глава първа
ОБЩИ ПОЛОЖЕНИЯ
чл.1. (Изм. - ДВ, бр. 103 от 2005 г.) (1) Този закон урежда защитата на правата на физическите лица при обработването на личните им данни.
(2) Целта на закона е гарантиране на неприкосновеността на личността и личния живот чрез осигуряване на защита на физическите лица при неправомерно обработване на свързаните с тях лични данни в процеса на свободното движение на данните.
(3) (Нова - ДВ, бр. 91 от 2006 г.) Този закон се прилага за обработването на лични данни със:
1. автоматични средства;
2. неавтоматични средства, когато тези данни съставляват или са предназначени да съставляват част от регистър.
(4) (Предишна ал. 3, изм. - ДВ, бр. 91 от 2006 г.) Този закон се прилага за обработването на лични данни, когато администраторът на лични данни:
1. (изм. - ДВ, бр. 91 от 2006 г.) е установен на територията на Република България и обработва лични данни във връзка със своята дейност;
2. (изм. - ДВ, бр. 91 от 2006 г.) не е установен на територията на Република България, но е задължен да прилага този закон по силата на международното публично право;
3. (В сила от Договора за присъединяване на Република България към Европейския съюз, изм. - ДВ, бр. 91 от 2006 г.) не е установен на територията на държава - членка на Европейския съюз, както и в друга държава - членка на Европейското икономическо пространство, но за целите на обработването използва средства, разположени на българска територия, освен когато тези средства се използват само за транзитни цели; в този случай администраторът трябва да посочи представител, установен на територията на Република България, без това да го освобождава от отговорност.
(5) (Предишна ал. 4, изм. - ДВ, бр. 91 от 2006 г.) Този закон се прилага и за обработването на лични данни за целите на отбраната, националната сигурност и обществения ред, както и за нуждите на наказателното производство, доколкото в специален закон не е предвидено друго. Обработването на данните се извършва под контрола на съответния държавен орган.
(6) (Предишна ал. 5 - ДВ, бр. 91 от 2006 г.) Условията и редът за обработването на единен граждански номер и на други идентификационни номера с общо приложение се уреждат в специални закони.
(7) (Предишна ал. 6 - ДВ, бр. 91 от 2006 г., доп. - ДВ, бр. 57 от 2007 г., в сила от 13.07.2007 г.) Този закон не се прилага за обработването на лични данни, извършвано от физически лица за техни лични или домашни дейности, както и за информацията, която се съхранява в Националния архивен фонд.
чл.2. (Доп. - ДВ, бр. 70 от 2004 г., в сила от 01.01.2005 г., изм. - ДВ, бр. 103 от 2005 г.) (1) (Изм. - ДВ, бр. 91 от 2006 г.) Лични данни са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци.
(2) Личните данни трябва да:
1. се обработват законосъобразно и добросъвестно;
2. се събират за конкретни, точно определени и законни цели и да не се обработват допълнително по начин, несъвместим с тези цели; допълнително обработване на личните данни за исторически, статистически или научни цели е допустимо, при условие че администраторът осигури подходяща защита, като гарантира, че данните не се обработват за други цели;
3. (изм. - ДВ, бр. 91 от 2006 г.) бъдат съотносими, свързани със и ненадхвърлящи целите, за които се обработват;
4. бъдат точни и при необходимост да се актуализират;
5. се заличават или коригират, когато се установи, че са неточни или непропорционални по отношение на целите, за които се обработват;
6. се поддържат във вид, който позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които тези данни се обработват; личните данни, които ще се съхраняват за по-дълъг период за исторически, статистически или научни цели, се поддържат във вид, непозволяващ идентифицирането на физическите лица.
чл.3. (1) (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г.) Администратор на лични данни, наричан по-нататък "администратор", е физическо или юридическо лице, както и орган на държавната власт или на местното самоуправление, който сам или съвместно с друго лице определя целите и средствата за обработване на личните данни.
(2) (Нова - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г.) Администратор е и физическо или юридическо лице, както и орган на държавната власт или на местното самоуправление, който обработва лични данни, видът на които, целите и средствата за обработване се определят със закон. В тези случаи администраторът или специфичните критерии за неговото определяне са нормативно уредени.
(3) (Предишна ал. 2 - ДВ, бр. 103 от 2005 г.) Администраторът на лични данни обработва личните данни самостоятелно или чрез възлагане на обработващ данните.
(4) (Нова - ДВ, бр. 103 от 2005 г.) Администраторът осигурява спазването на изискванията на чл. 2, ал. 2.
чл.4. (Изм. - ДВ, бр. 103 от 2005 г.) (1) Обработването на лични данни е допустимо само в случаите, когато е налице поне едно от следните условия:
1. обработването е необходимо за изпълнение на нормативно установено задължение на администратора на лични данни;
2. физическото лице, за което се отнасят данните, е дало изрично своето съгласие;
3. (изм. - ДВ, бр. 91 от 2006 г.) обработването е необходимо за изпълнение на задължения по договор, по който физическото лице, за което се отнасят данните, е страна, както и за действия, предхождащи сключването на договор и предприети по негово искане;
4. обработването е необходимо, за да се защитят животът и здравето на физическото лице, за което се отнасят данните;
5. обработването е необходимо за изпълнението на задача, която се осъществява в обществен интерес;
6. обработването е необходимо за упражняване на правомощия, предоставени със закон на администратора или на трето лице, на което се разкриват данните;
7. обработването е необходимо за реализиране на законните интереси на администратора на лични данни или на трето лице, на което се разкриват данните, освен когато пред тези интереси преимущество имат интересите на физическото лице, за което се отнасят данните.
(2) Обработването на лични данни е допустимо и в случаите, когато то се извършва единствено за целите на журналистическата дейност, литературното или художественото изразяване, доколкото това обработване не нарушава правото на личен живот на лицето, за което се отнасят данните. В тези случаи разпоредбите на глава трета не се прилагат.
чл.5. (Изм. - ДВ, бр. 103 от 2005 г.) (1) Забранено е обработването на лични данни, които:
1. разкриват расов или етнически произход;
2. разкриват политически, религиозни или философски убеждения, членство в политически партии или организации, сдружения с религиозни, философски, политически или синдикални цели;
3. се отнасят до здравето, сексуалния живот или до човешкия геном.
(2) Алинея 1 не се прилага, когато:
1. обработването е необходимо за целите на изпълнението на специфични права и задължения на администратора в областта на трудовото законодателство;
2. (доп. - ДВ, бр. 91 от 2006 г.) физическото лице, за което се отнасят тези данни, е дало изрично своето съгласие за обработването им, освен ако в специален закон е предвидено друго;
3. обработването е необходимо за защита на живота и здравето на физическото лице, за което тези данни се отнасят, или на друго лице и състоянието на физическото лице не му позволява да даде съгласие или съществуват законни пречки за това;
4. обработването се извършва от организация с нестопанска цел, включително с политическа, философска, религиозна или синдикална цел, в хода на законосъобразната ѝ дейност и с подходяща защита, при условие че:
а) обработването е свързано единствено с членовете на тази организация или с лица, които поддържат редовни контакти с нея във връзка с нейните цели;
б) данните не се разкриват на трети лица без съгласието на физическото лице, за което те се отнасят;
5. обработването се отнася до данни, публично оповестени от физическото лице, или то е необходимо за установяването, упражняването или защитата на права по съдебен ред;
6. обработването е необходимо за целите на превантивната медицина, медицинската диагностика, предоставянето или управлението на здравни услуги, при условие че данните се обработват от медицински специалист, задължен по закон да пази професионална тайна, или от друго лице, обвързано с подобно задължение за опазване на тайна;
7. обработването се извършва единствено за целите на журналистическата дейност, литературното или художественото изразяване, доколкото то не нарушава правото на личен живот на лицето, за което се отнасят тези данни.
глава втора
КОМИСИЯ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
чл.6. (1) Комисията за защита на личните данни, наричана по-нататък "комисията", е независим държавен орган, който осъществява защитата на лицата при обработването на техните лични данни и при осъществяването на достъпа до тези данни, както и контрола по спазването на този закон.
(2) (Доп. - ДВ, бр. 91 от 2006 г., в сила от 01.01.2007 г.) Комисията е юридическо лице на бюджетна издръжка със седалище София и е първостепенен разпоредител с бюджетни кредити.
чл.7. (1) Комисията е колегиален орган и се състои от председател и 4 членове.
(2) (Изм. - ДВ, бр. 91 от 2006 г.) Членовете на комисията и председателят ѝ се избират от Народното събрание по предложение на Министерския съвет за срок 5 години и могат да бъдат преизбирани за още един мандат.
(3) Председателят и членовете на комисията осъществяват своята дейност по трудово правоотношение.
(4) (Нова - ДВ, бр. 91 от 2006 г.) Членовете на комисията получават основно месечно възнаграждение, равно на 2,5 средномесечни работни заплати на наетите лица по трудово и служебно правоотношение в обществения сектор съобразно данни на Националния статистически институт. Основното месечно възнаграждение се преизчислява всяко тримесечие, като се взема предвид средномесечната работна заплата за последния месец от предходното тримесечие.
(5) (Нова - ДВ, бр. 91 от 2006 г.) Председателят на комисията получава месечно възнаграждение с 30 на сто по-високо от основното месечно възнаграждение по ал. 4.
(6) (Изм. - ДВ, бр. 103 от 2005 г., предишна ал. 4 - ДВ, бр. 91 от 2006 г.) Комисията до 31 януари всяка година представя годишен отчет за своята дейност пред Народното събрание.
чл.8. (1) За членове на комисията могат да бъдат избирани български граждани, които:
1. имат висше образование по информатика, по право или са магистри по информационни технологии;
2. имат трудов стаж по специалността си не по-малко от 10 години;
3. (доп. - ДВ, бр. 103 от 2005 г.) не са осъждани на лишаване от свобода за умишлени престъпления от общ характер, независимо дали са реабилитирани;
(2) Членове на комисията не могат:
1. (изм. - ДВ, бр. 103 от 2005 г.) да бъдат лица, които са еднолични търговци, управители/прокуристи или членове на управителни или на контролни органи на търговски дружества, кооперации или администратори на лични данни по смисъла на този закон;
2. да заемат друга платена длъжност, освен когато упражняват научна или преподавателска дейност.
(3) За председател на комисията се избира правоспособен юрист, който отговаря на изискванията по ал. 1 и 2.
(4) Мандатът на председателя или член на комисията се прекратява предсрочно:
1. при смърт или поставяне под запрещение;
2. по решение на Народното събрание, когато:
а) е подал молба за освобождаване;
б) е извършил грубо нарушение на този закон;
в) е извършил умишлено престъпление от общ характер, за което има влязла в сила присъда;
г) е налице невъзможност да изпълнява задълженията си за срок по-дълъг от шест месеца.
(5) (Изм. и доп. - ДВ, бр. 103 от 2005 г.) В случаите по ал. 4 Министерският съвет предлага на Народното събрание да избере нов член за срок до края на първоначалния мандат на съответния член на комисията.
(6) Времето, през което лицето е работило като председател или член на комисията, се признава и за служебен стаж по Закона за държавния служител.
чл.9. (1) Комисията е постоянно действащ орган, който се подпомага от администрация.
(2) Комисията урежда в правилник своята дейност и дейността на администрацията си и го обнародва в "Държавен вестник".
(3) Решенията на комисията се вземат с мнозинство от общия брой на членовете ѝ.
(4) Заседанията на комисията са открити. Комисията може да реши отделни заседания да бъдат закрити.
чл.10. (1) Комисията:
1. анализира и осъществява цялостен контрол за спазването на нормативните актове в областта на защитата на лични данни;
2. (доп. - ДВ, бр. 103 от 2005 г.) води регистър на администраторите на лични данни и на водените от тях регистри на лични данни;
3. извършва проверки на администраторите на лични данни във връзка с дейността си по т. 1;
4. изразява становища и дава разрешения в предвидените в този закон случаи;
5. издава задължителни предписания до администраторите във връзка със защитата на личните данни;
6. след предварително уведомяване налага временна забрана за обработването на лични данни, с които се нарушават нормите за защита на личните данни;
7. (изм. - ДВ, бр. 103 от 2005 г.) разглежда жалби срещу актове и действия на администраторите, с които се нарушават правата на физическите лица по този закон, както и жалби на трети лица във връзка с правата им по този закон;
8. (изм. - ДВ, бр. 103 от 2005 г.) участва в подготовката и задължително дава становища по проекти на закони и подзаконови нормативни актове в областта на защитата на личните данни;
9. (нова - ДВ, бр. 103 от 2005 г., в сила от 01.01.2007 г.) осигурява прилагането на решенията на Европейската комисия в областта на защитата на личните данни.
(2) (Изм. - ДВ, бр. 103 от 2005 г.) Редът за водене на регистъра по ал. 1, т. 2, за уведомяване на комисията, за даване на разрешения и изразяване на становища, за разглеждане на жалбите, както и за издаване на задължителните предписания и налагането на временни забрани за обработване на лични данни, се определя в правилника по чл. 9, ал. 2.
(3) (Доп. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г.) Комисията издава бюлетин, в който публикува информация за своята дейност и за взетите решения. В бюлетина се публикува и отчетът по чл. 7, ал. 6.
(4) (Нова - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г.) Комисията съгласува по браншове и области на дейност етичните кодекси за поведение на администраторите на лични данни по чл. 22а и при установяване на несъответствие с нормативната уредба дава задължителни предписания.
чл.11. Председателят на комисията:
1. организира и ръководи дейността на комисията съобразно закона и решенията на комисията и отговаря за изпълнението на задълженията й;
2. представлява комисията пред трети лица;
3. (доп. - ДВ, бр. 103 от 2005 г.) назначава и освобождава държавните служители и сключва и прекратява трудовите договори на служителите по трудови правоотношения от администрацията след решение на комисията.
4. (нова - ДВ, бр. 103 от 2005 г.) издава наказателни постановления по чл. 43, ал. 2.
чл.12. (Изм. - ДВ, бр. 91 от 2006 г.) (1) Председателят и членовете на комисията или упълномощени от нея лица от администрацията ѝ осъществяват контрол чрез предварителни, текущи и последващи проверки за спазване на този закон.
(2) Предварителна проверка се извършва в случаите по чл. 17б.
(3) Текущи проверки се извършват по молба на заинтересовани лица, както и по инициатива на комисията въз основа на приет от нея месечен план за контролна дейност.
(4) Последващи проверки се извършват за изпълнение на решение или на задължително предписание на комисията, както и по нейна инициатива след подаден сигнал.
(5) Проверяващите лица се легитимират със служебна карта и заповед на председателя на комисията за съответната проверка.
(6) При извършване на проверки лицата по ал. 1 могат да възлагат изготвяне на експертизи по реда на Гражданския процесуален кодекс.
(7) Проверката завършва с констативен акт.
(8) В случаите, когато с акта по ал. 7 е установено нарушение, констативният акт е акт за установяване на административно нарушение по смисъла на Закона за административните нарушения и наказания.
(9) Условията и редът за осъществяване на контрол се определят с инструкция на комисията.
чл.13. (Изм. - ДВ, бр. 103 от 2005 г.) (1) Председателят и членовете на комисията и служителите от нейната администрация са длъжни да не разгласяват и да не се възползват за свое или чуждо облагодетелстване от информацията, представляваща защитена от закон тайна, която им е станала известна при осъществяване на тяхната дейност, до изтичане на срока за защитата ѝ.
(2) При постъпване на работа лицата по ал. 1 подават декларация за задълженията си по ал. 1.