ПРАВИЛНИК ЗА ДЕЙНОСТТА НА КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ И НА НЕЙНАТА АДМИНИСТРАЦИЯ
Това е резюме на текстовете от нормативния акт, целящо лесно и бързо запознаване на потребителя с нормите в него.
Виж оригиналния текст на документа
Чл. 1
Този правилник урежда структурата и организацията на работа на Комисията за защита на личните данни и на нейната администрация. Той определя производствата пред комисията по Регламент (ЕС) 2016/679 и Закона за защита на личните данни. Освен това, правилникът установява правилата за разглеждане на сигнали за нарушения на законодателството и изпълнението на задълженията на комисията по Закона за защита на лицата, подаващи сигнали.
Чл. 2
Дейността на Комисията за защита на личните данни се извършва в съответствие с принципите на законност, йерархичност, добросъвестност, справедливост, колегиалност, търсене на обективната истина, служебно начало, самостоятелност и безпристрастност. Комисията също така осигурява публичност, бързина, процесуална икономия, последователност и предвидимост, както и равенство на страните в производството.
Чл. 3
Комисията за защита на личните данни е независим надзорен орган, който осъществява защита на личните данни и контролира спазването на Регламент (ЕС) 2016/679 и ЗЗЛД. Тя също така служи като централен орган за подаване на сигнали относно нарушения. Комисията е юридическо лице на бюджетна издръжка със седалище в София и разполага с запазен знак, плакет и медал.
Чл. 4
Комисията за защита на личните данни е колегиален орган, състоящ се от председател и четирима членове. При изпълнение на функциите си, комисията разполага с административна помощ и има възможност да привлича външни експерти, преводачи и специалисти.
Чл. 5
Комисията за защита на личните данни осъществява контрол за защита на правата и свободите на физическите лица при обработването на лични данни. Тя изпълнява задачите и правомощията, определени в Регламент (ЕС) 2016/679 и Закона за защита на личните данни. Комисията осигурява защита на лицата в публичния и частния сектор, които подават сигнали за нарушения на законодателството. Всички решения по въпросите от компетентността на комисията се вземат с решение.
Чл. 6
Член 6 от Правилника за дейността на Комисията за защита на личните данни описва правомощията и задълженията на председателя на комисията. Председателят е отговорен за ръководството на комисията, представлява я, управлява бюджета, организира изготвянето на подзаконови нормативни актове и прави официални изявления. Той има правомощия да издава наказателни постановления, утвърдителни актове, назначава и освобождава служители, сключва граждански договори и командирова членове на комисията. В случай на отсъствие, функциите му се поемат от определен член на комисията. За отпуските и командировките се съставят паметни записки, а разходите му се одобряват от определен член на комисията.
Чл. 7
Членовете на Комисията за защита на личните данни са равнопоставени и изпълняват функциите си в съответствие с Регламент (ЕС) 2016/679, Закона за защита на личните данни (ЗЗЛД) и Закона за защита на личните данни при специални операции (ЗЗЛПСПОИН). Те също така осъществяват правомощията на председателя в определени случаи и изпълняват допълнителни дейности, след решение на комисията.
Чл. 8
Комисията за защита на личните данни разглежда въпроси на открити заседания, с възможност за закрити заседания по решение на комисията. Редовните заседания се провеждат поне два пъти месечно, а извънредни могат да се свикват по искане на членове. Дневният ред се предоставя 24 часа преди заседание, а за валидност е необходимо присъствието на минимум трима членове. Решенията се вземат с явно гласуване и мнозинство от три гласа, без въздържание. При липса на мнозинство, въпросът се гласува на следващото заседание. След заседание се генерира паметна записка с взетите решения, освен при закритите заседания по чл. 9, ал. 5 от ЗЗЛД.
Чл. 9
Членовете на Комисията за защита на личните данни, включително председателят, са задължени да направят отвод, ако имат пряко или косвено заинтересованост от резултата на производството, което се разглежда от комисията.
Чл. 10
Заседанията на Комисията за защита на личните данни се ръководят от председателя. Допустимо е отсъствието на председателя или член на комисията при служебна командировка, законоустановен отпуск или друга неотложна служебна работа с разрешение на председателя. При неоправдано отсъствие се налагат удръжки от месечното възнаграждение: 30% за едно отсъствие, 50% за две, и 2/3 за три и повече отсъствия. Отсъствията се отразяват в протокола, който след подписване се предава на счетоводството.
Чл. 11
Чл. 11 от Правилника за дейността на Комисията за защита на личните данни описва задълженията относно воденето на протоколи за заседанията на комисията. Протоколът трябва да бъде подписан от председателя, участващите членове и стенограф-протоколист. В него се вписват важни детайли като дата, място, вид на заседанието, присъстващи лица, дневен ред, изказвания и решения. Протоколът трябва да бъде изготвен в срок от три дни след заседанието. Член, който не е съгласен с решение, може да изрази особено мнение с мотиви, които се прилагат към решението.
Чл. 12
Член 12 от Правилника за дейността на Комисията за защита на личните данни позволява на комисията да взема решения неприсъствено, при условие че председателят и всички членове на комисията са съгласни с решението и го подпишат.
Чл. 13
Чл. 13 от Правилника определя, че Комисията за защита на личните данни и упълномощените от нея служители имат право да провеждат разследвания и проверки относно защитата на личните данни. Проверките могат да се извършват както по инициатива на комисията, така и по сигнали за нарушения. Важно е, че комисията може да извършва проверки без предварително уведомяване на проверяваните лица, когато това е необходимо за изпълнението на решенията й.
Чл. 13а
Чл. 13а от Правилника предвижда, че Комисията за защита на личните данни осигурява правно съдействие и защита на правата на служителите в администрацията. Това важи за производства, които са образувани срещу тях във връзка с изпълнението на служебните им задължения. Тази разпоредба е нова и влиза в сила от 28.04.2023 г.
Чл. 14
Чл. 14 от правилника определя взаимодействието на Комисията за защита на личните данни с държавни органи и неправителствени организации. Комисията участва в работни групи, провежда съвещания и съвместни дейности, включително проверки и разработване на нормативни актове. Освен това, Комисията има право да сключва споразумения за сътрудничество с други органи и организации.
Чл. 15
Чл. 15 от Правилника определя структурата и функциите на администрацията, която подпомага Комисията за защита на личните данни. Администрацията се дели на обща и специализирана. Общата администрация е организирана в дирекция 'Управление на ресурсите и административно-правно обслужване', докато специализираната администрация включва три дирекции: 'Правно-нормативна и международна дейност', 'Правни производства и надзор' и 'Правно-аналитична, информационна и контролна дейност'. От 28.04.2023 г. е добавена нова дирекция 'Канал за външно подаване на сигнали'. В дирекциите могат да се създават отдели. Общата численост на администрацията, включително членовете на комисията, е 117 щатни бройки.
Чл. 16
Член 16 от Правилника за дейността на Комисията за защита на личните данни указва, че функционалните връзки за работа в администрацията се определят чрез вътрешен акт на комисията. Това означава, че комисията сама регулира начина на взаимодействие и организация на труда в своите структури.
Чл. 17
Чл. 17 от Правилника за дейността на Комисията за защита на личните данни определя задълженията на служителите в администрацията. Те трябва да изпълняват задачите си точно, добросъвестно и безпристрастно, в съответствие с длъжностната си характеристика и разпоредбите на правилника. При встъпване в длъжност, служителите подписват декларация, съгласно чл. 13, ал. 2 от Закона за защита на личните данни (ЗЗЛД).
Чл. 18
Служителите от администрацията на Комисията за защита на личните данни имат право да осъществяват служебни контакти с представители на други администрации, за да изпълняват служебните си задължения.
Чл. 19
Главният секретар на Комисията за защита на личните данни ръководи администрацията и отговаря за изпълнението на задачи, произтичащи от решенията на комисията. Той оказва съдействие на председателя и членовете, организира работата на комисията, координира разпределението на задачи, контролира сроковете за изпълнение, организира изготвянето на вътрешни актове, осигурява обучение на служителите, утвърджава длъжностни характеристики, оценява изпълнението на служителите и организира заседанията на комисията.
Чл. 20
Чл. 20 от Правилника за дейността на Комисията за защита на личните данни описва назначенията и задълженията на финансовия контрольор. Той се назначава съгласно Закона за финансово управление и контрол в публичния сектор и е подчинен на председателя на комисията. Основните му задължения включват осъществяване на предварителен контрол в съответствие с указанията на Министерството на финансите и проверка за законосъобразност на задълженията и разходите на комисията.
Чл. 21
Чл. 21 от Правилника определя задълженията на директорите на дирекции и началниците на отдели в Комисията за защита на личните данни. Директорите отговарят за законосъобразната работа на служителите, разпределят задачи, отговарят за квалификацията на служителите и изготвят отчети. Началниците на отдели организират и контролират работата в отдела, съгласуват документи и разпределят задачи между служителите.
Чл. 22
Дирекция "Управление на ресурсите и административно-правно обслужване" в Комисията за защита на личните данни е отговорна за финансово-счетоводните дейности, включително съставяне на годишен бюджет, осигуряване на плащания, следене на разходите и изготвяне на отчети. Дирекцията също така управлява човешките ресурси, организира обучения, осигурява материално-технически ресурси и поддържа деловодството и архива на комисията. Допълнително, тя се занимава с обществени поръчки, правно представителство, връзки с медиите и внедряване на нови технологии.
Чл. 23
Дирекция "Правно-нормативна и международна дейност" в Комисията за защита на личните данни извършва множество задачи, свързани с подготовка на становища, нормативни актове и правни анализи относно защитата на личните данни. Тя осигурява правно представителство, предоставя консултации на администратори и субекти на данни, координира международната дейност, участва в подготовката на споразумения и анализира резултатите от приложението на нормативните актове. Дирекцията също така планира и изпълнява проектни предложения и организира обучения в областта на защитата на личните данни.
Чл. 24
Дирекция "Правни производства и надзор" в Комисията за защита на личните данни извършва редица важни дейности, сред които проучване на жалби, анализ на трансгранично обработване на лични данни, сътрудничество с други надзорни органи, предоставяне на информация на субектите на данни, планиране на контролна дейност, разследване на нарушения и осигуряване на процесуално представителство. Освен това, дирекцията изготвя становища и доклади, предоставя консултации и участва в обучения по защита на личните данни.
Чл. 25
Чл. 25 от Правилника определя функциите на Дирекция "Правно-аналитична, информационна и контролна дейност" в Комисията за защита на личните данни. Основните задължения включват: наблюдение и осигуряване на прилагането на Регламент (ЕС) 2016/679 и националното законодателство, изготвяне на процедури и насоки за защита на личните данни, насърчаване на обществената информираност, поддържане на интернет страницата на комисията, както и обработка на информация от различни източници. Дирекцията също така изготвя становища, координира разработването на стратегически документи и осъществява процесуално представителство пред съда.
Чл. 25а
Чл. 25а определя функциите на Дирекция "Канал за външно подаване на сигнали" в Комисията за защита на личните данни. Тя включва подпомагане на комисията при осъществяване на правомощията, регистрация и обработка на сигнали за нарушения, поддържане на регистри, изготвяне на правни становища, комуникация с работодатели и осигуряване на правна защита на лицата, подаващи сигнали. Дирекцията също така разработва проекти на нормативни актове и указания, участва в обучения и осигурява поверителността на преписките. С решение на комисията се определя служител за разглеждане на сигнали по вътрешен канал.
Чл. 26
Чл. 26 от Правилника за дейността на Комисията за защита на личните данни описва различни производства, които комисията осъществява в съответствие с Регламент (ЕС) 2016/679 и Закона за защита на личните данни. Те включват разглеждане на жалби, прилагане на мерки, изразяване на становища, приемане на стандартни договорни клаузи, разглеждане на уведомления за нарушения на сигурността на личните данни, одобряване на кодекси за поведение и акредитация на органи и сертифициращи органи. Комисията може да извършва и други производства, предвидени в закон.
Чл. 27
Производствата пред Комисията за защита на личните данни започват по искане на физически или юридически лица, или по инициатива на самата комисия. Исканията могат да бъдат писмени или устни. Писмените искания се подават в деловодството на комисията по различни канали, включително електронен път. Устните искания се протоколират и подписват от подателя и служител на комисията, след което се завеждат в деловодството.
Чл. 28
Чл. 28 от Правилника за дейността на Комисията за защита на личните данни определя изискванията към искането, което трябва да съдържа данни за искателя, изложение на обстоятелствата, дата на узнаване на нарушението, лице, срещу което е подадено искането, и друга информация или документи, ако е предвидено. Искателят трябва да предостави и електронен адрес и/или телефонен номер. При нередовности в искането, подателят се уведомява да ги отстрани в 3-дневен срок, в противен случай производството се прекратява.
Чл. 29
Чл. 29 определя условията, при които Комисията за защита на личните данни не разглежда искания и сигнали. Не се разглеждат анонимни искания или сигнали без подпис и необходимата информация, както и жалби, написани с латиница или друга графична система, освен ако не са на език различен от българския. Комисията има право да се самосезира или да уведомява институции при наличие на анонимно искане, съдържащо информация за обществен интерес.
Чл. 30
Член 30 от Правилника за дейността на Комисията за защита на личните данни указва, че постъпилите искания се разпределят на съответната дирекция в зависимост от тяхната компетентност. Това означава, че всяко искане ще бъде насочено към дирекцията, която е най-подходяща за обработката му, в зависимост от предмета и съдържанието му.
Чл. 31
Комисията за защита на личните данни е задължена да препраща искания, които не са в нейната компетентност, на съответния орган и да уведомява искателя за това действие.
Чл. 32
Член 32 от Правилника за дейността на Комисията за защита на личните данни определя реда за събиране на доказателства и извършване на действия в производството. Според алинея 1, тези действия се извършват по реда на Административнопроцесуалния кодекс (АПК). Алина 2 уточнява, че за започване на производство освен искателя, се уведомяват и известните заинтересовани лица.
Чл. 33
Производствата, които се провеждат пред Комисията за защита на личните данни, завършват с акт, съобразно разпоредбите на чл. 5, ал. 2 от съответния закон.
Чл. 34
Чл. 34 от Правилника за дейността на Комисията за защита на личните данни предвижда, че при трансгранично обработване на лични данни, в допълнение към производствата по настоящата глава, Комисията прилага правилата на механизмите за сътрудничество и съгласуваност, установени в глава VII на Регламент (ЕС) 2016/679. Освен това, се вземат предвид и специфичните правила, определени от Европейския комитет по защита на данните, които са приложими за конкретния случай.
Чл. 35
Чл. 35 от Правилника дефинира два основни термина: "жалба" и "сигнал". Жалбата представлява искане за защита на нарушени права на искателя, свързани с Регламент (ЕС) 2016/679 и Закона за защита на личните данни (ЗЗЛД). Сигналът е уведомление за нарушения на същите нормативни актове, но без засягане на права на искателя. В случай на сигнал, може да се предприемат действия съгласно чл. 12, ал. 4 от ЗЗЛД.
Чл. 35а
Член 35а от Правилника за дейността на Комисията за защита на личните данни, въведен с ДВ, бр. 38 от 2023 г., указва, че за определяне на местната подсъдност страните, които са физически лица, трябва да посочат постоянен адрес в производствата по чл. 35, ал. 1.
Чл. 36
Член 36 от Правилника за дейността на Комисията за защита на личните данни определя процедурите за обработка на жалби и сигнали. Ако жалбата не е в компетентността на комисията, тя се препраща на съответния компетентен орган. В случай че не може да се определи компетентният орган, жалбата се връща на подателя с указания. При жалби, свързани с упражняване на права за защита на личните данни, се предоставят писмени указания на подателя и при необходимост се осъществява сътрудничество с надзорни органи от други държави членки.
Чл. 37
Чл. 37 от Правилника за дейността на Комисията за защита на личните данни описва процедурата за обработка на искания, постъпили по чл. 35, ал. 1. Искането се разпределя на дирекция "Правни производства и надзор", която изготвя становище относно редовността, допустимостта и основателността на искането. При необходимост се извършва анализ за сътрудничество с други надзорни органи. Искания, които не съдържат данни за нарушени права на искателя, но твърдят нарушение на Регламент (ЕС) 2016/679 или Закона за защита на личните данни, също се разпределят на същата дирекция.
Чл. 38
Комисията за защита на личните данни разглежда жалби по редовността и допустимостта им в закрито заседание. При необходимост, тя може да възложи проверки и да събира доказателства, като следва условията на Административнопроцесуалния кодекс и правомощията си по Регламент (ЕС) 2016/679.
Чл. 39
Чл. 39 от Правилника за дейността на Комисията за защита на личните данни описва мерките за сътрудничество при разглеждане на жалби. При необходимост, Комисията може да работи с друг надзорен орган, като информира водещия орган, ако не е водеща. В случай че водещият орган реши да разгледа случая, Комисията може да участва с експерти или проект за решение. Когато Комисията е водещ орган, се следва процедурата по чл. 60 от Регламент (ЕС) 2016/679.
Чл. 40
Комисията за защита на личните данни разглежда жалбите в открито заседание, уведомявайки страните и заинтересованите лица. При отлагане на заседанието не се изпращат уведомителни писма, освен в определени случаи. Комисията може да постанови решение по същество на жалбата и да приложи мерки съгласно Регламент (ЕС) 2016/679 и Закона за защита на личните данни, включително административни наказания. Препис от решението се изпраща на страните и заинтересованите лица.
Чл. 41
Член 41 от Правилника за дейността на Комисията за защита на личните данни е отменен с изменение, публикувано в Държавен вестник, брой 38 от 2023 г., и влиза в сила от 28 април 2023 г.
Чл. 42
Член 42 от Правилника предвижда, че в производството по разглеждане на жалба страните имат възможност да сключат споразумение, съгласно разпоредбите на член 20 от Административнопроцесуалния кодекс (АПК).
Чл. 43
Чл. 43 от Правилника за дейността на Комисията за защита на личните данни предвижда, че жалбоподателят трябва да бъде информиран за напредъка или резултата от разглеждането на жалбата в срок от три месеца след сезирането на комисията.
Чл. 44
Чл. 44 от Правилника определя процедурата за подаване на искане по чл. 57 от Закона за защита на личните данни (ЗЗЛД). Искането трябва да съдържа идентификационни данни на физическото лице, като единен граждански номер или аналогичен идентификатор. Ако искането не отговаря на изискванията, подателят трябва да ги отстрани в срок от 3 дни. При неизпълнение на това условие, производството се прекратява.
Чл. 45
Член 45 от Правилника определя процедурата при постъпило искане за проверка. Комисията извършва проверка по чл. 12 от Закона за защита на личните данни (ЗЗЛД) и събира данни, свързани с отказа, изисквайки информация от администратора или обработващия лични данни. При проверка на законосъобразността на обработването, комисията упражнява правомощията си по чл. 80 от ЗЗЛД. Субектът на данните трябва да бъде информиран за резултата от проверката в срок от три месеца или за причините, поради които проверката не е била извършена.
Чл. 46
Комисията за защита на личните данни има правомощие да прилага мерки за защита на личните данни в съответствие с Регламент (ЕС) 2016/679 и Закона за защита на личните данни. Тези мерки се прилагат спрямо администраторите и обработващите лични данни, за да се осигури защита на физическите лица при обработването на техните лични данни.
Чл. 47
Чл. 47 от Правилника за дейността на Комисията за защита на личните данни определя мерките, които трябва да се прилагат при разглеждане на жалби срещу администратори на лични данни, осъществяване на контролна дейност и надзор. Мерките са свързани с Регламент (ЕС) 2016/679 и ЗЗЛД. Прилагането на мерките зависи от конкретната дейност и изисква предложения от съответните дирекции в комисията, както и спазване на установените процедури.
Чл. 48
Член 48 от Правилника за дейността на Комисията за защита на личните данни описва процедурата по прилагане на мерки от комисията. Решенията на комисията се съобщават на заинтересованите страни и могат да бъдат обжалвани в 14-дневен срок. Администраторите на лични данни, на които са наложени мерки, трябва да уведомят комисията за изпълнението на предписанията и да предоставят доказателства. Комисията разглежда уведомленията въз основа на становище от компетентната дирекция.
Чл. 49
Член 49 от Правилника за дейността на Комисията за защита на личните данни предвижда, че при неизпълнение на решенията, взети по член 48, Комисията има правомощия да наложи административни наказания. Тези наказания се основават на член 83, параграф 5 от Регламент (ЕС) 2016/679 и член 85, алинея 5 от Закона за защита на личните данни (ЗЗЛД).
Чл. 50
Член 50 от Правилника определя реда за налагане на административни наказания при установяване на нарушения по време на проверки. При констатирани нарушения, глобите и имуществените санкции се прилагат съгласно Закона за административните нарушения и наказания (ЗАНН). Установяването на нарушенията, издаването и обжалването на наказателните постановления се извършва по ЗАНН. Актовете за нарушения се съставят от член на КЗЛД или упълномощени лица, а наказателните постановления се издават от председателя на КЗЛД. Събраните санкции се управляват според Данъчно-осигурителния процесуален кодекс. Освен административни наказания, може да се наложи и принудителна административна мярка по Закона за защита на личните данни.
Чл. 51
Комисията за защита на личните данни изразява становища по важни въпроси, свързани с личните данни, включително: проекти за нормативни актове и регулаторни мерки, искания от физически и юридически лица, както и по собствена инициатива. Последната промяна в правилника е направена с допълнение от ДВ, бр. 38 от 2023 г., в сила от 28.04.2023 г.
Чл. 52
Чл. 52 от Правилника предвижда, че при постъпване на искане за становище, дирекция "Правно-нормативна и международна дейност" трябва в срок от един месец да изготви и представи предложение за становище на комисията. Раздел V от правилника се отнася до приемането на стандартни договорни клаузи съгласно Регламент (ЕС) 2016/679 и производствата, свързани с Глава V от същия регламент.
Чл. 53
Чл. 53 от Правилника описва процеса за приемане на стандартни договорни клаузи за защита на данните от Комисията за защита на личните данни (КЗЛД). Комисията може да приема тези клаузи по своя инициатива. Дирекция "Правно-нормативна и международна дейност" изготвя проект на стандартни договорни клаузи, който след одобрение от КЗЛД се изпраща на Европейския комитет по защита на данните за становище. След получаване на становището, проектът се редактира и изпраща на Европейската комисия за приемане. След одобрение от комисията, се изготвя доклад до КЗЛД с окончателната редакция на стандартните договорни клаузи, които след това се публикуват на интернет страницата на комисията.
Чл. 54
Чл. 54 регламентира процедурата за одобряване на задължителни фирмени правила от Комисията за защита на личните данни. Процедурата започва с искане от група предприятия, придружено от проект на правилата на български и английски език. Дирекция "Правно-нормативна и международна дейност" координира обмена на информация и изготвя становище относно съответствието на проекта с Регламент (ЕС) 2016/679. След приемане на становището от Комисията, проектът се изпраща на Европейския комитет по защита на данните за становище. Одобрените правила се съобщават на вносителя и на засегнатите надзорни органи.
Чл. 55
Процедурата за даване на разрешение за предаване на лични данни на трета държава или международна организация започва с писмено искане от администратор или обработващ лични данни. Искането се подава на дирекция "Правно-нормативна и международна дейност", която изготвя доклад до Комисията за защита на личните данни (КЗЛД). КЗЛД се произнася с мотивирано становище или решение, в зависимост от представените договорни клаузи или разпоредби. В случай на одобрение, окончателната редакция на договорните клаузи се изпраща на Европейския комитет по защита на данните за становище, след което КЗЛД одобрява окончателната версия и издава разрешение за предаване на данни.
Чл. 56
Член 56 от Правилника определя процедурата за получаване и обработка на уведомления от администратори за предаване на лични данни. Уведомлението се разпределя на дирекция "Правно-нормативна и международна дейност", която изготвя доклад в срок от един месец. Докладът анализира информацията и доказателствата относно шест основни изисквания, свързани с предаването на лични данни. В случай на положително становище, уведомлението се приема за сведение, а при констатиране на пропуски КЗЛД издава мотивирано становище и предаването на данни може да се осъществи на други основания.
Чл. 57
Член 57 от Правилника за дейността на Комисията за защита на личните данни предвижда, че изменения в договорни клаузи и задължителни фирмени правила се извършват по реда на тяхното приемане. Освен това, дирекция "Правно-нормативна и международна дейност" съхранява информация относно исканията и актовете на Комисията, които не са публични.
Чл. 58
Чл. 58 от Правилника за дейността на Комисията за защита на личните данни описва процедурата за предварителна консултация, която се извършва по искане на администратора на лични данни. Искането трябва да съдържа информация относно отговорностите на администратора, целите на обработването, мерките за защита на правата на субектите, координатите на длъжностното лице по защита на данните, оценката на въздействието върху защитата на данните и становището на длъжностното лице, ако такова е назначено. Допълнителна информация може да бъде поискана от надзорния орган.
Чл. 59
Искането за предварителна консултация в Комисията за защита на личните данни (КЗЛД) се разпределя на дирекция "Правно-аналитична, информационна и контролна дейност". В срок от един месец след постъпване на искането, дирекцията трябва да изготви и представи на комисията предложение за становище. При необходимост, може да се предложи и упражняване на правомощията на КЗЛД, съгласно член 58 от Регламент (ЕС) 2016/679, член 12, алинея 2 или член 80 от Закона за защита на личните данни (ЗЗЛД).
Чл. 60
Комисията за защита на личните данни има правото по собствена инициатива да изисква от администраторите да се консултират с нея и да получават предварително разрешение за обработването на лични данни, когато това е необходимо за изпълнение на задачи в полза на обществения интерес. Това включва случаи, свързани със социалната закрила и общественото здраве.
Чл. 61
Комисията за защита на личните данни изразява становище по различни въпроси, а в случаи на нарушения, посочени в чл. 36, параграф 5 от Регламент (ЕС) 2016/679, тя предоставя разрешение. При упражняване на правомощията си по чл. 58 от същия регламент, комисията приема решения.
Чл. 62
Чл. 62 от Правилника за дейността на Комисията за защита на личните данни определя процедурата за уведомление при нарушение на сигурността на личните данни. Уведомлението може да бъде подадено от администратора на лични данни или упълномощено лице, в съответствие с Регламент (ЕС) 2016/679 и Закона за защита на личните данни. След получаване на уведомлението, то се регистрира и анализира от дирекция "Правно-аналитична, информационна и контролна дейност" в срок от един месец. Анализът включва оценка на качеството на КЗЛД, естеството на нарушението, броя на засегнатите лица и нивото на риска. При необходимост, дирекцията може да поиска допълнителна информация от администратора, което спира срока за анализ.
Чл. 63
Чл. 63 определя процедурата след събиране на информация за нарушение на личните данни. В срок до два месеца след уведомление за нарушението, дирекция "Правно-аналитична, информационна и контролна дейност" трябва да изготви мотивиран доклад до КЗЛД с предложения за проверка. КЗЛД може да извърши проверка на място, независимо от нивото на риска. След приключване на проверката, комисията постановява решение и може да приложи мерки съгласно Регламент (ЕС) 2016/679 и ЗЗЛД, включително налагане на административни наказания.
Чл. 64
Чл. 64 от Правилника за дейността на Комисията за защита на личните данни описва процедурата за одобрение на кодекс за поведение, която започва с подаване на писмено искане. Искането трябва да съдържа информация за отговарящия за прилагането на кодекса, наименование на кодекса, обхват на операциите по обработване, категории администратори, териториален обхват, механизми за наблюдение, информация за органа за наблюдение и консултации със заинтересованите страни. Искането се подава на български и при определени условия на английски език. Дирекцията проверява допустимостта и редовността на искането, а при нередности уведомява подателя да ги отстрани. При установена недопустимост, производството се прекратява с решение на комисията.
Чл. 65
Чл. 65 от Правилника за дейността на Комисията за защита на личните данни определя процеса след установяване на изпълнение на изискванията по чл. 64, ал. 3. Комисията изпраща писмено потвърждение до отговорното лице за прилагането на кодекса за поведение и преминава към анализ на съдържанието на проекта за кодекс. Анализът включва оценка на съответствието на проекта с Регламент (ЕС) 2016/679 и ЗЗЛД, улесняване на прилагането на тези норми, осигуряване на механизми за отчетност и достатъчни гаранции за правата на физическите лица.
Чл. 66
Чл. 66 от Правилника описва задълженията на дирекция "Правно-аналитична, информационна и контролна дейност" при анализа на проект за кодекс за поведение. Становището, което се представя на комисията, трябва да включва оценка на различни аспекти, свързани с обработването на лични данни, като предмет, правна рамка, механизми за присъединяване и спазване на кодекса, права на субектите на данни и мерки за защита. Становището трябва да отразява и информация за акредитацията на органа за наблюдение, който предлага кодекса.
Чл. 67
Член 67 от Правилника за дейността на Комисията за защита на личните данни определя процедурата за произнасяне на комисията относно проектите на кодекси за поведение. Комисията разглежда проектите на закрито заседание и може да изрази становище, да върне кодекса за корекции или да го одобри, в зависимост от съответствието му с Регламент (ЕС) 2016/679 и Закона за защита на личните данни (ЗЗЛД). При несъответствие, комисията дава срок за корекции, а при неизпълнение производството се прекратява. Одобрените кодекси се регистрират и публикуват от комисията, а акредитираният орган за наблюдение получава удостоверение. Кодексите се изпращат и на Европейския комитет по защита на данните за публикуване.
Чл. 68
Член 68 от Правилника за дейността на Комисията за защита на личните данни, изменен с ДВ, бр. 38 от 2023 г., постановява, че изискванията и процедурите, установени в този раздел, както и наредбата по чл. 14а, ал. 3 от Закона за защита на личните данни, се прилагат и при искания за изменение или допълнение на вече одобрен кодекс за поведение.
Чл. 69
Чл. 69 от Правилника за дейността на Комисията за защита на личните данни (КЗЛД) определя процедурата, която комисията следва при получаване на проект на кодекс за поведение, свързан с обработването на лични данни в няколко държави членки на ЕС или ЕИП. Комисията е задължена да информира надзорните органи и Европейския комитет по защита на данните за проекта и да приложи механизма за съгласуваност, предвиден в Регламент (ЕС) 2016/679. Одобрението на кодекса от комисията е възможно само след получаване на становище от Европейския комитет относно съответствието на проекта с регламента.
Чл. 70
Чл. 70 от Правилника определя участието на Комисията за защита на личните данни в международни механизми за сътрудничество. Комисията може да работи по своя инициатива или по искане на надзорен орган от друга държава с цел ефективно прилагане на законодателството за защита на личните данни. Формите на сътрудничество включват обмен на информация, консултации, съвместни операции и други. Сътрудничеството с органи от ЕС се осъществява съгласно Регламент (ЕС) 2016/679, а с органи от трети държави - в съответствие с двустранни или многостранни споразумения. Комисията може да откаже искане за сътрудничество, ако не е компетентна по предмета на искането или ако удовлетворяването на искането би нарушило законодателството на България или правото на ЕС.
Чл. 71
Чл. 71 определя процедурата при постъпване на искания за сътрудничество в Комисията за защита на личните данни. Председателят на комисията назначава водеща дирекция за организиране на сътрудничеството и изготвяне на отговори. При необходимост от съвместна операция, дирекция "Правни производства и надзор" подготвя доклад с предложения за участие на КЗЛД. Комисията взема решение за участие и упълномощава свои членове или служители. След приключване на операцията, дирекцията представя доклад за резултатите в срок от един месец. Раздел X, касаещ воденето на регистри и обмен на информация с публични органи, е отменен с ДВ, бр. 38 от 2023 г., в сила от 28.04.2023 г. Въведен е нов раздел относно разглеждането на сигнали за нарушения по Закона за защита на лицата, подавящи сигнали.
Чл. 72
Чл. 72 от Правилника за дейността на Комисията за защита на личните данни определя основните принципи, по които комисията и служителите от дирекция "Канал за външно подаване на сигнали" трябва да се ръководят. Те включват законност, обективност и защита на личните права, лоялност и безпристрастност, както и отговорност и отчетност при изпълнение на функциите им.
Чл. 73
Производството по разглеждане на сигнали за нарушения в Комисията за защита на личните данни (КЗЛД) започва с постъпване на сигнал, който може да бъде подаден по електронен път или писмено. Сигналите се разпределят на случаен принцип на служители от дирекция "Канал за външно подаване на сигнали". При устно подаване на сигнал, служител попълва формуляр и генерира уникален идентификационен номер. Всяка форма на подаване на сигнал изисква събиране на определена информация, включително данни за работодателя и предмета на сигнала.
Чл. 74
Член 74 от Правилника за дейността на Комисията за защита на личните данни е отменен и заменен с нов текст, който влиза в сила от 28 април 2023 г. Според новия текст, служителят, отговарящ за разглеждането на сигналите, е задължен да извърши проверка за редовност в 7-дневен срок от получаването на сигнала или на данните за нарушения.
Чл. 75
Чл. 75 от Правилника установява процедурата за разглеждане на сигнали за нарушения в Комисията за защита на личните данни. Служителят, отговарящ за сигнала, извършва необходимите действия за изясняване на фактите и обстоятелствата и изготвя доклад до директора на дирекцията в срок до 2 месеца, с възможност за удължаване до 5 месеца в обосновани случаи. Директорът на дирекцията след това внася доклад в закрито заседание на комисията.
Чл. 76
Член 76 от Правилника за дейността на Комисията за защита на личните данни е отменен и заменен с нов текст, публикуван в Държавен вестник, брой 38 от 2023 г., в сила от 28.04.2023 г. Според новия текст, след получаване на информация от компетентните органи по член 20 относно предприетите действия по член 25, директорът на дирекцията е задължен да предложи на комисията проект на доклад, в съответствие със съдържанието и сроковете, посочени в член 26 от Закона за защита на личните данни и специалните правила за обработка на лични данни.
Чл. 77
Чл. 77 от Правилника за дейността на Комисията за защита на личните данни описва реда за извършване на проверки от председателя и членовете на комисията или упълномощени от нея лица. Проверки могат да бъдат планови, извършвани по одобрен годишен план, и извънпланови, които не са включени в плана. Видът, редът и обхватът на проверките се определят с вътрешни правила на комисията.
Чл. 78
Член 78 от Правилника за дейността на Комисията за защита на личните данни е отменен и заменен с нова разпоредба, която влиза в сила от 28.04.2023 г. Според новата разпоредба, при постъпване на сигнал или данни за нарушения, свързани с председателя или членовете на комисията, директорът на дирекция "Канал за външно подаване на сигнали" е задължен незабавно да изпрати сигнала за проверка на Комисията за противодействие на корупцията и за отнемане на незаконно придобитото имущество.
Чл. 79
Чл. 79 от Правилника за дейността на Комисията за защита на личните данни предвижда, че при неизпълнение на задължения от служители на дирекция "Канал за външно подаване на сигнали" и други свързани служители, главният секретар уведомява председателя на комисията. Председателят трябва в срок от 14 дни да нареди образуването на дисциплинарно дело съгласно Закона за държавния служител.
Чл. 79а
Комисията за защита на личните данни води публични и непублични регистри, свързани с администратори на лични данни, сертифициращи органи и кодекси за поведение. Публичните регистри включват регистър на администраторите с назначени длъжностни лица, акредитирани сертифициращи органи и кодекси за поведение. Непубличните регистри обхващат нарушения на регламентите, уведомления за нарушения на сигурността, протоколи за унищожени данни и сигнали за нарушения. Регистрирането и поддържането на данните се извършва от различни дирекции в Комисията, а всяка промяна или грешка в данните подлежи на корекция.
Чл. 79б
Чл. 79б от Правилника за дейността на Комисията за защита на личните данни описва как се вписват данни в регистъра на администраторите и обработващите лични данни, които са определили длъжностни лица по защита на данните. Регистърът включва данни за идентификация на администраторите, длъжностните лица и контактна информация. Публичната част на регистъра съдържа имената на администраторите и длъжностните лица, както и данни за контакт с тях.
Чл. 79в
Член 79в от Правилника за дейността на Комисията за защита на личните данни определя задълженията относно вписването в регистъра на акредитирани сертифициращи органи. В регистъра се вписват данни за идентификация и контакт с акредитирания орган, както и информация за акредитацията. Публичната част на регистъра съдържа наименованието на акредитирания орган, срока на валидност на акредитацията и данни за контакт.
Чл. 79г.
Чл. 79г. от Правилника за дейността на Комисията за защита на личните данни регламентира вписването на данни в регистъра, свързани с кодексите за защита на личните данни. В регистъра се вписват информация за отговарящия за прилагането на кодекса, наименование на сектора/бранша, съдържание на кодекса и информация за акредитиран орган за наблюдение, ако такъв съществува. Публичната част на регистъра съдържа основната информация, включително наименованието на кодекса и на отговарящия за неговото прилагане.
Чл. 79д
Чл. 79д от Правилника за дейността на Комисията за защита на личните данни предвижда вписване в регистъра на данни, свързани с корективните мерки, предприети от комисията. В регистъра се включват информация за нарушението, действия от КЗЛД, данни за администратора, нарушени разпоредби, акт на комисията, срок за изпълнение на мерките, размер на наказанието, възражения и информация за влизане в законна сила на акта.
Чл. 79е
Чл. 79е от Правилника за дейността на Комисията за защита на личните данни предвижда, че в регистъра по чл. 79а, ал. 2, т. 2 се вписват данни за идентификация на администратора на лични данни, който е засегнат от нарушение. Освен това, се включва информация съгласно чл. 33, параграф 3 и чл. 58, параграф 2 от Регламент (ЕС) 2016/679, както и данни по чл. 67 от Закона за защита на личните данни (ЗЗЛД).
Чл. 79ж.
Чл. 79ж. от Правилника за дейността на Комисията за защита на личните данни определя какви данни се вписват в регистъра по чл. 79а, ал. 2, т. 3. В него се записват информация за идентификация на предприятието, състава на комисията, изготвила протокола, период на съхранение на унищожените данни, методите и средствата за унищожаване на данните, както и информация относно използването на облачни услуги.
Чл. 79з
Чл. 79з от Правилника за дейността на Комисията за защита на личните данни, нов с ДВ, бр. 38 от 2023 г., указва, че в регистъра, предвиден в чл. 79а, ал. 2, т. 4, се вписват данните, посочени в чл. 18, ал. 2 от Закона за защита на личните данни и специалната защита на личните данни.
Чл. 79и
Чл. 79и от Правилника за дейността на Комисията за защита на личните данни, въведен с ДВ, бр. 38 от 2023 г., указва, че в комисията се внедрява система за управление на документи и работни потоци, както и контрол на решенията. Комисията осъществява обмен на информация с други публични органи чрез електронни средства, включително система за сигурно електронно връчване и междурегистров обмен. Освен това, комисията има право на достъп до регистри и услуги от публични органи чрез съответните информационни системи.
Чл. 80
Комисията за защита на личните данни организира обучение в областта на защитата на личните данни, основано на утвърдено тематично съдържание. Обучението включва използване на съвременни технологии, съчетаване на присъствени и дистанционни форми, както и лекционни, дискусионни и практични части.
Чл. 81
Чл. 81 от Правилника за дейността на Комисията за защита на личните данни описва процедурата за обучение, която може да бъде иницирана по искане на заинтересовани лица или по инициатива на комисията. Искането за обучение трябва да съдържа данни за искателя, допълнителна информация и подпис. Комисията провежда обучения по годишен план, който включва администратори и обработващи лични данни с висока обществена значимост или които извършват специфични операции, свързани с обработка на лични данни, включително мащабно наблюдение и операции с висок риск.
Чл. 82
Чл. 82 от Правилника за дейността на Комисията за защита на личните данни (КЗЛД) определя организацията и координацията на обучението в комисията. Дирекция "Управление на ресурсите и административно-правно обслужване" е отговорна за цялостната организация и координация на обучението, след разпореждане от председателя на КЗЛД или решение на комисията. Тази дирекция също така координира участието на служители от специализираната администрация в обучението. Възможно е и служители на специализираната администрация да организират обучението по изключение. Процесът на комуникация за уточняване на параметрите на обучението се осъществява от същата дирекция, която определя лице за контакт. Това лице организира и координира провеждането на обучението и дирекцията също организира изпитите и издаването на сертификати.
Чл. 83
Чл. 83 от Правилника за дейността на Комисията за защита на личните данни определя, че Комисията утвърджава структурата, съдържанието, методологията и продължителността на обучението в областта на защитата на личните данни. Обученията могат да се провеждат от членове на комисията, служители от специализираната администрация, както и от външни експерти, в зависимост от тематиката на обучението.
Чл. 84
В чл. 84 от Правилника за дейността на Комисията за защита на личните данни се описват групите обучаеми, които могат да участват в обучения по чл. 10, ал. 2, т. 6 от Закона за защита на личните данни. Те включват администратори на лични данни, обработващи лични данни, длъжностни лица по защита на данните, субекти на данни и сертифициращи органи. Комисията предлага възможност за полагане на изпит за определяне на началните знания на кандидатите преди обучението.
Чл. 85
Член 85 от Правилника за дейността на Комисията за защита на личните данни описва процеса на обучение и полагане на изпит за участниците. Изпитът оценява знанията и уменията в защитата на личните данни и може да бъде проведен присъствено или дистанционно. Участниците могат да се явят на изпит до два пъти годишно, а оценяването се извършва от комисия от трима членове. Резултатите от изпита се публикуват на интернет страницата на комисията. Такси за участие в обучението и изпита се определят от Министерския съвет, с изключение на обучения, организирани от комисията.
Чл. 86
Сертификатът за лица, преминали обучение по чл. 16, ал. 2 от ЗЗЛД, трябва да съдържа следните реквизити: наименование на органа, издал сертификата; име на участника; наименование на обучението; период на провеждане; дата на полагане на изпит; срок на валидност; уникален номер; дата на издаване, подпис и печат.
Чл. 87
Чл. 87 от Правилника за дейността на Комисията за защита на личните данни регламентира достъпа на страните в административните производства до материалите по неприключили преписки. Достъпът се осъществява на място в сградата на комисията в работни дни от 9:00 до 17:00 ч. По искане на страна или неин представител се предоставят безплатно копия на документите от преписката. Правилата за достъп и получаване на копия се публикуват на интернет страницата на комисията.
Чл. 88
Член 88 от Правилника за дейността на Комисията за защита на личните данни предвижда, че правилата за деловодната дейност и работата с документи се определят с вътрешен акт. Този акт трябва да бъде утвърден със заповед на председателя на комисията след взето решение от самата комисия.
Чл. 89
Чл. 89 от Правилника предвижда, че правилата относно пропускателния режим, противопожарната охрана, действията при извънредни ситуации и други свързани въпроси се утвърдяват със заповед на председателя на Комисията, след взето решение от самата комисия.
Чл. 90
Приемното време на Комисията е от 9 до 17,30 ч. Работното време на служителите е 8 часа дневно и 40 часа седмично, с променливи граници от 7,30 до 18,30 ч. Задължителното присъствие е от 10 до 16 ч., с обедна почивка от 30 минути. Конкретната организация на работа и контролът по спазване на работното време се уреждат от председателя на комисията. Работното време на служителите от дирекция "Управление на ресурсите и административно-правно обслужване" е не по-кратко от работното време на комисията.
Чл. 91
Член 91 от Правилника за дейността на Комисията за защита на личните данни (КЗЛД) регламентира възможността председателят и членовете на комисията, както и служителите на администрацията, да получават допълнителни възнаграждения. Тези възнаграждения се определят в съответствие с Кодекса на труда и подзаконовите актове, а за служителите на администрацията - и според Наредбата за заплатите в държавната администрация и вътрешните правила на КЗЛД.
Чл. 92
Чл. 92 от Правилника за дейността на Комисията за защита на личните данни предвижда, че председателят и членовете на комисията получават допълнително месечно възнаграждение върху основната заплата, в зависимост от нивото на класификация на информацията, което е: 15 % за ниво 'строго секретно', 10 % за 'секретно' и 5 % за 'поверително'.
Чл. 93
Чл. 93 от Правилника определя условията за изплащане на средства за представително облекло на председателя, членовете на комисията и служителите на администрацията на КЗЛД. Индивидуалният размер на средствата се определя с решение на комисията за председателя и с заповед на председателя за служителите. Сумите не могат да надвишават стойността на облеклото на държавните служители. При постъпване или прекратяване на работа, средствата се изплащат пропорционално на оставащите или неотработените месеци.
Чл. 94
Член 94 от Правилника за дейността на Комисията за защита на личните данни предвижда, че приемното време на председателя, членовете на комисията и главния секретар се оповестява на видно място в сградата на администрацията.
Чл. 95 и Заключителни разпоредби (§ 1, § 2, § 3)
Правилникът определя условията за легитимация на служителите на Комисията за защита на личните данни пред външни лица и институции, като те трябва да притежават служебна карта с необходимата информация. Служебните карти се преиздават при промяна на данните и се връщат при прекратяване на служебните отношения. Правилникът е приет на основание Закона за защита на личните данни и е в сила от обнародването му. Няколко изменения и допълнения на правилника са приети през 2020, 2022 и 2023 г. Правилникът отменя предходния правилник от 2009 г. и определя числеността на персонала в Комисията, включително различни длъжности и дирекции.
§1
Правилникът е приет на основание чл. 9, ал. 2 от Закона за защита на личните данни и влиза в сила от датата на обнародването му в "Държавен вестник". Приет е с решение на Комисията за защита на личните данни от 19.07.2019 г.
§2
Параграф §2 от правилника отменя предишния правилник за дейността на Комисията за защита на личните данни, който е бил обнародван в Държавен вестник, бр. 11 от 2009 г. и е претърпял множество изменения и допълнения до 2016 г. Новият правилник е обнародван в ДВ, бр. 52 от 2020 г. и влиза в сила от 09.06.2020 г.
§ 3 и Заключителни разпоредби
Правилникът за изменение на Правилника за дейността на Комисията за защита на личните данни е приет на 28.05.2020 г. и влиза в сила от деня на обнародването му в "Държавен вестник". Заключителните разпоредби към правилника за изменение са обнародвани в бр. 32 от 2022 г. и влизат в сила от 26.04.2022 г.
§3 и Заключителни разпоредби
Правилникът за изменение на Правилника за дейността на Комисията за защита на личните данни е приет с Решение на Комисията от 13 април 2022 г. и влиза в сила от деня на обнародването му в "Държавен вестник". Заключителните разпоредби към правилника за изменение и допълнение на правилника са обнародвани в бр. 38 от 2023 г. и влизат в сила от 28.04.2023 г.
§33
Правилникът за изменение и допълнение на Правилника за дейността на Комисията за защита на личните данни е приет на 19.04.2023 г. и влиза в сила от деня на обнародването му в "Държавен вестник". Общата численост на персонала в Комисията е 117, включваща 5 изборни длъжности, 1 главен секретар, 1 финансов контрольор, 29 служители в общата администрация и 81 служители в специализираната администрация.
