Чл. 1. /1/ Народното събрание на Република България, с ЕИК по БУЛСТАТ 000695018 и адрес: София 1169, пл. „Народно събрание“ № 2, има качеството на „администратор на лични данни“ по отношение на личните данни, обработването, на които е необходимо за изпълнение на функциите му съгласно Регистъра на дейностите по обработка.

/2/ В качеството си на публичен орган Народното събрание определя длъжностно лице по защита на личните данни. Данните за контакт с него са: адрес: гр. София, пл. „Княз Александър I“ №1, телефон: 0882009266, електронен адрес за кореспонденция: gdpr@parliament.bg.

Чл. 2. /1/ Настоящите Вътрешни правила за защита на личните данни /наричани за краткост „Вътрешни правила“/ уреждат организацията на обработване и защитата на лични данни на физическите лица, получени при осъществяване на дейността на Народното събрание. 

 /2/ Вътрешните правила са предназначени за всички парламентарни служители, които в рамките на служебните си задължения, съгласно Правилника за работата на администрацията на Народното събрание, обработват лични данни, на които Народното събрание е администратор. 

Чл. 3. /1/ Достъпът до лични данни в Народното събрание се осъществява при прилагане на принципа „Необходимост да се знае”.

/2/ Право на достъп до носителите на лични данни имат само лицата:

а) които обработват данни в изпълнение на служебните си задължения съгласно договорa и длъжностната характеристика за съответната длъжност;

б) които са оторизирани чрез изричен акт на Председателя на Народното събрание;

в) които изпълняват сключени с Народното събрание договори.

/3/ Достъп до личните данни се предоставя след запознаване на лицата с нормативната уредба в областта на защитата на личните данни, настоящите правила и процедури за защита на личните данни на администратора, което се осъществява от Длъжностното лице по защита на данните. 

/4/ Оторизираните с право на достъп лица подписват Декларация за конфиденциалност на личните данни /Приложение № 1/, до които получават достъп при и по повод изпълнение на задълженията си, както и за преминалото обучение по ал. 3. 

/5/  Декларацията по ал. 4 се предоставя на лицата от Дирекция „Управление на човешките ресурси“ при тяхното назначаване и се прилага към трудовото досие. 

/6/ Лицата, които имат достъп до лични данни носят отговорност за опазване на носителите, съдържащи лични данни. Всяко умишлено нарушение на правилата и ограниченията за достъп до личните данни може да бъде основание за налагане на дисциплинарни или гражданскоправни санкции, а в определени случаи и наказателна отговорност.

Чл. 4. /1/ В изпълнение на принципа за законосъобразност Народното събрание обработва лични данни само при наличие на основание за конкретна обработка.

/2/ Лични данни се обработват при наличие на поне едно от следните основания: 

а) обработването е необходимо, за сключване на договор /предприемане на  действия за сключване на договор или е необходимо във връзка с изпълнението на вече сключен договор;

б) обработването е необходимо за изпълнение на определено правно  задължение;

в) обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;

г) обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице;

д) обработването е основано на  доброволно и информирано съгласие на субекта на данните.

Чл.5 /1/ Обработване на данни, на основание съгласие на субекта, съгласно чл.4, ал.2, б „д“ се извършва когато не е налице някое от основанията, предвидени в чл.4, ал.2, б „а“ – „г“. 

/2/ В случаите, когато се обработват данни на деца под 14-годишна възраст, това обработване е законосъобразно, само ако и доколкото такова съгласие е дадено от родител или настойник на детето.

/3/ За изпълнение и доказване на изпълнението на задължението на Народното събрание за наличие на информирано съгласие, на субектите на данни се предоставя Декларация за съгласие по образец /Приложение № 2/.

/4/ Народното събрание осигурява възможност на субекта на данни по всяко време да оттегли своето съгласие за обработване на данни, като подаде Декларация за оттегляне на съгласие /Приложение № 3/

/5/ Декларациите по ал. 3 и ал. 4 се съхраняват в административното звено, което извършва обработване на личните данни, на основание даденото съгласие.

Чл.6 /1/ За постигане на конкретно определени цели Народното събрание обработва и специални категории лични данни.   

/2/ Обработване на чувствителни лични данни се извършва само в случаите, когато:

а) субектът на данни е дал своето изрично съгласие за обработването на тези 

лични данни за една или повече конкретни цели;

б) обработването е необходимо за целите на изпълнението на задълженията и упражняването на специалните права на администратора или на субекта на данните по силата на трудовото право и правото в областта на социалната сигурност и социалната закрила, дотолкова, доколкото това е разрешено от правото на ЕС или националното законодателство, в което се предвиждат подходящи гаранции за основните права и интересите на субекта на данните;

в) обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице, когато субектът на данните е физически или юридически неспособен да даде своето съгласие;

г) обработването е свързано с лични данни, които явно са направени обществено достояние от субекта на данните; 

д) обработването е необходимо с цел установяване, упражняване или защита на правни претенции; 

е) обработването е необходимо по причини от важен обществен интерес на основание правото на ЕС или националното законодателство, което е пропорционално на преследваната цел, зачита същността на правото на защита на данните и предвижда подходящи и конкретни мерки за защита на основните права и интересите на субекта на данните;

ж) обработването е необходимо за целите на трудовата медицина, за оценка на трудоспособността на служителя или за целите на управлението на социалните услуги, на нормативно основание;

з) обработването е необходимо за целите на архивирането в обществен интерес, или за статистически цели.

/3/ Лични данни относно присъди се обработват само на нормативно основание.

Чл. 7./1/ В изпълнение на изискванията за добросъвестност и прозрачност на обработката, съгласно които на лицата следва да е ясно по какъв начин отнасящи се до тях лични данни се събират, използват, или обработват по друг начин, както и в какъв обхват се извършва или ще се извършва обработването на данните, Народното събрание информира субектите на данни за тази обработка. 

/2/ Информирането на субектите на данни се извършва чрез Съобщение за поверителност за конкретна дейност или за свързани дейности по обработка, което съдържа следната информация: данни за контакт с Народното събрание, данни за контакт с длъжностното лице за защита на данните, обхват, цел и адресати на съобщението за поверителност, категории лични данни и категории субекти на които се обработват данни, правно основание и цели на обработването, източници за събиране на лични данни, информация за срока на съхранение на данните, разкриване и предаване на данни в трети държави или на международни организации, автоматизирано вземане на решения и профилиране, мерки за сигурност на данните, информация за упражняване правата на субектите на данни. 

/3/ В случаите на планиране на нов процес на обработване се преценява необходимостта от изготвяне на Съобщение за поверителност за тази обработка. 

/4/ Длъжностното лице по защита на данните прави периодичен преглед на дейностите по обработка на данни и изготвя Съобщения за поверителност, когато това е необходимо.

 Чл. 8. /1/ Народното събрание събира лични данни за конкретни, точно определени от закона /по правило/ или от Народното събрание /по изключение/ цели. 

/2/ Допълнителна обработка е допустима единствено за целите на архивирането в обществен интерес или за статистически цели, в които случаи не е налице несъвместимост на поставените цели. Дейностите по архивиране се извършват при спазване на изискванията, определени с Правилата за дейността на архива на Народното събрание.

Чл. 9. Народното събрание не изисква предоставянето на повече данни от необходимите. Обемът на изискуемите данни в повечето случаи е нормативно определен, а когато такова нормативно определяне липсва, съобразяването на принципа е задължение на парламентарните служители, определящи обема на изискваната от субектите на личните данни информация. 

Чл. 10. /1/ Народното събрание предоставя възможност за актуализиране на неточни и непълни данни по реда за упражняване на правото на коригиране, описан във Вътрешните правила за упражняване на права от субекта на данните по чл. 22, ал. 4 от настоящите Вътрешни правила. 

/2/ Коригиране на лични данни се извършва и по друг ред, когато това е предвидено в нормативната уредба на дейността на Народното събрание. 

Чл. 11. /1/ Народното събрание съхранява лични данни на хартиен и/или електронен носител, само за времето, необходимо за изпълнение на дейностите за обработката им и/или нормалното му функциониране, или когато в нормативен документ е определен друг период за тяхното съхранение. 

/2/ При спазване на изискванията на Закона за националния архивен фонд (Обн. ДВ. бр.57 от 13 Юли 2007г.), сроковете за съхранение са определени в Номенклатурата на делата със срокове за съхраняване.

/3/ Правилата за съхранение, включително срокът за съхранение, както и правилата за унищожаване, когато такива не са определени в нормативната уредба или в Номенклатурата на делата със срокове за съхраняване, се определят с Вътрешни правила  за съхранение и унищожаване на лични данни.

/4/ След постигане на целите, за които са събрани, след изтичане на срока за съхранение, по искане на субекта на данните /ако е приложимо/ или ако обработката е била незаконосъобразна, данните се унищожават, независимо от вида на носителя им, по начин, който не позволява възстановяването им. 

/5/ Редът за унищожаване на документи, съдържащи лични данни е определен във Вътрешните правила за съхранение и унищожаване на лични данни, съгласно ал.3. 

Чл. 12. /1/ Народното събрание предприема мерки за защита на личните данни от случайно или незаконно унищожаване, от неправомерен достъп, от изменение или разпространение, както и от други незаконни форми на обработване.

 /2/ Предприеманите мерки са съобразени със съвременните технологични изисквания и рисковете, свързани с естеството на данните, които трябва да бъдат защитени.

Чл.13. /1/ Народното събрание прилага мерки за защита на личните данни, които осигуряват: физическа защита, персонална защита, документална защита, защита на автоматизирани информационни системи и/или мрежи, криптографска защита, защита на личните данни при отношения с трети страни и доставчици.

/2/ Техническите и организационните мерки за защита на личните данни в Народното събрание се уреждат с отделни правила. 

Защита по проектиране и по подразбиране

Чл. 14. /1/ При планиране и предоставяне на нови услуги, Народното събрание осигурява защита по проектиране и подразбиране съгласно изискванията на Общия регламент за защита на личните данни, с изключение на случаите когато дейностите по обработка са предвидени в нормативен акт.

/2/ Прилагането на изискванията за „Защита на личните данни по проектиране“ и „Защита на личните данни по подразбиране“ изисква мерките за защита на данните да бъдат взети под внимание на всички етапи от създаването до заличаването на личните данни и на всички етапи на конкретен проект /проектиране, одобряване и внедряване/, на всички процеси /проекти, приложения или начини на работа/, които определят обработката на лични данни при осъществяване на дейността на Народното събрание. 

/3/ Изискването за осигуряване на „Защита на личните данни по проектиране“ включва редица фактори, които трябва да бъдат взети под внимание от всички структурни звена на Народното събрание, отговорни за обработката на лични данни. 

/4/ За осигуряване на „Защита на личните данни по проектиране“, Народното събрание прилага принципите за защита на личните данни, както следва:

а) При планиране на всяка дейност по обработка на данни ясно се дефинира и документира целта на дейността. При разглеждането на целите на обработката на данни се отчита как и по отношение на кои лица е било извършено информирането за използването на личните им данни. В случаите, когато дейността представлява нова /допълнителна/ обработка на лични данни, се изисква уведомяване на физическите лица чрез Съобщение за поверителност. Ако не е налице друго основание за новата обработка, следва да бъде поискано тяхното съгласие.

б) При планиране на всяка дейност по обработка е необходимо да се:

1. установи точният обем на данните, необходими за определената цел;

2. планира обработка само на лични данни, необходими за осъществяване на законната и определена цел;

3. изключва обработка на лични данни само защото са лесно достъпни /например от съществуваща база данни/ или защото за тях може да се счита, че е „добре да ги има“ или да имат бъдеща, неопределена полезност;

4. събират и обработват личните данни само за минималния брой лица, необходими за ефективността на планирания процес; 

5. предвиди необходимостта от анонимизиране на данните или сигурното им изтриване веднага, щом вече не се изискват /при липса на конкретно законово изискване да се съхраняват данните за по-дълго време/;

6. осигури възможност различните видове данни да могат да бъдат изтрити по различни периоди от време, в зависимост от съответната цел, без да се засяга качеството на останалите данни;

7. вземе предвид мястото, където ще се съхраняват данните; 

8. ограничи достъпът до лични данни само до лицата /парламентарни служители или доставчици на услуги/, за които е необходимо да имат достъп до личните данни за определените им задачи, и единствено в изпълнение на определената цел на процеса; 

9. следи достъпът до личните данни, така че нарушенията да могат по-лесно да бъдат открити и проследени, ако е технически осъществимо. Всяко такова проследяване следва да се изпълнява по начин, който отчита правото на защита на личните данни на парламентарните служители или на третите лица, доставчици на услуги /както и на техните служители/; 

10. осигури анонимизиране или псевдонимизиране на личните данни, ако не е необходимо директно да се идентифицират определени лица;

11. гарантира, че мерките за сигурност се прилагат във връзка с всички дейности по обработка на данни. За изпълнението на това изискване е необходимо да се измерят конкретните рискове по утвърдена Стратегия за управление на риска в Народното събрание. Когато се очаква рискът за физическите лица от обработващата дейност да е висок, се извършва оценка на въздействието върху защитата на данните, като се прилагат Вътрешни правила и Методология за оценка на въздействието, съгласно чл.20 от настоящите Вътрешни правила.

в) При планирането на всяка дейност по обработка следва да се гарантира, че Народното събрание е в състояние да създаде възможност за упражняване на всички права на субектите на данни.

/5/ За съответствието на всяка планирана обработка с принципите на Регламента и изискванията по ал. 4 се извършва анализ и оценка на съответствието, съгласно Методика за оценка на съответствието /Приложение №4 /.

/6/ Отговорност за осигуряване на „Защита на личните данни по проектиране“ и „Защита по подразбиране“ носи ръководителят на организационното звено, което планира извършването на процеса по обработка. 

  Чл. 15. /1/ Народното събрание изисква осигуряване на адекватни технически и организационни мерки от обработващите от негово име лични данни, които са включени в договора с всеки обработващ.

/2/ Условията, при които обработващият извършва от името на Народното събрание операциите по обработка на данни се дефинират и конкретизират в Споразумение за обработване на лични данни /Приложение №5/.

Чл. 16. /1/ Принципът за цялостност и поверителност при обработването на лични данни в Народното събрание се реализира и чрез осигуряване на адекватни действия на парламентарните служители в случай на нарушения на сигурността.

/2/ Описание на необходимите действия, които трябва да бъдат предприети от ръководството и служителите на Народното събрание за постигане на ефективно управление на нарушенията на сигурността на личните данни се съдържа във Вътрешни правила за действие при нарушение на сигурността на личните данни.  

/3/ Народното събрание уведомява Комисията за защита на личните данни и засегнатите субекти на данни, когато е необходимо съгласно нормативните изисквания, за нарушението на сигурността на личните данни. 

Чл. 17./1/ В изпълнение на принципа за отчетност, Народното събрание документира изпълнението на всички свои задължения за защита на личните данни. 

/2/ Цялата документация е достъпна в служебна директория с електронен адрес: www2.parliament.bg/store. 

Чл. 18. /1/ Народното събрание поддържа постоянно Регистри на дейностите по обработка на данни.

/2/ Регистърът на дейностите по обработка на данни, извършвани от Народното събрание в качеството на администратор на лични данни е със следното минимално съдържание:

   а) името и координатите за връзка на администратора;

   б) името и координатите за връзка с длъжностното лице по защита на данните;    

   в) запис на категориите дейности по обработка на лични данни;

   г) целите на обработването;

   д) описание на категориите субекти на данни;

   е) описание на категориите лични данни;

   ж) описание на получателите, пред които са или ще бъдат разкрити личните        данни, включително получателите в трети държави или международни организации;

   з) срок за съхранение и изтриване на лични данни;

   и) когато е възможно, общо описание на техническите и организационни        мерки за сигурност.

              /3/ Регистърът на дейностите по обработка на лични данни, извършвани от Народното събрание в качеството на обработващ лични данни е със следното минимално съдържание:

                а) името и координатите за връзка с обработващия лични данни;

                б) името и координатите за връзка на всеки администратор, от чието име действа обработващият;

                в) името и координатите за връзка на длъжностното лице по защита на данните на обработващия (когато е определено такова);

                г) категориите обработване, извършвано от името на всеки администратор;

                д) когато е възможно, общо описание на техническите и организационни мерки за сигурност.

/4/ Регистрите на дейностите по обработка по ал. 2 и ал. 3 се поддържат в писмена форма. /Приложение №6/.

/5/ Отговорност за създаването и поддържането на регистрите в актуален вид носят ръководителите на организационните звена, които извършват дейности по обработка на личните данни. Те извършват периодичен преглед поне веднъж на три месеца и при необходимост актуализират данните за организационното звено, за което отговарят. 

/6/Достъп до регистрите имат всички служители, ангажирани с дейности по обработка на личните данни. 

/7/ При поискване длъжностното лице по защита на личните данни предоставя достъп до тях на Комисията за защита на личните данни.

Чл. 19./1/ Народното събрание извършва оценка на риска за извършваните дейности по обработка на лични данни.

/2/ Оценката на риска на операциите по обработване на лични данни в Народното събрание се извършва съгласно Стратегия за управление на риска в Народното събрание от ръководителите на административните звена, съвместно със служител по сигурността на информацията и длъжностното лице по защита на данните.

/3/ На базата на извършената по ал. 2 оценка на риска се изготвя План за въздействие върху риска, който съдържа необходимите механизми за контрол, отговорните лица и сроковете за изпълнение и е неразделна част от Риск – регистър на значимите за Народното събрание рискове. 

Чл. 20 Народното събрание извършва оценка на въздействието, когато обработката на данни създава висок риск за правата и свободите на физическите лица. Оценката на въздействието се извършва съгласно Вътрешни правила за извършване на оценка на въздействието върху личните данни и Методология за извършване на оценка на въздействието. 

Чл. 21 /1/ Длъжностното лице по защита на данните изпълнява следните задачи: 

а) информира и съветва Народното събрание за задълженията, свързани с обработването на лични данни, съгласно законодателството в областта на защита на данните и настоящите Вътрешни правила;

б) наблюдава спазването на законодателството в областта на защита на данните и настоящите Вътрешни правила по отношение на защитата на личните данни, включително възлагането на отговорности, повишаването на осведомеността и обучението на служителите, участващи в операциите по обработване, и съответните одити;

в) при поискване предоставя съвети по отношение на оценката на въздействието върху защитата на данните и наблюдава извършването на оценката; 

г) осъществява сътрудничеството на Народното събрание с Комисията за защита на личните данни;

д) консултира физическите лица във връзка с обработването на лични данни от Народното събрание, приема и обработва постъпили искания за упражняване на права.

/2/ Данните за контакт с длъжностното лице по защита на данните се обявяват на лесно достъпно място на електронната страница на Народното събрание, както и в Съобщенията за поверителност.

/3/ Длъжностното лице на Народното събрание осъществява функциите на длъжностно лице и на второстепенните разпоредители с бюджет по бюджета на Народното събрание, включително когато са самостоятелни администратори, с изключение на Икономическия и социален съвет.

Чл. 22. /1/ Физическите лица, чиито данни се обработват от Народното събрание в качеството му на администратор, имат следните права: право на достъп до данните, право на коригиране, право на изтриване/право „да бъдеш забравен“, право на ограничаване на обработването, право на възражение, право да не бъде обект на автоматизирано вземане на индивидуални решения, включително профилиране, право на преносимост на данните, право на жалба до надзорния орган.

/2/ Всяко физическо лице, чийто лични данни се обработват от администратора, има право на информация съгласно чл. 13 и чл. 14 от Общия регламент за защита на личните данни. Народното събрание уведомява лицата за обработката на личните данни чрез публикуване на Съобщения за поверителност. 

/3/ Уведомяване по смисъл на ал.2 не се извършва, когато:

а) обработването е за статистически цели и предоставянето на информацията е невъзможно или изисква прекомерни усилия;

б) физическото лице, за което се отнасят данните, вече разполага с информацията;

в) обработката е предвидена в закон;

г) е налице изрична нормативна забрана. 

/4/ Условията и реда за упражняване правата на субекта на данни, с изключение на правото на жалба до надзорния орган се съдържат във Вътрешни правила за упражняване на права от субектите на данни.

Чл. 23. /1/ Народното събрание предоставя лични данни в трети страни или на международни организации при спазване на изискванията на Общия регламент за защита на личните данни. 

/2/ Правилата и условията за предаване на лични данни на трети държави или международни организации от Народното събрание, в качеството на администратор на лични данни се уреждат във Вътрешни правила за предаване на лични данни на трети държави или международни организации.

§.1 В настоящия документ понятията се изпълват със следното значение:

1. „Администратор“ е физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;

2. „Анонимизиране“ е процес, в резултат на който, се създава информация, която не е свързана с идентифицирано или подлежащо на идентифициране физическо лице по такъв начин, че субектът на данните да не може или вече не може да бъде идентифициран.

3.  „Лични данни“ са всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано /„субект на данни“/; 

4. „Нарушение на сигурността на лични данни“ е нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин.

5. „Носител на лични данни” е физически обект, на който могат да се запишат данни или могат да се възстановят от същия.

6. „Обработване на лични данни“ е всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

7. „Обработващ лични данни“ е физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора и е лице, различно от администратора;

8. „Оторизирано лице“ е лице, което по силата на естеството на преките си служебни задължения и/или изричното оторизиране, има право за достъп до определена категория лични данни;

9. „Получател“ е физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на държава членка, не се считат за „получатели“. Обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването.

10. „Предоставяне на лични данни“ са действия по цялостно или частично пренасяне на лични данни от един администратор към друг или към трето лице на територията на страната или извън нея.

11.  „Псевдонимизация“ е обработване на лични данни по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано.

12. „Регистър на лични данни“ е всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;

13. „Регламент“ – Регламент /ЕС/ 2016/679 на Европейския Парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО /Общ регламент относно защитата на данните/

14. „Субект на данните“ е идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано;

15. „Съгласие на физическото лице /субекта на данните/“ представлява ясен утвърдителен акт, с който се изразява свободно дадено, конкретно, информирано и недвусмислено заявление за съгласие от страна на субекта на данни за обработване на свързани с него лични данни. Например чрез писмена декларация, включително по електронен път, или устна декларация..

16. „Трето лице /страна/“ физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни.

17. „Физическо лице, което може да бъде идентифицирано“ е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.

18. „Чувствителни лични данни“ – лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице.

§.1. Настоящите Вътрешни правила се приемат на основание член 24, параграф 2 от Регламент /ЕС/ 2016/679 на Европейския Парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива.

§.2. Всички служители на Народното събрание, чиито служебни задължения включват обработване на лични данни, са длъжни да се запознаят с настоящите Вътрешни правила и да ги спазват. 

§.3. Парламентарните служители, оторизирани с право на достъп до лични данни  подписват Декларация за конфиденциалност съгласно чл. 3, ал. 4 в срок до един месец, считано от датата на влизане в сила на настоящите Вътрешни правила.  

§.4. Настоящите Вътрешни правила се прилагат и от второстепенните разпоредители с бюджет по бюджета на Народното събрание, с изключение на Икономически и социален съвет.

§.5. За изпълнението на настоящите Вътрешни правилата отговаря Главният секретар на Народното събрание. 

§.6. За всички неуредени в настоящите Вътрешни правила въпроси, са приложими разпоредбите на Регламент /ЕС/ 2016/679, Закона за защита на личните данни, както и  действащото приложимо законодателство, което регламентира обработката на лични данни.

§.7. Настоящите Вътрешни правила влизат в сила от датата на тяхното утвърждаване и отменят Вътрешните правила за защита на личните данни в Народното събрание № 050-09-17/17.11.2010 г.

§.8. Настоящите Вътрешни правила се преглеждат и актуализират при всяка промяна в нормативната уредба, но най-малко веднъж годишно от длъжностното лице по защита на личните данни. 

Настоящите Вътрешни правила се публикуват на официалната страница на Народното събрание.

1. Декларация за конфиденциалност на личните данни /Приложение № 1/.

2. Декларация за съгласие по образец /Приложение № 2/.

3. Декларация за оттегляне на съгласие /Приложение № 3/.

4. Методика за оценка на съответствието /Приложение №4/.

5. Споразумение за обработване на лични данни /Приложение №5/.

6. Регистър на дейностите по обработка /Приложение №6/.