 91 от 2006 г.) не е установен на територията на държава - членка на Европейския съюз, както и в друга държава - членка на Европейското икономическо пространство, но за целите на обработването използва средства, разположени на българска територия, освен когато тези средства се използват само за транзитни цели; в този случай администраторът трябва да посочи представител, установен на територията на Република България, без това да го освобождава от отговорност.

(5) (Предишна ал. 4, изм. - ДВ, бр. 91 от 2006 г.) Този закон се прилага и за обработването на лични данни за целите на отбраната, националната сигурност и обществения ред, както и за нуждите на наказателното производство, доколкото в специален закон не е предвидено друго. Обработването на данните се извършва под контрола на съответния държавен орган.

(6) (Предишна ал. 5 - ДВ, бр. 91 от 2006 г.) Условията и редът за обработването на единен граждански номер и на други идентификационни номера с общо приложение се уреждат в специални закони.

(7) (Предишна ал. 6 - ДВ, бр. 91 от 2006 г., доп. - ДВ, бр. 57 от 2007 г., в сила от 13.07.2007 г.) Този закон не се прилага за обработването на лични данни, извършвано от физически лица за техни лични или домашни дейности, както и за информацията, която се съхранява в Националния архивен фонд.

Чл. 1. (Изм. - ДВ, бр. 103 от 2005 г.) (1) Този закон урежда защитата на правата на физическите лица при обработването на личните им данни.

(2) Целта на закона е гарантиране на неприкосновеността на личността и личния живот чрез осигуряване на защита на физическите лица при неправомерно обработване на свързаните с тях лични данни в процеса на свободното движение на данните.

(3) (Нова - ДВ, бр. 91 от 2006 г.) Този закон се прилага за обработването на лични данни със:

1. автоматични средства;

2. неавтоматични средства, когато тези данни съставляват или са предназначени да съставляват част от регистър.

(4) (Предишна ал. 3, изм. - ДВ, бр. 91 от 2006 г.) Този закон се прилага за обработването на лични данни, когато администраторът на лични данни:

1. (изм. - ДВ, бр. 91 от 2006 г.) е установен на територията на Република България и обработва лични данни във връзка със своята дейност;

2. (изм. - ДВ, бр. 91 от 2006 г.) не е установен на територията на Република България, но е задължен да прилага този закон по силата на международното публично право;

3. (В сила от Договора за присъединяване на Република България към Европейския съюз, изм. - ДВ, бр. 91 от 2006 г.) не е установен на територията на държава - членка на Европейския съюз, както и в друга държава - членка на Европейското икономическо пространство, но за целите на обработването използва средства, разположени на българска територия, освен когато тези средства се използват само за транзитни цели; в този случай администраторът трябва да посочи представител, установен на територията на Република България, без това да го освобождава от отговорност.

(5) (Предишна ал. 4, изм. - ДВ, бр. 91 от 2006 г.) Този закон се прилага и за обработването на лични данни за целите на отбраната, националната сигурност и обществения ред, както и за нуждите на наказателното производство, доколкото в специален закон не е предвидено друго. Обработването на данните се извършва под контрола на съответния държавен орган.

(6) (Предишна ал. 5 - ДВ, бр. 91 от 2006 г.) Условията и редът за обработването на единен граждански номер и на други идентификационни номера с общо приложение се уреждат в специални закони.

(7) (Предишна ал. 6 - ДВ, бр. 91 от 2006 г.) Този закон не се прилага за обработването на лични данни, извършвано от физически лица за техни лични или домашни дейности.

Чл. 1. (Изм. - ДВ, бр. 103 от 2005 г.) (1) Този закон урежда защитата на правата на физическите лица при обработването на личните им данни.

(2) Целта на закона е гарантиране на неприкосновеността на личността и личния живот чрез осигуряване на защита на физическите лица при неправомерно обработване на свързаните с тях лични данни в процеса на свободното движение на данните.

(3) Този закон се прилага за обработката на лични данни, съставляващи или предназначени да съставляват част от регистър, която се извършва от администратор на лични данни:

1. установен на територията на Република България;

2. който не е установен на територията на Република България, но е задължен да прилага този закон по силата на международното публично право;

3. (В сила от датата на влизане в сила на Договора за присъединяване на Република България към Европейския съюз) който не е установен на територията на държава - членка на Европейския съюз, както и в друга държава - членка на Европейското икономическо пространство, но за целите на обработването използва средства, разположени на българска територия, освен когато тези средства се използват само за транзитни цели; в този случай администраторът трябва да посочи представител, установен на територията на Република България, без това да го освобождава от отговорност.

(4) Обработването на лични данни за целите на отбраната, националната сигурност и обществения ред, както и за нуждите на наказателното производство се урежда в специални закони.

(5) Условията и редът за обработването на единен граждански номер и на други идентификационни номера с общо приложение се уреждат в специални закони.

(6) Този закон не се прилага за обработването на лични данни, извършвано от физически лица за техни лични или домашни дейности.

Чл. 1. (1) Този закон урежда защитата на физическите лица при обработването на лични данни, както и достъпа до тези данни.

(2) Целта на закона е да се гарантира неприкосновеността на личността и личния живот, като се защитят физическите лица при неправомерно обработване на свързаните с тях лични данни и се регламентира правото на достъп до събираните и обработвани такива данни.

(3) Този закон не се прилага за обработването на лични данни от физическо лице, което не е администратор, на лични данни във връзка с лични интереси и за лично ползване.

(4) В специални закони може да се уредят обработването и достъпът до лични данни за целите на отбраната, националната сигурност и обществения ред, както и за функционирането на органите на изпълнителната и съдебната власт при прилагането на наказателното право.

Чл. 2. (Доп. - ДВ, бр. 70 от 2004 г., в сила от 01.01.2005 г., изм. - ДВ, бр. 103 от 2005 г.) (1) (Изм. - ДВ, бр. 91 от 2006 г.) Лични данни са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци.

(2) Личните данни трябва да:

1. се обработват законосъобразно и добросъвестно;

2. се събират за конкретни, точно определени и законни цели и да не се обработват допълнително по начин, несъвместим с тези цели; допълнително обработване на личните данни за исторически, статистически или научни цели е допустимо, при условие че администраторът осигури подходяща защита, като гарантира, че данните не се обработват за други цели;

3. (изм. - ДВ, бр. 91 от 2006 г.) бъдат съотносими, свързани със и ненадхвърлящи целите, за които се обработват;

4. бъдат точни и при необходимост да се актуализират;

5. се заличават или коригират, когато се установи, че са неточни или непропорционални по отношение на целите, за които се обработват;

6. се поддържат във вид, който позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които тези данни се обработват; личните данни, които ще се съхраняват за по-дълъг период за исторически, статистически или научни цели, се поддържат във вид, непозволяващ идентифицирането на физическите лица.

Чл. 2. (Доп. - ДВ, бр. 70 от 2004 г., в сила от 01.01.2005 г., изм. - ДВ, бр. 103 от 2005 г.) (1) Лични данни са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци, свързани с неговата физическа, физиологична, генетична, психическа, психологическа, икономическа, културна или социална идентичност.

(2) Личните данни трябва да:

1. се обработват законосъобразно и добросъвестно;

2. се събират за конкретни, точно определени и законни цели и да не се обработват допълнително по начин, несъвместим с тези цели; допълнително обработване на личните данни за исторически, статистически или научни цели е допустимо, при условие че администраторът осигури подходяща защита, като гарантира, че данните не се обработват за други цели;

3. бъдат пропорционални на целите, за които се обработват;

4. бъдат точни и при необходимост да се актуализират;

5. се заличават или коригират, когато се установи, че са неточни или непропорционални по отношение на целите, за които се обработват;

6. се поддържат във вид, който позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които тези данни се обработват; личните данни, които ще се съхраняват за по-дълъг период за исторически, статистически или научни цели, се поддържат във вид, непозволяващ идентифицирането на физическите лица.

Чл. 2. (1) (Доп. - ДВ, бр. 70 от 2004 г., в сила от 01.01.2005 г.) Лични данни са информация за физическо лице, която разкрива неговата физическа, психологическа, умствена, семейна, икономическа, културна или обществена идентичност, както и данните за човешкия геном.

(2) Разпоредбите на този закон се прилагат и по отношение на личните данни за физическите лица, свързани с участието им в граждански дружества или в органите за управление, контрол и надзор на юридическите лица, както и при изпълняването на функции на държавни органи.

Чл. 2. (1) Лични данни са информация за физическо лице, която разкрива неговата физическа, психологическа, умствена, семейна, икономическа, културна или обществена идентичност.

(2) Разпоредбите на този закон се прилагат и по отношение на личните данни за физическите лица, свързани с участието им в граждански дружества или в органите за управление, контрол и надзор на юридическите лица, както и при изпълняването на функции на държавни органи.

Чл. 3. (1) (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г.) Администратор на лични данни, наричан по-нататък "администратор", е физическо или юридическо лице, както и орган на държавната власт или на местното самоуправление, който сам или съвместно с друго лице определя целите и средствата за обработване на личните данни.

(2) (Нова - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г.) Администратор е и физическо или юридическо лице, както и орган на държавната власт или на местното самоуправление, който обработва лични данни, видът на които, целите и средствата за обработване се определят със закон. В тези случаи администраторът или специфичните критерии за неговото определяне са нормативно уредени.

(3) (Предишна ал. 2 - ДВ, бр. 103 от 2005 г.) Администраторът на лични данни обработва личните данни самостоятелно или чрез възлагане на обработващ данните.

(4) (Нова - ДВ, бр. 103 от 2005 г.) Администраторът осигурява спазването на изискванията на чл. 2, ал. 2.

Чл. 3. (1) (Изм. - ДВ, бр. 103 от 2005 г.) Администратор на лични данни, наричан по-нататък "администратор", е физическо или юридическо лице, както и орган на държавна власт или на местно самоуправление, който обработва лични данни, като видът на обработваните данни, целите и средствата за обработване са определени със закон.

(2) (Нова - ДВ, бр. 103 от 2005 г.) Администратор е и физическо или юридическо лице, както и орган на държавна власт или на местно самоуправление, който сам определя вида на обработваните лични данни, целите и средствата за тяхното обработване.

(3) (Предишна ал. 2 - ДВ, бр. 103 от 2005 г.) Администраторът на лични данни обработва личните данни самостоятелно или чрез възлагане на обработващ данните.

(4) (Нова - ДВ, бр. 103 от 2005 г.) Администраторът осигурява спазването на изискванията на чл. 2, ал. 2.

Чл. 3. (1) Администратор на лични данни е физическо или юридическо лице, както и държавен орган, който определя вида на обработваните данни, целта на обработване, начините на обработване и на защита при спазване изискванията на този закон.

(2) Администраторът на лични данни обработва личните данни самостоятелно или чрез възлагане на обработващ данните.

(3) Държавните органи обработват лични данни в случаите, определени със закон.

Чл. 4. (Изм. - ДВ, бр. 103 от 2005 г.) (1) Обработването на лични данни е допустимо само в случаите, когато е налице поне едно от следните условия:

1. обработването е необходимо за изпълнение на нормативно установено задължение на администратора на лични данни;

2. физическото лице, за което се отнасят данните, е дало изрично своето съгласие;

3. (изм. - ДВ, бр. 91 от 2006 г.) обработването е необходимо за изпълнение на задължения по договор, по който физическото лице, за което се отнасят данните, е страна, както и за действия, предхождащи сключването на договор и предприети по негово искане;

4. обработването е необходимо, за да се защитят животът и здравето на физическото лице, за което се отнасят данните;

5. обработването е необходимо за изпълнението на задача, която се осъществява в обществен интерес;

6. обработването е необходимо за упражняване на правомощия, предоставени със закон на администратора или на трето лице, на което се разкриват данните;

7. обработването е необходимо за реализиране на законните интереси на администратора на лични данни или на трето лице, на което се разкриват данните, освен когато пред тези интереси преимущество имат интересите на физическото лице, за което се отнасят данните.

(2) Обработването на лични данни е допустимо и в случаите, когато то се извършва единствено за целите на журналистическата дейност, литературното или художественото изразяване, доколкото това обработване не нарушава правото на личен живот на лицето, за което се отнасят данните. В тези случаи разпоредбите на глава трета не се прилагат.

Чл. 4. (Изм. - ДВ, бр. 103 от 2005 г.) (1) Обработването на лични данни е допустимо само в случаите, когато е налице поне едно от следните условия:

1. обработването е необходимо за изпълнение на нормативно установено задължение на администратора на лични данни;

2. физическото лице, за което се отнасят данните, е дало изрично своето съгласие;

3. обработването е необходимо за сключване и изпълнение на договор, по който физическото лице, за което се отнасят данните, е страна;

4. обработването е необходимо, за да се защитят животът и здравето на физическото лице, за което се отнасят данните;

5. обработването е необходимо за изпълнението на задача, която се осъществява в обществен интерес;

6. обработването е необходимо за упражняване на правомощия, предоставени със закон на администратора или на трето лице, на което се разкриват данните;

7. обработването е необходимо за реализиране на законните интереси на администратора на лични данни или на трето лице, на което се разкриват данните, освен когато пред тези интереси преимущество имат интересите на физическото лице, за което се отнасят данните.

(2) Обработването на лични данни е допустимо и в случаите, когато то се извършва единствено за целите на журналистическата дейност, литературното или художественото изразяване, доколкото това обработване не нарушава правото на личен живот на лицето, за което се отнасят данните. В тези случаи разпоредбите на глава трета не се прилагат.

Чл. 4. (1) Личните данни се поддържат в регистри за лични данни.

(2) Личните данни, обработвани от държавните органи, са служебна информация.

Чл. 5. (Изм. - ДВ, бр. 103 от 2005 г.) (1) Забранено е обработването на лични данни, които:

1. разкриват расов или етнически произход;

2. разкриват политически, религиозни или философски убеждения, членство в политически партии или организации, сдружения с религиозни, философски, политически или синдикални цели;

3. се отнасят до здравето, сексуалния живот или до човешкия геном.

(2) Алинея 1 не се прилага, когато:

1. обработването е необходимо за целите на изпълнението на специфични права и задължения на администратора в областта на трудовото законодателство;

2. (доп. - ДВ, бр. 91 от 2006 г.) физическото лице, за което се отнасят тези данни, е дало изрично своето съгласие за обработването им, освен ако в специален закон е предвидено друго;

3. обработването е необходимо за защита на живота и здравето на физическото лице, за което тези данни се отнасят, или на друго лице и състоянието на физическото лице не му позволява да даде съгласие или съществуват законни пречки за това;

4. обработването се извършва от организация с нестопанска цел, включително с политическа, философска, религиозна или синдикална цел, в хода на законосъобразната й дейност и с подходяща защита, при условие че:

а) обработването е свързано единствено с членовете на тази организация или с лица, които поддържат редовни контакти с нея във връзка с нейните цели;

б) данните не се разкриват на трети лица без съгласието на физическото лице, за което те се отнасят;

5. обработването се отнася до данни, публично оповестени от физическото лице, или то е необходимо за установяването, упражняването или защитата на права по съдебен ред;

6. обработването е необходимо за целите на превантивната медицина, медицинската диагностика, предоставянето или управлението на здравни услуги, при условие че данните се обработват от медицински специалист, задължен по закон да пази професионална тайна, или от друго лице, обвързано с подобно задължение за опазване на тайна;

7. обработването се извършва единствено за целите на журналистическата дейност, литературното или художественото изразяване, доколкото то не нарушава правото на личен живот на лицето, за което се отнасят тези данни.

Чл. 5. (Изм. - ДВ, бр. 103 от 2005 г.) (1) Забранено е обработването на лични данни, които:

1. разкриват расов или етнически произход;

2. разкриват политически, религиозни или философски убеждения, членство в политически партии или организации, сдружения с религиозни, философски, политически или синдикални цели;

3. се отнасят до здравето, сексуалния живот или до човешкия геном.

(2) Алинея 1 не се прилага, когато:

1. обработването е необходимо за целите на изпълнението на специфични права и задължения на администратора в областта на трудовото законодателство;

2. физическото лице, за което се отнасят тези данни, е дало своето съгласие за обработването им, освен ако в специален закон е предвидено друго;

3. обработването е необходимо за защита на живота и здравето на физическото лице, за което тези данни се отнасят, или на друго лице и състоянието на физическото лице не му позволява да даде съгласие или съществуват законни пречки за това;

4. обработването се извършва от организация с нестопанска цел, включително с политическа, философска, религиозна или синдикална цел, в хода на законосъобразната й дейност и с подходяща защита, при условие че:

а) обработването е свързано единствено с членовете на тази организация или с лица, които поддържат редовни контакти с нея във връзка с нейните цели;

б) данните не се разкриват на трети лица без съгласието на физическото лице, за което те се отнасят;

5. обработването се отнася до данни, публично оповестени от физическото лице, или то е необходимо за установяването, упражняването или защитата на права по съдебен ред;

6. обработването е необходимо за целите на превантивната медицина, медицинската диагностика, предоставянето или управлението на здравни услуги, при условие че данните се обработват от медицински специалист, задължен по закон да пази професионална тайна, или от друго лице, обвързано с подобно задължение за опазване на тайна;

7. обработването се извършва единствено за целите на журналистическата дейност, литературното или художественото изразяване, доколкото то не нарушава правото на личен живот на лицето, за което се отнасят тези данни.

Чл. 5. Акт на държавен орган или на орган на местното самоуправление, който има правни последици за определено лице и съдържа оценка на неговото поведение, не може да се основава единствено на автоматизирана обработка на лични данни.

Глава втора.

КОМИСИЯ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

Чл. 6. (1) Комисията за защита на личните данни, наричана по-нататък "комисията", е независим държавен орган, който осъществява защитата на лицата при обработването на техните лични данни и при осъществяването на достъпа до тези данни, както и контрола по спазването на този закон.

(2) (Нова - ДВ, бр. 94 от 2010 г.) Комисията съдейства за провеждането на държавната политика в областта на защита на личните данни.

(3) (Доп. - ДВ, бр. 91 от 2006 г., в сила от 01.01.2007 г., предишна ал. 2 - ДВ, бр. 94 от 2010 г.) Комисията е юридическо лице на бюджетна издръжка със седалище София и е първостепенен разпоредител с бюджетни кредити.

Чл. 6. (1) Комисията за защита на личните данни, наричана по-нататък "комисията", е независим държавен орган, който осъществява защитата на лицата при обработването на техните лични данни и при осъществяването на достъпа до тези данни, както и контрола по спазването на този закон.

(2) (Доп. - ДВ, бр. 91 от 2006 г., в сила от 01.01.2007 г.) Комисията е юридическо лице на бюджетна издръжка със седалище София и е първостепенен разпоредител с бюджетни кредити.

Чл. 6. (1) Комисията за защита на личните данни, наричана по-нататък "комисията", е независим държавен орган, който осъществява защитата на лицата при обработването на техните лични данни и при осъществяването на достъпа до тези данни, както и контрола по спазването на този закон.

(2) Комисията е юридическо лице на бюджетна издръжка със седалище София.

Чл. 7. (1) Комисията е колегиален орган и се състои от председател и 4 членове.

(2) (Изм. - ДВ, бр. 91 от 2006 г.) Членовете на комисията и председателят й се избират от Народното събрание по предложение на Министерския съвет за срок 5 години и могат да бъдат преизбирани за още един мандат.

(3) Председателят и членовете на комисията осъществяват своята дейност по трудово правоотношение.

(4) (Нова - ДВ, бр. 91 от 2006 г.) Членовете на комисията получават основно месечно възнаграждение, равно на 2,5 средномесечни работни заплати на наетите лица по трудово и служебно правоотношение в обществения сектор съобразно данни на Националния статистически институт. Основното месечно възнаграждение се преизчислява всяко тримесечие, като се взема предвид средномесечната работна заплата за последния месец от предходното тримесечие.

(5) (Нова - ДВ, бр. 91 от 2006 г.) Председателят на комисията получава месечно възнаграждение с 30 на сто по-високо от основното месечно възнаграждение по ал. 4.

(6) (Изм. - ДВ, бр. 103 от 2005 г., предишна ал. 4 - ДВ, бр. 91 от 2006 г.) Комисията до 31 януари всяка година представя годишен отчет за своята дейност пред Народното събрание.

Чл. 7. (1) Комисията е колегиален орган и се състои от председател и 4 членове.

(2) Членовете на комисията и председателят й се избират от Народното събрание по предложение на Министерския съвет за срок 5 години и могат да бъдат преизбирани за още един мандат. В решението се определя и размерът на тяхното възнаграждение.

(3) Председателят и членовете на комисията осъществяват своята дейност по трудово правоотношение.

(4) (Изм. - ДВ, бр. 103 от 2005 г.) Комисията до 31 януари всяка година представя годишен отчет за своята дейност пред Народното събрание.

Чл. 7. (1) Комисията е колегиален орган и се състои от председател и 4 членове.

(2) Членовете на комисията и председателят й се избират от Народното събрание по предложение на Министерския съвет за срок 5 години и могат да бъдат преизбирани за още един мандат. В решението се определя и размерът на тяхното възнаграждение.

(3) Председателят и членовете на комисията осъществяват своята дейност по трудово правоотношение.

(4) Комисията до 31 януари всяка година представя годишен отчет за своята дейност пред Народното събрание и пред Министерския съвет.

Чл. 8. (1) За членове на комисията могат да бъдат избирани български граждани, които:

1. имат висше образование по информатика, по право или са магистри по информационни технологии;

2. имат трудов стаж по специалността си не по-малко от 10 години;

3. (доп. - ДВ, бр. 103 от 2005 г.) не са осъждани на лишаване от свобода за умишлени престъпления от общ характер, независимо дали са реабилитирани;

(2) Членове на комисията не могат:

1. (изм. - ДВ, бр. 103 от 2005 г.) да бъдат лица, които са еднолични търговци, управители/прокуристи или членове на управителни или на контролни органи на търговски дружества, кооперации или администратори на лични данни по смисъла на този закон;

2. да заемат друга платена длъжност, освен когато упражняват научна или преподавателска дейност;

3. (нова - ДВ, бр. 42 от 2009 г.) да бъдат лица, които са съпрузи или се намират във фактическо съжителство, роднини по права линия, по съребрена линия - до четвърта степен включително, или по сватовство - до втора степен включително, с друг член на комисията.

(3) За председател на комисията се избира правоспособен юрист, който отговаря на изискванията по ал. 1 и 2.

(4) Мандатът на председателя или член на комисията се прекратява предсрочно:

1. при смърт или поставяне под запрещение;

2. по решение на Народното събрание, когато:

а) е подал молба за освобождаване;

б) е извършил грубо нарушение на този закон;

в) е извършил умишлено престъпление от общ характер, за което има влязла в сила присъда;

г) е налице невъзможност да изпълнява задълженията си за срок по-дълъг от шест месеца;

д) (нова - ДВ, бр. 42 от 2009 г., изм. - ДВ, бр. 97 от 2010 г., в сила от 10.12.2010 г.) е налице влязъл в сила акт, с който е установен конфликт на интереси по Закона за предотвратяване и установяване на конфликт на интереси.

(5) (Изм. и доп. - ДВ, бр. 103 от 2005 г.) В случаите по ал. 4 Министерският съвет предлага на Народното събрание да избере нов член за срок до края на първоначалния мандат на съответния член на комисията.

(6) Времето, през което лицето е работило като председател или член на комисията, се признава и за служебен стаж по Закона за държавния служител.

Чл. 8. (1) За членове на комисията могат да бъдат избирани български граждани, които:

1. имат висше образование по информатика, по право или са магистри по информационни технологии;

2. имат трудов стаж по специалността си не по-малко от 10 години;

3. (доп. - ДВ, бр. 103 от 2005 г.) не са осъждани на лишаване от свобода за умишлени престъпления от общ характер, независимо дали са реабилитирани;

(2) Членове на комисията не могат:

1. (изм. - ДВ, бр. 103 от 2005 г.) да бъдат лица, които са еднолични търговци, управители/прокуристи или членове на управителни или на контролни органи на търговски дружества, кооперации или администратори на лични данни по смисъла на този закон;

2. да заемат друга платена длъжност, освен когато упражняват научна или преподавателска дейност;

3. (нова - ДВ, бр. 42 от 2009 г.) да бъдат лица, които са съпрузи или се намират във фактическо съжителство, роднини по права линия, по съребрена линия - до четвърта степен включително, или по сватовство - до втора степен включително, с друг член на комисията.

(3) За председател на комисията се избира правоспособен юрист, който отговаря на изискванията по ал. 1 и 2.

(4) Мандатът на председателя или член на комисията се прекратява предсрочно:

1. при смърт или поставяне под запрещение;

2. по решение на Народното събрание, когато:

а) е подал молба за освобождаване;

б) е извършил грубо нарушение на този закон;

в) е извършил умишлено престъпление от общ характер, за което има влязла в сила присъда;

г) е налице невъзможност да изпълнява задълженията си за срок по-дълъг от шест месеца;

д) (нова - ДВ, бр. 42 от 2009 г.) е налице влязъл в сила акт, с който е установен конфликт на интереси по Закона за предотвратяване и разкриване на конфликт на интереси.

(5) (Изм. и доп. - ДВ, бр. 103 от 2005 г.) В случаите по ал. 4 Министерският съвет предлага на Народното събрание да избере нов член за срок до края на първоначалния мандат на съответния член на комисията.

(6) Времето, през което лицето е работило като председател или член на комисията, се признава и за служебен стаж по Закона за държавния служител.

Чл. 8. (1) За членове на комисията могат да бъдат избирани български граждани, които:

1. имат висше образование по информатика, по право или са магистри по информационни технологии;

2. имат трудов стаж по специалността си не по-малко от 10 години;

3. (доп. - ДВ, бр. 103 от 2005 г.) не са осъждани на лишаване от свобода за умишлени престъпления от общ характер, независимо дали са реабилитирани;

(2) Членове на комисията не могат:

1. (изм. - ДВ, бр. 103 от 2005 г.) да бъдат лица, които са еднолични търговци, управители/прокуристи или членове на управителни или на контролни органи на търговски дружества, кооперации или администратори на лични данни по смисъла на този закон;

2. да заемат друга платена длъжност, освен когато упражняват научна или преподавателска дейност.

(3) За председател на комисията се избира правоспособен юрист, който отговаря на изискванията по ал. 1 и 2.

(4) Мандатът на председателя или член на комисията се прекратява предсрочно:

1. при смърт или поставяне под запрещение;

2. по решение на Народното събрание, когато:

а) е подал молба за освобождаване;

б) е извършил грубо нарушение на този закон;

в) е извършил умишлено престъпление от общ характер, за което има влязла в сила присъда;

г) е налице невъзможност да изпълнява задълженията си за срок по-дълъг от шест месеца.

(5) (Изм. и доп. - ДВ, бр. 103 от 2005 г.) В случаите по ал. 4 Министерският съвет предлага на Народното събрание да избере нов член за срок до края на първоначалния мандат на съответния член на комисията.

(6) Времето, през което лицето е работило като председател или член на комисията, се признава и за служебен стаж по Закона за държавния служител.

Чл. 8. (1) За членове на комисията могат да бъдат избирани български граждани, които:

1. имат висше образование по информатика, по право или са магистри по информационни технологии;

2. имат трудов стаж по специалността си не по-малко от 10 години;

3. не са осъждани на лишаване от свобода за умишлени престъпления от общ характер;

(2) Членове на комисията не могат:

1. да бъдат лица, които са еднолични търговци, управители/прокуристи или членове на управителни или на контролни органи на търговски дружества, кооперации и юридически лица с нестопанска цел;

2. да заемат друга платена длъжност, освен когато упражняват научна или преподавателска дейност.

(3) За председател на комисията се избира правоспособен юрист, който отговаря на изискванията по ал. 1 и 2.

(4) Мандатът на председателя или член на комисията се прекратява предсрочно:

1. при смърт или поставяне под запрещение;

2. по решение на Народното събрание, когато:

а) е подал молба за освобождаване;

б) е извършил грубо нарушение на този закон;

в) е извършил умишлено престъпление от общ характер, за което има влязла в сила присъда;

г) е налице невъзможност да изпълнява задълженията си за срок по-дълъг от шест месеца.

(5) В случаите по ал. 3 Министерският съвет предлага на Народното събрание да избере нов член за срок до края на първоначалния мандат на комисията.

(6) Времето, през което лицето е работило като председател или член на комисията, се признава и за служебен стаж по Закона за държавния служител.

Чл. 9. (1) Комисията е постоянно действащ орган, който се подпомага от администрация.

(2) Комисията урежда в правилник своята дейност и дейността на администрацията си и го обнародва в "Държавен вестник".

(3) Решенията на комисията се вземат с мнозинство от общия брой на членовете й.

(4) Заседанията на комисията са открити. Комисията може да реши отделни заседания да бъдат закрити.

Чл. 10. (1) Комисията:

1. анализира и осъществява цялостен контрол за спазването на нормативните актове в областта на защитата на лични данни;

2. (доп. - ДВ, бр. 103 от 2005 г.) води регистър на администраторите на лични данни и на водените от тях регистри на лични данни;

3. извършва проверки на администраторите на лични данни във връзка с дейността си по т. 1;

4. изразява становища и дава разрешения в предвидените в този закон случаи;

5. издава задължителни предписания до администраторите във връзка със защитата на личните данни;

6. след предварително уведомяване налага временна забрана за обработването на лични данни, с които се нарушават нормите за защита на личните данни;

7. (изм. - ДВ, бр. 103 от 2005 г.) разглежда жалби срещу актове и действия на администраторите, с които се нарушават правата на физическите лица по този закон, както и жалби на трети лица във връзка с правата им по този закон;

8. (изм. - ДВ, бр. 103 от 2005 г.) участва в подготовката и задължително дава становища по проекти на закони и подзаконови нормативни актове в областта на защитата на личните данни;

9. (нова - ДВ, бр. 103 от 2005 г., в сила от 01.01.2007 г.) осигурява прилагането на решенията на Европейската комисия в областта на защитата на личните данни;

10. (нова - ДВ, бр. 94 от 2010 г.) участва в дейностите, осъществявани от международните организации по въпросите в областта на защита на личните данни;

11. (нова - ДВ, бр. 94 от 2010 г.) участва в преговорите и сключването на двустранни или многостранни споразумения по въпроси от своята компетентност;

12. (нова - ДВ, бр. 94 от 2010 г.) организира и координира обучението в областта на защитата на личните данни на администраторите на лични данни.

(2) (Изм. - ДВ, бр. 103 от 2005 г.) Редът за водене на регистъра по ал. 1, т. 2, за уведомяване на комисията, за даване на разрешения и изразяване на становища, за разглеждане на жалбите, както и за издаване на задължителните предписания и налагането на временни забрани за обработване на лични данни, се определя в правилника по чл. 9, ал. 2.

(3) (Доп. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г.) Комисията издава бюлетин, в който публикува информация за своята дейност и за взетите решения. В бюлетина се публикува и отчетът по чл. 7, ал. 6.

(4) (Нова - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г.) Комисията съгласува по браншове и области на дейност етичните кодекси за поведение на администраторите на лични данни по чл. 22а и при установяване на несъответствие с нормативната уредба дава задължителни предписания.

Чл. 10. (1) Комисията:

1. анализира и осъществява цялостен контрол за спазването на нормативните актове в областта на защитата на лични данни;

2. (доп. - ДВ, бр. 103 от 2005 г.) води регистър на администраторите на лични данни и на водените от тях регистри на лични данни;

3. извършва проверки на администраторите на лични данни във връзка с дейността си по т. 1;

4. изразява становища и дава разрешения в предвидените в този закон случаи;

5. издава задължителни предписания до администраторите във връзка със защитата на личните данни;

6. след предварително уведомяване налага временна забрана за обработването на лични данни, с които се нарушават нормите за защита на личните данни;

7. (изм. - ДВ, бр. 103 от 2005 г.) разглежда жалби срещу актове и действия на администраторите, с които се нарушават правата на физическите лица по този закон, както и жалби на трети лица във връзка с правата им по този закон;

8. (изм. - ДВ, бр. 103 от 2005 г.) участва в подготовката и задължително дава становища по проекти на закони и подзаконови нормативни актове в областта на защитата на личните данни;

9. (нова - ДВ, бр. 103 от 2005 г., в сила от 01.01.2007 г.) осигурява прилагането на решенията на Европейската комисия в областта на защитата на личните данни.

(2) (Изм. - ДВ, бр. 103 от 2005 г.) Редът за водене на регистъра по ал. 1, т. 2, за уведомяване на комисията, за даване на разрешения и изразяване на становища, за разглеждане на жалбите, както и за издаване на задължителните предписания и налагането на временни забрани за обработване на лични данни, се определя в правилника по чл. 9, ал. 2.

(3) (Доп. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г.) Комисията издава бюлетин, в който публикува информация за своята дейност и за взетите решения. В бюлетина се публикува и отчетът по чл. 7, ал. 6.

(4) (Нова - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г.) Комисията съгласува по браншове и области на дейност етичните кодекси за поведение на администраторите на лични данни по чл. 22а и при установяване на несъответствие с нормативната уредба дава задължителни предписания.

Чл. 10. (1) Комисията:

1. анализира и осъществява цялостен контрол за спазването на нормативните актове в областта на защитата на лични данни;

2. (доп. - ДВ, бр. 103 от 2005 г.) води регистър на администраторите на лични данни и на водените от тях регистри на лични данни;

3. извършва проверки на администраторите на лични данни във връзка с дейността си по т. 1;

4. изразява становища и дава разрешения в предвидените в този закон случаи;

5. издава задължителни предписания до администраторите във връзка със защитата на личните данни;

6. след предварително уведомяване налага временна забрана за обработването на лични данни, с които се нарушават нормите за защита на личните данни;

7. (изм. - ДВ, бр. 103 от 2005 г.) разглежда жалби срещу актове и действия на администраторите, с които се нарушават правата на физическите лица по този закон, както и жалби на трети лица във връзка с правата им по този закон;

8. (изм. - ДВ, бр. 103 от 2005 г.) участва в подготовката и задължително дава становища по проекти на закони и подзаконови нормативни актове в областта на защитата на личните данни;

9. (нова - ДВ, бр. 103 от 2005 г., в сила от датата на влизане в сила на Договора за присъединяване на Република България към Европейския съюз) осигурява прилагането на решенията на Европейската комисия в областта на защитата на личните данни.

(2) (Изм. - ДВ, бр. 103 от 2005 г.) Редът за водене на регистъра по ал. 1, т. 2, за уведомяване на комисията, за даване на разрешения и изразяване на становища, за разглеждане на жалбите, както и за издаване на задължителните предписания и налагането на временни забрани за обработване на лични данни, се определя в правилника по чл. 9, ал. 2.

(3) (Доп. - ДВ, бр. 103 от 2005 г.) Комисията издава бюлетин, в който публикува информация за своята дейност и за взетите решения. В бюлетина се публикува и отчетът по чл. 7, ал. 4.

(4) (Нова - ДВ, бр. 103 от 2005 г.) Комисията приема Етичен кодекс за поведение на администраторите на лични данни при отчитане на специфичните особености на тяхната дейност.

Чл. 10. (1) Комисията:

1. анализира и осъществява цялостен контрол за спазването на нормативните актове в областта на защитата на лични данни;

2. води регистър на администраторите на лични данни;

3. извършва проверки на администраторите на лични данни във връзка с дейността си по т. 1;

4. изразява становища и дава разрешения в предвидените в този закон случаи;

5. издава задължителни предписания до администраторите във връзка със защитата на личните данни;

6. след предварително уведомяване налага временна забрана за обработването на лични данни, с които се нарушават нормите за защита на личните данни;

7. разглежда жалби срещу администраторите във връзка с отказан достъп на физически лица до техните лични данни, както и жалби на други администратори или на трети лица във връзка с правата им по този закон;

8. участва в подготовката на нормативни актове, свързани със защитата на личните данни.

(2) Редът за водене на регистъра по чл. 14, за уведомяване на комисията за даване на разрешения и изразяване на становища, за разглеждане на жалбите, както и за издаване на задължителните предписания и налагането на временни забрани за обработване на лични данни, се определя в правилника по чл. 9, ал. 2.

(3) Комисията издава бюлетин, в който публикува информация за своята дейност и за взетите решения.

Чл. 11. Председателят на комисията:

1. организира и ръководи дейността на комисията съобразно закона и решенията на комисията и отговаря за изпълнението на задълженията й;

2. представлява комисията пред трети лица;

3. (доп. - ДВ, бр. 103 от 2005 г.) назначава и освобождава държавните служители и сключва и прекратява трудовите договори на служителите по трудови правоотношения от администрацията след решение на комисията.

4. (нова - ДВ, бр. 103 от 2005 г.) издава наказателни постановления по чл. 43, ал. 2.

Чл. 11. Председателят на комисията:

1. организира и ръководи дейността на комисията съобразно закона и решенията на комисията и отговаря за изпълнението на задълженията й;

2. представлява комисията пред трети лица;

3. назначава и освобождава държавните служители и сключва и прекратява трудовите договори на служителите по трудови правоотношения от администрацията на комисията.

Чл. 12. (Изм. - ДВ, бр. 91 от 2006 г.) (1) Председателят и членовете на комисията или упълномощени от нея лица от администрацията й осъществяват контрол чрез предварителни, текущи и последващи проверки за спазване на този закон.

(2) Предварителна проверка се извършва в случаите по чл. 17б.

(3) Текущи проверки се извършват по молба на заинтересовани лица, както и по инициатива на комисията въз основа на приет от нея месечен план за контролна дейност.

(4) Последващи проверки се извършват за изпълнение на решение или на задължително предписание на комисията, както и по нейна инициатива след подаден сигнал.

(5) Проверяващите лица се легитимират със служебна карта и заповед на председателя на комисията за съответната проверка.

(6) При извършване на проверки лицата по ал. 1 могат да възлагат изготвяне на експертизи по реда на Гражданския процесуален кодекс.

(7) Проверката завършва с констативен акт.

(8) В случаите, когато с акта по ал. 7 е установено нарушение, констативният акт е акт за установяване на административно нарушение по смисъла на Закона за административните нарушения и наказания.

(9) Условията и редът за осъществяване на контрол се определят с инструкция на комисията.

Чл. 12. (1) Председателят и членовете на комисията или упълномощени от нея лица от администрацията й извършват проверки по изпълнението на този закон.

(2) (Отм. - ДВ, бр. 103 от 2005 г.)

(3) (Изм. - ДВ, бр. 103 от 2005 г.) Проверките по ал. 1 се извършват по молба на заинтересовани лица, както и по инициатива на комисията въз основа на приет от нея месечен план за контролна дейност.

(4) (Изм. - ДВ, бр. 103 от 2005 г.) Проверяващите лица се легитимират със служебна карта и заповед на председателя на комисията за съответната проверка.

(5) (Изм. - ДВ, бр. 103 от 2005 г.) При извършване на проверки лицата по ал. 1 могат да възлагат изготвяне на експертизи по реда на Гражданския процесуален кодекс.

(6) (Изм. - ДВ, бр. 103 от 2005 г.) Проверката завършва с акт за констатация, а при установено нарушение по този закон - с акт за неговото установяване.

Чл. 12. (1) Председателят и членовете на комисията или упълномощени от нея лица от администрацията й извършват проверки по изпълнението на този закон.

(2) Администраторът на лични данни е длъжен да осигури достъп на лицата по ал. 1 до водените от него регистри и да не препятства контрола върху процеса по обработване на лични данни.

(3) Комисията извършва проверка по молба на заинтересувани лица, както и по своя инициатива, въз основа на приет от нея месечен план за контролната дейност.

(4) Когато в резултат на проверката се установи нарушение, комисията издава задължително предписание за отстраняването му в определен от нея срок.

(5) При неизпълнение на предписанието по ал. 4 се съставя акт за нарушение.

(6) В случаите, когато са нарушени права на физическо лице по този закон, комисията сезира съответния съд по чл. 39, ал. 3.

Чл. 13. (Изм. - ДВ, бр. 103 от 2005 г.) (1) Председателят и членовете на комисията и служителите от нейната администрация са длъжни да не разгласяват и да не се възползват за свое или чуждо облагодетелстване от информацията, представляваща защитена от закон тайна, която им е станала известна при осъществяване на тяхната дейност, до изтичане на срока за защитата й.

(2) При постъпване на работа лицата по ал. 1 подават декларация за задълженията си по ал. 1.

Чл. 13. (1) Председателят и членовете на комисията са длъжни да не разгласят информацията, представляваща служебна тайна за администраторите на лични данни, която им е станала известна при осъществяване на тяхната дейност, до три години след изтичането от мандата.

(2) Задължението по ал. 1 се отнася и за служителите от администрацията на комисията в срок три години след прекратяването на трудовото или служебното правоотношение.

(3) При постъпване на работа членовете на комисията и служителите от нейната администрация подават декларация за задълженията по ал. 1 и 2.

Чл. 14. (Изм. - ДВ, бр. 103 от 2005 г.) (1) В регистъра по чл. 10, ал. 1, т. 2 се вписват данните по чл. 18, ал. 2.

(2) Вписването в регистъра по чл. 10, ал. 1, т. 2 се удостоверява с идентификационен номер.

(3) Регистърът по ал. 1 е публичен.

Чл. 14. (1) Комисията води регистър за администраторите на лични данни и за водените от тях регистри.

(2) В регистъра по ал. 1 се вписват администраторите на лични данни и видът на личните данни, законовото основание, целите и начинът за тяхното обработване, изискването на съгласие на физическото лице, както и актът, в който е определен редът за водене на регистъра с лични данни.

(3) Регистърът по ал. 1 е публичен. За предоставянето на информация от него се заплаща такса, определена от Министерския съвет.

(4) Комисията издава удостоверение на вписаните в регистъра администратори на лични данни.

Чл. 15. (Отм. - ДВ, бр. 103 от 2005 г.)

Чл. 15. (1) Всяко лице, което иска да обработва лични данни и да създаде регистър за тях, уведомява предварително комисията, като подава за това заявление и документи по образец, утвърден от комисията.

(2) В случаите по чл. 3, ал. 3 държавният орган, който е определен за администратор на лични данни, уведомява комисията в 10-дневен срок след създаването му.

(3) Всеки администратор на лични данни уведомява комисията и преди предприемането на каквато и да е операция по цялостното или частичното автоматично обработване на събраните лични данни, различно от заявеното, както и при прехвърлянето на лични данни към друг администратор или към трето лице.

(4) В случаите по ал. 3 комисията може да вземе решение за предварителна проверка на администратора или да даде задължителни предписания с оглед защита на обработваните или прехвърлените лични данни.

Чл. 16. (Изм. - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 91 от 2006 г.)

Чл. 16. (Изм. - ДВ, бр. 103 от 2005 г.) (1) В 14-дневен срок от подаване на заявление за регистрация по чл. 18 комисията вписва администратора на лични данни в регистъра по чл. 10, ал. 1, т. 2, ако са изпълнени изискванията на този закон за обработване на лични данни.

(2) Преди да извърши вписването по ал. 1 комисията може да направи предварителна проверка и да даде задължителни предписания относно условията за обработване на личните данни и воденето на регистър от администратора на лични данни.

Чл. 16. (1) Комисията може да извърши предварителна проверка в 7-дневен срок от уведомяването и да даде предварителни предписания относно условията за обработване на личните данни и водене на регистър от лицето по чл. 15, ал. 1 и за гарантиране спазването на този закон.

(2) Комисията не извършва предварителна проверка при водене на регистри:

1. с лични данни за лицата, работещи по трудово или по служебно правоотношение за администратора на лични данни;

2. за статистически или научни цели;

3. предвидени в нормативен акт, които са публични.

(3) В 14-дневен срок от уведомяването комисията взема решение:

1. да регистрира лицето по ал. 1 като администратор на лични данни и да впише в своя регистър данните по чл. 14, ал. 2, ако са изпълнени изискванията на този закон за събиране и обработване на лични данни;

2. за отказ за регистриране, който се мотивира на основание по този закон.

(4) Отказът на комисията за регистриране на лицата по чл. 15 подлежи на обжалване пред Върховния административен съд в 14-дневен срок.

Глава трета.

ЗАДЪЛЖЕНИЯ НА АДМИНИСТРАТОРА НА ЛИЧНИ ДАННИ (ЗАГЛ. ИЗМ. - ДВ, БР. 103 ОТ 2005 Г.)

Чл. 17. (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г.) (1) Администраторът на лични данни е длъжен да подаде заявление за регистрация преди започване обработването на лични данни.

(2) В 14-дневен срок от подаване на заявлението комисията вписва администратора на лични данни в регистъра по чл. 10, ал. 1, т. 2.

(3) Администраторът може да започне обработване на данните след подаване на заявлението за регистрация.

Чл. 17. (Изм. - ДВ, бр. 103 от 2005 г.) (1) Администраторът на лични данни е длъжен да подаде заявление за регистрация, когато е налице поне едно от следните условия:

1. обработва лични данни, които разкриват расов или етнически произход, политически, религиозни или философски убеждения, членство в политически партии или организации, сдружения с религиозни, философски, политически или синдикални цели, както и лични данни, отнасящи се до здравето, сексуалния живот или до човешкия геном;

2. обработва лични данни при упражняване на правомощия, предоставени със закон;

3. поддържа регистър, съдържащ данни за не по-малко от 100 физически лица;

4. получил е задължително предписание за регистрация от комисията.

(2) Администратор може да се регистрира и доброволно, без да има задължение за това.

Чл. 17а. (Нов - ДВ, бр. 91 от 2006 г.) (1) Не се подава заявление за регистрация, когато администраторът:

1. поддържа регистър, който по силата на нормативен акт е предназначен да осигури обществена информация и:

а) достъпът до него е свободен, или

б) достъп до него има лице, което има правен интерес;

2. обработва данни в случаите по чл. 5, ал. 2, т. 4.

(2) Комисията може да освободи от задължение за регистрация и администратори, които обработват данни извън тези по ал. 1, когато обработването не застрашава правата и законните интереси на физическите лица, чиито данни се обработват.

(3) Условията и редът за освобождаване по ал. 2 се уреждат с правилника по чл. 9, ал. 2, като комисията определя критериите в съответствие със:

1. целите на обработване на личните данни;

2. личните данни или категориите лични данни, подлежащи на обработване;

3. категориите физически лица, чиито данни се обработват;

4. получателите или категориите получатели, пред които личните данни могат да бъдат разкрити;

5. срока на съхраняване на данните.

Чл. 17б. (Нов - ДВ, бр. 91 от 2006 г.) (1) Когато администраторът е заявил обработване на данни по чл. 5, ал. 1 или на данни, чието обработване съгласно решение на комисията застрашава правата и законните интереси на физическите лица, комисията задължително извършва предварителна проверка преди вписване в регистъра по чл. 10, ал. 1, т. 2.

(2) Предварителната проверка се извършва в двумесечен срок от подаване на заявление за регистрация по чл. 17, ал. 1.

(3) След приключване на предварителната проверка комисията:

1. вписва администратора на лични данни в регистъра;

2. дава задължителни предписания относно условията за обработване на лични данни и воденето на регистър на лични данни;

3. отказва вписването.

(4) Администраторът не може да започне обработване на данните, преди да е вписан в регистъра по чл. 10, ал. 1, т. 2 или преди да изпълни задължителните предписания на комисията.

(5) Непроизнасянето в срока по ал. 2 се смята за мълчалив отказ за вписване на администратора в регистъра.

(6) Диспозитивът на решението по ал. 1 се обнародва в "Държавен вестник".

Чл. 18. (Изм. - ДВ, бр. 103 от 2005 г.) (1) (Изм. - ДВ, бр. 91 от 2006 г.) Администраторът или негов представител подава заявление по чл. 17, ал. 1 и документи по образец, утвърден от комисията.

(2) Заявлението съдържа:

1. данните, идентифициращи администратора на лични данни и неговия представител, ако има такъв;

2. целите на обработване на личните данни;

3. категориите физически лица, чиито данни се обработват, и категориите лични данни, отнасящи се до тях;

4. получателите или категориите получатели, на които личните данни могат да бъдат разкрити;

5. предлаганото предоставяне на данни в други държави;

6. общото описание на мерките, предприети съгласно чл. 23, позволяващо изготвянето на предварителна оценка на тяхната целесъобразност.

(3) Администраторът уведомява комисията за всяка промяна на данните по ал. 2 преди нейното извършване. В случаите, когато такава промяна е предвидена в закон, уведомяването се извършва в 7-дневен срок от влизането в сила на съответния закон.

(4) В случаите, когато администраторът не е вписан в регистъра по чл. 10, ал. 1, т. 2, той е длъжен да предостави данните по ал. 2 на всяко лице при поискване.

Чл. 18. (Изм. - ДВ, бр. 103 от 2005 г.) (1) Администраторът или негов представител подава заявление за регистрация по чл. 17 и документи по образец, утвърден от комисията, преди започване на обработката на лични данни.

(2) Заявлението съдържа:

1. данните, идентифициращи администратора на лични данни и неговия представител, ако има такъв;

2. целите на обработване на личните данни;

3. категориите физически лица, чиито данни се обработват, и категориите лични данни, отнасящи се до тях;

4. получателите или категориите получатели, на които личните данни могат да бъдат разкрити;

5. предлаганото предоставяне на данни в други държави;

6. общото описание на мерките, предприети съгласно чл. 23, позволяващо изготвянето на предварителна оценка на тяхната целесъобразност.

(3) Администраторът уведомява комисията за всяка промяна на данните по ал. 2 преди нейното извършване. В случаите, когато такава промяна е предвидена в закон, уведомяването се извършва в 7-дневен срок от влизането в сила на съответния закон.

(4) В случаите, когато администраторът не е вписан в регистъра по чл. 10, ал. 1, т. 2, той е длъжен да предостави данните по ал. 2 на всяко лице при поискване.

Чл. 19. (Доп. - ДВ, бр. 93 от 2004 г., изм. - ДВ, бр. 103 от 2005 г.) (1) (Изм. - ДВ, бр. 91 от 2006 г.) В случаите, когато личните данни се събират от лицето, за което се отнасят, администраторът или негов представител му предоставя:

1. данните, които идентифицират администратора и неговия представител;

2. целите на обработването на личните данни;

3. получателите или категориите получатели, на които могат да бъдат разкрити данните;

4. данните за задължителния или доброволния характер на предоставяне на данните и последиците от отказ за предоставянето им;

5. информация за правото на достъп и правото на коригиране на събраните данни.

(2) Данните по ал. 1 не се предоставят, когато физическото лице, за което се отнасят, вече разполага с тях или в закон съществува изрична забрана за предоставянето им.

Чл. 19. (Доп. - ДВ, бр. 93 от 2004 г., изм. - ДВ, бр. 103 от 2005 г.) (1) В случаите, когато личните данни се събират от лицето, за което се отнасят, администраторът или негов представител е длъжен да му предостави:

1. данните, които идентифицират администратора и неговия представител;

2. целите на обработването на личните данни;

3. получателите или категориите получатели, на които могат да бъдат разкрити данните;

4. данните за задължителния или доброволния характер на предоставяне на данните и последиците от отказ за предоставянето им;

5. информация за правото на достъп и правото на коригиране на събраните данни.

(2) Данните по ал. 1 не се предоставят, когато физическото лице, за което се отнасят, вече разполага с тях или в закон съществува изрична забрана за предоставянето им.

Чл. 20. (Изм. - ДВ, бр. 103 от 2005 г.) (1) (Изм. - ДВ, бр. 91 от 2006 г.) Когато личните данни не са получени от физическото лице, за което те се отнасят, администраторът или негов представител му предоставя:

1. данните, които идентифицират администратора и неговия представител;

2. целите на обработването на личните данни;

3. категориите лични данни, отнасящи се до съответното физическо лице;

4. получателите или категориите получатели, на които могат да бъдат разкрити данните;

5. информация за правото на достъп и правото на коригиране на събраните данни.

(2) Данните по ал. 1 се предоставят на лицето, за което се отнасят, към момента на вписването им в съответния регистър или, ако се предвижда разкриване на данните на трето лице - не по-късно от момента на разкриването им за пръв път.

(3) Алинея 1 не се прилага, когато:

1. обработването е за статистически, исторически или научни цели и предоставянето на данните по ал. 1 е невъзможно или изисква прекомерни усилия;

2. вписването или разкриването на данни са изрично предвидени в закон;

3. физическото лице, за което се отнасят данните, вече разполага с информацията по ал. 1;

4. е налице изрична забрана за това в закон.

Чл. 20. (Изм. - ДВ, бр. 103 от 2005 г.) (1) Когато личните данни не са получени от физическото лице, за което те се отнасят, администраторът или негов представител е длъжен да му предостави:

1. данните, които идентифицират администратора и неговия представител;

2. целите на обработването на личните данни;

3. категориите лични данни, отнасящи се до съответното физическо лице;

4. получателите или категориите получатели, на които могат да бъдат разкрити данните;

5. информация за правото на достъп и правото на коригиране на събраните данни.

(2) Данните по ал. 1 се предоставят на лицето, за което се отнасят, към момента на вписването им в съответния регистър или, ако се предвижда разкриване на данните на трето лице - не по-късно от момента на разкриването им за пръв път.

(3) Алинея 1 не се прилага, когато:

1. обработването е за статистически, исторически или научни цели и предоставянето на данните по ал. 1 е невъзможно или изисква прекомерни усилия;

2. вписването или разкриването на данни са изрично предвидени в закон;

3. физическото лице, за което се отнасят данните, вече разполага с информацията по ал. 1;

4. е налице изрична забрана за това в закон.

Чл. 21. (Изм. - ДВ, бр. 103 от 2005 г.) (1) (Изм. - ДВ, бр. 91 от 2006 г.) Информацията по чл. 19, ал. 1, т. 3 - 5, чл. 20, ал. 1, т. 3 - 5, както и всяка друга информация, свързана с обработването на данните, се предоставя след извършване на преценка за необходимостта от предоставянето с цел гарантиране на справедливо обработване на данните по отношение на физическото лице, за което се отнасят.

(2) Преценката по ал. 1 се извършва от администратора за всеки конкретен случай.

Чл. 21. (Изм. - ДВ, бр. 103 от 2005 г.) (1) Всяка друга информация извън тази по чл. 19, ал. 1 и чл. 20, ал. 1, свързана с обработването на данните, се предоставя след извършване на преценка за необходимостта от предоставянето с цел гарантиране на справедливо обработване на данните по отношение на физическото лице, за което се отнасят.

(2) Преценката по ал. 1 се извършва от администратора за всеки конкретен случай.

Чл. 22. (Изм. - ДВ, бр. 103 от 2005 г.) (1) Администраторът на лични данни е длъжен да осигури достъп на лицата по чл. 12, ал. 1 до водените от него регистри и да не препятства контрола върху процеса по обработване на лични данни.

(2) Администраторът на лични данни е длъжен да предостави на лицата по чл. 12, ал. 1 исканата информация в устен или писмен вид, или на други информационни носители.

(3) (Нова - ДВ, бр. 91 от 2006 г.) Наличието на търговска, производствена или друга защитена от закона тайна не може да бъде основание за отказ от съдействие от страна на администратора.

(4) (Предишна ал. 3 - ДВ, бр. 91 от 2006 г.) Когато информацията съдържа данни, представляващи класифицирана информация, се прилага редът за достъп по Закона за защита на класифицираната информация.

(5) (Предишна ал. 4 - ДВ, бр. 91 от 2006 г.) Всички лица, които обработват лични данни, са длъжни да оказват съдействие на комисията при упражняване на правомощията й.

Чл. 22. (Изм. - ДВ, бр. 103 от 2005 г.) (1) Администраторът на лични данни е длъжен да осигури достъп на лицата по чл. 12, ал. 1 до водените от него регистри и да не препятства контрола върху процеса по обработване на лични данни.

(2) Администраторът на лични данни е длъжен да предостави на лицата по чл. 12, ал. 1 исканата информация в устен или писмен вид, или на други информационни носители.

(3) Когато информацията съдържа данни, представляващи класифицирана информация, се прилага редът за достъп по Закона за защита на класифицираната информация.

(4) Всички лица, които обработват лични данни, са длъжни да оказват съдействие на комисията при упражняване на правомощията й.

Чл. 22а. (Нов - ДВ, бр. 91 от 2006 г.) (1) Администраторите по браншове и области на дейност могат да изготвят етични кодекси за поведение, отчитайки специфичните особености на своята дейност и правилата на морала и добрите нрави.

(2) Етичните кодекси могат да се представят на комисията за съгласуване преди приемането им от администраторите.

Глава трета.

АДМИНИСТРАТОР НА ЛИЧНИ ДАННИ

Чл. 17. Администраторът по чл. 3, ал. 1 има право да обработва лични данни само когато те са:

1. получени законосъобразно;

2. събрани за определените в закон цели и се използват само за изпълнението им;

3. съответстващи по обхват на целите, за които се обработват;

4. точни и актуални;

5. съхранени по начин, който позволява идентифициране на физическите лица само за период не по-дълъг от необходимия, съгласно целите, за които те се обработват.

Чл. 18. Обработването на лични данни е допустимо само в случаите, когато е налице поне едно от следните условия:

1. изпълнение на нормативно задължение;

2. изричното съгласие на физическото лице;

3. необходимост да се защити животът или здравето на физическото лице;

4. изпълнение на клаузите на договор между администратора по чл. 3, ал. 1 и физическото лице;

5. законен интерес на администратора по чл. 3, ал. 1, на трето лице или на лице, на което се разкриват данните и това не нарушава правото на защита по този закон на съответното физическо лице;

6. (нова - ДВ, бр. 93 от 2004 г.) необходимост за целите на отбраната и националната сигурност.

Чл. 18. Обработването на лични данни е допустимо само в случаите, когато е налице поне едно от следните условия:

1. изпълнение на нормативно задължение;

2. изричното съгласие на физическото лице;

3. необходимост да се защити животът или здравето на физическото лице;

4. изпълнение на клаузите на договор между администратора по чл. 3, ал. 1 и физическото лице;

5. законен интерес на администратора по чл. 3, ал. 1, на трето лице или на лице, на което се разкриват данните и това не нарушава правото на защита по този закон на съответното физическо лице.

Чл. 19. (1) (Доп. - ДВ, бр. 93 от 2004 г.) Администраторът по чл. 3, ал. 1 обработва личните данни на физическото лице с негово съгласие освен с изключенията, предвидени в закон или когато обработването е необходимо във връзка с отбраната и националната сигурност.

(2) Администраторът по чл. 3, ал. 1 е длъжен да информира съответното физическо лице преди обработването им за:

1. целта и средствата за обработката им;

2. задължителния или доброволния характер на предоставяне на данните и последиците от отказ за предоставяне;

3. получателите или категориите получатели, на които могат да бъдат предоставени данните, и сферата на ползването им;

4. правото на достъп и на поправка на събраните данни, наименованието и адреса на администратора по чл. 3, ал. 1 и на обработващия данните, ако той е различен от този администратор.

(3) Информацията по ал. 2 се предоставя от администратора на съответното физическо лице преди обработването й, когато личните му данни са получени от трето лице.

(4) Алинея 3 не се прилага в случаите на изрична забрана за това в закона.

Чл. 19. (1) Администраторът по чл. 3, ал. 1 обработва личните данни на физическото лице с негово съгласие освен с изключенията, предвидени в закон.

(2) Администраторът по чл. 3, ал. 1 е длъжен да информира съответното физическо лице преди обработването им за:

1. целта и средствата за обработката им;

2. задължителния или доброволния характер на предоставяне на данните и последиците от отказ за предоставяне;

3. получателите или категориите получатели, на които могат да бъдат предоставени данните, и сферата на ползването им;

4. правото на достъп и на поправка на събраните данни, наименованието и адреса на администратора по чл. 3, ал. 1 и на обработващия данните, ако той е различен от този администратор.

(3) Информацията по ал. 2 се предоставя от администратора на съответното физическо лице преди обработването й, когато личните му данни са получени от трето лице.

(4) Алинея 3 не се прилага в случаите на изрична забрана за това в закона.

Чл. 20. (1) Съгласието на физическото лице по чл. 19, ал. 1 трябва да е свободно изразено и недвусмислено. То може да бъде дадено за цялата или за част от обработката на данните и при необходимост да бъде и в писмена форма.

(2) Съгласието по чл. 19, ал. 1 не се изисква, когато обработването на данни:

1. се отнася до лични данни, събрани и обработвани по силата на задължение по закон;

2. се извършва само за нуждите на научни изследвания или на статистиката и данните са анонимни;

3. е във връзка със защитата на живота или здравето на съответното физическо лице или на друго лице, както и когато неговото състояние не му позволява да даде съгласие или съществуват законни пречки за това.

Чл. 21. (1) Обработването на лични данни, които разкриват расов или етнически произход, политически, религиозни или философски убеждения, членство в политически партии, организации, сдружения с религиозни, философски, политически или синдикални цели, както и лични данни, отнасящи се до здравето или сексуалния живот, може да се осъществява само с изрично писмено съгласие на съответното физическо лице.

(2) Не се изисква изричното писмено съгласие за данните по ал. 1, когато:

1. обработването им е задължение по закон на администратора по чл. 3, ал. 1;

2. обработването е необходимо във връзка със защитата на живота или здравето на съответното физическо лице или на друго лице, както и когато неговото състояние не му позволява да даде съгласие или съществуват законни пречки за това;

3. обработването се отнася до данни, публично оповестени от физическото лице, или е необходимо за установяването, упражняването или защитата на негови законни права;

4. обработването се изисква във връзка с осъществяването на медицинска помощ или на здравни услуги, както и когато тези данни се обработват от лице, работещо в здравно или лечебно заведение, и то е задължено да пази професионална тайна;

5. обработването се осъществява само от или под контрола на компетентен държавен орган за лични данни, свързани с извършването на престъпления, на административни нарушения и на непозволени увреждания;

6. обработването е необходимо във връзка с отбраната и националната сигурност.

Чл. 22. (1) Администраторът по чл. 3, ал. 1 публикува ежегодно до 31 март в бюлетина на Комисията за защита на личните данни следните сведения за създадените от него през предходната година регистри:

1. вид на обработваните лични данни с оглед различните признаци за установяване на идентичността на физическите лица;

2. кръг от лица, за които се отнася обработването;

3. служебен адрес, условия и ред за приемането на заявления за даване на достъп до личните данни;

4. описание на целите, за които се обработват тези данни, както и допустимите начини за тяхното използване;

5. описание на критериите, по които се съхраняват или унищожават данните.

(2) Администраторът по чл. 3, ал. 1 е длъжен да публикува в бюлетина на Комисията за защита на личните данни промени по ал. 1, т. 1-5 в 30-дневен срок от тяхното извършване.

(3) Администраторът носи отговорност за достоверността на информацията по ал. 1 и 2 и е длъжен да осигури публичен достъп до нея.

Глава четвърта.

ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

Чл. 23. (Изм. - ДВ, бр. 103 от 2005 г.) (1) Администраторът на лични данни предприема необходимите технически и организационни мерки, за да защити данните от случайно или незаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване.

(2) Администраторът взема специални мерки за защита, когато обработването включва предаване на данните по електронен път.

(3) Мерките по ал. 1 и 2 са съобразени със съвременните технологични постижения и осигуряват ниво на защита, което съответства на рисковете, свързани с обработването, и на естеството на данните, които трябва да бъдат защитени.

(4) Мерките по ал. 1 и 2 се определят с инструкция на администратора на лични данни.

(5) Комисията определя с наредба минималното ниво на технически и организационни мерки, както и допустимия вид защита. Наредбата се обнародва в "Държавен вестник".

Чл. 23. (1) Администраторът по чл. 3, ал. 1 е длъжен да предприеме необходимите технически и организационни мерки, за да защити данните от случайно или незаконно разрушаване, случайна загуба или промяна, незаконно разкриване или достъп, нерегламентирано изменение или разпространение, както и от всички други незаконни форми на обработване на лични данни.

(2) Администраторът е длъжен да предприеме специални мерки за защита, когато обработването предвижда предаване на данните по електронен път.

(3) Комисията за защита на личните данни определя в наредба минимално необходимите технически и организационни мерки, както и за допустимия вид защита.

Чл. 24. (1) (Изм. - ДВ, бр. 103 от 2005 г.) Администраторът може да обработва данните сам или чрез възлагане на обработващ данните. Когато е необходимо по организационни причини, обработването може да се възложи на повече от един обработващ данните, включително с цел разграничаване на конкретните им задължения.

(2) В случаите, когато обработването на данните не се извършва от администратора, той е длъжен да определи обработващ данните и да осигури достатъчни гаранции за тяхната защита.

(3) (Отм. - ДВ, бр. 103 от 2005 г.)

(4) (Изм. - ДВ, бр. 103 от 2005 г.) Отношенията между администратора и обработващия лични данни се уреждат с нормативен акт, писмен договор или с друг акт на администратора, в който се определя обемът на задълженията, възложени от администратора на обработващия данните.

(5) (Изм. - ДВ, бр. 103 от 2005 г.) За вреди, причинени на трети лица от действия или бездействия на обработващия данни, администраторът отговаря солидарно с него.

(6) (Изм. - ДВ, бр. 103 от 2005 г.) Обработващият лични данни, както и всяко лице, действащо под ръководството на администратора или на обработващия, което има достъп до лични данни, може да ги обработва само по указание на администратора, освен ако в закон е предвидено друго.

Чл. 24. (1) Администраторът по чл. 3, ал. 1 може да обработва данните сам или чрез възлагане на обработващ данните. Когато е необходимо по организационни причини, обработването може да се възложи на повече от един обработващ данните, включително с цел разграничаване на конкретните им задължения.

(2) В случаите, когато обработването на данните не се извършва от администратора, той е длъжен да определи обработващ данните и да осигури достатъчни гаранции за тяхната защита.

(3) Обработващият данните се определя между лица, които имат професионални и технически възможности да гарантират пълно съобразяване с всички условия, свързани с обработването на данни, и тяхната защита.

(4) Администраторът по чл. 3, ал. 1 определя начините на обработване в писмена инструкция, която е задължителна за обработващия данните и за оператора на лични данни.

(5) Задълженията на обработващия данни и на оператора, включително отговорността при неизпълнението им, се определят в техните заповеди за назначаване или в писмени договори във връзка с инструкцията по ал. 4.

(6) Отговорността по ал. 5 не изключва носенето на друг вид отговорност в зависимост от извършените от това лице неправомерни действия или бездействия.

Чл. 25. (1) (Изм. - ДВ, бр. 103 от 2005 г.) След постигане целта на обработване на личните данни администраторът е длъжен да ги:

1. унищожи, или

2. прехвърли на друг администратор, като предварително уведоми за това комисията, ако прехвърлянето е предвидено в закон и е налице идентичност на целите на обработването.

(2) (Доп. - ДВ, бр. 93 от 2004 г., изм. - ДВ, бр. 103 от 2005 г.) След постигане целта на обработване на личните данни администраторът ги съхранява само в предвидените в закон случаи.

(3) (Изм. - ДВ, бр. 103 от 2005 г.) В случаите, когато след постигане целта на обработване администраторът иска да съхрани обработените лични данни като анонимни данни за исторически, научни или статистически цели, той уведомява за това комисията.

(4) Комисията за защита на личните данни може да забрани съхраняването за целите по ал. 3, ако администраторът не е осигурил достатъчната защита на обработените данни като анонимни данни.

(5) (Изм. - ДВ, бр. 39 от 2011 г.) Решението на комисията по ал. 4 подлежи на обжалване пред съответния административен съд. Решението на административния съд не подлежи на обжалване. В случаите на отхвърляне на жалбата срещу решението на комисията администраторът на лични данни е длъжен да ги унищожи.

Чл. 25. (1) (Изм. - ДВ, бр. 103 от 2005 г.) След постигане целта на обработване на личните данни администраторът е длъжен да ги:

1. унищожи, или

2. прехвърли на друг администратор, като предварително уведоми за това комисията, ако прехвърлянето е предвидено в закон и е налице идентичност на целите на обработването.

(2) (Доп. - ДВ, бр. 93 от 2004 г., изм. - ДВ, бр. 103 от 2005 г.) След постигане целта на обработване на личните данни администраторът ги съхранява само в предвидените в закон случаи.

(3) (Изм. - ДВ, бр. 103 от 2005 г.) В случаите, когато след постигане целта на обработване администраторът иска да съхрани обработените лични данни като анонимни данни за исторически, научни или статистически цели, той уведомява за това комисията.

(4) Комисията за защита на личните данни може да забрани съхраняването за целите по ал. 3, ако администраторът не е осигурил достатъчната защита на обработените данни като анонимни данни.

(5) Решението на комисията по ал. 4 подлежи на обжалване пред Върховния административен съд. В случаите на отхвърляне от Върховния административен съд на жалбата срещу решението на комисията администраторът на лични данни е длъжен да ги унищожи.

Чл. 25. (1) След приключването на обработването на лични данни администраторът по чл. 3, ал. 1 може:

1. да ги унищожи, или

2. да ги прехвърли с разрешение от Комисията за защита на личните данни на друг администратор, ако това е предвидено в закон и е налице идентичност на целите на обработването.

(2) (Доп. - ДВ, бр. 93 от 2004 г.) След приключването на обработването на лични данни администраторът по чл. 3, ал. 1 ги съхранява само в предвидените в закон случаи или когато това е необходимо за целите на отбраната и националната сигурност.

(3) В случаите, когато след приключване на обработката администраторът по чл. 3, ал. 1 иска да съхрани обработените лични данни за ползване като анонимни данни за исторически, научни или статистически цели, той трябва да уведоми за това Комисията за защита на личните данни.

(4) Комисията за защита на личните данни може да забрани съхраняването за целите по ал. 3, ако администраторът не е осигурил достатъчната защита на обработените данни като анонимни данни.

(5) Решението на комисията по ал. 4 подлежи на обжалване пред Върховния административен съд. В случаите на отхвърляне от Върховния административен съд на жалбата срещу решението на комисията администраторът на лични данни е длъжен да ги унищожи.

Чл. 25. (1) След приключването на обработването на лични данни администраторът по чл. 3, ал. 1 може:

1. да ги унищожи, или

2. да ги прехвърли с разрешение от Комисията за защита на личните данни на друг администратор, ако това е предвидено в закон и е налице идентичност на целите на обработването.

(2) След приключването на обработването на лични данни администраторът по чл. 3, ал. 1 ги съхранява само в предвидените в закон случаи.

(3) В случаите, когато след приключване на обработката администраторът по чл. 3, ал. 1 иска да съхрани обработените лични данни за ползване като анонимни данни за исторически, научни или статистически цели, той трябва да уведоми за това Комисията за защита на личните данни.

(4) Комисията за защита на личните данни може да забрани съхраняването за целите по ал. 3, ако администраторът не е осигурил достатъчната защита на обработените данни като анонимни данни.

(5) Решението на комисията по ал. 4 подлежи на обжалване пред Върховния административен съд. В случаите на отхвърляне от Върховния административен съд на жалбата срещу решението на комисията администраторът на лични данни е длъжен да ги унищожи.

Глава пета.

ПРАВА НА ФИЗИЧЕСКИТЕ ЛИЦА (ЗАГЛ. ИЗМ. - ДВ, БР. 103 ОТ 2005 Г.)

Чл. 26. (1) Всяко физическо лице има право на достъп до отнасящи се за него лични данни.

(2) (Изм. - ДВ, бр. 103 от 2005 г.) В случаите, когато при осъществяване правото на достъп на физическото лице могат да се разкрият лични данни и за трето лице, администраторът е длъжен да предостави на съответното физическо лице достъп до частта от тях, отнасяща се само за него.

Чл. 27. (Изм. - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 91 от 2006 г.)

Чл. 27. (Изм. - ДВ, бр. 103 от 2005 г.) Упражняването на правото на достъп до лични данни не може да накърнява правата на друго физическо лице или да е насочено срещу националната сигурност и обществения ред.

Чл. 28. (Изм. - ДВ, бр. 103 от 2005 г.) (1) При упражняване на правото си на достъп физическото лице има право по всяко време да поиска от администратора на лични данни:

1. потвърждение за това, дали отнасящи се до него данни се обработват, информация за целите на това обработване, за категориите данни и за получателите или категориите получатели, на които данните се разкриват;

2. съобщение до него в разбираема форма, съдържащо личните му данни, които се обработват, както и всяка налична информация за техния източник;

3. информация за логиката на всяко автоматизирано обработване на лични данни, отнасящи се до него, поне в случаите на автоматизирани решения по чл. 34б.

(2) (Изм. - ДВ, бр. 94 от 2010 г.) Администраторът на лични данни предоставя информацията по ал. 1 безплатно.

(3) При смърт на физическото лице правата му по ал. 1 и 2 се упражняват от неговите наследници.

Чл. 28. (Изм. - ДВ, бр. 103 от 2005 г.) (1) При упражняване на правото си на достъп физическото лице има право по всяко време да поиска от администратора на лични данни:

1. потвърждение за това, дали отнасящи се до него данни се обработват, информация за целите на това обработване, за категориите данни и за получателите или категориите получатели, на които данните се разкриват;

2. съобщение до него в разбираема форма, съдържащо личните му данни, които се обработват, както и всяка налична информация за техния източник;

3. информация за логиката на всяко автоматизирано обработване на лични данни, отнасящи се до него, поне в случаите на автоматизирани решения по чл. 34б.

(2) Физическото лице може да упражни безплатно своето право да получи информация по ал. 1 веднъж на 12 месеца.

(3) При смърт на физическото лице правата му по ал. 1 и 2 се упражняват от неговите наследници.

Чл. 28а. (Нов - ДВ, бр. 103 от 2005 г.) Физическото лице има право по всяко време да поиска от администратора да:

1. заличи, коригира или блокира негови лични данни, обработването на които не отговаря на изискванията на този закон;

2. уведоми третите лица, на които са били разкрити личните му данни, за всяко заличаване, коригиране или блокиране, извършено в съответствие с т. 1, с изключение на случаите, когато това е невъзможно или е свързано с прекомерни усилия.

Чл. 29. (1) (Изм. - ДВ, бр. 103 от 2005 г.) Правото на достъп по чл. 26 и правата по чл. 28а се осъществяват с писмено заявление до администратора на лични данни.

(2) (Изм. - ДВ, бр. 103 от 2005 г.) Заявление може да бъде отправено и по електронен път по реда на Закона за електронния документ и електронния подпис.

(3) (Изм. - ДВ, бр. 103 от 2005 г.) Заявлението по ал. 1 се отправя лично от физическото лице или от изрично упълномощено от него лице чрез нотариално заверено пълномощно.

(4) (Отм. - ДВ, бр. 103 от 2005 г.)

Чл. 30. (Изм. - ДВ, бр. 103 от 2005 г.) (1) Заявлението по чл. 29 съдържа:

1. име, адрес и други данни за идентифициране на съответното физическо лице;

2. описание на искането;

3. предпочитана форма за предоставяне на информацията по чл. 28, ал. 1;

4. подпис, дата на подаване на заявлението и адрес за кореспонденция.

(2) При подаване на заявление от упълномощено лице към заявлението се прилага и нотариално завереното пълномощно.

(3) Заявленията по чл. 29 се завеждат в регистър от администратора.

Чл. 31. (1) (Изм. - ДВ, бр. 103 от 2005 г.) Информацията по чл. 28, ал. 1 може да бъде предоставена под формата на устна или писмена справка или на преглед на данните от съответното физическо лице или от изрично упълномощено от него друго лице.

(2) Физическото лице може да поиска копие от обработваните лични данни на предпочитан носител или предоставяне по електронен път, освен в случаите, когато това е забранено от закон.

(3) (Изм. - ДВ, бр. 103 от 2005 г.) Администраторът на лични данни е длъжен да се съобрази с предпочитаната от заявителя форма на предоставяне на информацията по чл. 28, ал. 1.

Чл. 32. (Изм. - ДВ, бр. 103 от 2005 г.) (1) В случаите по чл. 28, ал. 1 администраторът на лични данни или изрично оправомощено от него лице разглежда заявлението по чл. 29 и се произнася в 14-дневен срок от неговото подаване.

(2) Срокът по ал. 1 може да бъде удължен от администратора до 30 дни в случаите по чл. 28, ал. 1, т. 1 и 2, когато обективно се изисква по-дълъг срок за събирането на всички искани данни и това сериозно затруднява дейността на администратора.

(3) В 14-дневен срок администраторът взема решение за предоставянето на пълна или частична информация по чл. 28, ал. 1 на заявителя или мотивирано отказва предоставянето й.

(4) В случаите по чл. 28а, т. 1 администраторът взема решение и извършва съответното действие в 14-дневен срок от подаване на заявлението по чл. 29 или мотивирано отказва извършването му.

(5) В случаите по чл. 28а, т. 2 администраторът на лични данни взема решение в 14-дневен срок и незабавно уведомява третите лица или мотивирано отказва да извърши уведомяването.

Чл. 33. (1) (Изм. - ДВ, бр. 103 от 2005 г.) Администраторът на лични данни писмено уведомява заявителя за решението или отказа си по чл. 32, ал. 3 - 5 в съответния срок.

(2) Уведомяването по ал. 1 е лично срещу подпис или по пощата с обратна разписка.

(3) (Нова - ДВ, бр. 103 от 2005 г.) Липсата на уведомление по ал. 1 се смята за отказ.

Чл. 34. (1) (Изм. - ДВ, бр. 103 от 2005 г.) Администраторът отказва достъп до лични данни, когато те не съществуват или предоставянето им е забранено със закон.

(2) (Отм. - ДВ, бр. 103 от 2005 г.)

(3) (Нова - ДВ, бр. 93 от 2004 г., изм. - ДВ, бр. 103 от 2005 г., изм. и доп. - ДВ, бр. 91 от 2006 г.) Администраторът отказва пълно или частично предоставяне на данни на лицето, за което те се отнасят, когато от това би възникнала опасност за отбраната или националната сигурност или за защитата на класифицираната информация и това е предвидено в специален закон.

Чл. 34. (1) (Изм. - ДВ, бр. 103 от 2005 г.) Администраторът отказва достъп до лични данни, когато те не съществуват или предоставянето им е забранено със закон.

(2) (Отм. - ДВ, бр. 103 от 2005 г.)

(3) (Нова - ДВ, бр. 93 от 2004 г., изм. - ДВ, бр. 103 от 2005 г.) Администраторът отказва пълно или частично предоставяне на данни на лицето, за което те се отнасят, когато от това би възникнала опасност за отбраната или националната сигурност или за защитата на класифицираната информация. Отказът не се мотивира, като се посочва само правното основание.

Чл. 34а. (Нов - ДВ, бр. 103 от 2005 г.) (1) Физическото лице, за което се отнасят данните, има право да:

1. възрази пред администратора срещу обработването на личните му данни при наличие на законово основание за това; когато възражението е основателно, личните данни на съответното физическо лице не могат повече да бъдат обработвани;

2. възрази срещу обработването на личните му данни за целите на директния маркетинг;

3. бъде уведомено, преди личните му данни да бъдат разкрити за пръв път на трети лица или използвани от тяхно име за целите по т. 2, като му бъде предоставена възможност да възрази срещу такова разкриване или използване.

(2) Администраторът уведомява физическото лице за правата му по ал. 1, т. 2 и 3.

Чл. 34б. (Нов - ДВ, бр. 103 от 2005 г.) (1) Решението на администратора е недопустимо, когато:

1. има правни или други съществени последици за физическото лице, и

2. е основано единствено на автоматизирано обработване на лични данни, предназначено да оценява лични характеристики на физическото лице.

(2) Алинея 1 не се прилага, когато решението е:

1. взето по време на сключването или изпълнението на договор, при условие че подадената от съответното физическо лице молба за сключване или изпълнение на договора е била удовлетворена или че съществуват подходящи мерки, гарантиращи законните му интереси;

2. уредено в закон, предвиждащ и мерки за защита на законните интереси на лицето.

(3) Физическото лице има право да поиска от администратора да преразгледа решението, прието в нарушение на ал. 1.

Глава пета.

ДОСТЪП ДО ЛИЧНИ ДАННИ

Чл. 26. (1) Всяко физическо лице има право на достъп до отнасящи се за него лични данни.

(2) В случаите, когато при осъществяване правото на достъп на физическото лице могат да се разкрият лични данни и за трето лице, администраторът по чл. 3, ал. 1 е длъжен да предостави на съответното физическо лице достъп до частта от тях, отнасяща се само за него.

Чл. 27. Осъществяването на правото на достъп до лични данни не може да бъде насочено срещу правата и доброто име на друго физическо лице, както и срещу националната сигурност, обществения ред, народното здраве и морала.

Чл. 28. (1) Физическото лице, за което се обработват лични данни, има право:

1. да получи информацията по чл. 19, ал. 2;

2. да поиска от администратора на лични данни:

а) потвърждение за съществуването на лични данни, отнасящи се до него, независимо в каква фаза на обработване са;

б) изтриването, прехвърлянето в анонимни данни или блокирането на обработването, когато е в нарушение на закона или данните не са необходими за целите, за които са обработвани;

в) актуализирането или поправянето на данните;

3. да възрази пред администратора по чл. 3, ал. 1 срещу незаконосъобразността на обработване на лични данни, отнасящи се до него, освен когато това се изключва от разпоредбите на специален закон;

4. да забрани на администратора по чл. 3, ал. 1 да предоставя изцяло или частично обработените негови лични данни с намерение те да бъдат използвани за търговска информация, реклама или за пазарно проучване;

5. да поиска да бъде информиран, преди личните данни по т. 4 да се разкрият за първи път на трета страна.

(2) При поискване от съответното физическо лице администраторът по чл. 3, ал. 1 е длъжен да му издаде:

1. удостоверение, че действията по ал. 1, т. 2, букви "б" и "в" са извършени или че е направен мотивиран отказ;

2. удостоверение, че данните и действията по ал. 1 са доведени до знанието на трети лица, на които са прехвърлени.

(3) Правата по ал. 1 и 2 се упражняват лично от физическото лице или чрез изрично упълномощено от него друго лице.

(4) Администраторът по чл. 3, ал. 1 в 14-дневен срок е длъжен да се произнесе писмено по всяко искане на съответното физическо лице във връзка с упражняването на правата му по ал. 1.

(5) При нарушаване на правата по ал. 1 или при отказ за удовлетворяване на искането по ал. 2 физическото лице може да подаде жалба по реда на глава седма.

Чл. 29. (1) Правото на достъп се осъществява с писмено заявление до администратора на лични данни.

(2) Заявлението може да бъде отправено и по електронен път.

(3) Заявлението се отправя лично от физическото лице или чрез изрично упълномощено от него друго лице.

(4) Подаването на заявлението е безплатно.

Чл. 30. (1) Заявлението за достъп до лични данни съдържа:

1. името, адреса и други необходими данни за идентифициране на съответното физическо лице;

2. описание на искането;

3. предпочитана форма за предоставяне на достъпа до личните данни;

4. подпис, дата на подаване на заявлението и адрес за кореспонденция.

(2) При подаване на заявление от упълномощено лице освен данните по ал. 1 се прилага и съответното пълномощно.

(3) Заявленията за достъп се завеждат от администратора по чл. 3, ал. 1 в регистър.

Чл. 31. (1) Достъп до лични данни може да бъде предоставен под формата на устна или писмена справка или на преглед на данните от съответното физическо лице или от изрично упълномощено от него друго лице.

(2) Физическото лице може да поиска копие от обработваните лични данни на предпочитан носител или предоставяне по електронен път, освен в случаите, когато това е забранено от закон.

(3) Администраторът по чл. 3, ал. 1 е длъжен да се съобрази с предпочитаната от заявителя форма на предоставяне на достъп, освен в случаите, когато няма техническа възможност или това би довело до неправомерно обработване на исканата информация.

Чл. 32. (1) Администраторът на лични данни разглежда заявлението за достъп и се произнася по него в 14-дневен срок.

(2) Срокът по ал. 1 може да бъде мотивирано удължен до 30 дни в случаите, когато обективно се изисква по-дълъг срок за събирането на всички искани данни и това сериозно затруднява дейността на администратора.

(3) Администраторът взема решение за предоставянето на пълен или частичен достъп на заявителя или мотивира отказ за предоставяне на достъп.

Чл. 33. (1) Администраторът по чл. 3, ал. 1 писмено уведомява заявителя за решението си по чл. 32, ал. 3.

(2) Уведомяването по ал. 1 е лично срещу подпис или по пощата с обратна разписка.

Чл. 34. (1) Администраторът по чл. 3, ал. 1 отказва достъп до лични данни, когато данните не съществуват или не могат да бъдат предоставяни на определено правно основание. В отказа се посочват органът и срокът за неговото обжалване.

(2) За отказ се счита липсата на уведомление по чл. 33, ал. 1.

(3) (Нова - ДВ, бр. 93 от 2004 г.) Администраторът на лични данни отказва пълно или частично предоставяне на данни на лицето по ал. 1, когато от това би възникнала опасност за отбраната или националната сигурност или за опазването на класифицираната информация, като в отказа се посочва само правното основание.

Чл. 34. (1) Администраторът по чл. 3, ал. 1 отказва достъп до лични данни, когато данните не съществуват или не могат да бъдат предоставяни на определено правно основание. В отказа се посочват органът и срокът за неговото обжалване.

(2) За отказ се счита липсата на уведомление по чл. 33, ал. 1.

Глава шеста.

ПРЕДОСТАВЯНЕ НА ЛИЧНИ ДАННИ НА ТРЕТИ ЛИЦА

Чл. 35. (Изм. - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 91 от 2006 г.)

Чл. 35. (Изм. - ДВ, бр. 103 от 2005 г.) (1) Предоставянето на лични данни от администратора на трети лица се допуска, ако:

1. е налице някое от основанията по чл. 4;

2. източниците на данни са публични регистри или документи, съдържащи обществена информация, за която е осигурен достъп по ред, определен в закон.

(2) В случаите по ал. 1, т. 1 се отправя писмено искане, в което се посочва основанието за предоставяне на лични данни.

(3) Администраторът се произнася с решение по искането в 14-дневен срок, като предоставя исканите данни или мотивирано отказва предоставянето им.

(4) Администраторът писмено уведомява третото лице за решението си по ал. 3.

(5) Предоставянето на лични данни или отказът може да се обжалва от заинтересованите лица по реда на глава седма.

Чл. 35. (1) Предоставянето на лични данни от администратора по чл. 3, ал. 1 на трети лица се допуска по тяхна молба, подадена по реда на глава пета, когато:

1. съответното физическо лице изрично е дало съгласието си;

2. източниците на данни са публични регистри или документи, съдържащи обществена информация, за която е осигурен достъп, по ред, определен в закон;

3. е във връзка със защитата на живота или здравето на съответното физическо лице, както и когато неговото състояние не му позволява да даде съгласие или съществуват законни пречки за това;

4. (доп. - ДВ, бр. 43 от 2005 г., в сила от 01.09.2005 г.) е необходимо на органите на съдебната и изпълнителната власт, на частен съдебен изпълнител и за защита на конкуренцията и потребителите и това е установено в закон;

5. те са необходими за целите на научни изследвания или за статистически цели и данните са анонимни.

(2) Забранява се предоставянето на лични данни на трети лица:

1. в нарушение на уведомлението по чл. 19, ал. 2, т. 1, 3 и 4;

2. за които е наредено унищожаване или за които срокът за обработване и съхраняване е изтекъл;

3. отнасящи се към определено физическо лице или към кръг физически лица, когато това влиза в противоречие със значим обществен интерес.

(3) Запознаването на оператора на лични данни или на обработващия данните в съответствие с инструкцията на администратора на лични данни не се счита за предоставяне на данни на трети лица.

Чл. 35. (1) Предоставянето на лични данни от администратора по чл. 3, ал. 1 на трети лица се допуска по тяхна молба, подадена по реда на глава пета, когато:

1. съответното физическо лице изрично е дало съгласието си;

2. източниците на данни са публични регистри или документи, съдържащи обществена информация, за която е осигурен достъп, по ред, определен в закон;

3. е във връзка със защитата на живота или здравето на съответното физическо лице, както и когато неговото състояние не му позволява да даде съгласие или съществуват законни пречки за това;

4. е необходимо на органите на съдебната и изпълнителната власт и за защита на конкуренцията и потребителите и това е установено в закон;

5. те са необходими за целите на научни изследвания или за статистически цели и данните са анонимни.

(2) Забранява се предоставянето на лични данни на трети лица:

1. в нарушение на уведомлението по чл. 19, ал. 2, т. 1, 3 и 4;

2. за които е наредено унищожаване или за които срокът за обработване и съхраняване е изтекъл;

3. отнасящи се към определено физическо лице или към кръг физически лица, когато това влиза в противоречие със значим обществен интерес.

(3) Запознаването на оператора на лични данни или на обработващия данните в съответствие с инструкцията на администратора на лични данни не се счита за предоставяне на данни на трети лица.

Чл. 36. (Изм. - ДВ, бр. 103 от 2005 г., в сила до 01.01.2007 г.) (1) Предоставянето на лични данни от администратора на чуждестранни физически и юридически лица или на чужди държавни органи се допуска с разрешение на Комисията за защита на личните данни, ако нормативните актове на страната получател гарантират по-добра или еднаква с предвидената в този закон защита на данните.

(2) При прехвърлянето на лични данни в случаите по ал. 1 се спазват изискванията на този закон.

Чл. 36. (1) Предоставянето на достъп до регистри на лични данни и прехвърлянето на лични данни от един администратор на друг се извършва при спазване изискванията на този закон и след разрешение на Комисията за защита на личните данни.

(2) Предоставянето на лични данни от администратора по чл. 3, ал. 1 на чуждестранни физически и юридически лица или на чужди държавни органи се допуска с разрешение на Комисията за защита на личните данни, ако нормативните актове на страната получател гарантират по-добра или еднаква с предвидената в този закон защита на данните.

(3) При предоставянето на достъп или при прехвърлянето на лични данни в случаите по ал. 1 и 2 се спазват изискванията на чл. 35, ал. 1 и 2.

Чл. 36а. (Нов - ДВ, бр. 103 от 2005 г., в сила от 01.01.2007 г.) (1) Предоставянето на лични данни в държава - членка на Европейския съюз, както и в друга държава - членка на Европейското икономическо пространство, се извършва свободно при спазване на изискванията на този закон.

(2) Предоставяне на лични данни в трета държава се допуска само ако тя осигурява адекватно ниво на защита на личните данни на своя територия.

(3) Преценката на адекватността на нивото на защита на личните данни в трета държава се извършва от Комисията за защита на личните данни, като се вземат предвид всички обстоятелства, свързани с действието или съвкупността от действията по предоставянето на данните, включително характера на данните, целта и продължителността на обработването им, правната им уредба и мерките за сигурност, осигурени в третата държава.

(4) (Изм. - ДВ, бр. 91 от 2006 г.) Комисията за защита на личните данни не извършва преценка по ал. 3 в случаите, когато е необходимо изпълнение на решение на Европейската комисия, с което тя се е произнесла, че:

1. третата държава, в която се предоставят лични данни, осигурява адекватно ниво на защита;

2. определени стандартни договорни клаузи осигуряват адекватно ниво на защита.

(5) (Изм. - ДВ, бр. 91 от 2006 г.) В случаите по ал. 4, т. 2 администраторът използва стандартните договорни клаузи при предоставяне на данни в трета държава.

(6) Извън случаите по ал. 2 и 4, администраторът може да предоставя лични данни в трета държава, ако:

1. лицето, за което се отнасят данните, е дало изрично съгласие за това;

2. (изм. - ДВ, бр. 91 от 2006 г.) предоставянето е необходимо за изпълнението на задължения по договор между физическото лице и администратора, както и за действията, предхождащи сключването на договор и предприети по искане на физическото лице;

3. (изм. - ДВ, бр. 91 от 2006 г.) предоставянето е необходимо за сключването и изпълнението на задължения по договор, сключен в интерес на физическото лице между администратора и друг субект;

4. предоставянето е необходимо или се изисква от закона поради значим обществен интерес или за установяването, упражняването или защитата на права по съдебен ред;

5. предоставянето е необходимо, за да се защитят животът и здравето на лицето, за което се отнасят данните;

6. (изм. - ДВ, бр. 91 от 2006 г.) източник на данните е публичен регистър, достъпът до който се осъществява при условия и по ред, предвидени в закон.

(7) Предоставянето на лични данни в трети държави е допустимо във всички случаи, когато то се извършва единствено за целите на журналистическата дейност, литературното или художественото изразяване, доколкото това обработване не нарушава правото на личен живот на лицето, за което се отнасят данните.

Чл. 36а. (Нов - ДВ, бр. 103 от 2005 г., в сила от датата на влизане в сила на Договора за присъединяване на Република България към Европейския съюз) (1) Предоставянето на лични данни в държава - членка на Европейския съюз, както и в друга държава - членка на Европейското икономическо пространство, се извършва свободно при спазване на изискванията на този закон.

(2) Предоставяне на лични данни в трета държава се допуска само ако тя осигурява адекватно ниво на защита на личните данни на своя територия.

(3) Преценката на адекватността на нивото на защита на личните данни в трета държава се извършва от Комисията за защита на личните данни, като се вземат предвид всички обстоятелства, свързани с действието или съвкупността от действията по предоставянето на данните, включително характера на данните, целта и продължителността на обработването им, правната им уредба и мерките за сигурност, осигурени в третата държава.

(4) Преценка по ал. 3 не се извършва, когато Европейската комисия се е произнесла с решение относно нивото на защита на личните данни в третата държава, на която се предоставят данните.

(5) Изискването по ал. 2 не се прилага, когато предоставянето на лични данни се извършва съгласно международен договор, ратифициран, обнародван и влязъл в сила за Република България.

(6) Извън случаите по ал. 2 и 4, администраторът може да предоставя лични данни в трета държава, ако:

1. лицето, за което се отнасят данните, е дало изрично съгласие за това;

2. предоставянето е необходимо за изпълнението на договор между физическото лице и администратора или се осъществява по молба на лицето;

3. предоставянето е необходимо за изпълнение на договор, сключен в интерес на физическото лице между администратора и друг субект;

4. предоставянето е необходимо или се изисква от закона поради значим обществен интерес или за установяването, упражняването или защитата на права по съдебен ред;

5. предоставянето е необходимо, за да се защитят животът и здравето на лицето, за което се отнасят данните;

6. се предоставят данни, които са общодостъпни.

(7) Предоставянето на лични данни в трети държави е допустимо във всички случаи, когато то се извършва единствено за целите на журналистическата дейност, литературното или художественото изразяване, доколкото това обработване не нарушава правото на личен живот на лицето, за което се отнасят данните.

Чл. 36б. (Нов - ДВ, бр. 103 от 2005 г., в сила от 01.01.2007 г.) (1) Извън случаите по чл. 36а, предоставянето на лични данни в трета държава се извършва след разрешение на Комисията за защита на личните данни, при условие че администраторът, предоставящ данните, и администраторът, който ги получава, представят достатъчно гаранции за защитата им.

(2) (Доп. - ДВ, бр. 91 от 2006 г.) Комисията уведомява Европейската комисия и компетентните органи на другите държави членки за разрешенията, предоставени по ал. 1, както и за отказите за предоставяне на такива разрешения.

Чл. 36б. (Нов - ДВ, бр. 103 от 2005 г., в сила от датата на влизане в сила на Договора за присъединяване на Република България към Европейския съюз) (1) Извън случаите по чл. 36а, предоставянето на лични данни в трета държава се извършва след разрешение на Комисията за защита на личните данни, при условие че администраторът, предоставящ данните, и администраторът, който ги получава, представят достатъчно гаранции за защитата им.

(2) Комисията уведомява Европейската комисия и компетентните органи на другите държави членки за разрешенията, предоставени по ал. 1.

Чл. 37. (Отм. - ДВ, бр. 103 от 2005 г.)

Чл. 37. (1) Администраторът по чл. 3, ал. 1 в срок до 30 дни от подаването на молбата взема решение за предоставянето на лични данни на трето лице или на друг администратор на лични данни или мотивира отказ за предоставянето им.

(2) Уведомяването по ал. 1 е лично срещу подпис или по пощата с обратна разписка.

(3) Отказът за предоставяне на лични данни може да се обжалва от заинтересуваните лица по реда на този закон.

Глава седма.

ОБЖАЛВАНЕ НА ДЕЙСТВИЯ НА АДМИНИСТРАТОРА НА ЛИЧНИ ДАННИ

Чл. 38. (1) (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г.) При нарушаване на правата му по този закон всяко физическо лице има право да сезира Комисията за защита на личните данни в едногодишен срок от узнаване на нарушението, но не по-късно от пет години от извършването му.

(2) (Изм. - ДВ, бр. 103 от 2005 г.) Комисията се произнася в 30-дневен срок от сезирането с решение, като може да даде задължителни предписания, да определи срок за отстраняване на нарушението или да наложи административно наказание.

(3) (Отм. - ДВ, бр. 103 от 2005 г.)

(4) Комисията за защита на личните данни изпраща копие от решението си и на физическото лице.

(5) (Нова - ДВ, бр. 91 от 2006 г.) В случаите по ал. 1, когато се обработват лични данни за целите на отбраната, националната сигурност и обществения ред, както и за нуждите на наказателното производство, решението на комисията съдържа само констатация относно законосъобразността на обработването.

(6) (Изм. - ДВ, бр. 103 от 2005 г., предишна ал. 5 - ДВ, бр. 91 от 2006 г., изм. - ДВ, бр. 39 от 2011 г.) Решението на комисията по ал. 2 подлежи на обжалване по реда на Административнопроцесуалния кодекс в 14-дневен срок от получаването му.

Чл. 38. (1) (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г.) При нарушаване на правата му по този закон всяко физическо лице има право да сезира Комисията за защита на личните данни в едногодишен срок от узнаване на нарушението, но не по-късно от пет години от извършването му.

(2) (Изм. - ДВ, бр. 103 от 2005 г.) Комисията се произнася в 30-дневен срок от сезирането с решение, като може да даде задължителни предписания, да определи срок за отстраняване на нарушението или да наложи административно наказание.

(3) (Отм. - ДВ, бр. 103 от 2005 г.)

(4) Комисията за защита на личните данни изпраща копие от решението си и на физическото лице.

(5) (Нова - ДВ, бр. 91 от 2006 г.) В случаите по ал. 1, когато се обработват лични данни за целите на отбраната, националната сигурност и обществения ред, както и за нуждите на наказателното производство, решението на комисията съдържа само констатация относно законосъобразността на обработването.

(6) (Изм. - ДВ, бр. 103 от 2005 г., предишна ал. 5 - ДВ, бр. 91 от 2006 г.) Решението на комисията по ал. 2 подлежи на обжалване пред Върховния административен съд в 14-дневен срок от получаването му.

Чл. 38. (1) (Изм. - ДВ, бр. 103 от 2005 г.) При нарушаване на правата му по този закон всяко физическо лице има право да сезира Комисията за защита на личните данни в 30-дневен срок от узнаване на нарушението, но не по-късно от една година от извършването му.

(2) (Изм. - ДВ, бр. 103 от 2005 г.) Комисията се произнася в 30-дневен срок от сезирането с решение, като може да даде задължителни предписания, да определи срок за отстраняване на нарушението или да наложи административно наказание.

(3) (Отм. - ДВ, бр. 103 от 2005 г.)

(4) Комисията за защита на личните данни изпраща копие от решението си и на физическото лице.

(5) (Изм. - ДВ, бр. 103 от 2005 г.) Решението на комисията по ал. 2 подлежи на обжалване пред Върховния административен съд в 14-дневен срок от получаването му.

Чл. 38. (1) В случаите на удължаване на срока, на предоставяне на частичен достъп или на отказ от предоставяне на достъп до лични данни съответното физическо лице може да сезира Комисията за защита на личните данни в 14-дневен срок от уведомяването по чл. 33, ал. 1 или от изтичането на срока по чл. 32, ал. 1.

(2) Физическото лице може да сезира Комисията за защита на личните данни в 14-дневен срок от извършване на нарушенията на правата му по чл. 28, ал. 1 и 2 или от узнаването им.

(3) Комисията за защита на личните данни в случаите по ал. 1 и 2 се произнася в 30-дневен срок с решение, в което може да даде задължителни указания до администратора на лични данни и срок за отстраняване на нарушението.

(4) Комисията за защита на личните данни изпраща копие от решението си и на физическото лице.

(5) Решението на комисията във връзка с ал. 1 подлежи на обжалване пред Върховния административен съд в 14-дневен срок от получаването му.

Чл. 39. (1) (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 30 от 2006 г., в сила от 01.03.2007 г., изм. - ДВ, бр. 91 от 2006 г.)При нарушаване на правата му по този закон всяко физическо лице може да обжалва действия и актове на администратора по съдебен ред пред съответния административен съд или пред Върховния административен съд по общите правила за подсъдност.

(2) (Изм. - ДВ, бр. 103 от 2005 г.) В производството по ал. 1 физическото лице може да иска обезщетение за претърпените от него вреди вследствие на неправомерно обработване на лични данни от страна на администратора.

(3) (Нова - ДВ, бр. 103 от 2005 г.) Физическото лице не може да сезира съда, ако има висящо производство пред комисията за същото нарушение или нейно решение относно същото нарушение е обжалвано и няма влязло в сила решение на съда. По искане на физическото лице комисията удостоверява липсата на висящо производство пред нея по същия спор.

(4) (Предишна ал. 3, изм. - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 91 от 2006 г.)

(5) (Предишна ал. 4, изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 30 от 2006 г., в сила от 12.07.2006 г., отм. - ДВ, бр. 91 от 2006 г.)

Чл. 39. (1) (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 30 от 2006 г., в сила от 01.03.2007 г.) При нарушаване на правата му по този закон всяко физическо лице може да обжалва действия и актове на администратора по съдебен ред пред съответния административен съд или пред Върховния административен съд по общите правила за подсъдност в срока по чл. 38, ал. 1.

(2) (Изм. - ДВ, бр. 103 от 2005 г.) В производството по ал. 1 физическото лице може да иска обезщетение за претърпените от него вреди вследствие на неправомерно обработване на лични данни от страна на администратора.

(3) (Нова - ДВ, бр. 103 от 2005 г.) Физическото лице не може да сезира съда, ако има висящо производство пред комисията за същото нарушение или нейно решение относно същото нарушение е обжалвано и няма влязло в сила решение на съда. По искане на физическото лице комисията удостоверява липсата на висящо производство пред нея по същия спор.

(4) (Предишна ал. 3, изм. - ДВ, бр. 103 от 2005 г.) В случаите на неизпълнение на предписанията по чл. 38, ал. 2 в указания срок Комисията за защита на личните данни в 14-дневен срок може да сезира съответния окръжен съд или Върховния административен съд за извършеното нарушение от администратора на лични данни, съобразно общите правила за подсъдност.

(5) (Предишна ал. 4, изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 30 от 2006 г., в сила от 12.07.2006 г.) При разглеждането на споровете по ал. 4 се прилага Административнопроцесуалния кодекс.

Чл. 39. (1) (Изм. - ДВ, бр. 103 от 2005 г.) При нарушаване на правата му по този закон всяко физическо лице може да обжалва действия и актове на администратора по съдебен ред пред съответния окръжен съд или пред Върховния административен съд по общите правила за подсъдност в срока по чл. 38, ал. 1.

(2) (Изм. - ДВ, бр. 103 от 2005 г.) В производството по ал. 1 физическото лице може да иска обезщетение за претърпените от него вреди вследствие на неправомерно обработване на лични данни от страна на администратора.

(3) (Нова - ДВ, бр. 103 от 2005 г.) Физическото лице не може да сезира съда, ако има висящо производство пред комисията за същото нарушение или нейно решение относно същото нарушение е обжалвано и няма влязло в сила решение на съда. По искане на физическото лице комисията удостоверява липсата на висящо производство пред нея по същия спор.

(4) (Предишна ал. 3, изм. - ДВ, бр. 103 от 2005 г.) В случаите на неизпълнение на предписанията по чл. 38, ал. 2 в указания срок Комисията за защита на личните данни в 14-дневен срок може да сезира съответния окръжен съд или Върховния административен съд за извършеното нарушение от администратора на лични данни, съобразно общите правила за подсъдност.

(5) (Предишна ал. 4, изм. - ДВ, бр. 103 от 2005 г.) При разглеждането на споровете по ал. 4 се прилага Законът за административното производство, съответно Законът за Върховния административен съд.

Чл. 39. (1) В случаите по чл. 38, ал. 1 физическото лице може да обжалва решението на администратора на лични данни пред съответния окръжен съд или пред Върховния административен съд съобразно общите правила за подсъдност. Жалбата се подава чрез съответния администратор в едномесечен срок от получаване на уведомлението по чл. 33, ал. 1.

(2) Физическото лице не може да сезира съда, ако има висящо производство пред Комисията за защита на личните данни или нейното решение е обжалвано и няма влязло в сила решение на съда относно същото решение на администратора. Съдът следи за наличието на посочените по-горе обстоятелства служебно.

(3) В случаите на неизпълнение на указанията по чл. 38, ал. 3 в предписания срок Комисията за защита на личните данни в 14-дневен срок може да сезира съответния окръжен съд или Върховния административен съд за извършеното нарушение от администратора на лични данни, съобразно общите правила за подсъдност.

(4) При разглеждането на споровете по ал. 1 и 3 се прилага Законът за административното производство, съответно Законът за Върховния административен съд.

Чл. 40. (Отм. - ДВ, бр. 103 от 2005 г.)

Чл. 40. (1) При незаконосъобразно решение в случаите по чл. 38, ал. 1 съдът отменя изцяло или частично обжалваното решение, като задължава съответния администратор да предостави достъп до исканите лични данни.

(2) В случаите по ал. 1 достъпът до исканите лични данни се осъществява по реда на този закон.

(3) Съдът може да отхвърли жалбата срещу решението на Комисията за защита на личните данни, да го измени или да го отмени изцяло.

Чл. 41. (Отм. - ДВ, бр. 103 от 2005 г.)

Чл. 41. Разпоредбите на чл. 38 - 40 се прилагат съответно и при отказ за предоставяне на лични данни в случаите по чл. 35 и чл. 36, ал. 1 и 2.

Глава осма.

АДМИНИСТРАТИВНОНАКАЗАТЕЛНИ РАЗПОРЕДБИ

Чл. 42. (Изм. - ДВ, бр. 103 от 2005 г.) (1) За нарушения по чл. 2, ал. 2 и чл. 4 администраторът на лични данни се наказва с глоба или с имуществена санкция от 10 000 до 100 000 лв.

(2) За нарушения по чл. 5 администраторът се наказва с глоба или с имуществена санкция от 10 000 до 100 000 лв.

(3) (Изм. - ДВ, бр. 91 от 2006 г.) За нарушения по чл. 19, ал. 1 и чл. 20, ал. 1 администраторът се наказва с глоба или с имуществена санкция от 2000 до 20 000 лв.

(4) Администратор, който не изпълни задължението си за регистрация по чл. 17, ал. 1, се наказва с глоба или с имуществена санкция от 1000 до 10 000 лв.

(5) (Нова - ДВ, бр. 91 от 2006 г.) Администратор, който започне обработване на лични данни в нарушение на чл. 17б, ал. 4, се наказва с глоба или с имуществена санкция в размер от 2000 до 20 000 лв.

(6) (Нова - ДВ, бр. 91 от 2006 г.) Администратор, който не изпълни задълженията си по чл. 22, ал. 1 и 2, се наказва с глоба или с имуществена санкция в размер от 2000 до 20 000 лв.

(7) (Предишна ал. 5 - ДВ, бр. 91 от 2006 г.) Администратор, който не се произнесе в срок по заявление по чл. 29, се наказва с глоба или с имуществена санкция от 1000 до 20 000 лв., ако не подлежи на по-тежко наказание.

(8) (Предишна ал. 6 - ДВ, бр. 91 от 2006 г.) За отказ от съдействие на комисията във връзка с контролните й правомощия лицата се наказват с глоба или с имуществена санкция от 1000 до 10 000 лв.

(9) (Предишна ал. 7 - ДВ, бр. 91 от 2006 г.) За други нарушения по този закон виновните лица се наказват с глоба или с имуществена санкция от 500 до 5000 лв.

Чл. 42. (Изм. - ДВ, бр. 103 от 2005 г.) (1) За нарушения по чл. 2, ал. 2 и чл. 4 администраторът на лични данни се наказва с глоба или с имуществена санкция от 10 000 до 100 000 лв.

(2) За нарушения по чл. 5 администраторът се наказва с глоба или с имуществена санкция от 10 000 до 100 000 лв.

(3) За нарушения по чл. 19, ал. 1 и чл. 20, ал. 1 администраторът се наказва с глоба или с имуществена санкция от 5000 до 30 000 лв.

(4) Администратор, който не изпълни задължението си за регистрация по чл. 17, ал. 1, се наказва с глоба или с имуществена санкция от 1000 до 10 000 лв.

(5) Администратор, който не се произнесе в срок по заявление по чл. 29, се наказва с глоба или с имуществена санкция от 1000 до 20 000 лв., ако не подлежи на по-тежко наказание.

(6) За отказ от съдействие на комисията във връзка с контролните й правомощия лицата се наказват с глоба или с имуществена санкция от 1000 до 10 000 лв.

(7) За други нарушения по този закон виновните лица се наказват с глоба или с имуществена санкция от 500 до 5000 лв.

Чл. 42. (1) Длъжностно лице, което без уважителна причина не се произнесе в срок по заявление за достъп до лични данни, се наказва с глоба от 50 до 200 лв., ако не подлежи на по-тежко наказание.

(2) Длъжностно лице, което не изпълни предписания на Комисията за защита на личните данни или на съда и не предостави достъп до исканите лични данни, се наказва с глоба от 100 до 300 лв., ако не подлежи на по-тежко наказание.

(3) За всички други нарушения по този закон виновните лица се наказват с глоба от 50 до 300 лв., когато са извършени от физически лица, а на юридически лица и еднолични търговци се налага имуществена санкция от 500 до 1000 лв. Когато нарушението е извършено повторно, глобата, съответно имуществената санкция, е в двоен размер.

(4) В случаите на извършени нарушения по ал. 1, 2 и 3 администраторите на лични данни - физически лица, се наказват с глоба от 500 до 2000 лв., а на администраторите - юридически лица или еднолични търговци, се налага имуществена санкция от 1000 до 1500 лв. Когато нарушението е извършено повторно, глобата, съответно санкцията, е в двоен размер.

(5) Физическо лице, което обработва лични данни, без да е регистрирано по този закон, се наказва с глоба от 300 до 1000 лв. За същото нарушение, когато е извършено от юридическо лице или едноличен търговец, се налага имуществена санкция от 1000 до 3000 лв. Когато нарушението е извършено повторно, глобата, съответно санкцията, е в двоен размер.

(6) Администратор на лични данни, който извърши нарушение по чл. 22, ал. 3 от този закон, се наказва с глоба от 500 до 1000 лв., когато нарушението е извършено от физическо лице. За същото нарушение, когато е извършено от юридическо лице или едноличен търговец, се налага имуществена санкция от 1000 до 3000 лв. Когато нарушението е извършено повторно, се налага глоба, съответно имуществена санкция в двоен размер.

(7) Администратор на лични данни, който извърши нарушение по чл. 23, ал. 1 и 2 от този закон, се наказва с глоба от 1000 до 1500 лв., когато нарушението е извършено от физическо лице. За същото нарушение, когато е извършено от юридическо лице или едноличен търговец, се налага имуществена санкция от 1500 до 5000 лв. Когато нарушението е извършено повторно, се налага глоба, съответно имуществена санкция, в двоен размер.

Чл. 42а. (Нов - ДВ, бр. 103 от 2005 г.) Когато нарушенията по този закон са извършени повторно, се налага глоба или имуществена санкция в двоен размер на първоначално наложената.

Чл. 43. (1) (Изм. - ДВ, бр. 103 от 2005 г.) Актовете за установяване на административните нарушения се съставят от член на Комисията за защита на личните данни или от упълномощени от комисията длъжностни лица.

(2) (Доп. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г.) Наказателните постановления се издават от председателя на Комисията за защита на личните данни.

(3) (Нова - ДВ, бр. 91 от 2006 г.) Имуществените санкции и глобите по влезли в сила наказателни постановления се събират по реда на Данъчно-осигурителния процесуален кодекс.

(4) (Предишна ал. 3 - ДВ, бр. 91 от 2006 г.) Установяването на нарушенията, издаването, обжалването и изпълнението на наказателните постановления се извършват по реда на Закона за административните нарушения и наказания.

Чл. 43. (1) (Изм. - ДВ, бр. 103 от 2005 г.) Актовете за установяване на административните нарушения се съставят от член на Комисията за защита на личните данни или от упълномощени от комисията длъжностни лица.

(2) (Доп. - ДВ, бр. 103 от 2005 г.) Наказателните постановления се издават от председателя на Комисията за защита на личните данни въз основа на решението на комисията по чл. 38, ал. 2.

(3) Установяването на нарушенията, издаването, обжалването и изпълнението на наказателните постановления се извършват по реда на Закона за административните нарушения и наказания.

Чл. 43. (1) Актовете за установяване на административните нарушения се съставят от член на Комисията за защита на личните данни или от упълномощени от комисията длъжностни лица от администрацията.

(2) Наказателните постановления се издават от председателя на Комисията за защита на личните данни.

(3) Установяването на нарушенията, издаването, обжалването и изпълнението на наказателните постановления се извършват по реда на Закона за административните нарушения и наказания.

Допълнителни разпоредби

§ 1. По смисъла на този закон:

1. (изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г.) "Обработване на лични данни" е всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване.

2. (изм. - ДВ, бр. 103 от 2005 г.) "Регистър на лични данни" е всяка структурирана съвкупност от лични данни, достъпна по определени критерии, централизирана, децентрализирана или разпределена на функционален или географски принцип.

3. (изм. - ДВ, бр. 103 от 2005 г.) "Обработващ лични данни" е физическо или юридическо лице, държавен орган или орган на местно самоуправление, който обработва лични данни от името на администратора на лични данни.

4. (отм. - ДВ, бр. 103 от 2005 г.)

5. "Предоставяне на лични данни" са действия по цялостно или частично пренасяне на лични данни от един администратор към друг или към трето лице на територията на страната или извън нея.

6. (изм. - ДВ, бр. 103 от 2005 г.) "Анонимни данни" са лични данни, приведени във форма, която не позволява те да бъдат свързани със съответното физическо лице, за което се отнасят.

7. "Блокиране" е складирането на лични данни с временно прекратяване на обработката им.

8. (отм. - ДВ, бр. 103 от 2005 г.)

9. "Повторно" е нарушението, което е извършено в едногодишен срок от влизането в сила на наказателното постановление, с което е наложено наказание за същия вид нарушение.

10. (нова - ДВ, бр. 70 от 2004 г., в сила от 01.01.2005 г.) "Човешки геном" е съвкупността от всички гени в единичен (диплоиден) набор хромозоми на дадено лице.

11. (нова - ДВ, бр. 103 от 2005 г.) "Трето лице" е физическо или юридическо лице, орган на държавна власт или на местно самоуправление, различен от физическото лице, за което се отнасят данните, от администратора на лични данни, от обработващия лични данни и от лицата, които под прякото ръководство на администратора или обработващия имат право да обработват лични данни.

12. (нова - ДВ, бр. 103 от 2005 г.) "Получател" е физическо или юридическо лице, орган на държавна власт или на местно самоуправление, на когото се разкриват лични данни, независимо дали е трето лице или не. Органите, които могат да получават данни в рамките на конкретно проучване, не се смятат за получатели.

13. (нова - ДВ, бр. 103 от 2005 г., доп. - ДВ, бр. 91 от 2006 г.) "Съгласие на физическото лице" е всяко свободно изразено, конкретно и информирано волеизявление, с което физическото лице, за което се отнасят личните данни, недвусмислено се съгласява те да бъдат обработвани.

14. (нова - ДВ, бр. 103 от 2005 г., в сила от 01.01.2007 г.) "Трета държава" е всяка държава, която не е член на Европейския съюз и не е страна по Споразумението за Европейското икономическо пространство.

15. (нова - ДВ, бр. 103 от 2005 г.) "Директен маркетинг" е предлагане на стоки и услуги на физически лица по пощата, по телефон или по друг директен начин, както и допитване с цел проучване относно предлаганите стоки и услуги.

16. (нова - ДВ, бр. 91 от 2006 г.) "Специфични признаци" са признаци, свързани с физическа, физиологична, генетична, психическа, психологическа, икономическа, културна, социална или друга идентичност на лицето.

§ 1. По смисъла на този закон:

1. (изм. - ДВ, бр. 103 от 2005 г.) "Обработване на лични данни" е всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне или по друг начин, актуализиране или комбиниране, блокиране, заличаване или унищожаване.

2. (изм. - ДВ, бр. 103 от 2005 г.) "Регистър на лични данни" е всяка структурирана съвкупност от лични данни, достъпна по определени критерии, централизирана, децентрализирана или разпределена на функционален или географски принцип.

3. (изм. - ДВ, бр. 103 от 2005 г.) "Обработващ лични данни" е физическо или юридическо лице, държавен орган или орган на местно самоуправление, който обработва лични данни от името на администратора на лични данни.

4. (отм. - ДВ, бр. 103 от 2005 г.)

5. "Предоставяне на лични данни" са действия по цялостно или частично пренасяне на лични данни от един администратор към друг или към трето лице на територията на страната или извън нея.

6. (изм. - ДВ, бр. 103 от 2005 г.) "Анонимни данни" са лични данни, приведени във форма, която не позволява те да бъдат свързани със съответното физическо лице, за което се отнасят.

7. "Блокиране" е складирането на лични данни с временно прекратяване на обработката им.

8. (отм. - ДВ, бр. 103 от 2005 г.)

9. "Повторно" е нарушението, което е извършено в едногодишен срок от влизането в сила на наказателното постановление, с което е наложено наказание за същия вид нарушение.

10. (нова - ДВ, бр. 70 от 2004 г., в сила от 01.01.2005 г.) "Човешки геном" е съвкупността от всички гени в единичен (диплоиден) набор хромозоми на дадено лице.

11. (нова - ДВ, бр. 103 от 2005 г.) "Трето лице" е физическо или юридическо лице, орган на държавна власт или на местно самоуправление, различен от физическото лице, за което се отнасят данните, от администратора на лични данни, от обработващия лични данни и от лицата, които под прякото ръководство на администратора или обработващия имат право да обработват лични данни.

12. (нова - ДВ, бр. 103 от 2005 г.) "Получател" е физическо или юридическо лице, орган на държавна власт или на местно самоуправление, на когото се разкриват лични данни, независимо дали е трето лице или не. Органите, които могат да получават данни в рамките на конкретно проучване, не се смятат за получатели.

13. (нова - ДВ, бр. 103 от 2005 г.) "Съгласие на физическото лице" е всяко свободно изразено, конкретно и информирано волеизявление, с което физическото лице, за което се отнасят личните данни, се съгласява те да бъдат обработвани.

14. (нова - ДВ, бр. 103 от 2005 г., в сила от датата на влизане в сила на Договора за присъединяване на Република България към Европейския съюз) "Трета държава" е всяка държава, която не е член на Европейския съюз и не е страна по Споразумението за Европейското икономическо пространство.

15. (нова - ДВ, бр. 103 от 2005 г.) "Директен маркетинг" е предлагане на стоки и услуги на физически лица по пощата, по телефон или по друг директен начин, както и допитване с цел проучване относно предлаганите стоки и услуги.

§ 1. По смисъла на този закон:

1. "Обработване на лични данни" е всяка операция или набор от операции, извършвани или не с електронни или други автоматични средства, които съдържат събиране, запис, организиране, складиране, адаптиране или промяна, актуализиране, изваждане, консултиране, употреба, комбиниране, блокиране, разкриване, разпространяване или осигуряване на други възможности за предоставяне на достъп, съхраняване, изтриване или унищожаване на данните.

2. "Регистър за лични данни" е документален, картотечен или автоматизиран информационен фонд, структуриран според няколко специфични критерия, подходящи за улесняване на тяхната обработка, съставени от един или няколко елемента на едно или няколко физически места.

3. "Обработващ лични данни" е физическо или юридическо лице, което обработва лични данни под ръководството на администратора на лични данни въз основа на сключен с него договор или заповед за назначаване.

4. "Оператор на лични данни" е физическо лице, действащо под ръководството и контрола на администратора или на обработващия лични данни, което има достъп до тях, на основание на писмен договор или заповед за назначаване за обработването им, съобразно инструкция на администратора на лични данни за реда и начините на обработването им.

5. "Предоставяне на лични данни" са действия по цялостно или частично пренасяне на лични данни от един администратор към друг или към трето лице на територията на страната или извън нея.

6. "Анонимни данни" са данни, които не могат да се отнесат към определено или определяемо физическо лице поради произхода си или специфичната си обработка.

7. "Блокиране" е складирането на лични данни с временно прекратяване на обработката им.

8. "Длъжностно лице" е всяко физическо лице, което е овластено от администратора да поддържа регистър с лични данни, да организира дейността във връзка с него и да носи отговорност за това, както и самият администратор на лични данни в случаите, когато е физическо лице.

9. "Повторно" е нарушението, което е извършено в едногодишен срок от влизането в сила на наказателното постановление, с което е наложено наказание за същия вид нарушение.

10. (нова - ДВ, бр. 70 от 2004 г., в сила от 01.01.2005 г.) "Човешки геном" е съвкупността от всички гени в единичен (диплоиден) набор хромозоми на дадено лице.

§ 1. По смисъла на този закон:

1. "Обработване на лични данни" е всяка операция или набор от операции, извършвани или не с електронни или други автоматични средства, които съдържат събиране, запис, организиране, складиране, адаптиране или промяна, актуализиране, изваждане, консултиране, употреба, комбиниране, блокиране, разкриване, разпространяване или осигуряване на други възможности за предоставяне на достъп, съхраняване, изтриване или унищожаване на данните.

2. "Регистър за лични данни" е документален, картотечен или автоматизиран информационен фонд, структуриран според няколко специфични критерия, подходящи за улесняване на тяхната обработка, съставени от един или няколко елемента на едно или няколко физически места.

3. "Обработващ лични данни" е физическо или юридическо лице, което обработва лични данни под ръководството на администратора на лични данни въз основа на сключен с него договор или заповед за назначаване.

4. "Оператор на лични данни" е физическо лице, действащо под ръководството и контрола на администратора или на обработващия лични данни, което има достъп до тях, на основание на писмен договор или заповед за назначаване за обработването им, съобразно инструкция на администратора на лични данни за реда и начините на обработването им.

5. "Предоставяне на лични данни" са действия по цялостно или частично пренасяне на лични данни от един администратор към друг или към трето лице на територията на страната или извън нея.

6. "Анонимни данни" са данни, които не могат да се отнесат към определено или определяемо физическо лице поради произхода си или специфичната си обработка.

7. "Блокиране" е складирането на лични данни с временно прекратяване на обработката им.

8. "Длъжностно лице" е всяко физическо лице, което е овластено от администратора да поддържа регистър с лични данни, да организира дейността във връзка с него и да носи отговорност за това, както и самият администратор на лични данни в случаите, когато е физическо лице.

9. "Повторно" е нарушението, което е извършено в едногодишен срок от влизането в сила на наказателното постановление, с което е наложено наказание за същия вид нарушение.

§ 1а. (Нов - ДВ, бр. 91 от 2006 г.) Този закон въвежда разпоредбите на Директива 95/46/ЕС на Европейския парламент и на Съвета за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни.

Преходни и Заключителни разпоредби

§ 2. (1) В едномесечен срок от влизането в сила на този закон Министерският съвет предлага на Народното събрание състава на Комисията за защита на личните данни.

(2) В 14-дневен срок от внасяне на предложението по ал. 1 Народното събрание избира състава на Комисията за защита на личните данни.

(3) В 3-месечен срок от избирането й Комисията за защита на личните данни приема и обнародва в "Държавен вестник" правилника по чл. 9, ал. 2.

(4) Министерският съвет в едномесечен срок от влизането в сила на решението на Народното събрание по ал. 2 осигурява необходимото имущество и финансови ресурси за започване работа на комисията.

§ 3. (1) В 6-месечен срок от влизането в сила на правилника по чл. 9, ал. 2 лицата, които към момента на влизане в сила на закона поддържат регистри с лични данни, ги привеждат в съответствие с изискванията на закона и уведомяват за това комисията.

(2) Комисията извършва предварителни проверки, регистрира или отказва да регистрира като администратори лица, които поддържат регистри към момента на влизане в сила на закона, както и водените от тях регистри в 3-месечен срок от получаването на заявлението по ал. 1.

(3) Решенията на комисията за отказ на регистрация подлежат на обжалване пред Върховния административен съд в 14-дневен срок.

(4) С влизането в сила на решението на комисията за отказ на регистрация или на решението на Върховния административен съд, с което се потвърждава отказът на комисията, лицето, което неправомерно води регистър, е длъжно да унищожи лични данни, съдържащи се в регистъра му, или със съгласието на комисията да ги прехвърли на друг администратор, който е регистрирал своя регистър и обработва лични данни за същите цели.

(5) Комисията осъществява контрол върху изпълнението на задължението по ал. 4.

(6) В 3-месечен срок от регистрацията администраторът по чл. 3, ал. 1 е длъжен да публикува в бюлетина на Комисията за защита на личните данни сведенията по чл. 22, ал. 1.

§ 4. В Закона за достъп до обществена информация (ДВ, бр. 55 от 2000 г.) се правят следните изменения:

1. В чл. 2, ал. 3 думите "лична информация" се заменят с "лични данни".

2. В § 1 т. 2 се изменя така:

"2. "Лични данни" са информация за физическо лице, която разкрива неговата физическа, психологическа, умствена, семейна, икономическа, културна или обществена идентичност."

§ 5. Законът влиза в сила от 1 януари 2002 г.

-------------------------

Законът е приет от ХХХIХ Народно събрание на 21 декември 2001 г. и е подпечатан с официалния печат на Народното събрание.

Преходни и Заключителни разпоредби

КЪМ ЗАКОНА ЗА ЧАСТНИТЕ СЪДЕБНИ ИЗПЪЛНИТЕЛИ

(ОБН. - ДВ, БР. 43 ОТ 2005 Г.)

§ 23. Законът влиза в сила от 1 септември 2005 г.

Преходни и Заключителни разпоредби

КЪМ ЗАКОНА ЗА ИЗМЕНЕНИЕ И ДОПЪЛНЕНИЕ НА ЗАКОНА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

(ОБН. - ДВ, БР. 103 ОТ 2005 Г., ИЗМ. - ДВ, БР. 91 ОТ 2006 Г.)

§ 50. Разпоредбата на § 38, относно чл. 36, се прилага до влизане в сила на Договора за присъединяване на Република България към Европейския съюз.

(ОБН. - ДВ, БР. 103 ОТ 2005 Г.)

§ 50. Разпоредбата на § 38, относно чл. 36, се прилага до влизане в сила на Договора за присъединяване на Република България към Европейския съюз.

§ 51. (Изм. - ДВ, бр. 91 от 2006 г.) Разпоредбите на § 1, относно чл. 1, ал. 4, т. 3, § 8, т. 1, буква "в", относно чл. 10, ал. 1, т. 9, § 39, относно чл. 36а, § 40, относно чл. 36б, и § 48, т. 5, относно т. 14 от допълнителната разпоредба, влизат в сила от датата на влизане в сила на Договора за присъединяване на Република България към Европейския съюз.

§ 51. Разпоредбите на § 1, относно чл. 1, ал. 3, т. 3, § 8, т. 1, буква "в", относно чл. 10, ал. 1, т. 9, § 39, относно чл. 36а, § 40, относно чл. 36б, и § 48, т. 5, относно т. 14 от допълнителната разпоредба, влизат в сила от датата на влизане в сила на Договора за присъединяване на Република България към Европейския съюз.

§ 52. В тримесечен срок от влизане в сила на закона Комисията за защита на личните данни приема Етичния кодекс по чл. 10, ал. 4 и наредбата по чл. 23, ал. 5.

Преходни и Заключителни разпоредби

КЪМ АДМИНИСТРАТИВНОПРОЦЕСУАЛНИЯ КОДЕКС

(ОБН. - ДВ, БР. 30 ОТ 2006 Г., В СИЛА ОТ 12.07.2006 Г.)

§ 142. Кодексът влиза в сила три месеца след обнародването му в "Държавен вестник", с изключение на:

1. дял трети, § 2, т. 1 и § 2, т. 2 - относно отмяната на глава трета, раздел II "Обжалване по съдебен ред", § 9, т. 1 и 2, § 11, т. 1 и 2, § 15, § 44, т. 1 и 2, § 51, т. 1, § 53, т. 1, § 61, т. 1, § 66, т. 3, § 76, т. 1 - 3, § 78, § 79, § 83, т. 1, § 84, т. 1 и 2, § 89, т. 1 - 4, § 101, т. 1, § 102, т. 1, § 107, § 117, т. 1 и 2, § 125, § 128, т. 1 и 2, § 132, т. 2 и § 136, т. 1, както и § 34, § 35, т. 2, § 43, т. 2, § 62, т. 1, § 66, т. 2 и 4, § 97, т. 2 и § 125, т. 1 - относно замяната на думата "окръжния" с "административния" и замяната на думите "Софийския градски съд" с "Административния съд - град София", които влизат в сила от 1 март 2007 г.;

2. параграф 120, който влиза в сила от 1 януари 2007 г.;

3. параграф 3, който влиза в сила от деня на обнародването на кодекса в "Държавен вестник".

Преходни и Заключителни разпоредби

КЪМ ЗАКОНА ЗА ИЗМЕНЕНИЕ И ДОПЪЛНЕНИЕ НА ЗАКОНА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

(ОБН. - ДВ, БР. 91 ОТ 2006 Г.)

§ 31. Разпоредбата на § 6 относно чл. 6, ал. 2 влиза в сила от 1 януари 2007 г.

§ 32. В срок два месеца от влизането в сила на този закон Комисията за защита на личните данни приема инструкцията по чл. 12, ал. 9.

§ 33. В срок три месеца от влизането в сила на този закон администраторите, които подлежат на регистрация, подават заявление за регистрация.

Релевантни актове от Европейското законодателство

ДИРЕКТИВА 95/46/ЕО НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 24 октомври 1995 година относно защита на физическите лица при обработването на лични данни и за свободното движение на тези данни

РЕГЛАМЕНТ (ЕИО) № 2380/74 НА СЪВЕТА от 17 септември 1974 година относно приемане на разпоредби за разпространяване на информация, свързана с научно-изследователски програми за Европейската икономическа общност

РЕГЛАМЕНТ НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И СЪВЕТА (ЕО) № 45/2001 от 18 декември 2000 година за защита на физическите лица по отношение на обработката на лични данни от институции и органи на Общността и за свободното движение на такива данни

РЕШЕНИЕ НА КОМИСИЯТА от 15 юни 2001 година относно общите договорни клаузи за трансфера на лични данни към трети страни съгласно Директива 95/46/ЕО

РЕШЕНИЕ НА КОМИСИЯТА от 26 юли 2000 година относно Директива 95/46/EО на Европейския парламент и на Съвета за достатъчната защита на личните данни, предоставяни в Швейцария

РЕШЕНИЕ НА КОМИСИЯТА от 26 юли 2000 година съгласно Директива 95/46/EО на Европейския парламент и Съвета относно адекватна защита на личните данни, предоставена в Унгария (уведомление с документ номер C(2000) 2305) (Текстът е валиден за Европейската икономическа зона) (2000/519/ЕО)

Преходни и Заключителни разпоредби

КЪМ ЗАКОНА ЗА НАЦИОНАЛНИЯ АРХИВЕН ФОНД

(ОБН. - ДВ, БР. 57 ОТ 2007 Г., В СИЛА ОТ 13.07.2007 Г.)

§ 23. Законът влиза в сила от деня на обнародването му в "Държавен вестник".

Релевантни актове от Европейското законодателство

ДИРЕКТИВА 95/46/ЕО НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 24 октомври 1995 година относно защита на физическите лица при обработването на лични данни и за свободното движение на тези данни

РЕГЛАМЕНТ (ЕИО) № 2380/74 НА СЪВЕТА от 17 септември 1974 година относно приемане на разпоредби за разпространяване на информация, свързана с научно-изследователски програми за Европейската икономическа общност

РЕГЛАМЕНТ НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И СЪВЕТА (ЕО) № 45/2001 от 18 декември 2000 година за защита на физическите лица по отношение на обработката на лични данни от институции и органи на Общността и за свободното движение на такива данни

РЕШЕНИЕ НА КОМИСИЯТА от 15 юни 2001 година относно общите договорни клаузи за трансфера на лични данни към трети страни съгласно Директива 95/46/ЕО

РЕШЕНИЕ НА КОМИСИЯТА от 26 юли 2000 година относно Директива 95/46/EО на Европейския парламент и на Съвета за достатъчната защита на личните данни, предоставяни в Швейцария

РЕШЕНИЕ НА КОМИСИЯТА от 26 юли 2000 година съгласно Директива 95/46/EО на Европейския парламент и Съвета относно адекватна защита на личните данни, предоставена в Унгария (уведомление с документ номер C(2000) 2305) (Текстът е валиден за Европейската икономическа зона) (2000/519/ЕО)

Преходни и Заключителни разпоредби

КЪМ ЗАКОНА ЗА ИЗМЕНЕНИЕ И ДОПЪЛНЕНИЕ НА ЗАКОНА ЗА ПРЕДОТВРАТЯВАНЕ И РАЗКРИВАНЕ НА КОНФЛИКТ НА ИНТЕРЕСИ

(ОБН. - ДВ, БР. 97 ОТ 2010 Г., В СИЛА ОТ 10.12.2010 Г.)

§ 61. Законът влиза в сила от деня на обнародването му в "Държавен вестник" с изключение на:

1. параграф 11 относно чл. 22а22д, който влиза в сила от 1 януари 2011 г.;

2. параграфи 7, 8, 9, § 11 относно чл. 22е22и и § 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22 и 23, които влизат в сила от 1 април 2011 г.

Релевантни актове от Европейското законодателство

ДИРЕКТИВА 95/46/ЕО НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 24 октомври 1995 година относно защита на физическите лица при обработването на лични данни и за свободното движение на тези данни

РЕГЛАМЕНТ (ЕИО) № 2380/74 НА СЪВЕТА от 17 септември 1974 година относно приемане на разпоредби за разпространяване на информация, свързана с научно-изследователски програми за Европейската икономическа общност

РЕГЛАМЕНТ НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И СЪВЕТА (ЕО) № 45/2001 от 18 декември 2000 година за защита на физическите лица по отношение на обработката на лични данни от институции и органи на Общността и за свободното движение на такива данни

РЕШЕНИЕ НА КОМИСИЯТА от 15 юни 2001 година относно общите договорни клаузи за трансфера на лични данни към трети страни съгласно Директива 95/46/ЕО

РЕШЕНИЕ НА КОМИСИЯТА от 26 юли 2000 година относно Директива 95/46/EО на Европейския парламент и на Съвета за достатъчната защита на личните данни, предоставяни в Швейцария

РЕШЕНИЕ НА КОМИСИЯТА от 26 юли 2000 година съгласно Директива 95/46/EО на Европейския парламент и Съвета относно адекватна защита на личните данни, предоставена в Унгария (уведомление с документ номер C(2000) 2305) (Текстът е валиден за Европейската икономическа зона) (2000/519/ЕО)

Предложи
корпоративна публикация
Резултати | Архив