ЗАКОН
за защита на личните данни (Обн., ДВ, бр. 1 от 4.01.2002 г.; доп., бр. 70 от 2004 г. - в сила от 01.01.2005 г., бр. 93 от 19.10.2004 г.)
Глава първа
ОБЩИ ПОЛОЖЕНИЯ
Чл. 1. (1) Този закон урежда защитата на физическите лица при обработването на лични данни, както и достъпа до тези данни.
(2) Целта на закона е да се гарантира неприкосновеността на личността и личния живот, като се защитят физическите лица при неправомерно обработване на свързаните с тях лични данни и се регламентира правото на достъп до събираните и обработвани такива данни.
(3) Този закон не се прилага за обработването на лични данни от физическо лице, което не е администратор, на лични данни във връзка с лични интереси и за лично ползване.
(4) В специални закони може да се уредят обработването и достъпът до лични данни за целите на отбраната, националната сигурност и обществения ред, както и за функционирането на органите на изпълнителната и съдебната власт при прилагането на наказателното право.
Чл. 2. (1) (Доп., ДВ, бр. 70 от 2004 г.) Лични данни са информация за физическо лице, която разкрива неговата физическа, психологическа, умствена, семейна, икономическа, културна или обществена идентичност, както и данните за човешкия геном.
(2) Разпоредбите на този закон се прилагат и по отношение на личните данни за физическите лица, свързани с участието им в граждански дружества или в органите за управление, контрол и надзор на юридическите лица, както и при изпълняването на функции на държавни органи.
Чл. 3. (1) Администратор на лични данни е физическо или юридическо лице, както и държавен орган, който определя вида на обработваните данни, целта на обработване, начините на обработване и на защита при спазване изискванията на този закон.
(2) Администраторът на лични данни обработва личните данни самостоятелно или чрез възлагане на обработващ данните.
(3) Държавните органи обработват лични данни в случаите, определени със закон.
Чл. 4. (1) Личните данни се поддържат в регистри за лични данни.
(2) Личните данни, обработвани от държавните органи, са служебна информация.
Чл. 5. Акт на държавен орган или на орган на местното самоуправление, който има правни последици за определено лице и съдържа оценка на неговото поведение, не може да се основава единствено на автоматизирана обработка на лични данни.
Глава втора
КОМИСИЯ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
Чл. 6. (1) Комисията за защита на личните данни, наричана по-нататък “комисията”, е независим държавен орган, който осъществява защитата на лицата при обработването на техните лични данни и при осъществяването на достъпа до тези данни, както и контрола по спазването на този закон.
(2) Комисията е юридическо лице на бюджетна издръжка със седалище София.
Чл. 7. (1) Комисията е колегиален орган и се състои от председател и 4 членове.
(2) Членовете на комисията и председателят й се избират от Народното събрание по предложение на Министерския съвет за срок 5 години и могат да бъдат преизбирани за още един мандат. В решението се определя и размерът на тяхното възнаграждение.
(3) Председателят и членовете на комисията осъществяват своята дейност по трудово правоотношение.
(4) Комисията до 31 януари всяка година представя годишен отчет за своята дейност пред Народното събрание и пред Министерския съвет.
Чл. 8. (1) За членове на комисията могат да бъдат избирани български граждани, които:
1. имат висше образование по информатика, по право или са магистри по информационни технологии;
2. имат трудов стаж по специалността си не по-малко от 10 години;
3. не са осъждани на лишаване от свобода за умишлени престъпления от общ характер;
(2) Членове на комисията не могат:
1. да бъдат лица, които са еднолични търговци, управители/прокуристи или членове на управителни или на контролни органи на търговски дружества, кооперации и юридически лица с нестопанска цел;
2. да заемат друга платена длъжност, освен когато упражняват научна или преподавателска дейност.
(3) За председател на комисията се избира правоспособен юрист, който отговаря на изискванията по ал. 1 и 2.
(4) Мандатът на председателя или член на комисията се прекратява предсрочно:
1. при смърт или поставяне под запрещение;
2. по решение на Народното събрание, когато:
а) е подал молба за освобождаване;
б) е извършил грубо нарушение на този закон;
в) е извършил умишлено престъпление от общ характер, за което има влязла в сила присъда;
г) е налице невъзможност да изпълнява задълженията си за срок по-дълъг от шест месеца.
(5) В случаите по ал. 3 Министерският съвет предлага на Народното събрание да избере нов член за срок до края на първоначалния мандат на комисията.
(6) Времето, през което лицето е работило като председател или член на комисията, се признава и за служебен стаж по Закона за държавния служител.
Чл. 9. (1) Комисията е постоянно действащ орган, който се подпомага от администрация.
(2) Комисията урежда в правилник своята дейност и дейността на администрацията си и го обнародва в “Държавен вестник”.
(3) Решенията на комисията се вземат с мнозинство от общия брой на членовете й.
(4) Заседанията на комисията са открити. Комисията може да реши отделни заседания да бъдат закрити.
Чл. 10. (1) Комисията:
1. анализира и осъществява цялостен контрол за спазването на нормативните актове в областта на защитата на лични данни;
2. води регистър на администраторите на лични данни;
3. извършва проверки на администраторите на лични данни във връзка с дейността си по т. 1;
4. изразява становища и дава разрешения в предвидените в този закон случаи;
5. издава задължителни предписания до администраторите във връзка със защитата на личните данни;
6. след предварително уведомяване налага временна забрана за обработването на лични данни, с които се нарушават нормите за защита на личните данни;
7. разглежда жалби срещу администраторите във връзка с отказан достъп на физически лица до техните лични данни, както и жалби на други администратори или на трети лица във връзка с правата им по този закон;
8. участва в подготовката на нормативни актове, свързани със защитата на личните данни.
(2) Редът за водене на регистъра по чл. 14, за уведомяване на комисията за даване на разрешения и изразяване на становища, за разглеждане на жалбите, както и за издаване на задължителните предписания и налагането на временни забрани за обработване на лични данни, се определя в правилника по чл. 9, ал. 2.
(3) Комисията издава бюлетин, в който публикува информация за своята дейност и за взетите решения.
Чл. 11. Председателят на комисията:
1. организира и ръководи дейността на комисията съобразно закона и решенията на комисията и отговаря за изпълнението на задълженията й;
2. представлява комисията пред трети лица;
3. назначава и освобождава държавните служители и сключва и прекратява трудовите договори на служителите по трудови правоотношения от администрацията на комисията.
Чл. 12. (1) Председателят и членовете на комисията или упълномощени от нея лица от администрацията й извършват проверки по изпълнението на този закон.
(2) Администраторът на лични данни е длъжен да осигури достъп на лицата по ал. 1 до водените от него регистри и да не препятства контрола върху процеса по обработване на лични данни.
(3) Комисията извършва проверка по молба на заинтересувани лица, както и по своя инициатива, въз основа на приет от нея месечен план за контролната дейност.
(4) Когато в резултат на проверката се установи нарушение, комисията издава задължително предписание за отстраняването му в определен от нея срок.
(5) При неизпълнение на предписанието по ал. 4 се съставя акт за нарушение.
(6) В случаите, когато са нарушени права на физическо лице по този закон, комисията сезира съответния съд по чл. 39, ал. 3.
Чл. 13. (1) Председателят и членовете на комисията са длъжни да не разгласят информацията, представляваща служебна тайна за администраторите на лични данни, която им е станала известна при осъществяване на тяхната дейност, до три години след изтичането от мандата.
(2) Задължението по ал. 1 се отнася и за служителите от администрацията на комисията в срок три години след прекратяването на трудовото или служебното правоотношение.
(3) При постъпване на работа членовете на комисията и служителите от нейната администрация подават декларация за задълженията по ал. 1 и 2.
Чл. 14. (1) Комисията води регистър за администраторите на лични данни и за водените от тях регистри.
(2) В регистъра по ал. 1 се вписват администраторите на лични данни и видът на личните данни, законовото основание, целите и начинът за тяхното обработване, изискването на съгласие на физическото лице, както и актът, в който е определен редът за водене на регистъра с лични данни.
(3) Регистърът по ал. 1 е публичен. За предоставянето на информация от него се заплаща такса, определена от Министерския съвет.
(4) Комисията издава удостоверение на вписаните в регистъра администратори на лични данни.
Чл. 15. (1) Всяко лице, което иска да обработва лични данни и да създаде регистър за тях, уведомява предварително комисията, като подава за това заявление и документи по образец, утвърден от комисията.
(2) В случаите по чл. 3, ал. 3 държавният орган, който е определен за администратор на лични данни, уведомява комисията в 10-дневен срок след създаването му.
(3) Всеки администратор на лични данни уведомява комисията и преди предприемането на каквато и да е операция по цялостното или частичното автоматично обработване на събраните лични данни, различно от заявеното, както и при прехвърлянето на лични данни към друг администратор или към трето лице.
(4) В случаите по ал. 3 комисията може да вземе решение за предварителна проверка на администратора или да даде задължителни предписания с оглед защита на обработваните или прехвърлените лични данни.
Чл. 16. (1) Комисията може да извърши предварителна проверка в 7-дневен срок от уведомяването и да даде предварителни предписания относно условията за обработване на личните данни и водене на регистър от лицето по чл. 15, ал. 1 и за гарантиране спазването на този закон.
(2) Комисията не извършва предварителна проверка при водене на регистри:
1. с лични данни за лицата, работещи по трудово или по служебно правоотношение за администратора на лични данни;
2. за статистически или научни цели;
3. предвидени в нормативен акт, които са публични.
(3) В 14-дневен срок от уведомяването комисията взема решение:
1. да регистрира лицето по ал. 1 като администратор на лични данни и да впише в своя регистър данните по чл. 14, ал. 2, ако са изпълнени изискванията на този закон за събиране и обработване на лични данни;
2. за отказ за регистриране, който се мотивира на основание по този закон.
(4) Отказът на комисията за регистриране на лицата по чл. 15 подлежи на обжалване пред Върховния административен съд в 14-дневен срок.
Глава трета
АДМИНИСТРАТОР НА ЛИЧНИ ДАННИ
Чл. 17. Администраторът по чл. 3, ал. 1 има право да обработва лични данни само когато те са:
1. получени законосъобразно;
2. събрани за определените в закон цели и се използват само за изпълнението им;
3. съответстващи по обхват на целите, за които се обработват;
4. точни и актуални;
5. съхранени по начин, който позволява идентифициране на физическите лица само за период не по-дълъг от необходимия, съгласно целите, за които те се обработват.
Чл. 18. Обработването на лични данни е допустимо само в случаите, когато е налице поне едно от следните условия:
1. изпълнение на нормативно задължение;
2. изричното съгласие на физическото лице;
3. необходимост да се защити животът или здравето на физическото лице;
4. изпълнение на клаузите на договор между администратора по чл. 3, ал. 1 и физическото лице;
5. законен интерес на администратора по чл. 3, ал. 1, на трето лице или на лице, на което се разкриват данните и това не нарушава правото на защита по този закон на съответното физическо лице;
6. (нова, ДВ, бр. 93 от 2004 г.) необходимост за целите на отбраната и националната сигурност.
Чл. 19. (1) (Доп., ДВ, бр. 93 от 2004 г.) Администраторът по чл. 3, ал. 1 обработва личните данни на физическото лице с негово съгласие освен с изключенията, предвидени в закон или когато обработването е необходимо във връзка с отбраната и националната сигурност.
(2) Администраторът по чл. 3, ал. 1 е длъжен да информира съответното физическо лице преди обработването им за:
1. целта и средствата за обработката им;
2. задължителния или доброволния характер на предоставяне на данните и последиците от отказ за предоставяне;
3. получателите или категориите получатели, на които могат да бъдат предоставени данните, и сферата на ползването им;
4. правото на достъп и на поправка на събраните данни, наименованието и адреса на администратора по чл. 3, ал. 1 и на обработващия данните, ако той е различен от този администратор.
(3) Информацията по ал. 2 се предоставя от администратора на съответното физическо лице преди обработването й, когато личните му данни са получени от трето лице.
(4) Алинея 3 не се прилага в случаите на изрична забрана за това в закона.
Чл. 20. (1) Съгласието на физическото лице по чл. 19, ал. 1 трябва да е свободно изразено и недвусмислено. То може да бъде дадено за цялата или за част от обработката на данните и при необходимост да бъде и в писмена форма.
(2) Съгласието по чл. 19, ал. 1 не се изисква, когато обработването на данни:
1. се отнася до лични данни, събрани и обработвани по силата на задължение по закон;
2. се извършва само за нуждите на научни изследвания или на статистиката и данните са анонимни;
3. е във връзка със защитата на живота или здравето на съответното физическо лице или на друго лице, както и когато неговото състояние не му позволява да даде съгласие или съществуват законни пречки за това.
Чл. 21. (1) Обработването на лични данни, които разкриват расов или етнически произход, политически, религиозни или философски убеждения, членство в политически партии, организации, сдружения с религиозни, философски, политически или синдикални цели, както и лични данни, отнасящи се до здравето или сексуалния живот, може да се осъществява само с изрично писмено съгласие на съответното физическо лице.
(2) Не се изисква изричното писмено съгласие за данните по ал. 1, когато:
1. обработването им е задължение по закон на администратора по чл. 3, ал. 1;
2. обработването е необходимо във връзка със защитата на живота или здравето на съответното физическо лице или на друго лице, както и когато неговото състояние не му позволява да даде съгласие или съществуват законни пречки за това;
3. обработването се отнася до данни, публично оповестени от физическото лице, или е необходимо за установяването, упражняването или защитата на негови законни права;
4. обработването се изисква във връзка с осъществяването на медицинска помощ или на здравни услуги, както и когато тези данни се обработват от лице, работещо в здравно или лечебно заведение, и то е задължено да пази професионална тайна;
5. обработването се осъществява само от или под контрола на компетентен държавен орган за лични данни, свързани с извършването на престъпления, на административни нарушения и на непозволени увреждания;
6. обработването е необходимо във връзка с отбраната и националната сигурност.
Чл. 22. (1) Администраторът по чл. 3, ал. 1 публикува ежегодно до 31 март в бюлетина на Комисията за защита на личните данни следните сведения за създадените от него през предходната година регистри:
1. вид на обработваните лични данни с оглед различните признаци за установяване на идентичността на физическите лица;
2. кръг от лица, за които се отнася обработването;
3. служебен адрес, условия и ред за приемането на заявления за даване на достъп до личните данни;
4. описание на целите, за които се обработват тези данни, както и допустимите начини за тяхното използване;
5. описание на критериите, по които се съхраняват или унищожават данните.
(2) Администраторът по чл. 3, ал. 1 е длъжен да публикува в бюлетина на Комисията за защита на личните данни промени по ал. 1, т. 1 - 5 в 30-дневен срок от тяхното извършване.
(3) Администраторът носи отговорност за достоверността на информацията по ал. 1 и 2 и е длъжен да осигури публичен достъп до нея.
Глава четвърта
ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
Чл. 23. (1) Администраторът по чл. 3, ал. 1 е длъжен да предприеме необходимите технически и организационни мерки, за да защити данните от случайно или незаконно разрушаване, случайна загуба или промяна, незаконно разкриване или достъп, нерегламентирано изменение или разпространение, както и от всички други незаконни форми на обработване на лични данни.
(2) Администраторът е длъжен да предприеме специални мерки за защита, когато обработването предвижда предаване на данните по електронен път.
(3) Комисията за защита на личните данни определя в наредба минимално необходимите технически и организационни мерки, както и за допустимия вид защита.
Чл. 24. (1) Администраторът по чл. 3, ал. 1 може да обработва данните сам или чрез възлагане на обработващ данните. Когато е необходимо по организационни причини, обработването може да се възложи на повече от един обработващ данните, включително с цел разграничаване на конкретните им задължения.
(2) В случаите, когато обработването на данните не се извършва от администратора, той е длъжен да определи обработващ данните и да осигури достатъчни гаранции за тяхната защита.
(3) Обработващият данните се определя между лица, които имат професионални и технически възможности да гарантират пълно съобразяване с всички условия, свързани с обработването на данни, и тяхната защита.
(4) Администраторът по чл. 3, ал. 1 определя начините на обработване в писмена инструкция, която е задължителна за обработващия данните и за оператора на лични данни.
(5) Задълженията на обработващия данни и на оператора, включително отговорността при неизпълнението им, се определят в техните заповеди за назначаване или в писмени договори във връзка с инструкцията по ал. 4.
(6) Отговорността по ал. 5 не изключва носенето на друг вид отговорност в зависимост от извършените от това лице неправомерни действия или бездействия.
Чл. 25. (1) След приключването на обработването на лични данни администраторът по чл. 3, ал. 1 може:
1. да ги унищожи, или
2. да ги прехвърли с разрешение от Комисията за защита на личните данни на друг администратор, ако това е предвидено в закон и е налице идентичност на целите на обработването.
(2) (Доп., ДВ, бр. 93 от 2004 г.) След приключването на обработването на лични данни администраторът по чл. 3, ал. 1 ги съхранява само в предвидените в закон случаи или когато това е необходимо за целите на отбраната и националната сигурност.
(3) В случаите, когато след приключване на обработката администраторът по чл. 3, ал. 1 иска да съхрани обработените лични данни за ползване като анонимни данни за исторически, научни или статистически цели, той трябва да уведоми за това Комисията за защита на личните данни.
(4) Комисията за защита на личните данни може да забрани съхраняването за целите по ал. 3, ако администраторът не е осигурил достатъчната защита на обработените данни като анонимни данни.
(5) Решението на комисията по ал. 4 подлежи на обжалване пред Върховния административен съд. В случаите на отхвърляне от Върховния административен съд на жалбата срещу решението на комисията администраторът на лични данни е длъжен да ги унищожи.
Глава пета
ДОСТЪП ДО ЛИЧНИ ДАННИ
Чл. 26. (1) Всяко физическо лице има право на достъп до отнасящи се за него лични данни.
(2) В случаите, когато при осъществяване правото на достъп на физическото лице могат да се разкрият лични данни и за трето лице, администраторът по чл. 3, ал. 1 е длъжен да предостави на съответното физическо лице достъп до частта от тях, отнасяща се само за него.
Чл. 27. Осъществяването на правото на достъп до лични данни не може да бъде насочено срещу правата и доброто име на друго физическо лице, както и срещу националната сигурност, обществения ред, народното здраве и морала.
Чл. 28. (1) Физическото лице, за което се обработват лични данни, има право:
1. да получи информацията по чл. 19, ал. 2;
2. да поиска от администратора на лични данни:
а) потвърждение за съществуването на лични данни, отнасящи се до него, независимо в каква фаза на обработване са;
б) изтриването, прехвърлянето в анонимни данни или блокирането на обработването, когато е в нарушение на закона или данните не са необходими за целите, за които са обработвани;
в) актуализирането или поправянето на данните;
3. да възрази пред администратора по чл. 3, ал. 1 срещу незаконосъобразността на обработване на лични данни, отнасящи се до него, освен когато това се изключва от разпоредбите на специален закон;
4. да забрани на администратора по чл. 3, ал. 1 да предоставя изцяло или частично обработените негови лични данни с намерение те да бъдат използвани за търговска информация, реклама или за пазарно проучване;
5. да поиска да бъде информиран, преди личните данни по т. 4 да се разкрият за първи път на трета страна.
(2) При поискване от съответното физическо лице администраторът по чл. 3, ал. 1 е длъжен да му издаде:
1. удостоверение, че действията по ал. 1, т. 2, букви “б” и “в” са извършени или че е направен мотивиран отказ;
2. удостоверение, че данните и действията по ал. 1 са доведени до знанието на трети лица, на които са прехвърлени.
(3) Правата по ал. 1 и 2 се упражняват лично от физическото лице или чрез изрично упълномощено от него друго лице.
(4) Администраторът по чл. 3, ал. 1 в 14-дневен срок е длъжен да се произнесе писмено по всяко искане на съответното физическо лице във връзка с упражняването на правата му по ал. 1.
(5) При нарушаване на правата по ал. 1 или при отказ за удовлетворяване на искането по ал. 2 физическото лице може да подаде жалба по реда на глава седма.
Чл. 29. (1) Правото на достъп се осъществява с писмено заявление до администратора на лични данни.
(2) Заявлението може да бъде отправено и по електронен път.
(3) Заявлението се отправя лично от физическото лице или чрез изрично упълномощено от него друго лице.
(4) Подаването на заявлението е безплатно.
Чл. 30. (1) Заявлението за достъп до лични данни съдържа:
1. името, адреса и други необходими данни за идентифициране на съответното физическо лице;
2. описание на искането;
3. предпочитана форма за предоставяне на достъпа до личните данни;
4. подпис, дата на подаване на заявлението и адрес за кореспонденция.
(2) При подаване на заявление от упълномощено лице освен данните по ал. 1 се прилага и съответното пълномощно.
(3) Заявленията за достъп се завеждат от администратора по чл. 3, ал. 1 в регистър.
Чл. 31. (1) Достъп до лични данни може да бъде предоставен под формата на устна или писмена справка или на преглед на данните от съответното физическо лице или от изрично упълномощено от него друго лице.
(2) Физическото лице може да поиска копие от обработваните лични данни на предпочитан носител или предоставяне по електронен път, освен в случаите, когато това е забранено от закон.
(3) Администраторът по чл. 3, ал. 1 е длъжен да се съобрази с предпочитаната от заявителя форма на предоставяне на достъп, освен в случаите, когато няма техническа възможност или това би довело до неправомерно обработване на исканата информация.
Чл. 32. (1) Администраторът на лични данни разглежда заявлението за достъп и се произнася по него в 14-дневен срок.
(2) Срокът по ал. 1 може да бъде мотивирано удължен до 30 дни в случаите, когато обективно се изисква по-дълъг срок за събирането на всички искани данни и това сериозно затруднява дейността на администратора.
(3) Администраторът взема решение за предоставянето на пълен или частичен достъп на заявителя или мотивира отказ за предоставяне на достъп.
Чл. 33. (1) Администраторът по чл. 3, ал. 1 писмено уведомява заявителя за решението си по чл. 32, ал. 3.
(2) Уведомяването по ал. 1 е лично срещу подпис или по пощата с обратна разписка.
Чл. 34. (1) Администраторът по чл. 3, ал. 1 отказва достъп до лични данни, когато данните не съществуват или не могат да бъдат предоставяни на определено правно основание. В отказа се посочват органът и срокът за неговото обжалване.
(2) За отказ се счита липсата на уведомление по чл. 33, ал. 1.
(3) (Нова, ДВ, бр. 93 от 2004 г.) Администраторът на лични данни отказва пълно или частично предоставяне на данни на лицето по ал. 1, когато от това би възникнала опасност за отбраната или националната сигурност или за опазването на класифицираната информация, като в отказа се посочва само правното основание.
Глава шеста
ПРЕДОСТАВЯНЕ НА ЛИЧНИ ДАННИ НА ТРЕТИ ЛИЦА
Чл. 35. (1) Предоставянето на лични данни от администратора по чл. 3, ал. 1 на трети лица се допуска по тяхна молба, подадена по реда на глава пета, когато:
1. съответното физическо лице изрично е дало съгласието си;
2. източниците на данни са публични регистри или документи, съдържащи обществена информация, за която е осигурен достъп, по ред, определен в закон;
3. е във връзка със защитата на живота или здравето на съответното физическо лице, както и когато неговото състояние не му позволява да даде съгласие или съществуват законни пречки за това;
4. е необходимо на органите на съдебната и изпълнителната власт и за защита на конкуренцията и потребителите и това е установено в закон;
5. те са необходими за целите на научни изследвания или за статистически цели и данните са анонимни.
(2) Забранява се предоставянето на лични данни на трети лица:
1. в нарушение на уведомлението по чл. 19, ал. 2, т. 1, 3 и 4;
2. за които е наредено унищожаване или за които срокът за обработване и съхраняване е изтекъл;
3. отнасящи се към определено физическо лице или към кръг физически лица, когато това влиза в противоречие със значим обществен интерес.
(3) Запознаването на оператора на лични данни или на обработващия данните в съответствие с инструкцията на администратора на лични данни не се счита за предоставяне на данни на трети лица.
Чл. 36. (1) Предоставянето на достъп до регистри на лични данни и прехвърлянето на лични данни от един администратор на друг се извършва при спазване изискванията на този закон и след разрешение на Комисията за защита на личните данни.
(2) Предоставянето на лични данни от администратора по чл. 3, ал. 1 на чуждестранни физически и юридически лица или на чужди държавни органи се допуска с разрешение на Комисията за защита на личните данни, ако нормативните актове на страната получател гарантират по-добра или еднаква с предвидената в този закон защита на данните.
(3) При предоставянето на достъп или при прехвърлянето на лични данни в случаите по ал. 1 и 2 се спазват изискванията на чл. 35, ал. 1 и 2.
Чл. 37. (1) Администраторът по чл. 3, ал. 1 в срок до 30 дни от подаването на молбата взема решение за предоставянето на лични данни на трето лице или на друг администратор на лични данни или мотивира отказ за предоставянето им.
(2) Уведомяването по ал. 1 е лично срещу подпис или по пощата с обратна разписка.
(3) Отказът за предоставяне на лични данни може да се обжалва от заинтересуваните лица по реда на този закон.
Глава седма
ОБЖАЛВАНЕ НА ДЕЙСТВИЯ НА АДМИНИСТРАТОРА НА ЛИЧНИ ДАННИ
Чл. 38. (1) В случаите на удължаване на срока, на предоставяне на частичен достъп или на отказ от предоставяне на достъп до лични данни съответното физическо лице може да сезира Комисията за защита на личните данни в 14-дневен срок от уведомяването по чл. 33, ал. 1 или от изтичането на срока по чл. 32, ал. 1.
(2) Физическото лице може да сезира Комисията за защита на личните данни в 14-дневен срок от извършване на нарушенията на правата му по чл. 28, ал. 1 и 2 или от узнаването им.
(3) Комисията за защита на личните данни в случаите по ал. 1 и 2 се произнася в 30-дневен срок с решение, в което може да даде задължителни указания до администратора на лични данни и срок за отстраняване на нарушението.
(4) Комисията за защита на личните данни изпраща копие от решението си и на физическото лице.
(5) Решението на комисията във връзка с ал. 1 подлежи на обжалване пред Върховния административен съд в 14-дневен срок от получаването му.
Чл. 39. (1) В случаите по чл. 38, ал. 1 физическото лице може да обжалва решението на администратора на лични данни пред съответния окръжен съд или пред Върховния административен съд съобразно общите правила за подсъдност. Жалбата се подава чрез съответния администратор в едномесечен срок от получаване на уведомлението по чл. 33, ал. 1.
(2) Физическото лице не може да сезира съда, ако има висящо производство пред Комисията за защита на личните данни или нейното решение е обжалвано и няма влязло в сила решение на съда относно същото решение на администратора. Съдът следи за наличието на посочените по-горе обстоятелства служебно.
(3) В случаите на неизпълнение на указанията по чл. 38, ал. 3 в предписания срок Комисията за защита на личните данни в 14-дневен срок може да сезира съответния окръжен съд или Върховния административен съд за извършеното нарушение от администратора на лични данни, съобразно общите правила за подсъдност.
(4) При разглеждането на споровете по ал. 1 и 3 се прилага Законът за административното производство, съответно Законът за Върховния административен съд.
Чл. 40. (1) При незаконосъобразно решение в случаите по чл. 38, ал. 1 съдът отменя изцяло или частично обжалваното решение, като задължава съответния администратор да предостави достъп до исканите лични данни.
(2) В случаите по ал. 1 достъпът до исканите лични данни се осъществява по реда на този закон.
(3) Съдът може да отхвърли жалбата срещу решението на Комисията за защита на личните данни, да го измени или да го отмени изцяло.
Чл. 41. Разпоредбите на чл. 38 - 40 се прилагат съответно и при отказ за предоставяне на лични данни в случаите по чл. 35 и чл. 36, ал. 1 и 2.
Глава осма
АДМИНИСТРАТИВНОНАКАЗАТЕЛНИ РАЗПОРЕДБИ
Чл. 42. (1) Длъжностно лице, което без уважителна причина не се произнесе в срок по заявление за достъп до лични данни, се наказва с глоба от 50 до 200 лв., ако не подлежи на по-тежко наказание.
(2) Длъжностно лице, което не изпълни предписания на Комисията за защита на личните данни или на съда и не предостави достъп до исканите лични данни, се наказва с глоба от 100 до 300 лв., ако не подлежи на по-тежко наказание.
(3) За всички други нарушения по този закон виновните лица се наказват с глоба от 50 до 300 лв., когато са извършени от физически лица, а на юридически лица и еднолични търговци се налага имуществена санкция от 500 до 1000 лв. Когато нарушението е извършено повторно, глобата, съответно имуществената санкция, е в двоен размер.
(4) В случаите на извършени нарушения по ал. 1, 2 и 3 администраторите на лични данни - физически лица, се наказват с глоба от 500 до 2000 лв., а на администраторите - юридически лица или еднолични търговци, се налага имуществена санкция от 1000 до 1500 лв. Когато нарушението е извършено повторно, глобата, съответно санкцията, е в двоен размер.
(5) Физическо лице, което обработва лични данни, без да е регистрирано по този закон, се наказва с глоба от 300 до 1000 лв. За същото нарушение, когато е извършено от юридическо лице или едноличен търговец, се налага имуществена санкция от 1000 до 3000 лв. Когато нарушението е извършено повторно, глобата, съответно санкцията, е в двоен размер.
(6) Администратор на лични данни, който извърши нарушение по чл. 22, ал. 3 от този закон, се наказва с глоба от 500 до 1000 лв., когато нарушението е извършено от физическо лице. За същото нарушение, когато е извършено от юридическо лице или едноличен търговец, се налага имуществена санкция от 1000 до 3000 лв. Когато нарушението е извършено повторно, се налага глоба, съответно имуществена санкция в двоен размер.
(7) Администратор на лични данни, който извърши нарушение по чл. 23, ал. 1 и 2 от този закон, се наказва с глоба от 1000 до 1500 лв., когато нарушението е извършено от физическо лице. За същото нарушение, когато е извършено от юридическо лице или едноличен търговец, се налага имуществена санкция от 1500 до 5000 лв. Когато нарушението е извършено повторно, се налага глоба, съответно имуществена санкция, в двоен размер.
Чл. 43. (1) Актовете за установяване на административните нарушения се съставят от член на Комисията за защита на личните данни или от упълномощени от комисията длъжностни лица от администрацията.
(2) Наказателните постановления се издават от председателя на Комисията за защита на личните данни.
(3) Установяването на нарушенията, издаването, обжалването и изпълнението на наказателните постановления се извършват по реда на Закона за административните нарушения и наказания.
ДОПЪЛНИТЕЛНА РАЗПОРЕДБА
§ 1. По смисъла на този закон:
1. “Обработване на лични данни” е всяка операция или набор от операции, извършвани или не с електронни или други автоматични средства, които съдържат събиране, запис, организиране, складиране, адаптиране или промяна, актуализиране, изваждане, консултиране, употреба, комбиниране, блокиране, разкриване, разпространяване или осигуряване на други възможности за предоставяне на достъп, съхраняване, изтриване или унищожаване на данните.
2. “Регистър за лични данни” е документален, картотечен или автоматизиран информационен фонд, структуриран според няколко специфични критерия, подходящи за улесняване на тяхната обработка, съставени от един или няколко елемента на едно или няколко физически места.
3. “Обработващ лични данни” е физическо или юридическо лице, което обработва лични данни под ръководството на администратора на лични данни въз основа на сключен с него договор или заповед за назначаване.
4. “Оператор на лични данни” е физическо лице, действащо под ръководството и контрола на администратора или на обработващия лични данни, което има достъп до тях, на основание на писмен договор или заповед за назначаване за обработването им, съобразно инструкция на администратора на лични данни за реда и начините на обработването им.
5. “Предоставяне на лични данни” са действия по цялостно или частично пренасяне на лични данни от един администратор към друг или към трето лице на територията на страната или извън нея.
6. “Анонимни данни” са данни, които не могат да се отнесат към определено или определяемо физическо лице поради произхода си или специфичната си обработка.
7. “Блокиране” е складирането на лични данни с временно прекратяване на обработката им.
8. “Длъжностно лице” е всяко физическо лице, което е овластено от администратора да поддържа регистър с лични данни, да организира дейността във връзка с него и да носи отговорност за това, както и самият администратор на лични данни в случаите, когато е физическо лице.
9. “Повторно” е нарушението, което е извършено в едногодишен срок от влизането в сила на наказателното постановление, с което е наложено наказание за същия вид нарушение.
10. (Нова, ДВ, бр. 70 от 2004 г.) “Човешки геном” е съвкупността от всички гени в единичен (диплоиден) набор хромозоми на дадено лице.
ПРЕХОДНИ И ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ
§ 2. (1) В едномесечен срок от влизането в сила на този закон Министерският съвет предлага на Народното събрание състава на Комисията за защита на личните данни.
(2) В 14-дневен срок от внасяне на предложението по ал. 1 Народното събрание избира състава на Комисията за защита на личните данни.
(3) В 3-месечен срок от избирането й Комисията за защита на личните данни приема и обнародва в “Държавен вестник” правилника по чл. 9, ал. 2.
(4) Министерският съвет в едномесечен срок от влизането в сила на решението на Народното събрание по ал. 2 осигурява необходимото имущество и финансови ресурси за започване работа на комисията.
§ 3. (1) В 6-месечен срок от влизането в сила на правилника по чл. 9, ал. 2 лицата, които към момента на влизане в сила на закона поддържат регистри с лични данни, ги привеждат в съответствие с изискванията на закона и уведомяват за това комисията.
(2) Комисията извършва предварителни проверки, регистрира или отказва да регистрира като администратори лица, които поддържат регистри към момента на влизане в сила на закона, както и водените от тях регистри в 3-месечен срок от получаването на заявлението по ал. 1.
(3) Решенията на комисията за отказ на регистрация подлежат на обжалване пред Върховния административен съд в 14-дневен срок.
(4) С влизането в сила на решението на комисията за отказ на регистрация или на решението на Върховния административен съд, с което се потвърждава отказът на комисията, лицето, което неправомерно води регистър, е длъжно да унищожи лични данни, съдържащи се в регистъра му, или със съгласието на комисията да ги прехвърли на друг администратор, който е регистрирал своя регистър и обработва лични данни за същите цели.
(5) Комисията осъществява контрол върху изпълнението на задължението по ал. 4.
(6) В 3-месечен срок от регистрацията администраторът по чл. 3, ал. 1 е длъжен да публикува в бюлетина на Комисията за защита на личните данни сведенията по чл. 22, ал. 1.
§ 4. В Закона за достъп до обществена информация (ДВ, бр. 55 от 2000 г.) се правят следните изменения:
1. В чл. 2, ал. 3 думите “лична информация” се заменят с “лични данни”.
2. В § 1 т. 2 се изменя така:
“2. “Лични данни” са информация за физическо лице, която разкрива неговата физическа, психологическа, умствена, семейна, икономическа, културна или обществена идентичност.”
§ 5. Законът влиза в сила от 1 януари 2002 г.
Законът е приет от XXXIX Народно събрание на 21 декември 2001 г. и е подпечатан с официалния печат на Народното събрание.
|