ДОКЛАД

Относно: Законопроект за изменение и допълнение на Закона за защита на личните данни № 802-01-27 , внесен от Министерски съвет на 18.07.2018 г.

---

ЧЕТИРИДЕСЕТ И ЧЕТВЪРТО НАРОДНО СЪБРАНИЕ
КОМИСИЯ ПО ВЪТРЕШНА СИГУРНОСТ И ОБЩЕСТВЕН РЕД


ДОКЛАД

Относно: Законопроект за изменение и допълнение на Закона за защита на личните данни № 802-01-27 , внесен от Министерски съвет на 18.07.2018 г.

Проект!
Второ гласуване!


З А К О Н

ЗА ИЗМЕНЕНИЕ И ДОПЪЛНЕНИЕ НА ЗАКОНА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
(Обн., ДВ, бр. 1 от 2002 г.; изм. и доп., бр. 70 и 93 от 2004 г., бр. 43 и 103 от
2005 г., бр. 30 и 91 от 2006 г., бр. 57 от 2007 г., бр. 42 от 2009 г., бр. 94 и 97 от
2010 г., бр. 39, 81 и 105 от 2011 г., бр. 15 от 2013 г., бр. 81 от 2016 г., бр. 85 и 103 от 2017 г. и бр. 7 от 2018 г.)


§ 1. Член 1 се изменя така:
„Чл. 1. (1) Този закон урежда обществените отношения, свързани със защитата на правата на физическите лица при обработване на личните им данни, доколкото същите не са уредени в Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните), (ОВ, L119/1 от 4 май 2016 г.), наричан по-нататък „Регламент (ЕС) 2016/679“.
(2) С този закон се определят и особените правила във връзка със защитата на физическите лица по отношение на обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществения ред и сигурност и тяхното предотвратяване.
(3) Целта на закона е да осигури защита на физическите лица във връзка с обработването на лични данни в съответствие с Регламент (ЕС) 2016/679, както и във връзка с обработването на лични данни от компетентните органи за целите на предотвратяване, разследване, разкриване или наказателно преследване на престъпления или изпълнение на наказания, включително предпазването от заплахи за обществения ред и сигурност и тяхното предотвратяване.

(4) Този закон урежда и:
1. статута на Комисията за защита на личните данни като единствен надзорен орган в Република България, отговорен за защита на основните права и свободи на физическите лица във връзка с обработването и улесняването на свободното движение на личните данни в рамките на Европейския съюз;
2. средствата за правна защита;
3. акредитирането и сертифицирането в областта на защитата на личните данни;
4. особени ситуации за обработване на лични данни;
5. административнонаказателната отговорност и принудителните административни мерки при нарушения на този закон.
(5) Доколкото в специален закон не е предвидено друго, този закон не се прилага за обработването на лични данни за целите на отбраната на страната и националната сигурност.
(6) При прилагането на този закон следва да се отчитат специалните потребности на микропредприятията, малките и средните предприятия при условията на Регламент (ЕС) 2016/679.
(7) Този закон не се прилага за обработването на лични данни на починали лица с изключение на чл. 25к.
(8) При обработването на лични данни по чл. 2 от Регламент 2016/679 държавите, които са страни по Споразумението за Европейско икономическо пространство, и Швейцария са равнопоставени на държавите - членки на Европейския съюз. Всички други държави са трети държави.
(9) При обработването на лични данни по чл. 42 държавите, участващи в изпълнението, прилагането и развитието на достиженията на правото от Шенген, са равнопоставени на държавите - членки на Европейския съюз. Всички други държави са трети държави.“
§ 2. Членове 2-5 се отменят.
§ 3. В чл. 6 се правят следните изменения и допълнения:
1. Алинея 1 се изменя така:
„(1) Комисията за защита на личните данни, наричана по-нататък „комисията“, е постояннодействащ независим надзорен орган, който осъществява защитата на лицата при обработването на техните лични данни и при осъществяването на достъпа до тези данни, както и контрола по спазването на Регламент (ЕС) 2016/679 и на този закон.“
2. Алинея 3 се изменя така:
„(3) Комисията е юридическо лице на бюджетна издръжка със седалище София, а нейният председател е първостепенен разпоредител с бюджет.“
3. Създава се ал. 4:
„(4) При осъществяването на своята дейност комисията се подпомага от администрация.“
§ 4. В чл. 7, ал. 6 думите „31 януари“ се заменят с „31 март“.
§ 5. В чл. 9 се правят следните изменения:
1. Алинея 1 се отменя.
2. Алинея 2 се изменя така:
„(2) Комисията урежда в правилник своята дейност, дейността на администрацията си и производствата, които се развиват пред нея, и го обнародва в „Държавен вестник“.“
§ 6. В чл. 10 се правят следните изменения и допълнения:
1. Създава се нова ал. 1:
„(1) Комисията изпълнява на територията на Република България задачите по чл. 57 от Регламент (ЕС) 2016/679.“
2. Досегашната ал. 1 става ал. 2 и се изменя така:
„(2) Комисията изпълнява и следните задачи:
1. анализира и осъществява цялостен надзор и осигурява спазването на Регламент (ЕС) 2016/679, на този закон и на нормативните актове в областта на защитата на лични данни;
2. издава подзаконови нормативни актове в областта на защитата на личните данни;
3. осигурява прилагането на решенията на Европейската комисия в областта на защитата на личните данни и изпълнението на задължителните решения на Европейския комитет по защита на данните;
4. участва в международното сътрудничество между органите по защита на личните данни и международните организации по въпросите в областта на защита на личните данни;
5. участва в преговорите и сключването на двустранни или многостранни споразумения по въпроси от своята компетентност;
6. организира, координира и провежда обучение в областта на защитата на личните данни;
7. издава общи и нормативни административни актове, свързани с правомощията ѝ, в случаите, предвидени в закон;
8. приема критерии за акредитация на сертифициращи органи;
9. издава насоки, препоръки и най-добри практики в случаите, когато такива не са издадени от Европейския комитет по защита на данните.“
3. Досегашната ал. 2 се отменя.
4. Създава се нова ал. 3:
„(3) Комисията изпълнява и останалите задачи, възложени й с Регламент (ЕС) 2016/679 в качеството й на надзорен орган.“
5. Досегашната ал. 3 става ал. 4.
6. Досегашната ал. 4 става ал. 5 и се изменя така:
„(5) Комисията одобрява проекти на кодекси за поведение по сектори и области на дейност по смисъла на чл. 40 от Регламент (ЕС) 2016/679. Редът, условията и критериите за одобряване на кодексите за поведение се уреждат с правилника за дейността на Комисията и на нейната администрация. “
§ 7. Създават се чл. 10а-10г:
„Чл. 10а. (1) Комисията упражнява на територията на Република България правомощията по чл. 58 от Регламент (ЕС) 2016/679.
(2) Комисията има и следните правомощия:
1. сезира съда за нарушаване на Регламент (ЕС) 2016/679;
2. прилага принудителни административни мерки;
3. дава указания и препоръки във връзка със защитата на личните данни.
Чл. 10б. На комисията могат да се възлагат други задачи и правомощия само със закон.
Чл. 10в. Член 10, ал. 2, т. 1 не се прилага при обработване на лични данни от съдилищата, прокуратурата и следствените органи, когато действат при изпълнение на функциите им на органи на съдебната власт.

Чл. 10г. (1) Комисията участва в механизма на съгласуваност и осъществява сътрудничество с водещия и/или със засегнатите надзорни органи, в т.ч. като обменя информация, предоставя или иска взаимопомощ и/или участва в съвместни операции.
(2) Формите на участие в механизма за съгласуваност, предоставянето и искането на взаимопомощ и участието в съвместни операции, както и процедурите, по които те се осъществяват, се уреждат с правилника за дейността на комисията и на нейната администрация.“
§ 8. В чл. 11, т. 4 думите „чл. 43, ал. 2“ се заменят с „чл. 89, ал. 3“.
§ 9. В чл. 12 се правят следните изменения и допълнения
1. В ал. 1 думите „предварителни, текущи и последващи проверки за спазване на този закон“ се заменят с „предварителни консултации, проверки (одити) и съвместни операции за спазване на Регламент 2016/679 и на този закон.“
2. Алинея 2 се изменя така:
„(2) Предварителни консултации по чл. 36 от Регламент 2016/679 се извършват, когато:
1. оценката на въздействието върху защитата на данните покаже, че обработването ще породи висок риск въпреки предприетите от администратора мерки за ограничаване на риска;
2. се обработват лични данни в изпълнение на задача в обществен интерес, включително обработване във връзка със социалната закрила и общественото здраве; в този случай комисията може да разреши обработването преди изтичането на срока по ал. 3.“
3. Алинея 3 се изменя така:
„(3) При предварителните консултации по ал. 2 комисията дава становище на администратора или на обработващия лични данни в срок до осем седмици след получаване на искането. Срокът може да се удължи с още шест седмици при сложност на планираното обработване, за което се уведомяват администраторът или обработващият.“
4. Алинея 4 се изменя така:
„(4) Проверки (одити) се извършват по инициатива на комисията, по жалба на заинтересовани лица или след подаден сигнал.“

5. Алинея 8 се изменя така:
„(8) Когато в хода на проверката (одита) се установи административно нарушение, се образува административнонаказателно производство, като се съставя акт за установяване на административно нарушение по реда на Закона за административните нарушения и наказания.“
6. Алинея 9 се изменя така:
„(9) Независимо от административното наказание, при установяване на административно нарушение може да се наложи принудителна административна мярка по чл. 84.“
7. Досегашната ал. 9 става ал. 10.
8. Създава се ал. 11:
„(11) Съвместни операции с надзорни органи на държави членки се извършват по целесъобразност за съвместни разследвания и съвместни мерки за изпълнение и в тях участват освен лицата по ал. 1 и членове или упълномощени представители от администрацията на надзорен орган на държавата членка.“
§ 10. Създава се чл. 12а:
„Чл. 12а. (1) Наличието на търговска, производствена или друга защитена от закона тайна не може да е основание за отказ от съдействие от страна на администратора и/или обработващия при осъществяване на задачите и правомощията на комисията. Когато при упражняването на правомощията на комисията по чл. 58, параграф 1, букви „д“ и „е“ от Регламент (ЕС) 2016/679 може да се наруши задължение на администратора или обработващия за опазване на професионална тайна или друго равностойно задължение за опазване на тайна, произтичащо от закон, или до нейното разкриване в нарушение на разпоредба на закон, администраторът или обработващият отказва предоставяне и/или достъп само до информацията, защитена като тайна.
(2) Когато информацията съдържа данни, представляващи класифицирана информация, се прилага редът за достъп по Закона за защита на класифицираната информация.“
§ 11. Член 14 се изменя така:
„Чл. 14. (1) Комисията извършва акредитацията на сертифициращи органи в съответствие с Регламент (ЕС) 2016/679 въз основа на критерии, определени от нея или от Европейския комитет по защита на данните, или от водещия надзорен орган на друга държава членка – при трансгранично обработване на лични данни.
(2) Акредитацията се издава за срок пет години и може да се поднови. Редът и условията за акредитация и анулиране на акредитацията се уреждат в Правилника за дейността на комисията и на нейната администрация.
(3) Комисията анулира акредитацията на сертифициращ орган, когато не са били спазени или вече не се спазват условията за акредитация, или когато предприетите от сертифициращия орган действия нарушават този закон или Регламент (ЕС) 2016/679.
(4) Критериите, механизмите и процедурите за сертифициране, печати и маркировки се уреждат в наредба, издадена от комисията. Наредбата се обнародва в „Държавен вестник”.”
§ 12. Създава се чл. 14а:
„Чл. 14а. (1) Комисията води следните публични регистри:
1. Регистър на администраторите и обработващите лични данни, които са определили длъжностни лица по защита на данните;
2. Регистър на акредитираните по чл. 14 сертифициращи органи;
3. Регистър на кодекси за поведение.
(2) Комисията води вътрешен регистър на нарушения на Регламент (ЕС) 2016/679 и на този закон, както и на предприетите мерки в съответствие с упражняването на корективните правомощия по чл. 58, параграф 2 от Регламент (ЕС) 2016/679, който не е публичен.
(3) Редът за създаване и поддържане на регистрите по ал. 1 и 2 и достъпът до тях се извършват съгласно Закона за електронното управление, а съдържанието им се урежда в правилника за дейността на комисията и на нейната администрация.“
§ 13. Глави трета и четвърта се отменят.
§ 14. Създава се глава четвърта „а“ с чл. 25а-25о:
„Глава четвърта „а“
Допълнителни правила и особени ситуации на обработване на лични данни
Чл. 25а. Когато лични данни са предоставени от субекта на данни на администратор или обработващ без правно основание по чл. 6, параграф 1 или в противоречие с принципите по чл. 5 от Регламент (ЕС) 2016/679, в срок един месец от узнаването администраторът/обработващият ги връща, а ако това е невъзможно или изисква несъразмерно големи усилия, ги изтрива или унищожава.
Чл. 25б. Администраторът съобщава имената, единния граждански номер/личния номер на чужденец/друг аналогичен идентификатор и данните за контакт на длъжностното лице по защита на данните на комисията, както и последващи промени в тях. Формата и съдържанието на уведомлението и редът за подаването му до комисията се определят с правилника за дейността на комисията и на нейната администрация.
Чл. 25в. В случаите на пряко предлагане на услуги на информационното общество, когато субектът на данните е лице под 14 години, обработването е законосъобразно само ако съгласието е дадено от упражняващия родителски права родител или от настойника на субекта на данните.
Чл. 25г. (1) Свободен публичен достъп до информация, съдържаща единния граждански номер/личния номер на чужденец (ЕГН/ЛНЧ), не се допуска, освен ако закон предвижда това.
(2) Администраторите, предоставящи публични услуги по електронен път, предприемат подходящи технически и организационни мерки, които не позволяват ЕГН/ЛНЧ да е единственото средство за идентификация на потребителя при предоставяне на отдалечен достъп до съответната услуга.
(3) За целите на предоставяне на административни услуги по електронен път при условията на този закон и на Закона за електронното управление администраторът осигурява възможност на субекта на данни да се идентифицира по реда, предвиден в закона.
Чл. 25д. (1) Обработването на лични данни за журналистически цели, както и за академичното, художественото или литературното изразяване е законосъобразно, когато се извършва за осъществяване на свободата на изразяване и правото на информация, при зачитане на неприкосновеността на личния живот.
(2) При обработване на лични данни за целите по ал. 1 администраторът взема предвид следните критерии, когато са относими към конкретния случай:
1. естеството на личните данни;
2. влиянието, което разкриването на личните данни или тяхното обществено оповестяване би оказало върху неприкосновеността на личния живот на субекта на данни и неговото добро име;
3. обстоятелствата, при които личните данни са станали известни на администратора;
4. характера и естеството на изявлението, чрез което се упражняват правата по ал.1;
5. значението на разкриването на лични данни или общественото им оповестяване за изясняването на въпрос от обществен интерес;
6. отчитане дали субектът на данни е лице, което заема длъжност по чл. 6 от Закона за противодействие на корупцията и за отнемане на незаконно придобитото имущество, или е лице, което поради естеството на своята дейност или ролята му в обществения живот е с по-занижена защита на личната си неприкосновеност, или чиито действия имат влияние върху обществото;
7. отчитане дали субектът на данни с действията си е допринесъл за разкриване на свои лични данни и/или информация за личния си и семеен живот;
8. целта, съдържанието, формата и последиците от изявлението, чрез което се упражняват правата по ал. 1;
9. съответствието на изявлението, чрез което се упражняват правата по ал. 1, с основните права на гражданите;
10. други обстоятелства, относими към конкретния случай.
(3) При обработване на лични данни за целите по ал. 1:
1. не се прилагат чл. 6, чл. 8-10, чл. 30, чл. 34 и глава пета от Регламент (ЕС) 2016/679;
2. администраторът или обработващият може да откаже пълно или частично упражняването на правата на субектите на данни по чл. 12-21 от Регламент (ЕС) 2016/679, както и да не изпълни задължението си по чл. 34 от Регламент (ЕС) 2016/679.
(4) Упражняването на правомощията на комисията по чл. 58, параграф 1 от Регламент (ЕС) 2016/679 не може да води до разкриване на тайната на източника на информация.

(5) При обработването на лични данни за целите на създаване на фотографско или аудио-визуално произведение, чрез заснемане на лице в хода на обществената му дейност или на обществено място, не се прилагат чл. 6, чл. 12-21, чл. 30 и чл. 34 от Регламент (ЕС) 2016/679.
Чл. 25е. Администратор може да копира документ за самоличност, свидетелство за управление на моторно превозно средство, документ за пребиваване само ако закон предвижда това.
Чл. 25ж. (1) Работодателят/органът по назначаването приема правила и процедури при:
1. използване на система за докладване на нарушения;
2. ограничения при използване на вътрешнофирмени ресурси;
3. въвеждане на системи за контрол на достъпа, работното време и трудовата дисциплина.
(2) Правилата и процедурите съдържат информация относно обхвата, задълженията и методите за прилагането им на практика. Те отчитат предмета на дейност на работодателя/органа по назначаването и свързаното с него естество на работата и не могат да ограничават правата на физическите лица по Регламент (ЕС) 2016/679 и по този закон.
(3) Правилата и процедурите по ал. 1 се довеждат до знанието на работниците и служителите.
Чл. 25з. (1) Работодателят/органът по назначаването определя срок за съхранение на лични данни на участници в процедури по набиране и подбор на персонала, който не може да е по-дълъг от шест месеца, освен ако кандидатът е дал своето съгласие за съхранение за по-дълъг срок. След изтичането на този срок работодателят изтрива/унищожава съхраняваните документи с лични данни, освен ако специален закон предвижда друго.
(2) Когато в процедура по подбор работодателят/органът по назначаването е изискал да се представят оригинали или нотариално заверени копия на документи, които удостоверяват физическа и психическа годност на кандидата, необходимата квалификационна степен и стаж за заеманата длъжност, администраторът връща тези документи на субекта на данни, който не е одобрен за назначаване, в 6-месечен срок от окончателното приключване на процедурата по подбор.
Чл. 25и. (1) Администраторът/обработващият приема специални правила при обработване на лични данни чрез систематично мащабно наблюдение на публично достъпни зони, включително чрез видеонаблюдение. В правилата се уреждат правните основания и целите за изграждане на система за наблюдение, местоположението, обхватът на наблюдение и средствата за наблюдение, срокът на съхранение на записите с информация и изтриването им, правото на достъп от страна на наблюдаваните лица, информиране на обществеността за осъществяваното наблюдение, както и ограничения при предоставяне на достъп до информацията на трети лица.
(2) Комисията дава насоки на администраторите при изпълнение на задължението им по ал. 1, които публикува на интернет страницата си.
Чл. 25к. (1) При обработване на лични данни на починали лица администраторът предприема подходящи мерки за недопускане на неблагоприятно засягане на правата и свободите на други лица и/или на обществен интерес. В тези случаи администраторът може да съхранява данните само при наличие на правно основание за това.
(2) Администраторът осигурява при поискване достъп до лични данни на починало лице, включително предоставя копие от тях, на наследниците му или на други лица с правен интерес.
Чл. 25л. Обработването на лични данни за целите на Националния архивен фонд на Република България е обработване в обществен интерес. В тези случаи се дерогират правата по чл. 15, 16, 18, 19, 20 и 21 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г.
Чл. 25м. При обработването на лични данни за статистически цели се дерогират правата по чл. 15, 16, 18 и 21 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година.
Чл. 25н. По-нататъшното обработване за целите на архивирането в обществен интерес, за целите на научни или исторически изследвания или за статистически цели е съвместимо законосъобразно обработване на лични данни. В тези случаи администраторът прилага подходящи технически и организационни мерки, които гарантират правата и свободите на субекта на данни в съответствие с чл. 89, параграф 1 от Регламент (ЕС) 2016/679.
Чл. 25о. Обработването на лични данни за хуманитарни цели от публични органи и/или хуманитарни организации, както и обработване в случаите на бедствия по смисъла на Закона за защита при бедствия е законосъобразно. В този случай не се прилагат чл. 12-22 и чл. 34 от Регламент (ЕС) 2016/679.”
§ 15. Глави пета и шеста се отменят.


§ 16. Наименованието на глава седма се изменя така:
„Упражняване на правата на субектите на данни. Средства за правна защита. Отговорност за причинени вреди“
§ 17. Създават се чл. 37а-37в:
Чл. 37а. (1) Администраторът или обработващият може да откаже пълно или частично упражняването на правата на субектите на данни по чл. 12-22 от Регламент (ЕС) 2016/679, както и да не изпълни задължението си по чл. 34 от Регламент (ЕС) 2016/679, когато упражняването им би създало риск за:
1. националната сигурност;
2. отбраната;
3. обществения ред и сигурност;
4. предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наложените наказания, включително предпазването от и предотвратяването на заплахи за обществения ред и сигурност;
5. други важни цели от широк обществен интерес и по-специално важен икономически или финансов интерес, включително паричните, бюджетните и данъчните въпроси, общественото здраве и социалната сигурност;
6. защитата на независимостта на съдебната власт и съдебните производства;
7. предотвратяването, разследването, разкриването и наказателното преследване на нарушения на етичните кодекси при регламентираните професии;
8. защитата на субекта на данните или на правата и свободите на други лица;
9. изпълнението по гражданскоправни искове.
(2) Редът и условията за прилагане на ал. 1 се уреждат със закон в съответствие с чл. 23, параграф 2 от Регламент (ЕС) 2016/679.
Чл. 37б. (1) Правата по чл. 15-22 от Регламент (ЕС) 2016/679 се осъществяват с писмено заявление до администратора на лични данни или по друг определен от администратора начин.
(2) Заявление може да се отправи и по електронен път при условията на Закона за електронния документ и електронните удостоверителни услуги и Закона за електронното управление.
(3) Заявление може да се подаде и чрез действия в потребителския интерфейс на информационната система, която обработва данните, след като лицето е идентифицирано със съответните за информационната система средства за идентификация.
Чл. 37в. (1) Заявлението по чл. 37б съдържа:
1. име, адрес, ЕГН/ЛНЧ/друг аналогичен идентификатор или други идентификационни данни на съответното физическо лице, определени от администратора, във връзка с извършваната от него дейност;
2. описание на искането;
3. предпочитана форма за комуникация и действия по чл. 15-22 от Регламент (ЕС) 2016/679;
4. подпис, дата на подаване на заявлението и адрес за кореспонденция.
(2) При подаването на заявление от упълномощено лице към заявлението се прилага и съответното пълномощно.“
§ 18. В чл. 38 се правят следните изменения и допълнения:
1. Алинея 1 се изменя така:
„(1) При нарушаване на правата му по Регламент (ЕС) 2016/679 и по този закон всеки субект на лични данни има право да сезира комисията в срок една година от узнаване на нарушението, но не по-късно от пет години от извършването му.“
2. Създава се нова ал. 2:
„(2) Комисията информира жалбоподателя за напредъка в разглеждането на жалбата или за резултата от нея в 3-месечен срок от сезирането й.“
3. Досегашната ал. 2 става ал. 3 и се изменя така:
„(3) Комисията се произнася с решение, като може да упражни корективните си правомощия по чл. 58, параграф 2 от Регламент (ЕС) 2016/679, да определи срок за отстраняване на нарушението и/или да наложи административно наказание.“


4. Алинея 4 се изменя така:
„(4) Комисията изпраща копие от решението си и на субекта на данните.“
5. Алинея 5 се изменя така:
„(5) В случаите по ал. 1, когато се обработват лични данни за целите, посочени в чл. 42, решението на комисията съдържа само констатация относно законосъобразността на обработването.”
6. В ал. 6 думите „ал. 2“ се заменят с „ал. 3“.
§ 19. В чл. 39 се правят следните изменения:
1. Алинея 1 се изменя така:
„(1) При нарушаване на правата му по Регламент (ЕС) 2016/679 и по този закон всеки субект на данни може да обжалва действия и актове на администратора и обработващия по съдебен ред пред съответния административен съд или пред Върховния административен съд по общите правила за подсъдност.“
2. В ал. 2 думите „физическото лице“ се заменят със „субектът на данни“.
3. Алинея 3 се отменя.
4. Алинея 4 се изменя така:
„(4) Субектът на данни не може да сезира съда, когато има висящо производство пред комисията за същото нарушение или нейно решение относно същото нарушение е обжалвано и няма влязло в сила решение на съда. По искане на субекта на данни или на съда комисията удостоверява липсата на висящо производство пред нея по същия спор.“
§ 20. Създава се чл. 39а:
„Чл. 39а. В случаите, когато Европейският комитет по защита на данните е приел решение със задължителен характер и валидността на същото е оспорена, се прилагат чл. 263, съответно чл. 267, от Договора за функционирането на Европейския съюз.“


§ 21. Глава осма се изменя така:
„Глава осма
Особени правила за защита на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществения ред и сигурност и тяхното предотвратяване

Раздел I
ОБЩИ РАЗПОРЕДБИ
Чл. 42. (1) Правилата на тази глава се прилагат при обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществения ред и сигурност и тяхното предотвратяване.
(2) В случаите, в които компетентните органи обработват лични данни за цели, различни от посочените в ал. 1, се прилагат Регламент (ЕС) 2016/679 и съответните разпоредби от този закон, които въвеждат мерки за неговото прилагане, освен ако обработването на лични данни е за целите на отбраната на страната и защита на националната сигурност, когато се прилага чл. 1, ал. 5.
Чл. 43. Правилата на тази глава се прилагат за обработването на лични данни изцяло или частично с автоматични средства, както и за обработването с други средства на лични данни, които са част от регистър с лични данни или са предназначени да съставляват част от такъв регистър.
Чл. 44. Обменът на лични данни между компетентните органи на държавите - членки на Европейския съюз, когато той e в съответствие с правото на Съюза или със законодателството на Република България, не се ограничава, нито забранява по причини, свързани със защитата на физическите лица във връзка с обработването на лични данни.
Чл. 45. (1) При обработването на лични данни за целите по чл. 42 личните данни трябва:
1. да се обработват законосъобразно и добросъвестно;
2. да се събират за конкретни, изрично указани и легитимни цели и да не се обработват по начин, който е несъвместим с тези цели;
3. да са подходящи, относими и да не надхвърлят необходимото във връзка с целите, за които данните се обработват;
4. да са точни и при необходимост да са поддържани в актуален вид; трябва да се предприемат всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват;
5. да се съхраняват във вид, който позволява идентифицирането на субектите на данните за период, не по-дълъг от необходимия за целите, за които те се обработват;
6. да се обработват по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки.
(2) Обработването от същия или от друг администратор – компетентен орган, за която и да е от целите, посочени в чл. 42, различна от целта, за която личните данни са събрани, се разрешава, при условие че:
1. администраторът е оправомощен да обработва такива лични данни за такава цел в съответствие с правото на Европейския съюз или законодателството на Република България, и
2. обработването е необходимо и пропорционално на тази различна цел в съответствие с правото на Европейския съюз или със законодателството на Република България.
(3) Обработването от същия или от друг администратор – компетентен орган, може да включва архивиране в обществен интерес, научно, статистическо или историческо използване на данните за целите по чл. 42, при прилагането на подходящи гаранции за правата и свободите на субектите на данните.
(4) Администраторът – компетентен орган, носи отговорност за спазването на ал. 1, 2 и 3 и трябва да е в състояние да го докаже.
Чл. 46. (1) Сроковете за изтриването на лични данни или за периодична проверка на необходимостта от съхранението им се определят от администратора – компетентен орган.
(2) Извършването на периодична проверка по ал. 1 се документира, а решението за продължаване на съхранението на данните се мотивира.
Чл. 47. Администраторът - компетентен орган, когато е приложимо и доколкото е възможно, прави ясно разграничение между личните данни на различни категории субекти на данни, например:
1. лица, за които има сериозни основания да се счита, че са извършили или ще извършат престъпление;
2. лица, осъдени за престъпление;
3. лица, пострадали от престъпление, или лица, по отношение на които определени факти дават основание да се счита, че може да са пострадали от престъпление, и
4. други трети лица по отношение на престъпление, например лица, които биха могли да бъдат призовани да свидетелстват при разследване на престъпления или при последващи наказателни производства, лица, които могат да предоставят информация за престъпления или свързани лица, или съучастници на някое от лицата, посочени в т. 1 и 2.
Чл. 48. (1) Администраторът – компетентен орган, доколкото е възможно, прави разграничение между лични данни, основани на факти, и лични данни, основани на лични оценки.
(2) Администраторът – компетентен орган, предприема всички разумни стъпки, за да гарантира, че лични данни, които са неточни, непълни или вече не са актуални, не се предават или не се предоставят. За тази цел всеки компетентен орган, доколкото това е практически възможно, проверява качеството на личните данни преди тяхното предаване или предоставяне. Доколкото е възможно, при всяко предаване на лични данни се добавя необходимата информация, позволяваща на получаващия компетентен орган да оцени степента на точност, пълнотата и надеждността на личните данни и до каква степен те са актуални.
(3) Когато се окаже, че са предадени неточни лични данни или че личните данни са предадени незаконосъобразно, получателят се уведомява незабавно. В такъв случай личните данни се коригират или изтриват, или обработването им се ограничава в съответствие с чл. 56.
Чл. 49. (1) Обработването на лични данни е законосъобразно, когато е необходимо за изпълнението на задача, осъществявана от компетентен орган за целите, определени в чл. 42, и се основава на правото на Европейския съюз или на законодателството на Република България.
(2) Когато обработването на лични данни за целите по чл. 42 е в изпълнение на нормативен акт, в него се определят общите и конкретните цели на обработването, както и личните данни, които се обработват.
Чл. 50. (1) Личните данни, събирани от компетентните органи за целите, посочени в чл. 42, не се обработват за други цели, различни от посочените в чл. 42, освен когато това обработване е разрешено от правото на Европейския съюз или от законодателството на Република България. Когато личните данни се обработват за такива други цели, се прилагат Регламент (ЕС) 2016/679 и съответните разпоредби от този закон, които въвеждат мерки за неговото прилагане, освен ако обработването на лични данни е за целите на отбраната на страната и защитата на националната сигурност, когато се прилага чл. 1, ал. 5.
(2) Когато съгласно законодателството на Република България компетентните органи са натоварени с изпълнението на задачи, различни от тези за изпълнението на целите, посочени в чл. 42, за обработването за такива цели се прилагат Регламент (ЕС) 2016/679 и съответните разпоредби от този закон, които въвеждат мерки за неговото прилагане, включително за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели, освен ако обработването на лични данни е за целите на отбраната на страната и защитата на националната сигурност, когато се прилага чл. 1, ал. 5.
(3) Когато правото на Европейския съюз или законодателството на Република България, приложимо за предаващия компетентен орган, предвижда специфични условия за обработването, предаващият компетентен орган уведомява получателя на личните данни за тези условия и за изискването за съобразяване с тях.
(4) Предаването на лични данни на получатели в други държави членки или към агенции, служби и органи на Европейския съюз, създадени съгласно дял V, глави 4 и 5 от Договора за функционирането на Европейския съюз, се извършва при същите условия, които се прилагат при подобно предаване в рамките на Република България.
Чл. 51. (1) Обработването на лични данни от компетентни органи, разкриващо расов или етнически произход, политически възгледи, религиозни или философски убеждения, членство в професионални съюзи, обработването на генетични данни, биометрични данни с цел уникално идентифициране на физическото лице, данни, свързани със здравето или сексуалния живот и сексуалната ориентация на лицето, е разрешено, когато това е абсолютно необходимо, съществуват подходящи гаранции за правата и свободите на субекта на данни и е разрешено съгласно правото на Европейския съюз или законодателството на Република България.
(2) По изключение, ако обработването не е разрешено съгласно правото на Европейския съюз или законодателството на Република България, данните по ал. 1 могат да бъдат обработвани за защита на жизненоважни интереси на субекта на данните или на друго физическо лице или ако обработването се отнася за данни, които очевидно са направени обществено достояние от субекта на данните.
(3) Във всички случаи на обработване на данни по ал. 1 компетентните органи прилагат подходящи мерки и гаранции за недопускане на дискриминация на физическите лица.
Чл. 52. (1) Вземането на решение, основано единствено на автоматизирано обработване, включително профилиране, което поражда неблагоприятни правни последици за субекта на данните или съществено го засяга, е забранено, освен ако това е разрешено от правото на Европейския съюз или от законодателството на Република България и са осигурени подходящи гаранции за правата и свободите на субекта на данните,
най-малко правото да получи човешка преценка при вземането на съответното решение от страна на администратора – компетентен орган.
(2) Решенията по ал. 1 не могат да се основават на специалните категории лични данни, посочени в чл. 51, освен ако не са въведени подходящи мерки за защита на правата и свободите и легитимните интереси на субекта на данните.
(3) В случаите по ал. 1 и 2 администраторът – компетентен орган, задължително извършва оценка на въздействието по чл. 64.
(4) Забранява се профилирането, което води до дискриминация на физически лица въз основа на специалните категории лични данни, посочени в чл. 51.
Раздел II
ПРАВА НА СУБЕКТА НА ДАННИ
Чл. 53. (1) Администраторът – компетентен орган, предприема разумни мерки за предоставяне на субекта на данни на информация по чл. 54 и за осигуряване на комуникацията във връзка с чл. 52, 55-58 и 68 относно обработването в сбита, разбираема и леснодостъпна форма, като използва ясен и прост език. Информацията се предоставя по всякакъв подходящ начин, включително по електронен път. Като общо правило администраторът предоставя информацията в същата форма като тази на искането.
(2) Администраторът по ал. 1 улеснява упражняването на правата на субекта на данни, посочени в чл. 52 и 55-58.
(3) Администраторът по ал. 1 отговаря на искането на субекта на данни и/или го информира писмено за действията, предприети във връзка с неговото искане, в срок два месеца от получаване на искането. При необходимост този срок може да се удължи с още един месец, когато това се налага заради сложността или броя на исканията.
(4) Информацията по чл. 54 и комуникацията или действията, предприети съгласно чл. 52, 55-58 и 68, се предоставят безплатно. Когато исканията от даден субект на данни са очевидно неоснователни или прекомерни, по-специално поради своята повторяемост, администраторът по ал. 1 може:
1. да начисли такса в размер, съобразен с административните разходи за предоставяне на информация или за осигуряването на комуникация, или за предприемане на действия по искането, или
2. да откаже да предприеме действия по искането.
(5) Администраторът по ал. 1 носи тежестта на доказване на очевидно неоснователния или прекомерен характер на искането.
(6) Когато администраторът по ал. 1 има основателни опасения във връзка със самоличността на физическото лице, което подава искане по
чл. 55 или 56, той може да поиска да се предостави допълнителна информация, необходима за потвърждаване на самоличността на субекта на данните. Срокът по ал. 3 започва да тече от получаването на допълнителната информация за идентифициране на самоличността на субекта на данните.
Чл. 54. (1) Администраторът – компетентен орган, предоставя на субектите на данни най-малко следната информация:
1. данните, които идентифицират администратора, и координатите за връзка с него;
2. координатите за връзка с длъжностното лице по защита на данните, когато е приложимо;
3. целите на обработването, за които са предназначени личните данни;
4. правото да бъде подадена жалба до комисията и нейните координати за връзка;
5. съществуването на право да се изиска от администратора достъп до, коригиране или изтриване на лични данни и ограничаване на обработването на лични данни, свързано със субекта на данните.
(2) Освен информацията, посочена в ал. 1, по искане на субекта на данни или по своя инициатива администраторът по ал. 1 предоставя на субекта на данните, в конкретни случаи и с цел да му се даде възможност да упражни правата си, следната допълнителна информация:
1. правното основание за обработването;
2. срока, за който ще се съхраняват личните данни, а ако това е невъзможно - критериите, използвани за определяне на този срок;
3. когато е приложимо, категориите получатели на личните данни, включително в трети държави или международни организации;
4. когато е необходимо, и друга допълнителна информация, по-специално в случаите, когато личните данни са събрани без знанието на субекта на данните.
(3) Администраторът по ал. 1 може да забави, да ограничи или да
не предостави информация на субекта на данните съгласно ал. 2, като се отчитат основните права и легитимните интереси на засегнатото физическо лице, за да:
1. не се допусне възпрепятстването на служебни или законово регламентирани проверки, разследвания или процедури;
2. не се допусне неблагоприятно засягане на предотвратяването, разкриването, разследването или наказателното преследване на престъпления или изпълнението на наказания;
3. се защити общественият ред и сигурност;
4. се защити националната сигурност;
5. се защитят правата и свободите на други лица.
(4) След отпадането на съответното обстоятелство по ал. 3 администраторът по ал. 1 предоставя исканата информация в срока по чл. 53, ал. 3.
Чл. 55. (1) Субектът на данните има право да получи от администратора – компетентен орган, потвърждение дали се обработват лични данни, които го засягат, и ако случаят е такъв, да получи достъп до тях, както и информация за:
1. целите и правното основание за обработването;
2. обработваните категории лични данни;
3. получателите или категориите получатели, пред които са разкрити личните данни, по-специално получателите в трети държави или международни организации;
4. когато е възможно, предвидения срок, за който ще се съхраняват личните данни, или ако това не е възможно, критериите за определяне на този срок;
5. съществуването на право да се изиска от администратора коригиране или изтриване на лични данни, или ограничаване на обработването на лични данни, свързано със субекта на данните;
6. правото да се подаде жалба до комисията и нейните координати за връзка;
7. съобщаването на личните данни, които са в процес на обработване, и на всякаква налична информация за техния произход, освен ако тя е защитена от закон тайна.
(2) Администраторът – компетентен орган, предоставя информацията по ал. 1 в срока по чл. 53, ал. 3.
(3) Правото на достъп на субекта на данните по ал. 1 може да се ограничи изцяло или частично, като се отчитат основните права и легитимните интереси на засегнатото физическо лице в случаите по чл. 54, ал. 3. В тези случаи съответно се прилага чл. 54, ал. 4.
(4) В случаите по ал. 3 администраторът по ал. 1 информира писмено в срока по чл. 53, ал. 3 субекта на данните за всеки отказ за достъп или за ограничаването на достъпа и за причините за отказа или ограничаването. Тази информация може да не бъде предоставена, когато нейното предоставяне би възпрепятствало постигането на някоя от целите, посочени в чл. 54, ал. 3. Администраторът информира субекта на данните за възможността за подаване на жалба до комисията или за търсене на защита по съдебен ред.
(5) Администраторът по ал. 1 документира фактическите или правните основания, на които се основава решението. Тази информация се предоставя на комисията.

Чл. 56. (1) Субектът на данните има право да поиска администраторът – компетентен орган, да коригира неточните лични данни, свързани с него. Като се има предвид целта на обработването, субектът на данните има право да поиска непълните лични данни да бъдат допълнени, включително чрез предоставяне на допълнително заявление (декларация).
(2) Администраторът по ал. 1 е длъжен да изтрие личните данни и субектът на данните има право да поиска администраторът по ал. 1 да изтрие личните данни, които го засягат, когато обработването нарушава разпоредбите на чл. 45, 49 или 51 или когато личните данни трябва да бъдат изтрити с цел спазване на правно задължение, което се прилага спрямо администратора по ал. 1.
(3) Администраторът по ал. 1 коригира или допълва данните по ал. 1, съответно изтрива данните по ал. 2, в срока по чл. 53, ал. 3.
(4) Администраторът по ал. 1 ограничава обработването на личните данни, без да ги изтрие, когато:
1. точността на личните данни се оспорва от субекта на данните и тяхната точност или неточност не може да се провери, или
2. личните данни трябва да се запазят за доказателствени цели.
(5) Администраторът по ал. 1 информира субекта на данните, преди да премахне ограничаването на обработването, когато то е наложено на основание ал. 4, т. 1 от този член.
(6) Администраторът по ал. 1 информира писмено субекта на данните за всеки отказ за коригиране или изтриване на лични данни или ограничаване на обработването и за причините за отказа в срока по чл. 53, ал. 3. Задължението за предоставяне на такава информация може да се ограничи изцяло или частично в случаите по чл. 54, ал. 3, като се отчитат основните права и легитимните интереси на засегнатото физическо лице. В тези случаи съответно се прилага чл. 54, ал. 4.
(7) Администраторът по ал. 1 информира субекта на данните за възможността за подаване на жалба до комисията и за търсене на защита по съдебен ред.
(8) Администраторът по ал. 1 съобщава на компетентния орган, от който произхождат неточните лични данни, за тяхното коригиране.


(9) Когато лични данни са коригирани или изтрити, или обработването им е ограничено съгласно ал. 1, 2 и 4, администраторът по ал. 1 уведомява получателите им, които носят отговорност за тяхното съответно коригиране, изтриване или ограничаване на обработването.
Чл. 57. (1) В случаите по чл. 54, ал. 3, чл. 55, ал. 4 и чл. 56, ал. 6 субектът на данните може да упражни правата си и чрез комисията (непряко упражняване на права).
(2) Администраторът – компетентен орган, информира субекта
на данните за възможността да упражни правата си чрез комисията съгласно ал. 1.
(3) В случаите по ал. 1 комисията информира субекта на данните най-малко за това, че е извършила всички необходими проверки или справки, както и за неговото право да потърси защита по съдебен ред.
Чл. 58. Упражняването на правата по чл. 54, 55 и 56, когато личните данни се съдържат в съдебно решение, документ или материали по дело, изготвени в рамките на наказателно производство, не засяга и не може да противоречи на разпоредбите на Наказателно-процесуалния кодекс.

Раздел III
АДМИНИСТРАТОР НА ЛИЧНИ ДАННИ И ОБРАБОТВАЩ ЛИЧНИ ДАННИ

Чл. 59. (1) Администраторът на лични данни – компетентен орган, като отчита естеството, обхвата, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, прилага подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с този закон. Тези мерки се преразглеждат и актуализират при необходимост.
(2) Когато това е пропорционално на дейностите по обработване, посочените в ал. 1 мерки включват прилагане от страна на администратора по ал. 1 на подходящи политики за защита на данните.
(3) С цел ефективното прилагане на принципите за защита на личните данни и интегрирането на необходимите гаранции в процеса на обработване администраторът по ал. 1, като отчита достиженията на техническия прогрес, разходите за прилагане и естеството, обхвата, контекста и целите на обработването, както и породените от обработването рискове за правата и свободите на физическите лица, прилага съответни мерки по смисъла на ал. 1, като например псевдонимизация, както към момента на определянето на средствата за обработването на данни, така и към момента на самото обработване („защита на личните данни на етапа на проектирането“).
(4) Администраторът по ал. 1 прилага и подходящи технически и организационни мерки, за да се гарантира, че по подразбиране се обработват само лични данни, които са необходими за всяка конкретна цел на обработването. Това задължение се отнася до обема на събраните лични данни, степента на обработването, срока на съхраняването им и тяхната достъпност. По-специално подобни мерки гарантират, че по подразбиране без намеса от страна на физическото лице личните данни не са достъпни за неограничен брой физически лица („защита на данните по подразбиране“).
Чл. 60. (1) Когато двама или повече администратори - компетентни органи, съвместно определят целите и средствата на обработването, те са съвместни администратори.
(2) Съвместните администратори по ал. 1 определят по прозрачен начин съответните си отговорности за съобразяване с правилата на тази глава, по-специално що се отнася до упражняването на правата на субекта на данни, и съответните си задължения за предоставяне на информацията по реда на чл. 54 посредством договореност помежду си, освен ако и доколкото съответните отговорности на администраторите не са определени от правото на Европейския съюз или от законодателството на Република България. В договореността се определя точката за контакт за субектите на данни. Съвместните администратори могат да посочат кой от тях действа като единна точка за контакт, така че субектите на данните да упражняват правата си.
(3) Независимо от условията на договореността, посочена в ал. 1, субектът на данни може да упражнява своите права, уредени в тази глава, по отношение на всеки и срещу всеки от администраторите по ал. 1.
Чл. 61. (1) Администратор – компетентен орган, може да възложи обработване на лични данни от негово име само на обработващи лични данни, които предоставят достатъчни гаранции, че ще прилагат подходящи технически и организационни мерки по такъв начин, че обработването да отговаря на изискванията на тази глава и да се гарантира защитата на правата на субекта на данни.

(2) Обработващият лични данни не може да включва друг обработващ лични данни без предварителното конкретно или общо писмено разрешение на администратора по ал. 1. В случай на общо писмено разрешение обработващият лични данни информира администратора за всякакви планирани промени за добавяне или замяна на други обработващи лични данни, като по този начин дава възможност на администратора да възрази срещу тези промени.
(3) Обработването от страна на обработващия лични данни се урежда с договор или с друг правен акт съгласно правото на Европейския съюз или законодателството на Република България, който обвързва обработващия лични данни с администратора по ал. 1 и регламентира предмета и срока на обработването, естеството и целта на обработването, вида лични данни и категориите субекти на данни, задълженията и правата на администратора. Посоченият договор или друг правен акт предвижда по-специално, че обработващият лични данни:
1. действа единствено по указания на администратора;
2. гарантира, че лицата, оправомощени да обработват личните данни, са поели ангажимент за поверителност или са задължени по закон да спазват поверителност;
3. подпомага администратора с всички подходящи средства, за да се гарантира спазването на разпоредбите относно правата на субекта на данни;
4. по избор на администратора изтрива или връща на администратора всички лични данни след приключване на предоставянето на услуги по обработване на данни и изтрива съществуващите копия, освен ако правото на Европейския съюз или законодателството на Република България не изисква съхранение на личните данни;
5. предоставя на администратора цялата информация, необходима за доказване на спазването на този член;
6. спазва условията по ал. 2 и 3 за включване на друг обработващ лични данни.
(4) Договорът или другият правен акт, посочен в ал. 3, се изготвя в писмена или електронна форма.


(5) Когато обработващ лични данни определи в нарушение на правилата на тази глава целите и средствата на обработването, обработващият личните данни се счита за администратор по отношение на това обработване.
(6) Обработващият лични данни и всяко лице, действащо под ръководството на администратора по ал. 1 или на обработващия лични данни, което има достъп до личните данни, обработва тези данни само по указание на администратора, освен ако обработването се изисква от правото на Европейския съюз или законодателството на Република България.
Чл. 62. (1) Администраторите – компетентни органи, поддържат регистър с всички категории дейности по обработване под тяхна отговорност. Този регистър съдържа следната информация:
1. наименованието и координатите за връзка на администратора, и когато е приложимо, на съвместните администратори и на длъжностното лице по защитата на данните;
2. целите на обработването;
3. категориите получатели, пред които са или ще бъдат разкрити личните данни, включително получателите в трети държави или международни организации;
4. описание на категориите субекти на данни и на категориите лични данни;
5. когато е приложимо, използването на профилиране;
6. когато е приложимо, категориите предаване на лични данни на трета държава или международна организация;
7. посочване на правното основание за операцията по обработване, включително предаването на данни, за която са предназначени личните данни;
8. когато е възможно, предвидените срокове за изтриване на различните категории лични данни;
9. когато е възможно, общо описание на техническите и организационните мерки за сигурност по чл. 66.
(2) Всеки обработващ лични данни поддържа регистър с всички категории дейности по обработване, извършени от името на администратор по ал. 1, в който се съдържат:
1. наименованието и координатите за връзка на обработващия или обработващите лични данни, на всеки администратор, от чието име действа обработващият лични данни, и на длъжностното лице за защита на данните, когато е приложимо;
2. категориите обработване, извършени от името на всеки администратор;
3. когато е приложимо, предаването на лични данни на трета държава или на международна организация, когато има изрични указания от администратора за това, включително идентификацията на тази трета държава или международна организация;
4. когато е възможно, общо описание на техническите и организационните мерки за сигурност по чл. 66.
(3) Регистрите, посочени в ал. 1 и 2, се поддържат в писмена форма, включително в електронен формат.
(4) При поискване администраторът и обработващият лични данни предоставят достъп до регистрите на комисията.
Чл. 63. (1) В системите за автоматизирано обработване се водят записи (логове) най-малко за следните операции по обработване: събиране, промяна, справки, разкриване, включително предаване, комбиниране и изтриване.
(2) Записите за извършена справка или разкриване трябва да дават възможност за установяване на основанието, датата и часа на такива операции и доколкото е възможно — идентификацията на лицето, което е направило справка или е разкрило лични данни, както и данни, идентифициращи получателите на тези лични данни.
(3) Записите се използват единствено за проверяване на законосъобразността на обработването, за самоконтрол, за гарантиране на целостността и сигурността на личните данни и при наказателни производства.
(4) Администраторът – компетентен орган, определя подходящи срокове за съхранение, включително архивиране на записите.
(5) При поискване администраторът – компетентен орган, и обработващият лични данни предоставят тези записи на комисията.
Чл. 64. (1) Когато съществува вероятност определен вид обработване, по-специално, при което се използват нови технологии, и предвид естеството, обхвата, контекста и целите на обработването, да породи висок риск за правата и свободите на физическите лица, преди да бъде извършено обработването, администраторът – компетентен орган, извършва оценка на въздействието на предвидените операции по обработването върху защитата на личните данни.
(2) Оценката по ал. 1 съдържа най-малко общо описание на предвидените операции по обработване, оценка на рисковете за правата и свободите на субектите на данните, мерките, предвидени за справяне с тези рискове, гаранции, мерки за сигурност и механизми за гарантиране на защитата на личните данни и за доказване на съответствие с правилата на тази глава, като се вземат предвид правата и легитимните интереси на субектите на данните и другите засегнати лица.
Чл. 65. (1) Администраторът – компетентен орган, или обработващият лични данни се консултира с комисията преди обработването на лични данни, което ще е част от нов регистър с лични данни, който предстои да се създаде, когато:
1. оценката на въздействието върху защитата на данните съгласно чл. 64 покаже, че обработването ще породи висок риск въпреки предприетите от администратора мерки за ограничаване на риска, или
2. видът обработване, по-специално, когато се използват нови технологии, механизми или процедури, включва висока степен на риск за правата и свободите на субектите на данните.
(2) При изготвянето на проекти на закони и на подзаконови нормативни актове, съдържащи мерки, които се отнасят до обработването, се провеждат консултации с комисията.
(3) Комисията приема и публикува списък на операциите по обработване, за които е задължителна предварителна консултация съгласно ал. 1.
(4) Администраторът по ал. 1 предоставя на комисията оценката на въздействието върху защитата на данните, предвидена в чл. 64, и при поискване – всякаква друга информация, която ще й позволи да извърши оценка на съответствието на обработването, и по-специално на рисковете за защитата на личните данни на субекта на данните и на съответните гаранции.
(5) Когато комисията е на мнение, че планираното обработване, посочено в ал. 1, би нарушило разпоредбите на тази глава, по-специално, когато администраторът по ал. 1 не е идентифицирал или ограничил риска в достатъчна степен, тя предоставя в рамките на период до шест седмици след получаването на искането за консултация писмено становище на администратора и, когато това е приложимо, на обработващия лични данни. Този срок може да се удължи с още един месец в зависимост от сложността на планираното обработване. В срок един месец от получаването на искането за консултация комисията уведомява администратора по ал. 1 и, когато е приложимо – обработващия лични данни, за всяко такова удължаване, включително за причините за забавянето.
(6) Предоставянето на писмено становище по ал. 5 не засяга възможността на комисията да приложи по отношение на администратора или на обработващия лични данни и правомощията си по чл. 80.
Чл. 66. (1) Администраторът – компетентен орган, и обработващият лични данни, като отчитат достиженията на техническия прогрес, разходите за прилагане и естеството, обхвата, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, прилагат подходящи технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност, по-специално по отношение на обработването на лични данни по чл. 51.
(2) По отношение на автоматизираното обработване администраторът или обработващият лични данни след оценка на рисковете прилагат мерки, имащи за цел:
1. контрол върху достъпа до оборудване - да се откаже достъп на неоправомощени лица до оборудването, използвано за обработване;
2. контрол върху носителите на данни - да се предотврати четенето, копирането, изменянето или отстраняването на носители на данни от неоправомощени лица;
3. контрол върху съхраняването - да се предотврати въвеждането на лични данни от неоправомощени лица, както и извършването на проверки, изменянето или изтриването на съхранявани лични данни от неоправомощени лица;
4. контрол върху потребителите - да се предотврати използването на автоматизирани системи за обработване от неоправомощени лица чрез използване на оборудване за предаване на данни;
5. контрол върху достъпа до данни - да се гарантира, че лицата, на които е разрешено да използват автоматизирана система за обработване, имат достъп само до личните данни, които са обхванати от тяхното разрешение за достъп;
6. контрол върху комуникацията - да се гарантира възможността за проверка и установяване на кои органи са били или могат да бъдат предадени, или имат достъп до лични данни чрез оборудване за предаване на данни;
7. контрол върху въвеждането на данни - да се гарантира възможността за последваща проверка и установяване на това какви лични данни са били въведени в автоматизираните системи за обработване, както и кога и от кого са били въведени тези лични данни;
8. контрол върху пренасянето - да се предотврати четенето, копирането, изменянето или изтриването на лични данни от неоправомощени лица при предаването на лични данни или при пренасянето на носители на данни;
9. възстановяване - да се гарантира възможността за възстановяване на инсталираните системи в случай на отказ на функциите на системите;
10. надеждност - да се гарантира изпълнението на функциите на системата и докладването за появили се във функциите дефекти;
11. цялостност - да се гарантира недопускане на увреждане на съхраняваните лични данни вследствие на неправилно функциониране на системата.
Чл. 67. (1) В случай на нарушение на сигурността на личните данни администраторът - компетентен орган, без излишно забавяне, но не по-късно от 72 часа след като е разбрал за него, уведомява комисията за нарушението на сигурността на личните данни, освен ако няма вероятност нарушението на сигурността на личните данни да доведе до риск за правата и свободите на физическите лица. Когато уведомлението до комисията не е подадено в срок 72 часа, то се придружава от причините за забавянето.
(2) Обработващият лични данни уведомява администратора по ал. 1 без излишно забавяне, но не по-късно от 72 часа след като е установил нарушение на сигурността на лични данни.
(3) В уведомлението, посочено в ал. 1, се съдържа най-малко следното:
1. описание на естеството на нарушението на сигурността на личните данни, включително, когато това е възможно, категориите и приблизителния брой на засегнатите субекти на данни и категориите и приблизителния брой на засегнатите записи на лични данни;
2. посочване на името и координатите за връзка на длъжностното лице по защита на данните или на друга точка за контакт, от която може да се получи повече информация;
3. описание на евентуалните последици от нарушението на сигурността на личните данни;
4. описание на предприетите или предложените от администратора мерки за справяне с нарушението на сигурността на личните данни, включително по целесъобразност мерки за намаляване на евентуалните неблагоприятни последици.
(4) Когато и доколкото не е възможно информацията да се подаде едновременно, тя може да се подаде поетапно без по-нататъшно ненужно забавяне.
(5) Администраторът - компетентен орган, документира всяко нарушение на сигурността на личните данни, посочено в ал. 1, като включва фактите, свързани с нарушението на сигурността на личните данни, последиците от него и предприетите действия за справяне с него.
(6) Когато нарушението на сигурността на личните данни засяга лични данни, които са били изпратени от или на администратор – компетентен орган от друга държава членка, посочената в ал. 3 информация се съобщава на администратора – компетентен орган на въпросната държава членка, без излишно забавяне, но не по-късно от седем дни от установяването на нарушението на сигурността на личните данни.
Чл. 68. (1) Когато има вероятност нарушението на сигурността на личните данни да доведе до висок риск за правата и свободите на физическите лица, администраторът - компетентен орган, без излишно забавяне съобщава на субекта на данните за нарушението на сигурността на личните данни.
(2) В съобщението до субекта на данните, посочено в ал. 1, на ясен и разбираем език се описва естеството на нарушението на сигурността на личните данни и се съдържат най-малко информацията и мерките, посочени в чл. 67, ал. 3, т. 2, 3 и 4.
(3) Посоченото в ал. 1 съобщение до субекта на данните не се изисква, ако е изпълнено някое от следните условия:
1. администраторът е предприел подходящите технически и организационни мерки за защита и тези мерки са били приложени по отношение на личните данни, засегнати от нарушението на сигурността на личните данни, по-специално мерки, които правят личните данни неразбираеми за всяко лице, което няма право на достъп до тях, като например криптиране;
2. администраторът е взел впоследствие мерки, които гарантират, че вече няма вероятност да се материализира високият риск за правата и свободите на субектите на данни, посочен в ал. 1;
3. то би довело до непропорционални усилия; в такъв случай се прави публично съобщение или се взема друга подобна мярка, така че субектите на данни да са в еднаква степен ефективно информирани.
(4) Когато администраторът по ал. 1 все още не е съобщил на субекта на данните за нарушението на сигурността на личните данни, комисията може, след като отчете каква е вероятността нарушението на сигурността на личните данни да породи висок риск, да изиска от администратора да направи съобщението или да реши, че е изпълнено някое от условията по ал. 3.
(5) Съобщението до субекта на данните, посочено в ал. 1, може да бъде забавено, ограничено или пропуснато при условията и на основанията, посочени в чл. 54, ал. 3.
Чл. 69. (1) Администраторът - компетентен орган, определя длъжностно лице по защита на данните въз oснова на неговите професионални качества и по-специално въз основа на експертните му познания по законодателството и практиките в областта на защитата на данните и способността му да изпълнява задачите, посочени в чл. 70.
(2) Едно длъжностно лице по защита на данните може да е назначено съвместно за няколко компетентни органа, като се отчитат организационната им структура и мащаб.
(3) Администраторът по ал. 1 публикува координатите за връзка на длъжностното лице по защита на данните и ги съобщава на комисията по реда на чл. 25б.
(4) Алинея 1 не се прилага по отношение на съдилищата, прокуратурата и следствените органи, когато действат при изпълнение на функциите им на органи на съдебната власт.
Чл. 70. (1) Администраторът - компетентен орган, гарантира, че длъжностното лице по защита на данните участва по подходящ начин и своевременно при разглеждането на всички въпроси, свързани със защитата на личните данни.
(2) Администраторът по ал. 1 възлага на длъжностното лице по защита на данните най-малко следните задачи:
1. да информира и да съветва администратора и служителите, които извършват обработването, за техните задължения по силата на този закон и на други нормативни изисквания за защита на личните данни;
2. да наблюдава спазването на този закон и на други нормативни изисквания за защита на личните данни и на политиките на администратора по отношение на защитата на личните данни, включително възлагането на отговорности, повишаването на осведомеността и обучението на персонала, участващ в операциите по обработване, и съответните одити;
3. при поискване да предоставя съвети по отношение на оценката на въздействието върху защитата на данните и да наблюдава извършването й;
4. да си сътрудничи с комисията;
5. да действа като точка за контакт с комисията по всички въпроси, свързани с обработването на лични данни.
(3) Администраторът - компетентен орган, осигурява технически и организационно дейността на длъжностното лице по защита на данните, включително необходимите ресурси, достъп до личните данни и операциите по обработването, както и поддържането на неговите експертни знания.
Чл. 71. Компетентните органи определят подходящи процедури, които дават възможност на техните служители пряко и поверително да докладват на съответното административно звено в структурата на администратора или на комисията нарушения на правилата на тази глава.

Раздел IV
ПРЕДАВАНЕ НА ЛИЧНИ ДАННИ НА ТРЕТИ ДЪРЖАВИ ИЛИ МЕЖДУНАРОДНИ ОРГАНИЗАЦИИ

Чл. 72. (1) Компетентен орган може да предава лични данни, които са в процес на обработване или са предназначени за обработване след предаването им на трета държава или на международна организация, включително за последващо предаване на друга трета държава или международна организация, при условие че предаването е в съответствие с разпоредбите на този закон и е изпълнено всяко едно от следните условия:
1. предаването е необходимо за целите, посочени в чл. 42;
2. личните данни се предават на администратор в трета държава или на международна организация, която е орган, компетентен за целите, посочени в чл. 42;
3. когато се предават или се предоставят лични данни, получени от друга държава членка, тази държава членка е дала своето предварително разрешение за предаването в съответствие с националното си право;
4. Европейската комисия е приела решение, че съответната трета държава, територия, или един или повече конкретни сектори в тази трета държава, или съответната международна организация осигуряват адекватно ниво на защита или при отсъствието на такова решение са предвидени или съществуват подходящи гаранции съгласно чл. 74, а при отсъствието както на решение за адекватно ниво на защита, така и на подходящи гаранции, се прилагат правилата за особени случаи съгласно чл. 75, и
5. при последващо предаване на лични данни на друга трета държава или международна организация компетентният орган, извършил първоначалното предаване, или друг компетентен орган разрешава последващото предаване на данни, след като надлежно е взел предвид всички значими фактори, включително тежестта на престъплението, целта на първоначалното предаване на личните данни, нивото на защита на личните данни в третата държава или международната организация, към която се извършва последващото предаване на лични данни.
(2) Предаването на данни без предварителното разрешение на друга държава членка в съответствие с ал. 1, т. 3 се разрешава само ако предаването на личните данни е необходимо за предотвратяването на непосредствена и сериозна заплаха за обществения ред и сигурност на държава членка или на трета държава или за основните интереси на държава членка и предварителното разрешение не може да се получи своевременно. В тези случаи незабавно се уведомява органът на държавата членка, предоставила личните данни, в чиято компетентност е да даде предварителното разрешение по ал. 1, т. 3.
Чл. 73. (1) Лични данни може да се предават на трета държава или международна организация, ако e налице решение на Европейската комисия, че съответната държава, територия или един или повече конкретни сектори в тази държава, или съответната международна организация осигуряват адекватно ниво на защита. За такова предаване не се изисква специално разрешение.
(2) Когато Европейската комисия отмени, измени или спре действието на свое решение по ал. 1, това не засяга възможността предаването на лични данни на съответната трета държава, на територията или на един или повече конкретни сектори в тази трета държава, или на съответната международна организация да се осъществи при условията на
чл. 74 и 75.
Чл. 74. (1) При липса на решение на Европейската комисия относно адекватното ниво на защита на личните данни по чл. 73, ал. 1 предаване на лични данни на трета държава или международна организация може да се осъществи, когато:
1. в законодателството на тази държава или в устава на международната организация, или във влязъл в сила международен договор, по който Република България е страна, или в друг правно обвързващ акт са предвидени подходящи гаранции във връзка със защитата на личните данни, или
2. администраторът - компетентен орган, е извършил оценка на всички обстоятелства около предаването на лични данни и е стигнал до заключението, че по отношение на защитата на личните данни съществуват подходящи гаранции.
(2) Администраторът - компетентен орган, документира предаванията на основание на ал. 1, т. 2, включително датата и момента на предаване, информацията относно получаващия компетентен орган, обосновка на предаването и предадените лични данни.
(3) Администраторът - компетентен орган, информира комисията за категориите предавания по ал. 1, т. 2 и при поискване й предоставя достъп до документацията по ал. 2.
Чл. 75. (1) При липса на решение на Европейската комисия относно адекватното ниво на защита на личните данни съгласно чл. 73, ал. 1 или на подходящи гаранции съгласно чл. 74 предаване на лични данни на трета държава или международна организация може да се извърши само ако предаването е необходимо:
1. за да бъдат защитени жизненоважни интереси на субекта на данни или на друго лице;
2. за да бъдат защитени легитимни интереси на субекта на данни, когато законодателството на Република България предвижда това;
3. за предотвратяването на непосредствена и сериозна заплаха за обществения ред и сигурност на държава - членка на Европейския съюз, или на трета държава;
4. в отделни случаи за целите, посочени в чл. 42, или
5. в отделен случай за установяването, упражняването или защитата на правни претенции, свързани с целите, посочени в чл. 42.
(2) Лични данни не могат да се предават, ако предаващият компетентен орган реши, че основните права и свободи на въпросния субект на данните надделяват над обществения интерес от предаването, посочено в ал. 1, т. 4 и 5.
(3) При предаването на данни на основание ал. 1 то се документира и документацията се предоставя на комисията при поискване, включително датата и моментът на предаване, информация относно получаващия компетентен орган, обосновка на предаването и предадените лични данни.
Чл. 76. (1) Чрез дерогация от чл. 72, ал. 1, т. 2 и без да се засяга международен договор по ал. 2, компетентен орган в отделни и специфични случаи може да предава лични данни пряко на получатели, установени в трети държави, само ако са спазени останалите разпоредби на тази глава и е изпълнено всяко едно от следните условия:
1. предаването е строго необходимо за изпълнението на задача на предаващия компетентен орган, произтичаща от правото на Европейския съюз или от законодателството на Република България, за целите, посочени в чл. 42;
2. предаващият компетентен орган реши, че никои основни права и свободи на въпросния субект на данни не надделяват над обществения интерес, който налага предаването в конкретния случай;
3. предаващият компетентен орган счита, че предаването на орган, който е компетентен в третата държава по отношение на целите, посочени в чл. 42, е неефективно или неподходящо, по-специално тъй като предаването не може да се осъществи навреме;
4. органът на третата държава, който е компетентен за целите, посочени в чл. 42, е уведомен без излишно забавяне, освен ако това е неефективно или неподходящо;
5. предаващият компетентен орган уведомява получателя за конкретната цел или цели, единствено за които последният обработва личните данни, при условие че такова обработване е необходимо.
(2) Международен договор по ал. 1 е всяко двустранно или многостранно международно споразумение, което е в сила между държави -членки на Европейския съюз, и трети държави в областта на съдебното сътрудничество по наказателноправни въпроси и полицейското сътрудничество.
(3) Компетентният орган, предаващ данните, документира всяко предаване на основание ал. 1 и уведомява комисията.
Чл. 77. По отношение на трети държави и международни организации комисията предприема подходящи мерки за:
1. разработване на механизми за международно сътрудничество с цел подпомагане на ефективното прилагане на законодателството за защита на личните данни;
2. осигуряване на международна взаимопомощ при прилагането на законодателството за защита на личните данни, включително чрез уведомяване, препращане на жалби, помощ при разследвания и обмен на информация, при условие че има подходящи гаранции за защитата на личните данни и другите основни права и свободи;
3. включване на съответните заинтересовани страни в обсъждания и дейности, насочени към допълнително задълбочаване на международното сътрудничество за прилагането на законодателството за защита на личните данни;
4. насърчаване на обмена и документирането на законодателство и практики в областта на защитата на личните данни, включително във връзка със спорове за компетентност с трети държави.

Раздел V
НАДЗОР ЗА СПАЗВАНЕ НА ПРАВИЛАТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ. СРЕДСТВА ЗА ПРАВНА ЗАЩИТА

Чл. 78. (1) Надзорът за спазване на правилата за защита на личните данни по тази глава се упражнява от комисията.
(2) Алинея 1 не се прилага при обработване на лични данни от съдилищата, прокуратурата и следствените органи, когато действат при изпълнение на функциите им на органи на съдебната власт. В тези случаи се прилага Законът за съдебната власт.
(3) По отношение на независимостта, общите условия, на които трябва да отговарят председателят и членовете на комисията, и правилата за създаването й се прилагат съответно чл. 52-54 от Регламент 2016/679.
Чл. 79. (1) При упражняване на надзора по тази глава освен задачите по чл. 10, ал. 2, т. 1-7 и 9 комисията изпълнява и следните задачи:
1. наблюдава и гарантира прилагането на разпоредбите на тази глава и мерките за изпълнението им;
2. насърчава обществената информираност и разбиране на рисковете, правилата, гаранциите и правата, свързани с обработване;
3. дава становища относно проекти на закони и други нормативни актове, както и административни мерки, свързани със защитата на правата и свободите на физическите лица по отношение на обработването;
4. повишава осведомеността на администраторите и обработващите лични данни за техните задължения;
5. предоставя информация на всеки субект на данни във връзка с упражняването на правата му при поискване и, ако е уместно, си сътрудничи за тази цел с надзорните органи в други държави членки;
6. разглежда, разследва и се произнася по жалби, подадени от субект на данни при условията и по реда на чл. 38;
7. проверява законосъобразността на обработването в случаите по чл. 57 и информира субекта на данните за резултата от проверката в тримесечен срок от сезирането й или за причините, поради които проверката не е била извършена;
8. осъществява сътрудничество с други надзорни органи, включително чрез обмен на информация, и им предоставя взаимна помощ с оглед на осигуряване на съгласуваното прилагане и привеждане в изпълнение на правилата за защита на личните данни;
9. извършва проучвания в областта на защитата на личните данни, включително въз основа на информация, получена от друг надзорен или публичен орган;
10. наблюдава съответното развитие, по-специално в областта на развитието на информационните и комуникационните технологии, дотолкова, доколкото то има въздействие върху защитата на личните данни;
11. дава становища по операциите за обработване на данни, посочени в чл. 65;
12. участва в дейностите на Европейския комитет по защита на данните.
(2) Изпълнението на задачите по ал. 1 е безплатно за субекта на данни и за длъжностното лице по защита на данните.
(3) Администраторът - компетентен орган, и обработващият
лични данни сътрудничат при поискване с комисията при изпълнението на задачите й.
Чл. 80. (1) При упражняване на надзора по тази глава освен правомощията по чл. 10а, ал. 2, т. 2 и 3 комисията упражнява и следните правомощия:
1. правомощия за разследване:
а) да получава от администратора или от обработващия лични данни достъп до всички лични данни, които се обработват;
б) да получава от администратора или от обработващия цялата информация, необходима за изпълнението на задачите на комисията;
2. корективни правомощия:
а) да отправя предупреждения до администратора или до обработващия лични данни, когато има вероятност планираните операции по обработване на данни да нарушат разпоредбите на тази глава;
б) да разпорежда на администратора или на обработващия лични данни да приведат операциите по обработване на данни в съответствие с разпоредбите на тази глава, включително да разпорежда коригирането, изтриването на лични данни или ограничаването на обработването съгласно чл. 56;
в) да налага временно или окончателно ограничаване, включително забрана, на обработването;
3. консултативни правомощия:
а) да дава становища на администратора в съответствие с процедурата по предварителна консултация по чл. 65;
б) да дава становища по собствена инициатива или при поискване по проекти на закони и други нормативни актове, както и на административни мерки, свързани със защитата на личните данни на физическите лица;
в) да дава становища по собствена инициатива или при поискване по всякакви други въпроси, свързани със защитата на личните данни.
(2) Комисията може да сезира съда за нарушения на разпоредбите от тази глава.
(3) При упражняване на надзора по тази глава се прилага чл. 12а.
Чл. 81. (1) Комисията си сътрудничи с надзорните органи на другите държави членки, включително чрез обмен на информация и отправяне и изпълнение на искания за извършване на консултации, проверки и разследвания. Исканията за помощ следва да съдържат цялата необходима информация, включително целта и основанията на искането. Обменената информация се използва единствено за целите, за които е поискана.
(2) Комисията предприема всички необходими и подходящи мерки, за да се отговори на искането на друг надзорен орган без излишно забавяне и не по-късно от един месец след получаване на искането.
(3) Комисията може да откаже искане за помощ, ако:
1. не е компетентна относно предмета на искането или мерките, които се изисква да изпълни, или
2. удовлетворяването на искането би нарушило законодателството на Република България или правото на Европейския съюз.
(4) Комисията информира искащия надзорен орган за резултатите или, в зависимост от случая, за напредъка на предприетите мерки в отговор на искането. Комисията мотивира отказа си по ал. 3.
(5) Формите на сътрудничество и взаимопомощ между комисията и надзорните органи на други държави членки и процедурите, по които те се осъществяват, се уреждат с правилника за дейността на комисията и нейната администрация.
Чл. 82. (1) При нарушаване на правата му по тази глава субектът на данните разполага със средствата за правна защита и може да търси отговорност за причинените му вреди по реда на глава седма.
(2) В случаите по чл. 38, ал. 1 комисията улеснява подаването на жалба от субект на данни чрез осигуряване на формуляр за подаване на жалби.
Чл. 83. Субектът на данни има право да възложи на юридическо лице с нестопанска цел, осъществяващо дейност в обществена полза и развиващо дейност в областта на защитата на правата и свободите на субектите на данни по отношение на защитата на техните лични данни, да подаде жалбата от негово име и да упражни от негово име правата, посочени в чл. 38 и 39.

§ 22. Създава се глава девета с чл. 84-90:

„Глава девета
ПРИНУДИТЕЛНИ АДМИНИСТРАТИВНИ МЕРКИ. АДМИНИСТРАТИВНОНАКАЗАТЕЛНИ РАЗПОРЕДБИ

Чл. 84. (1) Корективните правомощия на комисията по чл. 58, параграф 2 с изключение на буква „и“ от Регламент (ЕС) 2016/679 се упражняват под формата на принудителни административни мерки.
(2) Мерките по ал. 1 се прилагат с решение на комисията, което подлежи на обжалване по реда на Административнопроцесулния кодекс в
14-дневен срок от получаването му. Обжалването не спира изпълнението, освен ако съдът постанови друго.
Чл. 85. Размерите на предвидените в Регламент (ЕС) 2016/679 глоби и имуществени санкции се определят съобразно посочените в него критерии и се налагат в тяхната левова равностойност.
Чл. 86. (1) За нарушения на чл. 45, ал. 1, чл. 49, ал. 1, чл. 51, чл. 53-56, чл. 80, ал. 1, т. 1, буква „а“, т. 2, букви „б“ и „в“ администраторът и/или обработващият лични данни се наказва с глоба или с имуществена санкция в размерите по чл. 83, параграф 5 от Регламент (ЕС) 2016/679.
(2) За нарушения по чл. 59, 62 и 64-70 административното наказание глоба или имуществена санкция е в размерите по чл. 83, параграф 4 от Регламент (ЕС) 2016/679.
(3) Размерите на предвидените в ал. 1 и 2 административни наказания се определят съобразно посочените в чл. 83, параграф 2 от Регламент (ЕС) 2016/679 критерии и се налагат в тяхната левова равностойност.
Чл. 87. За други нарушения по този закон администраторите и/или обработващите лични данни се наказват с глоба или с имуществена санкция до 5000 лв.
Чл. 88. (1) Когато нарушенията по Регламент (ЕС) 2016/679 и по този закон са извършени повторно, се налага глоба или имуществена санкция в двоен размер на първоначално наложената, но не повече от максимално предвидените размери в чл. 83 от Регламент (ЕС) 2016/679.
(2) Повторно е нарушението, извършено в срок една година от влизането в сила на решението на комисията или на наказателното постановление, с което нарушителят е наказан за същото по вид нарушение.
Чл. 89. (1) Установяването на нарушенията, издаването, обжалването и изпълнението на наказателните постановления се извършва по реда на Закона за административните нарушения и наказания.
(2) Актовете за установяване на административните нарушения се съставят от член на комисията или от упълномощени от комисията длъжностни лица.
(3) Наказателните постановления се издават от председателя на комисията.
(4) Принудителното събиране на имуществените санкции и глобите по влезли в сила наказателни постановления и решения на комисията се осъществява от публичен изпълнител по реда на Данъчно-осигурителния процесуален кодекс или от съдебен изпълнител по реда на Гражданския процесуален кодекс.
(5) Събраните суми от наложени имуществени санкции и глоби постъпват по бюджета на комисията.
Чл. 90. (1) Извън случаите по чл. 38, ал. 1 нарушенията на Регламент (ЕС) 2016/679 или на този закон се установяват по реда на Закона за административните нарушения и наказания.
(2) Актовете за установяване на административните нарушения се съставят от член на комисията или от упълномощени от комисията длъжностни лица.
(3) Наказателните постановления се издават от председателя на комисията.
(4) Имуществените санкции и глобите по влезли в сила наказателни постановления се събират по реда на Данъчно-осигурителния процесуален кодекс.”
§ 23. В Допълнителните разпоредби се правят следните изменения и допълнения:
1. Параграф 1 се изменя така:
„§ 1. Извън определенията по чл. 4 от Регламент (ЕС) 2016/679 по смисъла на този закон:


1. „Маркировка“ е механизъм за самооценка, чрез който се демонстрира съответствие с Регламент (ЕС) 2016/679, по критерии, определени от комисията.
2. „Мащабно“ е наблюдение и/или обработване на лични данни на значителен или неограничен брой субекти на лични данни или обем лични данни, когато основните дейности на администратора или обработващия, включително средствата за тяхното изпълнение, се състоят в такива операции.
3. „Риск“ е възможността за настъпване на имуществена или неимуществена вреда за субекта на данните при определени условия, оценена от гледна точка на нейната тежест и вероятност.
4. Микропредприятия, малки и средни предприятия са предприятията по чл. 3 от Закона за малките и средните предприятия.
5. „Администратор-публичен орган и/или публична структура“ по смисъла на Регламент (ЕС) 2016/679 е орган на държавната власт или на местното самоуправление, както и структура, чиято основна дейност е свързана с разходване на публични средства.
6. „Изтриване“ е необратимо заличаване на информацията от съответния носител.
7. „Унищожаване“ е необратимо физическо разрушаване на материалния носител на информация.”
2. Създава се нов § 1а:
„§ 1а. По смисъла на глава осма:
1. „Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано („субект на данни“). „Физическо лице, което може да бъде идентифицирано” е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор, като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата и умствената, икономическата, културната или социалната идентичност на това физическо лице.

2. „Обработване“ е всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства, като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друга форма на осигуряване на достъп до данните, подреждане или комбиниране, ограничаване, изтриване или унищожаване.
3. „Ограничаване на обработването“ е маркиране на съхранявани лични данни с цел ограничаване на обработването им в бъдеще.
4. „Профилиране“ е всяка форма на автоматизирано обработване на лични данни, изразяващо се в използване на лични данни за оценяване на някои лични аспекти, свързани с дадено физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение.
5. „Псевдонимизация“ е обработването на лични данни по такъв начин, че личните данни да не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано.
6. „Регистър с лични данни“ е всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;
7. „Компетентен орган“ е:
а) всеки публичен орган, който е компетентен за предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване, или
б) всякакъв друг орган или образувание, който по силата на закон разполага с публична власт и публични правомощия за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване.
8. „Администратор – компетентен орган“ е компетентният орган, който сам или съвместно с други органи определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Европейския съюз или от правото на Република България, администраторът – компетентен орган, или специалните критерии за неговото определяне могат да бъдат установени в правото на Европейския съюз или в националното законодателство.
9. „Обработващ лични данни“ е физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора.
10. „Получател“ е физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Република България, не се считат за получатели; обработването на данните от тези публични органи отговаря на приложимите правила за защита на данните съгласно целите на обработването.
11. „Нарушение на сигурността на лични данни“ е нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин.
12. „Генетични данни“ са лични данни, свързани с наследени или придобити генетични белези на дадено физическо лице, които дават уникална информация относно физиологията или здравето на това физическо лице и които са получени по-специално чрез анализ на биологична проба от въпросното физическо лице.
13. „Биометрични данни“ са лични данни, получени в резултат на специфично техническо обработване, които са свързани с физическите, физиологичните или поведенческите характеристики на дадено физическо лице и които позволяват или потвърждават уникалната идентификация на това физическо лице, като лицеви изображения или дактилоскопични данни.
14. „Данни за здравословното състояние“ са лични данни, свързани с физическото или психическото здраве на физическо лице, включително предоставянето на здравни услуги, които дават информация за здравословното му състояние.

15. „Надзорен орган“ е независим публичен орган от държава - членка на Европейския съюз, отговорен за наблюдението на прилагането на правилата за защита на личните данни, с които са въведени разпоредбите на Директива 2016/680 в съответното национално законодателство, с цел да се защитят основните права и свободи на физическите лица във връзка с обработването на лични данни и да се улесни свободното им движение в рамките на ЕС. За Република България надзорен орган е Комисията за защита на личните данни от този закон.
16. „Международна организация“ е организация и нейните подчинени органи, регламентирани от международното публично право, или друг орган, създаден чрез или въз основа на споразумение между две или повече държави.“
3. Досегашният § 1а става § 1б и се изменя така:
„§ 1б. Този закон въвежда мерките за изпълнение на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) (ОВ, L 119/1 от 4 май 2016 г.) и изискванията на Директива (ЕС) 2016/680 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания и относно свободното движение на такива данни, и за отмяна на Рамково решение 2008/977/ПВР на Съвета (ОВ, L 119/89 от
4 май 2016 г.).“
§ 24. В Преходните и заключителните разпоредби се създава § 6:
„§ 6. Системите за автоматизирано обработване, използвани от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществения ред и сигурност и тяхното предотвратяване, създадени преди
6 май 2016 г., се привеждат в съответствие с член 63, ал. 1 и 2 до 6 май
2023 г.“



ПРЕХОДНИ И ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ

§ 25. Образуваните преди 25 май 2018 г. производства за нарушения на този закон се приключват по досегашния ред.
§ 26. В Закона за Министерството на вътрешните работи (обн., ДВ, бр. 53 от 2014 г.; изм. и доп., бр. 98 и 107 от 2014 г., бр. 14, 24, 56, 61 от 2015 г., бр. 81, 97, 98 и 103 от 2016 г., бр.13 от 2017 г.; Решение № 4 на Конституционния съд от 2017 г. – бр. 26 от 2017 г.; изм. и доп., бр. 58, 97 и 103 от 2017 г., бр. 7, 10; Решение № 10 на Конституционния съд от 2018 г. – бр. 48 от 2018 г.; изм. и доп., бр. 55 от 2018 г.) се правят следните изменения и допълнения:
1. В чл. 22 ал. 1 се отменя.

2. В чл. 24 се създава ал. 4:

„(4) Информационните фондове, изграждани за административно обслужване на гражданите, се използват и за целите на защита на националната сигурност, противодействие на престъпността, опазване на обществения ред и провеждане на наказателното производство.“

3. В чл. 25, ал. 3 след думите „този закон“ се поставя запетая и се добавя „Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от
27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО“.

4. Създава се чл. 25а:
„Чл. 25а. (1) Обработването на лични данни, разкриващо расов или етнически произход, политически възгледи, религиозни или философски убеждения, членство в професионални съюзи, обработването на генетични данни, биометрични данни с цел уникално идентифициране на физическото лице, данни, свързани със здравето или сексуалния живот и сексуалната ориентация на лицето, е разрешено само когато това е абсолютно необходимо.
(2) Личните данни по ал. 1 се събират само във връзка с други данни на засегнатото физическо лице.“
5. В чл. 26:
а) в ал. 1:
aa) думата „свързани“ се заменя със „свързано“;
бб) точка 3 се изменя така:
„3. могат да обработват всички необходими категории лични данни;“
вв) точка 4 се изменя така:
„4. предоставят личните данни на органите за защита на националната сигурност, противодействие на престъпността и опазване на обществения ред, както и на органите на съдебната власт за нуждите на конкретно наказателно производство;“
гг) създава се т. 5:
„5. предоставят личните данни на други администратори, които са публични органи, или получатели с оглед на обработването им за цели, различни от целите за защита на националната сигурност, противодействие на престъпността, опазване на обществения ред и провеждане на наказателното производство, в съответствие със Закона за защита на личните данни и по ред, определен в инструкцията на министъра на вътрешните работи по чл. 29, ал. 2;“
дд) създава се т. 6:
„6. обменят лични данни с компетентни органи и получатели от държави - членки на Европейския съюз, органи и агенции на Европейския съюз, трети държави или международни организации в съответствие със Закона за защита на личните данни.“
б) алинея 2 се изменя така:
„(2) Сроковете за съхранение на данните по ал. 1, за изтриването им или за периодична проверка на необходимостта от съхранението им се определят от министъра на вътрешните работи. Тези данни се изтриват и в изпълнение на съдебен акт или решение на Комисията за защита на личните данни.“
6. В чл. 28, ал. 1, т. 3 след думите „Шенгенската информационна система (ШИС)“ се поставя запетая и се добавя „базите данни на Интерпол или базите данни на Европол“.

7. В чл. 29:

а) в ал. 1 думите „по смисъла на Закона за защита на личните данни“ се заличават;

б) създава се ал. 3:

„(3) Министърът на вътрешните работи определя длъжностно лице по защита на данните в съответствие със Закона за защита на личните данни.“

8. В чл. 108, ал. 3 думите „Закона за защита на личните данни“ се заменят с „изискванията за защита на личните данни“.

9. В чл. 123, ал. 1 думите „по реда на този закон и на Закона за защита на личните данни“ се заменят с „при спазване на изискванията за защита на личните данни“.
§ 27. В Закона за митниците (обн., ДВ, бр. 15 от 1998 г.; изм. и доп., бр. 89 и 153 от 1998 г., бр. 30 и 83 от 1999 г., бр. 63 от 2000 г., бр. 110 от 2001 г., бр. 76 от 2002 г., бр. 37 и 95 от 2003 г., бр. 38 от 2004 г., бр. 45, 86, 91 и 105 от
2005 г., бр. 30 и 105 от 2006 г., бр. 59 и 109 от 2007 г., бр. 28, 43 и 106 от 2008 г., бр. 12, 32, 42, 44 и 95 от 2009 г., бр. 54, 55, 73 и 94 от 2010 г. , бр. 82 от 2011 г.,
бр. 38 и 54 от 2012 г., бр. 15 и 66 от 2013 г., бр. 98 от 2014 г., бр. 42 и 60 от 2015 г., бр. 58, 75 и 98 от 2016 г., бр. 99 и 103 от 2017 г. и бр. 24 от 2018 г.) чл. 17а се изменя така:
„Чл. 17а. (1) При изпълнение на служебните си задължения митническите служители могат да обработват лични данни.
(2) Митническите служители могат да обработват и лични данни, получени от други органи, за целите, за които са предоставени. Тези данни се препредават само с разрешение на органа, който ги е предоставил.
(3) При обработване на лични данни, свързано с дейностите по разузнаване, разкриване и разследване на нарушения или престъпления по чл. 234, 242, 242а и 251 от Наказателния кодекс и по чл. 255 от Наказателния кодекс по отношение на задължения за ДДС от внос и акцизи, митническите служители:
1. могат да не искат съгласието на физическото лице;
2. могат да не информират физическото лице преди и по време на обработването на личните му данни;
3. предоставят личните данни само на органите за защита на националната сигурност, противодействие на престъпността и опазване на обществения ред, както и на органите на съдебната власт за нуждите на конкретно наказателно производство;
4. обменят лични данни с компетентни органи и получатели от държави - членки на Европейския съюз, трети държави или международни организации в съответствие със Закона за защита на личните данни.
(4) Сроковете за изтриване на данните по ал. 3 или за периодична проверка на необходимостта от съхранението им се определят от директора на Агенция „Митници“. Тези данни се изтриват и в изпълнение на съдебен акт или решение на Комисията за защита на личните данни.
(5) Обработването на лични данни се осъществява при условията и по реда на този закон, Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО и на Закона за защита на личните данни.
(6) Администратор на лични данни е директорът на Агенция „Митници“, който възлага обработването на лични данни на оправомощени от него длъжностни лица при условията и по реда на Закона за защита на личните данни.
(7) Директорът на Агенция „Митници“ определя длъжностно лице по защита на данните в съответствие със Закона за защита на личните данни.“
§ 28. В Закона за електронните съобщения (обн., ДВ, бр. 41 от
2007 г.; изм. и доп., бр. 109 от 2007 г., бр. 36, 43 и 69 от 2008 г., бр. 17, 35, 37 и 42 от 2009 г.; Решение № 3 на Конституционния съд от 2009 г. – бр. 45 от 2009 г.; изм. и доп., бр. 82, 89 и 93 от 2009 г., бр. 12, 17, 27 и 97 от 2010 г., бр. 105 от
2011 г., бр. 38, 44 и 82 от 2012 г., бр. 15, 27, 28, 52, 66 и 70 от 2013 г., бр. 11, 53, 61 и 98 от 2014 г., бр. 14 от 2015 г.; Решение № 2 на Конституционния съд от
2015 г. – бр. 23 от 2015 г.; изм. и доп., бр. 24, 29, 61 и 79 от 2015 г., бр. 50, 95, 97 и 103 от 2016 г., бр. 58, 85 и 101 от 2017 г. и бр. 7, 21 и 28 от 2018 г.) се правят следните изменения:
1. Член 249 се изменя така:
„Чл. 249. (1) Предприятията, предоставящи обществени електрони съобщителни услуги, обработват данните по чл. 248, ал. 2, т. 2, буква „а”, както и всички други данни, законосъобразно получени от потребителите - физически лица, в съответствие с Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО.
(2) Предприятията, предоставящи обществени електронни съобщителни услуги, не могат да поставят като условие за предоставяне на услугите си получаването на съгласието на потребител - физическо лице, за обработване на личните му данни за цели, за които съгласно Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО е нужно изрично съгласие.“
2. Член 262 се изменя така:
„Чл. 262. Надзорът върху обработването на лични данни по реда на този раздел се осъществява от Комисията за защита на личните данни в съответствие с Регламент (ЕС) 2016/679 и Закона за защита на личните данни.“
§ 29. В Закона за обществените поръчки (обн., ДВ, бр. 13 от 2016 г., изм. и доп., бр. 34 от 2016 г., бр. 63, 85, 96 и 102 от 2017 г. и бр. 7, 15, 17, 24 и 30 от 2018 г.) се правят следните изменения и допълнения:
1. В чл. 42 ал. 5 се изменя така:
„(5) При публикуване на документите по ал. 2 се заличава информацията, по отношение на която участниците правомерно са се позовали на конфиденциалност във връзка с наличието на търговска тайна, единния граждански номер/личния номер на чужденец и подписи на физическите лица, както и друга информация, която е защитена със закон. На мястото на заличената информация се посочва основанието за заличаване.“
2. В чл. 48 се създава ал. 7:
„(7) Когато предметът на поръчката е разработване, проектиране и използване на услуги и продукти, които се основават на обработване на лични данни или обработват лични данни, техническите спецификации, които определят характеристиките на предмета на поръчката, трябва да бъдат съобразени с правилата за защита на лични данни съгласно чл. 25 от Регламент 2016/679, когато съответното обработване на лични данни попада в материалния обхват на Регламент 2016/679.“
§ 30. В Закона за съдебната власт (обн., ДВ, бр. 64 от 2007 г.; изм. и доп., бр. 69 и 109 от 2008 г., бр. 25, 33, 42, 102 и 103 от 2009 г., бр. 59 от 2010 г., бр. 1, 23, 32, 45, 81 и 82 от 2011 г.; Решение № 10 на Конституционния съд от 2011 г. - бр. 93 от 2011 г.; изм. и доп., бр. 20, 50 и 81 от 2012 г., бр. 15, 17, 30, 52, 66, 70 и 71 от 2013 г., бр. 19, 21, 53, 98 и 107 от 2014 г., бр. 14 от 2015 г., бр. 28, 39, 50, 62 и 76 от 2016 г., бр. 13, 14, 63, 65, 85, 90 и 103 от 2017 г. и бр. 7, 15 и 49 от 2018 г.) се правят следните изменения и допълнения:
1. В чл. 19, ал. 7 думите „със Закона за защита на личните данни“ се заменят със „с изискванията за защита на личните данни“.
2. В чл. 29г, ал. 6 думите „със Закона за защита на личните данни“ се заменят със „с изискванията за защита на личните данни“.
3. В чл. 44, ал. 6 думите „със Закона за защита на личните данни“ се заменят със „с изискванията за защита на личните данни“.
4. В чл. 54, ал. 1 се създава т. 15:
„15. осъществява надзор върху обработването на лични данни от съдилищата, прокуратурата и следствените органи, когато действат при изпълнение на функциите им на органи на съдебната власт, включително разглежда жалби на физически лица във връзка с обработването на личните им данни.“
5. В чл. 64, ал. 1 думите „на Закона за защита на личните данни“ се заменят със „за защита на личните данни“.
6. В чл. 80, ал. 1, т. 15 думите „Закона за защита на личните данни“ се заменят с „изискванията за защита на личните данни“.
7. В чл. 86, ал. 1, т. 18 думите „Закона за защита на личните данни“ се заменят с „изискванията за защита на личните данни“.
8. В чл. 93, ал. 1, т. 12 думите „Закона за защита на личните данни“ се заменят с „изискванията за защита на личните данни“.
9. В чл. 106, ал. 1, т. 15 думите „Закона за защита на личните данни“ се заменят с „изискванията за защита на личните данни“.
10. В чл. 114, ал. 1, т. 16 думите „Закона за защита на личните данни“ се заменят с „изискванията за защита на личните данни“.
11. В чл. 122, ал. 1, т. 16 думите „Закона за защита на личните данни“ се заменят с „изискванията за защита на личните данни“.
12. В чл. 173, ал. 8, изречение 3 думите „Закона за защита на личните данни“ се заменят с „изискванията за защита на личните данни“.
13. В чл. 175г, ал. 5 думите „Закона за защита на личните данни“ се заменят с „изискванията за защита на личните данни“.
14. В чл. 360с, ал. 2 думите „Закона за защита на личните данни“ се заменят с „изискванията за защита на личните данни“.

15. В чл. 373 думите „на Закона за защита на личните данни“ се заменят с „изискванията за защита на личните данни“.
16. В чл. 385, ал. 1 думите „на Закона за защита на личните данни“ се заменят със „за защита на личните данни“.
17. В чл. 386, ал. 5 думите „със Закона за защита на личните данни“ се заменят със „с изискванията за защита на личните данни“.
§ 31. В Закона за Националния архивен фонд (обн., ДВ, бр. 57 от 2007 г.; изм. и доп., бр. 19, 42, 78, 92, 93 и 103 от 2009 г.; Решение № 8 на Конституционния съд от 2010 г. - бр. 43 от 2010 г.; изм., бр. 59 от 2010 г.; Решение № 14 на Конституционния съд от 2010 г. - бр. 101 от 2010 г.; изм. и доп., бр. 38 от 2012 г. бр. 15 от 2013 г., бр. 50 от 2016 г. и бр. 97 от 2017 г.) се правят следните изменения и допълнения:
1. В чл. 4 се създава ал. 3:
„(3) В документите по ал. 1 не се допуска намеса и заличаване на данни, включително на лични данни, за целите на архивирането в обществен интерес.“
2. В чл. 25, т. 1 след думата „документи“ се добавя „включително на лични данни“.
3. В чл. 48 се създава ал. 6:
„(6) Документите по ал. 1, съдържащи лични данни, се предават в държавните архиви от органите за управление на държавните и общински институции с тяхно разрешение.“
§ 32. В Изборния кодекс (обн., ДВ, бр. 19 от 2014 г.; изм. и доп.,
бр. 35, 53 и 98 от 2014 г., бр. 79 от 2015 г., бр. 39, 57, 85 и 97 от 2016 г.; Решение
№ 3 на Конституционния съд от 2017 г. – бр. 20 от 2017 г.; изм., бр. 85 от 2017 г.) се правят следните изменения и допълнения:
1. В чл. 17, ал. 2 думите „на Закона за защита на личните данни“ се заменят със „за защита на личните данни“.
2. В чл. 35, ал. 2, изречение второ думите „на Закона за защита на личните данни“ се заменят със „за защита на личните данни“.
3. В чл. 54, ал. 2, изречение трето думите „на Закона за защита на личните данни“ се заменят със „за защита на личните данни“.

4. В чл. 57, ал. 1 се създава т. 49:
„49. съвместно с Комисията за защита на личните данни издава указания относно обработването и защитата на личните данни в изборния процес.“
5. В чл. 133, ал. 3 т. 5 се изменя така:
„5. списък, съдържащ имената, единния граждански номер и саморъчен подпис на не по-малко от 2500 избиратели, подкрепящи регистрацията, положен пред упълномощени от партията лица; при избори за членове на Европейския парламент от Република България и при избори за общински съветници и за кметове регистрацията на партията може да бъде подкрепена и от избиратели – граждани на друга държава - членка на Европейския съюз, като в списъците се посочват имената, личният номер, номерът на удостоверението за пребиваване, датата на регистрация, посочена в него, и подпис; всеки избирател може да участва само в един списък; при полагане на подписа си в списъка избирателят удостоверява своята самоличност; списъкът се предава и в структуриран електронен вид, като съдържа имената и единния граждански номер (личен номер) на избирателите, положили саморъчен подпис, в последователността, в която са вписани в списъка;“.
6. В чл. 71, ал. 2, изречение второ думите „на Закона за защита на личните данни“ се заменят със „за защита на личните данни“.
7. В чл. 86 думите „на Закона за защита на личните данни“ се заменят със „за защита на личните данни“.
8. В чл. 113 думите „на Закона за защита на личните данни“ се заменят със „за защита на личните данни“.
9. В чл. 122, ал. 1, изречение второ думите „на Закона за защита на личните данни“ се заменят със „за защита на личните данни“.
10. В чл. 124, ал. 4, изречение трето думите „на Закона за защита на личните данни“ се заменят със „за защита на личните данни“.
11. В чл. 133, ал. 4 думите „на Закона за защита на личните данни“ се заменят със „за тяхната защита“.
12. Член 136 се изменя така:
„Чл. 136. Централната избирателна комисия осигурява възможност в 3-месечен срок от произвеждането на изборите всеки избирател - български гражданин, да може да прави справка в списъка по чл. 133, ал. 3, т. 5 по единен граждански номер, съответно по личен номер за всеки избирател - гражданин на друга държава - членка на Европейския съюз, при избори за членове на Европейския парламент от Република България и за общински съветници и кметове, включително на безплатен телефонен номер.“
13. В чл. 140, ал. 3 т. 6 се изменя така:
„6. списък, съдържащ имената, единния граждански номер и саморъчен подпис на не по-малко от 2500 избиратели, подкрепящи регистрацията, положен пред упълномощени от коалицията лица; при избори за членове на Европейския парламент от Република България и за общински съветници и за кметове регистрацията на коалицията може да бъде подкрепена и от избиратели – граждани на друга държава - членка на Европейския съюз, като в списъците се посочват имената, личният номер, номерът на удостоверението за пребиваване, датата на регистрация, посочена в него, и подпис; всеки избирател може да участва само в един списък; при полагане на подписа си в списъка избирателят удостоверява своята самоличност; списъкът се предава и в структуриран електронен вид, като съдържа имената и единния граждански номер (личен номер) на избирателите, положили саморъчен подпис, в последователността, в която са вписани в списъка;“.
14. В чл. 140, ал. 4 думите „на Закона за защита на личните данни“ се заменят със „за тяхната защита“.
15. Член 143 се изменя така:
„Чл. 143. Централната избирателна комисия осигурява възможност в 3-месечен срок от произвеждането на изборите всеки избирател - български гражданин, да може да прави справка в списъка по чл. 140, ал. 3, т. 6 по единен граждански номер, съответно по личен номер за всеки избирател - гражданин на друга държава - членка на Европейския съюз, при избори за членове на Европейския парламент от Република България и за общински съветници и кметове, включително на безплатен телефонен номер.“
16. В чл. 257 ал. 2 се изменя така:
„(2) Избирател, който подкрепя участието в изборите на независим кандидат, удостоверява това с подписа си пред член на инициативния комитет. Избирателят посочва имената, единния граждански номер и постоянния си адрес. Всеки избирател може да участва само в един списък. При полагане на подписа си в списъка избирателят удостоверява своята самоличност. Списъкът се предава и в структуриран електронен вид, като съдържа имената, единния граждански номер и постоянния адрес на избирателите, положили саморъчен подпис, в последователността, в която са вписани в списъка.“
17. В чл. 257, ал. 3 думите „на Закона за защита на личните данни“ се заменят със „за защита на личните данни“ и думите „чл. 3, ал. 2 от Закона за защита на личните данни“ се заменят с „чл. 4, т. 7 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (ОВ, L 119/1 от 4 май 2016 г.), наричан по-нататък Регламент (ЕС) 2016/679“.
18. Член 260 се изменя така:
„Чл. 260. Районната избирателна комисия осигурява възможност в
3-месечен срок от произвеждането на изборите всеки избирател - български гражданин, да може да прави справка в списъка по чл. 257, ал. 2 по единен граждански номер, включително на безплатен телефонен номер.“
19. В чл. 320 ал. 2 се изменя така:
„(2) Избирател, който подкрепя участието в изборите на независимите кандидати, удостоверява това с подписа си пред член на инициативния комитет. Избирателят посочва имената и единния граждански номер. Всеки избирател може да участва само в един списък. При полагане на подписа си в списъка избирателят удостоверява своята самоличност. Списъкът се предава и в структуриран електронен вид, като съдържа имената и единния граждански номер на избирателите, положили саморъчен подпис, в последователността, в която са вписани в списъка.“
20. В чл. 320, ал. 3 думите „на Закона за защита на личните данни“ се заменят със „за защита на личните данни“ и думите „чл. 3, ал. 2 от Закона за защита на личните данни“ се заменят с „чл. 4, т. 7 от Регламент (ЕС) 2016/679”.
21. Член 323 се изменя така:
„Чл. 323. Централната избирателна комисия осигурява възможност в 3-месечен срок от произвеждането на изборите всеки избирател да може да прави справка в списъка по чл. 320, ал. 2 по единен граждански номер, включително на безплатен телефонен номер.“
22. В чл. 367 ал. 2 се изменя така:
„(2) Избирател, който подкрепя участието в изборите на независим кандидат, удостоверява това с подписа си пред член на инициативния комитет. Избирателят - български гражданин, посочва имената и единния граждански номер, а гражданите на друга държава - членка на Европейския съюз, имащи статут на постоянно или продължително пребиваващи - имената, личния номер, номера на личната карта или паспорта, номера на удостоверението за пребиваване и датата на регистрация, посочена в него. Всеки избирател може да участва само в един списък. При полагане на подписа си в списъка избирателят удостоверява своята самоличност. Списъкът се предава и в структуриран електронен вид, като съдържа имената и единния граждански номер (личен номер) на избирателите, положили саморъчен подпис, в последователността, в която са вписани в списъка.“
23. В чл. 367, ал. 3 думите „на Закона за защита на личните данни“ се заменят със „за защита на личните данни“ и думите „чл. 3, ал. 2 от Закона за защита на личните данни“ се заменят с „чл. 4, т. 7 от Регламент (ЕС) 2016/679”.
24. Член 370 се изменя така:
„Чл. 370. Централната избирателна комисия осигурява възможност в 3-месечен срок от произвеждането на изборите всеки избирател - български гражданин или гражданин на друга държава - членка на Европейския съюз, имащ статут на постоянно или продължително пребиваващ, да може да прави справка в списъка по чл. 367, ал. 2 по единен граждански номер или личен номер, включително на безплатен телефонен номер.“
25. В чл. 416 ал. 2 се изменя така:
„(2) Избирател, който подкрепя участието в изборите на независим кандидат за общински съветник или кмет, удостоверява това с подписа си пред член на инициативния комитет. Избирателите - български граждани, посочват имената, постоянния си адрес в общината, съответно в кметството или района, и единния си граждански номер, а гражданите на друга държава - членка на Европейския съюз, имащи статут на постоянно или продължително пребиваващи у нас - имената, личния номер, номера на личната карта или паспорта, номера на удостоверението за пребиваване и датата на регистрация, посочена в него, и адреса на пребиваване в съответната община, кметство или район. Всеки избирател може да участва само в един списък. При полагане на подписа си в списъка избирателят удостоверява своята самоличност. Списъкът се предава и в структуриран електронен вид, като съдържа имената, единния граждански номер (личен номер) и постоянен адрес (адрес на пребиваване) на избирателите, положили саморъчен подпис, в последователността, в която са вписани в списъка.“
26. В чл. 416, ал. 3 думите „на Закона за защита на личните данни“ се заменят със „за защита на личните данни“ и думите „чл. 3, ал. 2 от Закона за защита на личните данни“ се заменят с „чл. 4, т. 7 от Регламент (ЕС) 2016/679”.
27. Член 419 се изменя така:
„Чл. 419. Общинската избирателна комисия осигурява възможност в 3-месечен срок от произвеждането на изборите всеки избирател - български гражданин или гражданин на друга държава - членка на Европейския съюз, имащ статут на постоянно или продължително пребиваващ, да може да прави справка в списъка по чл. 416, ал. 2 по единен граждански номер или личен номер, включително на безплатен телефонен номер.“
28. В § 145, ал. 23 от Преходните и заключителните разпоредби думите „на Закона за защита на личните данни“ се заменят със „за защита на личните данни“.
§ 33. В Закона за Държавна агенция „Национална сигурност“ (обн., ДВ, бр. 109 от 2007 г.; изм. и доп., бр. 69 и 94 от 2008 г., бр. 22, 35, 42, 82 и 93 от 2009 г., бр. 16, 80 и 97 от 2010 г., бр. 9 и 100 от 2011 г., бр. 38 от 2012 г., бр. 15, 30, 52, 65 и 71 от 2013 г., бр. 53 от 2014 г., бр. 14, 24 и 61 от 2015 г., бр. 15, 101, 103 и 105 от 2016 г., бр. 103 от 2017 г. и бр. 7 и 27 от 2018 г.) се правят следните изменения и допълнения:
1. В чл. 34:
а) в ал. 2 т. 4 се изменя така:
„4. съхраняват данните в срокове, определени с наредбата по ал. 10, освен ако закон не предвижда друг срок”;
б) алинея 9 се отменя.
2. В чл. 36, ал. 5 думите „Администраторът на лични данни” се заменят с „Председателят на агенцията или оправомощен от него заместник-председател”.
3. Създават се нови чл. 42н1-42н6:
„Чл. 42н1. (1) Субектите на лични данни могат да упражняват правата си във връзка с обработваните за тях от Националното звено лични данни при условията и по реда на глава осма от Закона за защита на личните данни и този закон.
(2) Администратор на лични данни по смисъла на Закона за защита на личните данни по отношение на обработваните от Националното звено лични данни е неговият ръководител.
Чл. 42н2. (1) Субектите на лични данни могат да отправят искания за предоставяне на информация за обработваните за тях от Националното звено с автоматични или с други средства лични данни.
(2) Искането за предоставяне на информация по ал. 1 следва да бъде основателно и непрекомерно.
(3) Основателно е всяко искане, депозирано от субект на лични данни, което се отнася към записване, съхраняване, употреба, предоставяне, актуализиране, комбиниране, блокиране или заличаване на негови лични данни.
(4) Прекомерно искане е всяко искане, което надхвърля обхвата на обработваните в Националното звено лични данни. Повторно искане за предоставяне на една и съща информация се счита за прекомерно.
(5) Националното звено може да откаже да разгледа депозираното искане за предоставяне на информация, когато то е неоснователно и прекомерно. Отказът се мотивира и лицето, подало искането, се уведомява.
Чл. 42н3. (1) При подаване на искане за предоставяне на информация субектът на данните трябва да предостави достатъчно информация за потвърждаване на самоличността си.
(2) Информацията по ал. 1 трябва да съдържа най-малко:
1. име на субекта на данни;
2. единен граждански номер/личен номер на чужденец или друг аналогичен идентификатор;
3. постоянен адрес;
4. адрес за кореспонденция;
5. телефон;
6. електронен адрес за кореспонденция (при наличие).
(3) В случай че лицето не предостави данните по ал. 2 или предоставените данни пораждат основателни съмнения за неговата самоличност, Националното звено може да откаже да разгледа депозираното искане за предоставяне на информация.
Чл. 42н4. Националното звено може да ограничи, да забави за определен период или да не предостави информация на субекта на данни, като отчита основните му права и интереси, когато:
1. предоставянето на информация би възпрепятствало служебна или законова проверка или друга законова процедура във връзка с терористични или тежки престъпления;
2. предоставянето на информация би засегнало неблагоприятно предотвратяването, разкриването, разследването или наказателното преследване на терористични или тежки престъпления;
3. предоставянето на информация би засегнало неблагоприятно защитата на обществения ред и сигурност;
4. предоставянето на информация би засегнало неблагоприятно защитата на националната сигурност;
5. предоставянето на информация би засегнало неблагоприятно защитата на правата и свободите на трети лица;
6. други обстоятелства биха засегнали неблагоприятно защитата на обществения интерес и действията на компетентните органи при осъществяването на правомощията им по закон.
Чл. 42н5. (1) Администраторът на лични данни по чл. 42н1, ал. 2 се произнася с решение в 60-дневен срок от постъпването на искането по
чл. 42н2, ал. 1.
(2) Когато личните данни, за които се отнася искането, са предоставени от Националното звено на друг компетентен орган или на компетентен орган на друга държава или на Агенцията на Европейския съюз за сътрудничество в областта на правоприлагането (Европол) по реда на този закон, администраторът на лични данни по чл. 42н1, ал. 2 отправя до този орган запитване дали не са налице основания по чл. 42н4 за ограничаването, забавянето за определен период или непредоставянето на исканата информация. Органът, до когото е отправено запитването, отговаря в
14-дневен срок от получаването му, като мотивира ограничаването, забавянето за определен период или непредоставянето на исканата информация, посочвайки и конкретното основание по чл. 42н4.
(3) В случай че от запитания орган не бъде получен отговор в указания в ал. 2 срок, Националното звено предоставя исканата информация.
(4) В 60-дневен срок длъжностното лице по защита на данните към Националното звено информира писмено субекта на данните за решението по ал. 1.
(5) Длъжностното лице по защита на данните към Националното звено предоставя на субекта на данни най-малко следната информация:

1. данните, които идентифицират Националното звено и координатите за връзка с длъжностното лице по защита на данните;
2. целите за обработването на лични данни от Националното звено;
3. срокът, за който се съхраняват лични данни след постъпването им в Националното звено;
4. правото да бъде подадена жалба до Комисията за защита на личните данни или да бъде потърсена защита по съдебен ред.
Чл. 42н6. Субектът на лични данни има право да поиска от Комисията за защита на личните данни извършването на проверка за законосъобразността на решението по чл. 42н5, ал. 1.”
§ 34. В Закона за мерките срещу изпирането на пари (ДВ, бр. 27 от 2018 г.) се правят следните изменения и допълнения:
1. В чл. 80, ал. 7 думите „Закона за“ се заличават.
2. Член 83 се изменя така:
„Чл. 83. (1) По отношение на обработването на лични данни за целите на превенцията на изпирането на пари и финансирането на тероризма се прилага Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от
27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защита на данните) (текст от значение за Европейското икономическо пространство) и Закона за защита на личните данни, доколкото в настоящия закон не е предвидено друго.
(2) Обработването на лични данни за целите на превенцията на изпирането на пари и финансирането на тероризма се счита за въпрос от обществен интерес съгласно Регламент (ЕС) 2016/679 и не може да бъде ограничено от изискванията на чл. 12-22 и чл. 34 от Регламент (ЕС) 2016/679.”
(3) След изтичането на задължителния срок за съхранение по чл. 70, обработваните от дирекция „Финансово разузнаване” на Държавна агенция „Национална сигурност” данни се изтриват и/или унищожават, освен ако специален закон не предвижда друго.
(4) Администратор на лични данни по смисъла на чл. 4, параграф 7 от Регламент (ЕС) 2016/679 по отношение на обработваните от дирекция „Финансово разузнаване” на Държавна агенция „Национална сигурност” е директорът на дирекцията.”
3. В чл. 83 думите „По отношение на“ се заличават, а думите „прилага чл. 25, ал. 1 от Закона за защита на личните данни“ се заменят със „заличават или унищожават“.
4. В Допълнителните разпоредби се създава § 4а:
„§ 4а. Този закон предвижда мерки по прилагането на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защита на данните) (текст от значение за ЕИП).”
§ 35. В Закона за защита на класифицираната информация
(обн., ДВ, бр. 45 от 2002 г.; попр., бр. 5 от 2003 г.; изм. и доп., бр. 31 от 2003 г., бр. 52, 55 и 89 от 2004 г., бр. 17 и 82 от 2006 г., бр. 46, 57, 95 и 109 от 2007 г.,
бр. 36, 66, 69 и 109 от 2008 г., бр. 35, 42, 82 и 93 от 2009 г., бр. 16 и 88 от 2010 г., бр. 23, 48 и 80 от 2011 г., бр. 44 и 103 от 2012 г., бр. 52 и 70 от 2013 г., бр. 49 и 53 от 2014 г., бр. 14, 61 и 79 от 2015 г., бр. 28 от 2016 г.; Решение № 7 на Конституционния съд от 2016 г. - бр. 49 от 2016 г.; изм. и доп., бр. 62, 71 и 81 от 2016 г., бр. 97 и 103 от 2017 г. и бр. 7, 17 и 44 от 2018 г.), в чл. 44 ал. 2 се отменя.
§ 36. В Закона за Националната служба за охрана (обн., ДВ бр. 61 от 2015 г.; доп., бр. 103 от 2017 г.) в чл. 29 се правят следните изменения и допълнения:
1. В ал. 1 думите „при спазване изискванията на Закона за защита на класифицираната информация и Закона за защита на личните данни“ се заличават.
2. Алинея 3 се изменя така:
„(3) Информацията по ал. 1 се обработва, анализира, съхранява и унищожава по ред, определен със заповед на началника на Националната служба за охрана.“
3. Създават се ал. 4-8:
„(4) При обработване на лични данни, свързани с осигуряването на безопасността на определените в този закон лица, обекти и мероприятия, служителите от НСО:
1. могат да не искат съгласието на физическото лице;
2. могат да не информират физическото лице преди и по време на обработването на личните му данни;
3. съхраняват данните в срокове, определени от администратора на личните данни;
4. могат да предоставят личните данни само на органите за защита на националната сигурност и обществения ред и на органите на съдебната власт.
(5) В Националната служба за охрана могат да се обработват и лични данни, обработвани от други органи, като данните, получени по този начин, не могат да се използват за други цели освен за дейността на Националната служба за охрана. Тези данни не се препредават на трети лица.
(6) Администратор на лични данни по смисъла на Закона за защита на личните данни е началникът на Националната служба за охрана, който възлага обработването на лични данни на определени от него длъжностни лица.
(7) Редът за обработване на лични данни се определя с акт на началника на Националната служба за охрана.
(8) Контролът по защитата на правата на физическите лица при обработването на личните им данни и при осъществяването на достъп до тези данни се упражнява от Комисията за защита на личните данни при условията и по реда на Закона за защита на личните данни.“
§ 37. В Закона за военното разузнаване (обн., ДВ. бр. 88 от 2015 г.; изм. и доп., бр. 98 от 2016 г. и бр. 103 от 2017 г.) се правят следните изменения и допълнения:
1. В чл. 78 ал. 4 се изменя така:
„(4) Обработването на лични данни се осъществява при условията и по реда на този закон.“
2. В чл. 78 се създава ал. 5:
„(5) Контролът по защитата на правата на физическите лица при обработването на личните им данни и при осъществяването на достъп до тези данни се упражнява от Комисията за защита на личните данни при условията и по реда на Закона за защита на личните данни.“
§ 38. В Кодекса за застраховането (обн., ДВ, бр. 102 от 2015 г.; изм. и доп., бр. 62, 95 и 103 от 2016 г., бр. 8, 62, 63, 85, 92, 95 и 103 от 2017 г. и бр. 7, 15, 24 и 27 от 2018 г.) се правят следните допълнения:
1. В чл. 426 се създава ал. 4:
„(4) За договора за застраховка „Помощ при пътуване“ се прилага съответно чл. 454.”
2. В чл. 429 се създава ал. 6:
„(6) За договора за застраховка „Гражданска отговорност” се прилага съответно чл. 454.”
3. В § 7 от Допълнителните разпоредби се създава ал. 3:
„(3) Възможността за обработване на лични данни за здравословно състояние, предвидена в чл. 107 и 454 от този кодекс, представлява допълнително условие за законосъобразно обработване на лични данни за здравословно състояние по смисъла на чл. 9, параграф 4 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО.“
§ 39. В Закона за енергетиката (обн., ДВ, бр. 107 от 2003 г.; изм. и доп., бр. 18 от 2004 г., бр. 18 и 95 от 2005 г., бр. 30, 65, 74 от 2006 г., бр. 49, 55 и 59 от 2007 г., бр. 36, 43 и 98 от 2008 г., бр. 35, 41, 42, 82 и 103 от 2009 г., бр. 54 и 97 от 2010 г., бр. 35 и 47 от 2011 г., бр. 38, 54 и 82 от 2012 г., бр. 15, 20, 23, 59 и 66 от 2013 г., бр. 98 от 2014 г., бр. 14, 17, 35, 48 и 56 от 2015 г., бр. 42, 47 и 105 от 2016 г., бр. 51, 58, 102 и 103 от 2017 г. и бр. 7, 38 и 57 от 2018 г.) се правят следните изменения и допълнения:
1. В чл. 98а, ал. 2 се създава т. 7:
„7. видовете лични данни, които задължително се обработват от съответния мрежови оператор, включително, но не само:
а) имена;
б) единен граждански номер (ЕГН);
в) адрес.“
2. В чл. 104а, ал. 2 се създава т. 6:
„6. видовете лични данни, които задължително се обработват от съответния мрежови оператор, включително, но не само:
а) имена;
б) единен граждански номер (ЕГН);
в) адрес.“
3. В чл. 139а, ал. 2 т. 10 се отменя.
§ 40. В Данъчно-осигурителния процесуален кодекс (обн., ДВ,
бр. 105 от 2005 г.; изм. и доп., бр. 30, 33, 34, 59, 63, 73, 80, 82, 86, 95 и 105 от
2006 г., бр. 46, 52, 53, 57, 59, 108 и 109 от 2007 г., бр. 36, 69 и 98 от 2008 г., бр. 12, 32, 41 и 93 от 2009 г., бр. 15, 94, 98, 100 и 101 от 2010 г., бр. 14, 31, 77 и 99 от
2011 г., бр. 26, 38, 40, 82, 94 и 99 от 2012 г., бр. 52, 98, 106 и 109 от 2013 г., бр. 1 от
2014 г.; Решение № 2 на Конституционния съд от 2014 г. – бр. 14 от 2014 г.;
изм. и доп., бр. 18, 40, 53 и 105 от 2014 г., бр. 12, 14, 60, 61 и 94 от 2015 г., бр. 13, 42, 58, 62, 97 и 105 от 2016 г., бр. 58, 63, 85, 92 и 103 от 2017 г. и бр. 7, 15 и 27
от 2018 г.) се правят следните изменения:
1. В чл. 142ф:
а) в ал. 1 думите „по смисъла на § 1, т. 2 от Допълнителните разпоредби на Закона за защита на личните данни“ се заменят със „с лични данни“;
б) в ал. 2 думите „Закона за защита на личните данни“ се заменят с „изискванията за защита на личните данни“;
в) в ал. 3 думите „по смисъла на чл. 23, ал. 1 от Закона за защита на личните данни“ се заличават;
г) в ал. 4 думите „съгласно изискванията на наредбата по чл. 23, ал. 5 от Закона за защита на личните данни“ се заменят с „при спазване на изискванията за защита на личните данни“;
д) в ал. 5 думите „чл. 19, ал. 1 от Закона за защита на личните данни“ се заменят с „чл. 13 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (ОВ, L 119/1 от 4 май 2016 г.)“;
е) в ал. 6 думите „със Закона за защита на личните данни“ се заменят със „с изискванията за защита на личните данни“ и думата „блокиране“ се заменя със „ограничаване на обработването“;
ж) в ал. 7 думите „по чл. 34 от Закона за защита на личните данни“ се заменят с „чл. 37а, ал. 1, т. 5 от Закона за защита на личните данни“;
з) в ал. 8 думите „на глава шеста от Закона за защита на личните данни“ се заменят със „за предаване на лични данни на трети държави или международни организации“;
и) в ал. 9, изречение първо думите „Закона за защита на личните данни“ се заменят с „изискванията за защита на личните данни“, а в изречение второ думите „по Закона за защита на личните данни“ се заличават.
2. В чл. 143п, ал. 8 думите „Закона за защита на личните данни“ се заменят с „изискванията за защита на личните данни“.
§ 41. Във Валутния закон (обн., ДВ, бр. 83 от 1999 г.; изм. и доп.,
бр. 45 от 2002 г., бр. 60 от 2003 г., бр. 36 от 2004 г., бр. 105 от 2005 г., бр. 43, 54 и 59 от 2006 г., бр. 24 от 2009 г., бр. 16, 23 и 96 от 2011 г., бр. 59 от 2016 г. и бр. 63, 92 и 103 от 2017 г.), в чл. 10а, ал. 5 думите „Закона за защита на личните данни“ се заменят с „изискванията за защита на личните данни“.
§ 42. В Закона за акцизите и данъчните складове (обн., ДВ, бр. 91 от 2005 г.; изм. и доп., бр. 105 от 2005 г., бр. 30, 34, 63, 80, 81, 105 и 108 от 2006 г.,
бр. 31, 53, 108 и 109 от 2007 г., бр. 36 и 106 от 2008 г., бр. 6, 24, 44 и 95 от 2009 г.,
бр. 55 и 94 от 2010 г., бр. 19, 35, 82 и 99 от 2011 г., бр. 29, 54 и 94 от 2012 г., бр. 15, 101 и 109 от 2013 г., бр. 1 и 105 от 2014 г., бр. 30, 92 и 95 от 2015 г., бр. 45, 58, 95 и 97 от 2016 г., бр. 9, 58, 63, 92, 97 и 103 от 2017 г. и бр. 24 от 2018 г.), в чл. 57а, ал. 5 думите „условията и по реда на Закона за защита на личните данни“ се заменят със „спазване на изискванията за тяхната защита“.
§ 43. В Закона за авторското право и сродните му права (обн., ДВ, бр. 56 от 1993 г.; изм. и доп., бр. 63 от 1994 г., бр. 10 от 1998 г., бр. 28 и 107 от
2000 г., бр. 77 от 2002 г., бр. 28, 43, 74, 99 и 105 от 2005 г., бр. 29, 30 и 73 от 2006 г., бр. 59 от 2007 г., бр. 12 и 32 от 2009 г., бр. 25 от 2011 г., бр. 21 от 2014 г., бр. 14 от 2015 г. и бр. 28 от 2018 г.) се правят следните изменения:
1. В чл. 94а, ал. 5 думите „със Закона за защита на личните данни“ се заменят със „с изискванията за тяхната защита“.
2. В чл. 94щ, ал. 5, т. 4 думите „на Закона за защита на личните данни“ се заменят със „за тяхната защита“.
§ 44. В Закона за българските лични документи (обн., ДВ, бр. 93 от 1998 г.; изм. и доп., бр. 53, 67, 70 и 113 от 1999 г., бр. 108 от 2000 г., бр. 42 от
2001 г., бр. 45 и 54 от 2002 г., бр. 29 и 63 от 2003 г., бр. 96, 103 и 111 от 2004 г.,
бр. 43, 71, 86, 88 и 105 от 2005 г., бр. 30, 82 и 105 от 2006 г., бр. 29, 46 и 52 от 2007 г., бр. 66, 88 и 110 от 2008 г., бр. 35, 47, 82 и 102 от 2009 г., бр. 26 и 100 от 2010 г., бр. 9 и 23 от 2011 г.; Решение № 2 на Конституционния съд от 2011 г. – бр. 32 от
2011 г.; изм. и доп., бр. 55 от 2011 г., бр. 21, 42 и 75 от 2012 г., бр. 23 и 70 от 2013 г., бр. 53 от 2014 г., бр. 14, 79 и 80 от 2015 г., бр. 33, 81, 97 и 101 от 2016 г., бр. 85 и 97 от 2017 г. и бр. 14 и 24 от 2018 г.), в чл. 72 думите „се вземат специални осигурителни мерки в съответствие със Закона за защита на личните данни“ се заменят със „се прилагат подходящи технически и организационни мерки в съответствие с изискванията за защита на личните данни“.
§ 45. В Закона за гарантиране на влоговете в банките (обн., ДВ,
бр. 62 от 2015 г.; изм. и доп., бр. 96 и 102 от 2015 г., бр. 103 от 2017 г. и бр. 7, 15, 20 и 27 от 2018 г.), в чл. 28, ал. 3 думите „Закона за защита на личните данни“ се заменят с „изискванията за защита на личните данни“.
§ 46. В Закона за горите (обн., ДВ, бр. 19 от 2011 г.; изм. и доп.,
бр. 43 от 2011 г., бр. 38, 60, 82 и 102 от 2012 г., бр. 15, 27, 66 и 109 от 2013 г.,
бр. 28, 53, 61 и 98 от 2014 г., бр. 60, 79 и 100 от 2015 г., бр. 13, 15, 57, 61 и 95 от 2016 г., бр. 13, 58 и 103 от 2017 г. и бр. 17 от 2018 г.), в чл. 85 думите „Закона за защита на личните данни“ се заменят с „изискванията за защита на личните данни“.
§ 47. В Закона за гражданската регистрация (обн., ДВ, бр. 67 от 1999 г.; изм. и доп., бр. 28 и 37 от 2001 г., бр. 54 от 2002 г., бр. 63 от 2003 г.,
бр. 70 и 96 от 2004 г., бр. 30 от 2006 г., бр. 48 и 59 от 2007 г., бр. 105 от 2008 г., бр. 6, 19, 47, 74 и 82 от 2009 г., бр. 33 от 2010 г., бр. 9 и 39 от 2011 г., бр. 42 от 2012 г., бр. 66 и 68 от 2013 г., бр. 53 и 98 от 2014 г., бр. 55 от 2015 г., бр. 39 и 50 от 2016 г., бр. 85 и 91 от 2017 г. и бр. 47 от 2018 г.), в чл. 109 думите „със Закона за защита на личните данни“ се заменят със „с изискванията за защита на личните данни“.
§ 48. В Закона за дейностите по предоставяне на услуги (обн., ДВ, бр. 15 от 2010 г.; изм. и доп., бр. 83 от 2013 г., бр. 14 от 2015 г., бр. 97 от 2016 г. и бр. 21 от 2018 г.) се правят следните изменения:
1. В чл. 8 думите „Закона за защита на личните данни“ се заменят с „изискванията за тяхната защита“.
2. В чл. 38, ал. 5 думите „Закона за защита на личните данни“ се заменят с „изискванията за защита на личните данни“.
§ 49. В Закона за достъп до обществена информация (обн., ДВ,
бр. 55 от 2000 г.; изм. и доп., бр. 1 и 45 от 2002 г., бр. 103 от 2005 г., бр. 24, 30 и 59 от 2006 г., бр. 49 и 57 от 2007 г., бр. 104 от 2008 г., бр. 77 от 2010 г., бр. 39 от
2011 г., бр. 97 от 2015 г., бр. 13 и 50 от 2016 г. и бр. 85 от 2017 г.) се правят следните изменения:

1. В ч. 15в, ал. 3 думите „съгласно Закона за защита на личните данни“ се заличават.
2. В чл. 41б, ал. 1, т. 10 думите „Закона за защита на личните данни“ се заменят с „изискванията за тяхната защита“.
3. В Допълнителните разпоредби, в § 1 т. 2 се изменя така:
„2. „Лични данни“ е понятие по смисъла на чл. 4, т. 1 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните)
(ОВ, L 119/1 от 4 май 2016 г.).”
§ 50. В Закона за достъп до пространствени данни (обн., ДВ, бр. 19 от 2010 г.; изм. и доп., бр. 66 от 2013 г., бр. 98 от 2014 г., бр. 26 от 2015 г. и бр. 50 от 2016 г.), в чл. 17, ал. 2, т. 6 думите „Закона за защита на личните данни“ се заменят с „изискванията за тяхната защита“.
§ 51. В Закона за достъп и разкриване на документите и за обявяване на принадлежност на български граждани към Държавна сигурност и разузнавателните служби на Българската народна армия (обн., ДВ, бр. 102 от 2006 г.; изм. и доп., бр. 41, 57 и 109 от 2007 г., бр. 69 от 2008 г., бр. 25, 35, 42, 82 и 93 от 2009 г., бр. 18, 54 и 97 от 2010 г., бр. 23, 32 и 48 от 2011 г., бр. 25, 38, 87 и 103 от 2012 г., бр. 15 от 2013 г., бр. 53 от 2014 г., бр. 79 от 2015 г., бр. 71 от 2016 г.,
бр. 13 от 2017 г. и бр. 7 от 2018 г.), в § 16 от Преходните и заключителните разпоредби думите „Закона за защита на личните данни“ се заменят с „чл. 4, т. 1 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от
27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (ОВ, L 119/1 от 4 май 2016 г.)“.
§ 52. В Закона за Държавна агенция „Разузнаване“ (обн., ДВ, бр. 79 от 2015 г.; изм. и доп., бр. 105 от 2016 г. и бр. 103 от 2017 г.) се правят следните изменения:
1. В чл. 27, ал. 2 думите „по Закона за защита на личните данни“ се заменят с „до отнасящи се за лицето лични данни“.
2. В чл. 28, ал. 5 думите „по смисъла на Закона за защита на личните данни“ се заличават.


§ 53. В Закона за електронната търговия (обн., ДВ, бр. 51 от 2006 г.; изм. и доп., бр. 105 от 2006 г., бр. 41 от 2007 г., бр. 82 от 2009 г., бр. 77 и 105 от 2011 г. и бр. 57 от 2015 г.), в чл. 4а, ал. 1 т. 1 се изменя така:
„1. на получателя на услуга на информационното общество е предоставена ясна и изчерпателна информация по чл. 13 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (ОВ, L 119/1 от 4 май 2016 г.);“.
§ 54. В Закона за закрила на детето (обн., ДВ, бр. 48 от 2000 г.; изм. и доп., бр. 75 и 120 от 2002 г., бр. 36 и 63 от 2003 г., бр. 70 и 115 от 2004 г., бр. 28, 94 и 103 от 2005 г., бр. 30, 38 и 82 от 2006 г., бр. 59 от 2007 г., бр. 69 от 2008 г.,
бр. 14, 47 и 74 от 2009 г., бр. 42, 50, 59 и 98 от 2010 г., бр. 28 и 51 от 2011 г., бр. 32 и 40 от 2012 г., бр. 15, 68 и 84 от 2013 г., бр. 79 от 2015 г., бр. 8 от 2016 г., бр. 85 и 103 от 2017 г. и бр. 17 от 2018 г.) се правят следните изменения:
1. В чл. 7, ал. 5 думите „при условия и по ред, определени в Закона за защита на личните данни“ се заличават.
2. В § 1, т. 2 от Допълнителните разпоредби думите „Закона за защита на личните данни“ се заменят с „чл. 4, т. 1 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (ОВ, L 119/1 от 4 май 2016 г.)“.
§ 55. В Закона за занаятите (обн., ДВ, бр. 42 от 2001 г.; изм. и доп.,
бр. 112 от 2001 г., бр. 56 от 2002 г., бр. 99 и 105 от 2005 г., бр. 10, 30, 34 и 81 от
2006 г., бр. 53 от 2007 г., бр. 19 и 82 от 2009 г., бр. 15 от 2010 г., бр. 28 от 2011 г.,
бр. 68 от 2013 г. и бр. 79 от 2015 г.), в чл. 21, ал. 4 думите „Закона за защита на личните данни“ се заменят с „изискванията за защита на личните данни“.
§ 56. В Закона за запасите от нефт и нефтопродукти (обн., ДВ, бр. 15 от 2013 г.; изм. и доп., бр. 14 от 2015 г. и бр. 85 от 2017 г.), в чл. 11, ал. 1, изречение трето думите „на Закона за защита на личните данни“ се заменят със „за защита на личните данни“.


§ 57. В Закона за защита на конкуренцията (обн., ДВ, бр. 102 от
2008 г.; изм. и доп., бр. 42 от 2009 г., бр. 54 и 97 от 2010 г., бр. 73 от 2011 г., бр. 38 от 2012 г., бр. 15 от 2013 г., бр. 56 от 2015 г. и бр. 2 и 7 от 2018 г.), в чл. 47, ал. 3 думите „в Закона за защита на личните данни“ се заменят със „за тяхната защита“.
§ 58. В Закона за защита на лица, застрашени във връзка с наказателното производство (обн., ДВ, бр. 103 от 2004 г.; изм. и доп., бр. 82 от 2006 г., бр. 33 и 66 от 2008 г., бр. 82 от 2009 г., бр. 21 и 53 от 2014 г. и бр. 44 от 2018 г.) се правят следните изменения:
1. В чл. 14, ал. 4 думите „със Закона за защита на личните данни“ се заменят със „с изискванията за защита на личните данни“.
2. В § 1а от Заключителните разпоредби думите „както и редът за обработване на личните данни по този закон“ и запетаите пред и след тях се заличават.
§ 59. В Закона за защита на потребителите (обн., ДВ, бр. 99 от
2005 г.; изм. и доп., бр. 30, 51, 53, 59, 105 и 108 от 2006 г., бр. 31, 41, 59 и 64 от 2007 г., бр. 36 и 102 от 2008 г., бр. 23, 42 и 82 от 2009 г., бр. 15, 18 и 97 от 2010 г., бр. 18 от 2011 г., бр. 38 и 56 от 2012 г., бр. 15, 27 и 30 от 2013 г., бр. 61 от 2014 г., бр. 14, 57, 60 и 102 от 2015 г., бр. 59 и 74 от 2016 г., бр. 8, 58 и 103 от 2017 г. и
бр. 7, 20 и 37 от 2018 г.) се правят следните изменения:
1. В чл. 68к, т. 3 думите „разпоредбите на Закона за защита на личните данни“ се заменят с „изискванията за защита на личните данни“.
2. В чл. 181г, ал. 3, т. 7 думите „на Закона за защита на личните данни“ се заменят със „за тяхната защита“.
3. В чл. 181ц, ал. 3 думите „на Закона за защита на личните данни“ се заменят със „за защита на личните данни“.
4. В чл. 183г, ал. 4 думите „съгласно Закона за защита на личните данни“ се заличават.
§ 60. В Закона за защита на растенията (обн., ДВ, бр. 61 от 2014 г.; изм. и доп., бр. 12 от 2015 г., бр. 44 от 2016 г., бр. 58 от 2017 г. и бр. 17 от 2018 г.) се правят следните изменения:
1. В чл. 3, ал. 3 думите „на чл. 2, ал. 2 от Закона за защита на личните данни“ се заменят със „за защита на личните данни“.
2. В § 3 от Допълнителните разпоредби думите „Закона за защита на личните данни“ се заменят с „изискванията за защита на личните данни“.
§ 61. В Закона за защита от вредното въздействие на химичните вещества и смеси (обн., ДВ, бр. 10 от 2000 г.; изм. и доп., бр. 91 от 2002 г.,
бр. 86 и 114 от 2003 г., бр. 100 и 101 от 2005 г., бр. 30, 34, 80 и 95 от 2006 г., бр. 53 и 82 от 2007 г., бр. 110 от 2008 г., бр. 63 и 98 от 2010 г., бр. 84 от 2012 г., бр. 61 от 2014 г., бр. 102 от 2015 г., бр. 12 и 58 от 2017 г. и бр. 53 от 2018 г.), в чл. 24а, ал. 3 думите „на Закона“ се заличават.
§ 62. В Закона за интеграция на хората с увреждания (обн., ДВ,
бр. 81 от 2004 г.; изм. и доп., бр. 28, 88, 94, 103 и 105 от 2005 г., бр. 18, 30, 33, 37, 63, 95, 97 и 108 от 2006 г., бр. 31, 46 и 108 от 2007 г., бр. 41 и 74 от 2009 г., бр. 24, 62 и 98 от 2010 г., бр. 15, 66 и 68 от 2013 г., бр. 27, 40 и 98 от 2014 г., бр. 14 и 79 от 2015 г., бр. 13 и 98 от 2016 г. и бр. 85 и 91 от 2017 г.), в чл. 9, ал. 6 думите
„по силата на Закона за защита на личните данни“ се заличават.
§ 63. В Закона за Комисията за финансов надзор (обн., ДВ, бр. 8 от 2003 г.; изм. и доп., бр. 31, 67 и 112 от 2003 г., бр. 85 от 2004 г., бр. 39, 103 и 105 от 2005 г., бр. 30, 56, 59 и 84 от 2006 г., бр. 52, 97 и 109 от 2007 г., бр. 67 от 2008 г., бр. 24 и 42 от 2009 г., бр. 43 и 97 от 2010 г., бр. 77 от 2011 г., бр. 21, 38, 60, 102 и 103 от 2012 г., бр. 15 и 109 от 2013 г., бр. 34, 62 и 102 от 2015 г., бр. 42 и 76 от
2016 г.; Решение № 10 на Конституционния съд от 2017 г. – бр. 57 от 2017 г.; изм. и доп., бр. 62, 92, 95 и 103 от 2017 г. и бр. 7, 15, 24 и 27 от 2018 г.), в чл. 17а, ал. 3, т. 3 думите „със Закона за защита на личните данни“ се заменят със
„с нормативните изисквания за тяхната защита“.
§ 64. В Закона за кредитите за недвижими имоти за потребители (обн., ДВ, бр. 59 от 2016 г.; изм. и доп., бр. 97 от 2016 г., бр. 103 от 2017 г. и
бр. 20 и 51 от 2018 г.) се правят следните изменения:
1. В чл. 14, ал. 2 думите „чл. 19 от Закона за защита на личните данни“ се заменят с „чл. 13 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (ОВ, L 119/1 от 4 май 2016 г.)“.
2. В чл. 21 думите „разпоредбите на Закона за защита на личните данни“ се заменят с „изискванията за защита на личните данни“.
§ 65. В Закона за лекарствените продукти в хуманната медицина (обн., ДВ, бр. 31 от 2007 г.; изм. и доп., бр. 19 от 2008 г.; Решение № 5 на Конституционния съд от 2008 г. – бр. 65 от 2008 г.; изм. и доп., бр. 71 от 2008 г.,
бр. 10, 23, 41, 88 и 102 от 2009 г., бр. 59 и 98 от 2010 г., бр. 9, 12, 60 и 61 от 2011 г., бр. 38, 60 и 102 от 2012 г., бр. 15 от 2013 г., бр. 1 и 18 от 2014 г.; Решение № 1 на Конституционния съд от 2015 г. – бр. 12 от 2015 г.; изм. и доп., бр. 48 от 2015 г.,
бр. 43 от 2016 г. и бр. 85 и 103 от 2017 г.) се правят следните изменения:
1. В чл. 90, т. 2 думите „съгласно Закона за защита на личните данни“ се заличават.
2. В чл. 145а, ал. 2 думите „на Закона“ се заличават.
§ 66. В Закона за медиацията (обн., ДВ, бр. 110 от 2004 г.; изм. и доп., бр. 86 от 2006 г. и бр. 9 и 27 от 2011 г.), в чл. 8а, ал. 7 думите „условията и по реда на Закона за защита на личните данни“ се заменят със „спазване на изискванията за защита на личните данни“.
§ 67. В Закона за медицинските изделия (обн., ДВ, бр. 46 от 2007 г.; изм. и доп., бр. 110 от 2008 г., бр. 41 и 82 от 2009 г., бр. 98 от 2010 г., бр. 39 и 60 от 2011 г., бр. 54 и 84 от 2012 г., бр. 14 и 38 от 2015 г. и бр. 14 и 43 от 2016 г.) се правят следните изменения:
1. В чл. 36, ал. 1, изречение второ думите „Закона за защита на личните данни“ се заменят с „изискванията за тяхната защита“.
2. В чл. 117 думите „на Закона“ се заличават.
§ 68. В Закона за движението по пътищата (обн., ДВ, бр. 20 от
1999 г.; изм. и доп., бр. 1 от 2000 г., бр. 43 и 76 от 2002 г., бр. 16 и 22 от 2003 г., бр. 6, 70, 85 и 115 от 2004 г., бр. 79, 92, 99, 102, 103 и 105 от 2005 г., бр. 30, 34, 61, 64, 80, 82, 85 и 102 от 2006 г., бр. 22, 51, 53, 97 и 109 от 2007 г., бр. 36, 43, 69, 88 и 102 от 2008 г., бр. 74, 75, 82 и 93 от 2009 г., бр. 54, 98 и 100 от 2010 г., бр. 10, 19, 39 и 48 от 2011 г.; Решение № 1 на Конституционния съд от 2012 г. - бр. 20 от 2012 г.; изм. и доп., бр. 47, 53, 54, 60 и 75 от 2012 г., бр. 15 и 68 от 2013 г., бр. 53 и 107 от 2014 г., бр. 14, 19, 37, 79, 92, 95, 101 и 102 от 2015 г., бр. 13, 50, 81, 86, 98 и 101 от 2016 г., бр. 9, 11, 54, 58, 77 и 97 от 2017 г. и бр. 2, 7, 17 и 55 от 2018 г.), в чл. 189в думите „Закона за защита на личните данни“ се заменят със „с изискванията за защита на личните данни“.
§ 69. В Закона за независимия финансов одит (ДВ, бр. 95 от 2016 г., изм., бр. 15 от 2018 г.) се правят следните изменения:
1. В чл. 57, ал. 11 думите „на Закона“ се заличават.
2. В чл. 104, ал. 1, т. 5 думите „на глава шеста от Закона“ се заличават.

§ 70. В Закона за ограничаване на административното регулиране и административния контрол върху стопанската дейност (обн., ДВ, бр. 55 от 2003 г.; попр., бр. 59 от 2003 г.; изм. и доп., бр. 107 от 2003 г., бр. 39 и 52 от 2004 г., бр. 31 и 87 от 2005 г., бр. 24, 38 и 59 от 2006 г., бр. 11 и 41 от 2007 г.,
бр. 16 от 2008 г., бр. 23, 36, 44 и 87 от 2009 г., бр. 25, 59, 73 и 77 от 2010 г., бр. 39 и 92 от 2011 г., бр. 26, 53 и 82 от 2012 г., бр. 109 от 2013 г., бр. 47 и 57 от 2015 г., бр. 103 от 2017 г. и бр. 15 от 2018 г.) се правят следните изменения:
1. В чл. 11, ал. 3 думите „Закона за защита“ се заменят със „защитата“.
2. В чл. 15, ал. 5 думите „Закона за защита“ се заменят със „защитата“.
§ 71. В Закона за опазването на обществения ред при провеждането на спортни мероприятия (обн., ДВ, бр. 96 от 2004 г.; изм. и доп., бр. 103 и 105 от 2005 г., бр. 30, 34, 80 и 82 от 2006 г., бр. 53 от 2007 г., бр. 69 от 2008 г., бр. 12 и 32 от 2009 г., бр. 19, 50 и 88 от 2010 г., бр. 68 от 2013 г., бр. 53 от 2014 г. и бр. 10 от 2018 г.), в чл. 6, ал. 7 думите „със Закона за“ се заменят със
„с изискванията за защита на личните данни“.
§ 72. В Закона за опазване на околната среда (обн., ДВ, бр. 91 от 2002 г.; попр., бр. 98 от 2002 г.; изм. и доп., бр. 86 от 2003 г., бр. 70 от 2004 г.,
бр. 74, 77, 88, 95 и 105 от 2005 г., бр. 30, 65, 82, 99, 102 и 105 от 2006 г., бр. 31, 41 и 89 от 2007 г., бр. 36, 52 и 105 от 2008 г., бр. 12, 19, 32, 35, 47, 82, 93 и 103 от 2009 г., бр. 46 и 61 от 2010 г., бр. 35 и 42 от 2011 г., бр. 32, 38, 53 и 82 от 2012 г., бр. 15, 27 и 66 от 2013 г., бр. 22 и 98 от 2014 г., бр. 62, 95, 96 и 101 от 2015 г., бр. 81 от
2016 г., бр. 12, 58, 76 и 96 от 2017 г. и бр. 53 от 2018 г.) се правят следните изменения:
1. В чл. 20, ал. 1, т. 4 думите „съгласно изискванията, предвидени в Закона за защита на личните данни“ се заменят с „при спазване на изискванията за тяхната защита“.
2. В чл. 112, ал. 5 думите „Закона за защита на личните данни“ се заменят с „изискванията за защита на личните данни“.
§ 73. В Закона за пазарите на финансови инструменти (обн., ДВ,
бр. 15 от 2018 г.; попр., бр. 16 от 2018 г.; изм., бр. 24 от 2018 г.) се правят следните изменения:
1. В чл. 65, ал. 1, т. 15, буква „б” думите „в съответствие със Закона за защита на личните данни“ се заличават.
2. В чл. 298, ал. 7 думите „Закона за защита на личните данни“ се заменят с „изискванията за защита на личните данни“.
§ 74. В Закона за платежните услуги и платежните системи
(ДВ, бр. 20 от 2018 г.) се правят следните изменения:
1. В чл. 3, ал. 4 думите „Закона за защита на личните данни“ се заменят с „изискванията за тяхната защита“.
2. В чл. 177, ал. 1 думите „съгласно Закона за защита на личните данни“ се заличават.
§ 75. В Закона за политическите партии (обн., ДВ, бр. 28 от 2005 г.; изм. и доп., бр. 102 от 2005 г., бр. 17 и 73 от 2006 г., бр. 59 и 78 от 2007 г., бр. 6 от 2009 г., бр. 54 и 99 от 2010 г., бр. 9 и 99 от 2011 г., бр. 30, 68 и 71 от 2013 г., бр. 19 от 2014 г., бр. 32 и 95 от 2015 г., бр. 39 и 98 от 2016 г. и бр. 86 от 2017 г.), в чл. 15, ал. 1, изречение второ думите „на Закона“ се заличават.
§ 76. В Закона за потребителския кредит (обн., ДВ, бр. 18 от 2010 г.; изм. и доп., бр. 58 от 2010 г., бр. 91 от 2012 г., бр. 30 от 2013 г., бр. 35 и 61 от
2014 г., бр. 14 и 57 от 2015 г., бр. 59 от 2016 г. и бр. 20 и 51 от 2018 г.), в чл. 18,
ал. 3 думите „разпоредбите на Закона за защита на личните данни“ се заменят с „изискванията за защита на личните данни“.
§ 77. В Закона за признаване на професионални квалификации (обн., ДВ, бр. 13 от 2008 г.; изм. и доп., бр. 41 и 74 от 2009 г., бр. 98 от 2010 г.,
бр. 8, 9, 43 и 61 от 2011 г., бр. 68 от 2013 г., бр. 21 от 2014 г., бр. 80 от 2015 г., бр. 27 и 59 от 2016 г. и бр. 85 от 2017 г.) се правят следните изменения:
1. В чл. 95, ал. 5 думите „по реда на Закона за защита на личните данни“ се заменят с „при спазване на изискванията за защита на личните данни“.
2. В чл. 98, ал. 4 думите „Закона за защита на личните данни“ се заменят с „изискванията за защита на личните данни“.
§ 78. В Закона за прилагане на мерките срещу пазарните злоупотреби с финансови инструменти (обн., ДВ, бр. 76 от 2016 г.; изм. и доп., бр. 105 от 2016 г., бр. 95 от 2017 г. и бр. 15 от 2018 г.), в чл. 20, ал. 6 думите „Закона за защита на личните данни“ се заменят с „изискванията за защита на личните данни“.
§ 79. В Закона за противодействие на корупцията и за отнемане на незаконно придобитото имущество (обн., ДВ, бр. 7 от 2018 г.; изм. и доп.,
бр. 20, 21 и 41 от 2018 г.) се правят следните изменения:
1. В чл. 9, ал. 3 думите „със Закона за защита на личните данни“ се заменят със „с изискванията за защита на личните данни“.
2. В чл. 13, ал. 3 думите „на Закона за защита на личните данни“ се заменят със „за защита на личните данни“.
3. В чл. 26, ал. 4 думите „със Закона за защита на личните данни“ се заменят със „с изискванията за тяхната защита“.
4. В чл. 42, ал. 2 думите „Закона за защита на личните данни“ се заменят с „изискванията за защита на личните данни“.
5. В § 2, ал. 3 от Допълнителните разпоредби думите „на Закона“ се заличават.
§ 80. В Закона за пряко участие на гражданите в държавната власт и местното самоуправление (обн., ДВ, бр. 44 от 2009 г.; изм. и доп., бр. 100 от 2010 г., бр. 9 от 2011 г., бр. 42 от 2012 г., бр. 20 и 66 от 2013 г., бр. 19 и 98 от
2014 г. и бр. 56 от 2015 г.), в чл. 53в думите „условията и по реда на Закона за защита на личните данни“ се заменят със „спазване на изискванията за защита на личните данни“.
§ 81. В Закона за публичното предлагане на ценни книжа (обн., ДВ, бр. 114 от 1999 г.; изм. и доп., бр. 63 и 92 от 2000 г., бр. 28, 61, 93 и 101 от 2002 г., бр. 8, 31, 67 и 71 от 2003 г., бр. 37 от 2004 г., бр. 19, 31, 39, 103 и 105 от 2005 г.,
бр. 30, 33, 34, 59, 63, 80, 84, 86 и 105 от 2006 г., бр. 25, 52, 53 и 109 от 2007 г., бр. 67 и 69 от 2008 г., бр. 23, 24, 42 и 93 от 2009 г., бр. 43 и 101 от 2010 г., бр. 57 и 77 от 2011 г., бр. 21 и 94 от 2012 г., бр. 103 и 109 от 2013 г., бр. 34, 61, 62, 95 и 102 от 2015 г., бр. 33, 42, 62 и 76 от 2016 г., бр. 62, 91 и 95 от 2017 г. и бр. 7, 15, 20 и 24 от 2018 г.), в чл. 77ш, ал. 1, т. 1 думите „разпоредбите на Закона за защита на личните данни“ се заменят с „изискванията за защита на личните данни“.
§ 82. В Закона за развитието на академичния състав в Република България (обн., ДВ, бр. 38 от 2010 г.; Решение № 11 на Конституционния съд от 2010 г. – бр. 81 от 2010 г.; изм. и доп., бр. 101 от 2010 г., бр. 68 от 2013 г. и бр. 30 от 2018 г.), в чл. 2а, ал. 6 думите „Закона за защита на личните данни“ се заменят с „изискванията за защита на личните данни“.
§ 83. В Закона за резерва на въоръжените сили на Република България (обн., ДВ, бр. 20 от 2012 г.; изм. и доп., бр. 15 и 66 от 2013 г., бр. 98 от 2014 г., бр. 14, 79 и 88 от 2015 г., бр. 103 от 2016 г. и бр. 103 от 2017 г.) в чл. 22 се правят следните изменения:
1. В ал. 5 думите „на Закона за защита на личните данни“ се заменят с „при спазване на изискванията за защита на личните данни“.
2. В ал. 6 думите „по Закона за защита на личните данни“ се заличават.
§ 84. В Закона за съсловната организация на медицинските сестри, акушерките и асоциираните медицински специалисти (обн., ДВ, бр. 46 от
2005 г.; изм. и доп., бр. 85 от 2005 г., бр. 30, 59 и 75 от 2006 г., бр. 41 от 2007 г., бр. 13 от 2008 г., бр. 41 от 2009 г., бр. 98 и 101 от 2010 г. и бр. 103 от 2016 г.), в
чл. 37, ал. 5 думите „на Закона за защита на личните данни“ се заменят със „за защита на личните данни“.
§ 85. В Закона за трансплантация на органи, тъкани и клетки
(обн., ДВ, бр. 83 от 2003 г.; изм. и доп., бр. 88 от 2005 г., бр. 71 от 2006 г., бр. 36 и 41 от 2009 г., бр. 98 от 2010 г., бр. 9 от 2011 г., бр. 60 от 2012 г. и бр. 15 от 2013 г.), в чл. 11, ал. 5, т. 3 думите „на Закона“ се заличават.
§ 86. В Закона за туризма (обн., ДВ, бр. 30 от 2013 г.; изм. и доп.,
бр. 68 и 109 от 2013 г., бр. 40 от 2014 г., бр. 9, 14 и 79 от 2015 г., бр. 20, 43, 59 и 75 от 2016 г., бр. 58, 85 и 96 от 2017 г. и бр. 37 от 2018 г.), в чл. 166, ал. 4 думите
„на Закона“ се заличават.
§ 87. В Закона за търговския регистър и регистъра на юридическите лица с нестопанска цел (обн., ДВ, бр. 34 от 2006 г.; изм. и доп., бр. 80 и 105 от 2006 г., бр. 53, 59 и 104 от 2007 г., бр. 50 и 94 от 2008 г., бр. 44 от 2009 г., бр. 101 от 2010 г., бр. 34 и 105 от 2011 г., бр. 25, 38 и 99 от 2012 г., бр. 40 от 2014 г., бр. 22, 54 и 95 от 2015 г., бр. 13, 74 и 105 от 2016 г., бр. 85 от 2017 г. и бр. 27 от 2018 г.), в чл. 2, ал. 2 думите „по смисъла на Закона за защита на личните данни“ се заличават.
§ 88. В Закона за тютюна, тютюневите и свързаните с тях изделия (обн., ДВ, бр. 101 от 1993 г.; изм. и доп., бр. 19 от 1994 г., бр. 110 от 1996 г.,
бр. 153 от 1998 г., бр. 113 от 1999 г., бр. 33 и 102 от 2000 г., бр. 110 от 2001 г.,
бр. 20 от 2003 г., бр. 57 и 70 от 2004 г., бр. 91, 95, 99 и 105 от 2005 г., бр. 18, 30, 34, 70, 80 и 108 от 2006 г., бр. 53 и 109 от 2007 г., бр. 36, 67 и 110 от 2008 г., бр. 12, 82 и 95 от 2009 г., бр. 19 от 2011 г., бр. 50 от 2012 г., бр. 12 и 14 от 2015 г., бр. 19 и 28 от 2016 г.; попр., бр. 31 от 2016 г.; изм. и доп., бр. 101 от 2016 г., бр. 58, 63, 85, 92, 97 и 103 от 2017 г. и бр. 17 от 2018 г.) се правят следните изменения:
1. В чл. 4, ал. 6 думите „на Закона“ се заличават.
2. В чл. 35т, ал. 10 думите „на Закона за защита на личните данни“ се заменят със „за тяхната защита“.



§ 89. В Закона за убежището и бежанците (обн., ДВ, бр. 54 от
2002 г.; изм. и доп., бр. 31 от 2005 г., бр. 30 от 2006 г., бр. 52 и 109 от 2007 г.,
бр. 82 от 2009 г., бр. 39 от 2011 г., бр. 15 и 66 от 2013 г., бр. 98 от 2014 г., бр. 80 и 101 от 2015 г. и бр. 33, 97 и 103 от 2016 г.) се правят следните изменения:
1. В чл. 63, ал. 5 думите „Закона за защита на личните данни“ се заменят с „изискванията за защита на личните данни“.
2. В чл. 65, изречение първо думите „на Закона“ се заличават.
§ 90. В Закона за управление на етажната собственост (обн., ДВ, бр. 6 от 2009 г.; изм. и доп., бр. 15 от 2010 г., бр. 8 и 57 от 2011 г., бр. 82 от
2012 г., бр. 66 от 2013 г., бр. 98 от 2014 г., бр. 26 и 43 от 2016 г., бр. 88 от 2017 г. и бр. 21 от 2018 г.), в чл. 7, ал. 4 думите „на Закона“ се заличават.
§ 91. В Закона за частната охранителна дейност (обн., ДВ, бр. 10 от 2018 г.; изм., бр. 27 от 2018 г.) се правят следните изменения:
1. В чл. 11, ал. 2 думите „Закона за защита на личните данни“ се заменят с „изискванията за защита на личните данни“.
2. В чл. 22, ал. 2 думите „Закона за защита на личните данни“ се заменят с „изискванията за защита на личните данни“.
3. В чл. 24, ал. 2 думите „Закона за защита на личните данни“ се заменят с „изискванията за защита на личните данни“.
4. В чл. 53, т. 4 думите „без регистрация по реда на Закона за защита на личните данни“ се заменят с „в нарушение на изискванията за защита на личните данни“.
5. В § 1, т. 3 от Допълнителните разпоредби думите „разпоредбите на Закона за защита на личните данни“ се заменят с „на изискванията за защита на личните данни“, а думите „съгласно чл. 2, ал. 2 от Закона за защита на личните данни“ се заличават.
§ 92. В Закона за отбраната и въоръжените сили на Република България (обн., ДВ, бр. 35 от 2009 г.; изм. и доп., бр. 74, 82, 93 и 99 от 2009 г.,
бр. 16, 88, 98 и 101 от 2010 г., бр. 23, 48, 99 и 100 от 2011 г., бр. 20, 33 и 38 от
2012 г., бр. 15, 66 и 68 от 2013 г., бр. 1 и 98 от 2014 г., бр. 14, 24, 61, 79 и 88 от
2015 г., бр. 13, 17, 50 81, 98 и 103 от 2016 г., бр. 58, 85 и 103 от 2017 г. и бр. 7 от 2018 г.) в чл. 26 се създава т. 4а:

„4а. сключва или оправомощава длъжностно лице да сключва споразумения и административни договорености с органи на други държави или международни организации относно защитата на личните данни във връзка с осъществяване на международната дейност по т. 4.”
§ 93. В Закона за насърчаване на заетостта (обн., ДВ, бр. 112 от 2001 г.; изм. и доп., бр. 54 и 120 от 2002 г., бр. 26, 86 и 114 от 2003 г., бр. 52 и 81 от 2004 г., бр. 27 и 38 от 2005 г., бр. 18, 30, 33 и 48 от 2006 г., бр. 46 от 2007 г.,
бр. 26, 89 и 109 от 2008 г., бр. 10, 32, 41 и 74 от 2009 г., бр. 49, 59, 85 и 100 от
2010 г., бр. 9 и 43 от 2011 г., бр. 7 от 2012 г., бр. 15, 68 и 70 от 2013 г., бр. 54 и 61 от 2014 г., бр. 54, 79, 101 и 102 от 2015 г., бр. 33, 59, 88 от 2016 г., бр. 97 и 103 от 2017 г. и бр. 24 от 2018 г.), в приложение № 1 към чл. 74ж, ал. 1 ред 6 се заличава.
§ 94. Комисията за защита на личните данни приема предвидените в този закон подзаконови и ненормативни актове по неговото прилагане в шестмесечен срок от влизането му в сила.
§ 95. В 12-месечен срок от влизането в сила на този закон Министерският съвет приема и предлага на Народното събрание предложение за изменение и допълнение на нормативните актове по
чл. 37а, ал. 2 от закона.

Предложение от народния представител Данаил Кирилов:
В Преходни и заключителни разпоредби се създава § 96:
„§ 96. § 30 , т. 4 влиза в сила от 1 март 2019 г."


Законът е приет от 44-ото Народно събрание на ………………...… 2018 г. и е подпечатан с официалния печат на Народното събрание.


ПРЕДСЕДАТЕЛ НА
КОМИСИЯТА ПО ВЪТРЕШНА
СИГУРНОСТ И ОБЩЕСТВЕН РЕД:
ЦВЕТАН ЦВЕТАНОВ