Български
English
Народно събрание
на Република България
на Република България
Архив Народно събрание
Комисия по вътрешна сигурност и обществен ред
01/12/2005
Законопроект за изменение и допълнение на Закона за защита на личните данни, № 502-01-23, внесен от Министерския съвет на 10.08.2005 г.
Законопроектът за изменение и допълнение на Закона за защита на личните данни, № 502-01-23, внесен от Министерския съвет на 10.08.2005 год., е приет на първо гласуване от Народното събрание на 26.10.2005 г.
В срока по чл. 70, ал. 1 от Правилника за организацията и дейността на Народното събрание /ПОДНС/ е постъпило писмено предложение от един народен представител.
На основание чл. 71, ал. 2 от ПОДНС Комисията по вътрешна сигурност и обществен ред обсъди предложения законопроект на свои заседания, проведени на 29 ноември и 1 декември 2005 г.
В предлагания законопроект са отразени предложенията на народните представители, направени на заседанията на Комисията, и приети в хода на дебатите.
След проведените разисквания Комисията по вътрешна сигурност и обществен ред предлага на Народното събрание следния
З А К О Н
за изменение и допълнение на Закона за защита на личните данни
(Обн., ДВ, бр. 1 от 2002 г.; изм. и доп., бр. 70 и 93 от 2004 г.)
Становище на КВСОР:
Комисията подкрепя текста на вносителя за наименованието на закона.
§ 1. Член 1 се изменя така:
“Чл. 1. (1) Този закон урежда защитата на правата на физическите лица при обработването на личните им данни и правното положение на Комисията за защита на личните данни.
(2) Този закон се прилага:
1. за обработването, извършвано изцяло или частично с автоматични средства, както и за обработването със средства, които не са автоматични, на лични данни, съставляващи или предназначени да съставляват част от регистър;
2. за обработването на лични данни, което:
а) се извършва на територията на Република България като част от дейността на администратор на лични данни;
б) се извършва от администратор на лични данни, който не е установен на територията на Република България, но е задължен да прилага този закон по силата на международното публично право;
в) се извършва от администратор на лични данни, който не е установен на територията на Република България, но за целите на обработването използва средства, разположени на българска територия, освен когато тези средства се използват само за транзитни цели; в този случай администраторът трябва да посочи представител, установен на територията на Република България, без това да освобождава от отговорност администратора на лични данни.
(3) Този закон не се прилага за обработването на лични данни:
1. когато действията по обработването са свързани с отбраната, с националната сигурност, с опазването на обществения ред или с дейностите на органите на съдебната и изпълнителната власт при прилагането на наказателното право;
2. от физическо лице в хода на изцяло личните му или домашните дейности.
(4) В специални закони може да се уреди обработването на лични данни за целите на отбраната, националната сигурност и обществения ред, както и за функционирането на органите на изпълнителната и съдебната власт при прилагането на наказателното право.”
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 1:
“§ 1. Член 1 се изменя така:
Чл. 1. (1) Този закон урежда защитата на правата на физическите лица при обработването на личните им данни.
(2) Целта на закона е гарантиране на неприкосновеността на личността и личния живот чрез осигуряване на защита на физическите лица при неправомерно обработване на свързаните с тях лични данни в процеса на свободното движение на данните.
(3) Този закон се прилага за обработката на лични данни, съставляващи или предназначени да съставляват част от регистър, която се извършва от:
1. администратор на лични данни, установен на територията на Република България;
2. администратор на лични данни, който не е установен на територията на Република България, но е задължен да прилага този закон по силата на международното публично право;
3. администратор на лични данни, който не е установен на територията на държава-членка на Европейския съюз, както и в друга държава-членка на Европейското икономическо пространство, но за целите на обработването използва средства, разположени на българска територия, освен когато тези средства се използват само за транзитни цели; в този случай администраторът трябва да посочи представител, установен на територията на Република България, без това да го освобождава от отговорност.
(4) Обработването на лични данни за целите на отбраната, националната сигурност и обществения ред, както и за нуждите на наказателното производство се урежда в специални закони.
(5) Условията и редът за обработването на единен граждански номер и на други идентификационни номера с общо приложение се уреждат в специални закони.
(6) Този закон не се прилага за обработването на лични данни, извършвано от физически лица за техни лични или домашни дейности.”
§ 2. В чл. 2 се правят следните изменения:
1. Алинея 1 се изменя така:
“(1) Лични данни са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци, свързани с неговата физическа, физиологична, генетична, психическа, психологическа, икономическа, културна или социална идентичност.”
2. Алинея 2 се отменя.
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 2:
“§ 2. Член 2 се изменя така:
Чл. 2. (1) Лични данни са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци, свързани с неговата физическа, физиологична, генетична, психическа, психологическа, икономическа, културна или социална идентичност.
(2) Личните данни трябва да:
1. се обработват законосъобразно и добросъвестно;
2. се събират за конкретни, точно определени и законни цели и да не се обработват допълнително по начин, несъвместим с тези цели; допълнително обработване на личните данни за исторически, статистически или научни цели е допустимо, при условие че администраторът осигури подходяща защита, като гарантира, че данните не се обработват за други цели;
3. бъдат пропорционални на целите, за които се обработват;
4. бъдат точни и при необходимост да се актуализират;
5. се заличават или коригират, когато се установи, че са неточни или непропорционални по отношение на целите, за които се обработват;
6. се поддържат във вид, който позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които тези данни се обработват; личните данни, които ще се съхраняват за по-дълъг период за исторически, статистически или научни цели, се поддържат във вид, непозволяващ идентифицирането на физическите лица.”
§ 3. Член 3 се изменя така:
“Чл. 3. (1) Администратор на лични данни е физическо или юридическо лице, държавен орган или орган на местната администрация, който определя целите и средствата за обработване на лични данни, освен в случаите, когато те са определени със закон.
(2) Личните данни трябва:
1. да се обработват добросъвестно и законосъобразно;
2. да се събират за конкретни, точно определени и законни цели и да не се обработват допълнително по начин, несъвместим с тези цели; последващо обработване на личните данни за исторически, статистически или научни цели е допустимо, при условие че администраторът осигури подходяща защита като гарантира, че данните не се обработват за други цели и не се използват при вземането на решения и мерки, свързани с конкретно физическо лице;
3. да бъдат адекватни, свързани и да не надхвърлят по обхват целите, за които се събират и/или обработват допълнително;
4. да бъдат точни и, когато е необходимо, да се актуализират;
5. да се заличават или коригират, когато се установи, че са неточни или непълни по отношение на целите, за които са събрани или се обработват допълнително;
6. да се поддържат във вид, който позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които тези данни са събрани или се обработват допълнително; личните данни, които ще се съхраняват за по-дълъг период за исторически, статистически или научни цели, трябва да се поддържат само като анонимни или, ако това е невъзможно, да се шифрира идентичността на физическите лица.
(3) Администраторът на лични данни осигурява спазването на изискванията по ал. 2.”
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 3:
“§ 3. В чл. 3 се правят следните изменения и допълнения:
1. Алинея 1 се изменя така:
“(1) Администратор на лични данни, наричан по-нататък “администратор”, е физическо или юридическо лице, както и орган на държавна власт или на местно самоуправление, който обработва лични данни, като видът на обработваните данни, целите и средствата за обработване са определени със закон.”
2. Създава се нова ал. 2:
“(2) Администратор е и физическо или юридическо лице, както и орган на държавна власт или на местно самоуправление, който сам определя вида на обработваните лични данни, целите и средствата за тяхното обработване.”
3. Досегашната ал. 2 става ал. 3.
4. Досегашната ал. 3 се отменя.
5. Създава се ал. 4:
“(4) Администраторът осигурява спазването на изискванията на чл. 2, ал. 2.”
§ 4. В чл. 4 се правят следните изменения:
1. Алинея 1 се изменя така:
“(1) Обработването на лични данни е допустимо само в случаите, когато е налице поне едно от следните условия:
1. обработването е необходимо за изпълнение на нормативно задължение на администратора на лични данни;
2. физическото лице е дало съгласие;
3. обработването е необходимо за изпълнение на договор, по който физическото лице, за което се отнасят данните, е страна, или за да се предприемат действия по искане на това лице преди сключването на договора;
4. обработването е необходимо, за да се защитят жизненоважни интереси на физическото лице, за което се отнасят данните;
5. обработването е необходимо за изпълнението на задача, която се осъществява в обществен интерес, или при упражняване на правомощия, предоставени със закон на администратора на лични данни или на трето лице, на което се разкриват данните;
6. обработването е необходимо за реализиране на законните интереси на администратора на лични данни или на трето лице, на което се разкриват данните, освен когато пред тези интереси имат преимущество интересите на физическото лице, за което се отнасят данните, свързани със защитените му по този закон права.”
2. Алинея 2 се отменя.
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 4:
“§ 4. Член 4 се изменя така:
“Чл. 4. (1) Обработването на лични данни е допустимо само в случаите, когато е налице поне едно от следните условия:
1. обработването е необходимо за изпълнение на нормативно установено задължение на администратора на лични данни;
2. физическото лице, за което се отнасят данните, е дало изрично своето съгласие;
3. обработването е необходимо за сключване и изпълнение на договор, по който физическото лице, за което се отнасят данните, е страна;
4. обработването е необходимо, за да се защитят живота и здравето на физическото лице, за което се отнасят данните;
5. обработването е необходимо за изпълнението на задача, която се осъществява в обществен интерес;
6. обработването е необходимо за упражняване на правомощия, предоставени със закон на администратора или на трето лице, на което се разкриват данните;
7. обработването е необходимо за реализиране на законните интереси на администратора на лични данни или на трето лице, на което се разкриват данните, освен когато пред тези интереси преимущество имат интересите на физическото лице, за което се отнасят данните.
(2) Обработването на лични данни е допустимо и в случаите, когато то се извършва единствено за целите на журналистическата дейност, литературното или художественото изразяване, доколкото това обработване не нарушава правото на личен живот на лицето, за което се отнасят данните. В тези случаи разпоредбите на глава трета не се прилагат.”
§ 5. Член 5 се изменя така:
“Чл. 5. (1) Обработването на лични данни, които разкриват расов или етнически произход, политически, религиозни или философски убеждения, членство в политически партии, организации, сдружения с религиозни, философски, политически или синдикални цели, както и на лични данни, отнасящи се до здравето, сексуалния живот или до човешкия геном, е забранено.
(2) Алинея 1 не се прилага, когато:
1. обработването е необходимо за целите на изпълнението на специфични права и задължения на администратора в областта на трудовото право;
2. физическото лице, за което се отнасят тези данни, е дало своето съгласие за обработването им, освен ако в специален закон е предвидено друго;
3. обработването е необходимо за защита на жизненоважни интереси на физическото лице, за което тези данни се отнасят, или на друго лице, и състоянието на физическото лице не му позволява да даде съгласие или съществуват законни пречки за това;
4. обработването се извършва в хода на законосъобразната й дейност и с подходяща защита от организация с нестопанска цел с политическа, философска, религиозна или синдикална цел, при условие че обработването е свързано единствено с членовете на тази организация или с лица, които поддържат редовни контакти с нея във връзка с нейните цели, и че данните не се разкриват на трети лица без съгласието на физическото лице, за което тези данни се отнасят;
5. обработването се отнася до данни, публично оповестени от физическото лице, или е необходимо за установяването, упражняването или защитата на права по съдебен ред;
6. обработването е необходимо за целите на превантивната медицина, медицинската диагностика, предоставянето или управлението на здравни услуги, при условие че данните се обработват от медицински специалист, задължен по закон да пази професионална тайна, или от друго лице, обвързано с подобно задължение за опазване на тайна.”
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 5:
“§ 5. Член 5 се изменя така:
“Чл. 5. (1) Забранено е обработването на лични данни, които:
1. разкриват расов или етнически произход;
2. разкриват политически, религиозни или философски убеждения, членство в политически партии или организации, сдружения с религиозни, философски, политически или синдикални цели;
3. се отнасят до здравето, сексуалния живот или до човешкия геном.
(2) Алинея 1 не се прилага, когато:
1. обработването е необходимо за целите на изпълнението на специфични права и задължения на администратора в областта на трудовото законодателство;
2. физическото лице, за което се отнасят тези данни, е дало своето съгласие за обработването им, освен ако в специален закон е предвидено друго;
3. обработването е необходимо за защита на живота и здравето на физическото лице, за което тези данни се отнасят, или на друго лице, и състоянието на физическото лице не му позволява да даде съгласие или съществуват законни пречки за това;
4. обработването се извършва от организация с нестопанска цел, включително с политическа, философска, религиозна или синдикална цел, в хода на законосъобразната й дейност и с подходяща защита при условие, че:
а) обработването е свързано единствено с членовете на тази организация или с лица, които поддържат редовни контакти с нея във връзка с нейните цели;
б) данните не се разкриват на трети лица без съгласието на физическото лице, за което те се отнасят;
5. обработването се отнася до данни, публично оповестени от физическото лице, или то е необходимо за установяването, упражняването или защитата на права по съдебен ред;
6. обработването е необходимо за целите на превантивната медицина, медицинската диагностика, предоставянето или управлението на здравни услуги, при условие, че данните се обработват от медицински специалист, задължен по закон да пази професионална тайна, или от друго лице, обвързано с подобно задължение за опазване на тайна;
7. обработването се извършва единствено за целите на журналистическата дейност, литературното или художественото изразяване, доколкото то не нарушава правото на личен живот на лицето, за което се отнасят тези данни.”
§ 6. Създава се чл. 5а:
“Чл. 5а. Обработването на лични данни, свързани с престъпления, административни нарушения, присъди по наказателни дела, решения по административни дела и мерки за сигурност, се извършва само от или под контрола на съответните компетентни органи.”
Предложение на Пламен Ранчев (вх. № 554-04-167/ 09.11.2005 год.):
Чл. 5а да отпадне.
Становище на КВСОР:
Комисията подкрепя предложението на н.п. Ранчев и предлага § 6 да отпадне.
§ 7. В чл. 6 се създават ал. 3 и 4:
“(3) За подпомагане дейността на комисията в областните центрове на страната се създават териториални звена към нейната администрация.
(4) Статутът и функциите на териториалните звена по ал. 3 се определят с правилника по чл. 9, ал. 2.”
Становище на КВСОР:
Комисията не подкрепя текста на вносителя и предлага § 7 да отпадне.
§ 8. В чл. 7, ал. 4 думите “и пред Министерския съвет” се заличават.
Становище на КВСОР:
Комисията подкрепя текста на вносителя за § 8, който става § 6.
§ 9. В чл. 8 се правят следните изменения и допълнения:
1. В ал. 1, т. 3 след думата “характер” се добавя “независимо дали са реабилитирани”.
2. В ал. 2, т. 1 думите “и юридически лица с нестопанска цел” се заменят с “или администратори на лични данни по смисъла на този закон”.
3. В ал. 5 думите “ал. 3” се заменят с “ал. 4”.
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 9, който става § 7:
“§ 7. В чл. 8 се правят следните изменения и допълнения:
1. В ал. 1, т. 3 накрая се добавя “независимо дали са реабилитирани”.
2. В ал. 2, т. 1 думите “и юридически лица с нестопанска цел” се заменят с “или администратори на лични данни по смисъла на този закон”.
3. В ал. 5 думите “ал. 3” се заменят с “ал. 4”, а след думите “мандат на” се добавя “съответния член на”.”
§ 10. В чл. 9, ал. 2 след думите “администрацията си” се поставя запетая, а думите “и го” се заменят с “който се”.
Становище на КВСОР:
Комисията не подкрепя текста на вносителя и предлага § 10 да отпадне.
§ 11. В чл. 10 се правят следните изменения и допълнения:
1. В ал. 1:
а) в т. 2 след думата “данни” се добавя “и на водените от тях регистри на лични данни”;
б) точки 7 и 8 се изменят така:
“7. разглежда жалби срещу актове и действия на администраторите на лични данни, с които се нарушават правата на физическите лица по този закон, както и жалби на трети лица във връзка с правата им по този закон;
8. участва в подготовката и задължително дава становища по проекти на закони и подзаконови нормативни актове в областта на защитата на личните данни.”
2. В ал. 2 думите “чл. 14” се заменят с “ал. 1, т. 2”, а след думата “комисията” се поставя запетая.
3. В ал. 3 се създава изречение второ:
“В бюлетина се публикува и отчетът по чл. 7, ал. 4.”
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 11, който става § 8:
“§ 8. В чл. 10 се правят следните изменения и допълнения:
1. В ал. 1:
а) в т. 2 накрая се добавя “и на водените от тях регистри на лични данни”;
б) точки 7 и 8 се изменят така:
“7. разглежда жалби срещу актове и действия на администраторите, с които се нарушават правата на физическите лица по този закон, както и жалби на трети лица във връзка с правата им по този закон;
8. участва в подготовката и задължително дава становища по проекти на закони и подзаконови нормативни актове в областта на защитата на личните данни.”
в) създава се т. 9:
“9. осигурява прилагането на решенията на Европейската комисия в областта на защитата на личните данни.”
2. В ал. 2 думите “чл. 14” се заменят с “ал. 1, т. 2”, а след думата “комисията” се поставя запетая.
3. В ал. 3 се създава изречение второ:
“В бюлетина се публикува и отчетът по чл. 7, ал. 4.”
4. Създава се ал. 4:
“(4) Комисията приема Етичен кодекс за поведение на администраторите на лични данни при отчитане на специфичните особеностите на тяхната дейност.”
§ 12. В чл. 11 се правят следните допълнения:
1. В т. 3 след думата “администрация” се добавя “след решение”.
2. Създава се т. 4:
“4. издава наказателни постановления по чл. 43, ал. 2.”
Становище на КВСОР:
Комисията подкрепя текста на вносителя за § 12, който става § 9.
§ 13. В чл. 12 се правят следните изменения:
1. Алинея 2 се отменя.
2. Алинеи 3 и 4 се изменят така:
“(3) Проверките по ал. 1 се извършват по молба на заинтересувани лица, както и по инициатива на комисията въз основа на приет от нея месечен план за контролната дейност.”
(4) Проверяващите лица се легитимират със служебна карта и заповед на комисията за съответната проверка.”
3. Алинеи 5 и 6 се отменят.
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 13, който става § 10:
“§ 10. В чл. 12 се правят следните изменения:
1. Алинея 2 се отменя.
2. Алинеи 3, 4, 5 и 6 се изменят така:
“(3) Проверките по ал. 1 се извършват по молба на заинтересувани лица, както и по инициатива на комисията въз основа на приет от нея месечен план за контролна дейност.
(4) Проверяващите лица се легитимират със служебна карта и заповед на председателя на комисията за съответната проверка.
(5) При извършване на проверки лицата по ал. 1 могат да възлагат изготвяне на експертизи по реда на Гражданския процесуалния кодекс.
(6) Проверката завършва с акт за констатация, а при установено нарушение по този закон – с акт за неговото установяване.”
§ 14. Член 13 се изменя така:
“Чл. 13. (1) Председателят и членовете на комисията и служителите от нейната администрация са длъжни да не разгласяват и да не се възползват за свое или чуждо облагодетелстване от информацията, представляваща защитена от закон тайна, която им е станала известна при осъществяване на тяхната дейност, до изтичане на срока за защитата й.
(2) При постъпване на работа лицата по ал. 1 подават декларация за задълженията си по ал. 1.”
Становище на КВСОР:
Комисията подкрепя текста на вносителя за § 14, който става § 11.
§ 15. Членове 14, 15 и 16 се изменят така:
“Чл. 14. (1) Във водения от комисията регистър по чл. 10, ал. 1, т. 2 се вписват данните по чл. 15, ал. 2, т. 1-5.
(2) След извършване на вписването в регистъра по ал. 1 комисията издава удостоверение за регистрация или за промяна в регистрацията на администратора на лични данни.
(3) За издаването на удостоверение по ал. 2 администраторът на лични данни заплаща такса в размер и по ред, определени от Министерския съвет.
(4) Регистърът по ал. 1 е публичен.
Чл. 15. (1) Преди предприемането на каквото и да е действие по обработване на лични данни всеки администратор на лични данни или негов представител, ако има такъв, уведомява комисията, като подава за това заявление и документи по образец, утвърден от комисията.
(2) Заявлението съдържа най-малко следната информация:
1. данни, идентифициращи администратора на лични данни и неговия представител, ако има такъв;
2. целите на обработване на личните данни;
3. описание на категориите физически лица, чиито данни се обработват, както и на категориите лични данни, отнасящи се до тях;
4. получателите или категориите получатели, на които личните данни могат да бъдат разкрити;
5. предлагано предоставяне на данни в други държави;
6. общо описание на мерките, предприети съгласно чл. 23, позволяващо изготвянето на предварителна оценка на тяхната целесъобразност.
(3) Когато администраторът е държавен орган или орган на местната администрация, той уведомява комисията в 10-дневен срок от създаването му.
(4) За всяка промяна на данните по ал. 2, т. 1 администраторът уведомява комисията в 7-дневен срок от извършването на промяната.
(5) За всяка промяна по ал. 2, т. 2-6 администраторът уведомява комисията предварително. В случаите, когато такава промяна е предвидена в закон, уведомяването се извършва в 7-дневен срок от влизането в сила на съответния закон.
Чл. 16. (1) В 14-дневен срок от уведомяването по чл. 15 комисията:
1. вписва администратора на лични данни в регистъра по чл. 10,
ал. 1, т. 2, ако са изпълнени изискванията на този закон за обработване на лични данни;
2. мотивирано отказва да извърши вписването.
(2) Отказът на комисията по ал. 1 подлежи на обжалване пред Върховния административен съд в 14-дневен срок.
(3) Преди да извърши вписването по ал. 1, комисията може да извърши предварителна проверка и да даде задължителни предписания относно условията за обработване на личните данни и водене на регистър от администратора на лични данни.”
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя за § 15 и на основание чл. 50, ал. 1 от Указ № 883 за прилагане на Закона за нормативните актове предлага § 15 да се раздели на три параграфа - § 12, §13 и § 14, със следната редакция:
“§ 12. Член 14 се изменя така:
“Чл. 14. (1) В регистъра по чл. 10, ал. 1, т. 2 се вписват данните по чл. 18, ал. 2.
(2) Вписването в регистъра по чл. 10, ал. 1, т. 2 се удостоверява с идентификационен номер.
(3) Регистърът по ал. 1 е публичен.”
§ 13. Член 15 се отменя.
§ 14. Член 16 се изменя така:
“Чл. 16. (1) В 14-дневен срок от подаване на заявление за регистрация по чл. 18 комисията вписва администратора на лични данни в регистъра по чл. 10, ал. 1, т. 2, ако са изпълнени изискванията на този закон за обработване на лични данни.
(2) Преди да извърши вписването по ал. 1 комисията може да направи предварителна проверка и да даде задължителни предписания относно условията за обработване на личните данни и водене на регистър от администратора на лични данни.”
§ 16. Наименованието на глава трета се изменя така: “Задължения на администратора на лични данни“.
Становище на КВСОР:
Комисията подкрепя текста на вносителя за § 16, който става § 15.
§ 17. Член 17 се отменя.
Становище на КВСОР:
Комисията не подкрепя текста на вносителя и предлага следната редакция на § 17, който става § 16:
“§ 16. Член 17 се изменя така:
“Чл. 17. (1) Администраторът на лични данни е длъжен да подаде заявление за регистрация, когато е налице поне едно от следните условия:
1. обработва лични данни, които разкриват расов или етнически произход, политически, религиозни или философски убеждения, членство в политически партии или организации, сдружения с религиозни, философски, политически или синдикални цели, както и лични данни, отнасящи се до здравето, сексуалния живот или до човешкия геном;
2. обработва лични данни при упражняване на правомощия, предоставени със закон;
3. поддържа регистър, съдържащ данни за не по-малко от 100 физически лица;
4. получил е задължително предписание за регистрация от комисията.
(2) Администратор може да се регистрира и доброволно, без да има задължение за това.”
§ 18. Членове 18 и 19 се изменят така:
“Чл. 18. (1) В случаите, когато личните данни се събират от лицето, за което се отнасят, администраторът на лични данни или негов представител е длъжен да му предостави следната информация:
1. данни, които идентифицират администратора и неговия представител, ако има такъв;
2. целите на обработването на личните данни;
3. получателите или категориите получатели, на които могат да бъдат разкрити данните;
4. задължителния или доброволния характер на предоставяне на данните и последиците от отказ за предоставянето им;
5. наличието на право на достъп и право на коригиране на събраните данни.
(2) Информацията по ал. 1 не се предоставя, когато физическото лице, за което се отнасят данните, вече разполага с нея или в закон съществува изрична забрана за предоставянето й.
Чл. 19. (1) Когато личните данни не са получени от физическото лице, за което те се отнасят, администраторът на лични данни или негов представител е длъжен да му предостави следната информация:
1. данни, които идентифицират администратора и неговия представител, ако има такъв;
2. целите на обработването на личните данни;
3. категориите лични данни, отнасящи се до съответното физическо лице;
4. получателите или категориите получатели, на които могат да бъдат разкрити данните;
5. наличието на право на достъп и право на коригиране на личните данни.
(2) Информацията по ал. 1 се предоставя незабавно след вписването на данните в съответния регистър или, ако се предвижда разкриване на данните на трето лице – към момента на разкриването им за пръв път.
(3) Алинея 1 не се прилага, когато:
1. обработването е за статистически, исторически или научни цели и предоставянето на информацията по ал. 1 е невъзможно или изисква прекомерни усилия;
2. вписването или разкриването са изрично предвидени в закон;
3. физическото лице, за което се отнасят данните, вече разполага с информацията по ал. 1;
4. е налице изрична забрана за това в закон.”
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя за § 18 и на основание чл. 50, ал. 1 от Указ № 883 за прилагане на Закона за нормативните актове предлага § 18 да се раздели на два параграфа - § 17 и § 18, със следната редакция:
“§ 17. Член 18 се изменя така:
“Чл. 18. (1) Администраторът или негов представител подава заявление за регистрация по чл. 17 и документи по образец, утвърден от комисията, преди започване на обработката на лични данни.
(2) Заявлението съдържа:
1. данните, идентифициращи администратора на лични данни и неговия представител, ако има такъв;
2. целите на обработване на личните данни;
3. категориите физически лица, чиито данни се обработват, и категориите лични данни, отнасящи се до тях;
4. получателите или категориите получатели, на които личните данни могат да бъдат разкрити;
5. предлаганото предоставяне на данни в други държави;
6. общото описание на мерките, предприети съгласно чл. 23, позволяващо изготвянето на предварителна оценка на тяхната целесъобразност.
(3) За всяка промяна на данните по ал. 2, администраторът уведомява комисията преди нейното извършване. В случаите, когато такава промяна е предвидена в закон, уведомяването се извършва в 7-дневен срок от влизането в сила на съответния закон.
(4) В случаите, когато администраторът не е вписан в регистъра по чл. 10, ал. 1, т. 2, той е длъжен да предостави данните по ал. 2 на всяко лице при поискване.”
§ 18. Член 19 се изменя така:
“Чл. 19. (1) В случаите, когато личните данни се събират от лицето, за което се отнасят, администраторът или негов представител е длъжен да му предостави:
1. данните, които идентифицират администратора и неговия представител;
2. целите на обработването на личните данни;
3. получателите или категориите получатели, на които могат да бъдат разкрити данните;
4. данните за задължителния или доброволния характер на предоставяне на данните и последиците от отказ за предоставянето им;
5. информация за правото на достъп и правото на коригиране на събраните данни.
(2) Данните по ал. 1 не се предоставят, когато физическото лице, за което се отнасят, вече разполага с тях или в закон съществува изрична забрана за предоставянето им.”
§ 19. Член 20 се отменя.
Становище на КВСОР:
Комисията не подкрепя текста на вносителя и предлага следната редакция на § 19:
“§ 19. Член 20 се изменя така:
“Чл. 20. (1) Когато личните данни не са получени от физическото лице, за което те се отнасят, администраторът или негов представител е длъжен да му предостави:
1. данните, които идентифицират администратора и неговия представител;
2. целите на обработването на личните данни;
3. категориите лични данни, отнасящи се до съответното физическо лице;
4. получателите или категориите получатели, на които могат да бъдат разкрити данните;
5. информация за правото на достъп и правото на коригиране на събраните данни.
(2) Данните по ал. 1 се предоставят на лицето, за което се отнасят, към момента на вписването им в съответния регистър или, ако се предвижда разкриване на данните на трето лице – не по-късно от момента на разкриването им за пръв път.
(3) Алинея 1 не се прилага, когато:
1. обработването е за статистически, исторически или научни цели и предоставянето на данните по ал. 1 е невъзможно или изисква прекомерни усилия;
2. вписването или разкриването на данни са изрично предвидени в закон;
3. физическото лице, за което се отнасят данните, вече разполага с информацията по ал. 1;
4. е налице изрична забрана за това в закон.”
§ 20. Член 21 се изменя така:
“(1) Администраторът на лични данни е длъжен да осигури достъп на лицата по чл. 12, ал. 1 до водените от него регистри и да не препятства контрола върху процеса по обработване на лични данни.
(2) Администраторът на лични данни е длъжен да предостави исканата от лицата по чл. 12, ал. 1 информация в устен и писмен вид или на други информационни носители.
(3) Когато документацията и информацията съдържат данни, представляващи класифицирана информация, прилага се редът за достъп по Закона за защита на класифицираната информация.
(4) Всички лица, които обработват лични данни, са длъжни да оказват съдействие и да осигуряват подходящи условия на комисията при упражняване на правомощията й.”
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 20:
“§ 20. Член 21 се изменя така:
“Чл. 21. (1) Всяка друга информация извън тази по чл. 19, ал. 1 и чл. 20, ал. 1, свързана с обработването на данните, се предоставя след извършване на преценка за необходимостта от предоставянето с цел гарантиране на справедливо обработване на данните по отношение на физическото лице, за което се отнасят.
(2) Преценката по ал. 1 се извършва от администратора за всеки конкретен случай.”
§ 21. Член 22 се отменя.
Становище на КВСОР:
Комисията не подкрепя текста на вносителя и предлага следната редакция на § 21:
“§ 21. Член 22 се изменя така:
“Чл. 22. (1) Администраторът на лични данни е длъжен да осигури достъп на лицата по чл. 12, ал. 1 до водените от него регистри и да не препятства контрола върху процеса по обработване на лични данни.
(2) Администраторът на лични данни е длъжен да предостави на лицата по чл. 12, ал. 1 исканата информация в устен или писмен вид, или на други информационни носители.
(3) Когато информацията съдържа данни, представляващи класифицирана информация, се прилага редът за достъп по Закона за защита на класифицираната информация.
(4) Всички лица, които обработват лични данни, са длъжни да оказват съдействие на комисията при упражняване на правомощията й.”
§ 22. Член 23 се изменя така:
“(1) Администраторът на лични данни е длъжен да предприеме подходящи технически и организационни мерки, за да защити данните от случайно или незаконно унищожаване или от случайна загуба, изменение, от неправомерно разкриване или достъп, както и от всички други незаконни форми на обработване на лични данни.
(2) Администраторът предприема специални мерки за защита, когато обработването включва предаване на данните по електронен път.
(3) Мерките по ал. 1 и 2 са съобразени със съвременните технологични постижения и осигуряват ниво на защита, което съответства на рисковете, свързани с обработването, и на естеството на данните, които следва да бъдат защитени.
(4) Мерките по ал. 1-3 се определят с вътрешен писмен акт на администратора на лични данни.
(5) Комисията определя с наредба минималното ниво на технически и организационни мерки, както и допустимия вид защита. Наредбата се обнародва в “Държавен вестник.”
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 22:
§ 22. Член 23 се изменя така:
“(1) Администраторът на лични данни предприема необходимите технически и организационни мерки, за да защити данните от случайно или незаконно унищожаване или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработванe.
(2) Администраторът взема специални мерки за защита, когато обработването включва предаване на данните по електронен път.
(3) Мерките по ал. 1 и 2 са съобразени със съвременните технологични постижения и осигуряват ниво на защита, което съответства на рисковете, свързани с обработването, и на естеството на данните, които трябва да бъдат защитени.
(4) Мерките по ал. 1 и 2 се определят с инструкция на администратора на лични данни.
(5) Комисията определя с наредба минималното ниво на технически и организационни мерки, както и допустимия вид защита. Наредбата се обнародва в “Държавен вестник.”
§ 23. В чл. 24 се правят следните изменения:
1. В ал. 1 думите “по чл. 3, ал. 1” се заменят с ”на лични данни”.
2. Алинеи 4-6 се изменят така:
“(4) Взаимоотношенията между администратора и обработващия лични данни се уреждат с нормативен акт или с писмен договор, в които се определя, че:
1. задълженията на администратора са възложени на обработващия данни;
2. обработващият данни действа само по указания на администратора.
(5) За вредите, причинени на трети лица от действия или бездействия на обработващия данни, администраторът отговаря солидарно с него.
(6) Всяко лице, действащо под ръководството на администратора или на обработващия лични данни, включително самия обработващ, което има достъп до лични данни, може да ги обработва само по указание на администратора, освен ако в закон е предвидено друго.”
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 23:
“§ 23. В чл. 24 се правят следните изменения:
1. В ал. 1 думите “по чл. 3, ал. 1” се заличават.
2. Алинея 3 се отменя.
3. Алинеи 4, 5 и 6 се изменят така:
“(4) Отношенията между администратора и обработващия лични данни се уреждат с нормативен акт, писмен договор или с друг акт на администратора, в които се определя обема на задълженията, възложени от администратора на обработващия данните.
(5) За вреди, причинени на трети лица от действия или бездействия на обработващия данни, администраторът отговаря солидарно с него.
(6) Обработващият лични данни, както и всяко лице, действащо под ръководството на администратора или на обработващия, което има достъп до лични данни, може да ги обработва само по указание на администратора, освен ако в закон е предвидено друго.”
§ 24. В чл. 25 ал. 1-3 се изменят така:
“(1) След постигане целта на обработване на личните данни администраторът на лични данни е длъжен:
1. да ги унищожи, или
2. да ги прехвърли, като предварително уведоми за това комисията, на друг администратор, ако прехвърлянето е предвидено в закон и е налице идентичност на целите на обработването.
(2) След постигане целта на обработване на личните данни администраторът на лични данни ги съхранява само в предвидените в закон случаи.
(3) В случаите, когато след постигане целта на обработване администраторът на лични данни иска да съхрани обработените лични данни като анонимни данни за исторически, научни или статистически цели, той трябва да уведоми за това Комисията за защита на личните данни.”
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 24:
“§ 24. В чл. 25 ал. 1, 2 и 3 се изменят така:
“(1) След постигане целта на обработване на личните данни администраторът е длъжен:
1. да ги унищожи, или
2. да ги прехвърли на друг администратор, като предварително уведоми за това комисията, ако прехвърлянето е предвидено в закон и е налице идентичност на целите на обработването.
(2) След постигане целта на обработване на личните данни администраторът ги съхранява само в предвидените в закон случаи.
(3) В случаите, когато след постигане целта на обработване администраторът иска да съхрани обработените лични данни като анонимни данни за исторически, научни или статистически цели, той уведомява за това комисията.”
§ 25. Наименованието на глава пета се изменя така:
“Права на физическите лица”
Становище на КВСОР:
Комисията подкрепя текста на вносителя за § 25.
§ 26. В чл. 26, ал. 2 думите “по чл. 3, ал. 1” се заменят с ”на лични данни”.
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 26:
§ 26. В чл. 26, ал. 2 думите “по чл. 3, ал. 1” се заличават.
§ 27. Членове 27 и 28 се изменят така:
“Чл. 27. Упражняването на правото на достъп до лични данни не може да накърнява правата на друго физическо лице или да е насочено срещу националната сигурност и обществения ред.
Чл. 28. (1) При упражняване на правото си на достъп физическото лице има право по всяко време да поиска от администратора на лични данни:
1. потвърждение за това, дали отнасящи се до него данни се обработват, както и информация най-малко за целите на това обработване, за категориите данни и за получателите или за категориите получатели, на които данните се разкриват;
2. съобщение до него в разбираема форма, съдържащо личните му данни, които се обработват, както и всяка налична информация за техния източник;
3. информация за логиката на всяко автоматизирано обработване на лични данни, отнасящи се до него, поне в случаите на автоматизираните решения по чл. 34б.
(2) Физическото лице може да упражни своето право да получи информация по ал. 1, т. 1-3 безплатно веднъж на 12 месеца.”
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя за § 27 и на основание чл. 50, ал. 1 от Указ № 883 за прилагане на Закона за нормативните актове предлага § 27 да се раздели на два параграфа - § 27 и § 28, със следната редакция:
“§ 27. Член 27 се изменя така:
“Чл. 27. Упражняването на правото на достъп до лични данни не може да накърнява правата на друго физическо лице или да е насочено срещу националната сигурност и обществения ред.”
“§ 28. Член 28 се изменя така:
“Чл. 28. (1) При упражняване на правото си на достъп физическото лице има право по всяко време да поиска от администратора на лични данни:
1. потвърждение за това, дали отнасящи се до него данни се обработват, информация за целите на това обработване, за категориите данни и за получателите или категориите получатели, на които данните се разкриват;
2. съобщение до него в разбираема форма, съдържащо личните му данни, които се обработват, както и всяка налична информация за техния източник;
3. информация за логиката на всяко автоматизирано обработване на лични данни, отнасящи се до него, поне в случаите на автоматизирани решения по чл. 34б.
(2) Физическото лице може да упражни безплатно своето право да получи информация по ал. 1 веднъж на 12 месеца.
(3) При смърт на физическото лице правата му по ал. 1 и 2 се упражняват от неговите наследници.”
§ 28. Създава се чл. 28а:
“Чл. 28а. Физическото лице има право по всяко време да поиска от администратора на лични данни:
1. да заличи, коригира или блокира негови лични данни, обработването на които не отговаря на изискванията на този закон, особено поради непълнота или неточност на данните;
2. да уведоми третите лица, на които са били разкрити личните му данни, за всяко заличаване, коригиране или блокиране, извършено в съответствие с т. 1, с изключение на случаите, когато това е невъзможно или е свързано с прекомерни усилия.”
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 28, който става § 29:
“§ 29. Създава се чл. 28а:
“Чл. 28а. Физическото лице има право по всяко време да поиска от администратора:
1. да заличи, коригира или блокира негови лични данни, обработването на които не отговаря на изискванията на този закон;
2. да уведоми третите лица, на които са били разкрити личните му данни, за всяко заличаване, коригиране или блокиране, извършено в съответствие с т. 1, с изключение на случаите, когато това е невъзможно или е свързано с прекомерни усилия.”
§ 29. В чл. 29 ал. 1-3 се изменят така:
“(1) Правото на достъп по чл. 26 и правата по чл. 28а се осъществяват с писмено заявление до администратора на лични данни.
(2) Заявление може да бъде отправено и по електронен път по реда на Закона за електронния документ и електронния подпис.
(3) Заявлението по ал. 1 се отправя лично от физическото лице или от изрично упълномощено от него друго лице чрез нотариално заверено пълномощно.”
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 29, който става § 30:
“§ 30. В член 29 се правят следните изменения:
“1. Алинеи 1, 2 и 3 се изменят така:
“(1) Правото на достъп по чл. 26 и правата по чл. 28а се осъществяват с писмено заявление до администратора на лични данни.
(2) Заявление може да бъде отправено и по електронен път по реда на Закона за електронния документ и електронния подпис.
(3) Заявлението по ал. 1 се отправя лично от физическото лице или от изрично упълномощено от него лице чрез нотариално заверено пълномощно.”
2. Алинея 4 се отменя.”
§ 30. Член 30 се изменя така:
“Чл. 30. (1) Заявлението по чл. 29 съдържа:
1. името, адреса и други необходими данни за идентифициране на съответното физическо лице;
2. описание на искането;
3. предпочитана форма за предоставяне на информацията по чл. 28, ал. 1, т. 1-3;
4. подпис, дата на подаване на заявлението и адрес за кореспонденция.
(2) При подаване на заявление от упълномощено лице към заявлението се прилага и съответното нотариално заверено пълномощно.
(3) Заявленията по чл. 29 се завеждат от администратора на лични данни в регистър.
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 30, който става § 31:
“§ 31. Член 30 се изменя така:
“Чл. 30. (1) Заявлението по чл. 29 съдържа:
1. име, адрес и други данни за идентифициране на съответното физическо лице;
2. описание на искането;
3. предпочитана форма за предоставяне на информацията по чл. 28, ал. 1;
4. подпис, дата на подаване на заявлението и адрес за кореспонденция.
(2) При подаване на заявление от упълномощено лице към заявлението се прилага и нотариално завереното пълномощно.
(3) Заявленията по чл. 29 се завеждат в регистър от администратора.”
§ 31. В чл. 31 се правят следните изменения:
1. Алинея 1 се изменя така:
“(1) Информацията по чл. 28, ал. 1, т. 1-3 може да бъде предоставена под формата на устна или писмена справка или на преглед на данните от съответното физическо лице или от изрично упълномощено от него друго лице.”
2. Алинея 3 се изменя така:
“(3) Администраторът на лични данни е длъжен да се съобрази с предпочитаната от заявителя форма на предоставяне на информацията по
чл. 28, ал. 1, т. 1-3.
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 31, който става § 32:
“§ 32. В чл. 31 се правят следните изменения:
1. Алинея 1 се изменя така:
“(1) Информацията по чл. 28, ал. 1 може да бъде предоставена под формата на устна или писмена справка или на преглед на данните от съответното физическо лице или от изрично упълномощено от него друго лице.”
2. Алинея 3 се изменя така:
“(3) Администраторът на лични данни е длъжен да се съобрази с предпочитаната от заявителя форма на предоставяне на информацията по
чл. 28, ал. 1.”
§ 32. Член 32 се изменя така:
“Чл. 32. (1) В случаите по чл. 28, ал. 1, т. 1-3 администраторът на лични данни или изрично определено от него лице разглежда заявлението по чл. 29 и се произнася в 14-дневен срок от подаването му.
(2) Срокът по ал. 1 може да бъде мотивирано удължен от администратора на лични данни до 30 дни в случаите по чл. 28, ал. 1, т. 1 и 2, когато обективно се изисква по-дълъг срок за събирането на всички искани данни и това сериозно затруднява дейността на администратора.
(3) В срока по ал. 1 администраторът взема решение за предоставянето на пълна или частична информация по чл. 28, ал. 1, т. 1-3 на заявителя или отказва мотивирано предоставянето й.
(4) В случаите по чл. 28а, т. 1 администраторът на лични данни взема решение и извършва съответното действие в 10-дневен срок от подаване на заявлението по чл. 29 или мотивирано отказва извършването му.
(5) В случаите по чл. 28а, т. 2 администраторът на лични данни взема решение в срока по ал. 4 и незабавно уведомява третите лица или мотивирано отказва да извърши уведомяването.”
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 32, който става § 33:
“§ 33. Член 32 се изменя така:
“Чл. 32. (1) В случаите по чл. 28, ал. 1 администраторът на лични данни или изрично оправомощено от него лице разглежда заявлението по чл. 29 и се произнася в 14-дневен срок от неговото подаване.
(2) Срокът по ал. 1 може да бъде удължен от администратора до 30 дни в случаите по чл. 28, ал. 1, т. 1 и 2, когато обективно се изисква по-дълъг срок за събирането на всички искани данни и това сериозно затруднява дейността на администратора.
(3) В 14-дневен срок администраторът взема решение за предоставянето на пълна или частична информация по чл. 28, ал. 1 на заявителя или мотивирано отказва предоставянето й.
(4) В случаите по чл. 28а, т. 1 администраторът взема решение и извършва съответното действие в 14-дневен срок от подаване на заявлението по чл. 29 или мотивирано отказва извършването му.
(5) В случаите по чл. 28а, т. 2 администраторът на лични данни взема решение в 14-дневен срок и незабавно уведомява третите лица или мотивирано отказва да извърши уведомяването.”
§ 33. В чл. 33 се правят следните изменения и допълнения:
1. Алинея 1 се изменя така:
“(1) Администраторът на лични данни писмено уведомява заявителя за решението или отказа си по чл. 32, ал. 3-5 в съответния срок.”
2. Създава се ал. 3:
“(3) Липсата на уведомление по ал. 1 се счита за отказ.”
Становище на КВСОР:
Комисията подкрепя текста на вносителя за § 33, който става § 34.
§ 34. В чл. 34 се правят следните изменения:
1. Алинея 1 се изменя така:
“(1) Администраторът на лични данни отказва достъп до тях, когато данните не съществуват или предоставянето им е забранено със закон.”
2. Алинея 2 се отменя.
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 34, който става § 35:
“§ 35. В чл. 34 се правят следните изменения:
“1. Алинея 1 се изменя така:
“(1) Администраторът отказва достъп до лични данни, когато те не съществуват или предоставянето им е забранено със закон.”
2. Алинея 2 се отменя.
3. Алинея 3 се изменя така:
(3) Администраторът отказва пълно или частично предоставяне на данни на лицето, за което те се отнасят, когато от това би възникнала опасност за отбраната или националната сигурност или за защитата на класифицираната информация. Отказът не се мотивира, като се посочва само правното основание.”
§ 35. Създават се чл. 34а и 34б:
“Чл. 34а. (1) Физическото лице, за което се отнасят данните, има право:
1. да възрази безплатно пред администратора на лични данни по всяко време и при наличието на законово основание срещу обработването на негови лични данни; когато възражението е основателно, личните данни на съответното физическо лице не могат повече да бъдат обработвани;
2. да възрази безплатно срещу обработването на личните му данни за целите на директен маркетинг;
3. да бъде уведомено, преди личните му данни да бъдат разкрити за пръв път на трети лица или използвани от тяхно име за целите по т. 2, като му бъде предоставена възможност да възрази безплатно срещу такова разкриване или използване.
(2) Администраторът на лични данни приема подходящи мерки, които гарантират, че физическото лице, за което се отнасят данните, е уведомено за правата си по ал. 1, т. 2 и 3.
Чл. 34б. (1) Недопустимо е решение на администратор на лични данни, което:
1. има правни или други съществени последици за физическото лице, и
2. е основано единствено на автоматично обработване на лични данни, предназначено да оценява лични характеристики на физическото лице.
(2) Алинея 1 не се прилага, когато решението:
1. е взето по време на сключването или изпълнението на договор, при условие че подадената от съответното физическо лице молба за сключване или изпълнение на договора е била удовлетворена или че съществуват подходящи мерки, гарантиращи законните му интереси;
2. е регламентирано в закон, уреждащ и мерките за защита на законните интереси на лицето.
(3) Физическото лице има право да поиска от администратора на лични данни да преразгледа отнасящо се до него решение, прието в нарушение на ал. 1.”
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 35, който става § 36:
§ 36. След чл. 34 се създават чл. 34а и чл. 34б:
“Чл. 34а. (1) Физическото лице, за което се отнасят данните, има право:
1. да възрази пред администратора срещу обработването на личните му данни при наличие на законово основание за това; когато възражението е основателно, личните данни на съответното физическо лице не могат повече да бъдат обработвани;
2. да възрази срещу обработването на личните му данни за целите на директния маркетинг;
3. да бъде уведомено, преди личните му данни да бъдат разкрити за пръв път на трети лица или използвани от тяхно име за целите по т. 2, като му бъде предоставена възможност да възрази срещу такова разкриване или използване.
(2) Администраторът уведомява физическото лице за правата му по ал. 1, т. 2 и 3.
Чл. 34б. (1) Решението на администратора е недопустимо, когато:
1. има правни или други съществени последици за физическото лице, и
2. е основано единствено на автоматизирано обработване на лични данни, предназначено да оценява лични характеристики на физическото лице.
(2) Алинея 1 не се прилага, когато решението е:
1. взето по време на сключването или изпълнението на договор, при условие че подадената от съответното физическо лице молба за сключване или изпълнение на договора е била удовлетворена или че съществуват подходящи мерки, гарантиращи законните му интереси;
2. уредено в закон, предвиждащ и мерки за защита на законните интереси на лицето.
(3) Физическото лице има право да поиска от администратора да преразгледа решението, прието в нарушение на ал. 1.”
§ 36. Членове 35 и 36 се изменят така:
“Чл. 35. (1) Предоставянето на лични данни от администратора на трети лица се допуска, ако е налице основание по чл. 4.
(2) В случаите по ал. 1 се отправя писмено искане, в което се посочва основанието за предоставяне на лични данни.
(3) Администраторът на лични данни се произнася по отправеното искане в 14-дневен срок, като предоставя исканите данни или мотивирано отказва предоставянето им.
(4) Администраторът на лични данни писмено уведомява третото лице за решението си по ал. 3.
(5) Предоставянето на лични данни или отказът могат да се обжалват от заинтересуваните лица по реда на глава седма.
Чл. 36. (1) Предоставянето на лични данни в държави - членки на Европейския съюз, се извършва свободно.
(2) Предоставяне на лични данни в трета държава се допуска само ако тя осигурява адекватно ниво на защита на личните данни на своя територия.
(3) Преценката на адекватността на нивото на защита на личните данни в трета държава се извършва от комисията, като се вземат предвид всички обстоятелства, свързани с действието или съвкупността от действията по предоставянето на данните.
(4) Изискването по ал. 2 не се прилага, когато предоставянето на лични данни се извършва съгласно международен договор, по който Република България е страна и който е ратифициран, обнародван и влязъл в сила.
(5) Извън случаите по ал. 2 и 4 администраторът може да предоставя лични данни в друга държава, ако:
1. лицето, за което се отнасят данните, е дало изрично съгласие за това;
2. предоставянето е необходимо за изпълнението на договор между физическото лице и администратора или се осъществява по молба на лицето;
3. предоставянето е необходимо за изпълнение на договор, сключен в интерес на физическото лице между администратора и друг субект;
4. предоставянето е необходимо или се изисква от закона поради значим обществен интерес или за установяването, упражняването или защитата на права по съдебен ред;
5. предоставянето е необходимо, за да се защитят жизненоважни интереси на лицето, за което се отнасят данните;
6. се предоставят данни, които са общодостъпни.”
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя за § 36 и на основание чл. 50, ал. 1 от Указ № 883 за прилагане на Закона за нормативните актове предлага § 36 да се раздели на два параграфа - § 37 и § 38, със следната редакция:
“§ 37. Член 35 се изменя така:
“Чл. 35. (1) Предоставянето на лични данни от администратора на трети лица се допуска, ако:
1. е налице някое от основанията по чл. 4;
2. източниците на данни са публични регистри или документи, съдържащи обществена информация, за която е осигурен достъп по ред, определен в закон.
(2) В случаите по ал. 1, т. 1 се отправя писмено искане, в което се посочва основанието за предоставяне на лични данни.
(3) Администраторът се произнася с решение по искането в 14-дневен срок, като предоставя исканите данни или мотивирано отказва предоставянето им.
(4) Администраторът писмено уведомява третото лице за решението си по ал. 3.
(5) Предоставянето на лични данни или отказът могат да се обжалват от заинтересуваните лица по реда на глава седма.”
§ 38. Член 36 се изменя така:
“Чл. 36. (1) Предоставянето на лични данни от администратора на чуждестранни физически и юридически лица или на чужди държавни органи се допуска с разрешение на Комисията за защита на личните данни, ако нормативните актове на страната-получател гарантират по-добра или еднаква с предвидената в този закон защита на данните.
(2) При прехвърлянето на лични данни в случаите по ал. 1 се спазват изискванията на този закон.”
Комисията предлага да се създаде § 39:
“§ 39. Създава се чл. 36а:
“Чл. 36а. (1) Предоставянето на лични данни в държава-членка на Европейския съюз, както и в друга държава-членка на Европейското икономическо пространство, се извършва свободно при спазване на изискванията на този закон.
(2) Предоставяне на лични данни в трета държава се допуска, само ако тя осигурява адекватно ниво на защита на личните данни на своя територия.
(3) Преценката на адекватността на нивото на защита на личните данни в трета държава се извършва от Комисията за защита на личните данни, като се вземат предвид всички обстоятелства, свързани с действието или съвкупността от действията по предоставянето на данните, включително характера на данните, целта и продължителността на обработването им, правната им уредба и мерките за сигурност, осигурени в третата държава.
(4) Преценка по ал. 3 не се извършва, когато Европейската комисия се е произнесла с решение относно нивото на защита на личните данни в третата държава, на която се предоставят данните.
(5) Изискването по ал. 2 не се прилага, когато предоставянето на лични данни се извършва съгласно международен договор, ратифициран, обнародван и влязъл в сила за Република България.
(6) Извън случаите по ал. 2 и 4 администраторът може да предоставя лични данни в трета държава, ако:
1. лицето, за което се отнасят данните, е дало изрично съгласие за това;
2. предоставянето е необходимо за изпълнението на договор между физическото лице и администратора или се осъществява по молба на лицето;
3. предоставянето е необходимо за изпълнение на договор, сключен в интерес на физическото лице между администратора и друг субект;
4. предоставянето е необходимо или се изисква от закона поради значим обществен интерес или за установяването, упражняването или защитата на права по съдебен ред;
5. предоставянето е необходимо, за да се защитят живота и здравето на лицето, за което се отнасят данните;
6. се предоставят данни, които са общодостъпни.
(7) Предоставянето на лични данни в трети държави е допустимо във всички случаи, когато то се извършва единствено за целите на журналистическата дейност, литературното или художественото изразяване, доколкото това обработване не нарушава правото на личен живот на лицето, за което се отнасят данните.”
§ 37. Създава се чл. 36а:
“Чл. 36а. Извън случаите по чл. 36 предоставянето на лични данни в трета държава се извършва след разрешение на комисията, при условие че администраторът, предоставящ данните, и администраторът, който ги получава, представят достатъчно гаранции за защитата им.”
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 37, който става § 40:
“§ 40. Създава се чл. 36б:
“Чл. 36б. (1) Извън случаите по чл. 36а предоставянето на лични данни в трета държава се извършва след разрешение на Комисията за защита на личните данни, при условие че администраторът, предоставящ данните, и администраторът, който ги получава, представят достатъчно гаранции за защитата им.
(2) Комисията уведомява Европейската комисия и компетентните органи на другите държави-членки за разрешенията, предоставени по ал. 1.”
§ 38. Член 37 се отменя.
Становище на КВСОР:
Комисията подкрепя текста на вносителя за § 38, който става § 41.
§ 39. В чл. 38 се правят следните изменения:
1. Алинеи 1 и 2 се изменят така:
“(1) Физическото лице, за което се отнасят данните, може да сезира комисията при нарушаване на правата му по този закон в 30-дневен срок от узнаване на нарушението, но не по-късно от една година от извършването му.
(2) Комисията за защита на личните данни се произнася в 30-дневен срок от сезирането с решение, като може да даде задължителни предписания или да приложи принудителни административни мерки на администратора на лични данни, да определи срок за отстраняване на нарушението, както и да наложи административно наказание.”
2. Алинея 3 се отменя.
3. В ал. 5 думите “във връзка с ал. 1” се заменят с “по ал. 2”.
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 39, който става § 42:
“§ 42. В чл. 38 се правят следните изменения:
“1. Алинеи 1 и 2 се изменят така:
“(1) При нарушаване на правата му по този закон всяко физическо лице има право да сезира Комисията за защита на личните данни в 30-дневен срок от узнаване на нарушението, но не по-късно от една година от извършването му.
(2) Комисията се произнася в 30-дневен срок от сезирането с решение, като може да даде задължителни предписания, да определи срок за отстраняване на нарушението или да наложи административно наказание.”
2. Алинея 3 се отменя.
3. В ал. 5 думите “във връзка с ал. 1” се заменят с “по ал. 2”.”
§ 40. В чл. 39 се правят следните изменения и допълнения:
1. Алинеи 1 и 2 се изменят така:
“(1) При нарушаване на правата му по този закон всяко физическо лице може да обжалва действия и актове на администратора по съдебен ред пред съответния окръжен съд или пред Върховния административен съд по общите правила за подсъдност в срока по чл. 38, ал. 1.
(2) В производството по ал. 1 физическото лице може да иска обезщетение за претърпените от него вреди вследствие на неправомерно обработване на лични данни от страна на администратора.”
2. Създава се нова ал. 3:
“(3) Физическото лице не може да сезира съда, ако има висящо производство пред комисията за същото нарушение или нейно решение относно същото нарушение е обжалвано и няма влязло в сила решение на съда. По искане на физическото лице комисията удостоверява липсата на висящо производство пред нея по същия спор.”
3. Досегашната ал. 3 става ал. 4 и в нея думите “указанията по
чл. 38, ал. 3” се заменят с “предписанията по чл. 38, ал. 2”, а думата “предписания” се заменя с “указания”.
4. Досегашната ал. 4 става ал. 5 и в нея думите ”по ал. 1 и 3” се заменят с “по ал. 4”.
Становище на КВСОР:
Комисията подкрепя текста на вносителя за § 40, който става § 43.
§ 41. Членове 40 и 41 се отменят.
Становище на КВСОР:
Комисията подкрепя текста на вносителя за § 41, който става § 44.
§ 42. Член 42 се изменя така:
“Чл. 42. (1) За нарушения по чл. 3, ал. 2 и чл. 4 администраторът на лични данни се наказва с глоба или с имуществена санкция в размер от
10 000 до 100 000 лв.
(2) За нарушения по чл. 5 и 5а администраторът на лични данни се наказва с глоба или с имуществена санкция в размер от 10 000 до 100 000 лв.
(3) За нарушения по чл. 18, ал. 1 и чл. 19, ал. 1 администраторът на лични данни се наказва с глоба или с имуществена санкция в размер от 5000 до 30 000 лв.
(4) Администратор на лични данни, който обработва лични данни, без да е регистриран по този закон, се наказва с глоба или с имуществена санкция в размер от 1000 до 10 000 лв.
(5) Администратор на лични данни, който не се произнесе в срок по заявление по чл. 29, се наказва с глоба или с имуществена санкция в размер от 1000 до 20 000 лв., ако не подлежи на по-тежко наказание.
(6) За отказ от съдействие на комисията във връзка с контролните й правомощия лицата се наказват с глоба или с имуществена санкция в размер от 1000 до 10 000 лв.
(7) За всички други нарушения по този закон виновните лица се наказват с глоба или с имуществена санкция в размер от 500 до 5000 лв. Когато нарушението по този закон е извършено повторно, глобата, съответно имуществената санкция, е в двоен размер.”
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 42, който става § 45:
“§ 45. Член 42 се изменя така:
“Чл. 42. (1) За нарушения по чл. 2, ал. 2 и чл. 4 администраторът на лични данни се наказва с глоба или с имуществена санкция от
10 000 до 100 000 лв.
(2) За нарушения по чл. 5 администраторът се наказва с глоба или с имуществена санкция от 10 000 до 100 000 лв.
(3) За нарушения по чл.
Законопроектът за изменение и допълнение на Закона за защита на личните данни, № 502-01-23, внесен от Министерския съвет на 10.08.2005 год., е приет на първо гласуване от Народното събрание на 26.10.2005 г.
В срока по чл. 70, ал. 1 от Правилника за организацията и дейността на Народното събрание /ПОДНС/ е постъпило писмено предложение от един народен представител.
На основание чл. 71, ал. 2 от ПОДНС Комисията по вътрешна сигурност и обществен ред обсъди предложения законопроект на свои заседания, проведени на 29 ноември и 1 декември 2005 г.
В предлагания законопроект са отразени предложенията на народните представители, направени на заседанията на Комисията, и приети в хода на дебатите.
След проведените разисквания Комисията по вътрешна сигурност и обществен ред предлага на Народното събрание следния
З А К О Н
за изменение и допълнение на Закона за защита на личните данни
(Обн., ДВ, бр. 1 от 2002 г.; изм. и доп., бр. 70 и 93 от 2004 г.)
Становище на КВСОР:
Комисията подкрепя текста на вносителя за наименованието на закона.
§ 1. Член 1 се изменя така:
“Чл. 1. (1) Този закон урежда защитата на правата на физическите лица при обработването на личните им данни и правното положение на Комисията за защита на личните данни.
(2) Този закон се прилага:
1. за обработването, извършвано изцяло или частично с автоматични средства, както и за обработването със средства, които не са автоматични, на лични данни, съставляващи или предназначени да съставляват част от регистър;
2. за обработването на лични данни, което:
а) се извършва на територията на Република България като част от дейността на администратор на лични данни;
б) се извършва от администратор на лични данни, който не е установен на територията на Република България, но е задължен да прилага този закон по силата на международното публично право;
в) се извършва от администратор на лични данни, който не е установен на територията на Република България, но за целите на обработването използва средства, разположени на българска територия, освен когато тези средства се използват само за транзитни цели; в този случай администраторът трябва да посочи представител, установен на територията на Република България, без това да освобождава от отговорност администратора на лични данни.
(3) Този закон не се прилага за обработването на лични данни:
1. когато действията по обработването са свързани с отбраната, с националната сигурност, с опазването на обществения ред или с дейностите на органите на съдебната и изпълнителната власт при прилагането на наказателното право;
2. от физическо лице в хода на изцяло личните му или домашните дейности.
(4) В специални закони може да се уреди обработването на лични данни за целите на отбраната, националната сигурност и обществения ред, както и за функционирането на органите на изпълнителната и съдебната власт при прилагането на наказателното право.”
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 1:
“§ 1. Член 1 се изменя така:
Чл. 1. (1) Този закон урежда защитата на правата на физическите лица при обработването на личните им данни.
(2) Целта на закона е гарантиране на неприкосновеността на личността и личния живот чрез осигуряване на защита на физическите лица при неправомерно обработване на свързаните с тях лични данни в процеса на свободното движение на данните.
(3) Този закон се прилага за обработката на лични данни, съставляващи или предназначени да съставляват част от регистър, която се извършва от:
1. администратор на лични данни, установен на територията на Република България;
2. администратор на лични данни, който не е установен на територията на Република България, но е задължен да прилага този закон по силата на международното публично право;
3. администратор на лични данни, който не е установен на територията на държава-членка на Европейския съюз, както и в друга държава-членка на Европейското икономическо пространство, но за целите на обработването използва средства, разположени на българска територия, освен когато тези средства се използват само за транзитни цели; в този случай администраторът трябва да посочи представител, установен на територията на Република България, без това да го освобождава от отговорност.
(4) Обработването на лични данни за целите на отбраната, националната сигурност и обществения ред, както и за нуждите на наказателното производство се урежда в специални закони.
(5) Условията и редът за обработването на единен граждански номер и на други идентификационни номера с общо приложение се уреждат в специални закони.
(6) Този закон не се прилага за обработването на лични данни, извършвано от физически лица за техни лични или домашни дейности.”
§ 2. В чл. 2 се правят следните изменения:
1. Алинея 1 се изменя така:
“(1) Лични данни са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци, свързани с неговата физическа, физиологична, генетична, психическа, психологическа, икономическа, културна или социална идентичност.”
2. Алинея 2 се отменя.
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 2:
“§ 2. Член 2 се изменя така:
Чл. 2. (1) Лични данни са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци, свързани с неговата физическа, физиологична, генетична, психическа, психологическа, икономическа, културна или социална идентичност.
(2) Личните данни трябва да:
1. се обработват законосъобразно и добросъвестно;
2. се събират за конкретни, точно определени и законни цели и да не се обработват допълнително по начин, несъвместим с тези цели; допълнително обработване на личните данни за исторически, статистически или научни цели е допустимо, при условие че администраторът осигури подходяща защита, като гарантира, че данните не се обработват за други цели;
3. бъдат пропорционални на целите, за които се обработват;
4. бъдат точни и при необходимост да се актуализират;
5. се заличават или коригират, когато се установи, че са неточни или непропорционални по отношение на целите, за които се обработват;
6. се поддържат във вид, който позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които тези данни се обработват; личните данни, които ще се съхраняват за по-дълъг период за исторически, статистически или научни цели, се поддържат във вид, непозволяващ идентифицирането на физическите лица.”
§ 3. Член 3 се изменя така:
“Чл. 3. (1) Администратор на лични данни е физическо или юридическо лице, държавен орган или орган на местната администрация, който определя целите и средствата за обработване на лични данни, освен в случаите, когато те са определени със закон.
(2) Личните данни трябва:
1. да се обработват добросъвестно и законосъобразно;
2. да се събират за конкретни, точно определени и законни цели и да не се обработват допълнително по начин, несъвместим с тези цели; последващо обработване на личните данни за исторически, статистически или научни цели е допустимо, при условие че администраторът осигури подходяща защита като гарантира, че данните не се обработват за други цели и не се използват при вземането на решения и мерки, свързани с конкретно физическо лице;
3. да бъдат адекватни, свързани и да не надхвърлят по обхват целите, за които се събират и/или обработват допълнително;
4. да бъдат точни и, когато е необходимо, да се актуализират;
5. да се заличават или коригират, когато се установи, че са неточни или непълни по отношение на целите, за които са събрани или се обработват допълнително;
6. да се поддържат във вид, който позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които тези данни са събрани или се обработват допълнително; личните данни, които ще се съхраняват за по-дълъг период за исторически, статистически или научни цели, трябва да се поддържат само като анонимни или, ако това е невъзможно, да се шифрира идентичността на физическите лица.
(3) Администраторът на лични данни осигурява спазването на изискванията по ал. 2.”
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 3:
“§ 3. В чл. 3 се правят следните изменения и допълнения:
1. Алинея 1 се изменя така:
“(1) Администратор на лични данни, наричан по-нататък “администратор”, е физическо или юридическо лице, както и орган на държавна власт или на местно самоуправление, който обработва лични данни, като видът на обработваните данни, целите и средствата за обработване са определени със закон.”
2. Създава се нова ал. 2:
“(2) Администратор е и физическо или юридическо лице, както и орган на държавна власт или на местно самоуправление, който сам определя вида на обработваните лични данни, целите и средствата за тяхното обработване.”
3. Досегашната ал. 2 става ал. 3.
4. Досегашната ал. 3 се отменя.
5. Създава се ал. 4:
“(4) Администраторът осигурява спазването на изискванията на чл. 2, ал. 2.”
§ 4. В чл. 4 се правят следните изменения:
1. Алинея 1 се изменя така:
“(1) Обработването на лични данни е допустимо само в случаите, когато е налице поне едно от следните условия:
1. обработването е необходимо за изпълнение на нормативно задължение на администратора на лични данни;
2. физическото лице е дало съгласие;
3. обработването е необходимо за изпълнение на договор, по който физическото лице, за което се отнасят данните, е страна, или за да се предприемат действия по искане на това лице преди сключването на договора;
4. обработването е необходимо, за да се защитят жизненоважни интереси на физическото лице, за което се отнасят данните;
5. обработването е необходимо за изпълнението на задача, която се осъществява в обществен интерес, или при упражняване на правомощия, предоставени със закон на администратора на лични данни или на трето лице, на което се разкриват данните;
6. обработването е необходимо за реализиране на законните интереси на администратора на лични данни или на трето лице, на което се разкриват данните, освен когато пред тези интереси имат преимущество интересите на физическото лице, за което се отнасят данните, свързани със защитените му по този закон права.”
2. Алинея 2 се отменя.
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 4:
“§ 4. Член 4 се изменя така:
“Чл. 4. (1) Обработването на лични данни е допустимо само в случаите, когато е налице поне едно от следните условия:
1. обработването е необходимо за изпълнение на нормативно установено задължение на администратора на лични данни;
2. физическото лице, за което се отнасят данните, е дало изрично своето съгласие;
3. обработването е необходимо за сключване и изпълнение на договор, по който физическото лице, за което се отнасят данните, е страна;
4. обработването е необходимо, за да се защитят живота и здравето на физическото лице, за което се отнасят данните;
5. обработването е необходимо за изпълнението на задача, която се осъществява в обществен интерес;
6. обработването е необходимо за упражняване на правомощия, предоставени със закон на администратора или на трето лице, на което се разкриват данните;
7. обработването е необходимо за реализиране на законните интереси на администратора на лични данни или на трето лице, на което се разкриват данните, освен когато пред тези интереси преимущество имат интересите на физическото лице, за което се отнасят данните.
(2) Обработването на лични данни е допустимо и в случаите, когато то се извършва единствено за целите на журналистическата дейност, литературното или художественото изразяване, доколкото това обработване не нарушава правото на личен живот на лицето, за което се отнасят данните. В тези случаи разпоредбите на глава трета не се прилагат.”
§ 5. Член 5 се изменя така:
“Чл. 5. (1) Обработването на лични данни, които разкриват расов или етнически произход, политически, религиозни или философски убеждения, членство в политически партии, организации, сдружения с религиозни, философски, политически или синдикални цели, както и на лични данни, отнасящи се до здравето, сексуалния живот или до човешкия геном, е забранено.
(2) Алинея 1 не се прилага, когато:
1. обработването е необходимо за целите на изпълнението на специфични права и задължения на администратора в областта на трудовото право;
2. физическото лице, за което се отнасят тези данни, е дало своето съгласие за обработването им, освен ако в специален закон е предвидено друго;
3. обработването е необходимо за защита на жизненоважни интереси на физическото лице, за което тези данни се отнасят, или на друго лице, и състоянието на физическото лице не му позволява да даде съгласие или съществуват законни пречки за това;
4. обработването се извършва в хода на законосъобразната й дейност и с подходяща защита от организация с нестопанска цел с политическа, философска, религиозна или синдикална цел, при условие че обработването е свързано единствено с членовете на тази организация или с лица, които поддържат редовни контакти с нея във връзка с нейните цели, и че данните не се разкриват на трети лица без съгласието на физическото лице, за което тези данни се отнасят;
5. обработването се отнася до данни, публично оповестени от физическото лице, или е необходимо за установяването, упражняването или защитата на права по съдебен ред;
6. обработването е необходимо за целите на превантивната медицина, медицинската диагностика, предоставянето или управлението на здравни услуги, при условие че данните се обработват от медицински специалист, задължен по закон да пази професионална тайна, или от друго лице, обвързано с подобно задължение за опазване на тайна.”
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 5:
“§ 5. Член 5 се изменя така:
“Чл. 5. (1) Забранено е обработването на лични данни, които:
1. разкриват расов или етнически произход;
2. разкриват политически, религиозни или философски убеждения, членство в политически партии или организации, сдружения с религиозни, философски, политически или синдикални цели;
3. се отнасят до здравето, сексуалния живот или до човешкия геном.
(2) Алинея 1 не се прилага, когато:
1. обработването е необходимо за целите на изпълнението на специфични права и задължения на администратора в областта на трудовото законодателство;
2. физическото лице, за което се отнасят тези данни, е дало своето съгласие за обработването им, освен ако в специален закон е предвидено друго;
3. обработването е необходимо за защита на живота и здравето на физическото лице, за което тези данни се отнасят, или на друго лице, и състоянието на физическото лице не му позволява да даде съгласие или съществуват законни пречки за това;
4. обработването се извършва от организация с нестопанска цел, включително с политическа, философска, религиозна или синдикална цел, в хода на законосъобразната й дейност и с подходяща защита при условие, че:
а) обработването е свързано единствено с членовете на тази организация или с лица, които поддържат редовни контакти с нея във връзка с нейните цели;
б) данните не се разкриват на трети лица без съгласието на физическото лице, за което те се отнасят;
5. обработването се отнася до данни, публично оповестени от физическото лице, или то е необходимо за установяването, упражняването или защитата на права по съдебен ред;
6. обработването е необходимо за целите на превантивната медицина, медицинската диагностика, предоставянето или управлението на здравни услуги, при условие, че данните се обработват от медицински специалист, задължен по закон да пази професионална тайна, или от друго лице, обвързано с подобно задължение за опазване на тайна;
7. обработването се извършва единствено за целите на журналистическата дейност, литературното или художественото изразяване, доколкото то не нарушава правото на личен живот на лицето, за което се отнасят тези данни.”
§ 6. Създава се чл. 5а:
“Чл. 5а. Обработването на лични данни, свързани с престъпления, административни нарушения, присъди по наказателни дела, решения по административни дела и мерки за сигурност, се извършва само от или под контрола на съответните компетентни органи.”
Предложение на Пламен Ранчев (вх. № 554-04-167/ 09.11.2005 год.):
Чл. 5а да отпадне.
Становище на КВСОР:
Комисията подкрепя предложението на н.п. Ранчев и предлага § 6 да отпадне.
§ 7. В чл. 6 се създават ал. 3 и 4:
“(3) За подпомагане дейността на комисията в областните центрове на страната се създават териториални звена към нейната администрация.
(4) Статутът и функциите на териториалните звена по ал. 3 се определят с правилника по чл. 9, ал. 2.”
Становище на КВСОР:
Комисията не подкрепя текста на вносителя и предлага § 7 да отпадне.
§ 8. В чл. 7, ал. 4 думите “и пред Министерския съвет” се заличават.
Становище на КВСОР:
Комисията подкрепя текста на вносителя за § 8, който става § 6.
§ 9. В чл. 8 се правят следните изменения и допълнения:
1. В ал. 1, т. 3 след думата “характер” се добавя “независимо дали са реабилитирани”.
2. В ал. 2, т. 1 думите “и юридически лица с нестопанска цел” се заменят с “или администратори на лични данни по смисъла на този закон”.
3. В ал. 5 думите “ал. 3” се заменят с “ал. 4”.
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 9, който става § 7:
“§ 7. В чл. 8 се правят следните изменения и допълнения:
1. В ал. 1, т. 3 накрая се добавя “независимо дали са реабилитирани”.
2. В ал. 2, т. 1 думите “и юридически лица с нестопанска цел” се заменят с “или администратори на лични данни по смисъла на този закон”.
3. В ал. 5 думите “ал. 3” се заменят с “ал. 4”, а след думите “мандат на” се добавя “съответния член на”.”
§ 10. В чл. 9, ал. 2 след думите “администрацията си” се поставя запетая, а думите “и го” се заменят с “който се”.
Становище на КВСОР:
Комисията не подкрепя текста на вносителя и предлага § 10 да отпадне.
§ 11. В чл. 10 се правят следните изменения и допълнения:
1. В ал. 1:
а) в т. 2 след думата “данни” се добавя “и на водените от тях регистри на лични данни”;
б) точки 7 и 8 се изменят така:
“7. разглежда жалби срещу актове и действия на администраторите на лични данни, с които се нарушават правата на физическите лица по този закон, както и жалби на трети лица във връзка с правата им по този закон;
8. участва в подготовката и задължително дава становища по проекти на закони и подзаконови нормативни актове в областта на защитата на личните данни.”
2. В ал. 2 думите “чл. 14” се заменят с “ал. 1, т. 2”, а след думата “комисията” се поставя запетая.
3. В ал. 3 се създава изречение второ:
“В бюлетина се публикува и отчетът по чл. 7, ал. 4.”
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 11, който става § 8:
“§ 8. В чл. 10 се правят следните изменения и допълнения:
1. В ал. 1:
а) в т. 2 накрая се добавя “и на водените от тях регистри на лични данни”;
б) точки 7 и 8 се изменят така:
“7. разглежда жалби срещу актове и действия на администраторите, с които се нарушават правата на физическите лица по този закон, както и жалби на трети лица във връзка с правата им по този закон;
8. участва в подготовката и задължително дава становища по проекти на закони и подзаконови нормативни актове в областта на защитата на личните данни.”
в) създава се т. 9:
“9. осигурява прилагането на решенията на Европейската комисия в областта на защитата на личните данни.”
2. В ал. 2 думите “чл. 14” се заменят с “ал. 1, т. 2”, а след думата “комисията” се поставя запетая.
3. В ал. 3 се създава изречение второ:
“В бюлетина се публикува и отчетът по чл. 7, ал. 4.”
4. Създава се ал. 4:
“(4) Комисията приема Етичен кодекс за поведение на администраторите на лични данни при отчитане на специфичните особеностите на тяхната дейност.”
§ 12. В чл. 11 се правят следните допълнения:
1. В т. 3 след думата “администрация” се добавя “след решение”.
2. Създава се т. 4:
“4. издава наказателни постановления по чл. 43, ал. 2.”
Становище на КВСОР:
Комисията подкрепя текста на вносителя за § 12, който става § 9.
§ 13. В чл. 12 се правят следните изменения:
1. Алинея 2 се отменя.
2. Алинеи 3 и 4 се изменят така:
“(3) Проверките по ал. 1 се извършват по молба на заинтересувани лица, както и по инициатива на комисията въз основа на приет от нея месечен план за контролната дейност.”
(4) Проверяващите лица се легитимират със служебна карта и заповед на комисията за съответната проверка.”
3. Алинеи 5 и 6 се отменят.
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 13, който става § 10:
“§ 10. В чл. 12 се правят следните изменения:
1. Алинея 2 се отменя.
2. Алинеи 3, 4, 5 и 6 се изменят така:
“(3) Проверките по ал. 1 се извършват по молба на заинтересувани лица, както и по инициатива на комисията въз основа на приет от нея месечен план за контролна дейност.
(4) Проверяващите лица се легитимират със служебна карта и заповед на председателя на комисията за съответната проверка.
(5) При извършване на проверки лицата по ал. 1 могат да възлагат изготвяне на експертизи по реда на Гражданския процесуалния кодекс.
(6) Проверката завършва с акт за констатация, а при установено нарушение по този закон – с акт за неговото установяване.”
§ 14. Член 13 се изменя така:
“Чл. 13. (1) Председателят и членовете на комисията и служителите от нейната администрация са длъжни да не разгласяват и да не се възползват за свое или чуждо облагодетелстване от информацията, представляваща защитена от закон тайна, която им е станала известна при осъществяване на тяхната дейност, до изтичане на срока за защитата й.
(2) При постъпване на работа лицата по ал. 1 подават декларация за задълженията си по ал. 1.”
Становище на КВСОР:
Комисията подкрепя текста на вносителя за § 14, който става § 11.
§ 15. Членове 14, 15 и 16 се изменят така:
“Чл. 14. (1) Във водения от комисията регистър по чл. 10, ал. 1, т. 2 се вписват данните по чл. 15, ал. 2, т. 1-5.
(2) След извършване на вписването в регистъра по ал. 1 комисията издава удостоверение за регистрация или за промяна в регистрацията на администратора на лични данни.
(3) За издаването на удостоверение по ал. 2 администраторът на лични данни заплаща такса в размер и по ред, определени от Министерския съвет.
(4) Регистърът по ал. 1 е публичен.
Чл. 15. (1) Преди предприемането на каквото и да е действие по обработване на лични данни всеки администратор на лични данни или негов представител, ако има такъв, уведомява комисията, като подава за това заявление и документи по образец, утвърден от комисията.
(2) Заявлението съдържа най-малко следната информация:
1. данни, идентифициращи администратора на лични данни и неговия представител, ако има такъв;
2. целите на обработване на личните данни;
3. описание на категориите физически лица, чиито данни се обработват, както и на категориите лични данни, отнасящи се до тях;
4. получателите или категориите получатели, на които личните данни могат да бъдат разкрити;
5. предлагано предоставяне на данни в други държави;
6. общо описание на мерките, предприети съгласно чл. 23, позволяващо изготвянето на предварителна оценка на тяхната целесъобразност.
(3) Когато администраторът е държавен орган или орган на местната администрация, той уведомява комисията в 10-дневен срок от създаването му.
(4) За всяка промяна на данните по ал. 2, т. 1 администраторът уведомява комисията в 7-дневен срок от извършването на промяната.
(5) За всяка промяна по ал. 2, т. 2-6 администраторът уведомява комисията предварително. В случаите, когато такава промяна е предвидена в закон, уведомяването се извършва в 7-дневен срок от влизането в сила на съответния закон.
Чл. 16. (1) В 14-дневен срок от уведомяването по чл. 15 комисията:
1. вписва администратора на лични данни в регистъра по чл. 10,
ал. 1, т. 2, ако са изпълнени изискванията на този закон за обработване на лични данни;
2. мотивирано отказва да извърши вписването.
(2) Отказът на комисията по ал. 1 подлежи на обжалване пред Върховния административен съд в 14-дневен срок.
(3) Преди да извърши вписването по ал. 1, комисията може да извърши предварителна проверка и да даде задължителни предписания относно условията за обработване на личните данни и водене на регистър от администратора на лични данни.”
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя за § 15 и на основание чл. 50, ал. 1 от Указ № 883 за прилагане на Закона за нормативните актове предлага § 15 да се раздели на три параграфа - § 12, §13 и § 14, със следната редакция:
“§ 12. Член 14 се изменя така:
“Чл. 14. (1) В регистъра по чл. 10, ал. 1, т. 2 се вписват данните по чл. 18, ал. 2.
(2) Вписването в регистъра по чл. 10, ал. 1, т. 2 се удостоверява с идентификационен номер.
(3) Регистърът по ал. 1 е публичен.”
§ 13. Член 15 се отменя.
§ 14. Член 16 се изменя така:
“Чл. 16. (1) В 14-дневен срок от подаване на заявление за регистрация по чл. 18 комисията вписва администратора на лични данни в регистъра по чл. 10, ал. 1, т. 2, ако са изпълнени изискванията на този закон за обработване на лични данни.
(2) Преди да извърши вписването по ал. 1 комисията може да направи предварителна проверка и да даде задължителни предписания относно условията за обработване на личните данни и водене на регистър от администратора на лични данни.”
§ 16. Наименованието на глава трета се изменя така: “Задължения на администратора на лични данни“.
Становище на КВСОР:
Комисията подкрепя текста на вносителя за § 16, който става § 15.
§ 17. Член 17 се отменя.
Становище на КВСОР:
Комисията не подкрепя текста на вносителя и предлага следната редакция на § 17, който става § 16:
“§ 16. Член 17 се изменя така:
“Чл. 17. (1) Администраторът на лични данни е длъжен да подаде заявление за регистрация, когато е налице поне едно от следните условия:
1. обработва лични данни, които разкриват расов или етнически произход, политически, религиозни или философски убеждения, членство в политически партии или организации, сдружения с религиозни, философски, политически или синдикални цели, както и лични данни, отнасящи се до здравето, сексуалния живот или до човешкия геном;
2. обработва лични данни при упражняване на правомощия, предоставени със закон;
3. поддържа регистър, съдържащ данни за не по-малко от 100 физически лица;
4. получил е задължително предписание за регистрация от комисията.
(2) Администратор може да се регистрира и доброволно, без да има задължение за това.”
§ 18. Членове 18 и 19 се изменят така:
“Чл. 18. (1) В случаите, когато личните данни се събират от лицето, за което се отнасят, администраторът на лични данни или негов представител е длъжен да му предостави следната информация:
1. данни, които идентифицират администратора и неговия представител, ако има такъв;
2. целите на обработването на личните данни;
3. получателите или категориите получатели, на които могат да бъдат разкрити данните;
4. задължителния или доброволния характер на предоставяне на данните и последиците от отказ за предоставянето им;
5. наличието на право на достъп и право на коригиране на събраните данни.
(2) Информацията по ал. 1 не се предоставя, когато физическото лице, за което се отнасят данните, вече разполага с нея или в закон съществува изрична забрана за предоставянето й.
Чл. 19. (1) Когато личните данни не са получени от физическото лице, за което те се отнасят, администраторът на лични данни или негов представител е длъжен да му предостави следната информация:
1. данни, които идентифицират администратора и неговия представител, ако има такъв;
2. целите на обработването на личните данни;
3. категориите лични данни, отнасящи се до съответното физическо лице;
4. получателите или категориите получатели, на които могат да бъдат разкрити данните;
5. наличието на право на достъп и право на коригиране на личните данни.
(2) Информацията по ал. 1 се предоставя незабавно след вписването на данните в съответния регистър или, ако се предвижда разкриване на данните на трето лице – към момента на разкриването им за пръв път.
(3) Алинея 1 не се прилага, когато:
1. обработването е за статистически, исторически или научни цели и предоставянето на информацията по ал. 1 е невъзможно или изисква прекомерни усилия;
2. вписването или разкриването са изрично предвидени в закон;
3. физическото лице, за което се отнасят данните, вече разполага с информацията по ал. 1;
4. е налице изрична забрана за това в закон.”
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя за § 18 и на основание чл. 50, ал. 1 от Указ № 883 за прилагане на Закона за нормативните актове предлага § 18 да се раздели на два параграфа - § 17 и § 18, със следната редакция:
“§ 17. Член 18 се изменя така:
“Чл. 18. (1) Администраторът или негов представител подава заявление за регистрация по чл. 17 и документи по образец, утвърден от комисията, преди започване на обработката на лични данни.
(2) Заявлението съдържа:
1. данните, идентифициращи администратора на лични данни и неговия представител, ако има такъв;
2. целите на обработване на личните данни;
3. категориите физически лица, чиито данни се обработват, и категориите лични данни, отнасящи се до тях;
4. получателите или категориите получатели, на които личните данни могат да бъдат разкрити;
5. предлаганото предоставяне на данни в други държави;
6. общото описание на мерките, предприети съгласно чл. 23, позволяващо изготвянето на предварителна оценка на тяхната целесъобразност.
(3) За всяка промяна на данните по ал. 2, администраторът уведомява комисията преди нейното извършване. В случаите, когато такава промяна е предвидена в закон, уведомяването се извършва в 7-дневен срок от влизането в сила на съответния закон.
(4) В случаите, когато администраторът не е вписан в регистъра по чл. 10, ал. 1, т. 2, той е длъжен да предостави данните по ал. 2 на всяко лице при поискване.”
§ 18. Член 19 се изменя така:
“Чл. 19. (1) В случаите, когато личните данни се събират от лицето, за което се отнасят, администраторът или негов представител е длъжен да му предостави:
1. данните, които идентифицират администратора и неговия представител;
2. целите на обработването на личните данни;
3. получателите или категориите получатели, на които могат да бъдат разкрити данните;
4. данните за задължителния или доброволния характер на предоставяне на данните и последиците от отказ за предоставянето им;
5. информация за правото на достъп и правото на коригиране на събраните данни.
(2) Данните по ал. 1 не се предоставят, когато физическото лице, за което се отнасят, вече разполага с тях или в закон съществува изрична забрана за предоставянето им.”
§ 19. Член 20 се отменя.
Становище на КВСОР:
Комисията не подкрепя текста на вносителя и предлага следната редакция на § 19:
“§ 19. Член 20 се изменя така:
“Чл. 20. (1) Когато личните данни не са получени от физическото лице, за което те се отнасят, администраторът или негов представител е длъжен да му предостави:
1. данните, които идентифицират администратора и неговия представител;
2. целите на обработването на личните данни;
3. категориите лични данни, отнасящи се до съответното физическо лице;
4. получателите или категориите получатели, на които могат да бъдат разкрити данните;
5. информация за правото на достъп и правото на коригиране на събраните данни.
(2) Данните по ал. 1 се предоставят на лицето, за което се отнасят, към момента на вписването им в съответния регистър или, ако се предвижда разкриване на данните на трето лице – не по-късно от момента на разкриването им за пръв път.
(3) Алинея 1 не се прилага, когато:
1. обработването е за статистически, исторически или научни цели и предоставянето на данните по ал. 1 е невъзможно или изисква прекомерни усилия;
2. вписването или разкриването на данни са изрично предвидени в закон;
3. физическото лице, за което се отнасят данните, вече разполага с информацията по ал. 1;
4. е налице изрична забрана за това в закон.”
§ 20. Член 21 се изменя така:
“(1) Администраторът на лични данни е длъжен да осигури достъп на лицата по чл. 12, ал. 1 до водените от него регистри и да не препятства контрола върху процеса по обработване на лични данни.
(2) Администраторът на лични данни е длъжен да предостави исканата от лицата по чл. 12, ал. 1 информация в устен и писмен вид или на други информационни носители.
(3) Когато документацията и информацията съдържат данни, представляващи класифицирана информация, прилага се редът за достъп по Закона за защита на класифицираната информация.
(4) Всички лица, които обработват лични данни, са длъжни да оказват съдействие и да осигуряват подходящи условия на комисията при упражняване на правомощията й.”
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 20:
“§ 20. Член 21 се изменя така:
“Чл. 21. (1) Всяка друга информация извън тази по чл. 19, ал. 1 и чл. 20, ал. 1, свързана с обработването на данните, се предоставя след извършване на преценка за необходимостта от предоставянето с цел гарантиране на справедливо обработване на данните по отношение на физическото лице, за което се отнасят.
(2) Преценката по ал. 1 се извършва от администратора за всеки конкретен случай.”
§ 21. Член 22 се отменя.
Становище на КВСОР:
Комисията не подкрепя текста на вносителя и предлага следната редакция на § 21:
“§ 21. Член 22 се изменя така:
“Чл. 22. (1) Администраторът на лични данни е длъжен да осигури достъп на лицата по чл. 12, ал. 1 до водените от него регистри и да не препятства контрола върху процеса по обработване на лични данни.
(2) Администраторът на лични данни е длъжен да предостави на лицата по чл. 12, ал. 1 исканата информация в устен или писмен вид, или на други информационни носители.
(3) Когато информацията съдържа данни, представляващи класифицирана информация, се прилага редът за достъп по Закона за защита на класифицираната информация.
(4) Всички лица, които обработват лични данни, са длъжни да оказват съдействие на комисията при упражняване на правомощията й.”
§ 22. Член 23 се изменя така:
“(1) Администраторът на лични данни е длъжен да предприеме подходящи технически и организационни мерки, за да защити данните от случайно или незаконно унищожаване или от случайна загуба, изменение, от неправомерно разкриване или достъп, както и от всички други незаконни форми на обработване на лични данни.
(2) Администраторът предприема специални мерки за защита, когато обработването включва предаване на данните по електронен път.
(3) Мерките по ал. 1 и 2 са съобразени със съвременните технологични постижения и осигуряват ниво на защита, което съответства на рисковете, свързани с обработването, и на естеството на данните, които следва да бъдат защитени.
(4) Мерките по ал. 1-3 се определят с вътрешен писмен акт на администратора на лични данни.
(5) Комисията определя с наредба минималното ниво на технически и организационни мерки, както и допустимия вид защита. Наредбата се обнародва в “Държавен вестник.”
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 22:
§ 22. Член 23 се изменя така:
“(1) Администраторът на лични данни предприема необходимите технически и организационни мерки, за да защити данните от случайно или незаконно унищожаване или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработванe.
(2) Администраторът взема специални мерки за защита, когато обработването включва предаване на данните по електронен път.
(3) Мерките по ал. 1 и 2 са съобразени със съвременните технологични постижения и осигуряват ниво на защита, което съответства на рисковете, свързани с обработването, и на естеството на данните, които трябва да бъдат защитени.
(4) Мерките по ал. 1 и 2 се определят с инструкция на администратора на лични данни.
(5) Комисията определя с наредба минималното ниво на технически и организационни мерки, както и допустимия вид защита. Наредбата се обнародва в “Държавен вестник.”
§ 23. В чл. 24 се правят следните изменения:
1. В ал. 1 думите “по чл. 3, ал. 1” се заменят с ”на лични данни”.
2. Алинеи 4-6 се изменят така:
“(4) Взаимоотношенията между администратора и обработващия лични данни се уреждат с нормативен акт или с писмен договор, в които се определя, че:
1. задълженията на администратора са възложени на обработващия данни;
2. обработващият данни действа само по указания на администратора.
(5) За вредите, причинени на трети лица от действия или бездействия на обработващия данни, администраторът отговаря солидарно с него.
(6) Всяко лице, действащо под ръководството на администратора или на обработващия лични данни, включително самия обработващ, което има достъп до лични данни, може да ги обработва само по указание на администратора, освен ако в закон е предвидено друго.”
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 23:
“§ 23. В чл. 24 се правят следните изменения:
1. В ал. 1 думите “по чл. 3, ал. 1” се заличават.
2. Алинея 3 се отменя.
3. Алинеи 4, 5 и 6 се изменят така:
“(4) Отношенията между администратора и обработващия лични данни се уреждат с нормативен акт, писмен договор или с друг акт на администратора, в които се определя обема на задълженията, възложени от администратора на обработващия данните.
(5) За вреди, причинени на трети лица от действия или бездействия на обработващия данни, администраторът отговаря солидарно с него.
(6) Обработващият лични данни, както и всяко лице, действащо под ръководството на администратора или на обработващия, което има достъп до лични данни, може да ги обработва само по указание на администратора, освен ако в закон е предвидено друго.”
§ 24. В чл. 25 ал. 1-3 се изменят така:
“(1) След постигане целта на обработване на личните данни администраторът на лични данни е длъжен:
1. да ги унищожи, или
2. да ги прехвърли, като предварително уведоми за това комисията, на друг администратор, ако прехвърлянето е предвидено в закон и е налице идентичност на целите на обработването.
(2) След постигане целта на обработване на личните данни администраторът на лични данни ги съхранява само в предвидените в закон случаи.
(3) В случаите, когато след постигане целта на обработване администраторът на лични данни иска да съхрани обработените лични данни като анонимни данни за исторически, научни или статистически цели, той трябва да уведоми за това Комисията за защита на личните данни.”
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 24:
“§ 24. В чл. 25 ал. 1, 2 и 3 се изменят така:
“(1) След постигане целта на обработване на личните данни администраторът е длъжен:
1. да ги унищожи, или
2. да ги прехвърли на друг администратор, като предварително уведоми за това комисията, ако прехвърлянето е предвидено в закон и е налице идентичност на целите на обработването.
(2) След постигане целта на обработване на личните данни администраторът ги съхранява само в предвидените в закон случаи.
(3) В случаите, когато след постигане целта на обработване администраторът иска да съхрани обработените лични данни като анонимни данни за исторически, научни или статистически цели, той уведомява за това комисията.”
§ 25. Наименованието на глава пета се изменя така:
“Права на физическите лица”
Становище на КВСОР:
Комисията подкрепя текста на вносителя за § 25.
§ 26. В чл. 26, ал. 2 думите “по чл. 3, ал. 1” се заменят с ”на лични данни”.
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 26:
§ 26. В чл. 26, ал. 2 думите “по чл. 3, ал. 1” се заличават.
§ 27. Членове 27 и 28 се изменят така:
“Чл. 27. Упражняването на правото на достъп до лични данни не може да накърнява правата на друго физическо лице или да е насочено срещу националната сигурност и обществения ред.
Чл. 28. (1) При упражняване на правото си на достъп физическото лице има право по всяко време да поиска от администратора на лични данни:
1. потвърждение за това, дали отнасящи се до него данни се обработват, както и информация най-малко за целите на това обработване, за категориите данни и за получателите или за категориите получатели, на които данните се разкриват;
2. съобщение до него в разбираема форма, съдържащо личните му данни, които се обработват, както и всяка налична информация за техния източник;
3. информация за логиката на всяко автоматизирано обработване на лични данни, отнасящи се до него, поне в случаите на автоматизираните решения по чл. 34б.
(2) Физическото лице може да упражни своето право да получи информация по ал. 1, т. 1-3 безплатно веднъж на 12 месеца.”
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя за § 27 и на основание чл. 50, ал. 1 от Указ № 883 за прилагане на Закона за нормативните актове предлага § 27 да се раздели на два параграфа - § 27 и § 28, със следната редакция:
“§ 27. Член 27 се изменя така:
“Чл. 27. Упражняването на правото на достъп до лични данни не може да накърнява правата на друго физическо лице или да е насочено срещу националната сигурност и обществения ред.”
“§ 28. Член 28 се изменя така:
“Чл. 28. (1) При упражняване на правото си на достъп физическото лице има право по всяко време да поиска от администратора на лични данни:
1. потвърждение за това, дали отнасящи се до него данни се обработват, информация за целите на това обработване, за категориите данни и за получателите или категориите получатели, на които данните се разкриват;
2. съобщение до него в разбираема форма, съдържащо личните му данни, които се обработват, както и всяка налична информация за техния източник;
3. информация за логиката на всяко автоматизирано обработване на лични данни, отнасящи се до него, поне в случаите на автоматизирани решения по чл. 34б.
(2) Физическото лице може да упражни безплатно своето право да получи информация по ал. 1 веднъж на 12 месеца.
(3) При смърт на физическото лице правата му по ал. 1 и 2 се упражняват от неговите наследници.”
§ 28. Създава се чл. 28а:
“Чл. 28а. Физическото лице има право по всяко време да поиска от администратора на лични данни:
1. да заличи, коригира или блокира негови лични данни, обработването на които не отговаря на изискванията на този закон, особено поради непълнота или неточност на данните;
2. да уведоми третите лица, на които са били разкрити личните му данни, за всяко заличаване, коригиране или блокиране, извършено в съответствие с т. 1, с изключение на случаите, когато това е невъзможно или е свързано с прекомерни усилия.”
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 28, който става § 29:
“§ 29. Създава се чл. 28а:
“Чл. 28а. Физическото лице има право по всяко време да поиска от администратора:
1. да заличи, коригира или блокира негови лични данни, обработването на които не отговаря на изискванията на този закон;
2. да уведоми третите лица, на които са били разкрити личните му данни, за всяко заличаване, коригиране или блокиране, извършено в съответствие с т. 1, с изключение на случаите, когато това е невъзможно или е свързано с прекомерни усилия.”
§ 29. В чл. 29 ал. 1-3 се изменят така:
“(1) Правото на достъп по чл. 26 и правата по чл. 28а се осъществяват с писмено заявление до администратора на лични данни.
(2) Заявление може да бъде отправено и по електронен път по реда на Закона за електронния документ и електронния подпис.
(3) Заявлението по ал. 1 се отправя лично от физическото лице или от изрично упълномощено от него друго лице чрез нотариално заверено пълномощно.”
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 29, който става § 30:
“§ 30. В член 29 се правят следните изменения:
“1. Алинеи 1, 2 и 3 се изменят така:
“(1) Правото на достъп по чл. 26 и правата по чл. 28а се осъществяват с писмено заявление до администратора на лични данни.
(2) Заявление може да бъде отправено и по електронен път по реда на Закона за електронния документ и електронния подпис.
(3) Заявлението по ал. 1 се отправя лично от физическото лице или от изрично упълномощено от него лице чрез нотариално заверено пълномощно.”
2. Алинея 4 се отменя.”
§ 30. Член 30 се изменя така:
“Чл. 30. (1) Заявлението по чл. 29 съдържа:
1. името, адреса и други необходими данни за идентифициране на съответното физическо лице;
2. описание на искането;
3. предпочитана форма за предоставяне на информацията по чл. 28, ал. 1, т. 1-3;
4. подпис, дата на подаване на заявлението и адрес за кореспонденция.
(2) При подаване на заявление от упълномощено лице към заявлението се прилага и съответното нотариално заверено пълномощно.
(3) Заявленията по чл. 29 се завеждат от администратора на лични данни в регистър.
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 30, който става § 31:
“§ 31. Член 30 се изменя така:
“Чл. 30. (1) Заявлението по чл. 29 съдържа:
1. име, адрес и други данни за идентифициране на съответното физическо лице;
2. описание на искането;
3. предпочитана форма за предоставяне на информацията по чл. 28, ал. 1;
4. подпис, дата на подаване на заявлението и адрес за кореспонденция.
(2) При подаване на заявление от упълномощено лице към заявлението се прилага и нотариално завереното пълномощно.
(3) Заявленията по чл. 29 се завеждат в регистър от администратора.”
§ 31. В чл. 31 се правят следните изменения:
1. Алинея 1 се изменя така:
“(1) Информацията по чл. 28, ал. 1, т. 1-3 може да бъде предоставена под формата на устна или писмена справка или на преглед на данните от съответното физическо лице или от изрично упълномощено от него друго лице.”
2. Алинея 3 се изменя така:
“(3) Администраторът на лични данни е длъжен да се съобрази с предпочитаната от заявителя форма на предоставяне на информацията по
чл. 28, ал. 1, т. 1-3.
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 31, който става § 32:
“§ 32. В чл. 31 се правят следните изменения:
1. Алинея 1 се изменя така:
“(1) Информацията по чл. 28, ал. 1 може да бъде предоставена под формата на устна или писмена справка или на преглед на данните от съответното физическо лице или от изрично упълномощено от него друго лице.”
2. Алинея 3 се изменя така:
“(3) Администраторът на лични данни е длъжен да се съобрази с предпочитаната от заявителя форма на предоставяне на информацията по
чл. 28, ал. 1.”
§ 32. Член 32 се изменя така:
“Чл. 32. (1) В случаите по чл. 28, ал. 1, т. 1-3 администраторът на лични данни или изрично определено от него лице разглежда заявлението по чл. 29 и се произнася в 14-дневен срок от подаването му.
(2) Срокът по ал. 1 може да бъде мотивирано удължен от администратора на лични данни до 30 дни в случаите по чл. 28, ал. 1, т. 1 и 2, когато обективно се изисква по-дълъг срок за събирането на всички искани данни и това сериозно затруднява дейността на администратора.
(3) В срока по ал. 1 администраторът взема решение за предоставянето на пълна или частична информация по чл. 28, ал. 1, т. 1-3 на заявителя или отказва мотивирано предоставянето й.
(4) В случаите по чл. 28а, т. 1 администраторът на лични данни взема решение и извършва съответното действие в 10-дневен срок от подаване на заявлението по чл. 29 или мотивирано отказва извършването му.
(5) В случаите по чл. 28а, т. 2 администраторът на лични данни взема решение в срока по ал. 4 и незабавно уведомява третите лица или мотивирано отказва да извърши уведомяването.”
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 32, който става § 33:
“§ 33. Член 32 се изменя така:
“Чл. 32. (1) В случаите по чл. 28, ал. 1 администраторът на лични данни или изрично оправомощено от него лице разглежда заявлението по чл. 29 и се произнася в 14-дневен срок от неговото подаване.
(2) Срокът по ал. 1 може да бъде удължен от администратора до 30 дни в случаите по чл. 28, ал. 1, т. 1 и 2, когато обективно се изисква по-дълъг срок за събирането на всички искани данни и това сериозно затруднява дейността на администратора.
(3) В 14-дневен срок администраторът взема решение за предоставянето на пълна или частична информация по чл. 28, ал. 1 на заявителя или мотивирано отказва предоставянето й.
(4) В случаите по чл. 28а, т. 1 администраторът взема решение и извършва съответното действие в 14-дневен срок от подаване на заявлението по чл. 29 или мотивирано отказва извършването му.
(5) В случаите по чл. 28а, т. 2 администраторът на лични данни взема решение в 14-дневен срок и незабавно уведомява третите лица или мотивирано отказва да извърши уведомяването.”
§ 33. В чл. 33 се правят следните изменения и допълнения:
1. Алинея 1 се изменя така:
“(1) Администраторът на лични данни писмено уведомява заявителя за решението или отказа си по чл. 32, ал. 3-5 в съответния срок.”
2. Създава се ал. 3:
“(3) Липсата на уведомление по ал. 1 се счита за отказ.”
Становище на КВСОР:
Комисията подкрепя текста на вносителя за § 33, който става § 34.
§ 34. В чл. 34 се правят следните изменения:
1. Алинея 1 се изменя така:
“(1) Администраторът на лични данни отказва достъп до тях, когато данните не съществуват или предоставянето им е забранено със закон.”
2. Алинея 2 се отменя.
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 34, който става § 35:
“§ 35. В чл. 34 се правят следните изменения:
“1. Алинея 1 се изменя така:
“(1) Администраторът отказва достъп до лични данни, когато те не съществуват или предоставянето им е забранено със закон.”
2. Алинея 2 се отменя.
3. Алинея 3 се изменя така:
(3) Администраторът отказва пълно или частично предоставяне на данни на лицето, за което те се отнасят, когато от това би възникнала опасност за отбраната или националната сигурност или за защитата на класифицираната информация. Отказът не се мотивира, като се посочва само правното основание.”
§ 35. Създават се чл. 34а и 34б:
“Чл. 34а. (1) Физическото лице, за което се отнасят данните, има право:
1. да възрази безплатно пред администратора на лични данни по всяко време и при наличието на законово основание срещу обработването на негови лични данни; когато възражението е основателно, личните данни на съответното физическо лице не могат повече да бъдат обработвани;
2. да възрази безплатно срещу обработването на личните му данни за целите на директен маркетинг;
3. да бъде уведомено, преди личните му данни да бъдат разкрити за пръв път на трети лица или използвани от тяхно име за целите по т. 2, като му бъде предоставена възможност да възрази безплатно срещу такова разкриване или използване.
(2) Администраторът на лични данни приема подходящи мерки, които гарантират, че физическото лице, за което се отнасят данните, е уведомено за правата си по ал. 1, т. 2 и 3.
Чл. 34б. (1) Недопустимо е решение на администратор на лични данни, което:
1. има правни или други съществени последици за физическото лице, и
2. е основано единствено на автоматично обработване на лични данни, предназначено да оценява лични характеристики на физическото лице.
(2) Алинея 1 не се прилага, когато решението:
1. е взето по време на сключването или изпълнението на договор, при условие че подадената от съответното физическо лице молба за сключване или изпълнение на договора е била удовлетворена или че съществуват подходящи мерки, гарантиращи законните му интереси;
2. е регламентирано в закон, уреждащ и мерките за защита на законните интереси на лицето.
(3) Физическото лице има право да поиска от администратора на лични данни да преразгледа отнасящо се до него решение, прието в нарушение на ал. 1.”
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 35, който става § 36:
§ 36. След чл. 34 се създават чл. 34а и чл. 34б:
“Чл. 34а. (1) Физическото лице, за което се отнасят данните, има право:
1. да възрази пред администратора срещу обработването на личните му данни при наличие на законово основание за това; когато възражението е основателно, личните данни на съответното физическо лице не могат повече да бъдат обработвани;
2. да възрази срещу обработването на личните му данни за целите на директния маркетинг;
3. да бъде уведомено, преди личните му данни да бъдат разкрити за пръв път на трети лица или използвани от тяхно име за целите по т. 2, като му бъде предоставена възможност да възрази срещу такова разкриване или използване.
(2) Администраторът уведомява физическото лице за правата му по ал. 1, т. 2 и 3.
Чл. 34б. (1) Решението на администратора е недопустимо, когато:
1. има правни или други съществени последици за физическото лице, и
2. е основано единствено на автоматизирано обработване на лични данни, предназначено да оценява лични характеристики на физическото лице.
(2) Алинея 1 не се прилага, когато решението е:
1. взето по време на сключването или изпълнението на договор, при условие че подадената от съответното физическо лице молба за сключване или изпълнение на договора е била удовлетворена или че съществуват подходящи мерки, гарантиращи законните му интереси;
2. уредено в закон, предвиждащ и мерки за защита на законните интереси на лицето.
(3) Физическото лице има право да поиска от администратора да преразгледа решението, прието в нарушение на ал. 1.”
§ 36. Членове 35 и 36 се изменят така:
“Чл. 35. (1) Предоставянето на лични данни от администратора на трети лица се допуска, ако е налице основание по чл. 4.
(2) В случаите по ал. 1 се отправя писмено искане, в което се посочва основанието за предоставяне на лични данни.
(3) Администраторът на лични данни се произнася по отправеното искане в 14-дневен срок, като предоставя исканите данни или мотивирано отказва предоставянето им.
(4) Администраторът на лични данни писмено уведомява третото лице за решението си по ал. 3.
(5) Предоставянето на лични данни или отказът могат да се обжалват от заинтересуваните лица по реда на глава седма.
Чл. 36. (1) Предоставянето на лични данни в държави - членки на Европейския съюз, се извършва свободно.
(2) Предоставяне на лични данни в трета държава се допуска само ако тя осигурява адекватно ниво на защита на личните данни на своя територия.
(3) Преценката на адекватността на нивото на защита на личните данни в трета държава се извършва от комисията, като се вземат предвид всички обстоятелства, свързани с действието или съвкупността от действията по предоставянето на данните.
(4) Изискването по ал. 2 не се прилага, когато предоставянето на лични данни се извършва съгласно международен договор, по който Република България е страна и който е ратифициран, обнародван и влязъл в сила.
(5) Извън случаите по ал. 2 и 4 администраторът може да предоставя лични данни в друга държава, ако:
1. лицето, за което се отнасят данните, е дало изрично съгласие за това;
2. предоставянето е необходимо за изпълнението на договор между физическото лице и администратора или се осъществява по молба на лицето;
3. предоставянето е необходимо за изпълнение на договор, сключен в интерес на физическото лице между администратора и друг субект;
4. предоставянето е необходимо или се изисква от закона поради значим обществен интерес или за установяването, упражняването или защитата на права по съдебен ред;
5. предоставянето е необходимо, за да се защитят жизненоважни интереси на лицето, за което се отнасят данните;
6. се предоставят данни, които са общодостъпни.”
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя за § 36 и на основание чл. 50, ал. 1 от Указ № 883 за прилагане на Закона за нормативните актове предлага § 36 да се раздели на два параграфа - § 37 и § 38, със следната редакция:
“§ 37. Член 35 се изменя така:
“Чл. 35. (1) Предоставянето на лични данни от администратора на трети лица се допуска, ако:
1. е налице някое от основанията по чл. 4;
2. източниците на данни са публични регистри или документи, съдържащи обществена информация, за която е осигурен достъп по ред, определен в закон.
(2) В случаите по ал. 1, т. 1 се отправя писмено искане, в което се посочва основанието за предоставяне на лични данни.
(3) Администраторът се произнася с решение по искането в 14-дневен срок, като предоставя исканите данни или мотивирано отказва предоставянето им.
(4) Администраторът писмено уведомява третото лице за решението си по ал. 3.
(5) Предоставянето на лични данни или отказът могат да се обжалват от заинтересуваните лица по реда на глава седма.”
§ 38. Член 36 се изменя така:
“Чл. 36. (1) Предоставянето на лични данни от администратора на чуждестранни физически и юридически лица или на чужди държавни органи се допуска с разрешение на Комисията за защита на личните данни, ако нормативните актове на страната-получател гарантират по-добра или еднаква с предвидената в този закон защита на данните.
(2) При прехвърлянето на лични данни в случаите по ал. 1 се спазват изискванията на този закон.”
Комисията предлага да се създаде § 39:
“§ 39. Създава се чл. 36а:
“Чл. 36а. (1) Предоставянето на лични данни в държава-членка на Европейския съюз, както и в друга държава-членка на Европейското икономическо пространство, се извършва свободно при спазване на изискванията на този закон.
(2) Предоставяне на лични данни в трета държава се допуска, само ако тя осигурява адекватно ниво на защита на личните данни на своя територия.
(3) Преценката на адекватността на нивото на защита на личните данни в трета държава се извършва от Комисията за защита на личните данни, като се вземат предвид всички обстоятелства, свързани с действието или съвкупността от действията по предоставянето на данните, включително характера на данните, целта и продължителността на обработването им, правната им уредба и мерките за сигурност, осигурени в третата държава.
(4) Преценка по ал. 3 не се извършва, когато Европейската комисия се е произнесла с решение относно нивото на защита на личните данни в третата държава, на която се предоставят данните.
(5) Изискването по ал. 2 не се прилага, когато предоставянето на лични данни се извършва съгласно международен договор, ратифициран, обнародван и влязъл в сила за Република България.
(6) Извън случаите по ал. 2 и 4 администраторът може да предоставя лични данни в трета държава, ако:
1. лицето, за което се отнасят данните, е дало изрично съгласие за това;
2. предоставянето е необходимо за изпълнението на договор между физическото лице и администратора или се осъществява по молба на лицето;
3. предоставянето е необходимо за изпълнение на договор, сключен в интерес на физическото лице между администратора и друг субект;
4. предоставянето е необходимо или се изисква от закона поради значим обществен интерес или за установяването, упражняването или защитата на права по съдебен ред;
5. предоставянето е необходимо, за да се защитят живота и здравето на лицето, за което се отнасят данните;
6. се предоставят данни, които са общодостъпни.
(7) Предоставянето на лични данни в трети държави е допустимо във всички случаи, когато то се извършва единствено за целите на журналистическата дейност, литературното или художественото изразяване, доколкото това обработване не нарушава правото на личен живот на лицето, за което се отнасят данните.”
§ 37. Създава се чл. 36а:
“Чл. 36а. Извън случаите по чл. 36 предоставянето на лични данни в трета държава се извършва след разрешение на комисията, при условие че администраторът, предоставящ данните, и администраторът, който ги получава, представят достатъчно гаранции за защитата им.”
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 37, който става § 40:
“§ 40. Създава се чл. 36б:
“Чл. 36б. (1) Извън случаите по чл. 36а предоставянето на лични данни в трета държава се извършва след разрешение на Комисията за защита на личните данни, при условие че администраторът, предоставящ данните, и администраторът, който ги получава, представят достатъчно гаранции за защитата им.
(2) Комисията уведомява Европейската комисия и компетентните органи на другите държави-членки за разрешенията, предоставени по ал. 1.”
§ 38. Член 37 се отменя.
Становище на КВСОР:
Комисията подкрепя текста на вносителя за § 38, който става § 41.
§ 39. В чл. 38 се правят следните изменения:
1. Алинеи 1 и 2 се изменят така:
“(1) Физическото лице, за което се отнасят данните, може да сезира комисията при нарушаване на правата му по този закон в 30-дневен срок от узнаване на нарушението, но не по-късно от една година от извършването му.
(2) Комисията за защита на личните данни се произнася в 30-дневен срок от сезирането с решение, като може да даде задължителни предписания или да приложи принудителни административни мерки на администратора на лични данни, да определи срок за отстраняване на нарушението, както и да наложи административно наказание.”
2. Алинея 3 се отменя.
3. В ал. 5 думите “във връзка с ал. 1” се заменят с “по ал. 2”.
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 39, който става § 42:
“§ 42. В чл. 38 се правят следните изменения:
“1. Алинеи 1 и 2 се изменят така:
“(1) При нарушаване на правата му по този закон всяко физическо лице има право да сезира Комисията за защита на личните данни в 30-дневен срок от узнаване на нарушението, но не по-късно от една година от извършването му.
(2) Комисията се произнася в 30-дневен срок от сезирането с решение, като може да даде задължителни предписания, да определи срок за отстраняване на нарушението или да наложи административно наказание.”
2. Алинея 3 се отменя.
3. В ал. 5 думите “във връзка с ал. 1” се заменят с “по ал. 2”.”
§ 40. В чл. 39 се правят следните изменения и допълнения:
1. Алинеи 1 и 2 се изменят така:
“(1) При нарушаване на правата му по този закон всяко физическо лице може да обжалва действия и актове на администратора по съдебен ред пред съответния окръжен съд или пред Върховния административен съд по общите правила за подсъдност в срока по чл. 38, ал. 1.
(2) В производството по ал. 1 физическото лице може да иска обезщетение за претърпените от него вреди вследствие на неправомерно обработване на лични данни от страна на администратора.”
2. Създава се нова ал. 3:
“(3) Физическото лице не може да сезира съда, ако има висящо производство пред комисията за същото нарушение или нейно решение относно същото нарушение е обжалвано и няма влязло в сила решение на съда. По искане на физическото лице комисията удостоверява липсата на висящо производство пред нея по същия спор.”
3. Досегашната ал. 3 става ал. 4 и в нея думите “указанията по
чл. 38, ал. 3” се заменят с “предписанията по чл. 38, ал. 2”, а думата “предписания” се заменя с “указания”.
4. Досегашната ал. 4 става ал. 5 и в нея думите ”по ал. 1 и 3” се заменят с “по ал. 4”.
Становище на КВСОР:
Комисията подкрепя текста на вносителя за § 40, който става § 43.
§ 41. Членове 40 и 41 се отменят.
Становище на КВСОР:
Комисията подкрепя текста на вносителя за § 41, който става § 44.
§ 42. Член 42 се изменя така:
“Чл. 42. (1) За нарушения по чл. 3, ал. 2 и чл. 4 администраторът на лични данни се наказва с глоба или с имуществена санкция в размер от
10 000 до 100 000 лв.
(2) За нарушения по чл. 5 и 5а администраторът на лични данни се наказва с глоба или с имуществена санкция в размер от 10 000 до 100 000 лв.
(3) За нарушения по чл. 18, ал. 1 и чл. 19, ал. 1 администраторът на лични данни се наказва с глоба или с имуществена санкция в размер от 5000 до 30 000 лв.
(4) Администратор на лични данни, който обработва лични данни, без да е регистриран по този закон, се наказва с глоба или с имуществена санкция в размер от 1000 до 10 000 лв.
(5) Администратор на лични данни, който не се произнесе в срок по заявление по чл. 29, се наказва с глоба или с имуществена санкция в размер от 1000 до 20 000 лв., ако не подлежи на по-тежко наказание.
(6) За отказ от съдействие на комисията във връзка с контролните й правомощия лицата се наказват с глоба или с имуществена санкция в размер от 1000 до 10 000 лв.
(7) За всички други нарушения по този закон виновните лица се наказват с глоба или с имуществена санкция в размер от 500 до 5000 лв. Когато нарушението по този закон е извършено повторно, глобата, съответно имуществената санкция, е в двоен размер.”
Становище на КВСОР:
Комисията подкрепя по принцип текста на вносителя и предлага следната редакция на § 42, който става § 45:
“§ 45. Член 42 се изменя така:
“Чл. 42. (1) За нарушения по чл. 2, ал. 2 и чл. 4 администраторът на лични данни се наказва с глоба или с имуществена санкция от
10 000 до 100 000 лв.
(2) За нарушения по чл. 5 администраторът се наказва с глоба или с имуществена санкция от 10 000 до 100 000 лв.
(3) За нарушения по чл.
