Лични данни

Нормативен текст

Чл. 1. (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 17 от 2019 г.) (1) Този закон урежда обществените отношения, свързани със защитата на правата на физическите лица при обработване на личните им данни, доколкото същите не са уредени в Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (ОВ, L 119/1 от 4 май 2016 г.), наричан по-нататък "Регламент (ЕС) 2016/679".

(2) С този закон се определят и правила във връзка със защитата на физическите лица при обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществения ред и сигурност и тяхното предотвратяване.

(3) Целта на закона е да осигури защита на физическите лица във връзка с обработването на лични данни в съответствие с Регламент (ЕС) 2016/679, както и във връзка с обработването на лични данни от компетентните органи за целите по ал. 2.

(4) Този закон урежда и:

1. статута на Комисията за защита на личните данни като надзорен орган, отговорен за защита на основните права и свободи на физическите лица във връзка с обработването и улесняването на свободното движение на лични данни в Европейския съюз;

2. правомощията на Инспектората към Висшия съдебен съвет при осъществяването на надзор при обработването на лични данни в случаите по чл. 17;

3. средствата за правна защита;

4. акредитирането и сертифицирането в областта на защитата на личните данни;

5. особени случаи на обработване на лични данни.

(5) Този закон не се прилага за обработването на лични данни за целите на отбраната на страната и националната сигурност, доколкото в специален закон не е предвидено друго.

(6) Този закон не се прилага за обработването на лични данни на починали лица, освен в случаите по чл. 25е.

(7) При обработването на лични данни по чл. 2 от Регламент (ЕС) 2016/679 държавите, които са страни по Споразумението за Европейското икономическо пространство, и Конфедерация Швейцария са равнопоставени на държавите - членки на Европейския съюз. Всички други държави са трети държави.

(8) При обработването на лични данни за целите по чл. 42, ал. 1 държавите, участващи в изпълнението, прилагането и развитието на достиженията на правото от Шенген, са равнопоставени на държавите - членки на Европейския съюз. Всички други държави са трети държави.

Чл. 2. (Доп. - ДВ, бр. 70 от 2004 г., в сила от 01.01.2005 г., изм. - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 17 от 2019 г.)

Чл. 3. (Отм. - ДВ, бр. 17 от 2019 г.)

Чл. 4. (Изм. - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 17 от 2019 г.)

Чл. 5. (Изм. - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 17 от 2019 г.)

Чл. 6. (1) (Изм. - ДВ, бр. 17 от 2019 г.) Комисията за защита на личните данни, наричана по-нататък "комисията", е постоянно действащ независим надзорен орган, който осъществява защитата на лицата при обработването на техните лични данни и при осъществяването на достъпа до тези данни, както и контрола по спазването на Регламент (ЕС) 2016/679 и на този закон.

(2) (Нова - ДВ, бр. 94 от 2010 г.) Комисията съдейства за провеждането на държавната политика в областта на защита на личните данни.

(3) (Доп. - ДВ, бр. 91 от 2006 г., в сила от 01.01.2007 г., предишна ал. 2 - ДВ, бр. 94 от 2010 г., изм. - ДВ, бр. 15 от 2013 г., в сила от 01.01.2014 г., изм. - ДВ, бр. 17 от 2019 г.) Комисията е юридическо лице на бюджетна издръжка със седалище София, а нейният председател е първостепенен разпоредител с бюджет.

Чл. 7. (1) Комисията е колегиален орган и се състои от председател и 4 членове.

(2) (Изм. - ДВ, бр. 91 от 2006 г., доп. - ДВ, бр. 17 от 2019 г.) Членовете на комисията и председателят ѝ се избират от Народното събрание по предложение на Министерския съвет за срок 5 години и могат да бъдат преизбирани за още един мандат. Председателят и членовете на комисията изпълняват функциите си и след изтичането на мандата им до избора на новите председател и членове.

(3) Председателят и членовете на комисията осъществяват своята дейност по трудово правоотношение.

(4) (Нова - ДВ, бр. 91 от 2006 г., доп. - ДВ, бр. 11 от 2023 г., в сила от 04.05.2023 г.) Членовете на комисията получават основно месечно възнаграждение, равно на 2,5 средномесечни работни заплати на наетите лица по трудово и служебно правоотношение в обществения сектор съобразно данни на Националния статистически институт, завишени с 20 на сто. Основното месечно възнаграждение се преизчислява всяко тримесечие, като се взема предвид средномесечната работна заплата за последния месец от предходното тримесечие.

(5) (Нова - ДВ, бр. 91 от 2006 г.) Председателят на комисията получава месечно възнаграждение с 30 на сто по-високо от основното месечно възнаграждение по ал. 4.

(6) (Изм. - ДВ, бр. 103 от 2005 г., предишна ал. 4 - ДВ, бр. 91 от 2006 г., изм. - ДВ, бр. 17 от 2019 г.) Комисията до 31 март всяка година представя годишен отчет за своята дейност пред Народното събрание.

Чл. 8. (1) За членове на комисията могат да бъдат избирани български граждани, които:

1. имат висше образование по информатика, по право или са магистри по информационни технологии;

2. имат трудов стаж по специалността си не по-малко от 10 години;

3. (доп. - ДВ, бр. 103 от 2005 г.) не са осъждани на лишаване от свобода за умишлени престъпления от общ характер, независимо дали са реабилитирани;

(2) Членове на комисията не могат:

1. (изм. - ДВ, бр. 103 от 2005 г.) да бъдат лица, които са еднолични търговци, управители/прокуристи или членове на управителни или на контролни органи на търговски дружества, кооперации или администратори на лични данни по смисъла на този закон;

2. да заемат друга платена длъжност, освен когато упражняват научна или преподавателска дейност;

3. (нова - ДВ, бр. 42 от 2009 г.) да бъдат лица, които са съпрузи или се намират във фактическо съжителство, роднини по права линия, по съребрена линия - до четвърта степен включително, или по сватовство - до втора степен включително, с друг член на комисията.

(3) За председател на комисията се избира правоспособен юрист, който отговаря на изискванията по ал. 1 и 2.

(4) Мандатът на председателя или член на комисията се прекратява предсрочно:

1. при смърт или поставяне под запрещение;

2. по решение на Народното събрание, когато:

а) е подал молба за освобождаване;

б) е извършил грубо нарушение на този закон;

в) е извършил умишлено престъпление от общ характер, за което има влязла в сила присъда;

г) е налице невъзможност да изпълнява задълженията си за срок по-дълъг от шест месеца;

д) (нова - ДВ, бр. 42 от 2009 г., изм. - ДВ, бр. 97 от 2010 г., в сила от 10.12.2010 г., изм. - ДВ, бр. 7 от 2018 г., изм. - ДВ, бр. 84 от 2023 г., в сила от 06.10.2023 г.) е налице влязъл в сила акт, с който е установен конфликт на интереси по Закона за противодействие на корупцията.

(5) (Изм. и доп. - ДВ, бр. 103 от 2005 г.) В случаите по ал. 4 Министерският съвет предлага на Народното събрание да избере нов член за срок до края на първоначалния мандат на съответния член на комисията.

(6) Времето, през което лицето е работило като председател или член на комисията, се признава и за служебен стаж по Закона за държавния служител.

(7) (Нова - ДВ, бр. 103 от 2017 г., в сила от 01.01.2018 г.) Обстоятелствата по ал. 1, т. 3 се установяват служебно от органа, който прави предложението.

Чл. 9. (1) (Изм. - ДВ, бр. 17 от 2019 г.) При осъществяването на своята дейност комисията се подпомага от администрация.

(2) (Изм. - ДВ, бр. 17 от 2019 г.) Комисията урежда в правилник своята дейност, дейността на администрацията си и реда за разглеждане на производствата пред нея и го обнародва в "Държавен вестник".

(3) Решенията на комисията се вземат с мнозинство от общия брой на членовете ѝ.

(4) Заседанията на комисията са открити. Комисията може да реши отделни заседания да бъдат закрити.

(5) (Нова - ДВ, бр. 11 от 2023 г., в сила от 04.05.2023 г.) Заседанията на комисията, на които се вземат решения в изпълнение на Закона за защита на лицата, подаващи сигнали или публично оповестяващи информация за нарушения, са закрити.

Чл. 10. (1) (Нова - ДВ, бр. 17 от 2019 г.) Комисията изпълнява задачите по чл. 57 от Регламент (ЕС) 2016/679.

(2) (Отм., предишна ал. 1, изм. - ДВ, бр. 17 от 2019 г.) Освен задачите по ал. 1, комисията:

1. анализира и осъществява цялостен надзор и осигурява спазването на Регламент (ЕС) 2016/679, на този закон и на нормативните актове в областта на защитата на лични данни, освен в случаите по чл. 17;

2. издава подзаконови нормативни актове в областта на защитата на личните данни;

3. осигурява прилагането на решенията на Европейската комисия в областта на защитата на личните данни и изпълнението на задължителните решения на Европейския комитет по защита на данните по чл. 65 от Регламент (ЕС) 2016/679;

4. участва в международното сътрудничество с други органи по защита на личните данни и международните организации по въпросите в областта на защитата на личните данни;

5. участва в преговорите и сключването на двустранни или многостранни споразумения по въпроси от своята компетентност;

6. организира, координира и провежда обучение в областта на защитата на личните данни;

7. издава общи и нормативни административни актове, свързани с правомощията ѝ, в случаите, предвидени в закон.

(3) (Доп. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г.) Комисията издава бюлетин, в който публикува информация за своята дейност и за взетите решения. В бюлетина се публикува и отчетът по чл. 7, ал. 6.

(4) (Нова - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г., отм. - ДВ, бр. 17 от 2019 г.)

Чл. 10а. (Нов - ДВ, бр. 17 от 2019 г.) (1) Комисията упражнява правомощията по чл. 58 от Регламент (ЕС) 2016/679.

(2) Комисията има и следните правомощия:

1. сезира съда за нарушаване на Регламент (ЕС) 2016/679;

2. дава указания, издава насоки, препоръки и най-добри практики във връзка със защитата на личните данни.

Чл. 10б. (Нов - ДВ, бр. 17 от 2019 г., изм. - ДВ, бр. 11 от 2023 г., в сила от 04.05.2023 г.) (1) Комисията изпълнява функциите на централен орган за външно подаване на сигнали по смисъла на Закона за защита на лицата, подаващи сигнали или публично оповестяващи информация за нарушения.

(2) На комисията може да се възлагат други задачи и правомощия само със закон.

Чл. 10в. (Нов - ДВ, бр. 17 от 2019 г.) (1) Комисията участва в механизма за съгласуваност по чл. 63 от Регламент (ЕС) 2016/679 и осъществява сътрудничество с водещия или със засегнатите надзорни органи на държавите - членки на Европейския съюз, включително като обменя информация, предоставя или иска взаимопомощ или участва в съвместни операции съгласно Регламент (ЕС) 2016/679.

(2) Формите на участие в механизма за съгласуваност, предоставянето и искането на взаимопомощ и участието в съвместни операции, както и процедурите, по които те се осъществяват, се определят с правилника по чл. 9, ал. 2.

Чл. 10г. (Нов - ДВ, бр. 17 от 2019 г.) При упражняване на задачите и правомощията си по отношение на администратори или обработващи лични данни, които са микропредприятия, малки и средни предприятия по смисъла на чл. 3 от Закона за малките и средните предприятия, комисията взема предвид техните специални потребности и налични ресурси.

Чл. 11. Председателят на комисията:

1. организира и ръководи дейността на комисията съобразно закона и решенията на комисията и отговаря за изпълнението на задълженията ѝ;

2. представлява комисията пред трети лица;

3. (доп. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 81 от 2011 г.) назначава и освобождава държавните служители и сключва и прекратява трудовите договори на служителите по трудови правоотношения от администрацията.

4. (нова - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 17 от 2019 г.) издава наказателни постановления по чл. 87, ал. 3.

Чл. 12. (Изм. - ДВ, бр. 91 от 2006 г.) (1) (Изм. - ДВ, бр. 17 от 2019 г.) Председателят и членовете на комисията или упълномощени от нея лица от администрацията ѝ осъществяват контрол чрез предварителни консултации, проверки и съвместни операции за спазване на Регламент (ЕС) 2016/679 и на този закон.

(2) (Изм. - ДВ, бр. 17 от 2019 г.) Освен в случаите по чл. 36, параграф 1 от Регламент (ЕС) 2016/679 предварителни консултации се извършват и когато се обработват лични данни в изпълнение на задача в обществен интерес, включително обработване във връзка със социалната закрила и общественото здраве. В този случай комисията може да разреши обработването преди изтичането на срока по чл. 36, параграф 2 от Регламент (ЕС) 2016/679.

(3) (Изм. - ДВ, бр. 17 от 2019 г.) Предварителните консултации се извършват съгласно чл. 36, параграфи 2 и 3 от Регламент (ЕС) 2016/679.

(4) (Изм. - ДВ, бр. 17 от 2019 г.) Проверки се извършват по инициатива на комисията, по жалба на заинтересовани лица или след подаден сигнал.

(5) Проверяващите лица се легитимират със служебна карта и заповед на председателя на комисията за съответната проверка.

(6) При извършване на проверки лицата по ал. 1 могат да възлагат изготвяне на експертизи по реда на Гражданския процесуален кодекс.

(7) Проверката завършва с констативен акт.

(8) (Изм. - ДВ, бр. 17 от 2019 г.) Когато в хода на проверката се установи административно нарушение, се образува административнонаказателно производство.

(9) (Нова - ДВ, бр. 17 от 2019 г.) Независимо от административното наказание, при установяване на административно нарушение може да се приложи принудителна административна мярка по глава девета.

(10) (Предишна ал. 9 - ДВ, бр. 17 от 2019 г.) Условията и редът за осъществяване на контрол се определят с инструкция на комисията.

(11) (Нова - ДВ, бр. 17 от 2019 г.) Съвместни операции с надзорни органи на други държави - членки на Европейския съюз, съгласно чл. 62 от Регламент (ЕС) 2016/679 се извършват по целесъобразност за съвместни разследвания и съвместни мерки за изпълнение и в тях участват освен лицата по ал. 1 и членове или упълномощени представители от надзорния орган на съответната държава - членка на Европейския съюз.

Чл. 12а. (Нов - ДВ, бр. 17 от 2019 г.) (1) При поискване администраторът и обработващият лични данни оказват съдействие на комисията при изпълнение на нейните задачи и правомощия.

(2) Когато при упражняването на правомощията на комисията по чл. 58, параграф 1, букви "д" и "е" от Регламент (ЕС) 2016/679 може да се наруши задължение на администратора или обработващия лични данни за опазване на професионална тайна или друго задължение за опазване на тайна, произтичащо от закон, администраторът или обработващият лични данни отказва предоставяне или достъп само до информацията, защитена като тайна.

(3) Когато информацията съдържа данни, представляващи класифицирана информация, се прилага редът за достъп по Закона за защита на класифицираната информация.

Чл. 13. (Изм. - ДВ, бр. 103 от 2005 г.) (1) Председателят и членовете на комисията и служителите от нейната администрация са длъжни да не разгласяват и да не се възползват за свое или чуждо облагодетелстване от информацията, представляваща защитена от закон тайна, която им е станала известна при осъществяване на тяхната дейност, до изтичане на срока за защитата ѝ.

(2) При постъпване на работа лицата по ал. 1 подават декларация за задълженията си по ал. 1.

(3) (Нова - ДВ, бр. 17 от 2019 г.) Председателят, членовете на комисията и служителите от администрацията, назначени по трудово правоотношение, имат право ежегодно на представително облекло на стойност до две минимални работни заплати, като средствата се осигуряват от бюджета на комисията. Индивидуалният размер на средствата се определя от председателя на комисията при условия и по ред, определени с правилника по чл. 9, ал. 2.

Чл. 14. (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 17 от 2019 г.) (1) Комисията извършва акредитация на сертифициращи органи в съответствие с Регламент (ЕС) 2016/679 въз основа на изисквания, определени от нея или от Европейския комитет по защита на данните.

(2) Акредитацията се издава съгласно чл. 43, параграф 2 от Регламент (ЕС) 2016/679 за срок 5 години и може да се поднови.

(3) Комисията отнема акредитацията на сертифициращ орган, когато не са спазени условията за акредитация или когато предприетите от сертифициращия орган действия нарушават този закон или Регламент (ЕС) 2016/679.

(4) Решенията на комисията за отнемане на акредитация по ал. 3 може да се обжалват по реда на Административнопроцесуалния кодекс.

(5) Условията, включително изискванията по ал. 1, и редът за акредитация и отнемане на акредитацията се определят с наредба, приета от комисията. Наредбата се обнародва в "Държавен вестник".

(6) Критериите, механизмите и процедурите за сертифициране, печати и маркировки се определят с наредба, приета от комисията. Наредбата се обнародва в "Държавен вестник".

Чл. 14а. (Нов - ДВ, бр. 17 от 2019 г.) (1) Комисията одобрява проекти на кодекси за поведение по сектори и области на дейност съгласно чл. 40 от Регламент (ЕС) 2016/679. Условията, редът и критериите за одобряване на кодексите за поведение се определят с правилника по чл. 9, ал. 2.

(2) Комисията извършва акредитация на органи за наблюдение на одобрени кодекси за поведение по ал. 1 в съответствие с чл. 41 от Регламент (ЕС) 2016/679.

(3) Изискванията за акредитация по ал. 2 и редът за акредитация и отнемане на акредитацията се определят с наредба, приета от комисията. Наредбата се обнародва в "Държавен вестник".

(4) Комисията отнема акредитацията на орган за наблюдение на одобрени кодекси за поведение, когато не са спазени изискванията за акредитация, или когато предприетите от органа действия нарушават този закон или Регламент (ЕС) 2016/679.

(5) Решенията на комисията за отнемане на акредитация по ал. 4 може да се обжалват по реда на Административнопроцесуалния кодекс.

Чл. 15. (Отм. - ДВ, бр. 103 от 2005 г., нов - ДВ, бр. 17 от 2019 г.) (1) Комисията води следните публични регистри:

1. регистър на администраторите и обработващите лични данни, които са определили длъжностни лица по защита на данните;

2. регистър на акредитираните по чл. 14 сертифициращи органи;

3. регистър на кодексите за поведение по чл. 40 от Регламент (ЕС) 2016/679.

(2) Комисията води следните регистри, които не са публични:

1. регистър на нарушенията на Регламент (ЕС) 2016/679 и на този закон, както и на предприетите мерки в съответствие с упражняването на правомощията по чл. 58, параграф 2 от Регламент (ЕС) 2016/679;

2. регистър на уведомленията за нарушения на сигурността на личните данни по чл. 33 от Регламент (ЕС) 2016/679 и по чл. 67.

(3) Редът за създаване и поддържане на регистрите по ал. 1 и 2 и достъпът до тях се определят съгласно Закона за електронното управление, а съдържанието им - с правилника по чл. 9, ал. 2.

Чл. 16. (Изм. - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 91 от 2006 г., нов - ДВ, бр. 17 от 2019 г.) (1) Условията и редът за провеждане на обучение по чл. 10, ал. 2, т. 6 се определят с правилника по чл. 9, ал. 2.

(2) Комисията издава сертификат на лицата, преминали обучение по ал. 1, след успешно положен изпит. Сертификатът се издава за срок три години. След изтичането на срока по изречение второ сертификат се подновява след успешно положен изпит при условия и по ред, определени с правилника по чл. 9, ал. 2.

(3) Наличието на сертификат по ал. 2 не може да бъде задължително условие за назначаване или изпълнение на функциите на длъжностно лице по защита на данните.

(4) За обучението по ал. 1 се събират такси, освен в случаите на обучение, организирано и проведено по инициатива на комисията. Таксите се определят с тарифа, одобрена от Министерския съвет по предложение на комисията.

Чл. 17. (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г., изм. - ДВ, бр. 17 от 2019 г.) (1) Инспекторатът към Висшия съдебен съвет, наричан по-нататък "инспектората", осъществява надзор и осигурява спазването на Регламент (ЕС) 2016/679, на този закон и на нормативните актове в областта на защитата на личните данни при обработване на лични данни от:

1. съда при изпълнение на функциите му на орган на съдебната власт, и

2. прокуратурата и следствените органи при изпълнение на функциите им на органи на съдебната власт за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания.

(2) Редът за осъществяване на дейността по ал. 1, включително за извършване на проверки и за разглеждане на производствата пред инспектората, се определя с правилника по чл. 55, ал. 8 от Закона за съдебната власт.

(3) При осъществяване на надзора по ал. 1 се прилага и чл. 12а.

Чл. 17а. (Нов - ДВ, бр. 91 от 2006 г., изм. - ДВ, бр. 17 от 2019 г.) (1) При осъществяване на надзора при обработване на лични данни от съда при изпълнение на функциите му на орган на съдебната власт, освен при обработване на лични данни за целите по чл. 42, ал. 1 инспекторатът:

1. изпълнява задачите по чл. 57, параграф 1, букви "а" - "и", "л", "ф" и "х" и параграфи 2 и 3 от Регламент (ЕС) 2016/679;

2. упражнява правомощията по чл. 58, параграф 1, букви "а", "б", "г", "д", "е", параграф 2, букви "а" - "ж", "и" и "й" и параграф 3, букви "а", "б" и "в" от Регламент (ЕС) 2016/679;

3. прилага съответно списъка, изготвен от комисията съгласно чл. 35, параграф 4 от Регламент (ЕС) 2016/679 във връзка с изискването за оценка на въздействието върху защитата на данните;

4. сезира съда за нарушаване на Регламент (ЕС) 2016/679.

(2) Освен задачите и правомощията по ал. 1 инспекторатът:

1. участва в международното сътрудничество с други органи по защита на личните данни и международните организации по въпросите в областта на защитата на личните данни;

2. дава указания, издава насоки, препоръки и най-добри практики във връзка със защитата на личните данни.

(3) При осъществяване на надзора при обработване на лични данни за целите по чл. 42, ал. 1 от съда, прокуратурата и следствените органи при изпълнение на функциите им на органи на съдебната власт инспекторатът изпълнява задачите и упражнява правомощията по глава осма.

Чл. 17б. (Нов - ДВ, бр. 91 от 2006 г., изм. - ДВ, бр. 17 от 2019 г.) (1) Инспекторатът извършва предварителни консултации:

1. в случаите по чл. 36, параграф 1 от Регламент (ЕС) 2016/679;

2. при обработване на лични данни в изпълнение на задача в обществен интерес; в този случай инспекторатът може да разреши обработването преди изтичането на срока по чл. 36, параграф 2 от Регламент (ЕС) 2016/679.

(2) Предварителните консултации се извършват съгласно чл. 36, параграфи 2 и 3 от Регламент (ЕС) 2016/679.

Чл. 18. (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 17 от 2019 г.) (1) При осъществяване на надзора по чл. 17, ал. 1 инспекторатът извършва проверки, предвидени в годишната му програма или по сигнали. За сигнал се приема и публикация в средствата за масово осведомяване.

(2) Проверката се извършва от главния инспектор или от инспектор, който се подпомага от експерти, въз основа на заповед на главния инспектор.

Чл. 19. (Доп. - ДВ, бр. 93 от 2004 г., изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 17 от 2019 г.) (1) Проверката приключва с акт за резултати, в който се отразяват направените констатации и при необходимост се правят препоръки.

(2) Когато при проверката бъде установено нарушение на Регламент (ЕС) 2016/679 и на този закон, в зависимост от характера и степента на нарушението се прилагат мерките по чл. 58, параграф 2, букви "а" - "ж" и "й" от Регламент (ЕС) 2016/679 или по чл. 80, ал. 1, т. 3, 4 и 5 и/или се налагат административни наказания в съответствие с чл. 83 от Регламент (ЕС) 2016/679, както и по глава девета.

(3) Мерките по чл. 58, параграф 2, букви "а" - "ж" и "й" от Регламент (ЕС) 2016/679 и по чл. 80, ал. 1, т. 3, 4 и 5 се прилагат с решение на инспектората по предложение на инспектора, извършил проверката.

Чл. 20. (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 17 от 2019 г.) Главният инспектор, инспекторите и съдебните служители в администрацията на инспектората са длъжни да не разгласяват и да не се възползват за свое или чуждо облагодетелстване от информацията, представляваща защитена от закон тайна, която им е станала известна при осъществяване на тяхната дейност по този закон, до изтичане на срока за защитата ѝ.

Чл. 21. (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 17 от 2019 г.) (1) Инспекторатът води следните регистри, които не са публични:

1. регистър на нарушенията на Регламент (ЕС) 2016/679 и на този закон, както и на предприетите мерки в съответствие с упражняването на правомощията по чл. 58, параграф 2, букви "а" - "ж", "и" и "й" от Регламент (ЕС) 2016/679;

2. регистър на уведомленията за нарушения на сигурността на личните данни по чл. 33 от Регламент (ЕС) 2016/679 и по чл. 67.

(2) Редът за създаване и поддържане на регистрите по ал. 1 и достъпът до тях се определят съгласно Закона за електронното управление, а съдържанието им - с правилника по чл. 55, ал. 8 от Закона за съдебната власт.

Чл. 22. (Изм. - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 17 от 2019 г.)

Чл. 22а. (Нов - ДВ, бр. 91 от 2006 г., отм. - ДВ, бр. 17 от 2019 г.)

Чл. 23. (Изм. - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 17 от 2019 г.)

Чл. 23а. (Нов - ДВ, бр. 81 от 2011 г., отм. - ДВ, бр. 17 от 2019 г.)

Чл. 23б. (Нов - ДВ, бр. 81 от 2011 г., отм. - ДВ, бр. 17 от 2019 г.)

Чл. 24. (Отм. - ДВ, бр. 17 от 2019 г.)

Чл. 25. (Отм. - ДВ, бр. 17 от 2019 г.)

Чл. 25а. (Нов - ДВ, бр. 17 от 2019 г.) Когато лични данни са предоставени от субекта на данни на администратор или обработващ лични данни без правно основание по чл. 6, параграф 1 от Регламент (ЕС) 2016/679 или в противоречие с принципите по чл. 5 от същия регламент, в срок един месец от узнаването администраторът или обработващият лични данни ги връща, а ако това е невъзможно или изисква несъразмерно големи усилия, ги изтрива или унищожава. Изтриването и унищожаването се документират.

Чл. 25б. (Нов - ДВ, бр. 17 от 2019 г.) Администраторът и обработващият лични данни уведомяват комисията за имената, единния граждански номер или личния номер на чужденец или друг аналогичен идентификатор, и за данните за контакт на длъжностното лице по защита на данните, както и за последващи промени в тях. Формата и съдържанието на уведомлението и редът за подаването му се определят с правилника по чл. 9, ал. 2.

Чл. 25в. (Нов - ДВ, бр. 17 от 2019 г.) Обработването на данни на субект на данни - лице, ненавършило 14 години, въз основа на съгласие по смисъла на чл. 4, т. 11 от Регламент (ЕС) 2016/679, включително в случаите на пряко предлагане на услуги на информационното общество по смисъла на чл. 1, ал. 3 от Закона за електронната търговия, е законосъобразно само ако съгласието е дадено от упражняващия родителски права родител или от настойника на субекта на данните.

Чл. 25г. (Нов - ДВ, бр. 17 от 2019 г.) Администратор или обработващ лични данни може да копира документ за самоличност, свидетелство за управление на моторно превозно средство или документ за пребиваване само ако това е предвидено със закон.

Чл. 25д. (Нов - ДВ, бр. 17 от 2019 г.) (1) Администраторът или обработващият лични данни приема и прилага правила при мащабно обработване на лични данни или при систематично мащабно наблюдение на публично достъпни зони, включително чрез видеонаблюдение, с които въвежда подходящи технически и организационни мерки за защита на правата и свободите на субектите на данни. Правилата за систематично мащабно наблюдение на публично достъпни зони съдържат правните основания и целите за изграждане на система за наблюдение, териториалния обхват на наблюдение и средствата за наблюдение, срока на съхранение на записите с информация и изтриването им, правото на достъп от страна на наблюдаваните лица, информиране на обществеността за осъществяваното наблюдение, както и ограничения при предоставяне на достъп до информацията на трети лица.

(2) Комисията дава насоки на администраторите и на обработващите лични данни при изпълнение на задължението им по ал. 1, които публикува на интернет страницата си.

Чл. 25е. (Нов - ДВ, бр. 17 от 2019 г.) (1) Администраторът или обработващият лични данни може да обработва лични данни на починали лица само при наличие на правно основание за това. В тези случаи администраторът или обработващият лични данни предприема подходящи мерки за недопускане на неблагоприятно засягане на правата и свободите на други лица или на обществен интерес.

(2) (Доп. - ДВ, бр. 11 от 2023 г., в сила от 04.05.2023 г.) Администраторът осигурява при поискване достъп до лични данни на починало лице, включително предоставя копие от тях, на наследниците му или на други лица с правен интерес, в сроковете по чл. 12, параграфи 3 и 4, и при условията на параграфи 5 и 6 от Регламент (ЕС) 2016/679, освен ако друго не е предвидено в закон.

Чл. 25ж. (Нов - ДВ, бр. 17 от 2019 г.) (1) Свободен публичен достъп до информация, съдържаща единен граждански номер или личен номер на чужденец, не се допуска, освен ако закон предвижда друго.

(2) Администраторите, предоставящи услуги по електронен път, предприемат подходящи технически и организационни мерки, които не позволяват единният граждански номер или личният номер на чужденец да е единственото средство за идентификация на потребителя при предоставяне на отдалечен достъп до съответната услуга.

(3) За целите на предоставяне на административни услуги по електронен път при условията на Закона за електронното управление администраторът осигурява възможност на субекта на данни да се идентифицира по ред, предвиден със закон.

Чл. 25з. (Нов - ДВ, бр. 17 от 2019 г.) (1) Обработването на лични данни за журналистически цели, както и за академичното, художественото или литературното изразяване, е законосъобразно, когато се извършва за осъществяване на свободата на изразяване и правото на информация, при зачитане на неприкосновеността на личния живот.

(2) (Обявена за противоконституционна с РКС № 8 от 2019 г. - ДВ, бр. 93 от 2019 г.) При разкриване чрез предаване, разпространяване или друг начин, по който лични данни, събрани за целите по ал. 1, стават достъпни, балансът между свободата на изразяване и правото на информация и правото на защита на личните данни се преценява въз основа на следните критерии, доколкото са относими:

1. естеството на личните данни;

2. влиянието, което разкриването на личните данни или тяхното обществено оповестяване би оказало върху неприкосновеността на личния живот на субекта на данни и неговото добро име;

3. обстоятелствата, при които личните данни са станали известни на администратора;

4. характера и естеството на изявлението, чрез което се упражняват правата по ал. 1;

5. значението на разкриването на лични данни или общественото им оповестяване за изясняването на въпрос от обществен интерес;

6. отчитане дали субектът на данни е лице, което заема длъжност по чл. 6 от Закона за противодействие на корупцията и за отнемане на незаконно придобитото имущество, или е лице, което поради естеството на своята дейност или ролята му в обществения живот е с по-занижена защита на личната си неприкосновеност или чиито действия имат влияние върху обществото;

7. отчитане дали субектът на данни с действията си е допринесъл за разкриване на свои лични данни и/или информация за личния си и семеен живот;

8. целта, съдържанието, формата и последиците от изявлението, чрез което се упражняват правата по ал. 1;

9. съответствието на изявлението, чрез което се упражняват правата по ал. 1, с основните права на гражданите;

10. други обстоятелства, относими към конкретния случай.

(3) При обработване на лични данни за целите по ал. 1:

1. не се прилагат чл. 6, 9, 10, 30, 34 и глава пета от Регламент (ЕС) 2016/679, както и чл. 25в;

2. администраторът или обработващият лични данни може да откаже пълно или частично упражняването на правата на субектите на данни по чл. 12 - 21 от Регламент (ЕС) 2016/679.

(4) Упражняването на правомощията на комисията по чл. 58, параграф 1 от Регламент (ЕС) 2016/679 не може да води до разкриване на тайната на източника на информация.

(5) При обработването на лични данни за целите на създаване на фотографско или аудио-визуално произведение чрез заснемане на лице в хода на обществената му дейност или на обществено място не се прилагат чл. 6, чл. 12 - 21, чл. 30 и 34 от Регламент (ЕС) 2016/679.

Чл. 25и. (Нов - ДВ, бр. 17 от 2019 г.) (1) Работодател или орган по назначаването, в качеството си на администратор на лични данни, приема правила и процедури при:

1. използване на система за докладване на нарушения;

2. ограничения при използване на вътрешнофирмени ресурси;

3. въвеждане на системи за контрол на достъпа, работното време и трудовата дисциплина.

(2) Правилата и процедурите по ал. 1 съдържат информация относно обхвата, задълженията и методите за прилагането им на практика. С тях се отчитат предметът на дейност на работодателя или органа по назначаването и свързаното с него естество на работата и не може да се ограничават правата на субектите на данните по Регламент (ЕС) 2016/679 и по този закон.

(3) Работниците и служителите се уведомяват за правилата и процедурите по ал. 1.

Чл. 25к. (Нов - ДВ, бр. 17 от 2019 г.) (1) Работодател или орган по назначаването, в качеството си на администратор на лични данни, определя срок за съхранение на лични данни на участници в процедури по набиране и подбор на персонала, който не може да е по-дълъг от 6 месеца, освен ако кандидатът е дал своето съгласие за съхранение за по-дълъг срок. След изтичането на този срок работодателят или органът по назначаването изтрива или унищожава съхраняваните документи с лични данни, освен ако специален закон предвижда друго.

(2) Когато в процедура по ал. 1 работодателят или органът по назначаването е изискал да се представят оригинали или нотариално заверени копия на документи, които удостоверяват физическа и психическа годност на кандидата, необходимата квалификационна степен и стаж за заеманата длъжност, той връща тези документи на субекта на данни, който не е одобрен за назначаване, в 6-месечен срок от окончателното приключване на процедурата, освен ако специален закон предвижда друго.

Чл. 25л. (Нов - ДВ, бр. 17 от 2019 г.) Обработването на лични данни за целите на Националния архивен фонд на Република България е обработване в обществен интерес. В тези случаи не се прилагат чл. 15, 16, 18, 19, 20 и 21 от Регламент (ЕС) 2016/679.

Чл. 25м. (Нов - ДВ, бр. 17 от 2019 г.) При обработването на лични данни за статистически цели не се прилагат чл. 15, 16, 18 и 21 от Регламент (ЕС) 2016/679.

Чл. 25н. (Нов - ДВ, бр. 17 от 2019 г.) Лични данни, първоначално събрани за друга цел, може да се обработват за целите на Националния архивен фонд, за целите на научни или исторически изследвания или за статистически цели. В тези случаи администраторът прилага подходящи технически и организационни мерки, които гарантират правата и свободите на субекта на данни в съответствие с чл. 89, параграф 1 от Регламент (ЕС) 2016/679.

Чл. 25о. (Нов - ДВ, бр. 17 от 2019 г.) Обработването на лични данни за хуманитарни цели от публични органи или хуманитарни организации, както и обработването в случаите на бедствия по смисъла на Закона за защита при бедствия, е законосъобразно. В този случай не се прилагат чл. 12 - 21 и чл. 34 от Регламент (ЕС) 2016/679.

Чл. 26. (Отм. - ДВ, бр. 17 от 2019 г.)

Чл. 27. (Изм. - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 91 от 2006 г.)

Чл. 28. (Изм. - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 17 от 2019 г.)

Чл. 28а. (Нов - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 17 от 2019 г.)

Чл. 29. (Отм. - ДВ, бр. 17 от 2019 г.)

Чл. 30. (Изм. - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 17 от 2019 г.)

Чл. 31. (Отм. - ДВ, бр. 17 от 2019 г.)

Чл. 32. (Изм. - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 17 от 2019 г.)

Чл. 33. (Отм. - ДВ, бр. 17 от 2019 г.)

Чл. 34. (Отм. - ДВ, бр. 17 от 2019 г.)

Чл. 34а. (Нов - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 17 от 2019 г.)

Чл. 34б. (Нов - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 17 от 2019 г.)

Чл. 35. (Изм. - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 91 от 2006 г.)

Чл. 36. (Изм. - ДВ, бр. 103 от 2005 г., в сила до 01.01.2007 г., отм. - ДВ, бр. 17 от 2019 г.)

Чл. 36а. (Нов - ДВ, бр. 103 от 2005 г., в сила от 01.01.2007 г., отм. - ДВ, бр. 17 от 2019 г.)

Чл. 36б. (Нов - ДВ, бр. 103 от 2005 г., в сила от 01.01.2007 г., отм. - ДВ, бр. 17 от 2019 г.)

Чл. 36в. (Нов - ДВ, бр. 81 от 2011 г., отм. - ДВ, бр. 17 от 2019 г.)

Чл. 36г. (Нов - ДВ, бр. 81 от 2011 г., отм. - ДВ, бр. 17 от 2019 г.)

Чл. 36д. (Нов - ДВ, бр. 81 от 2011 г., отм. - ДВ, бр. 17 от 2019 г.)

Чл. 36е. (Нов - ДВ, бр. 81 от 2011 г., отм. - ДВ, бр. 17 от 2019 г.)

Чл. 36ж. (Нов - ДВ, бр. 81 от 2011 г., отм. - ДВ, бр. 17 от 2019 г.)

Чл. 36з. (Нов - ДВ, бр. 81 от 2011 г., отм. - ДВ, бр. 17 от 2019 г.)

Чл. 36и. (Нов - ДВ, бр. 81 от 2011 г., отм. - ДВ, бр. 17 от 2019 г.)

Чл. 37. (Отм. - ДВ, бр. 103 от 2005 г.)

Чл. 37а. (Нов - ДВ, бр. 17 от 2019 г.) (1) Администраторът или обработващият лични данни може да откаже пълно или частично упражняването на правата на субектите на данни по чл. 12 - 22 от Регламент (ЕС) 2016/679, както и да не изпълни задължението си по чл. 34 от Регламент (ЕС) 2016/679, когато упражняването на правата или изпълнението на задължението би създало риск за:

1. националната сигурност;

2. отбраната;

3. обществения ред и сигурност;

4. предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наложените наказания, включително предпазването от и предотвратяването на заплахи за обществения ред и сигурност;

5. други важни цели от широк обществен интерес и по-специално важен икономически или финансов интерес, включително паричните, бюджетните и данъчните въпроси, общественото здраве и социалната сигурност;

6. защитата на независимостта на съдебната власт и съдебните производства;

7. предотвратяването, разследването, разкриването и наказателното преследване на нарушения на етичните кодекси при регулираните професии;

8. защитата на субекта на данните или на правата и свободите на други лица;

9. изпълнението по гражданскоправни искове.

(2) Условията и редът за прилагане на ал. 1 се определят със закон и в съответствие с чл. 23, параграф 2 от Регламент (ЕС) 2016/679.

Чл. 37б. (Нов - ДВ, бр. 17 от 2019 г.) (1) Субектът на данни упражнява правата по чл. 15 - 22 от Регламент (ЕС) 2016/679 чрез писмено заявление до администратора на лични данни или по друг определен от администратора начин.

(2) Заявление може да се подаде и по електронен път при условията на Закона за електронния документ и електронните удостоверителни услуги, Закона за електронното управление и Закона за електронната идентификация.

(3) Заявление може да се подаде и чрез действия в потребителския интерфейс на информационната система, която обработва данните, след като лицето е идентифицирано със съответните за информационната система средства за идентификация.

Чл. 37в. (Нов - ДВ, бр. 17 от 2019 г.) (1) Заявлението по чл. 37б съдържа:

1. име, адрес, единен граждански номер или личен номер на чужденец или друг аналогичен идентификатор, или други идентификационни данни на физическото лице, определени от администратора, във връзка с извършваната от него дейност;

2. описание на искането;

3. предпочитана форма за получаване на информация при упражняване на правата по чл. 15 - 22 от Регламент (ЕС) 2016/679;

4. подпис, дата на подаване на заявлението и адрес за кореспонденция.

(2) При подаването на заявление от упълномощено лице към заявлението се прилага и пълномощното.

Чл. 38. (1) (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г., изм. - ДВ, бр. 17 от 2019 г.) При нарушаване на правата му по Регламент (ЕС) 2016/679 и по този закон субектът на данни има право да сезира комисията в срок 6 месеца от узнаване на нарушението, но не по-късно от две години от извършването му.

(2) (Нова - ДВ, бр. 17 от 2019 г.) Комисията информира жалбоподателя за напредъка в разглеждането на жалбата или за резултата от нея в тримесечен срок от сезирането ѝ.

(3) (Изм. - ДВ, бр. 103 от 2005 г., предишна ал. 2, изм. - ДВ, бр. 17 от 2019 г.) Комисията се произнася с решение, като може да приложи мерките по чл. 58, параграф 2, букви "а" - "з" и "й" от Регламент (ЕС) 2016/679 или по чл. 80, ал. 1, т. 3, 4 и 5 и в допълнение към тези мерки или вместо тях да наложи административно наказание в съответствие с чл. 83 от Регламент (ЕС) 2016/679, както и по глава девета.

(4) (Нова - ДВ, бр. 17 от 2019 г.) Когато жалбата е очевидно неоснователна или прекомерна, с решение на комисията жалбата може да се остави без разглеждане.

(5) (Предишна ал. 4, изм. - ДВ, бр. 17 от 2019 г.) Комисията изпраща копие от решението си и на субекта на данните.

(6) (Нова - ДВ, бр. 91 от 2006 г., предишна ал. 5, изм. - ДВ, бр. 17 от 2019 г.) В случаите по ал. 1, когато се обработват лични данни за целите по чл. 42, ал. 1, решението на комисията съдържа само констатация относно законосъобразността на обработването.

(7) (Нова - ДВ, бр. 11 от 2023 г., в сила от 04.05.2023 г.) Жалба по ал. 1 може да бъде оттеглена до изтичане на срока за обжалване на решението на комисията по ал. 3 и 4.

(8) (Изм. - ДВ, бр. 103 от 2005 г., предишна ал. 5 - ДВ, бр. 91 от 2006 г., изм. - ДВ, бр. 39 от 2011 г., предишна ал. 6, изм. - ДВ, бр. 17 от 2019 г., предишна ал. 7 - ДВ, бр. 11 от 2023 г., в сила от 04.05.2023 г.) Решението на комисията по ал. 3 и 4 подлежи на обжалване по реда на Административнопроцесуалния кодекс в 14-дневен срок от получаването му.

Чл. 38а. (Нов - ДВ, бр. 17 от 2019 г.) (1) Жалбата до комисията може да се подаде с писмо, по факса или по електронен път по реда на Закона за електронния документ и електронните удостоверителни услуги.

(2) Не се разглеждат анонимни жалби, както и жалби, които не са подписани от подателя или от негов представител по закон или пълномощие.

Чл. 38б. (Нов - ДВ, бр. 17 от 2019 г.) (1) При нарушаване на правата му по Регламент (ЕС) 2016/679 и по този закон при обработване на лични данни от съда при изпълнение на функциите му на орган на съдебната власт и от прокуратурата и следствените органи при изпълнение на функциите им на органи на съдебната власт за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, субектът на данни има право да подаде жалба до инспектората в срок 6 месеца от узнаване на нарушението, но не по-късно от две години от извършването му.

(2) В случаите по ал. 1 се прилага съответно чл. 38а.

Чл. 38в. (Нов - ДВ, бр. 17 от 2019 г.) (1) Жалбата по чл. 38б, ал. 1 се разглежда от инспектор, определен на принципа на случайния подбор от главния инспектор.

(2) При разглеждането на жалбата се събират данни, относими към твърдяното нарушение, включително и информация от администратора или обработващия лични данни.

(3) Жалбоподателят се информира за напредъка в разглеждането на жалбата или за резултата от нея в тримесечен срок от сезирането на инспектората.

(4) Когато жалбата е неоснователна, инспекторът се произнася с решение, което подлежи на обжалване по реда на Административнопроцесуалния кодекс в 14-дневен срок от получаването му.

(5) Когато жалбата е основателна, инспекторатът се произнася с решение по предложение на инспектора. Решението подлежи на обжалване по реда на Административнопроцесуалния кодекс в 14-дневен срок от получаването му.

(6) Когато жалбата е очевидно неоснователна или прекомерна, инспекторът може да я остави без разглеждане.

Чл. 38г. (Нов - ДВ, бр. 17 от 2019 г.) (1) Когато в производството по чл. 38в бъде установено нарушение на Регламент (ЕС) 2016/679 и на този закон, в зависимост от характера и степента на нарушението, се прилагат мерките по чл. 58, параграф 2, букви "а" - "ж" и "й" от Регламент (ЕС) 2016/679 или по чл. 80, ал. 1, т. 3, 4 и 5 и/или се налагат административни наказания в съответствие с чл. 83 от Регламент (ЕС) 2016/679, както и по глава девета.

(2) Мерките по чл. 58, параграф 2, букви "а" - "ж" и "й" от Регламент (ЕС) 2016/679 и по чл. 80, ал. 1, т. 3, 4 и 5 се прилагат с решение на инспектората по предложение на инспектора, разгледал жалбата по чл. 38б, ал. 1.

Чл. 39. (1) (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 30 от 2006 г., в сила от 01.03.2007 г., изм. - ДВ, бр. 91 от 2006 г., изм. - ДВ, бр. 17 от 2019 г.) При нарушаване на правата му по Регламент (ЕС) 2016/679 и по този закон субектът на данни може да обжалва действия и актове на администратора и на обработващия лични данни пред съда по реда на Административнопроцесуалния кодекс.

(2) (Изм. - ДВ, бр. 103 от 2005 г., изм. и доп. - ДВ, бр. 17 от 2019 г.) В производството по ал. 1 субектът на данни може да иска обезщетение за претърпените от него вреди вследствие на неправомерно обработване на лични данни от страна на администратора или на обработващия лични данни.

(3) (Нова - ДВ, бр. 81 от 2011 г., отм. - ДВ, бр. 17 от 2019 г.)

(4) (Нова - ДВ, бр. 103 от 2005 г., предишна ал. 3 - ДВ, бр. 81 от 2011 г., изм. - ДВ, бр. 17 от 2019 г.) Субектът на данни не може да сезира съда, когато има висящо производство пред комисията за същото нарушение или нейно решение относно същото нарушение е обжалвано и няма влязло в сила решение на съда. По искане на субекта на данни или на съда комисията удостоверява липсата на висящо производство пред нея по същия спор.

(5) (Предишна ал. 4, изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 30 от 2006 г., в сила от 12.07.2006 г., отм. - ДВ, бр. 91 от 2006 г., нова - ДВ, бр. 17 от 2019 г.) Алинея 4 се прилага и при висящо производство пред инспектората.

Чл. 40. (Отм. - ДВ, бр. 103 от 2005 г., нов - ДВ, бр. 17 от 2019 г.) Когато решението по чл. 38, ал. 3 е прието в изпълнение на решение със задължителен характер на Европейския комитет по защита на данните, се прилагат съответно чл. 263 и 267 от Договора за функционирането на Европейския съюз.

Чл. 41. (Отм. - ДВ, бр. 103 от 2005 г.)

Чл. 42. (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 17 от 2019 г.) (1) Правилата на тази глава се прилагат при обработването на лични данни от компетентни органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществения ред и сигурност и тяхното предотвратяване.

(2) Лични данни, събрани за целите по ал. 1, не се обработват за други цели, освен ако правото на Европейския съюз или законодателството на Република България предвижда друго.

(3) Когато компетентните органи по ал. 1 обработват лични данни за цели, различни от тези по ал. 1, както и в случаите по ал. 2, се прилагат Регламент (ЕС) 2016/679 и съответните разпоредби от този закон, които въвеждат мерки за неговото прилагане.

(4) Компетентни органи по ал. 1 са държавните органи, които имат правомощия по предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване.

(5) Освен ако закон предвижда друго, администратор по смисъла на тази глава при обработването на лични данни за целите по ал. 1 е компетентен орган по ал. 4 или съответната административна структура, част от която е този орган, които самостоятелно или съвместно с други органи определят целите и средствата за обработване на лични данни.

Чл. 42а. (Нов - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 17 от 2019 г.)

Чл. 43. (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 17 от 2019 г.) Правилата на тази глава се прилагат за обработването на лични данни изцяло или частично с автоматични средства, както и за обработването с други средства на лични данни, които са част от регистър с лични данни или са предназначени да съставляват част от такъв регистър.

§ 1. (Изм. - ДВ, бр. 17 от 2019 г.) По смисъла на този закон:

1. "Лични данни" е понятието по чл. 4, т. 1 от Регламент (ЕС) 2016/679.

2. "Администратор", с изключение на администратора по глава осма, е понятието по чл. 4, т. 7 от Регламент (ЕС) 2016/679.

3. "Обработващ лични данни" е понятието по чл. 4, т. 8 от Регламент (ЕС) 2016/679.

4. "Обработване" е понятието по чл. 4, т. 2 от Регламент (ЕС) 2016/679.

5. "Ограничаване на обработването" е понятието по чл. 4, т. 3 от Регламент (ЕС) 2016/679.

6. "Профилиране" е понятието по чл. 4, т. 4 от Регламент (ЕС) 2016/679.

7. "Псевдонимизация" е понятието по чл. 4, т. 5 от Регламент (ЕС) 2016/679.

8. "Регистър с лични данни" е понятието по чл. 4, т. 6 от Регламент (ЕС) 2016/679.

9. "Получател" е понятието по чл. 4, т. 9 от Регламент (ЕС) 2016/679. Държавен или местен орган, както и структура, чиято основна дейност е свързана с разходване на публични средства, които могат да получават лични данни в рамките на конкретно разследване в съответствие със закон, не се смятат за получатели по смисъла на глава осма. Обработването на лични данни от тези органи или структури отговаря на приложимите правила за защита на данните съгласно целите на обработването.

10. "Нарушение на сигурността на лични данни" е понятието по чл. 4, т. 12 от Регламент (ЕС) 2016/679.

11. "Генетични данни" е понятието по чл. 4, т. 13 от Регламент (ЕС) 2016/679.

12. "Биометрични данни" е понятието по чл. 4, т. 14 от Регламент (ЕС) 2016/679.

13. "Данни, свързани със здравословното състояние" е понятието по чл. 4, т. 15 от Регламент (ЕС) 2016/679.

14. "Международна организация" е понятието по чл. 4, т. 26 от Регламент (ЕС) 2016/679.

15. "Мащабно" е наблюдение и/или обработване на лични данни на значителен или неограничен брой субекти на данни или обем лични данни, когато основните дейности на администратора или обработващия лични данни, включително средствата за тяхното изпълнение, се състоят в такива операции.

16. "Риск" е възможността за настъпване на имуществена или неимуществена вреда за субекта на данните при определени условия, оценена от гледна точка на нейната тежест и вероятност.

17. "Публичен орган" е държавен или местен орган, както и структура, чиято основна дейност е свързана с разходване на публични средства.

18. "Изтриване" е необратимо заличаване на информацията от съответния носител.

19. "Унищожаване" е необратимо физическо разрушаване на материалния носител на информация.

20. "Повторно" е нарушението, извършено в срок една година от влизането в сила на решението на комисията или на наказателното постановление, с което нарушителят е наказан за същото по вид нарушение.

§ 1а. (Нов - ДВ, бр. 91 от 2006 г., изм. - ДВ, бр. 17 от 2019 г.) Този закон предвижда мерки по прилагане на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (ОВ, L 119/1 от 4 май 2016 г.), както и въвежда изискванията на Директива (ЕС) 2016/680 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания и относно свободното движение на такива данни, и за отмяна на Рамково решение 2008/977/ПВР на Съвета (ОВ, L 119/89 от 4 май 2016 г.).

§ 2. (1) В едномесечен срок от влизането в сила на този закон Министерският съвет предлага на Народното събрание състава на Комисията за защита на личните данни.

(2) В 14-дневен срок от внасяне на предложението по ал. 1 Народното събрание избира състава на Комисията за защита на личните данни.

(3) В 3-месечен срок от избирането ѝ Комисията за защита на личните данни приема и обнародва в "Държавен вестник" правилника по чл. 9, ал. 2.

(4) Министерският съвет в едномесечен срок от влизането в сила на решението на Народното събрание по ал. 2 осигурява необходимото имущество и финансови ресурси за започване работа на комисията.

§ 3. (1) В 6-месечен срок от влизането в сила на правилника по чл. 9, ал. 2 лицата, които към момента на влизане в сила на закона поддържат регистри с лични данни, ги привеждат в съответствие с изискванията на закона и уведомяват за това комисията.

(2) Комисията извършва предварителни проверки, регистрира или отказва да регистрира като администратори лица, които поддържат регистри към момента на влизане в сила на закона, както и водените от тях регистри в 3-месечен срок от получаването на заявлението по ал. 1.

(3) Решенията на комисията за отказ на регистрация подлежат на обжалване пред Върховния административен съд в 14-дневен срок.

(4) С влизането в сила на решението на комисията за отказ на регистрация или на решението на Върховния административен съд, с което се потвърждава отказът на комисията, лицето, което неправомерно води регистър, е длъжно да унищожи лични данни, съдържащи се в регистъра му, или със съгласието на комисията да ги прехвърли на друг администратор, който е регистрирал своя регистър и обработва лични данни за същите цели.

(5) Комисията осъществява контрол върху изпълнението на задължението по ал. 4.

(6) В 3-месечен срок от регистрацията администраторът по чл. 3, ал. 1 е длъжен да публикува в бюлетина на Комисията за защита на личните данни сведенията по чл. 22, ал. 1.

§ 4. В Закона за достъп до обществена информация (ДВ, бр. 55 от 2000 г.) се правят следните изменения:

1. В чл. 2, ал. 3 думите "лична информация" се заменят с "лични данни".

2. В § 1 т. 2 се изменя така:

"2. "Лични данни" са информация за физическо лице, която разкрива неговата физическа, психологическа, умствена, семейна, икономическа, културна или обществена идентичност."

§ 5. Законът влиза в сила от 1 януари 2002 г.

-------------------------

Законът е приет от ХХХIХ Народно събрание на 21 декември 2001 г. и е подпечатан с официалния печат на Народното събрание.

(ОБН. - ДВ, БР. 57 ОТ 2007 Г., В СИЛА ОТ 13.07.2007 Г.)§ 23. Законът влиза в сила от деня на обнародването му в "Държавен вестник".

(ОБН. - ДВ, БР. 91 ОТ 2006 Г.)§ 31. Разпоредбата на § 6 относно чл. 6, ал. 2 влиза в сила от 1 януари 2007 г.

§ 32. В срок два месеца от влизането в сила на този закон Комисията за защита на личните данни приема инструкцията по чл. 12, ал. 9.

§ 33. В срок три месеца от влизането в сила на този закон администраторите, които подлежат на регистрация, подават заявление за регистрация.

Актове

Решение №5902/17.05.2016 по адм. д. №6058/2015 на ВАС, докладвано от съдия Илияна Дойчева
чл. 208 АПК
Определение №259/18.04.2018 по гр. д. №4347/2017 на ВКС, ГК, III г.о.
чл. 288 ГПК чл. 362, ал. 2 ГПК
Решение №2840/02.03.2021 по адм. д. №12929/2020 на ВАС, докладвано от съдия Емил Димитров
чл. 208 АПК
Решение №2890/04.03.2021 по адм. д. №6418/2020 на ВАС, докладвано от съдия Юлия Ковачева
чл. 208 АПК
Решение №8420/29.06.2020 по адм. д. №2565/2020 на ВАС, докладвано от съдия Тинка Косева
чл. 208 АПК
Решение №4111/31.03.2021 по адм. д. №5649/2020 на ВАС, докладвано от съдия Еманоил Митев
чл. 209, т. 3 АПК
Решение №4080/31.03.2021 по адм. д. №13597/2020 на ВАС, докладвано от съдия Мария Николова
чл. 208 АПК
Решение №972/29.01.2016 по адм. д. №1401/2015 на ВАС, докладвано от съдия Сибила Симеонова
чл. 39, ал. 1 ЗЗЛД
Решение №1167/04.02.2016 по адм. д. №8434/2015 на ВАС
чл. 208 АПК
Решение №1198/04.02.2016 по адм. д. №1228/2015 на ВАС, докладвано от съдия Галина Христова
чл. 208 АПК
Решение №1575/12.02.2016 по адм. д. №3238/2015 на ВАС, докладвано от съдия Еманоил Митев
чл. 4, ал. 1, т. 7 ЗЗЛД
Решение №1026/03.08.2009 по адм. д. №9303/2008 на ВАС
чл. 38, ал. 6 ЗЗЛД
Решение №8615/15.08.2006 по адм. д. №9292/2005 на ВАС
чл. 33 ЗВАС отм.
Решение №5707/09.05.2017 по адм. д. №1936/2016 на ВАС
чл. 208 АПК
Решение №1417/27.11.2014 по адм. д. №2069/2014 на ВАС, докладвано от съдия Мариета Милева
чл. 208 АПК
Решение №9921/14.07.2014 по адм. д. №14488/2013 на ВАС
чл. 208 АПК
Решение №8989/02.07.2018 по адм. д. №2475/2017 на ВАС
чл. 208 АПК
Решение №4110/11.04.2016 по адм. д. №4810/2015 на ВАС
чл. 145 АПК
Решение №4784/08.04.2014 по адм. д. №9513/2013 на ВАС
чл. 208 АПК
Решение №94/04.01.2018 по адм. д. №5244/2016 на ВАС, докладвано от съдия Илиана Славовска
чл. 208 АПК

Актове на СЕС

Все още няма актове в тази категория!