ЗАКОН ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
Това е резюме на текстовете от нормативния акт, целящо лесно и бързо запознаване на потребителя с нормите в него.
Виж оригиналния текст на документа
Чл. 1
Законът урежда обществените отношения, свързани с правата на физическите лица при обработване на лични данни, в контекста на Регламент (ЕС) 2016/679. Той определя правила за защита на личните данни от компетентните органи с цел предотвратяване и разследване на престъпления. Основната цел е да се осигури защита на физическите лица и да се уредят правомощията на Комисията за защита на личните данни. Законът не се прилага за обработване на данни за отбраната и националната сигурност, нито за данни на починали лица, освен в определени случаи. Държавите от Европейското икономическо пространство и Швейцария се третират като равнопоставени на страните от ЕС при обработване на лични данни.
Чл. 2
Член 2 от Закона за защита на личните данни е бил допълнен през 2004 г., изменен през 2005 г. и впоследствие отменен през 2019 г. Този член е част от правната рамка, регулираща защитата на личните данни в България.
Чл. 3
Член 3 от Закона за защита на личните данни е отменен с изменения, публикувани в Държавен вестник, брой 17 от 2019 година. Това означава, че разпоредбите, които са били включени в този член, вече не са в сила и не се прилагат.
Чл. 4
Член 4 от Закона за защита на личните данни е бил изменен през 2005 година и след това отменен през 2019 година. Това означава, че разпоредбите, които са били включени в този член, вече не са в сила.
Чл. 5
Чл. 5 от Закона за защита на личните данни, който преди е регулирал Комисията за защита на личните данни, е бил изменен през 2005 г. и отменен през 2019 г. Тази промяна показва, че законодателството относно защитата на личните данни е претърпяло значителни изменения.
Чл. 6
Комисията за защита на личните данни е независим надзорен орган, който осъществява защитата на личните данни на лицата и контролира спазването на Регламент (ЕС) 2016/679 и закона за защита на личните данни. Тя съдейства за провеждането на държавната политика в областта на защитата на личните данни и е юридическо лице на бюджетна издръжка със седалище в София. Председателят на комисията е първостепенен разпоредител с бюджет.
Чл. 7
Комисията за защита на личните данни е колегиален орган, състоящ се от председател и 4 членове, избирани от Народното събрание по предложение на Министерския съвет за срок от 5 години, с възможност за преизбиране. След изтичането на мандата, те продължават да изпълняват функциите си до избор на нови членове. Дейността им е по трудово правоотношение. Членовете получават основно месечно възнаграждение, равно на 2,5 средномесечни работни заплати в обществения сектор, увеличени с 20%. Председателят получава 30% повече от основното възнаграждение. Комисията трябва да представя годишен отчет пред Народното събрание до 31 март всяка година.
Чл. 8
Чл. 8 от Закона за защита на личните данни определя изискванията за членове на комисията, които трябва да бъдат български граждани с висше образование в сферата на информатиката или правото и с не по-малко от 10 години трудов стаж. Лица, осъждани за умишлени престъпления, не могат да бъдат избирани. Членовете не могат да бъдат управители на търговски дружества или свързани лица с друг член на комисията. Председателят трябва да бъде правоспособен юрист. Мандатът може да бъде прекратен предсрочно при определени обстоятелства, включително смърт, нарушение на закона или конфликт на интереси. Времето, прекарано в комисията, се признава за служебен стаж.
Чл. 9
Член 9 от Закона за защита на личните данни описва организацията и функционирането на комисията, която осъществява дейността си с помощта на администрация. Комисията определя в правилник реда на своята работа и разглеждане на производствата, който се обнародва в "Държавен вестник". Решенията се вземат с мнозинство, а заседанията са предимно открити, с изключение на определени случаи, когато комисията решава заседанията да бъдат закрити. От 04.05.2023 г. заседанията, свързани с лицата, подаващи сигнали за нарушения, са задължително закрити.
Чл. 10
Член 10 от Закона за защита на личните данни определя задачите на Комисията, която отговаря за спазването на Регламент (ЕС) 2016/679. Комисията осъществява надзор, издава подзаконови актове, участва в международни сътрудничества и организира обучения в областта на защитата на личните данни. Тя също така публикува бюлетин с информация за своята дейност и взетите решения.
Чл. 10а
Член 10а от Закона за защита на личните данни определя правомощията на Комисията, която упражнява правомощията по чл. 58 от Регламент (ЕС) 2016/679. Комисията има правомощия да сезира съда за нарушения на Регламента и да предоставя указания, насоки, препоръки и най-добри практики относно защитата на личните данни.
Чл. 10б
Чл. 10б от Закона за защита на личните данни определя Комисията като централен орган, отговорен за външното подаване на сигнали относно нарушения на закона. Комисията може да изпълнява и допълнителни задачи и правомощия, които са възложени с закон.
Чл. 10в
Член 10в от Закона за защита на личните данни описва участието на Комисията в механизма за съгласуваност съгласно Регламент (ЕС) 2016/679. Комисията осъществява сътрудничество с надзорни органи на други държави членки на ЕС, включително чрез обмен на информация и участие в съвместни операции. Правилата за участие и процедурите за взаимопомощ ще бъдат определени в правилника по чл. 9, ал. 2.
Чл. 10г
Чл. 10г от Закона за защита на личните данни предвижда, че при изпълнение на задачите и правомощията си относно администратори или обработващи лични данни, които са микропредприятия, малки и средни предприятия, Комисията трябва да взема предвид специалните им потребности и наличните ресурси.
Чл. 11
Член 11 от Закона за защита на личните данни определя задълженията на председателя на комисията. Той организира и ръководи дейността на комисията, представлява я пред трети лица, назначава и освобождава служители, а също така издава наказателни постановления по определени разпоредби от закона.
Чл. 12
Член 12 от Закона за защита на личните данни регламентира контрола, осъществяван от комисията, чрез предварителни консултации, проверки и съвместни операции. Председателят и членовете на комисията могат да извършват предварителни консултации при обработка на лични данни, особено в обществени интереси. Проверки могат да се инициират от комисията, по жалба или сигнал, и завършват с констативен акт. При установяване на нарушения може да се образува административнонаказателно производство. Също така, комисията може да провежда съвместни операции с надзорни органи на други държави членки на ЕС.
Чл. 12а
Чл. 12а от Закона за защита на личните данни предвижда, че администраторите и обработващите лични данни трябва да оказват съдействие на комисията при изпълнението на нейните задачи. В случай, че предоставянето на информация нарушава задължения за опазване на тайна, администраторът или обработващият може да откаже достъп само до информацията, защитена като тайна. За класифицирана информация се прилага редът по Закона за защита на класифицираната информация.
Чл. 13
Член 13 от Закона за защита на личните данни задължава председателя, членовете на комисията и служителите от администрацията да не разкриват и не използват информация, представляваща защитена тайна, за лична или чужда облага, до изтичане на срока за защита. При постъпване на работа, те подават декларация за тези задължения. Освен това, служителите, назначени по трудово правоотношение, имат право на представително облекло на стойност до две минимални работни заплати, финансирано от бюджета на комисията, а индивидуалният размер на средствата се определя от председателя на комисията.
Чл. 14
Чл. 14 от Закона за защита на личните данни описва процедурата за акредитация на сертифициращи органи от Комисията. Акредитацията се извършва в съответствие с Регламент (ЕС) 2016/679 и е валидна за срок от 5 години, с възможност за подновяване. Комисията може да отнеме акредитацията при неспазване на условията или при нарушения на закона. Решенията за отнемане могат да се обжалват. Условията и редът за акредитация, както и критериите за сертифициране, се определят с наредби, които се обнародват в "Държавен вестник."
Чл. 14а
Комисията одобрява проекти на кодекси за поведение по сектори, извършва акредитация на органи за наблюдение на одобрени кодекси, определя изисквания и ред за акредитация. Акредитацията може да бъде отнета при неспазване на изискванията или при нарушения на закона. Решенията за отнемане на акредитация могат да се обжалват.
Чл. 15 от Закона за защита на личните данни.
Комисията за защита на личните данни води публични и непублични регистри. Публичните регистри включват: регистър на администраторите и обработващите лични данни с назначени длъжностни лица по защита на данните, регистър на акредитираните сертифициращи органи и регистър на кодексите за поведение. Непубличните регистри включват: регистър на нарушенията на Регламент (ЕС) 2016/679 и на Закона за защита на личните данни, както и регистър на уведомленията за нарушения на сигурността на личните данни. Редът за създаване и поддържане на регистрите, както и достъпът до тях, се определят от Закона за електронното управление.
Чл. 16
Член 16 от Закона за защита на личните данни определя условията и реда за обучение на лица, които ще изпълняват функции по защита на данните. Комисията издава сертификат на успешно преминалите обучението, валиден за три години, след което сертификатът може да бъде подновен. Наличието на сертификат не е задължително условие за назначаване на длъжностно лице по защита на данните. За обучението се събират такси, освен в случаите, когато обучението е организирано от комисията.
Чл. 17 от Закона за защита на личните данни
Инспекторатът към Висшия съдебен съвет осъществява надзор за спазването на Регламент (ЕС) 2016/679 и българския закон за защита на личните данни. Надзорът обхваща обработването на лични данни от съдилищата, прокуратурата и следствените органи, когато те действат в качеството си на органи на съдебната власт, с цел предотвратяване и разследване на престъпления. Редът за осъществяване на надзора, включително проверки и разглеждане на производствата, се определя с правилника по Закона за съдебната власт.
Чл. 17а
Чл. 17а от Закона за защита на личните данни определя правомощията и задачите на инспектората при осъществяване на надзор над обработването на лични данни от съда. Инспекторатът изпълнява определени задачи и правомощия, свързани с Регламент (ЕС) 2016/679, включително оценка на въздействието върху защитата на данните и сезиране на съда при нарушения. Освен това, инспекторатът участва в международно сътрудничество и предоставя указания и насоки за защитата на личните данни. При обработване на данни за целите на чл. 42, ал. 1, инспекторатът изпълнява задачи и правомощия по глава осма.
Чл. 17б
Чл. 17б от Закона за защита на личните данни предвижда, че Инспекторатът извършва предварителни консултации в два случая: 1) когато става въпрос за обработване на лични данни, което изисква оценка на въздействието върху защитата на данните, съгласно чл. 36, параграф 1 от Регламент (ЕС) 2016/679; 2) при обработване на лични данни за изпълнение на задача в обществен интерес, при което Инспекторатът може да разреши обработването преди изтичането на определен срок. Процедурата за предварителни консултации се извършва в съответствие с чл. 36, параграфи 2 и 3 от същия регламент.
Чл. 18
Чл. 18 от Закона за защита на личните данни описва процедурата за осъществяване на надзор. Инспекторатът извършва проверки съгласно годишната програма или по получени сигнали, включително публикации в медиите. Проверки се извършват от главния инспектор или от упълномощен инспектор с помощта на експерти, на базата на заповед на главния инспектор.
Чл. 19
Член 19 от Закона за защита на личните данни описва процедурата за приключване на проверки, свързани с личните данни. Проверката завършва с акт за резултати, който съдържа констатации и, при необходимост, препоръки. При установяване на нарушения на Регламент (ЕС) 2016/679 и на закона, се прилагат мерки в зависимост от характера и степента на нарушението, включително административни наказания. Мерките се прилагат с решение на инспектората по предложение на инспектора, извършил проверката.
Чл. 20
Главният инспектор, инспекторите и съдебните служители в администрацията на инспектората имат задължението да не разкриват и да не използват за лична или чужда изгода информация, която представлява защитена от закон тайна, получена в резултат на тяхната работа по този закон, до момента на изтичане на срока за защита на тази информация.
Чл. 21
Чл. 21 от Закона за защита на личните данни описва задължението на Инспектората да води два непублични регистъра: 1) регистър на нарушенията на Регламент (ЕС) 2016/679 и на закона, и предприетите мерки; 2) регистър на уведомленията за нарушения на сигурността на личните данни. Редът за създаване и поддържане на регистрите, както и достъпът до тях, се определят от Закона за електронното управление, а съдържанието им - с правилника по Закона за съдебната власт.
Чл. 22
Член 22 от Закона за защита на личните данни е бил изменен през 2005 г. и впоследствие отменен през 2019 г. Тази промяна показва, че разпоредбата е била актуализирана или заменена с нова регулация в контекста на защита на личните данни.
Чл. 22а
Чл. 22а от Закона за защита на личните данни, който е нов през 2006 г. и впоследствие отменен през 2019 г., се отнася до глава четвърта на закона, касаеща защитата на личните данни. Съгласно последната редакция, глава четвърта е отменена.
Чл. 23
Член 23 от Закона за защита на личните данни е бил изменен през 2005 г. и по-късно отменен през 2019 г. Тази промяна показва, че разпоредбата е била актуализирана или заменена с нови правила, отнасящи се до защитата на личните данни.
Чл. 23а
Член 23а от Закона за защита на личните данни, който е нов, е бил публикуван в Държавен вестник, брой 81 от 2011 година, но е отменен с решение от Държавен вестник, брой 17 от 2019 година.
Чл. 23б
Член 23б от Закона за защита на личните данни е бил новоразработен с обнародване в Държавен вестник, брой 81 от 2011 г., но по-късно е отменен с обнародване в Държавен вестник, брой 17 от 2019 г. Тази информация показва, че разпоредбата е била в сила за определен период, след което е престанала да бъде приложима.
Чл. 24
Член 24 от Закона за защита на личните данни е отменен с изменение, публикувано в Държавен вестник, брой 17 от 2019 година.
Чл. 25
Член 25 от Закона за защита на личните данни е отменен с изменение, обнародвано в Държавен вестник, брой 17 от 2019 г. Въведена е нова глава, която регламентира общите правила и особени случаи на обработване на лични данни.
Чл. 25а
Когато лични данни са предоставени без правно основание или в противоречие с принципите на Регламент (ЕС) 2016/679, администраторът или обработващият лични данни са задължени да върнат данните в срок от един месец. Ако връщането е невъзможно или изисква несъразмерни усилия, данните трябва да бъдат изтрити или унищожени, като този процес се документира.
Чл. 25б
Администраторът и обработващият лични данни са задължени да уведомяват Комисията за имената, единния граждански номер или личния номер на чужденец, както и за данните за контакт на длъжностното лице по защита на данните. Те също така трябва да уведомят за всякакви последващи промени в тези данни. Формата и съдържанието на уведомлението, както и редът за подаването му, се определят с правилника по чл. 9, ал. 2.
Чл. 25в
Обработването на лични данни на лица под 14 години е допустимо само при условие, че съгласието е предоставено от родител или настойник. Това е в контекста на Регламент (ЕС) 2016/679 и Закона за електронната търговия, когато данните се обработват за предлагане на услуги на информационното общество.
Чл. 25г.
Администраторите или обработващите лични данни могат да копират документи за самоличност, свидетелство за управление на МПС или документ за пребиваване само ако съществува законово основание за това.
Чл. 25д.
Администраторите и обработващите лични данни са длъжни да приемат и прилагат правила при мащабно обработване на лични данни или систематично наблюдение на публично достъпни зони, включително видеонаблюдение. Тези правила трябва да включват правни основания, цели на наблюдението, териториален обхват, срок на съхранение на записите, права на наблюдаваните лица и информация за наблюдението. Комисията предоставя насоки за изпълнение на тези задължения на своята интернет страница.
Чл. 25е
Администраторът или обработващият лични данни може да обработва лични данни на починали лица само при наличие на правно основание. Трябва да се предприемат мерки за защита на правата на други лица и обществения интерес. При поискване, администраторът осигурява достъп до данни на починало лице на наследниците или на лица с правен интерес, в съответствие с регламентираните срокове и условия, освен ако не е предвидено друго в закон.
Чл. 25ж
Член 25ж от Закона за защита на личните данни предвижда ограничения за публичния достъп до информация, съдържаща единен граждански номер или личен номер на чужденец, освен ако закон не предвижда друго. Администраторите на услуги по електронен път трябва да предприемат мерки, така че тези номера да не бъдат единственото средство за идентификация на потребителите. При предоставяне на административни услуги по електронен път, администраторът трябва да осигури идентификация на субекта на данни по законово предвиден ред.
Чл. 25з
Чл. 25з от Закона за защита на личните данни регламентира обработването на лични данни за журналистически, академични, художествени или литературни цели, при условие че се спазва свободата на изразяване и правото на информация, като се зачита неприкосновеността на личния живот. При разкриване на лични данни, се оценява балансът между правото на информация и защитата на личните данни, на базата на определени критерии. Някои разпоредби от Регламент (ЕС) 2016/679 не се прилагат при тези цели, а също така се предвиждат изключения при създаване на аудиовизуални произведения, когато лицата са заснети в обществена среда.
Чл. 25и
Работодателите и органите по назначаването, като администратори на лични данни, трябва да приемат правила и процедури, свързани с: 1. системи за докладване на нарушения; 2. ограничения при използване на вътрешнофирмени ресурси; 3. контрол на достъпа, работното време и трудовата дисциплина. Правилата трябва да съдържат информация за обхвата, задълженията и методите за прилагане, без да ограничават правата на субектите на данните, и работниците трябва да бъдат уведомени за тях.
Чл. 25к
Работодателят или органът по назначаването, като администратор на лични данни, определя срок за съхранение на лични данни на участниците в процедури по набиране на персонал, който не може да надвишава 6 месеца, освен ако кандидатът не е дал съгласие за по-дълъг срок. След изтичането на срока, данните трябва да бъдат изтрити или унищожени, освен ако не е предвидено друго от закон. Документи, удостоверяващи физическа и психическа годност, трябва да бъдат върнати на неодобрените кандидати в 6-месечен срок след приключване на процедурата.
Чл. 25л.
Чл. 25л. от Закона за защита на личните данни предвижда, че обработването на лични данни за целите на Националния архивен фонд на Република България се счита за обработване в обществен интерес. В такива случаи не се прилагат определени членове от Регламент (ЕС) 2016/679, а именно чл. 15, 16, 18, 19, 20 и 21.
Чл. 25м
Чл. 25м от Закона за защита на личните данни указва, че при обработката на лични данни с цел статистика не се прилагат разпоредбите на чл. 15, 16, 18 и 21 от Регламент (ЕС) 2016/679. Това означава, че определени права и изисквания, свързани с обработването на лични данни, не важат при статистическа обработка.
Чл. 25н
Лични данни, събрани за различна цел, могат да се обработват за нуждите на Националния архивен фонд, научни или исторически изследвания, или статистически цели. При това администраторът е задължен да прилага подходящи технически и организационни мерки, за да осигури правата и свободите на субектите на данни, в съответствие с Регламент (ЕС) 2016/679.
Чл. 25о
Чл. 25о от Закона за защита на личните данни позволява обработването на лични данни за хуманитарни цели от публични органи и хуманитарни организации, както и в случаи на бедствия. В тези ситуации не се прилагат разпоредбите на чл. 12 - 21 и чл. 34 от Регламент (ЕС) 2016/679.
Чл. 26
Член 26 от Закона за защита на личните данни е отменен с изменения, публикувани в Държавен вестник, брой 17 от 2019 година.
Чл. 27
Член 27 от Закона за защита на личните данни е изменен с ДВ, бр. 103 от 2005 г. и впоследствие отменен с ДВ, бр. 91 от 2006 г. Този член не е в сила след отменянето му и не предвижда нови разпоредби.
Чл. 28
Член 28 от Закона за защита на личните данни е бил изменен с обнародване в Държавен вестник, брой 103 от 2005 г. и е отменен с обнародване в Държавен вестник, брой 17 от 2019 г. Това означава, че разпоредбите, свързани с този член, вече не са в сила.
Чл. 28а
Член 28а от Закона за защита на личните данни, който е бил въведен с ДВ, бр. 103 от 2005 г., е отменен с ДВ, бр. 17 от 2019 г. Това означава, че разпоредбите, съдържащи се в този член, вече не са в сила.
Чл. 29
Член 29 от Закона за защита на личните данни е отменен с обнародването в Държавен вестник, брой 17 от 2019 година. Това означава, че разпоредбите, които са били в сила до този момент, вече не са приложими.
Чл. 30
Член 30 от Закона за защита на личните данни е бил изменен с ДВ, бр. 103 от 2005 г. и впоследствие е отменен с ДВ, бр. 17 от 2019 г. Това означава, че разпоредбите, които са били в сила, вече не са приложими.
Чл. 31
Член 31 от Закона за защита на личните данни е отменен с обнародване в Държавен вестник, брой 17 от 2019 година.
Чл. 32
Член 32 от Закона за защита на личните данни е бил изменен през 2005 г. и впоследствие отменен през 2019 г. Това означава, че разпоредбите, които са били в сила по този член, вече не са приложими.
Чл. 33
Член 33 от Закона за защита на личните данни е отменен с изменение, обнародвано в Държавен вестник, брой 17 от 2019 година.
Чл. 34
Член 34 от Закона за защита на личните данни е отменен с обнародването му в Държавен вестник, брой 17 от 2019 година.
Чл. 34а
Член 34а от Закона за защита на личните данни е нов в Държавен вестник, бр. 103 от 2005 г., но е отменен с Държавен вестник, бр. 17 от 2019 г. Това означава, че разпоредбата е била в сила за определен период, след което е престанала да бъде приложима.
Чл. 34б
Член 34б от Закона за защита на личните данни е отменен с ДВ, бр. 17 от 2019 г. и е част от глава шеста, която се отнася до предоставянето на лични данни на трети лица. Настоящата глава е актуализирана след отмяната на предходната версия.
Чл. 35
Член 35 от Закона за защита на личните данни е бил изменен с ДВ, бр. 103 от 2005 г., но след това е отменен с ДВ, бр. 91 от 2006 г. Това означава, че разпоредбите, които са били в сила до изменението, вече не са приложими.
Чл. 36
Член 36 от Закона за защита на личните данни е бил изменен през 2005 г. и е бил в сила до 01.01.2007 г., след което е отменен през 2019 г. Текущата версия на закона не включва разпоредбите на този член.
Чл. 36а
Член 36а от Закона за защита на личните данни, който е нов и е публикуван в Държавен вестник, брой 103 от 2005 година, влиза в сила от 01.01.2007 година. Този член е отменен с обнародването в Държавен вестник, брой 17 от 2019 година.
Чл. 36б
Член 36б от Закона за защита на личните данни, който е бил нов и е влязъл в сила на 01.01.2007 г., е отменен с изменения, обнародвани в Държавен вестник, брой 17 от 2019 г.
Чл. 36в
Член 36в, въведен с ДВ, бр. 81 от 2011 г., е отменен с ДВ, бр. 17 от 2019 г. Този член е част от законодателството, регулиращо защитата на личните данни в България.
Чл. 36г.
Член 36г. от Закона за защита на личните данни, който е добавен с изменения в Държавен вестник, бр. 81 от 2011 година, е отменен с изменения в Държавен вестник, бр. 17 от 2019 година.
Чл. 36д
Член 36д, въведен с изменение в ДВ, бр. 81 от 2011 г., е отменен с изменение в ДВ, бр. 17 от 2019 г. Тази разпоредба вече не е в сила и не оказва правно действие.
Чл. 36е
Член 36е от Закона за защита на личните данни е бил нов, публикуван в Държавен вестник, брой 81 от 2011 г., но е отменен с изменения, обнародвани в Държавен вестник, брой 17 от 2019 г. Това означава, че разпоредбата вече не е в сила и не се прилага.
Чл. 36ж
Член 36ж от Закона за защита на личните данни, който е бил нов, е отменен с изменения, публикувани в Държавен вестник, брой 17 от 2019 година.
Чл. 36з
Член 36з от Закона за защита на личните данни, който е бил нов, е отменен с изменения, публикувани в Държавен вестник, брой 17 от 2019 г. Тази отмяна означава, че разпоредбите, които са били включени в този член, вече не са в сила.
Чл. 36и
Член 36и от Закона за защита на личните данни е бил нов, приет с обнародването в Държавен вестник, брой 81 от 2011 година, но е отменен с обнародването в Държавен вестник, брой 17 от 2019 година.
Глава седма
Глава седма от Закона за защита на личните данни регламентира правата на субектите на данни и средствата за правна защита. Тази глава включва процедури и условия за обжалване на действията на администратора на лични данни, което позволява на субектите да защитават своите права и интереси в случай на неправомерно обработване на лични данни.
Чл. 37а
Чл. 37а от Закона за защита на личните данни определя, че администраторът или обработващият лични данни може да откаже упражняването на правата на субектите на данни, както и да не изпълни задълженията си, когато това би създало риск за важни обществени интереси. Конкретно, отказът е допустим в случаи на заплаха за националната сигурност, обществения ред, разследването на престъпления, защита на съдебната власт, и други важни икономически или социални интереси. Условията за прилагане на тези ограничения ще бъдат определени със закон, в съответствие с Регламент (ЕС) 2016/679.
Чл. 37б
Субектите на данни могат да упражняват правата си по чл. 15 - 22 от Регламент (ЕС) 2016/679 чрез писмено заявление до администратора на лични данни или по друг определен от администратора начин. Заявленията могат да се подават и електронно, в съответствие със законодателството за електронните услуги, или чрез действия в потребителския интерфейс на информационната система, след идентификация на лицето.
Чл. 37в
Чл. 37в от Закона за защита на личните данни описва изискванията за подаване на заявление по чл. 37б. Заявлението трябва да съдържа: 1) идентификационни данни на физическото лице; 2) описание на искането; 3) предпочитана форма за получаване на информация; 4) подпис, дата и адрес за кореспонденция. Ако заявлението е подадено от упълномощено лице, се прилага и пълномощно.
Чл. 38
Субектът на данни има право да сезира комисията при нарушение на правата си по Регламент (ЕС) 2016/679 и по този закон в срок от 6 месеца след узнаването на нарушението, но не по-късно от две години след неговото извършване. Комисията информира жалбоподателя за напредъка или резултата от разглеждането на жалбата в тримесечен срок. Комисията се произнася с решение, прилагане на мерки или налагане на административно наказание. Жалбата може да бъде оставена без разглеждане, ако е очевидно неоснователна или прекомерна. Решението на комисията може да се обжалва в 14-дневен срок.
Чл. 38а
Чл. 38а от Закона за защита на личните данни предвижда, че жалбите до комисията могат да се подават писмено, по факс или електронно, съгласно Закона за електронния документ и електронните удостоверителни услуги. Анонимни жалби и жалби без подпис не се разглеждат.
Чл. 38б
Субектът на данни има право да подаде жалба до инспектората, ако правата му по Регламент (ЕС) 2016/679 и Закона за защита на личните данни са нарушени при обработване на лични данни от съда, прокуратурата или следствените органи. Жалбата може да се подаде в срок от 6 месеца от узнаването на нарушението, но не по-късно от две години от извършването му.
Чл. 38в
Чл. 38в от Закона за защита на личните данни описва процедурата за разглеждане на жалби, свързани с нарушения на личните данни. Жалбата се разглежда от инспектор, избран случайно от главния инспектор. Инспекторът събира данни и информира жалбоподателя за напредъка в срок от три месеца. Ако жалбата е неоснователна, инспекторът издава решение, което може да бъде обжалвано в 14-дневен срок. При основателна жалба, инспекторатът издава решение по предложение на инспектора, което също подлежи на обжалване. Жалбите, които са очевидно неоснователни или прекомерни, могат да бъдат оставени без разглеждане.
Чл. 38г
Чл. 38г от Закона за защита на личните данни предвижда мерки и наказания при установени нарушения на Регламент (ЕС) 2016/679 и на закона. В зависимост от характера и степента на нарушението, могат да се прилагат мерки по чл. 58, параграф 2 от Регламента или да се налагат административни наказания по чл. 83. Мерките се прилагат с решение на инспектората по предложение на инспектора, разгледал жалбата.
Чл. 39
Чл. 39 от Закона за защита на личните данни предвижда, че субектът на данни може да обжалва действия и актове на администратора или обработващия лични данни пред съда, ако правата му по Регламент (ЕС) 2016/679 и по този закон са нарушени. В производството по обжалване, субектът може да иска обезщетение за вреди от неправомерно обработване на лични данни. Съществува ограничение, при което субектът не може да сезира съда, ако има висящо производство пред комисията за същото нарушение или ако е обжалвано нейно решение, без влязло в сила съдебно решение. Същото важи и за висящи производства пред инспектората.
Чл. 40
Член 40 от Закона за защита на личните данни, отменен през 2005 г. и новоразработен през 2019 г., указва, че когато решението по чл. 38, ал. 3 е взето в изпълнение на задължително решение на Европейския комитет по защита на данните, се прилагат съответно членове 263 и 267 от Договора за функционирането на Европейския съюз.
Чл. 41
Глава осма от Закона за защита на личните данни се отнася до правилата за защита на физическите лица при обработването на лични данни от компетентните органи. Целта на тези правила е да се предотвратяват, разследват, разкриват или наказват престъпления, както и да се осигури обществен ред и сигурност. Включва административнонаказателни разпоредби, които са нови от 2019 година.
Чл. 42
Член 42 от Закона за защита на личните данни определя правилата за обработка на лични данни от компетентни органи, свързани с предотвратяването и разследването на престъпления. Личните данни, събрани за тези цели, не могат да се използват за други цели, освен ако не е предвидено от правото на ЕС или българското законодателство. При обработка на данни за различни цели, се прилагат Регламент (ЕС) 2016/679 и съответните разпоредби от закона. Компетентни органи включват държавни органи с правомощия в областта на наказателното преследване и обществената сигурност. Администраторите на данни са компетентните органи или техните административни структури, които определят целите и средствата за обработка на лични данни.
Чл. 42а
Чл. 42а е нова разпоредба, която е била приета с изменения в Закона за защита на личните данни, публикувани в Държавен вестник, брой 103 от 2005 г. Впоследствие, тази разпоредба е отменена с изменения, обнародвани в Държавен вестник, брой 17 от 2019 г. Следователно, Чл. 42а вече не е в сила и не оказва правно действие.
Чл. 43
Член 43 от Закона за защита на личните данни определя, че правилата на главата се прилагат за обработката на лични данни, извършвана изцяло или частично с автоматични средства, както и за обработката на лични данни с други средства, които са част от регистър с лични данни или са предназначени да бъдат част от такъв регистър.
Чл. 44
Чл. 44 от Закона за защита на личните данни предвижда, че обменът на лични данни между компетентните органи на държавите членки на Европейския съюз не може да бъде ограничаван или забраняван по причини, свързани със защитата на физическите лица, когато такъв обмен е изискан от правото на ЕС или от българското законодателство.
Чл. 45
Чл. 45 от Закона за защита на личните данни определя условията, при които личните данни трябва да се обработват. Те трябва да бъдат законосъобразни, събирани за конкретни и законни цели, относими и не надхвърлящи необходимото, точни и актуални, съхранявани за ограничен период и обработвани с подходящо ниво на сигурност. Обработването от администратор е разрешено, ако е оправомощен и необходимо за различни цели, при спазване на правото на ЕС или българското законодателство. Администраторът носи отговорност за спазването на тези условия и трябва да може да го докаже.
Чл. 46
Чл. 46 от Закона за защита на личните данни определя, че когато сроковете за изтриване на лични данни не са установени, те се определят от администратора. Администраторът е задължен да документира периодичната проверка на необходимостта от съхранение на данните и да мотивира решението си за продължаване на съхранението.
Чл. 47
Чл. 47 от Закона за защита на личните данни предвижда, че администраторът трябва да прави ясно разграничение между личните данни на различни категории субекти на данни. Това включва лица, за които има основания да се смята, че са извършили или ще извършат престъпление, осъдени лица, пострадали от престъпление и трети лица, свързани с престъпления, които могат да бъдат призовани за свидетели или да предоставят информация.
Чл. 48
Член 48 от Закона за защита на личните данни регламентира задълженията на компетентните органи относно обработката на лични данни. Те трябва да разграничават между лични данни, основани на факти и лични оценки, и да предприемат мерки за предотвратяване на предаването на неточни, непълни или остарели данни. При предаване на лични данни, органите трябва да проверят тяхното качество и да предоставят необходимата информация за тяхната точност и актуалност. В случай на предаване на неточни или незаконосъобразни данни, получателят трябва да бъде уведомлен незабавно, а предаващият орган и получателят да предприемат коригиращи действия.
Чл. 49
Обработването на лични данни е законосъобразно, когато е необходимо за упражняване на правомощия от компетентен орган, в съответствие с целите, посочени в чл. 42, ал. 1. Това обработване трябва да бъде предвидено в правото на Европейския съюз или в нормативен акт, който определя целите на обработването и категориите лични данни, които ще се обработват.
Чл. 50
Член 50 от Закона за защита на личните данни предвижда, че когато правото на ЕС или българското законодателство изисква специфични условия за обработка на лични данни, компетентният орган трябва да уведоми получателя за тези условия и за задължението му да ги спазва. Освен това, предаването на лични данни на получатели в други държави от ЕС или на органи на ЕС трябва да се извършва при същите условия, които важат и за предаването в България.
Чл. 51
Чл. 51 от Закона за защита на личните данни регламентира условията за обработка на чувствителни лични данни, включително расов или етнически произход, политически възгледи, религиозни убеждения, членство в професионални съюзи, генетични и биометрични данни, данни за здравословното състояние и сексуалната ориентация. Обработването е разрешено само при наличието на подходящи гаранции за правата на субекта и когато е предвидено в правото на ЕС или българското законодателство. В случаи, когато обработването не е предвидено в законодателството, то е допустимо само при защита на жизненоважни интереси или ако данните са направени обществено достояние от субекта. Осигуряването на мерки срещу дискриминация е задължително.
Чл. 52
Чл. 52 от Закона за защита на личните данни забранява вземането на решения, основани единствено на автоматизирано обработване, което може да има неблагоприятни правни последици за субекта на данните, освен ако не е предвидено в правото на ЕС или българското законодателство и не са осигурени подходящи гаранции за правата на субекта. Решенията не могат да се основават на определени категории лични данни, освен при наличие на мерки за защита. Администраторът е длъжен да извърши оценка на въздействието и е забранено профилирането, което води до дискриминация. Субектите на данни имат право на информация, мнение, обяснение и обжалване на решенията, взети в резултат на автоматизирано обработване.
Чл. 53
Чл. 53 от Закона за защита на личните данни предвижда задължения на администратора относно предоставяне на информация на субектите на данни. Администраторът е длъжен да предоставя информация по ясен и достъпен начин, да улеснява упражняването на правата на субектите и да отговаря на искания в срок до два месеца, с възможност за удължаване. Информацията е безплатна, освен в случаи на очевидно неоснователни искания, когато може да се начисли такса или да се откаже обработка. Администраторът носи тежестта на доказване на неоснователността на искането и може да изисква допълнителна информация за потвърждаване на самоличността на подателя на искането.
Чл. 54
Чл. 54 от Закона за защита на личните данни предвижда задължения за администратора да предоставя на субекта на данни определена информация. В ал. 1 се изброяват основните данни, които трябва да бъдат предоставени, включително информация за администратора, цели на обработването, права на субекта и координати за връзка с органите за контрол. В ал. 2 се уточнява, че по искане на субекта могат да се предоставят допълнителни данни, свързани с правното основание за обработването, сроковете за съхранение и получатели на данните. Ал. 3 описва условията, при които администраторът може да забави или откаже предоставянето на информация, за да защити различни обществени интереси. В ал. 4 се посочва, че информацията трябва да бъде предоставена без забавяне след отпадане на основанието за отказ. Ал. 5 акцентира на необходимостта от отчитане на правата на засегнатото лице при вземане на решения.
Чл. 55
Субектът на данните има право да получи потвърждение от администратора за обработката на лични данни, които го засягат, както и достъп до тях. Той може да получи информация относно обстоятелствата на обработката, категориите лични данни и техния произход. Администраторът е задължен да предостави информацията в определен срок, но правото на достъп може да бъде ограничено при определени условия. В случаи на отказ за достъп, администраторът трябва да информира писмено субекта за причините и правото му на жалба. Освен това, администраторът трябва да документира основанията за решението си.
Чл. 56
Съгласно чл. 56 от Закона за защита на личните данни, субектите на данни имат право да искат корекция на неточни лични данни и допълване на непълни данни. Администраторът е задължен да изтрие лични данни, когато обработването им нарушава закона или е необходимо за спазване на правно задължение. Администраторът трябва да коригира, допълва или изтрива данните в определен срок, а също така и да ограничи обработването им при определени условия. В случай на отказ за корекция или изтриване, администраторът трябва да информира субекта за причините за отказа. Субектите на данни имат правото на жалба до компетентните органи.
Чл. 57
Чл. 57 от Закона за защита на личните данни регламентира правото на субектите на данни да упражняват своите права чрез комисията или инспектората в определени случаи. Комисията или инспектората проверяват законосъобразността на отказите и информират субекта за извършените проверки и правото му на съдебна защита.
Чл. 58
Член 58 от Закона за защита на личните данни уточнява, че правата на субектите на данни, посочени в членове 54, 55 и 56, не могат да се упражняват по отношение на лични данни, съдържащи се в съдебни решения или документи, свързани с наказателно производство, ако това противоречи на разпоредбите на Наказателно-процесуалния кодекс. Това означава, че в контекста на наказателното правосъдие, защитата на личните данни е ограничена от съществуващите правни норми.
Чл. 59
Чл. 59 от Закона за защита на личните данни предвижда, че администраторът на лични данни е задължен да прилага подходящи технически и организационни мерки за защита на личните данни, като отчита естеството, обхвата, контекста и целите на обработването, както и рисковете за правата на физическите лица. Мерките трябва да се преразглеждат и актуализират при необходимост. Администраторът трябва да осигури защита на личните данни още на етапа на проектиране, като взема предвид достиженията на техническия прогрес и рисковете. По подразбиране, администраторът трябва да обработва само необходимите лични данни и да осигури, че те не са достъпни за неограничен брой лица без намеса от страна на физическото лице.
Чл. 60
Чл. 60 от Закона за защита на личните данни определя условията, при които двама или повече администратори на лични данни действат като съвместни администратори. Те трябва да определят по прозрачен начин правата и задълженията си, особено относно правата на субектите на данни. Правилата за съвместно администриране трябва да включват информация за контакт и могат да определят един от администраторите като единно звено за контакт. Важно е, че субектите на данни могат да упражняват правата си спрямо всеки от администраторите.
Чл. 61
Администратор на лични данни може да възлага обработването им само на обработващи, които осигуряват достатъчни гаранции за защита на правата на субектите на данни. Обработващият не може да включва друг обработващ без разрешение от администратора и трябва да има договор, който регламентира условията на обработването. Договорът трябва да гарантира, че обработващият действа по указания на администратора и спазва задълженията за поверителност. В случай на нарушение, обработващият може да бъде считан за администратор.
Чл. 62
Администраторите и обработващите лични данни са задължени да поддържат регистри на дейностите по обработване на лични данни. Регистърът на администратора включва информация за наименованието и контактите на администратора, целите на обработването, категориите получатели на данни, описание на субектите и категориите данни, информация за профилиране, правното основание за обработване, сроковете за изтриване на данни и мерките за сигурност. Регистърът на обработващия данни съдържа информация за наименованието и контактите на обработващия, категориите обработване, предаване на данни на трети държави и мерките за сигурност. Регистрите трябва да се поддържат в писмена форма и да се предоставят на комисията при поискване.
Чл. 63
Чл. 63 от Закона за защита на личните данни задължава администраторите и обработващите лични данни да водят системни дневници (логове) за определени операции по обработване на лични данни, включително събиране, промяна, справки, разкриване и изтриване. Дневниците трябва да съдържат информация за основанието, датата и часа на операциите, както и идентификация на лицата, извършващи справките или разкритията. Те се използват за проверка на законосъобразността на обработването и за самоконтрол. Администраторът определя сроковете за съхранение на дневниците, които при поискване трябва да бъдат предоставени на съответните контролни органи.
Чл. 64
Чл. 64 от Закона за защита на личните данни предвижда, че когато определен вид обработване на лични данни носи висок риск за правата и свободите на физическите лица, администраторът на данните е задължен да извърши оценка на въздействието преди започване на обработването. Оценката трябва да включва описание на операциите по обработване, оценка на рисковете, мерки за справяне с рисковете, гаранции и механизми за защита на данните, като се вземат предвид правата и интересите на субектите на данните.
Чл. 65
Чл. 65 от Закона за защита на личните данни предвижда задължителни консултации с комисията или инспектората преди обработването на лични данни, когато обработването носи висок риск, дори след предприемане на мерки за ограничаване на риска, или когато се използват нови технологии, които увеличават риска за правата на субектите. Също така, при изготвянето на нови законопроекти относно обработването, трябва да се провеждат консултации. Комисията публикува списък на операциите, за които е необходима предварителна консултация. Администраторът е длъжен да предостави оценка на въздействието и друга информация при поискване. Ако комисията или инспектората преценят, че обработването би нарушило разпоредбите, те предоставят писмено становище в срок до 6 седмици, с възможност за удължаване в зависимост от сложността.
Чл. 66
Чл. 66 от Закона за защита на личните данни предвижда, че администраторите и обработващите лични данни трябва да прилагат подходящи технически и организационни мерки за осигуряване на ниво на сигурност, съобразено с рисковете за правата на физическите лица. Специално за автоматизираното обработване, те трябва да реализират мерки за контрол върху достъпа, носителите на данни, съхраняването, потребителите, достъпа до данни, комуникацията, въвеждането на данни, пренасянето, възстановяването, надеждността и цялостността на данните.
Чл. 67
Когато има нарушение на сигурността на личните данни, администраторът е задължен да уведоми комисията в срок до 72 часа след узнаването за нарушението. Уведомлението трябва да съдържа описание на нарушението, контакти на длъжностното лице по защита на данните, информация за последиците и предприетите мерки. Обработващият лични данни също трябва да уведоми администратора в същия срок. В случай на нарушения, засягащи лични данни от друга държава членка на ЕС, информацията трябва да се предаде в срок до 7 дни.
Чл. 68
Чл. 68 от Закона за защита на личните данни регламентира задължението на администратора да уведомява субектите на данни за нарушения на сигурността, които могат да доведат до висок риск за техните права и свободи. Уведомлението трябва да бъде направено не по-късно от 7 дни след установяването на нарушението и да съдържа ясна информация за самото нарушение и предприетите мерки за защита. Субектите не се уведомяват, ако са предприети подходящи мерки за защита, ако рискът е елиминиран или ако уведомяването би довело до непропорционални усилия. Комисията може да изиска уведомление, ако администраторът не е уведомил субекта.
Чл. 69
Администраторът на лични данни е задължен да определи длъжностно лице по защита на данните, което трябва да притежава необходимите професионални качества и експертни познания в областта на защитата на личните данни. Такова лице може да бъде назначено за няколко администратори, като се вземат предвид организационната им структура и мащаб. Администраторът е длъжен да оповести координатите за контакт на длъжностното лице и да уведоми комисията. Длъжностните лица, определени от съдебната власт, не изпълняват задачите при обработване на лични данни, свързани с функциите на съдебните органи.
Чл. 70
Чл. 70 от Закона за защита на личните данни определя задълженията на администратора на лични данни по отношение на длъжностното лице по защита на данните. Администраторът е длъжен да осигури участие на длъжностното лице при разглеждането на въпросите, свързани с личните данни, и да му възложи конкретни задачи, като информиране и съветване на служителите, наблюдение на спазването на закона, предоставяне на съвети за оценка на въздействието, сътрудничество с комисията и осигуряване на необходимите ресурси и достъп до данните.
Чл. 71
Член 71 от Закона за защита на личните данни предвижда, че компетентните органи трябва да установят процедури, позволяващи на служителите да докладват пряко и поверително за нарушения на закона. Докладите могат да бъдат отправяни към съответното административно звено на администратора или към комисията, както и към инспектората.
Чл. 72
Чл. 72 от Закона за защита на личните данни определя условията, при които компетентен орган може да предава лични данни на трета държава или международна организация. Предаването е разрешено, ако е необходимо за определени цели, ако получателят е компетентен, и ако са спазени условията за защита на данните. Включва се и необходимостта от предварително разрешение от държавата - членка на ЕС в определени случаи. Без такова разрешение, предаването е допустимо само при сериозни заплахи за обществения ред и сигурност.
Чл. 73
Член 73 от Закона за защита на личните данни описва условията, при които предаването на лични данни към трети държави или международни организации е допустимо, след като Европейската комисия отмени, измени или спре действието на предходно решение. В такъв случай, предаването на данни може да се извърши при условията, посочени в членове 74 и 75.
Чл. 74
Чл. 74 от Закона за защита на личните данни предвижда условия за предаване на лични данни на трети държави или международни организации при липса на решение на Европейската комисия. Такова предаване е допустимо, когато: 1) съществуват подходящи гаранции в законодателството на третата държава или в международен договор, или 2) администраторът е извършил оценка на обстоятелствата и е преценил, че съществуват подходящи гаранции. Администраторът е задължен да документира предаването и да информира комисията за него.
Чл. 75
Чл. 75 от Закона за защита на личните данни регламентира условията, при които може да се извърши предаване на лични данни на трета държава или международна организация. Такова предаване е допустимо при липса на решение на Европейската комисия или подходящи гаранции, само в определени случаи, включително за защита на жизненоважни интереси, законни интереси, предотвратяване на заплаха за обществения ред и сигурност, и за установяване на правни претенции. Освен това, предаването не може да се извърши, ако основните права на субекта на данните надделяват над обществения интерес. Всички предавания трябва да бъдат документирани и предоставени на съответните органи при поискване.
Чл. 76
Чл. 76 от Закона за защита на личните данни описва условията, при които компетентен орган може да предава лични данни на получатели в трети държави, без да се спазва определено условие от чл. 72, ал. 1, т. 2. Предаването е допустимо, ако: 1) е необходимо за изпълнението на задача по правото на ЕС или българското законодателство; 2) правата и свободите на субекта на данни не надделяват над обществения интерес; 3) предаването на компетентен орган в третата държава е неефективно или неподходящо; 4) органът в третата държава е уведомен; 5) получателят е информиран за целите на обработката на данни. Компетентният орган документира предаването и уведомява съответните органи.
Чл. 77
Чл. 77 от Закона за защита на личните данни предвижда мерки за международно сътрудничество с трети държави и международни организации. Основните насоки включват разработване на механизми за ефективно прилагане на законодателството, осигуряване на взаимопомощ при прилагането на законодателството, включване на заинтересовани страни в обсъждания и насърчаване на обмена на законодателство и практики в областта на защитата на личните данни.
Чл. 78
Чл. 78 от Закона за защита на личните данни определя, че надзорът при обработване на лични данни за определени цели се осъществява от комисията, освен в случаи, когато надзорът е в правомощията на инспектората, например при действия на съдебната власт като съд, прокуратура и следствени органи.
Чл. 79
Чл. 79 от Закона за защита на личните данни определя задачите на комисията и инспектората при осъществяване на надзор. Те включват наблюдение и гарантиране на прилагането на разпоредбите, насърчаване на обществената информираност, повишаване на осведомеността на администраторите, предоставяне на информация на субектите на данни, разглеждане на жалби, проверка на законосъобразността на обработването, сътрудничество с други надзорни органи, извършване на проучвания и следене на развитието на технологиите. Комисията не събира такси за изпълнение на тези задачи и администраторите трябва да сътрудничат с нея.
Чл. 80
Чл. 80 от Закона за защита на личните данни определя правомощията на комисията и инспектората при осъществяване на надзора. Те включват получаване на достъп до лични данни, искане на информация от администратори и обработващи данни, отправяне на предупреждения при вероятни нарушения, разпореждане на корекции и ограничения на обработването на данни, налагане на забрани, даване на становища по законопроекти и административни мерки, както и сезиране на съда за нарушения.
Чл. 81
Чл. 81 от Закона за защита на личните данни описва механизмите за сътрудничество между Комисията и надзорните органи на другите държави - членки на ЕС. Комисията трябва да отговаря на искания за информация и проверки в срок до един месец, освен ако не е компетентна или изпълнението на искането нарушава законодателството. Обменената информация се използва само за посочените цели, а резултатите от исканията се съобщават на искащия орган. Правилата за сътрудничество се определят с конкретни правила.
Чл. 82
Чл. 82 от Закона за защита на личните данни предвижда, че при нарушаване на правата на субекта на данните, той има право на правна защита и може да иска обезщетение за причинените вреди, съгласно разпоредбите на глава седма. Освен това, в определени случаи, комисията или инспекторатът осигуряват формуляр за улесняване на подаването на жалба от субекта на данни.
Чл. 83
Субектът на данни може да упълномощи юридическо лице с нестопанска цел, което работи за защита на правата и свободите на физическите лица, да подаде жалба и да упражни права от името му. Въпреки това, субектът не може да делегира правото си на обезщетение на такова лице.
Чл. 84
Чл. 84 от Закона за защита на личните данни предвижда, че мерките по чл. 58, параграф 2, букви "а" - "з" и "й" от Регламент (ЕС) 2016/679, както и мерките по чл. 80, ал. 1, т. 3, 4 и 5, са принудителни административни мерки. Тези мерки се прилагат с решение на комисията или инспектората и могат да бъдат обжалвани в 14-дневен срок след получаването им.
Чл. 85
Чл. 85 от Закона за защита на личните данни определя различни нарушения на администратора или обработващия лични данни и предвижда налагане на глоба или имуществена санкция. Размерите на санкциите зависят от конкретните нарушения и са свързани с разпоредбите на Регламент (ЕС) 2016/679. В зависимост от нарушението, глобите варират от размерите по чл. 83, параграф 4 до 5 от Регламента. Законът предвижда и възможност за налагане на принудителни административни мерки за определени нарушения.
Чл. 86
Чл. 86 от Закона за защита на личните данни предвижда налагане на глоба или имуществена санкция до 5000 лв. за нарушения, извършени от администратори или обработващи лични данни. При повторно нарушение, санкцията се удвоява спрямо първоначалната.
Чл. 87
Законът за защита на личните данни регламентира мерките за защита на личните данни в съответствие с Регламент (ЕС) 2016/679. Установяването на нарушения и наказателните процедури се извършват по реда на Закона за административните нарушения и наказания. Комисията за защита на личните данни е отговорна за съставянето на актове и издаването на наказателни постановления. Имуществените санкции се събират по реда на Данъчно-осигурителния процесуален кодекс и постъпват в бюджета на комисията или в бюджета на съдебната власт, в зависимост от органа, наложил санкцията. Законът предвижда и преходни разпоредби за привеждане на регистри с лични данни в съответствие с новите изисквания. В допълнение, законът определя понятия, свързани с личните данни, и изисквания за администраторите и обработващите лични данни.
§1
Разпоредбите определят основни понятия, свързани с личните данни, както и техните определения, взети от Регламент (ЕС) 2016/679. Включват термини като "лични данни", "администратор", "обработващ лични данни", "обработване", "ограничаване на обработването", "профилиране", "псевдонимизация", "регистър с лични данни", "получател", "нарушение на сигурността на лични данни", "генетични данни", "биометрични данни", "данни, свързани със здравословното състояние", "международна организация", "мащабно обработване", "риск", "публичен орган", "изтриване", "унищожаване" и "повторно нарушение".
§1а
Параграф §1а от закона предвижда мерки за прилагане на Регламент (ЕС) 2016/679 и Директива (ЕС) 2016/680, свързани с обработването на лични данни и защитата на физическите лица. Тези разпоредби заменят предишната Директива 95/46/ЕО и Рамково решение 2008/977/ПВР, с цел да се осигури по-добра защита на личните данни в контекста на обработването им от компетентни органи.
§2
В срок от един месец след влизането в сила на закона, Министерският съвет трябва да предложи състава на Комисията за защита на личните данни на Народното събрание. След 14 дни Народното събрание избира Комисията. Комисията трябва да приеме и публикува правилника по чл. 9, ал. 2 в срок от три месеца след избора. Министерският съвет трябва да осигури необходимите ресурси за работа на комисията в срок от един месец след решението на Народното събрание.
§3
Съгласно §3 от Преходните и Заключителни разпоредби на Закона за защита на личните данни, лицата, които поддържат регистри с лични данни, трябва да приведат регистрите си в съответствие с новите изисквания в срок от 6 месеца след влизането в сила на правилника по чл. 9, ал. 2, и да уведомят комисията. Комисията е задължена да извърши предварителни проверки и да регистрира или откаже регистрацията на администратори в срок от 3 месеца, след получаване на заявлението. Решенията за отказ на регистрация могат да бъдат обжалвани пред Върховния административен съд в 14-дневен срок. При отказ, лицето, което неправомерно води регистър, е длъжно да унищожи личните данни или да ги прехвърли на регистриран администратор. Комисията контролира изпълнението на това задължение, а администраторите трябва да публикуват определени сведения в бюлетина на комисията в срок от 3 месеца след регистрацията.
§ 4
В Закона за достъп до обществена информация се правят изменения, като в чл. 2, ал. 3 термина "лична информация" се заменя с "лични данни". Освен това, в § 1 т. 2 се уточнява, че "Лични данни" са информация за физическо лице, която разкрива неговата физическа, психологическа, умствена, семейна, икономическа, културна или обществена идентичност.
§5
Законът за защита на личните данни влиза в сила на 1 януари 2002 г. Той е приет от ХХХIХ Народно събрание на 21 декември 2001 г. и е официално удостоверен с печат на Народното събрание. Преходните и заключителните разпоредби към Закона за частните съдебни изпълнители са обнародвани в Държавен вестник, брой 43 от 2005 г., и влизат в сила от 1 септември 2005 г.
§23
Законът за защита на личните данни влиза в сила на 1 септември 2005 г. Текстът включва и преходни и заключителни разпоредби, свързани с изменения и допълнения на закона, които са обнародвани в Държавен вестник, брой 103 от 2005 г. и измененията в брой 91 от 2006 г.
§ 51
Параграф 51 от преходните и заключителни разпоредби на Закона за защита на личните данни определя, че определени разпоредби, свързани с различни членове от закона, влизат в сила от датата на присъединяване на Република България към Европейския съюз. Конкретно се посочват разпоредби, касаещи членове 1, 10, 36а, 36б и допълнителната разпоредба.
§52 от Закона за защита на личните данни
Параграф §52 от преходните и заключителни разпоредби на Закона за защита на личните данни задължава Комисията за защита на личните данни да приеме в срок от три месеца след влизането в сила на закона Етичния кодекс, съгласно чл. 10, ал. 4, както и наредбата по чл. 23, ал. 5.
§ 142
Кодексът влиза в сила три месеца след обнародването му в "Държавен вестник", с изключение на определения дял и параграфи, които влизат в сила на по-ранни дати, включително 1 март 2007 г. и 1 януари 2007 г. Някои разпоредби влизат в сила от деня на обнародването.
§33 от Закона за защита на личните данни
Съгласно параграф §33 от Закона за защита на личните данни, администраторите, които са задължени да се регистрират, трябва да подадат заявление за регистрация в срок от три месеца след влизането в сила на закона. Тази разпоредба е важна за осигуряване на спазването на новите изисквания за защита на личните данни.
§23
Законът за защита на личните данни влиза в сила от деня на обнародването му в "Държавен вестник". Преходните и заключителните разпоредби, свързани със Закона за изменение и допълнение на Закона за предотвратяване и разкриване на конфликт на интереси, са обнародвани в Държавен вестник, брой 97 от 2010 г. и влизат в сила от 10.12.2010 г.
§ 61
Законът за защита на личните данни влиза в сила от деня на обнародването му в "Държавен вестник", с изключение на определени параграфи. Параграф 11, свързан с чл. 22а – 22д, влиза в сила от 1 януари 2011 г. Остатъчните параграфи 7, 8, 9, 11 относно чл. 22е – 22и и параграфи 12 до 23 влизат в сила от 1 април 2011 г.
§ 15
Параграф 15 от Закона за защита на личните данни въвежда изискванията на Рамково решение 2008/977/ПВР на Съвета, касаещо защитата на личните данни, обработвани в рамките на полицейското и съдебното сътрудничество по наказателноправни въпроси. Тези разпоредби също така се отнасят към Закона за изменение и допълнение на Закона за електронните съобщения, който е обнародван в Държавен вестник, брой 105 от 2011 г. и влиза в сила от 29.12.2011 г.
§220
Законът за защита на личните данни влиза в сила от деня на обнародването му в "Държавен вестник". Преходните и заключителни разпоредби към Закона за публичните финанси са обнародвани в брой 15 от 2013 г. и влизат в сила от 01.01.2014 г.
§ 123
Законът за защита на личните данни влиза в сила на 1 януари 2014 г., с изключение на определени параграфи, които влизат в сила по-рано. Параграф § 115 влиза в сила на 1 януари 2013 г., а параграфи § 18, § 114, § 120, § 121 и § 122 влизат в сила на 1 февруари 2013 г. Допълнителни разпоредби касаят изменението и допълнението на Закона за Министерството на вътрешните работи, който е обнародван през 2016 г. и влиза в сила на 1 януари 2017 г.
§ 102 от Закона за защита на личните данни
Законът за защита на личните данни влиза в сила на 1 януари 2017 г., с изключения за определени параграфи, които влизат в сила от деня на обнародването в "Държавен вестник" или на 1 февруари 2017 г. Преходните и заключителни разпоредби също включват новини относно Закона за допълнение на Закона за ограничаване на административното регулиране и административния контрол върху стопанската дейност, който влиза в сила от 01.01.2018 г.
§ 44
Параграф 44 от Закона за защита на личните данни предвижда, че производствата за нарушения, образувани до 25 май 2018 г., ще бъдат довършвани по досегашния ред. За нарушения, извършени до влизането в сила на закона, срокът за сезиране на комисията по чл. 38 е една година от узнаването на нарушението, но не по-късно от 5 години от извършването му.
Параграф §45
Параграф §45 от закона задължава компетентните органи, които използват автоматизирани системи за обработване на лични данни за предотвратяване и разследване на престъпления, да приведат тези системи в съответствие с изискванията на чл. 63, ал. 1 и 2 до 6 май 2023 г. Тези системи, създадени преди 6 май 2016 г., трябва да бъдат адаптирани в рамките на определения срок.
§120
Съгласно параграф §120, в срок до една година от влизането в сила на Закона за защита на личните данни, Комисията за защита на личните данни е задължена да приеме наредбите, свързани с чл. 14, ал. 5 и 6 и чл. 14а, ал. 3. Заключителните разпоредби се отнасят и до Закона за лицата, подавали сигнали или публично оповестяващи информация за нарушения, който е обнародван в Държавен вестник, брой 11 от 2023 г. и влиза в сила на 04.05.2023 г.
§ 9
В 6-месечен срок след обнародването на закона в "Държавен вестник", Комисията за защита на личните данни е задължена да приеме наредба по чл. 19, ал. 1, т. 3 и указания за задължените субекти по чл. 12, ал. 1. Освен това, тя трябва да разработи модел на регистър на сигналите и формуляр за приемане на сигнали, които ще бъдат предоставени безплатно на всички задължени субекти.
§10
Законът за защита на личните данни влиза в сила три месеца след обнародването му в "Държавен вестник". Глава втора, раздел I (чл. 12 - 18) ще се прилага за работодатели в частния сектор с между 50 и 249 работници или служители, считано от 17 декември 2023 г.
§ 79
Законът за защита на личните данни влиза в сила от деня на обнародването му в "Държавен вестник", с изключение на § 9, който влиза в сила от 1 март 2024 г.
§5
Параграф §5 от преходните и заключителни разпоредби на Закона за защита на личните данни посочва, че действащите нормативни актове, които уреждат задължения за плащане на такси, санкции и глоби към държавата и общините в български левове, ще продължат да се прилагат съгласно правилата за превалутиране, предвидени в закона. В случай че паричната сума в левове е посочена в закон или подзаконов акт, като резултат от въвеждане на правен акт на ЕС, при изменение на закона, сумата в евро от акта на ЕС също ще бъде посочена.
§60
Параграф 60 от Преходните и Заключителните разпоредби на Закона за защита на личните данни определя, че определени разпоредби (параграфи 5, ал. 1, 8 - 36, 37, т. 1 - 12 и 14 - 20, и 38 - 59) влизат в сила с Решение на Съвета на Европейския съюз за приемането на еврото от Република България. Тези разпоредби са свързани с прилагането на европейското законодателство относно защитата на личните данни, включително Директиви и Регламенти, които регламентират обработката на лични данни от различни органи и институции.
