ЗАКОН ЗА ИЗМЕНЕНИЕ И ДОПЪЛНЕНИЕ НА ЗАКОНА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ (ДВ, БР. 1 ОТ 2002 Г.)
ЗАКОН ЗА ИЗМЕНЕНИЕ И ДОПЪЛНЕНИЕ НА ЗАКОНА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ (ДВ, БР. 1 ОТ 2002 Г.)
Обн. ДВ. бр.91 от 10 Ноември 2006г.
§ 1. В чл. 1 се правят следните изменения и допълнения:
1. Създава се нова ал. 3:
"(3) Този закон се прилага за обработването на лични данни със:
1. автоматични средства;
2. неавтоматични средства, когато тези данни съставляват или са предназначени да съставляват част от регистър."
2. Досегашната ал. 3 става ал. 4 и в нея:
а) текстът преди т. 1 се изменя така:
"(4) Този закон се прилага за обработването на лични данни, когато администраторът на лични данни:";
б) точка 1 се изменя така:
"1. е установен на територията на Република България и обработва лични данни във връзка със своята дейност;";
в) в т. 2 думата "който" се заличава;
г) в т. 3 думата "който" се заличава.
3. Досегашната ал. 4 става ал. 5 и се изменя така:
"(5) Този закон се прилага и за обработването на лични данни за целите на отбраната, националната сигурност и обществения ред, както и за нуждите на наказателното производство, доколкото в специален закон не е предвидено друго. Обработването на данните се извършва под контрола на съответния държавен орган."
4. Досегашните ал. 5 и 6 стават съответно ал. 6 и 7.
§ 2. В чл. 2 се правят следните изменения:
1. Алинея 1 се изменя така:
"(1) Лични данни са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци."
2. В ал. 2 т. 3 се изменя така:
"3. бъдат съотносими, свързани със и ненадхвърлящи целите, за които се обработват;".
§ 3. В чл. 3 ал. 1 и 2 се изменят така:
"(1) Администратор на лични данни, наричан по-нататък "администратор", е физическо или юридическо лице, както и орган на държавната власт или на местното самоуправление, който сам или съвместно с друго лице определя целите и средствата за обработване на личните данни.
(2) Администратор е и физическо или юридическо лице, както и орган на държавната власт или на местното самоуправление, който обработва лични данни, видът на които, целите и средствата за обработване се определят със закон. В тези случаи администраторът или специфичните критерии за неговото определяне са нормативно уредени."
§ 4. В чл. 4, ал. 1 т. 3 се изменя така:
"3. обработването е необходимо за изпълнение на задължения по договор, по който физическото лице, за което се отнасят данните, е страна, както и за действия, предхождащи сключването на договор и предприети по негово искане;".
§ 5. В чл. 5, ал. 2, т. 2 след думата "дало" се добавя "изрично".
§ 6. (В сила от 01.01.2007 г.) В чл. 6, ал. 2 накрая се добавя "и е първостепенен разпоредител с бюджетни кредити".
§ 7. В чл. 7 се правят следните изменения и допълнения:
1. В ал. 2 изречение второ се заличава.
2. Създават се нови ал. 4 и 5:
"(4) Членовете на комисията получават основно месечно възнаграждение, равно на 2,5 средномесечни работни заплати на наетите лица по трудово и служебно правоотношение в обществения сектор съобразно данни на Националния статистически институт. Основното месечно възнаграждение се преизчислява всяко тримесечие, като се взема предвид средномесечната работна заплата за последния месец от предходното тримесечие.
(5) Председателят на комисията получава месечно възнаграждение с 30 на сто по-високо от основното месечно възнаграждение по ал. 4."
3. Досегашната ал. 4 става ал. 6.
§ 8. В чл. 10 се правят следните изменения:
1. В ал. 3 думите "ал. 4" се заменят с "ал. 6".
2. Алинея 4 се изменя така:
"(4) Комисията съгласува по браншове и области на дейност етичните кодекси за поведение на администраторите на лични данни по чл. 22а и при установяване на несъответствие с нормативната уредба дава задължителни предписания."
§ 9. Член 12 се изменя така:
"Чл. 12. (1) Председателят и членовете на комисията или упълномощени от нея лица от администрацията й осъществяват контрол чрез предварителни, текущи и последващи проверки за спазване на този закон.
(2) Предварителна проверка се извършва в случаите по чл. 17б.
(3) Текущи проверки се извършват по молба на заинтересовани лица, както и по инициатива на комисията въз основа на приет от нея месечен план за контролна дейност.
(4) Последващи проверки се извършват за изпълнение на решение или на задължително предписание на комисията, както и по нейна инициатива след подаден сигнал.
(5) Проверяващите лица се легитимират със служебна карта и заповед на председателя на комисията за съответната проверка.
(6) При извършване на проверки лицата по ал. 1 могат да възлагат изготвяне на експертизи по реда на Гражданския процесуален кодекс.
(7) Проверката завършва с констативен акт.
(8) В случаите, когато с акта по ал. 7 е установено нарушение, констативният акт е акт за установяване на административно нарушение по смисъла на Закона за административните нарушения и наказания.
(9) Условията и редът за осъществяване на контрол се определят с инструкция на комисията."
§ 10. Член 16 се отменя.
§ 11. Член 17 се изменя така:
"Чл. 17. (1) Администраторът на лични данни е длъжен да подаде заявление за регистрация преди започване обработването на лични данни.
(2) В 14-дневен срок от подаване на заявлението комисията вписва администратора на лични данни в регистъра по чл. 10, ал. 1, т. 2.
(3) Администраторът може да започне обработване на данните след подаване на заявлението за регистрация."
§ 12. Създават се чл. 17а и 17б:
"Чл. 17а. (1) Не се подава заявление за регистрация, когато администраторът:
1. поддържа регистър, който по силата на нормативен акт е предназначен да осигури обществена информация и:
а) достъпът до него е свободен, или
б) достъп до него има лице, което има правен интерес;
2. обработва данни в случаите по чл. 5, ал. 2, т. 4.
(2) Комисията може да освободи от задължение за регистрация и администратори, които обработват данни извън тези по ал. 1, когато обработването не застрашава правата и законните интереси на физическите лица, чиито данни се обработват.
(3) Условията и редът за освобождаване по ал. 2 се уреждат с правилника по чл. 9, ал. 2, като комисията определя критериите в съответствие със:
1. целите на обработване на личните данни;
2. личните данни или категориите лични данни, подлежащи на обработване;
3. категориите физически лица, чиито данни се обработват;
4. получателите или категориите получатели, пред които личните данни могат да бъдат разкрити;
5. срока на съхраняване на данните.
Чл. 17б. (1) Когато администраторът е заявил обработване на данни по чл. 5, ал. 1 или на данни, чието обработване съгласно решение на комисията застрашава правата и законните интереси на физическите лица, комисията задължително извършва предварителна проверка преди вписване в регистъра по чл. 10, ал. 1, т. 2.
(2) Предварителната проверка се извършва в двумесечен срок от подаване на заявление за регистрация по чл. 17, ал. 1.
(3) След приключване на предварителната проверка комисията:
1. вписва администратора на лични данни в регистъра;
2. дава задължителни предписания относно условията за обработване на лични данни и воденето на регистър на лични данни;
3. отказва вписването.
(4) Администраторът не може да започне обработване на данните, преди да е вписан в регистъра по чл. 10, ал. 1, т. 2 или преди да изпълни задължителните предписания на комисията.
(5) Непроизнасянето в срока по ал. 2 се смята за мълчалив отказ за вписване на администратора в регистъра.
(6) Диспозитивът на решението по ал. 1 се обнародва в "Държавен вестник"."
§ 13. В чл. 18, ал. 1 думите "за регистрация по чл. 17" се заменят с "по чл. 17, ал. 1", а думите "преди започване на обработката на лични данни" се заличават.
§ 14. В чл. 19, ал. 1 думите "е длъжен да" се заличават, а думата "предостави" се заменя с "предоставя".
§ 15. В чл. 20, ал. 1 думите "е длъжен да" се заличават, а думата "предостави" се заменя с "предоставя".
§ 16. В чл. 21, ал. 1 думите "Всяка друга информация извън тази по чл. 19, ал. 1 и чл. 20, ал. 1" се заменят с "Информацията по чл. 19, ал. 1, т. 3 - 5, чл. 20, ал. 1, т. 3 - 5, както и всяка друга информация".
§ 17. В чл. 22 се правят следните изменения и допълнения:
1. Създава се нова ал. 3:
"(3) Наличието на търговска, производствена или друга защитена от закона тайна не може да бъде основание за отказ от съдействие от страна на администратора."
2. Досегашните ал. 3 и 4 стават съответно ал. 4 и 5.
§ 18. В глава трета се създава чл. 22а:
"Чл. 22а. (1) Администраторите по браншове и области на дейност могат да изготвят етични кодекси за поведение, отчитайки специфичните особености на своята дейност и правилата на морала и добрите нрави.
(2) Етичните кодекси могат да се представят на комисията за съгласуване преди приемането им от администраторите."
§ 19. Член 27 се отменя.
§ 20. В чл. 34, ал. 3 в изречение първо накрая се добавя "и това е предвидено в специален закон", а изречение второ се заличава.
§ 21. Член 35 се отменя.
§ 22. В чл. 36а се правят следните изменения:
1. Алинеи 4 и 5 се изменят така:
"(4) Комисията за защита на личните данни не извършва преценка по ал. 3 в случаите, когато е необходимо изпълнение на решение на Европейската комисия, с което тя се е произнесла, че:
1. третата държава, в която се предоставят лични данни, осигурява адекватно ниво на защита;
2. определени стандартни договорни клаузи осигуряват адекватно ниво на защита.
(5) В случаите по ал. 4, т. 2 администраторът използва стандартните договорни клаузи при предоставяне на данни в трета държава."
2. В ал. 6:
а) точки 2 и 3 се изменят така:
"2. предоставянето е необходимо за изпълнението на задължения по договор между физическото лице и администратора, както и за действията, предхождащи сключването на договор и предприети по искане на физическото лице;
3. предоставянето е необходимо за сключването и изпълнението на задължения по договор, сключен в интерес на физическото лице между администратора и друг субект;";
б) точка 6 се изменя така:
"6. източник на данните е публичен регистър, достъпът до който се осъществява при условия и по ред, предвидени в закон."
§ 23. В чл. 36б, ал. 2 след думите "за разрешенията, предоставени по ал. 1" се поставя запетая и се добавя "както и за отказите за предоставяне на такива разрешения".
§ 24. В чл. 38 се правят следните изменения и допълнения:
1. В ал. 1 думите "30-дневен" се заменят с "едногодишен", а думите "една година" се заменят с "пет години".
2. Създава се нова ал. 5:
"(5) В случаите по ал. 1, когато се обработват лични данни за целите на отбраната, националната сигурност и обществения ред, както и за нуждите на наказателното производство, решението на комисията съдържа само констатация относно законосъобразността на обработването."
3. Досегашната ал. 5 става ал. 6.
§ 25. В чл. 39 се правят следните изменения:
1. В ал. 1 думите "в срока по чл. 38, ал. 1" се заличават.
2. Алинеи 4 и 5 се отменят.
§ 26. В чл. 42 се правят следните изменения и допълнения:
1. В ал. 3 думите "5000 до 30 000 лв." се заменят с "2000 до 20 000 лв.".
2. Създават се нови ал. 5 и 6:
"(5) Администратор, който започне обработване на лични данни в нарушение на чл. 17б, ал. 4, се наказва с глоба или с имуществена санкция в размер от 2000 до 20 000 лв.
(6) Администратор, който не изпълни задълженията си по чл. 22, ал. 1 и 2, се наказва с глоба или с имуществена санкция в размер от 2000 до 20 000 лв."
3. Досегашните ал. 5, 6 и 7 стават съответно ал. 7, 8 и 9.
§ 27. В чл. 43 се правят следните изменения и допълнения:
1. В ал. 2 думите "въз основа на решението на комисията по чл. 38, ал. 2" се заличават.
2. Създава се нова ал. 3:
"(3) Имуществените санкции и глобите по влезли в сила наказателни постановления се събират по реда на Данъчно-осигурителния процесуален кодекс."
3. Досегашната ал. 3 става ал. 4.
§ 28. В допълнителната разпоредба се правят следните изменения и допълнения:
1. Наименованието "Допълнителна разпоредба" се изменя така: "Допълнителни разпоредби".
2. В § 1:
а) в т. 1 думите "или по друг начин" се заличават;
б) в т. 13 след думата "данни" се добавя "недвусмислено";
в) създава се т. 16:
"16. "Специфични признаци" са признаци, свързани с физическа, физиологична, генетична, психическа, психологическа, икономическа, културна, социална или друга идентичност на лицето."
3. Създава се § 1а:
"§ 1а. Този закон въвежда разпоредбите на Директива 95/46/ЕС на Европейския парламент и на Съвета за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни."
§ 29. В преходните и заключителните разпоредби на Закона за изменение и допълнение на Закона за защита на личните данни (ДВ, бр. 103 от 2005 г.) в § 51 думите "ал. 3" се заменят с "ал. 4".
Преходни и Заключителни разпоредби
§ 30. В Закона за отбраната и въоръжените сили на Република България (обн., ДВ, бр. 112 от 1995 г.; изм., бр. 67 от 1996 г., бр. 122 от 1997 г., бр. 70, 93, 152 и 153 от 1998 г., бр. 12, 67 и 69 от 1999 г., бр. 49 и 64 от 2000 г., бр. 25 от 2001 г., бр. 1, 40, 45 и 119 от 2002 г., бр. 50, 86, 95 и 112 от 2003 г., бр. 93 и 111 от 2004 г., бр. 27, 38, 76, 88, 102 и 105 от 2005 г., бр. 30, 36, 56 и 82 от 2006 г.) се създава чл. 37а:
"Чл. 37а. (1) В Министерството на отбраната, в Българската армия и в структурите на подчинение на министъра на отбраната се изграждат информационни фондове съобразно функционалната им компетентност. Фондовете могат да се изграждат и като автоматизирани.
(2) Администратори на лични данни по смисъла на Закона за защита на личните данни са министърът на отбраната и оправомощени от него длъжностни лица, които възлагат обработката на лични данни на определени от тях длъжностни лица.
(3) Всяко лице има право да иска достъп до отнасящите се за него лични данни, обработвани в информационните фондове на Министерството на отбраната, в Българската армия и в структурите на подчинение на министъра на отбраната, събирани без негово знание.
(4) Администраторите на лични данни по ал. 2 се произнасят в 14-дневен срок от постъпване на искането за достъп.
(5) Когато физическото лице поиска, му се предоставя копие от обработваните за него лични данни на хартиен носител.
(6) Администраторите на лични данни по ал. 2 отказват изцяло или частично предоставянето на лични данни, когато от това би възникнала опасност за отбраната или националната сигурност, за защитата на класифицираната информация, за разкриването на източниците на информацията или негласните методи и средства за нейното събиране, или ако предоставянето на тези данни на лицето би накърнило изпълнението на законово определените задачи на Министерството на отбраната, на Българската армия и на структурите на подчинение на министъра на отбраната.
(7) Уведомяването на заявителите за отказа по ал. 6 се извършва писмено, като се посочва само правното основание. За отказ се смята и липсата на уведомление в предвидените от закона срокове.
(8) Отказът по ал. 6 подлежи на обжалване по реда на Административнопроцесуалния кодекс.
(9) Условията и редът за събиране, съхраняване, обработване и предоставяне на лични данни и за достъп до фондовете по ал. 1 се определят с наредба на министъра на отбраната.
(10) Условията и редът за събиране, съхраняване, обработване и предоставяне на лични данни от служба "Сигурност - военна полиция и военно контраразузнаване" се определят с наредбата по чл. 40г, ал. 1.
(11) Контролът по защитата на правата на физическите лица при обработването на личните им данни и при осъществяването на достъп до тези данни се упражнява от Комисията за защита на личните данни при условията и по реда на Закона за защита на личните данни."
§ 31. Разпоредбата на § 6 относно чл. 6, ал. 2 влиза в сила от 1 януари 2007 г.
§ 32. В срок два месеца от влизането в сила на този закон Комисията за защита на личните данни приема инструкцията по чл. 12, ал. 9.
§ 33. В срок три месеца от влизането в сила на този закон администраторите, които подлежат на регистрация, подават заявление за регистрация.
-------------------------
Законът е приет от 40-то Народно събрание на 26 октомври 2006 г. и е подпечатан с официалния печат на Народното събрание.
