Чл. 143п1. (Нов - ДВ, бр. 100 от 2022 г., в сила от 01.01.2023 г.) (1) Обменът на информация за данъчни цели се извършва в съответствие с Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (ОВ, L 119/1 от 4 май 2016 г.), наричан по-нататък "Регламент (ЕС) 2016/679", и при спазване на другите изисквания за защита на личните данни.

(2) За целите на обмена на информация администратори на лични данни са изпълнителният директор на Националната агенция за приходите, предоставящите информация финансови институции по § 1а, т. 1 от допълнителните разпоредби, консултантите по чл. 143я1 и операторите на платформи по чл. 143я6, когато самостоятелно или съвместно определят целите и средствата на обработването на лични данни по смисъла на Регламент (ЕС) 2016/679.

(3) Обменът на информация за данъчни цели представлява важен обществен интерес по смисъла на чл. 23, параграф 1, буква "д" от Регламент (ЕС) 2016/679. За целите на изречение първо изпълнителният директор на Националната агенция за приходите може да не предоставя информацията по чл. 13 и чл. 14, параграф 1 и да не предоставя достъп по чл. 15 от Регламент (ЕС) 2016/679 на лицата, за които се отнасят личните данни, предмет на обмена, когато това е необходимо и пропорционално за защита на финансовия, съответно данъчния интерес на Европейския съюз и държавите членки.

(4) Предоставящите информация финансови институции по § 1а, т. 1 от допълнителните разпоредби, консултантите по чл. 143я1 и операторите на платформи по чл. 143я6:

1. информират засегнатите физически лица за събирането и предоставянето на техни лични данни за целите на обмена на информация за данъчни цели;

2. предоставят на засегнатите физически лица предварително и своевременно информацията, която тези лица имат право да получат от администратора на лични данни, за да могат да упражнят своите права по защита на личните данни.

(5) Информация, която се обработва за целите на обмена, се съхранява от лицата по ал. 2 за срок от 10 години, считано от началото на годината, следваща годината на предоставянето ѝ, освен ако за същата информация не е предвиден по-дълъг срок за съхранение.

(6) Изпълнителният директор на Националната агенция за приходите уведомява Европейската комисия за всяко нарушение на сигурността на данните и за последващите действия за отстраняване на последиците от него.

(7) При възникнало нарушение на сигурността на данните по ал. 6 изпълнителният директор на Националната агенция за приходите извършва анализ на нарушението и предприема мерки за ограничаването му и за отстраняване на последиците от него. Когато нарушението на сигурността на данните не може да бъде ограничено незабавно и по подходящ начин, изпълнителният директор на Националната агенция за приходите уведомява писмено Европейската комисия за това и иска спиране на достъпа до мрежата CCN.

(8) След справяне с нарушението изпълнителният директор на Националната агенция за приходите уведомява Европейската комисия за това с искане за възстановяване на достъпа до мрежата CCN. В случай че една или повече държави членки поискат от Европейската комисия съвместно да бъдат проверени предприетите действия във връзка с нарушението на сигурността на данните, изпълнителният директор на Националната агенция за приходите осигурява необходимото съдействие.

(9) Когато изпълнителният директор на Националната агенция за приходите е уведомен от Европейската комисия за нарушение на сигурността на данните в друга държава членка, той може да спре обмена на информация с тази държава членка, като уведоми Европейската комисия и съответната държава членка. Спирането има незабавно действие.

(10) При нарушение на сигурността на данните в друга държава членка, в резултат на което е спрян достъпът ѝ до мрежата CCN, изпълнителният директор на Националната агенция за приходите може да поиска от Европейската комисия съвместно с други държави членки да бъдат проверени предприетите действия за справяне с нарушението, когато тази държава е подала искане за възстановяване на достъпа.