ЗАКОН ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
В сила от 01.01.2002 г.
Обн. ДВ. бр. от 4 Януари 2002г.,
изм. ДВ. бр. от 10 Август 2004г.,
изм. ДВ. бр. от 19 Октомври 2004г.,
изм. ДВ. бр. от 20 Май 2005г.,
изм. ДВ. бр. от 23 Декември 2005г.,
изм. ДВ. бр. от 11 Април 2006г.,
изм. ДВ. бр. от 10 Ноември 2006г.,
изм. ДВ. бр. от 13 Юли 2007г.,
изм. ДВ. бр. от 5 Юни 2009г.,
изм. ДВ. бр. от 30 Ноември 2010г.,
изм. ДВ. бр. от 10 Декември 2010г.,
изм. ДВ. бр. от 20 Май 2011г.,
изм. ДВ. бр. от 18 Октомври 2011г.,
изм. ДВ. бр. от 29 Декември 2011г.,
изм. и доп. ДВ. бр. от 15 Февруари 2013г.
изм. ДВ. бр. от 10 Август 2004г.,
изм. ДВ. бр. от 19 Октомври 2004г.,
изм. ДВ. бр. от 20 Май 2005г.,
изм. ДВ. бр. от 23 Декември 2005г.,
изм. ДВ. бр. от 11 Април 2006г.,
изм. ДВ. бр. от 10 Ноември 2006г.,
изм. ДВ. бр. от 13 Юли 2007г.,
изм. ДВ. бр. от 5 Юни 2009г.,
изм. ДВ. бр. от 30 Ноември 2010г.,
изм. ДВ. бр. от 10 Декември 2010г.,
изм. ДВ. бр. от 20 Май 2011г.,
изм. ДВ. бр. от 18 Октомври 2011г.,
изм. ДВ. бр. от 29 Декември 2011г.,
изм. и доп. ДВ. бр. от 15 Февруари 2013г.
Глава първа.
ОБЩИ ПОЛОЖЕНИЯ
Чл. 1. (Изм. - ДВ, бр. 103 от 2005 г.) (1) Този закон урежда защитата на правата на физическите лица при обработването на личните им данни.
(2) Целта на закона е гарантиране на неприкосновеността на личността и личния живот чрез осигуряване на защита на физическите лица при неправомерно обработване на свързаните с тях лични данни в процеса на свободното движение на данните.
(3) (Нова - ДВ, бр. 91 от 2006 г.) Този закон се прилага за обработването на лични данни със:
1. автоматични средства;
2. неавтоматични средства, когато тези данни съставляват или са предназначени да съставляват част от регистър.
(4) (Предишна ал. 3, изм. - ДВ, бр. 91 от 2006 г.) Този закон се прилага за обработването на лични данни, когато администраторът на лични данни:
1. (изм. - ДВ, бр. 91 от 2006 г.) е установен на територията на Република България и обработва лични данни във връзка със своята дейност;
2. (изм. - ДВ, бр. 91 от 2006 г.) не е установен на територията на Република България, но е задължен да прилага този закон по силата на международното публично право;
3. (В сила от 01.01.2007 г., изм. - ДВ, бр. 91 от 2006 г.) не е установен на територията на държава - членка на Европейския съюз, както и в друга държава - членка на Европейското икономическо пространство, но за целите на обработването използва средства, разположени на българска територия, освен когато тези средства се използват само за транзитни цели; в този случай администраторът трябва да посочи представител, установен на територията на Република България, без това да го освобождава от отговорност.
(5) (Предишна ал. 4, изм. - ДВ, бр. 91 от 2006 г., изм. - ДВ, бр. 81 от 2011 г.) Доколкото в специален закон не е предвидено друго, този закон се прилага и за обработването на лични данни за целите на:
1. отбраната на страната;
2. националната сигурност;
3. опазването на обществения ред и противодействието на престъпността;
4. наказателното производство;
5. изпълнението на наказанията.
(6) (Нова - ДВ, бр. 81 от 2011 г.) Когато в рамките на полицейско или съдебно сътрудничество данни по ал. 5, т. 3, 4 и 5 са получени от или са предоставени на държава - членка на Европейския съюз, или органи или информационни системи, създадени въз основа на Договора за създаването на Европейския съюз или на Договора за функциониране на Европейския съюз, те се обработват при условията и по реда на този закон.
(7) (Нова - ДВ, бр. 81 от 2011 г.) Обработването на данните по ал. 5 се извършва под контрола на съответния държавен орган.
(8) (Предишна ал. 5 - ДВ, бр. 91 от 2006 г., предишна ал. 6 - ДВ, бр. 81 от 2011 г.) Условията и редът за обработването на единен граждански номер и на други идентификационни номера с общо приложение се уреждат в специални закони.
(9) (Предишна ал. 6 - ДВ, бр. 91 от 2006 г., доп. - ДВ, бр. 57 от 2007 г., в сила от 13.07.2007 г., предишна ал. 7 - ДВ, бр. 81 от 2011 г.) Този закон не се прилага за обработването на лични данни, извършвано от физически лица за техни лични или домашни дейности, както и за информацията, която се съхранява в Националния архивен фонд.
Чл. 2. (Доп. - ДВ, бр. 70 от 2004 г., в сила от 01.01.2005 г., изм. - ДВ, бр. 103 от 2005 г.) (1) (Изм. - ДВ, бр. 91 от 2006 г.) са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци.
(2) Личните данни трябва да:
1. се обработват законосъобразно и добросъвестно;
2. (доп. - ДВ, бр. 81 от 2011 г.) се събират за конкретни, точно определени и законни цели и да не се обработват допълнително по начин, несъвместим с тези цели; допълнително обработване на личните данни за исторически, статистически или научни цели е допустимо, при условие че администраторът осигури подходяща защита, като гарантира, че данните не се обработват за други цели с изключение на случаите, изрично предвидени в този закон;
3. (изм. - ДВ, бр. 91 от 2006 г.) бъдат съотносими, свързани със и ненадхвърлящи целите, за които се обработват;
4. бъдат точни и при необходимост да се актуализират;
5. се заличават или коригират, когато се установи, че са неточни или непропорционални по отношение на целите, за които се обработват;
6. се поддържат във вид, който позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които тези данни се обработват; личните данни, които ще се съхраняват за по-дълъг период за исторически, статистически или научни цели, се поддържат във вид, непозволяващ идентифицирането на физическите лица.
(3) (Нова - ДВ, бр. 81 от 2011 г.) Лични данни, получени по , могат да бъдат обработвани допълнително за друга цел, различна от целта, за която са събрани, когато са налице едновременно следните условия:
1. това обработване е съвместимо с целта, за която са били събрани данните;
2. съществува основание, предвидено в закон, за обработване на данните за тази друга цел;
3. обработването е в съответствие с изискванията на ал. 2.
(4) (Нова - ДВ, бр. 81 от 2011 г.) Администратор, получил данни по , уведомява физическото лице, за което се отнасят данните, за допълнителното обработване по ал. 3, освен в случаите по или когато в специален закон е предвидено друго.
Чл. 3. (1) (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г.) Администратор на лични данни, наричан по-нататък "администратор", е физическо или юридическо лице, както и орган на държавната власт или на местното самоуправление, който сам или съвместно с друго лице определя целите и средствата за обработване на личните данни.
(2) (Нова - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г.) Администратор е и физическо или юридическо лице, както и орган на държавната власт или на местното самоуправление, който обработва лични данни, видът на които, целите и средствата за обработване се определят със закон. В тези случаи администраторът или специфичните критерии за неговото определяне са нормативно уредени.
(3) (Предишна ал. 2 - ДВ, бр. 103 от 2005 г.) Администраторът на лични данни обработва личните данни самостоятелно или чрез възлагане на обработващ данните.
(4) (Нова - ДВ, бр. 103 от 2005 г.) Администраторът осигурява спазването на изискванията на .
Чл. 4. (Изм. - ДВ, бр. 103 от 2005 г.) (1) Обработването на лични данни е допустимо само в случаите, когато е налице поне едно от следните условия:
1. обработването е необходимо за изпълнение на нормативно установено задължение на администратора на лични данни;
2. физическото лице, за което се отнасят данните, е дало изрично своето съгласие;
3. (изм. - ДВ, бр. 91 от 2006 г.) обработването е необходимо за изпълнение на задължения по договор, по който физическото лице, за което се отнасят данните, е страна, както и за действия, предхождащи сключването на договор и предприети по негово искане;
4. обработването е необходимо, за да се защитят животът и здравето на физическото лице, за което се отнасят данните;
5. обработването е необходимо за изпълнението на задача, която се осъществява в обществен интерес;
6. обработването е необходимо за упражняване на правомощия, предоставени със закон на администратора или на трето лице, на което се разкриват данните;
7. обработването е необходимо за реализиране на законните интереси на администратора на лични данни или на трето лице, на което се разкриват данните, освен когато пред тези интереси преимущество имат интересите на физическото лице, за което се отнасят данните.
(2) Обработването на лични данни е допустимо и в случаите, когато то се извършва единствено за целите на журналистическата дейност, литературното или художественото изразяване, доколкото това обработване не нарушава правото на личен живот на лицето, за което се отнасят данните. В тези случаи разпоредбите на глава трета не се прилагат.
Чл. 5. (Изм. - ДВ, бр. 103 от 2005 г.) (1) Забранено е обработването на лични данни, които:
1. разкриват расов или етнически произход;
2. разкриват политически, религиозни или философски убеждения, членство в политически партии или организации, сдружения с религиозни, философски, политически или синдикални цели;
3. се отнасят до здравето, сексуалния живот или до човешкия геном.
(2) Алинея 1 не се прилага, когато:
1. обработването е необходимо за целите на изпълнението на специфични права и задължения на администратора в областта на трудовото законодателство;
2. (доп. - ДВ, бр. 91 от 2006 г.) физическото лице, за което се отнасят тези данни, е дало изрично своето съгласие за обработването им, освен ако в специален закон е предвидено друго;
3. обработването е необходимо за защита на живота и здравето на физическото лице, за което тези данни се отнасят, или на друго лице и състоянието на физическото лице не му позволява да даде съгласие или съществуват законни пречки за това;
4. обработването се извършва от организация с нестопанска цел, включително с политическа, философска, религиозна или синдикална цел, в хода на законосъобразната й дейност и с подходяща защита, при условие че:
а) обработването е свързано единствено с членовете на тази организация или с лица, които поддържат редовни контакти с нея във връзка с нейните цели;
б) данните не се разкриват на трети лица без съгласието на физическото лице, за което те се отнасят;
5. обработването се отнася до данни, публично оповестени от физическото лице, или то е необходимо за установяването, упражняването или защитата на права по съдебен ред;
6. обработването е необходимо за целите на превантивната медицина, медицинската диагностика, предоставянето или управлението на здравни услуги, при условие че данните се обработват от медицински специалист, задължен по закон да пази професионална тайна, или от друго лице, обвързано с подобно задължение за опазване на тайна;
7. обработването се извършва единствено за целите на журналистическата дейност, литературното или художественото изразяване, доколкото то не нарушава правото на личен живот на лицето, за което се отнасят тези данни.
Глава втора.
КОМИСИЯ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
Чл. 6. (1) Комисията за защита на личните данни, наричана по-нататък "комисията", е независим държавен орган, който осъществява защитата на лицата при обработването на техните лични данни и при осъществяването на достъпа до тези данни, както и контрола по спазването на този закон.
(2) (Нова - ДВ, бр. 94 от 2010 г.) Комисията съдейства за провеждането на държавната политика в областта на защита на личните данни.
(3) (Доп. - ДВ, бр. 91 от 2006 г., в сила от 01.01.2007 г., предишна ал. 2 - ДВ, бр. 94 от 2010 г., изм. - ДВ, бр. 15 от 2013 г., в сила от 01.01.2014 г.) Комисията е юридическо лице на бюджетна издръжка със седалище София и е първостепенен разпоредител с бюджет.
Чл. 7. (1) Комисията е колегиален орган и се състои от председател и 4 членове.
(2) (Изм. - ДВ, бр. 91 от 2006 г.) Членовете на комисията и председателят й се избират от Народното събрание по предложение на Министерския съвет за срок 5 години и могат да бъдат преизбирани за още един мандат.
(3) Председателят и членовете на комисията осъществяват своята дейност по трудово правоотношение.
(4) (Нова - ДВ, бр. 91 от 2006 г.) Членовете на комисията получават основно месечно възнаграждение, равно на 2,5 средномесечни работни заплати на наетите лица по трудово и служебно правоотношение в обществения сектор съобразно данни на Националния статистически институт. Основното месечно възнаграждение се преизчислява всяко тримесечие, като се взема предвид средномесечната работна заплата за последния месец от предходното тримесечие.
(5) (Нова - ДВ, бр. 91 от 2006 г.) Председателят на комисията получава месечно възнаграждение с 30 на сто по-високо от основното месечно възнаграждение по ал. 4.
(6) (Изм. - ДВ, бр. 103 от 2005 г., предишна ал. 4 - ДВ, бр. 91 от 2006 г.) Комисията до 31 януари всяка година представя годишен отчет за своята дейност пред Народното събрание.
Чл. 8. (1) За членове на комисията могат да бъдат избирани български граждани, които:
1. имат висше образование по информатика, по право или са магистри по информационни технологии;
2. имат трудов стаж по специалността си не по-малко от 10 години;
3. (доп. - ДВ, бр. 103 от 2005 г.) не са осъждани на лишаване от свобода за умишлени престъпления от общ характер, независимо дали са реабилитирани;
(2) Членове на комисията не могат:
1. (изм. - ДВ, бр. 103 от 2005 г.) да бъдат лица, които са еднолични търговци, управители/прокуристи или членове на управителни или на контролни органи на търговски дружества, кооперации или администратори на лични данни по смисъла на този закон;
2. да заемат друга платена длъжност, освен когато упражняват научна или преподавателска дейност;
3. (нова - ДВ, бр. 42 от 2009 г.) да бъдат лица, които са съпрузи или се намират във фактическо съжителство, роднини по права линия, по съребрена линия - до четвърта степен включително, или по сватовство - до втора степен включително, с друг член на комисията.
(3) За председател на комисията се избира правоспособен юрист, който отговаря на изискванията по ал. 1 и 2.
(4) Мандатът на председателя или член на комисията се прекратява предсрочно:
1. при смърт или поставяне под запрещение;
2. по решение на Народното събрание, когато:
а) е подал молба за освобождаване;
б) е извършил грубо нарушение на този закон;
в) е извършил умишлено престъпление от общ характер, за което има влязла в сила присъда;
г) е налице невъзможност да изпълнява задълженията си за срок по-дълъг от шест месеца;
д) (нова - ДВ, бр. 42 от 2009 г., изм. - ДВ, бр. 97 от 2010 г., в сила от 10.12.2010 г.) е налице влязъл в сила акт, с който е установен конфликт на интереси по .
(5) (Изм. и доп. - ДВ, бр. 103 от 2005 г.) В случаите по ал. 4 Министерският съвет предлага на Народното събрание да избере нов член за срок до края на първоначалния мандат на съответния член на комисията.
(6) Времето, през което лицето е работило като председател или член на комисията, се признава и за служебен стаж по
Чл. 9. (1) Комисията е постоянно действащ орган, който се подпомага от администрация.
(2) Комисията урежда в правилник своята дейност и дейността на администрацията си и го обнародва в "Държавен вестник".
(3) Решенията на комисията се вземат с мнозинство от общия брой на членовете й.
(4) Заседанията на комисията са открити. Комисията може да реши отделни заседания да бъдат закрити.
Чл. 10. (1) Комисията:
1. анализира и осъществява цялостен контрол за спазването на нормативните актове в областта на защитата на лични данни;
2. (доп. - ДВ, бр. 103 от 2005 г.) води регистър на администраторите на лични данни и на водените от тях регистри на лични данни;
3. извършва проверки на администраторите на лични данни във връзка с дейността си по т. 1;
4. изразява становища и дава разрешения в предвидените в този закон случаи;
5. издава задължителни предписания до администраторите във връзка със защитата на личните данни;
6. след предварително уведомяване налага временна забрана за обработването на лични данни, с които се нарушават нормите за защита на личните данни;
7. (изм. - ДВ, бр. 103 от 2005 г.) разглежда жалби срещу актове и действия на администраторите, с които се нарушават правата на физическите лица по този закон, както и жалби на трети лица във връзка с правата им по този закон;
8. (изм. - ДВ, бр. 103 от 2005 г.) участва в подготовката и задължително дава становища по проекти на закони и подзаконови нормативни актове в областта на защитата на личните данни;
9. (нова - ДВ, бр. 81 от 2011 г.) издава подзаконови нормативни актове в областта на защита на личните данни;
10. (нова - ДВ, бр. 103 от 2005 г., в сила от 01.01.2007 г., предишна т. 9 - ДВ, бр. 81 от 2011 г.) осигурява прилагането на решенията на Европейската комисия в областта на защитата на личните данни;
11. (нова - ДВ, бр. 94 от 2010 г., предишна т. 10 - ДВ, бр. 81 от 2011 г.) участва в дейностите, осъществявани от международните организации по въпросите в областта на защита на личните данни;
12. (нова - ДВ, бр. 94 от 2010 г., предишна т. 11 - ДВ, бр. 81 от 2011 г.) участва в преговорите и сключването на двустранни или многостранни споразумения по въпроси от своята компетентност;
13. (нова - ДВ, бр. 94 от 2010 г., предишна т. 12 - ДВ, бр. 81 от 2011 г.) организира и координира обучението в областта на защитата на личните данни на администраторите на лични данни;
14. (нова - ДВ, бр. 105 от 2011 г., в сила от 29.12.2011 г.) издава общи и нормативни административни актове, свързани с правомощията й, в случаите, предвидени в закон.
(2) (Изм. - ДВ, бр. 103 от 2005 г.) Редът за водене на регистъра по ал. 1, т. 2, за уведомяване на комисията, за даване на разрешения и изразяване на становища, за разглеждане на жалбите, както и за издаване на задължителните предписания и налагането на временни забрани за обработване на лични данни, се определя в правилника по .
(3) (Доп. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г.) Комисията издава бюлетин, в който публикува информация за своята дейност и за взетите решения. В бюлетина се публикува и отчетът по .
(4) (Нова - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г.) Комисията съгласува по браншове и области на дейност етичните кодекси за поведение на администраторите на лични данни по и при установяване на несъответствие с нормативната уредба дава задължителни предписания.
Чл. 11. Председателят на комисията:
1. организира и ръководи дейността на комисията съобразно закона и решенията на комисията и отговаря за изпълнението на задълженията й;
2. представлява комисията пред трети лица;
3. (доп. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 81 от 2011 г.) назначава и освобождава държавните служители и сключва и прекратява трудовите договори на служителите по трудови правоотношения от администрацията.
4. (нова - ДВ, бр. 103 от 2005 г.) издава наказателни постановления по .
Чл. 12. (Изм. - ДВ, бр. 91 от 2006 г.) (1) Председателят и членовете на комисията или упълномощени от нея лица от администрацията й осъществяват контрол чрез предварителни, текущи и последващи проверки за спазване на този закон.
(2) Предварителна проверка се извършва в случаите по .
(3) Текущи проверки се извършват по молба на заинтересовани лица, както и по инициатива на комисията въз основа на приет от нея месечен план за контролна дейност.
(4) Последващи проверки се извършват за изпълнение на решение или на задължително предписание на комисията, както и по нейна инициатива след подаден сигнал.
(5) Проверяващите лица се легитимират със служебна карта и заповед на председателя на комисията за съответната проверка.
(6) При извършване на проверки лицата по ал. 1 могат да възлагат изготвяне на експертизи по реда на .
(7) Проверката завършва с констативен акт.
(8) В случаите, когато с акта по ал. 7 е установено нарушение, констативният акт е акт за установяване на административно нарушение по смисъла на .
(9) Условията и редът за осъществяване на контрол се определят с инструкция на комисията.
Чл. 13. (Изм. - ДВ, бр. 103 от 2005 г.) (1) Председателят и членовете на комисията и служителите от нейната администрация са длъжни да не разгласяват и да не се възползват за свое или чуждо облагодетелстване от информацията, представляваща защитена от закон тайна, която им е станала известна при осъществяване на тяхната дейност, до изтичане на срока за защитата й.
(2) При постъпване на работа лицата по ал. 1 подават декларация за задълженията си по ал. 1.
Чл. 14. (Изм. - ДВ, бр. 103 от 2005 г.) (1) В регистъра по се вписват данните по .
(2) Вписването в регистъра по се удостоверява с идентификационен номер.
(3) Регистърът по ал. 1 е публичен.
Чл. 15. (Отм. - ДВ, бр. 103 от 2005 г.)
Чл. 16. (Изм. - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 91 от 2006 г.)
Глава трета.
ЗАДЪЛЖЕНИЯ НА АДМИНИСТРАТОРА НА ЛИЧНИ ДАННИ (ЗАГЛ. ИЗМ. - ДВ, БР. 103 ОТ 2005 Г.)
Чл. 17. (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г.) (1) Администраторът на лични данни е длъжен да подаде заявление за регистрация преди започване обработването на лични данни.
(2) В 14-дневен срок от подаване на заявлението комисията вписва администратора на лични данни в регистъра по .
(3) Администраторът може да започне обработване на данните след подаване на заявлението за регистрация.
(4) (Нова - ДВ, бр. 81 от 2011 г.) Преди преустановяване на обработването на лични данни администраторът подава заявление за заличаването му от регистъра по .
(5) (Нова - ДВ, бр. 81 от 2011 г.) Със заявлението по ал. 4 администраторът е длъжен да предостави на комисията доказателства за изпълнение на задълженията си по .
(6) (Нова - ДВ, бр. 81 от 2011 г.) Условията и редът за заличаването на администратора от регистъра по се уреждат с правилника по .
Чл. 17а. (Нов - ДВ, бр. 91 от 2006 г.) (1) Не се подава заявление за регистрация, когато администраторът:
1. поддържа регистър, който по силата на нормативен акт е предназначен да осигури обществена информация и:
а) достъпът до него е свободен, или
б) достъп до него има лице, което има правен интерес;
2. обработва данни в случаите по .
(2) Комисията може да освободи от задължение за регистрация и администратори, които обработват данни извън тези по ал. 1, когато обработването не застрашава правата и законните интереси на физическите лица, чиито данни се обработват.
(3) Условията и редът за освобождаване по ал. 2 се уреждат с правилника по , като комисията определя критериите в съответствие със:
1. целите на обработване на личните данни;
2. личните данни или категориите лични данни, подлежащи на обработване;
3. категориите физически лица, чиито данни се обработват;
4. получателите или категориите получатели, пред които личните данни могат да бъдат разкрити;
5. срока на съхраняване на данните.
Чл. 17б. (Нов - ДВ, бр. 91 от 2006 г.) (1) Когато администраторът е заявил обработване на данни по или на данни, чието обработване съгласно решение на комисията застрашава правата и законните интереси на физическите лица, комисията задължително извършва предварителна проверка преди вписване в регистъра по .
(2) Предварителната проверка се извършва в двумесечен срок от подаване на заявление за регистрация по .
(3) След приключване на предварителната проверка комисията:
1. вписва администратора на лични данни в регистъра;
2. дава задължителни предписания относно условията за обработване на лични данни и воденето на регистър на лични данни;
3. отказва вписването.
(4) Администраторът не може да започне обработване на данните, преди да е вписан в регистъра по или преди да изпълни задължителните предписания на комисията.
(5) Непроизнасянето в срока по ал. 2 се смята за мълчалив отказ за вписване на администратора в регистъра.
(6) Диспозитивът на решението по ал. 1 се обнародва в "Държавен вестник".
Чл. 18. (Изм. - ДВ, бр. 103 от 2005 г.) (1) (Изм. - ДВ, бр. 91 от 2006 г.) Администраторът или негов представител подава заявление по и документи по образец, утвърден от комисията.
(2) Заявлението съдържа:
1. данните, идентифициращи администратора на лични данни и неговия представител, ако има такъв;
2. целите на обработване на личните данни;
3. категориите физически лица, чиито данни се обработват, и категориите лични данни, отнасящи се до тях;
4. получателите или категориите получатели, на които личните данни могат да бъдат разкрити;
5. предлаганото предоставяне на данни в други държави;
6. общото описание на мерките, предприети съгласно , позволяващо изготвянето на предварителна оценка на тяхната целесъобразност.
(3) Администраторът уведомява комисията за всяка промяна на данните по ал. 2 преди нейното извършване. В случаите, когато такава промяна е предвидена в закон, уведомяването се извършва в 7-дневен срок от влизането в сила на съответния закон.
(4) В случаите, когато администраторът не е вписан в регистъра по , той е длъжен да предостави данните по ал. 2 на всяко лице при поискване.
(5) (Нова - ДВ, бр. 81 от 2011 г.) Администраторът подава заявлението по на хартиен носител или по електронен път. В случаите, когато заявлението се подава по електронен път, се прилага .
Чл. 19. (Доп. - ДВ, бр. 93 от 2004 г., изм. - ДВ, бр. 103 от 2005 г.) (1) (Изм. - ДВ, бр. 91 от 2006 г.) В случаите, когато личните данни се събират от лицето, за което се отнасят, администраторът или негов представител му предоставя:
1. данните, които идентифицират администратора и неговия представител;
2. целите на обработването на личните данни;
3. получателите или категориите получатели, на които могат да бъдат разкрити данните;
4. данните за задължителния или доброволния характер на предоставяне на данните и последиците от отказ за предоставянето им;
5. информация за правото на достъп и правото на коригиране на събраните данни.
(2) Данните по ал. 1 не се предоставят, когато физическото лице, за което се отнасят, вече разполага с тях или в закон съществува изрична забрана за предоставянето им.
Чл. 20. (Изм. - ДВ, бр. 103 от 2005 г.) (1) (Изм. - ДВ, бр. 91 от 2006 г.) Когато личните данни не са получени от физическото лице, за което те се отнасят, администраторът или негов представител му предоставя:
1. данните, които идентифицират администратора и неговия представител;
2. целите на обработването на личните данни;
3. категориите лични данни, отнасящи се до съответното физическо лице;
4. получателите или категориите получатели, на които могат да бъдат разкрити данните;
5. информация за правото на достъп и правото на коригиране на събраните данни.
(2) Данните по ал. 1 се предоставят на лицето, за което се отнасят, към момента на вписването им в съответния регистър или, ако се предвижда разкриване на данните на трето лице - не по-късно от момента на разкриването им за пръв път.
(3) Алинея 1 не се прилага, когато:
1. обработването е за статистически, исторически или научни цели и предоставянето на данните по ал. 1 е невъзможно или изисква прекомерни усилия;
2. вписването или разкриването на данни са изрично предвидени в закон;
3. физическото лице, за което се отнасят данните, вече разполага с информацията по ал. 1;
4. е налице изрична забрана за това в закон.
Чл. 21. (Изм. - ДВ, бр. 103 от 2005 г.) (1) (Изм. - ДВ, бр. 91 от 2006 г.) Информацията по , , както и всяка друга информация, свързана с обработването на данните, се предоставя след извършване на преценка за необходимостта от предоставянето с цел гарантиране на справедливо обработване на данните по отношение на физическото лице, за което се отнасят.
(2) Преценката по ал. 1 се извършва от администратора за всеки конкретен случай.
Чл. 22. (Изм. - ДВ, бр. 103 от 2005 г.) (1) Администраторът на лични данни е длъжен да осигури достъп на лицата по до водените от него регистри и да не препятства контрола върху процеса по обработване на лични данни.
(2) Администраторът на лични данни е длъжен да предостави на лицата по исканата информация в устен или писмен вид, или на други информационни носители.
(3) (Нова - ДВ, бр. 91 от 2006 г.) Наличието на търговска, производствена или друга защитена от закона тайна не може да бъде основание за отказ от съдействие от страна на администратора.
(4) (Предишна ал. 3 - ДВ, бр. 91 от 2006 г.) Когато информацията съдържа данни, представляващи класифицирана информация, се прилага редът за достъп по .
(5) (Предишна ал. 4 - ДВ, бр. 91 от 2006 г.) Всички лица, които обработват лични данни, са длъжни да оказват съдействие на комисията при упражняване на правомощията й.
Чл. 22а. (Нов - ДВ, бр. 91 от 2006 г.) (1) Администраторите по браншове и области на дейност могат да изготвят етични кодекси за поведение, отчитайки специфичните особености на своята дейност и правилата на морала и добрите нрави.
(2) Етичните кодекси могат да се представят на комисията за съгласуване преди приемането им от администраторите.
Глава трета.
АДМИНИСТРАТОР НА ЛИЧНИ ДАННИ
Глава четвърта.
ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
Чл. 23. (Изм. - ДВ, бр. 103 от 2005 г.) (1) (Доп. - ДВ, бр. 81 от 2011 г.) Администраторът на лични данни предприема необходимите технически и организационни мерки, за да защити данните от случайно или незаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване. Администраторът на лични данни определя срокове за провеждане на периодични прегледи относно необходимостта от обработване на данните, както и за заличаване на личните данни.
(2) Администраторът взема специални мерки за защита, когато обработването включва предаване на данните по електронен път.
(3) Мерките по ал. 1 и 2 са съобразени със съвременните технологични постижения и осигуряват ниво на защита, което съответства на рисковете, свързани с обработването, и на естеството на данните, които трябва да бъдат защитени.
(4) (Доп. - ДВ, бр. 81 от 2011 г.) Мерките и сроковете по ал. 1 и 2 се определят с инструкция на администратора на лични данни.
(5) Комисията определя с наредба минималното ниво на технически и организационни мерки, както и допустимия вид защита. Наредбата се обнародва в "Държавен вестник".
Чл. 23а. (Нов - ДВ, бр. 81 от 2011 г.) (1) При обработване на лични данни, получени по , администраторът блокира съхраняваните данни, за да ограничи тяхното обработване в бъдеще, вместо да ги заличава, ако са налице достатъчно основания да се смята, че заличаването би могло да засегне законните интереси на физическото лице, за което се отнасят данните.
(2) Блокираните данни се обработват само за целта, която е препятствала заличаването им.
Чл. 23б. (Нов - ДВ, бр. 81 от 2011 г.) (1) Когато са получени данни по , без да са поискани от администратора, той незабавно проверява дали тези данни са необходими за целта, за която са предоставени.
(2) Когато администраторът, предоставящ данни по , установи, че те са неточни или са били предоставени незаконосъобразно, той незабавно уведомява получателя на данните за това.
(3) Администратор, получил данни по , които са неточни или са получени незаконосъобразно, и е уведомен за това от предоставящия данните, е длъжен незабавно да предприеме действия за тяхното коригиране, заличаване или блокиране.
(4) Когато лицето, за което се отнасят данните по , оспори точността на данните и не може да бъде проверена тяхната точност, администраторът може да ги отбележи като оспорени, като това не ограничава тяхното обработване в бъдеще.
Чл. 24. (1) (Изм. - ДВ, бр. 103 от 2005 г.) Администраторът може да обработва данните сам или чрез възлагане на обработващ данните. Когато е необходимо по организационни причини, обработването може да се възложи на повече от един обработващ данните, включително с цел разграничаване на конкретните им задължения.
(2) В случаите, когато обработването на данните не се извършва от администратора, той е длъжен да определи обработващ данните и да осигури достатъчни гаранции за тяхната защита.
(3) (Отм. - ДВ, бр. 103 от 2005 г.)
(4) (Изм. - ДВ, бр. 103 от 2005 г.) Отношенията между администратора и обработващия лични данни се уреждат с нормативен акт, писмен договор или с друг акт на администратора, в който се определя обемът на задълженията, възложени от администратора на обработващия данните.
(5) (Изм. - ДВ, бр. 103 от 2005 г.) За вреди, причинени на трети лица от действия или бездействия на обработващия данни, администраторът отговаря солидарно с него.
(6) (Изм. - ДВ, бр. 103 от 2005 г.) Обработващият лични данни, както и всяко лице, действащо под ръководството на администратора или на обработващия, което има достъп до лични данни, може да ги обработва само по указание на администратора, освен ако в закон е предвидено друго.
Чл. 25. (1) (Изм. - ДВ, бр. 103 от 2005 г., доп. - ДВ, бр. 81 от 2011 г.) След постигане целта на обработване на личните данни или преди преустановяване на обработването на личните данни администраторът е длъжен да ги:
1. унищожи, или
2. прехвърли на друг администратор, като предварително уведоми за това комисията, ако прехвърлянето е предвидено в закон и е налице идентичност на целите на обработването.
(2) (Доп. - ДВ, бр. 93 от 2004 г., изм. - ДВ, бр. 103 от 2005 г.) След постигане целта на обработване на личните данни администраторът ги съхранява само в предвидените в закон случаи.
(3) (Изм. - ДВ, бр. 103 от 2005 г.) В случаите, когато след постигане целта на обработване администраторът иска да съхрани обработените лични данни като анонимни данни за исторически, научни или статистически цели, той уведомява за това комисията.
(4) Комисията за защита на личните данни може да забрани съхраняването за целите по ал. 3, ако администраторът не е осигурил достатъчната защита на обработените данни като анонимни данни.
(5) (Изм. - ДВ, бр. 39 от 2011 г.) Решението на комисията по ал. 4 подлежи на обжалване пред съответния административен съд. Решението на административния съд не подлежи на обжалване. В случаите на отхвърляне на жалбата срещу решението на комисията администраторът на лични данни е длъжен да ги унищожи.
Глава пета.
ПРАВА НА ФИЗИЧЕСКИТЕ ЛИЦА (ЗАГЛ. ИЗМ. - ДВ, БР. 103 ОТ 2005 Г.)
Чл. 26. (1) Всяко физическо лице има право на достъп до отнасящи се за него лични данни.
(2) (Изм. - ДВ, бр. 103 от 2005 г.) В случаите, когато при осъществяване правото на достъп на физическото лице могат да се разкрият лични данни и за трето лице, администраторът е длъжен да предостави на съответното физическо лице достъп до частта от тях, отнасяща се само за него.
Чл. 27. (Изм. - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 91 от 2006 г.)
Чл. 28. (Изм. - ДВ, бр. 103 от 2005 г.) (1) При упражняване на правото си на достъп физическото лице има право по всяко време да поиска от администратора на лични данни:
1. потвърждение за това, дали отнасящи се до него данни се обработват, информация за целите на това обработване, за категориите данни и за получателите или категориите получатели, на които данните се разкриват;
2. съобщение до него в разбираема форма, съдържащо личните му данни, които се обработват, както и всяка налична информация за техния източник;
3. информация за логиката на всяко автоматизирано обработване на лични данни, отнасящи се до него, поне в случаите на автоматизирани решения по .
(2) (Изм. - ДВ, бр. 94 от 2010 г.) Администраторът на лични данни предоставя информацията по ал. 1 безплатно.
(3) При смърт на физическото лице правата му по ал. 1 и 2 се упражняват от неговите наследници.
Чл. 28а. (Нов - ДВ, бр. 103 от 2005 г.) Физическото лице има право по всяко време да поиска от администратора да:
1. заличи, коригира или блокира негови лични данни, обработването на които не отговаря на изискванията на този закон;
2. уведоми третите лица, на които са били разкрити личните му данни, за всяко заличаване, коригиране или блокиране, извършено в съответствие с т. 1, с изключение на случаите, когато това е невъзможно или е свързано с прекомерни усилия.
Чл. 29. (1) (Изм. - ДВ, бр. 103 от 2005 г.) Правото на достъп по и правата по се осъществяват с писмено заявление до администратора на лични данни.
(2) (Изм. - ДВ, бр. 103 от 2005 г.) Заявление може да бъде отправено и по електронен път по реда на .
(3) (Изм. - ДВ, бр. 103 от 2005 г.) Заявлението по ал. 1 се отправя лично от физическото лице или от изрично упълномощено от него лице чрез нотариално заверено пълномощно.
(4) (Отм. - ДВ, бр. 103 от 2005 г.)
Чл. 30. (Изм. - ДВ, бр. 103 от 2005 г.) (1) Заявлението по съдържа:
1. име, адрес и други данни за идентифициране на съответното физическо лице;
2. описание на искането;
3. предпочитана форма за предоставяне на информацията по ;
4. подпис, дата на подаване на заявлението и адрес за кореспонденция.
(2) При подаване на заявление от упълномощено лице към заявлението се прилага и нотариално завереното пълномощно.
(3) Заявленията по се завеждат в регистър от администратора.
Чл. 31. (1) (Изм. - ДВ, бр. 103 от 2005 г.) Информацията по може да бъде предоставена под формата на устна или писмена справка или на преглед на данните от съответното физическо лице или от изрично упълномощено от него друго лице.
(2) Физическото лице може да поиска копие от обработваните лични данни на предпочитан носител или предоставяне по електронен път, освен в случаите, когато това е забранено от закон.
(3) (Изм. - ДВ, бр. 103 от 2005 г.) Администраторът на лични данни е длъжен да се съобрази с предпочитаната от заявителя форма на предоставяне на информацията по .
Чл. 32. (Изм. - ДВ, бр. 103 от 2005 г.) (1) В случаите по администраторът на лични данни или изрично оправомощено от него лице разглежда заявлението по и се произнася в 14-дневен срок от неговото подаване.
(2) Срокът по ал. 1 може да бъде удължен от администратора до 30 дни в случаите по , когато обективно се изисква по-дълъг срок за събирането на всички искани данни и това сериозно затруднява дейността на администратора.
(3) В 14-дневен срок администраторът взема решение за предоставянето на пълна или частична информация по на заявителя или мотивирано отказва предоставянето й.
(4) В случаите по администраторът взема решение и извършва съответното действие в 14-дневен срок от подаване на заявлението по или мотивирано отказва извършването му.
(5) В случаите по администраторът на лични данни взема решение в 14-дневен срок и незабавно уведомява третите лица или мотивирано отказва да извърши уведомяването.
Чл. 33. (1) (Изм. - ДВ, бр. 103 от 2005 г.) Администраторът на лични данни писмено уведомява заявителя за решението или отказа си по в съответния срок.
(2) Уведомяването по ал. 1 е лично срещу подпис или по пощата с обратна разписка.
(3) (Нова - ДВ, бр. 103 от 2005 г.) Липсата на уведомление по ал. 1 се смята за отказ.
Чл. 34. (1) (Изм. - ДВ, бр. 103 от 2005 г.) Администраторът отказва достъп до лични данни, когато те не съществуват или предоставянето им е забранено със закон.
(2) (Отм. - ДВ, бр. 103 от 2005 г.)
(3) (Нова - ДВ, бр. 93 от 2004 г., изм. - ДВ, бр. 103 от 2005 г., изм. и доп. - ДВ, бр. 91 от 2006 г.) Администраторът отказва пълно или частично предоставяне на данни на лицето, за което те се отнасят, когато от това би възникнала опасност за отбраната или националната сигурност или за защитата на класифицираната информация и това е предвидено в специален закон.
(4) (Нова - ДВ, бр. 81 от 2011 г.) Администраторът отказва пълно или частично предоставяне на данни, получени по , на лицето, за което те се отнасят, в случаите, когато:
1. това би попречило на предотвратяването или разкриването на престъпления, на провеждането на наказателно производство или на изпълнението на наказания;
2. това е необходимо за защита на:
а) националната сигурност;
б) обществения ред;
в) лицето, за което се отнасят данните.
(5) (Нова - ДВ, бр. 81 от 2011 г.) Администраторът, който е получил данни по , не информира лицето, за което се отнасят данните, ако това е указано изрично от предоставящия данните.
Чл. 34а. (Нов - ДВ, бр. 103 от 2005 г.) (1) Физическото лице, за което се отнасят данните, има право да:
1. възрази пред администратора срещу обработването на личните му данни при наличие на законово основание за това; когато възражението е основателно, личните данни на съответното физическо лице не могат повече да бъдат обработвани;
2. възрази срещу обработването на личните му данни за целите на директния маркетинг;
3. бъде уведомено, преди личните му данни да бъдат разкрити за пръв път на трети лица или използвани от тяхно име за целите по т. 2, като му бъде предоставена възможност да възрази срещу такова разкриване или използване.
(2) Администраторът уведомява физическото лице за правата му по ал. 1, т. 2 и 3.
Чл. 34б. (Нов - ДВ, бр. 103 от 2005 г.) (1) Решението на администратора е недопустимо, когато:
1. има правни или други съществени последици за физическото лице, и
2. е основано единствено на автоматизирано обработване на лични данни, предназначено да оценява лични характеристики на физическото лице.
(2) Алинея 1 не се прилага, когато решението е:
1. взето по време на сключването или изпълнението на договор, при условие че подадената от съответното физическо лице молба за сключване или изпълнение на договора е била удовлетворена или че съществуват подходящи мерки, гарантиращи законните му интереси;
2. уредено в закон, предвиждащ и мерки за защита на законните интереси на лицето.
(3) Физическото лице има право да поиска от администратора да преразгледа решението, прието в нарушение на ал. 1.
Глава пета.
ДОСТЪП ДО ЛИЧНИ ДАННИ
Глава шеста.
ПРЕДОСТАВЯНЕ НА ЛИЧНИ ДАННИ НА ТРЕТИ ЛИЦА
Чл. 35. (Изм. - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 91 от 2006 г.)
Чл. 36. (Изм. - ДВ, бр. 103 от 2005 г., в сила до 01.01.2007 г.) (1) Предоставянето на лични данни от администратора на чуждестранни физически и юридически лица или на чужди държавни органи се допуска с разрешение на Комисията за защита на личните данни, ако нормативните актове на страната получател гарантират по-добра или еднаква с предвидената в този закон защита на данните.
(2) При прехвърлянето на лични данни в случаите по ал. 1 се спазват изискванията на този закон.
Чл. 36а. (Нов - ДВ, бр. 103 от 2005 г., в сила от 01.01.2007 г.) (1) Предоставянето на лични данни в държава - членка на Европейския съюз, както и в друга държава - членка на Европейското икономическо пространство, се извършва свободно при спазване на изискванията на този закон.
(2) Предоставяне на лични данни в трета държава се допуска само ако тя осигурява адекватно ниво на защита на личните данни на своя територия.
(3) Преценката на адекватността на нивото на защита на личните данни в трета държава се извършва от Комисията за защита на личните данни, като се вземат предвид всички обстоятелства, свързани с действието или съвкупността от действията по предоставянето на данните, включително характера на данните, целта и продължителността на обработването им, правната им уредба и мерките за сигурност, осигурени в третата държава.
(4) (Нова - ДВ, бр. 81 от 2011 г.) Комисията за защита на личните данни преценява адекватността на нивото на защита съгласно ал. 3 и при предоставяне на лични данни по на трета държава или на международна организация.
(5) (Изм. - ДВ, бр. 91 от 2006 г., предишна ал. 4 - ДВ, бр. 81 от 2011 г.) Комисията за защита на личните данни не извършва преценка по ал. 3 в случаите, когато е необходимо изпълнение на решение на Европейската комисия, с което тя се е произнесла, че:
1. третата държава, в която се предоставят лични данни, осигурява адекватно ниво на защита;
2. определени стандартни договорни клаузи осигуряват адекватно ниво на защита.
(6) (Изм. - ДВ, бр. 91 от 2006 г., предишна ал. 5, изм. - ДВ, бр. 81 от 2011 г.) В случаите по ал. 5, т. 2 администраторът използва стандартните договорни клаузи при предоставяне на данни в трета държава.
(7) (Предишна ал. 6, изм. - ДВ, бр. 81 от 2011 г.) Извън случаите по ал. 2 и 5, администраторът може да предоставя лични данни в трета държава, ако:
1. лицето, за което се отнасят данните, е дало изрично съгласие за това;
2. (изм. - ДВ, бр. 91 от 2006 г.) предоставянето е необходимо за изпълнението на задължения по договор между физическото лице и администратора, както и за действията, предхождащи сключването на договор и предприети по искане на физическото лице;
3. (изм. - ДВ, бр. 91 от 2006 г.) предоставянето е необходимо за сключването и изпълнението на задължения по договор, сключен в интерес на физическото лице между администратора и друг субект;
4. предоставянето е необходимо или се изисква от закона поради значим обществен интерес или за установяването, упражняването или защитата на права по съдебен ред;
5. предоставянето е необходимо, за да се защитят животът и здравето на лицето, за което се отнасят данните;
6. (изм. - ДВ, бр. 91 от 2006 г.) източник на данните е публичен регистър, достъпът до който се осъществява при условия и по ред, предвидени в закон.
(8) (Предишна ал. 7 - ДВ, бр. 81 от 2011 г.) Предоставянето на лични данни в трети държави е допустимо във всички случаи, когато то се извършва единствено за целите на журналистическата дейност, литературното или художественото изразяване, доколкото това обработване не нарушава правото на личен живот на лицето, за което се отнасят данните.
Чл. 36б. (Нов - ДВ, бр. 103 от 2005 г., в сила от 01.01.2007 г.) (1) Извън случаите по , предоставянето на лични данни в трета държава се извършва след разрешение на Комисията за защита на личните данни, при условие че администраторът, предоставящ данните, и администраторът, който ги получава, представят достатъчно гаранции за защитата им.
(2) (Доп. - ДВ, бр. 91 от 2006 г.) Комисията уведомява Европейската комисия и компетентните органи на другите държави членки за разрешенията, предоставени по ал. 1, както и за отказите за предоставяне на такива разрешения.
Чл. 36в. (Нов - ДВ, бр. 81 от 2011 г.) Администраторът води регистри на данните, предоставени и получени по
Чл. 36г. (Нов - ДВ, бр. 81 от 2011 г.) В съответствие с данни, получени по , могат да бъдат обработвани допълнително за цели, различни от целите, за които първоначално са били предоставени тези данни, ако целите са във връзка със:
1. предотвратяване или разкриване на престъпления, провеждане на наказателно производство или изпълнение на наказания;
2. предотвратяване на непосредствена и сериозна заплаха за обществения ред;
3. друга цел само ако за това има предварително съгласие на предоставящия данните или на лицето, за което те се отнасят.
Чл. 36д. (Нов - ДВ, бр. 81 от 2011 г.) (1) В случаите, когато специален закон въвежда ограничения за предоставящия данни по , свързани с обработването на данните, получателят задължително се уведомява за това от предоставящия данните.
(2) Когато администратор, получил данни по , бъде уведомен от предоставящия данните за наличието на ограничения съгласно националното му законодателство, свързани с тяхното обработване, той задължително се съобразява с тези ограничения.
(3) При предоставяне на данни по администраторът, предоставящ данните, може да посочи изрични срокове за запазване на данните или за провеждане на преглед дали те все още са необходими.
(4) Администратор, получил данни по , е длъжен да заличи или блокира данните или да проведе преглед дали те все още са необходими след изтичане на сроковете, определени от предоставящия данните.
(5) Алинея 4 не се прилага, когато към момента на изтичане на сроковете за съхранение данните са необходими за неприключило наказателно производство или изпълнение на наказание.
Чл. 36е. (Нов - ДВ, бр. 81 от 2011 г.) (1) Администратор, получил данни по , може да ги предава на компетентен орган в трета държава или на международна организация само когато са налице едновременно следните условия:
1. това е необходимо за предотвратяването или разкриването на престъпления, провеждането на наказателно производство или изпълнението на наказания;
2. получателят е компетентен да осъществява дейности по т. 1;
3. съответната държава - членка на Европейския съюз, от която са получени данните, е дала съгласие за тяхното предоставяне в съответствие с националното си законодателство;
4. получателят осигурява адекватно ниво на защита за планираното обработване на данни.
(2) Съгласието по ал. 1, т. 3 не е необходимо, когато предоставянето на данните е от съществено значение за предотвратяването на непосредствена и сериозна заплаха за обществения ред на държава - членка на Европейския съюз, или на трета държава, и предварителното съгласие не може да бъде получено своевременно. В този случай предоставящият данните се уведомява незабавно.
Чл. 36ж. (Нов - ДВ, бр. 81 от 2011 г.) Комисията за защита на личните данни не извършва преценка на адекватността на нивото на защита по , когато е налице поне едно от следните условия:
1. националното законодателство на предоставящия данните допуска такова предоставяне за защита на законни интереси на лицето, за което се отнасят данните, или за защита на особено важен обществен интерес;
2. получателят на данните предоставя достатъчно гаранции за защита.
Чл. 36з. (Нов - ДВ, бр. 81 от 2011 г.) (1) Администратор, получил данни по , може да ги предостави на трето физическо или юридическо лице само в случай че:
1. предоставящият данните е дал съгласие за предоставянето им;
2. предоставянето на данните няма да засегне законни права на лицето, за което те се отнасят;
3. предоставянето е от съществено значение за:
а) изпълнение на законоустановено задължение на предоставящия данните;
б) предотвратяване или разкриване на престъпления, провеждане на наказателно производство или изпълнение на наказания;
в) предотвратяване на непосредствена и сериозна заплаха за обществения ред;
г) предотвратяване на сериозно нарушение на конституционни права на физически лица.
(2) При предоставянето на данни по ал. 1 третото физическо или юридическо лице се уведомява от предоставящия данните за целите, за които могат да бъдат обработвани данните, като тези данни могат да бъдат обработвани само за тези цели.
Чл. 36и. (Нов - ДВ, бр. 81 от 2011 г.) При поискване от администратора, предоставящ данните, администраторът, получил данни по , незабавно писмено го информира за тяхното обработване.
Чл. 37. (Отм. - ДВ, бр. 103 от 2005 г.)
Глава седма.
ОБЖАЛВАНЕ НА ДЕЙСТВИЯ НА АДМИНИСТРАТОРА НА ЛИЧНИ ДАННИ
Чл. 38. (1) (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г.) При нарушаване на правата му по този закон всяко физическо лице има право да сезира Комисията за защита на личните данни в едногодишен срок от узнаване на нарушението, но не по-късно от пет години от извършването му.
(2) (Изм. - ДВ, бр. 103 от 2005 г.) Комисията се произнася в 30-дневен срок от сезирането с решение, като може да даде задължителни предписания, да определи срок за отстраняване на нарушението или да наложи административно наказание.
(3) (Отм. - ДВ, бр. 103 от 2005 г.)
(4) Комисията за защита на личните данни изпраща копие от решението си и на физическото лице.
(5) (Нова - ДВ, бр. 91 от 2006 г.) В случаите по ал. 1, когато се обработват лични данни за целите на отбраната, националната сигурност и обществения ред, както и за нуждите на наказателното производство, решението на комисията съдържа само констатация относно законосъобразността на обработването.
(6) (Изм. - ДВ, бр. 103 от 2005 г., предишна ал. 5 - ДВ, бр. 91 от 2006 г., изм. - ДВ, бр. 39 от 2011 г.) Решението на комисията по ал. 2 подлежи на обжалване по реда на в 14-дневен срок от получаването му.
Чл. 39. (1) (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 30 от 2006 г., в сила от 01.03.2007 г., изм. - ДВ, бр. 91 от 2006 г.)При нарушаване на правата му по този закон всяко физическо лице може да обжалва действия и актове на администратора по съдебен ред пред съответния административен съд или пред Върховния административен съд по общите правила за подсъдност.
(2) (Изм. - ДВ, бр. 103 от 2005 г.) В производството по ал. 1 физическото лице може да иска обезщетение за претърпените от него вреди вследствие на неправомерно обработване на лични данни от страна на администратора.
(3) (Нова - ДВ, бр. 81 от 2011 г.) В производството по ал. 1 администратор, получил данни по , които са неточни, не може да използва в своя защита неточността на получените данни.
(4) (Нова - ДВ, бр. 103 от 2005 г., предишна ал. 3 - ДВ, бр. 81 от 2011 г.) Физическото лице не може да сезира съда, ако има висящо производство пред комисията за същото нарушение или нейно решение относно същото нарушение е обжалвано и няма влязло в сила решение на съда. По искане на физическото лице комисията удостоверява липсата на висящо производство пред нея по същия спор.
(5) (Предишна ал. 4, изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 30 от 2006 г., в сила от 12.07.2006 г., отм. - ДВ, бр. 91 от 2006 г.)
Чл. 40. (Отм. - ДВ, бр. 103 от 2005 г.)
Чл. 41. (Отм. - ДВ, бр. 103 от 2005 г.)
Глава осма.
АДМИНИСТРАТИВНОНАКАЗАТЕЛНИ РАЗПОРЕДБИ
Чл. 42. (Изм. - ДВ, бр. 103 от 2005 г.) (1) (Изм. - ДВ, бр. 81 от 2011 г.) За нарушения по и администраторът на лични данни се наказва с глоба или с имуществена санкция от 10 000 до 100 000 лв.
(2) За нарушения по администраторът се наказва с глоба или с имуществена санкция от 10 000 до 100 000 лв.
(3) (Изм. - ДВ, бр. 91 от 2006 г.) За нарушения по и администраторът се наказва с глоба или с имуществена санкция от 2000 до 20 000 лв.
(4) Администратор, който не изпълни задължението си за регистрация по , се наказва с глоба или с имуществена санкция от 1000 до 10 000 лв.
(5) (Нова - ДВ, бр. 91 от 2006 г.) Администратор, който започне обработване на лични данни в нарушение на , се наказва с глоба или с имуществена санкция в размер от 2000 до 20 000 лв.
(6) (Нова - ДВ, бр. 91 от 2006 г.) Администратор, който не изпълни задълженията си по , се наказва с глоба или с имуществена санкция в размер от 2000 до 20 000 лв.
(7) (Предишна ал. 5 - ДВ, бр. 91 от 2006 г.) Администратор, който не се произнесе в срок по заявление по , се наказва с глоба или с имуществена санкция от 1000 до 20 000 лв., ако не подлежи на по-тежко наказание.
(8) (Предишна ал. 6 - ДВ, бр. 91 от 2006 г.) За отказ от съдействие на комисията във връзка с контролните й правомощия лицата се наказват с глоба или с имуществена санкция от 1000 до 10 000 лв.
(9) (Предишна ал. 7 - ДВ, бр. 91 от 2006 г.) За други нарушения по този закон виновните лица се наказват с глоба или с имуществена санкция от 500 до 5000 лв.
Чл. 42а. (Нов - ДВ, бр. 103 от 2005 г.) Когато нарушенията по този закон са извършени повторно, се налага глоба или имуществена санкция в двоен размер на първоначално наложената.
Чл. 43. (1) (Изм. - ДВ, бр. 103 от 2005 г.) Актовете за установяване на административните нарушения се съставят от член на Комисията за защита на личните данни или от упълномощени от комисията длъжностни лица.
(2) (Доп. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г.) Наказателните постановления се издават от председателя на Комисията за защита на личните данни.
(3) (Нова - ДВ, бр. 91 от 2006 г.) Имуществените санкции и глобите по влезли в сила наказателни постановления се събират по реда на .
(4) (Предишна ал. 3 - ДВ, бр. 91 от 2006 г.) Установяването на нарушенията, издаването, обжалването и изпълнението на наказателните постановления се извършват по реда на .
(5) (Нова - ДВ, бр. 15 от 2013 г., в сила от 01.01.2014 г.) Събраните суми от наложени имуществени санкции и глоби постъпват по бюджета на комисията.
Допълнителни разпоредби
§ 1. По смисъла на този закон:
1. (изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г.) "" е всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване.
2. (изм. - ДВ, бр. 103 от 2005 г.) "" е всяка структурирана съвкупност от лични данни, достъпна по определени критерии, централизирана, децентрализирана или разпределена на функционален или географски принцип.
3. (изм. - ДВ, бр. 103 от 2005 г.) "" е физическо или юридическо лице, държавен орган или орган на местно самоуправление, който обработва лични данни от името на администратора на лични данни.
4. (отм. - ДВ, бр. 103 от 2005 г.)
5. "" са действия по цялостно или частично пренасяне на лични данни от един администратор към друг или към трето лице на територията на страната или извън нея.
6. (изм. - ДВ, бр. 103 от 2005 г.) "" са лични данни, приведени във форма, която не позволява те да бъдат свързани със съответното физическо лице, за което се отнасят.
7. "" е складирането на лични данни с временно прекратяване на обработката им.
8. (отм. - ДВ, бр. 103 от 2005 г.)
9. "" е нарушението, което е извършено в едногодишен срок от влизането в сила на наказателното постановление, с което е наложено наказание за същия вид нарушение.
10. (нова - ДВ, бр. 70 от 2004 г., в сила от 01.01.2005 г.) "" е съвкупността от всички гени в единичен (диплоиден) набор хромозоми на дадено лице.
11. (нова - ДВ, бр. 103 от 2005 г.) "" е физическо или юридическо лице, орган на държавна власт или на местно самоуправление, различен от физическото лице, за което се отнасят данните, от администратора на лични данни, от обработващия лични данни и от лицата, които под прякото ръководство на администратора или обработващия имат право да обработват лични данни.
12. (нова - ДВ, бр. 103 от 2005 г.) "" е физическо или юридическо лице, орган на държавна власт или на местно самоуправление, на когото се разкриват лични данни, независимо дали е трето лице или не. Органите, които могат да получават данни в рамките на конкретно проучване, не се смятат за получатели.
13. (нова - ДВ, бр. 103 от 2005 г., доп. - ДВ, бр. 91 от 2006 г.) "" е всяко свободно изразено, конкретно и информирано волеизявление, с което физическото лице, за което се отнасят личните данни, недвусмислено се съгласява те да бъдат обработвани.
14. (нова - ДВ, бр. 103 от 2005 г., в сила от 01.01.2007 г.) "" е всяка държава, която не е член на Европейския съюз и не е страна по Споразумението за Европейското икономическо пространство.
15. (нова - ДВ, бр. 103 от 2005 г.) "" е предлагане на стоки и услуги на физически лица по пощата, по телефон или по друг директен начин, както и допитване с цел проучване относно предлаганите стоки и услуги.
16. (нова - ДВ, бр. 91 от 2006 г.) "" са признаци, свързани с физическа, физиологична, генетична, психическа, психологическа, икономическа, културна, социална или друга идентичност на лицето.
§ 1а. (Нов - ДВ, бр. 91 от 2006 г.) Този закон въвежда разпоредбите на Директива 95/46/ЕС на Европейския парламент и на Съвета за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни.
Преходни и Заключителни разпоредби
§ 2. (1) В едномесечен срок от влизането в сила на този закон Министерският съвет предлага на Народното събрание състава на Комисията за защита на личните данни.
(2) В 14-дневен срок от внасяне на предложението по ал. 1 Народното събрание избира състава на Комисията за защита на личните данни.
(3) В 3-месечен срок от избирането й Комисията за защита на личните данни приема и обнародва в "Държавен вестник" правилника по
(4) Министерският съвет в едномесечен срок от влизането в сила на решението на Народното събрание по ал. 2 осигурява необходимото имущество и финансови ресурси за започване работа на комисията.
§ 3. (1) В 6-месечен срок от влизането в сила на правилника по лицата, които към момента на влизане в сила на закона поддържат регистри с лични данни, ги привеждат в съответствие с изискванията на закона и уведомяват за това комисията.
(2) Комисията извършва предварителни проверки, регистрира или отказва да регистрира като администратори лица, които поддържат регистри към момента на влизане в сила на закона, както и водените от тях регистри в 3-месечен срок от получаването на заявлението по ал. 1.
(3) Решенията на комисията за отказ на регистрация подлежат на обжалване пред Върховния административен съд в 14-дневен срок.
(4) С влизането в сила на решението на комисията за отказ на регистрация или на решението на Върховния административен съд, с което се потвърждава отказът на комисията, лицето, което неправомерно води регистър, е длъжно да унищожи лични данни, съдържащи се в регистъра му, или със съгласието на комисията да ги прехвърли на друг администратор, който е регистрирал своя регистър и обработва лични данни за същите цели.
(5) Комисията осъществява контрол върху изпълнението на задължението по ал. 4.
(6) В 3-месечен срок от регистрацията администраторът по е длъжен да публикува в бюлетина на Комисията за защита на личните данни сведенията по .
§ 4. В (ДВ, бр. 55 от 2000 г.) се правят следните изменения:
1. В думите "лична информация" се заменят с "лични данни".
2. В се изменя така:
"2. "Лични данни" са информация за физическо лице, която разкрива неговата физическа, психологическа, умствена, семейна, икономическа, културна или обществена идентичност."
§ 5. Законът влиза в сила от 1 януари 2002 г.
-------------------------
Законът е приет от ХХХIХ Народно събрание на 21 декември 2001 г. и е подпечатан с официалния печат на Народното събрание.
Преходни и Заключителни разпоредби
КЪМ ЗАКОНА ЗА ЧАСТНИТЕ СЪДЕБНИ ИЗПЪЛНИТЕЛИ
(ОБН. - ДВ, БР. 43 ОТ 2005 Г., В СИЛА ОТ 01.09.2005 Г.)
§ 23. влиза в сила от 1 септември 2005 г.
Преходни и Заключителни разпоредби
КЪМ ЗАКОНА ЗА ИЗМЕНЕНИЕ И ДОПЪЛНЕНИЕ НА ЗАКОНА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
(ОБН. - ДВ, БР. 103 ОТ 2005 Г., ИЗМ. - ДВ, БР. 91 ОТ 2006 Г.)
§ 50. Разпоредбата на , относно , се прилага до влизане в сила на Договора за присъединяване на Република България към Европейския съюз.
§ 51. (Изм. - ДВ, бр. 91 от 2006 г.) Разпоредбите на , относно , , относно , , относно , относно , и , относно т. 14 от допълнителната разпоредба, влизат в сила от датата на влизане в сила на Договора за присъединяване на Република България към Европейския съюз.
§ 52. В тримесечен срок от влизане в сила на закона Комисията за защита на личните данни приема Етичния кодекс по и наредбата по .
Преходни и Заключителни разпоредби
КЪМ АДМИНИСТРАТИВНОПРОЦЕСУАЛНИЯ КОДЕКС
(ОБН. - ДВ, БР. 30 ОТ 2006 Г., В СИЛА ОТ 12.07.2006 Г.)
§ 142. влиза в сила три месеца след обнародването му в "Държавен вестник", с изключение на:
1. дял трети, и - относно отмяната на глава трета, раздел II "Обжалване по съдебен ред", , , , , , , , , , , , , , , , , , , , , и , както и , , , , , и - относно замяната на думата "окръжния" с "административния" и замяната на думите "Софийския градски съд" с "Административния съд - град София", които влизат в сила от 1 март 2007 г.;
2. , който влиза в сила от 1 януари 2007 г.;
3. , който влиза в сила от деня на обнародването на кодекса в "Държавен вестник".
Преходни и Заключителни разпоредби
КЪМ ЗАКОНА ЗА ИЗМЕНЕНИЕ И ДОПЪЛНЕНИЕ НА ЗАКОНА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
(ОБН. - ДВ, БР. 91 ОТ 2006 Г.)
§ 31. Разпоредбата на относно влиза в сила от 1 януари 2007 г.
§ 32. В срок два месеца от влизането в сила на този закон Комисията за защита на личните данни приема инструкцията по .
§ 33. В срок три месеца от влизането в сила на този закон администраторите, които подлежат на регистрация, подават заявление за регистрация.
Релевантни актове от Европейското законодателство
ДИРЕКТИВА 95/46/ЕО НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА
РЕГЛАМЕНТ (ЕИО) № 2380/74 НА СЪВЕТА
РЕГЛАМЕНТ НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И СЪВЕТА (ЕО) № 45/2001
РЕШЕНИЕ НА КОМИСИЯТА
РЕШЕНИЕ НА КОМИСИЯТА
РЕШЕНИЕ НА КОМИСИЯТА от 26 юли 2000 година съгласно Директива 95/46/EО на Европейския парламент и Съвета относно адекватна защита на личните данни, предоставена в Унгария (уведомление с документ номер C(2000) 2305) (Текстът е валиден за Европейската икономическа зона) (2000/519/ЕО)
Преходни и Заключителни разпоредби
КЪМ ЗАКОНА ЗА НАЦИОНАЛНИЯ АРХИВЕН ФОНД
(ОБН. - ДВ, БР. 57 ОТ 2007 Г., В СИЛА ОТ 13.07.2007 Г.)
§ 23. влиза в сила от деня на обнародването му в "Държавен вестник".
Преходни и Заключителни разпоредби
КЪМ ЗАКОНА ЗА ИЗМЕНЕНИЕ И ДОПЪЛНЕНИЕ НА ЗАКОНА ЗА ПРЕДОТВРАТЯВАНЕ И РАЗКРИВАНЕ НА КОНФЛИКТ НА ИНТЕРЕСИ
(ОБН. - ДВ, БР. 97 ОТ 2010 Г., В СИЛА ОТ 10.12.2010 Г.)
§ 61. влиза в сила от деня на обнародването му в "Държавен вестник" с изключение на:
1. относно – , който влиза в сила от 1 януари 2011 г.;
2. ,,, относно – и , , , , , , , , , , и , които влизат в сила от 1 април 2011 г.
Допълнителни разпоредби
КЪМ ЗАКОНА ЗА ИЗМЕНЕНИЕ И ДОПЪЛНЕНИЕ НА ЗАКОНА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
(ОБН. - ДВ, БР. 81 ОТ 2011 Г.)
§ 15. Този въвежда изискванията на Рамково решение 2008/977/ПВР на Съвета от 27 ноември 2008 г. относно защитата на личните данни, обработвани в рамките на полицейското и съдебното сътрудничество по наказателноправни въпроси (ОВ, L 350/ 60 от 30 декември 2008 г.).
Преходни и Заключителни разпоредби
КЪМ ЗАКОНА ЗА ИЗМЕНЕНИЕ И ДОПЪЛНЕНИЕ НА ЗАКОНА ЗА ЕЛЕКТРОННИТЕ СЪОБЩЕНИЯ
(ОБН. - ДВ, БР. 105 ОТ 2011 Г., В СИЛА ОТ 29.12.2011 Г.)
§ 220. влиза в сила от деня на обнародването му в "Държавен вестник".
Преходни и Заключителни разпоредби
КЪМ ЗАКОНА ЗА ПУБЛИЧНИТЕ ФИНАНСИ
(ОБН. - ДВ, БР. 15 ОТ 2013 Г., В СИЛА ОТ 01.01.2014 Г.)
§ 123. Законът влиза в сила от 1 януари 2014 г. с изключение на , който влиза в сила от 1 януари 2013 г., и , , , и , които влизат в сила от 1 февруари 2013 г.