ДОКЛАД
II-о гласуване
ОТНОСНО:Законопроект за защита на личните данни,№ 102- 01-7, внесен от Министерски съвет на 18.10.2001 год

---

ДОКЛАД
II-о гласуване
ОТНОСНО:Законопроект за защита на личните данни,№ 102- 01-7, внесен от Министерски съвет на 18.10.2001 год.
Законопроектът за защита на личните данни, № 102-01-7, внесен от Министерски съвет, е приет на първо гласуване от Народното събрание на 13.11.2001 год. В срока по чл. 70 (1) от Правилника за организацията и дейността на Народното събрание са постъпили писмени предложения от 1 народен представител. На основание чл. 70 (2) от Правилника за организацията и дейността на Народното събрание Комисията по вътрешна сигурност и обществен ред обсъди предложения законопроект на свои заседания на 05.12.2001 г. и на 12.12.2001 год.
В предлагания законопроект са отразени и предложенията на народните представители, направени на заседанието на Комисията, които са приети в хода на дебатите.
След проведените разисквания Комисията по вътрешна сигурност и обществен ред предлага на Народното събрание следния
ЗАКОН
за защита на личните данни
Становище на КВСОР:
Приема заглавието, предложено от вносителя.
ГЛАВА ПЪРВА ЛИЧНИ ДАННИ



Становище на КВСОР:
Комисията предлага заглавието на глава първа да добие следната редакция:
"ОБЩИ ПОЛОЖЕНИЯ"
Раздел I
ОБЩИ ПОЛОЖЕНИЯ Становище на КВСОР:
Комисията предлага заглавието "Раздел I "Общи положения"" да отпадне.
Чл. 1.(1) Този закон урежда обществените отношения, свързани с обработването и защитата на лични данни, както и достъпа до тях, при спазване на определените в Конституцията и законите на страната принципи и права на лицата.
Предложение на Благовест Сендов (вх. № 154-04-49/ 21.11.2001 год.):
В чл. 1. ал. 1, думите: "свързани с обработването и защитата на лични данни, както и достъпа до тях" да се заменят с думите: "при достъпа, обработката и защитата на лични данни".
Комисията не приема предложението.
(2) Целта на закона е да се гарантира на лицата:
Предложение на Благовест Сендов (вх. № 154-04-49/ 21.11.2001 год.):
В чл. 1. ал. 2, думата "лицата" да се замени с думите "физическите
лица".
Комисията приема предложението.
1. правото на защита на личните им данни от неправомерно обработване във връзка с неприкосновеността на личността и на личния им живот;
2. правото им на защита срещу посегателства върху честта, достойнството и доброто им име;
3. правото им на достъп до събраните и обработвани техни лични
данни.
(3) Законът не се прилага за лични данни, обработвани от физическо лице, което не е администратор на лични данни, във връзка с лични интереси и за лично ползване.
(4) В специални закони може да се определи обработването, защитата и достъпът до лични данни:
1. за целите на отбраната, националната сигурност и обществения
ред;
2. за функционирането на избирателната, съдебната, данъчната, здравната и осигурителната система и системата на гражданската регистрация;
3. при осъществяване на далекосъобщения и предоставяне на пощенските услуги;
4. за целите на митническия надзор и контрол;
5. за функционирането на банковата и застрахователната система;
6. за целите на предотвратяване използването на финансовата система за изпиране на пари.
Становище на КВСОР:
Комисията предлага чл. 1 да добие следната редакция:
"Чл. 1. (1) Този закон урежда защитата на физическите лица при обработването на лични данни, както и достъпа до тези данни.
(2) Целта на закона е да се гарантира неприкосновеността на личността и личния живот като се защитят физическите лица при неправомерно обработване на свързаните с тях лични данни и се регламентира правото на достъп до събираните и обработвани такива данни.
(3) Този закон не се прилага за обработването на лични данни от физическо лице, което не е администратор на лични данни, във връзка с лични интереси и за лично ползване.
(4) В специални закони може да се уреди обработването и достъпът до лични данни за целите на отбраната, националната сигурност и обществения ред, както и за функционирането на органите на изпълнителната и съдебната власт при прилагането на наказателното право."
Чл. 2. (1) Лични данни представляват всякаква информация, независимо от нейната форма и начин на записване, отнасяща се до определен субект на данни, чиято самоличност може да се установи пряко или косвено, и разкриваща неговата физическа, психологическа, умствена, икономическа, културна или обществена идентичност.
Предложение на Благовест Сендов (вх. № 154-04-49/ 21.11.2001 год.):
В чл. 2. ал. 1 да отиде като точка 1. в § 1 на Допълнителна разпоредба със следното съдържание: § 1. т. 1. "лични данни" са
информация за физическо лице, която разкрива неговата физическа, психологическа, умствена, икономическа, културна или обществена идентичност."
Комисията приема предложението.
(2) Разпоредбите на този закон се прилагат и по отношение на личните данни за физическите лица по повод на участието им в неперсонифицирани групи от физически лица или в органите за управление, контрол и надзор на юридическите лица, както и при изпълняването на функции на държавни органи.
Становище на КВСОР:
Комисията предлага чл. 2 със следната редакция:
"Чл. 2. (1) Лични данни са информация за физическо лице, която разкрива неговата физическа, психологическа, умствена, семейна, икономическа, културна или обществена идентичност.
(2) Разпоредбите на този закон се прилагат и по отношение на личните данни за физическите лица свързани с участието им в граждански дружества или в органите за управление, контрол и надзор на юридическите лица, както и при изпълняването на функции на държавни органи."
Чл. 3. (1) Администратор на лични данни е държавен орган, физическо или юридическо лице, което определя вида на обработваните данни, целта на обработване, начините на обработване и на защита при спазване изискванията на този закон.
(2) Администраторът на лични данни обработва личните данни самостоятелно или чрез възлагане на обработващ данните.
(3) Държавните органи обработват лични данни в случаите, определени със закон.
Становище на КВСОР:
Комисията предлага ал. 1 на чл. 3 със следната редакция:
"Чл. 3. (1) Администратор на лични данни е физическо или юридическо лице, както и държавен орган, което определя вида на обработваните данни, целта на обработване, начините на обработване и на защита при спазване изискванията на този закон."
Комисията приема текста на вносителя за ал. 2 и ал. 3
Чл. 4. (1) Лични данни се поддържат в регистри за лични данни.
(2) Личните данни, обработвани от държавните органи, са служебна информация.
Становище на КВСОР:
Комисията приема текста на вносителя.
Чл. 5. Акт на държавен орган или на орган на местното самоуправление, който има правни последици и съдържа оценка на човешко поведение, не може да се основава единствено на автоматизирана обработка на лични данни.
Предложение на Благовест Сендов (вх. № 154-04-49/ 21.11.2001 год.):
В чл. 5. Думата "автоматизирана" да отпадне.
Становище на КВСОР:
Комисията не приема предложението на г-н Сендов и предлага чл. 5 със следната редакция:
"Чл. 5. Акт на държавен орган или на орган на местното самоуправление, който има правни последици за определено лице и съдържа оценка на неговото поведение, не може да се основава единствено на автоматизирана обработка на лични данни."
Чл. 6. Контролът за спазването на този закон и на специалните закони, регламентиращи обработването на лични данни, се осъществява от Комисията за защита на личните данни.
Становище на КВСОР:
Комисията предлага чл. 6 да отпадне.
Комисията счита, че систематичното място на глава четвърта от законопроекта е след член 5 и затова предлага да се създаде нова
"ГЛАВА ВТОРА
КОМИСИЯ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ"
Комисията предлага чл. 32 от законопроекта да стане чл. 6 със следната редакция:
"Чл. 6. (1) Комисията за защита на личните данни, наричана по- натапгьк "комисията", е независим държавен орган, който осъществява защита на лицата при обработването на техните лични данни и при осъществяването на достъпа до тези данни, както и контрола по спазването на този закон.
(2) Комисията е юридическо лице на бюджетна издръжка със седалище София."
Комисията предлага чл. 33 от законопроекта да стане чл. 7 със следната редакция:
"Чл. 7. (1) Комисията е колегиален орган и се състои от председател и 4-има членове.
(2) Членовете на комисията и председателят й се определят с решение на Народното събрание по предложение на Министерския съвет за срок 5 години и могат да бъдат преизбирани за още един мандат. В решението се определя и размерът на тяхното възнаграждение.
(3) Председателят и членовете на комисията осъществяват своята дейност по трудово правоотношение.
(4) Комисията до 31 януари всяка година представя годишен отчет за своята дейност пред Народното събрание и пред Министерския съвет."
Комисията не приема предложението на г-н Сендов по чл. 34 и предлага чл. 34 от законопроекта да стане чл. 8 със следната редакция:
"Чл. 8. (1) За членове на комисията могат да бъдат избирани български граждани, които:
1. имат виеше образование - правоспособни юристи или магистри по информационни технологии;
2. имат трудов стаж по специалността си не по-малко от 10 години;
3. не са осъждани на лишаване от свобода за умишлени престъпления от общ характер.
(2) Членове на комисията не могат:
1. да бъдат лица, които са еднолични търговци, управители, прокуристи или членове на управителни или на контролни органи на търговски дружества, кооперации и юридически лица с нестопанска цел;
2. да заемат друга платена длъжност, освен когато упражняват научна или преподавателска дейност.
(3) За председател на комисията се избира правоспособен юрист, който отговаря на изискванията по ал.1 и 2.
(4) Мандатът на председателя или член на комисията се прекратява предсрочно:
1. при смърт или поставяне под запрещение
2. по решение на Народното събрание когато:
а) е подал молба за освобождаване;
б) е извършил грубо нарушение на този закон
в) е извършил умишлено престъпление от общ характер, за което има влязла в сила присъда;
г) е налице невъзможност да изпълнява задълженията си за срок по-дълъг от 6 месеца;
(5) В случаите по ал. 3 Министерският съвет предлага на Народното събрание да избере нов член за срок до края на първоначалния мандат на комисията.
(6) Времето, през което лицето е работило като председател или член на комисията, се признава и за служебен стаж по Закона за държавния служител."
Комисията предлага чл. 36 от законопроекта да стане чл. 9 със следната редакция:
"Чл. 9. (1) Комисията е постояннодействащ орган, който се подпомага от администрация.
(2) Комисията урежда в правилник своята дейност и дейността на администрацията си и го обнародва в "Държавен вестник".
(3) Решенията на комисията се вземат с мнозинство от общия брой на членовете й.
(4) Заседанията на комисията са открити. Комисията може да реши отделни заседания да бъдат закрити."
Комисията предлага чл. 38 от законопроекта да стане чл. 10 със следната редакция:
"Чл. 10. (1) Комисията:
1. анализира и осъществява цялостен контрол за спазването на нормативните актове в областта на защитата на лични данни;
2. води регистър на администраторите на лични данни;
3. извършва проверки на администраторите на лични данни във връзка с дейността си по т. 1;
4. изразява становища и дава разрешения в предвидените в този закон случаи;
5. издава задължителни предписания до администраторите във връзка със защитата на личните данни;
6. след предварително уведомяване налага временна забрана за обработването на лични данни, с които се нарушават нормите за защита на личните данни;
7. разглежда жалби срещу администраторите във връзка с отказан достъп на физически лица до техните лични данни, както и жалби на други администратори или на трети лица във връзка с правата им по този закон;
8. участва в подготовката на нормативни актове, свързани със защитата на личните данни.
(2) Редът за водене на регистъра по чл. 14, за уведомяване на комисията за даване на разрешения и изразяване на становища, за разглеждане на жалбите, както и за издаване на задължителните предписания и налагането на временни забрани за обработване на лични данни, се определя в правилника по чл. 9, ал. 2.
(3) Комисията издава бюлетин, в който публикува информация за своята дейност и за взетите решения."
Комисията не приема предложението на г-н Сендов по чл. 35 и предлага чл. 35 от законопроекта да стане чл. 11 със следната редакция:
"Чл. 11. Председателят на комисията:
1. организира и ръководи дейността на комисията съобразно закона и решенията на комисията и отговаря за цялостното изпълнение на задълженията й;
2. представлява комисията пред трети лица;
3. назначава и освобождава държавните служители и сключва и прекратява трудовите договори на служителите по трудови правоотношения от администрацията на комисията."
Комисията предлага чл. 39 от законопроекта да стане чл. 12 със следната редакция:
"Чл. 12. (1) Председателят и членовете на комисията или упълномощени от нея лица от администрацията й извършват проверки по изпълнението на този закон.
(2) Администраторът на лични данни е длъжен да осигури достъп на лицата по ал. 1 до водените от него регистри и да не препятства контрола върху процеса по обработване на лични данни.
(3) Комисията извършва проверките по молба на заинтересувани лица, както и по своя инициатива въз основа на приет от нея месечен план за контролната дейност.
(4) Когато в резултат на проверката се установи нарушение, комисията издава задължително предписание за отстраняването му в определен от нея срок.
(5) При неизпълнение на предписанието по ал. 4 се съставя акт за нарушение.
(6) В случаите, когато са нарушени права по този закон на физическо лице, комисията сезира съответния съд по чл. 39, ал. 3."
Комисията предлага чл. 40 от законопроекта да стане чл. 13 със следната редакция:
"Чл. 13. (1) Председателят и членовете на комисията са длъжни да не разгласяват информацията, представляваща служебна тайна за администраторите на лични данни, която им е станала известна при осъществяване на тяхната дейност, до 3 години след изтичането на мандата.
(2) Задължението по ал. 1 се отнася и за служителите от администрацията на комисията в срок от 3 години след прекратяването на трудовото или служебното правоотношение.
(3) При постъпване на работа членовете на комисията и служителите от нейната администрация подават декларация за задълженията по ал. 1 и 2."
Комисията не приема предложението на г-н Сендов по чл. 41 и предлага чл. 41 от законопроекта да стане чл. 14 със следната редакция:
"Чл. 14. (1) Комисията води регистър за администраторите на лични данни и за водените от тях регистри.
(2) В регистъра по ал. 1 се вписват администраторите на лични данни и видът на личните данни, законовото основание, целите и начинът за тяхното обработване, изискването на съгласие на физическото лице, както и актът, в който е определен редът за водене на регистъра с лични данни.
(3) Регистърът по ал. 1 е публичен. За предоставянето на информация от него се заплаща такса, определена от Министерския съвет.
(4) Комисията издава удостоверение на вписаните в регистъра администратори на лични данни.
Комисията приема текста на вносителя за чл. 42 от законопроекта и предлага той да стане чл. 15:
"Чл. 15. (1) Всяко лице, което иска да обработва лични данни и да създаде регистър за тях, уведомява предварително комисията, като подава за това заявление и документи по образец, утвърден от комисията.
(2) В случаите по чл. 3, ал. 3 държавният орган, който е определен за администратор на лични данни, уведомява комисията в 10- дневен срок след създаването му.
(3) Всеки администратор на лични данни уведомява комисията и преди предприемането на каквато и да е операция по цялостното или частичното автоматично обработване на събраните лични данни, различно от заявеното, както и при прехвърлянето на лични данни към друг администратор или към трето лице.
(4) В случаите по ал. 3 комисията може да вземе решение за предварителна проверка на администратора или да даде задължителни предписания с оглед защита на обработваните или прехвърляните лични данни."
Комисията не приема предложението на г-н Сендов по чл. 43 и предлага чл. 43 от законопроекта да стане чл. 16 със следната редакция:
"Чл. 16. (1) Комисията може да извърши предварителна проверка в 7-дневен срок от уведомяването и да даде предварителни предписания относно условията за обработване на личните данни и водене на регистър от лицето по чл. 15, ал. 1 и за гарантиране спазването на този закон.
(2) Комисията не извършва предварителна проверка при водене на регистри:
1. с лични данни за лицата, работещи по трудово или по служебно правоотношение за администратора на лични данни;
2. за статистически или научни цели;
3. предвидени в нормативен акт, които са публични.
(3) В 14-дневен срок от уведомяването комисията взема решение:
1. да регистрира лицето по ал. 1 като администратор на лични
данни и да впише в своя регистър данните по чл. 14, ал. 2, ако са изпълнени изискванията на този закон за събиране и обработване на лични данни;
2. за отказ за регистриране, който се мотивира на основание, по този закон.
(4) Отказът на комисията за регистриране на лицата по чл. 15 подлежи на обжалване пред ВАС в 14-дневен срок."
Раздел II
ПРАВА И ЗАДЪЛЖЕНИЯ НА АДМИНИСТРАТОРА
НА ЛИЧНИ ДАННИ
Становище на КВСОР:
Комисията предлага заглавието "Раздел II ПРАВА И ЗАДЪЛЖЕНИЯ НА АДМИНИСТРАТОРА НА ЛИЧНИ ДАННИ" да се замени със заглавието
"ГЛАВА ТРЕТА
АДМИНИСТРАТОР НА ЛИЧНИ ДАННИ"
Чл. 7. Администраторът има право да обработва лични данни само когато те са:
1. получени законосъобразно;
2. събрани за определените в закон цели и се използват само за изпълнението им;
3. съответстващи по обхват на целите, за които се обработват;
4. точни и актуални;
5. съхранени по начин, който позволява идентифициране на субектите само за период не по-дълг от необходимия съгласно целите, за които те се обработват.
Становище на КВСОР:
Комисията предлага чл. 7 от законопроекта да стане чл. 17 със следната редакция:
"Администраторът по чл. 3, ал. 1 има право да обработва лични данни само когато те са:
1. получени законосъобразно;
2. събрани за определените в закон цели и се използват само за изпълнението им;
3. съответстващи по обхват на целите, за които се обработват;
4. точни и актуални;
5. съхранени по начин, който позволява идентифициране на физическите лица само за период не по-дълг от необходимия, съгласно целите, за които те се обработват."
Чл. 8. Обработването на лични данни е допустимо само в случаите, когато е налице поне едно от следните условия:
1. изпълнение на нормативно задължение;
2. изричното съгласие на субекта на данни;
3. необходимост да се защити животът или здравето на субекта на
данни;
4. изпълнение на клаузите на договор между администратора на лични данни и субекта на данни;
5. законен интерес на администратора или на трето лице или лица, на които се разкриват данните, и това не нарушава правото на защита на субекта на данни по този закон.
Становище на КВСОР:
Комисията предлага чл. 8 от законопроекта да стане чл. 18 със следната редакция:
"Обработването на лични данни е допустимо само в случаите, когато е налице поне едно от следните условия:
1. изпълнение на нормативно задължение;
2. изричното съгласие на физическото лице;
3. необходимост да се защити животът или здравето на физическото лице;
4. изпълнение на клаузите на договор между администратора по чл. 3, ал. 1 и физическото лице;
5. законен интерес на администратора по чл. 3, ал. 1, на трето лице или на лице, на което се разкриват данните, и това не нарушава правото на защита по този закон на съответното физическо лице."
Чл. 9. (1) Администраторът обработва данните на субекта на данни с негово съгласие освен в случаите, предвидени в закон.
Предложение на Благовест Сендов (вх. № 154-04-49/ 21.11.2001 год.):
В чл. 9. ал. 1, думите: "данните на субекта на данни" да се заменят с думите: "личните данни на физическо лице".
(2) Администраторът на лични данни е длъжен да информира субекта на данни преди обработването им за:
1. целта и средствата за обработката им;
2. задължителния или доброволния характер на предоставяне на данните и последиците от отказ за предоставяне;
3. получателите или категориите получатели, на които могат да бъдат предоставени данните, и сферата на ползването им;
4. правото на достъп и на поправка на събраните данни, наименованието и адреса на администратора и на обработващия данните, ако той е различен от администратора.
(3) Цялата или част от информацията по ал. 2 може да не се предоставя на субекта на данните в случаите, когато той вече е запознат с нея.
(4) Когато данните не са получени от техния субект, а от трето лице, администраторът на лични данни предоставя на субекта на данни информацията по ал. 2 преди обработването им, освен в случаите на изрична забрана за това в закон.
Становище на КВСОР:
Комисията приема предложението на г-н Сендов и предлага чл. 9 от законопроекта да стане чл. 19 със следната редакция:
"Чл. 19. (1) Администраторът по чл. 3, ал. 1 обработва личните данни на физическото лице с негово съгласие освен с изключенията , предвидени в закон.
(2) Администраторът по чл. 3, ал. 1 е длъжен да информира съответното физическо лице преди обработването им за:
1. целта и средствата за обработката им;
2. задължителния или доброволния характер на предоставяне на данните и последиците от отказ за предоставяне;
3. получателите или категориите получатели, на които могат да бъдат предоставени данните, и сферата на ползването им;
4. правото на достъп и на поправка на събраните данни, наименованието и адреса на администратора по чл. 3, ал. 1 и на обработващия данните, ако той е различен от този администратор.
(3) Информацията по ал. 2 се предоставя от администратора на съответното физическо лице преди обработването й, когато личните му данни са получени от трето лице.
(4) Ал. 3 не се прилага в случаите на изрична забрана за това в закона."
Чл. 10. (1) Съгласието на субекта по чл. 9, ал. 1 трябва да е свободно и недвусмислено, а при необходимост - и в писмена форма, и може да бъде дадено за цялата или за част от обработката на данните.
(2) Съгласието не се изисква, когато обработката на данни:
1. се отнася до лични данни, събрани и обработвани по силата на задължение по закон;
2. се извършва единствено за целите на научни изследвания или за целите на статистиката и данните са анонимни;
3. е необходима, за да се защити животът или здравето на субекта на данни или на друго лице, когато физическото състояние на субекта на данни не му позволява да даде съгласието си или съществуват законни пречки за това;
4. е необходима за целите на гражданския, административния или наказателния процес, при условие че данните се обработват само във връзка с тази цел и за не по-дълъг от законоустановения срок за съхраняването им;
5. е за целите на контрола за спазването на трудовото законодателство или на Закона за държавния служител, освен когато се отнася за данните по чл. 15.
Становище на КВСОР:
Комисията предлага чл. 10 от законопроекта да стане чл. 20 със следната редакция:
"Чл. 20. (1) Съгласието на физическото лице по чл. 19, ал. 1 трябва да е свободно изразено и недвусмислено. То може да бъде дадено за цялата или за част от обработката на данните и при необходимост да бъде и в писмена форма.
(2) Съгласието по чл. 19, ал. 1 не се изисква, когато обработването на данни:
1. се отнася до лични данни, събрани и обработвани по силата на задължение по закон;
2. се извършва само за нуждите на научни изследвания или на статистиката и данните са анонимни;
3. е във връзка със защитата на живота или здравето на съответното физическо лице или на друго лице, както и когато неговото състояние не му позволява да даде съгласие или съществуват законни пречки за това."
Комисията предлага чл. 15 от законопроекта да стане чл. 21 със следната редакция:
"Чл. 21. (1) Обработването на лични данни, които разкриват расов или етнически произход, политически, религиозни или философски убеждения, членство в политически партии, организации и сдружения с религиозни, философски, политически или синдикални цели, както и лични данни, отнасящи се до здравето или сексуалния живот, може да се осъществява само с изрично писмено съгласие на съответното физическо лице.
(2) Не се изисква изричното писмено съгласие за данните по ал. 1, когато:
1. обработването им е задължение по закон на администратора по чл. 3, ал. 1;
2. обработването е необходимо във връзка със защитата на живота или здравето на съответното физическо лице или на друго лице, както и когато неговото състояние не му позволява да даде съгласие или съществуват законни пречки за това;
3. обработването се отнася до данни, публично оповестени от физическото лице, или е необходимо за установяването, упражняването или защитата на негови законни права;
4. обработването се изисква във връзка с осъществяването на медицинска помощ или на здравни услуги, както и когато тези данни се обработват от лице, работещо в здравно или лечебно заведение, и то е задължено да пази професионална тайна;
5. обработването се осъществява само от или под контрола на компетентен държавен орган за лични данни, свързани с извършването на престъпления, на административни нарушения и на непозволени увреждания;
6. обработването е необходимо във връзка с отбраната и националната сигурност,"
Чл. 11. (1) Администраторът публикува ежегодно до 31 март в бюлетина на Комисията за защита на личните данни следните сведения за създадените от него през предходната година регистри:
1. вид на обработваните лични данни с оглед различните признаци за установяване на идентичността на субектите на данни;
2. категорията на лицата, за които се отнасят личните данни;
3. служебен адрес, условия и ред за приемането на заявления за даване на достъп до личните данни;
4. описание на целите, за които се обработват тези данни, както и допустимите начини за тяхното използване;
5. описание на критериите, по които се съхраняват или унищожават данните.
Предложение на Благовест Сендов (вх. М 154-04-49/ 21.11.2001 год.):
В чл. 11. ал. 1, думата: "регистри" да се замени с думите: "масиви от лични данни"; думите: "обработваните лични" да се замени с думата: "личните".
Комисията не приема предложението.
(2) Администраторът е длъжен да публикува в бюлетина на Комисията за защита на личните данни промени по ал. 1, т. 1 - 5 в 30-дневен срок от тяхното извършване.
(3) Администраторът носи отговорност за достоверността на информацията по ал. 1 и е длъжен да осигури публичен достъп до нея.
Становище на КВСОР:
Комисията предлага чл. 11 от законопроекта да стане чл. 22 със следната редакция:
"Чл. 22. (1) Администраторът по чл. 3, ал. 1 публикува ежегодно до 31 март в бюлетина на Комисията за защита на личните данни следните сведения за създадените от него през предходната година регистри:
1. вид на обработваните лични данни с оглед различните признаци за установяване на идентичността на физическите лица;
2. кръг от лица, за които се отнася обработването;
3. служебен адрес, условия и ред за приемането на заявления за даване на достъп до личните данни;
4. описание на целите, за които се обработват тези данни, както и допустимите начини за тяхното използване;
5. описание на критериите, по които се съхраняват или унищожават данните.
(2) Администраторът по чл. 3, ал. 1 е длъжен да публикува в бюлетина на Комисията за защита на личните данни промени по ал. 1, т. 1 - 5 в 30-дневен срок от тяхното извършване.
(3) Администраторът носи отговорност за достоверността на информацията по ал. 1 и 2 и е длъжен да осигури публичен достъп до нея."
Раздел III
ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
Становище на КВСОР:
Комисията предлага заглавието ” Раздел III ЗАЩИТА НА ЛИЧНИТЕ ДАННИ” да се замени със заглавието:
’’ГЛАВА ЧЕТВЪРТА
ЗАЩИТА НА ЛИЧНИТЕ ДАННИ”
Чл. 12. (1) Администраторът е длъжен да предприеме необходимите технически и организационни мерки, за да защити данните от случайно или незаконно разрушаване, случайна загуба или промяна, незаконно разкриване или достъп, нерегламентирано изменение или разпространение, както и от всички други незаконни форми на обработване на лични данни.
(2) Администраторът е длъжен да предприеме специални мерки за защита, когато обработването предвижда предаване на данните по електронен път.
(3) Министерският съвет приема наредба за минимално необходимите технически и организационни мерки, както и за допустимия вид защита.
Становище на КВСОР:
Комисията предлага чл. 12 от законопроекта да стане чл. 23 със следната редакция:
"Чл. 23. (1) Администраторът по чл. 3, ал. 1 е длъжен да предприеме необходимите технически и организационни мерки, за да защити данните от случайно или незаконно разрушаване, случайна загуба или промяна, незаконно разкриване или достъп, нерегламентирано изменение или разпространение, както и от всички други незаконни форми на обработване на лични данни.
(2) Администраторът е длъжен да предприеме специални мерки за защита, когато обработването предвижда предаване на данните по електронен път.
(3) Комисията за защита на личните данни определя в наредба минимално необходимите технически и организационни мерки, както и за допустимия вид защита."
Чл. 13. (1) Администраторът на лични данни може да обработва данните сам или чрез възлагане обработката на обработващ данните. Когато е необходимо по организационни причини, обработката може да се възложи на повече от един обработващ данните, включително с цел разграничаване на конкретните задължения на обработващите.
(2) В случаите, когато обработването на данните не се извършва от администратора, той е длъжен да определи обработващ данните и да осигури достатъчни гаранции за тяхната защита.
(3) Обработващият данните се определя между субекти, които имат професионални и технически възможности да гарантират пълно съобразяване с всички условия, свързани с обработката на данни, и тяхната защита.
(4) Администраторът на лични данни в писмена инструкция, която е задължителна за обработващия данните и за оператора на лични данни, определя начините на обработка.
(5) Задълженията на обработващия данни и на оператора, включително отговорността при неизпълнението им, се определят в техните заповеди за назначаване или в писмени договори във връзка с инструкцията по ал. 4.
(6) Отговорността по ал. 5 не изключва носенето на друг вид отговорност в зависимост от извършените от това лице неправомерни действия или бездействия.
Становище на КВСОР:
Комисията предлага чл. 13 от законопроекта да стане чл. 24 със следната редакция:
"Чл. 24. (1) Администраторът по чл. 3, ал. 1 може да обработва данните сам или чрез възлагане на обработващ данните. Когато е необходимо по организационни причини, обработването може да се възложи на повече от един обработващ данните, включително с цел разграничаване на конкретните им задължения.
(2) В случаите, когато обработването на данните не се извършва от администратора, той е длъжен да определи обработващ данните и да осигури достатъчни гаранции за тяхната защита.
(3) Обработващият данните се определя между лица, които имат професионални и технически възможности да гарантират пълно съобразяване с всички условия, свързани с обработването на данни, и тяхната защита.
(4) Администраторът по чл. 3, ал. 1 определя начините на обработване в писмена инструкция, която е задължителна за обработващия данните и за оператора на лични данни.
(5) Задълженията на обработващия данни и на оператора, включително отговорността при неизпълнението им, се определят в техните заповеди за назначаване или в писмени договори във връзка с инструкцията по ал. 4.
(6) Отговорността по ал. 5 не изключва носенето на друг вид отговорност в зависимост от извършените от това лице неправомерни действия или бездействия."
Чл. 14. (1) След приключването на обработката на лични данни администраторът е длъжен да ги съхрани само ако това е предвидено в закон.
(2) След приключването на обработката на лични данни администраторът може:
1. да ги унищожи, или
2. да ги прехвърли на друг администратор, ако това е предвидено по закон, предвидената обработка има идентични цели на онези, за които са събрани данните, и има разрешение от Комисията за защита на личните данни.
(3) В случаите, когато след приключване на обработката администраторът иска да съхрани обработените лични данни за исторически, научни или статистически цели, той трябва да уведоми за това Комисията за защита на личните данни и да представи гаранции за тяхното ползване само за тези цели като анонимни данни.
(4) Комисията за защита на личните данни може да забрани съхраняването за целите по ал. 3, ако администраторът не е осигурил достатъчната защита на обработените данни.
(5) Решението на комисията по ал. 4 подлежи на обжалване пред Върховния административен съд (ВАС). В случаите на отхвърляне от ВАС на жалбата срещу решението на комисията администраторът на личните данни е длъжен да ги унищожи.
Становище на КВСОР:
Комисията предлага чл. 14 от законопроекта да стане чл. 25 със следната редакция:
"Чл. 25. (1) След приключването на обработването на лични данни администраторът по чл. 3, ал. 1 може:
1. да ги унищожи, или
2. да ги прехвърли с разрешение от Комисията за защита на личните данни на друг администратор, ако това е предвидено в закон и е налице идентичност на целите на обработването.
(2) След приключването на обработването на лични данни администраторът по чл. 3, ал. 1 ги съхранява само в предвидените в закон случаи.
(3) В случаите, когато след приключване на обработката администраторът по чл. 3, ал. 1 иска да съхрани обработените лични данни за ползване като анонимни данни за исторически, научни или статистически цели, той трябва да уведоми за това Комисията за защита на личните данни.
(4) Комисията за защита на личните данни може да забрани съхраняването за целите по ал. 3, ако администраторът не е осигурил достатъчната защита на обработените данни като анонимни данни.
(5) Решението на комисията по ал. 4 подлежи на обжалване пред Върховния административен съд (ВАС). В случаите на отхвърляне от ВАС на жалбата срещу решението на комисията администраторът на лични данни е длъжен да ги унищожи."
Раздел IV
СПЕЦИАЛНИ ВИДОВЕ ЛИЧНИ ДАННИ
Становище на КВСОР:
Комисията предлага заглавието ” Раздел IV СПЕЦИАЛНИ ВИДОВЕ ЛИЧНИ ДАННИ” да отпадне
Чл. 15. (1) Обработването на лични данни, които разкриват расов или етнически произход, политически, религиозни или философски убеждения, членство в политически партии, организации и сдружения с религиозни, философски, политически или синдикални цели, както и лични данни, отнасящи се до здравето или сексуалния живот, може да се осъществява само с изрично писмено съгласие на субекта на данните.
(2) Не се изисква изричното писмено съгласие на субекта на данните по ал. 1, когато:
1. обработването на тези данни е задължение по закон на администратора;
2. обработването е необходимо, за да защити живота или здравето на субекта на данни или на друго лице, когато физическото състояние на субекта не му позволява да даде съгласието си или съществуват законни пречки за това;
3. обработването се отнася до данни, публично оповестени от субекта, или е необходимо за установяването, упражняването или защитата на негови законни права;
4. обработването на лични данни се изисква във връзка с осъществяването на медицинска помощ или на здравни услуги, както и когато тези данни се обработват от лице, работещо в здравно или лечебно заведение, и то е задължено да пази професионална тайна;
5. обработването на лични данни за престъпления, административни нарушения и непозволени увреждания се осъществява само от или под контрола на компетентен държавен орган;
6. обработването е необходимо във връзка с отбраната и националната сигурност.
Становище на КВСОР:
Комисията предлага чл. 15 от законопроекта да отпадне.
ГЛАВА ВТОРА
ДОСТЪП ДО ЛИЧНИ ДАННИ
Становище на КВСОР:
Комисията предлага думата "ВТОРА” да се замени с думата "ПЕТА".
Раздел I
ПРАВО НА ДОСТЪП
Становище на КВСОР:
Комисията предлага заглавието " Раздел I ПРАВО НА ДОСТЪП" да отпадне.
Чл. 16. (1) Всеки субект на данни има право на достъп до отнасящи се за него лични данни.
(2) В случаите, когато при осъществяване правото на достъп на субекта на данни могат да се разкрият лични данни и за трето лице, администраторът е длъжен да предостави на субекта на данните достъп до частта от тях, отнасяща се само за него.
(3) Правото на достъп се осъществява със заявление до администратора на лични данни.
Становище на КВСОР;
Комисията предлага чл. 16 от законопроекта да стане чл. 26 със следната редакция:
"Чл. 26. (1) Всяко физическо лице има право на достъп до отнасящи се за него лични данни.
(2) В случаите, когато при осъществяване правото на достъп на физическото лице могат да се разкрият лични данни и за трето лице,администраторът по чл. 3, ал. 1 е длъжен да предостави на съответното физическо лице достъп до частта от тях, отнасяща се само за него."
Чл. 17. Осъществяването на правото на достъп до лични данни не може да бъде насочено срещу правата и доброто име на друг субект на данни, както и срещу националната сигурност, обществения ред, народното здраве и морала.
Становище на КВСОР:
Комисията предлага чл. 17 от законопроекта да стане чл. 27 със следната редакция:
"Чл. 27. Осъществяването на правото на достъп до лични данни не може да бъде насочено срещу правата и доброто име на друго физическо лице, както и срещу националната сигурност, обществения ред, народното здраве и морала."
Чл. 18. (1) Субектът на данни има право:
1. да получи информацията по чл. 9, ал. 2;
2. да поиска от администратора на лични данни:
а) потвърждение за съществуването на лични данни, отнасящи се до него, независимо в каква фаза на обработване са;
б) изтриването, прехвърлянето в анонимни данни или блокирането на обработката, ако са в нарушение на закона или данните не са необходими за целите, за които са обработвани;
в) актуализирането или поправянето на данните;
3. да възрази пред администратора на данни срещу незаконосъобразността на обработване на лични данни, отнасящи се до него, освен когато това се изключва от разпоредбите на специален закон; когато възражението е основателно, обработването не обхваща данните - обект на възражението;
4. да забрани на администратора на данни да предоставя цялата или част от обработката на лични данни, отнасящи се до него, с намерение тя да бъде използвана за търговска информация, реклама или за пазарно проучване;
5. да поиска да бъде информиран преди личните данни по т. 4 да се разкрият за първи път на трета страна.
(2) При поискване от субекта на данни администраторът на лични данни е длъжен да му издаде:
1. удостоверение, че действията по ал. 1, т. 2, букви "б" и "в" са извършени или че е направен мотивиран отказ;
2. удостоверение, че данните и действията по ал. 1 са доведени до знанието на трети лица, на които са прехвърлени.
(3) Правата по ал. 1 и 2 се упражняват лично или чрез изрично упълномощено от субекта на данните лице.
(4) Администраторът на лични данни е длъжен да се произнесе писмено по всяко искане на субекта на данни във връзка с упражняването на правата по ал. 1 в 30-дневен срок.
(5) При нарушаване на правата по ал. 1 или при отказ за удовлетворяване на искането по ал. 2 субектът на данни може да подаде жалба по реда на глава трета.
Становище на КВСОР:
Комисията предлага чл. 18 от законопроекта да стане чл. 28 със следната редакция:
"Чл. 28. (1) Физическото лице, за което се обработват лични данни, има право:
1. да получи информацията по чл. 19, ал. 2;
2. да поиска от администратора на лични данни:
а) потвърждение за съществуването на лични данни, отнасящи се до него, независимо в каква фаза на обработване са;
б) изтриването, прехвърлянето в анонимни данни или блокирането на обработването, когато е в нарушение на закона или данните не са необходими за целите, за които са обработвани;
в) актуализирането или поправянето на данните;
3. да възрази пред администратора по чл. 3, ал. 1 срещу незаконосъобразността на обработване на лични данни, отнасящи се до него, освен когато това се изключва от разпоредбите на специален закон;
4. да забрани на администратора по чл. 3, ал. 1 да предоставя изцяло или частично обработените негови лични данни, с намерение те да бъдат използвани за търговска информация, реклама или за пазарно проучване;
5. да поиска да бъде информиран преди личните данни по т. 4 да се разкрият за първи път на трета страна.
(2) При поискване от съответното физическо лице администраторът по чл. 3, ал. 1 е длъжен да му издаде:
1. удостоверение, че действията по ал. 1, т. 2, букви "б" и "в" са извършени или че е направен мотивиран отказ;
2. удостоверение, че данните и действията по ал. 1 са доведени до знанието на трети лица, на които са прехвърлени.
(3) Правата по ал. 1 и 2 се упражняват лично от физическото лице или чрез изрично упълномощено от него друго лице.
(4) Администраторът по чл. 3,ал. 1 в 14-дневен срок е длъжен да се произнесе писмено по всяко искане на съответното физическо лице във връзка с упражняването на правата му по ал. 1.
(5) При нарушаване на правата по ал. 1 или при отказ за удовлетворяване на искането по ал. 2 физическото лице може да подаде жалба по реда на глава седма."
РАЗДЕЛ II
ЗАЯВЛЕНИЕ ЗА ПРЕДОСТАВЯНЕ НА ДОСТЪП
ДО ЛИЧНИ ДАННИ
Становище на КВСОР:
Комисията предлага заглавието "РАЗДЕЛ II ЗАЯВЛЕНИЕ ЗА ПРЕДОСТАВЯНЕ НА ДОСТЪП ДО ЛИЧНИ ДАННИ" да отпадне.
Чл. 19. (1) Заявлението за достъп до лични данни е писмено и се отправя до администратора на лични данни.
(2) Заявлението може да бъде направено и по електронен път.
(3) Заявлението се отправя лично или чрез изрично упълномощено от субекта на данните лице.
(4) Подаването на заявление е безплатно.
Становище на КВСОР:
Комисията предлага чл. 19 от законопроекта да стане чл. 29 със следната редакция:
"Чл. 29. (1) Правото на достъп се осъществява с писмено заявление до администратора на лични данни.
(2) Заявлението може да бъде отправено и по електронен път.
(3) Заявлението се отправя лично от физическото лице или чрез изрично упълномощено от него друго лице.
(4) Подаването на заявление е безплатно."
Чл. 20. (1) Заявлението за достъп до лични данни съдържа:
1. името, адреса и други необходими данни за идентифициране на субекта, подаващ искането;
2. описание на искането;
3. предпочитана форма за предоставяне на достъпа до личните данни;
4. дата на подаване на заявлението и адрес за кореспонденция.
(2) Заявленията за достъп се завеждат от съответния администратор на лични данни в регистър.
Становище на КВСОР:
Комисията предлага чл. 20 от законопроекта да стане чл. 30 със следната редакция:
"Чл. 30. (1) Заявлението за достъп до лични данни съдържа:
1. името, адреса и други необходими данни за идентифициране на съответното физическо лице;
2. описание на искането;
3. предпочитана форма за предоставяне на достъпа до личните
данни;
4. подпис, дата на подаване на заявлението и адрес за кореспонденция.
(2) При подаване на заявление от упълномощено лице освен данните по ал. 1 се прилага и съответното пълномощно.
(3) Заявленията за достъп се завеждат от администратора по чл. 3, ал. 1 в регистър."
Чл. 21. (1) Достъп до лични данни може да бъде предоставен под формата на устна или писмена справка или на преглед на данните от съответния субект или от изрично упълномощено от него лице.
(2) Субектът на данни може да поиска, освен в случаите, когато това е забранено от закон, копие на предпочитан носител или предоставяне по електронен път.
(3) Администраторът на лични данни е длъжен да се съобрази с предпочитаната от заявителя форма на предоставяне на достъп, освен в случаите, когато няма техническа възможност или това би довело до неправомерна обработка на исканата информация.
Становище на КВСОР:
Комисията предлага чл. 21 от законопроекта да стане чл. 31 със следната редакция:
"Чл. 31. (1) Достъп до лични данни може да бъде предоставен под формата на устна или писмена справка или на преглед на данните от съответното физическо лице или от изрично упълномощено от него друго лице.
(2) Физическото лице може да поиска копие от обработваните лични данни на предпочитан носител или предоставяне по електронен път освен в случаите, когато това е забранено от закон.
(3) Администраторът по чл. 3, ал. 1 е длъжен да се съобрази с предпочитаната от заявителя форма на предоставяне на достъп, освен в случаите, когато няма техническа възможност или това би довело до неправомерно обработване на исканата информация."
Чл. 22. (1) Заявленията за достъп се разглеждат от администратора на лични данни в срок до 30 дни.
(2) Срокът по ал. 1 може да бъде мотивирано удължен до 60 дни в случаите, когато обективно се изисква по-дълъг срок за събирането на всички искани данни и това сериозно затруднява дейността на администратора.
Становище на КВСОР:
Комисията предлага чл. 22 от законопроекта да стане чл. 32 със следната редакция:
"Чл. 32. (1) Администраторът на лични данни разглежда заявлението за достъп и се произнася по него в 14-дневен срок.
(2) Срокът по ал. 1 може да бъде мотивирано удължен до 30 дни в случаите, когато обективно се изисква по-дълъг срок за събирането на
всички искани данни и това сериозно затруднява дейността на администратора.
(3) Администраторът взема решение за предоставянето на пълен или частичен достъп на заявителя или мотивира отказ за предоставяне на достъп."
Чл. 23. (1) Администраторът на лични данни писмено уведомява заявителя за предоставянето на пълен или частичен достъп, а за отказ на предоставяне, както и за удължаването на срока по чл. 22 - и с мотиви.
(2) Уведомяването по ал. 1 е лично срещу подпис или по пощата с обратна разписка.
Становище на КВСОР:
Комисията предлага чл. 23 от законопроекта да стане чл. 33 със следната редакция:
"Чл. 33. (1) Администраторът по чл. 3, ал. 1 писмено уведомява заявителя за решението си по чл. 32, ал. 3.
(2) Уведомяването по ал. 1 е лично срещу подпис или по пощата с обратна разписка."
Чл. 24. (1) Отказва се предоставяне на достъп до лични данни, когато данните не съществуват или не могат да бъдат предоставяни на определено правно основание. В отказа се посочват органът и срокът за неговото обжалване.
(2) За отказ се счита липсата на уведомление по чл. 23, ал. 1 относно достъпа до личните данни в предвидените в закона срокове.
Становище на КВСОР:
Комисията предлага чл. 24 от законопроекта да стане чл. 34 със следната редакция:
"Чл. 34. (1) Администраторът по чл. 3, ал. 1 отказва достъп до лични данни, когато данните не съществуват или не могат да бъдат предоставяни на определено правно основание. В отказа се посочват органът и срокът за неговото обжалване.
(2) За отказ се счита липсата на уведомление по чл. 33, ал. 1."
Раздел III
ПРЕДОСТАВЯНЕ НА ЛИЧНИ ДАННИ НА ТРЕТИ ЛИЦА Становище на КВСОР:
Комисията предлага думите "Раздел Ш" да се заменят с думите "ГЛАВА ШЕСТА".
Чл. 25. (1) Предоставянето на лични данни от администратора на трети лица се допуска по тяхна молба, подадена по реда на глава втора, раздел II, в следните случаи:
1. когато субектът на данни изрично е дал съгласието си;
2. когато източниците на данни са публични регистри или документи, съдържащи обществена информация, за която е осигурен достъп, по ред, определен в закон;
3. когато е необходимо за защита на живота и здравето на субекта на данните, когато неговото физическо състояние не му позволява да даде съгласието си или съществуват законни пречки за това;
4. когато е необходимо на органите на съдебната и изпълнителната власт и за защита на конкуренцията и потребителите и това е нормативно установено;
5. когато те са необходими за целите на научни изследвания или за статистически цели и данните са анонимни;
6. когато информацията е за целите на контрола за спазване на трудовото законодателство или на статута на държавните служители.
(2) Забранява се предоставянето на лични данни:
1. в нарушение на уведомлението по чл. 9, ал. 2, т. 1, 3 и 4;
2. за които е наредено унищожаване или за които срокът за обработване и съхраняване е изтекъл;
3. отнасящи се към даден субект или към определена категория субекти на данни, когато това влиза в противоречие със значим обществен интерес.
(3) Запознаването на оператора на лични данни или на обработващия данните в съответствие с инструкцията на администратора на лични данни не се счита за предоставяне на данни.
(4) В случаите по ал. 1, т. 4 и 6 администраторът е длъжен да информира третата страна, пред която са разкрити данните, за всяка поправка, изтриване или блокиране, освен ако това се окаже невъзможно.
Становище на КВСОР:
Комисията предлага чл. 25 от законопроекта да стане чл. 35 със следната редакция:
"Чл. 35. (1) Предоставянето на лични данни от администратора по чл. 3, ал. 1 на трети лица се допуска по тяхна молба, подадена по реда на глава пета, когато:
1. съответното физическо лице изрично е дало съгласието си;
2. източниците на данни са публични регистри или документи, съдържащи обществена информация, за която е осигурен достъп, по ред, определен в закон;
3. е във връзка със защитата на живота или здравето на съответното физическо лице, както и когато неговото състояние не му позволява да даде съгласие или съществуват законни пречки за това;
4. е необходимо на органите на съдебната и изпълнителната власт и за защита на конкуренцията и потребителите и това е установено в закон;
5. те са необходими за целите на научни изследвания или за статистически цели и данните са анонимни.
(2) Забранява се предоставянето на лични данни на трети лица:
1. в нарушение на уведомлението по чл. 19, ал. 2, т. 1, 3 и 4;
2. за които е наредено унищожаване или за които срокът за обработване и съхраняване е изтекъл;
3. отнасящи се към определено физическо лице или към кръг физически лица, когато това влиза в противоречие със значим обществен интерес.
(3) Запознаването на оператора на лични данни или на обработващия данните в съответствие с инструкцията на администратора на лични данни не се счита за предоставяне на данни на трети лица."
Чл. 26. (1) Предоставянето на достъп до регистри на лични данни и прехвърлянето на лични данни от един администратор на друг се извършват при спазване изискванията на този закон и след разрешение на Комисията за защита на личните данни.
(2) Предоставянето на лични данни от администратора на данни на чуждестранни физически и юридически лица или на чужди държавни органи се допуска с разрешение на Комисията за защита на личните данни, ако нормативните актове на страната получател гарантират по-добра или еднаква с предвидената в този закон защита на данните.
(3) При предоставянето на достъп или при прехвърлянето на лични данни в случаите по ал. 1 и 2 се спазват изискванията на чл. 25, ал. 1 и 2.
Становище на КВСОР:
Комисията предлага чл. 26 от законопроекта да стане чл. 36 със следната редакция:
"Чл. 36. (1) Предоставянето на достъп до регистри на лични данни и прехвърлянето на лични данни от един администратор на друг се извършват при спазване изискванията на този закон и след разрешение на Комисията за защита на личните данни.
(2) Предоставянето на лични данни от администратора по чл. 3, ал. 1 на чуждестранни физически и юридически лица или на чужди държавни органи се допуска с разрешение на Комисията за защита на личните данни, ако нормативните актове на страната-получател гарантират по-добра или еднаква с предвидената в този закон защита на данните.
(3) При предоставянето на достъп или при прехвърлянето на лични данни в случаите по ал. 1 и 2 се спазват изискванията на чл. 35, ал. 1 и 2."
Чл. 27. (1) Администраторът в срок до 30 дни от подаването на молбата взема решение за предоставянето на лични данни на трето лице или на друг администратор на данни, както и за отказ за предоставяне на лични данни.
(2) Отказът за предоставяне на лични данни може да се обжалва от заинтересуваните лица по реда на този закон.
Становище на КВСОР:
Комисията предлага чл. 27 от законопроекта да стане чл. 37 със следната редакция:
"Чл. 37. (1) Администраторът по чл. 3, ал. 1 в срок до 30 дни от подаването на молбата взема решение за предоставянето на лични данни на трето лице или на друг администратор на лични данни или мотивира отказ за предоставянето им.
(2) Уведомяването по ал. 1 е лично срещу подпис или по пощата с обратна разписка.
(3) Отказът за предоставяне на лични данни може да се обжалва от заинтересуваните лица по реда на този закон."
ГЛАВА ТРЕТА
ОБЖАЛВАНЕ НА ДЕЙСТВИЯ НА АДМИНИСТРАТОРА
НА ЛИЧНИ ДАННИ
Становище на КВСОР:
Комисията предлага думата "ТРЕТА" да се замени с думата "СЕДМА"
Чл. 28. (1) В случаите на удължаване на срока, на предоставяне на частичен достъп или на отказ от предоставяне на достъп до лични данни, както и на други нарушения на правата на субекта на данни по чл. 18, ал. 1 и 2 той може да сезира Комисията за защита на личните данни в 14-дневен срок от изтичането на срока за произнасянето.
(2) Комисията за защита на личните данни се произнася в 30-дневен срок с решение, в което може да даде задължителни указания до администратора на лични данни и срок за отстраняване на нарушението.
(3) Комисията за защита на личните данни изпраща копие от решението си и на субекта на данните.
(4) Решението по ал. 2 подлежи на обжалване пред ВАС в 14-дневен срок от получаването му.
Становище на КВСОР:
Комисията предлага чл. 28 от законопроекта да стане чл. 38 със следната редакция:
"Чл. 38. (1) В случаите на удължаване на срока, на предоставяне на частичен достъп или на отказ от предоставяне на достъп до лични данни съответното физическо лице може да сезира Комисията за защита на личните данни в 14-дневен срок от уведомяването по чл. 33, ал. 1 или от изтичането на срока по чл. 32, ал. 1.
(2) Физическото лице може да сезира Комисията за защита на личните данни в 14-дневен срок от извършване на нарушенията на правата му по чл. 28, ал. 1 и 2 или от узнаването им.
(3) Комисията за защита на личните данни в случаите по ал. 1 и 2 се произнася в 30-дневен срок с решение, в което може да даде задължителни указания до администратора на лични данни и срок за отстраняване на нарушението.
(4) Комисията за защита на личните данни изпраща копие от решението си и на физическото лице.
(5) Решението на Комисията във връзка с ал. 1 подлежи на обжалване пред ВАС в 14-дневен срок от получаването му."
Чл. 29. (1) В случаите по чл. 28, ал. 1 субектът на данни може да обжалва действията на администратора на лични данни пред съответния окръжен съд или пред ВАС съобразно общите правила за подсъдност. Жалбата се подава чрез съответния администратор в едномесечен срок от получаване на уведомлението или от узнаване на неправомерното действие.
(2) Субектът на данни не може да сезира съда, ако има висящо производство пред Комисията за защита на личните данни или нейното решение е обжалвано и няма влязло в сила решение на ВАС.
(3) В случаите на неизпълнение на указанията по чл. 29, ал. 2 Комисията за защита на личните данни в 30-дневен срок може да сезира съответния окръжен съд или ВАС съобразно общите правила за подсъдност по отношение на администратора на личните данни.
(4) При разглеждането на споровете по ал. 1 и 3 се прилага Законът за административното производство, съответно Законът за Върховния административен съд.
Становище на KBCQP:
Комисията предлага чл. 29 от законопроекта да стане чл. 39 със следната редакция:
"Чл. 39. (1) В случаите по чл. 38, ал. 1 физическото лице може да обжалва решението на администратора на лични данни пред съответния окръжен съд или пред ВАС съобразно общите правила за подсъдност. Жалбата се подава чрез съответния администратор в едномесечен срок от получаване на уведомлението по чл. 33, ал. 1.
(2) Физическото лице не може да сезира съда, ако има висящо производство пред Комисията за защита на личните данни или нейното решение е обжалвано и няма влязло в сила решение на съдa относно същото решение на администратора .Съдът следи за наличието на посочените по-горе обстоятелства служебно.
(3) В случаите на неизпълнение на указанията по чл. 38, ал. 3 в предписания срок Комисията за защита на личните данни в 14-дневен срок може да сезира съответния окръжен съд или ВАС за извършеното нарушение от администратора на лични данни, съобразно общите правила за подсъдност.
(4) При разглеждането на споровете по ал. 1 и 3 се прилага Законът за административното производство, съответно Законът за Върховния административен съд."
Чл. 30. (1) При установяване на нарушение на правата на субекта на данни или на незаконосъобразен отказ от достъп до лични данни съдът отменя изцяло или частично обжалваното решение, като задължава съответния администратор да отстрани нарушението или да предостави достъп до исканите лични данни.
(2) По искане на лицето съдът може да постанови и заплащане на обезщетение за реално претърпените вреди в резултат на незаконосъобразните действия на администратора на лични данни.
(3) В случаите по ал. 1 достъпът до исканите лични данни и правата на субекта на лични данни по чл. 18, ал. 1 и 2 се осъществяват по реда на този закон.
(4) Съдът може да отхвърли жалбата срещу решението на Комисията за защита на личните данни, да го измени или да го отмени изцяло.
Становище на КВСОР:
Комисията предлага ал. 2 от чл. 30 от законопроекта да отпадне, чл. 30 от законопроекта да стане чл. 40 със следната редакция:
"Чл. 40. (1) При незаконосъобразно решение в случаите по чл. 38, ал. 1 съдът отменя изцяло или частично обжалваното решение, като задължава съответния администратор да предостави достъп до исканите лични данни.
(2) В случаите по ал. 1 достъпът до исканите лични данни се осъществява по реда на този закон.
(3) Съдът може да отхвърли жалбата срещу решението на Комисията за защита на личните данни, да го измени или да го отмени изцяло."
Чл. 31. Разпоредбите на чл. 28 - 30 се прилагат съответно и при отказ за предоставяне на лични данни в случаите по чл. 25 и чл. 26, ал. 1 и 2.
Становище на КВСОР:
Комисията предлага чл. 31 от законопроекта да стане чл. 41 със следната редакция:
"Чл. 41. Разпоредбите на чл. 38 - 40 се прилагат съответно и при отказ за предоставяне на лични данни в случаите по чл. 35 и чл. 36, ал. 1 и 2."
ГЛАВА ЧЕТВЪРТА
КОМИСИЯ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
Становище на КВСОР:
Комисията предлага цялата глава четвърта от законопроекта да отпадне.
Чл. 32. (1) Комисията за защита на личните данни, наричана по- нататък "комисията", е независим държавен орган, който осъществява защита на личните данни и контрол за спазването на този закон и на специалните закони по чл. 1, ал. 4 по реда, предвиден в тях във връзка със защитата на личните данни.
(2) Комисията е юридическо лице на бюджетна издръжка със седалище София.
Чл. 33. (1) Комисията е колегиален орган и се състои от 5-има членове, в т.ч. председател.
(2) Членовете на комисията и председателят й се определят с решение на Народното събрание по предложение на Министерския съвет за срок 5 години и могат да бъдат преизбирани за още един мандат. В решението се определя и размерът на тяхното възнаграждение.
(3) Членовете на комисията осъществяват своята дейност по трудово правоотношение.
(4) Комисията до 31 януари всяка година представя годишен отчет за своята дейност пред Народното събрание и пред Министерския съвет.
Чл. 34. (1) За членове на комисията могат да бъдат избирани български граждани, които:
1. имат виеше образование - юристи или магистри по информационни технологии;
Предложение на Благовест Сендов (вх. № 154-04-49/ 21.11.2001 год.):
В чл. 34. ал. 1, точка 1., след думата: "образование" си добавят думите: "по информатика".
2. имат трудов стаж по специалността си не по-малко от 10 години;
3. не са осъждани на лишаване от свобода за умишлени престъпления от общ характер.
(2) Членове на комисията не могат:
1. да бъдат лица, които са еднолични търговци, акционери, съдружници, управители, прокуристи или членове на управителни или на контролни органи на търговски дружества, кооперации и организации с нестопанска цел;
2. да заемат друга платена длъжност, освен когато упражняват научна или преподавателска дейност.
(3) Членовете на комисията се освобождават с решение на Народното събрание предсрочно само:
1. по тяхна молба;
2. при извършване на нарушение на този закон;
3. при извършване на умишлено престъпление от общ характер, за което има влязла в сила присъда;
4. при невъзможност да изпълняват задълженията си за срок по-дълъг от 6 месеца;
5. при смърт или поставяне под запрещение.
(4) В случаите по ал. 3 Министерският съвет предлага на Народното събрание да избере нов член за срок до края на първоначалния мандат.
(5) Времето, през което лицето е работило като председател или член на комисията, се признава за служебен стаж по Закона за държавния служител.
Чл. 35. (1) За председател на комисията се избира правоспособен юрист, който отговаря на изискванията по чл. 34, ал. 1 и 2.
Предложение на Благовест Сендов (вх. № 154-04-49/ 21.11.200 год.):
В чл. 35. ал. 1, думите: ”правоспособен юрист, който” се заменят с думите: "лице, което”.
(2) Председателят на комисията:
1. организира и ръководи дейността на комисията съобразно закона и решенията на комисията и отговаря за цялостното изпълнение на задълженията й;
2. представлява комисията пред трети лица;
3. назначава и освобождава държавните служители и сключва и прекратява трудовите договори на служителите по трудови правоотношения от администрацията на комисията.
Чл. 36. (1) Комисията е постояннодействащ орган.
(2) Комисията приема правилник за своята дейност и го обнародва в "Държавен вестник".
(3) Решенията на комисията се вземат с мнозинство от общия брой на членовете й.
(4) Заседанията на комисията са открити. Комисията може да реши отделни заседания да бъдат закрити.
Чл. 37. (1) В своята дейност комисията се подпомага от администрация, в която работят държавни служители и служители по трудово правоотношение.
(2) Дейността, структурата и организацията на работа на администрацията на комисията се определят с правилник, приет от Министерския съвет по предложение на комисията.
Чл. 38. (1) Комисията:
1. анализира и осъществява цялостен контрол за спазването на нормативните актове в областта на защитата на лични данни;
2. води регистър на администраторите на лични данни;
3. извършва проверки на администраторите на лични данни във връзка с дейността си по т. 1;
4. изразява становища и дава разрешения в предвидените в този закон случаи;
5. издава задължителни предписания до администраторите във връзка със защитата на личните данни при осъществяване на тяхната дейност;
6. след предварително уведомяване налага временна забрана за обработването на лични данни, с които се нарушават нормите за защита на личните данни;
7. разглежда жалби срещу администраторите във връзка с отказан достъп на субекти на лични данни, както и жалби на други администратори или на трети лица във връзка с правата им по този закон;
8. участва в подготовката на нормативни актове, в които се съдържат разпоредби, свързани със защитата на личните данни.
(2) Редът за уведомяване на комисията, за искане на съгласие и становище, за разглеждане на жалбите и постановяване на решенията на комисията, както и за издаване на задължителните предписания се определят в правилника по чл. 37, ал. 2.
(3) Комисията издава бюлетин, в който публикува информация за своята дейност и за взетите решения, както и описите на администраторите по чл. 19, ал. 1 и 2.
Чл. 39. (1) Комисията чрез специално упълномощени лица от нейната администрация извършва проверки по изпълнението на този закон. В отделни случаи в проверките могат да участват и членове на комисията.
(2) Държавните органи или съответните органи на управление на други администратори на лични данни са длъжни да осигурят достъп на комисията до регистрите, в които те се съхраняват, както и до всички елементи на процеса по обработване на лични данни.
(3) Комисията извършва проверките въз основа на сезиране от страна на заинтересувани лица, както и по своя инициатива въз основа на приет от нея месечен план за контролната дейност.
(4) Когато в резултат на проверката се установи нарушение на закона, комисията с решение дава задължителни указания за отстраняването му в срок, определен от нея. При неизпълнение на тези указания се съставя акт за нарушението и се предлага на председателя на комисията да издаде
наказателно постановление. В случаите, когато са нарушени права на субект на данни, комисията сезира съответния съд в съответствие с чл. 30, ал. 3.
Чл. 40. (1) Комисията има право да изисква от администраторите на лични данни сведения във връзка с осъществяването на функциите й.
(2) Администраторите на лични данни са длъжни да оказват съдействие на комисията при осъществяването на нейните функции, включително на функциите по ал. 1.
(3) Членовете на комисията и служителите от нейната администрация са длъжни да пазят служебните, производствените и търговските тайни на администраторите на лични данни, които са им станали известни служебно при осъществяване на тяхната дейност, до 3 години след изтичането на мандата им или след прекратяването на трудовото или служебното им правоотношение.
(4) При постъпване на работа членовете на комисията и служителите от нейната администрация подават декларация за задължението си по ал. 3.
Чл. 41. (1) Комисията води регистър за администраторите на лични данни и за водените от тях регистри.
Предложение на Благовест Сендов (вх. № 154-04-49/ 21.11.2001 год.):
В чл. 41. ал. 1, думите: "за водените от тях регистри" се заменят с думите: "за създаваните от тях масиви от лични данни".
В чл. 41. ал. 1, думата: "регистър" да се замени с думите: "информационен масив"; вал. 3, думата "автоматично" да отпадне.
(2) В регистъра по ал. 1 се вписват администраторите на лични данни и видът на личните данни, законовото основание, целите и начинът за тяхното обработване, изискването на съгласие на субекта на данни, както и данни за акта, в който е определен редът за водене на регистъра.
(3) Регистърът е публичен. За предоставянето на информация от него се заплаща такса, определена от Министерския съвет.
(4) Министерският съвет с наредба определя реда за водене и съхраняване на регистъра.
(5) Комисията издава удостоверение на вписаните в регистъра администратори на лични данни.
Чл. 42. (1) Всяко лице, което иска да обработва лични данни и да създаде регистър за тях, уведомява предварително комисията, като подава за това заявление и документи по образец, утвърден от комисията.
(2) В случаите по чл. 3, ал. 3 държавният орган, който е определен за администратор на лични данни, уведомява комисията в 10-дневен срок след създаването му.
(3) Всеки администратор на лични данни уведомява комисията и преди предприемането на каквато и да е операция по цялостното или частичното автоматично обработване на събраните лични данни, различно
от заявеното, както и при прехвърлянето на лични данни към друг администратор или към трето лице.
(4) В случаите по ал. 3 комисията може да вземе решение за предварителна проверка на администратора или да даде задължителни предписания с оглед защита на обработваните или прехвърляните лични данни.
Чл. 43. (1) Комисията може да извърши предварителна проверка в 7-дневен срок от уведомяването и да даде предварителни предписания относно условията за обработване на личните данни и водене на регистър от лицето по чл. 42, ал. 1 и за гарантиране спазването на този закон.
(2) Комисията не извършва предварителна проверка при водене на регистри:
Предложение на Благовест Сендов (вх. № 154-04-49/ 21.11.2001 год.):
В чл. 43. ал. 2, думите: "водене на масиви" да се заменят с думите: "създаване на масиви".
1. с лични данни за лицата, работещи по трудово или по служебно правоотношение за администратора на лични данни;
2. за статистически или научни цели;
3. предвидени в нормативен акт, които са публични.
(3) В 14-дневен срок от уведомяването комисията взема решение:
1. да регистрира лицето по ал. 1 като администратор на лични данни и да впише в своя регистър данните по чл. 42, ал. 3, ако са изпълнени изискванията на този закон за събиране и обработване на лични данни;
2. за отказ за регистриране, който се мотивира на основание, по този
закон.
(4) Отказът на комисията по ал. 3, т. 2 или непроизнасянето й в срок подлежи на обжалване пред ВАС в 14-дневен срок.
ГЛАВА ПЕТА
АДМИНИСТРАТИВНОНАКАЗАТЕЛНИ РАЗПОРЕДБИ
Становище на КВСОР:
Комисията предлага думата "ПЕТА" да се замени с думата "ОСМА"
Чл. 44. (1) Наказва се с глоба от 50 до 200 лв., ако не подлежи на по- тежко наказание, длъжностно лице, което без уважителна причина не се произнесе в срок по заявление за достъп до лични данни.
(2) Наказва се с глоба от 100 до 300 лв., ако не подлежи на по-тежко наказание, длъжностно лице, което не изпълни предписание на Комисията за защита на лични данни или на съда и не предостави достъп до исканите лични данни.
(3) За всички други нарушения по този закон виновните длъжностни лица се наказват с глоба от 50 до 300 лв., ако не подлежат на по-тежко наказание.
(4) В случаите по ал. 1, 2 и 3 администраторите на лични данни - физически лица, се наказват с глоба от 500 до 2000 лв., а на администраторите - юридически лица, се налага имуществена санкция от 1000 до 1500 лв.
(5) Наказва се с глоба от 300 до 1000 лв. всяко лице, което обработва лични данни без регистрация по този закон.
(6) В случаите на повторно нарушение по ал. 1-5 наказанията са в двоен размер на вече наложените глоби или имуществени санкции.
Становище на КВСОР:
Комисията предлага да се създаде нова ал. 7 на чл. 44, чл.44 от законопроекта да стане чл. 42 със следната редакция:
"Чл. 42. (1) Длъжностно лице, което без уважителна причина не се произнесе в срок по заявление за достъп до лични данни, се наказва с глоба от 50 до 200 лв., ако не подлежи на по-тежко наказание
(2) Длъжностно лице, което не изпълни предписание на Комисията за защита на лични данни или на съда и не предостави достъп до исканите лични данни се наказва се с глоба от 100 до 300 лв., ако не подлежи на по-тежко наказание,
(3) За всички други нарушения по този закон виновните длъжностни лица се наказват с глоба от 50 до 300 лева, когато са извършени от физически лица , а на юридически лица и еднолични търговци , се налага имуществена санкция от 500 до 1000 лева. Когато нарушението е извършено повторно, глобата, съответно имуществената санкция е в двоен размер.
(4) В случаите на извършени нарушения по ал. 1, 2 и 3 администраторите на лични данни - физически лица, се наказват с глоба от 500 до 2000 лв., а на администраторите - юридически лица, се налага имуществена санкция от 1000 до 1500 лв. Когато нарушението е извършено повторно, глобата, съответно санкцията е в двоен размер.
(5) Физическо лице, което обработва лични данни без да е регистрирано по този закон , се наказва се с глоба от 300 до 1000 лв. За същото нарушение, когато е извършено от юридическо лице или едноличен търговец, се налага имуществена санкция от 1000 до 3000 лева. Когато нарушението е извършено повторно, глобата, съответно санкцията е в двоен размер.
(6) Администратор на лични данни, който извърши нарушение по чл.22 ал.3 от този закон, се наказва с глоба от 500 до 1000 лева, когато нарушението е извършено от физическо лице. За същото нарушение, когато е извършено от юридическо лице или едноличен търговец, се налага имуществена санкция от 1000 до 3000 лева. Когато нарушението
е извършено повторно, се налага глоба, съответно имуществена санкция в двоен размер.
(7)Администратор на лични данни, който извърши нарушение по чл.23 ал.1 и 2 от този закон, се наказва с глоба от 1000 Оо 1500 лева, когато нарушението е извършено от физическо лице. За същото нарушение, когато е извършено то юридическо лице или едноличен търговец, се налага имуществена санкция от 1500 до 5000 лева. Когато нарушението е извършено повторно, се налага глоба, съответно имуществена санкция в двоен размер."
Чл. 45. Наказателните постановления се издават от председателя на Комисията за защита на личните данни въз основа на съставени актове от специално упълномощени длъжностни лица от нейната администрация.
Становище на КВСОР:
Комисията предлага чл. 45 от законопроекта да стане чл. 43 със следната редакция:
"Чл. 43. (1) Актовете за установяване на административните нарушения се съставян от член на Комисията за защита на личните данни, или от упълномощени от комисията длъжностни лица от администрацията.
(2) Наказателните постановления се издават от Председателя на Комисията за защита на личните данни."
Чл. 46. Установяването на нарушенията, издаването, обжалването и изпълнението на наказателните постановления се извършват по реда на Закона за административните нарушения и наказания.
Становище на КВСОР:
Комисията приема текста на вносителя за чл. 46 от законопроекта като предлага да стане чл. 44.
ДОПЪЛНИТЕЛНА РАЗПОРЕДБА
Становище на КВСОР:
Приема заглавието, предложено от вносителя.
§ 1. По смисъла на този закон:
Предложение на Благовест Сендов (вх. № 154-04-49/ 21.11.2001 год.):
§ 1, точка 1. Да се създаде нова точка 1.: § 1. т. 1. "Лични данни" са информация за физическо лице, която разкрива неговата физическа, психологическа, умствена, икономическа, културна или обществена идентичност."
Комисията не приема предложението.
1. "Обработване на лични данни" е всяка операция или набор от операции, извършвани или не с електронни или други автоматични средства, които съдържат събиране, запис, организиране, складиране, адаптиране или промяна, актуализиране, изваждане, консултиране, употреба, комбиниране, блокиране, разкриване, разпространяване или осигуряване на други възможности за предоставяне на достъп, съхраняване, изтриване или унищожаване на данните.
Предложение на Благовест Сендов (вх. № 154-04-49/ 21.11.2001 год.):
§ 1, точка 1 да стане точка 2, със следното ново съдържание: т. 2. "Обработване на лични данни" е всяка трансформация на информация съдържаща се в масив отлични данни.
Комисията не приема предложението.
2. "Субект на данни" е всяко физическо лице, за което се обработват лични данни.
Предложение на Благовест Сендов (вх. № 154-04-49/ 21.11.2001 год.):
§1, точка 2 става точка 3, със следното ново съдържание: т. 3, "Субект на данни" е физическото лице за което тези данни се отнасят.
Комисията не приема предложението.
3. "Регистър за лични данни" е документален, картотечен или автоматизиран информационен фонд, структуриран според няколко специфични критерии, подходящи за улесняване на тяхната обработка, съставени от един или няколко елемента на едно или няколко физически места.
Предложение на Благовест Сендов (вх. № 154-04-49/ 21.11.2001 год.):
§1, точка 3 става точка 4, със следното ново съдържание: т. 4. "Масив от лични данни" е организирана по определен начин информация състояща се от лични данни.
Комисията не приема предложението.
4. "Обработващ лични данни" е физическо или юридическо лице, което обработва лични данни под ръководството на администратора на лични данни въз основа на сключен с него договор или заповед за назначаване.
5. "Оператор на лични данни" е физическо лице, действащо под ръководството и контрола на администратора или на обработващия лични данни, което има достъп до тях, на основание на писмен договор или заповед за назначаване за обработването им съобразно инструкция на администратора на лични данни за реда и начините на обработването им.
6. "Предоставяне на лични данни" са действия по цялостно или частично пренасяне на данни от един администратор към друг на територията на страната или извън нея, както и актът на изнасяне на лични данни на един или повече определени субекти, различни от субекта на данните, по всякакъв начин, в това число предоставяне на данните или техен преглед.
7. "Анонимни данни" са всякакви данни, които не могат да се отнесат към идентифициран или идентифицируем субект поради произхода си или специфичната обработка.
8. "Блокиране" е складирането на лични данни с временно прекратяване на обработката им.
Предложение на Благовест Сендов (вх. № 154-04-49/ 21.11.2001год.):
§ 1, точка 8 става точка 9, със следното ново съдържание: т. 9. "Блокиране" е временно прекратяване на достъпа.
Комисията не приема предложението.
9. "Длъжностно лице" е всяко лице, което е овластено от администратора да поддържа регистър с лични данни, да организира дейността във връзка с него и да носи отговорност за това, както и самият администратор на лични данни в случаите, когато е физическо лице.
10. “Повторно" е нарушението, което е извършено в едногодишен срок от влизането в сила на наказателното постановление, с което е наложено наказание за същия вид нарушение.
Становище на КВСОР:
Комисията предлага § 1 да добие следната редакция:
"§ 1. По смисъла на този закон:
1. "Обработване на лични данни" е всяка операция или набор от операции, извършвани или не с електронни или други автоматични средства, които съдържат събиране, запис, организиране, складиране, адаптиране или промяна, актуализиране, изваждане, консултиране, употреба, комбиниране, блокиране, разкриване, разпространяване или осигуряване на други възможности за предоставяне на достъп, съхраняване, изтриване или унищожаване на данните.
2. "Регистър за лични данни" е документален, картотечен или автоматизиран информационен фонд, структуриран според няколко специфични критерии, подходящи за улесняване на тяхната обработка,съставени от един или няколко елемента на едно или няколко физически места.
3. "Обработващ лични данни" е физическо или юридическо лице, което обработва лични данни под ръководството на администратора на лични данни въз основа на сключен с него договор или заповед за назначаване.
4. "Оператор на лични данни" е физическо лице, действащо под ръководството и контрола на администратора или на обработващия лични данни, което има достъп до тях, на основание на писмен договор или заповед за назначаване за обработването им съобразно инструкция на администратора на лични данни за реда и начините на обработването им.
5. "Предоставяне на лични данни" са действия по цялостно или частично пренасяне на лични данни от един администратор към друг или към трето лице на територията на страната или извън нея.
6. "Анонимни данни" са данни, които не могат да се отнесат към определено или определяемо физическо лице поради произхода си или специфичната си обработка.
7. "Блокиране" е складирането на лични данни с временно прекратяване на обработката им.
8. "Длъжностно лице" е всяко физическо лице, което е овластено от администратора да поддържа регистър с лични данни, да организира дейността във връзка с него и да носи отговорност за това, както и самият администратор на лични данни в случаите, когато е физическо лице.
9. "Повторно" е нарушението, което е извършено в едногодишен срок от влизането в сила на наказателното постановление, с което е наложено наказание за същия вид нарушение."
ПРЕХОДНИ И ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ
Становище на КВСОР:
Приема заглавието, предложено от вносителя.
§ 2. (1) В срок 1 месец от влизането в сила на закона Министерският съвет предлага на Народното събрание състава на Комисията за защита на личните данни. При първото назначаване на комисията председателят и един от членовете се назначават за 5 години, трима членове - за 3 години, като съответните мандати се определят в решението на Народното събрание.
(2) В 3-месечен срок от влизането в сила на решението на Народното събрание по ал. 1 Комисията за защита на личните данни:
1. приема и обнародва в "Държавен вестник" правилника по чл. 36,
ал. 2;
2. предлага на Министерския съвет да приеме правилника по чл. 37, ал. 2 и наредбата по чл. 41, ал. 4.
(3) Министерският съвет:
1. в едномесечен срок от влизането в сила на решението на Народното събрание по ал. 1 осигурява необходимото имущество и финансови ресурси за започване на нейната работа;
2. в 6-месечен срок от влизането в сила на закона организира подготовката на проекти на закони във връзка с чл. 1, ал. 4.
Становище на КВСОР:
Комисията предлага § 2 да добие следната редакция:
"§ 2. (1) В срок 1 месец от влизането в сила на този закон Министерският съвет предлага на Народното събрание състава на Комисията за защита на личните данни.
(2) В 14-дневен срок от внасяне на предложението по ал. 1 Народното събрание избира състава на Комисията за защита на личните данни.
(3) В 3-месечен срок от избирането и , Комисията за защита на личните данни приема и обнародва в Държавен вестник правилника по чл.9 ал. 2.
(4) Министерският съвет в едномесечен срок от влизането в сила на решението на Народното събрание по ал. 2 осигурява необходимото имущество и финансови ресурси за започване работа на комисията."
§ 3. (1) В 6-месечен срок от влизането в сила на правилника по чл. 37, ал. 2 лицата, които към момента на влизане в сила на закона поддържат регистри с лични данни, ги привеждат в съответствие с изискванията на този закон и уведомяват за това комисията.
(2) Комисията извършва предварителни проверки, регистрира или отказва да регистрира като администратори лица, които поддържат регистри към момента на влизане в сила на закона, както и водените от тях регистри в 3-месечен срок от получаването на заявлението по ал. 1.
(3) Решенията на комисията за отказ на регистрация подлежат на обжалване пред ВАС в 14-дневен срок.
(4) С влизането в сила на решението на комисията за отказ на регистрация или на решението на ВАС, с което се потвърждава отказът на комисията, лицето, което неправомерно води регистър, е длъжно да унищожи лични данни, съдържащи се в регистъра му, или със съгласието на комисията да ги прехвърли на друг администратор, който е регистрирал своя регистър и обработва лични данни за същите цели.
(5) Комисията осъществява контрол върху изпълнението на задължението по ал. 4.
(6) В 3-месечен срок от регистрацията администраторът е длъжен да публикува в бюлетина на Комисията за защита на личните данни сведенията по чл. 11, ал. 1.
Становище на КВСОР:
Комисията приема текста на вносителя и предлага следната подобрена редакция.
"(1) В 6-месечен срок от влизането в сила на правилника по чл. 9, ал. 2 лицата, които към момента на влизане в сила на закона поддържат регистри с лични данни, ги привеждат в съответствие с изискванията на този закон и уведомяват за това комисията.
(2) Комисията извършва предварителни проверки, регистрира или отказва да регистрира като администратори лица, които поддържат регистри към момента на влизане в сила на закона, както и водените от тях регистри в 3-месечен срок от получаването на заявлението по ал. 1.
(3) Решенията на комисията за отказ на регистрация подлежат на обжалване пред ВАС в 14-дневен срок.
(4) С влизането в сила на решението на комисията за отказ на регистрация или на решението на ВАС, с което се потвърждава отказът на комисията, лицето, което неправомерно води регистър, е длъжно да унищожи лични данни, съдържащи се в регистъра му, или със съгласието на комисията да ги прехвърли на друг администратор, който е регистрирал своя регистър и обработва лични данни за същите цели.
(5) Комисията осъществява контрол върху изпълнението на задължението по ал. 4.
(6) В 3-месечен срок от регистрацията администраторът по чл. 3, ал. 1 е длъжен да публикува в бюлетина на Комисията за защита на личните данни сведенията по чл. 22, ал. 1."
§ 4. В Закона за достъп до обществена информация се правят следните изменения:
1. В чл. 2, ал. 3 думите "лична информация" се заменят с "лични данни".
2. В § 1 т. 2 се изменя така:
"2. "Лични данни" са всякаква информация, независимо от нейната форма и начин на записване, отнасяща се до определен субект на данни, чиято самоличност може да се установи пряко или косвено, и разкриваща неговата физическа, психологическа, умствена, икономическа, културна или обществена идентичност, както и информацията за физически лица по повод на участието им в неперсонифицирани групи от физически лица или в органите за управление, контрол и надзор на юридическите лица, както и при изпълняването на функции на държавни органи, за които редът за защита, обработване и достъп са определени в закон."
Предложение на Благовест Сендов (вх. № 154-04-49/ 21.11.2001 год.):
§ 4, точка 2 се изменя така: т. 2. "Лични данни" са информация за физическо лице, която разкрива неговата физическа, психологическа, умствена, икономическа, културна или обществена идентичност."
Становище на КВСОР:
Комисията приема предложението на г-н Сендов и предлага § 4 да добие следната редакция:
"§ 4. В Закона за достъп до обществена информация (обнародван в ДВ бр. 55 от 07.07. 2000 г.) се правят следните изменения:
1. В чл. 2, ал. 3 думите "лична информация " се заменят с "лични данни".
2. В § 1 т. 2 се изменя така:
"2. "Лични данни" са информация за физическо лице, която разкрива неговата физическа, психологическа, умствена, семейна, икономическа, културна или обществена идентичност."
§ 5. Законът влиза в сила от 2001 г.
Становище на КВСОР:
Комисията предлага § 5 да добие следната редакция:
"§ 5. Законът влиза в сила от 1 януари 2002 г."