Държавен вестник, брой 103 от 23.XII

§ 1. Член 1 се изменя така:

"Чл. 1. (1) Този закон урежда защитата на правата на физическите лица при обработването на личните им данни.

(2) Целта на закона е гарантиране на неприкосновеността на личността и личния живот чрез осигуряване на защита на физическите лица при неправомерно обработване на свързаните с тях лични данни в процеса на свободното движение на данните.

(3) Този закон се прилага за обработката на лични данни, съставляващи или предназначени да съставляват част от регистър, която се извършва от администратор на лични данни:

1. установен на територията на Република България;

2. който не е установен на територията на Република България, но е задължен да прилага този закон по силата на международното публично право;

3. (В сила от 01.01.2007 г.) който не е установен на територията на държава - членка на Европейския съюз, както и в друга държава - членка на Европейското икономическо пространство, но за целите на обработването използва средства, разположени на българска територия, освен когато тези средства се използват само за транзитни цели; в този случай администраторът трябва да посочи представител, установен на територията на Република България, без това да го освобождава от отговорност.

(4) Обработването на лични данни за целите на отбраната, националната сигурност и обществения ред, както и за нуждите на наказателното производство се урежда в специални закони.

(5) Условията и редът за обработването на единен граждански номер и на други идентификационни номера с общо приложение се уреждат в специални закони.

(6) Този закон не се прилага за обработването на лични данни, извършвано от физически лица за техни лични или домашни дейности."

§ 2. Член 2 се изменя така:

"Чл. 2. (1) Лични данни са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци, свързани с неговата физическа, физиологична, генетична, психическа, психологическа, икономическа, културна или социална идентичност.

(2) Личните данни трябва да:

1. се обработват законосъобразно и добросъвестно;

2. се събират за конкретни, точно определени и законни цели и да не се обработват допълнително по начин, несъвместим с тези цели; допълнително обработване на личните данни за исторически, статистически или научни цели е допустимо, при условие че администраторът осигури подходяща защита, като гарантира, че данните не се обработват за други цели;

3. бъдат пропорционални на целите, за които се обработват;

4. бъдат точни и при необходимост да се актуализират;

5. се заличават или коригират, когато се установи, че са неточни или непропорционални по отношение на целите, за които се обработват;

6. се поддържат във вид, който позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които тези данни се обработват; личните данни, които ще се съхраняват за по-дълъг период за исторически, статистически или научни цели, се поддържат във вид, непозволяващ идентифицирането на физическите лица."

§ 3. В чл. 3 се правят следните изменения и допълнения:

1. Алинея 1 се изменя така:

"(1) Администратор на лични данни, наричан по-нататък "администратор", е физическо или юридическо лице, както и орган на държавна власт или на местно самоуправление, който обработва лични данни, като видът на обработваните данни, целите и средствата за обработване са определени със закон."

2. Създава се нова ал. 2:

"(2) Администратор е и физическо или юридическо лице, както и орган на държавна власт или на местно самоуправление, който сам определя вида на обработваните лични данни, целите и средствата за тяхното обработване."

3. Досегашната ал. 2 става ал. 3.

4. Досегашната ал. 3 се отменя.

5. Създава се ал. 4:

"(4) Администраторът осигурява спазването на изискванията на чл. 2, ал. 2."

§ 4. Член 4 се изменя така:

"Чл. 4. (1) Обработването на лични данни е допустимо само в случаите, когато е налице поне едно от следните условия:

1. обработването е необходимо за изпълнение на нормативно установено задължение на администратора на лични данни;

2. физическото лице, за което се отнасят данните, е дало изрично своето съгласие;

3. обработването е необходимо за сключване и изпълнение на договор, по който физическото лице, за което се отнасят данните, е страна;

4. обработването е необходимо, за да се защитят животът и здравето на физическото лице, за което се отнасят данните;

5. обработването е необходимо за изпълнението на задача, която се осъществява в обществен интерес;

6. обработването е необходимо за упражняване на правомощия, предоставени със закон на администратора или на трето лице, на което се разкриват данните;

7. обработването е необходимо за реализиране на законните интереси на администратора на лични данни или на трето лице, на което се разкриват данните, освен когато пред тези интереси преимущество имат интересите на физическото лице, за което се отнасят данните.

(2) Обработването на лични данни е допустимо и в случаите, когато то се извършва единствено за целите на журналистическата дейност, литературното или художественото изразяване, доколкото това обработване не нарушава правото на личен живот на лицето, за което се отнасят данните. В тези случаи разпоредбите на глава трета не се прилагат."

§ 5. Член 5 се изменя така:

"Чл. 5. (1) Забранено е обработването на лични данни, които:

1. разкриват расов или етнически произход;

2. разкриват политически, религиозни или философски убеждения, членство в политически партии или организации, сдружения с религиозни, философски, политически или синдикални цели;

3. се отнасят до здравето, сексуалния живот или до човешкия геном.

(2) Алинея 1 не се прилага, когато:

1. обработването е необходимо за целите на изпълнението на специфични права и задължения на администратора в областта на трудовото законодателство;

2. физическото лице, за което се отнасят тези данни, е дало своето съгласие за обработването им, освен ако в специален закон е предвидено друго;

3. обработването е необходимо за защита на живота и здравето на физическото лице, за което тези данни се отнасят, или на друго лице и състоянието на физическото лице не му позволява да даде съгласие или съществуват законни пречки за това;

4. обработването се извършва от организация с нестопанска цел, включително с политическа, философска, религиозна или синдикална цел, в хода на законосъобразната й дейност и с подходяща защита, при условие че:

а) обработването е свързано единствено с членовете на тази организация или с лица, които поддържат редовни контакти с нея във връзка с нейните цели;

б) данните не се разкриват на трети лица без съгласието на физическото лице, за което те се отнасят;

5. обработването се отнася до данни, публично оповестени от физическото лице, или то е необходимо за установяването, упражняването или защитата на права по съдебен ред;

6. обработването е необходимо за целите на превантивната медицина, медицинската диагностика, предоставянето или управлението на здравни услуги, при условие че данните се обработват от медицински специалист, задължен по закон да пази професионална тайна, или от друго лице, обвързано с подобно задължение за опазване на тайна;

7. обработването се извършва единствено за целите на журналистическата дейност, литературното или художественото изразяване, доколкото то не нарушава правото на личен живот на лицето, за което се отнасят тези данни."

§ 6. В чл. 7, ал. 4 думите "и пред Министерския съвет" се заличават.

§ 7. В чл. 8 се правят следните изменения и допълнения:

1. В ал. 1, т. 3 накрая се добавя "независимо дали са реабилитирани".

2. В ал. 2, т. 1 думите "и юридически лица с нестопанска цел" се заменят с "или администратори на лични данни по смисъла на този закон".

3. В ал. 5 думите "ал. 3" се заменят с "ал. 4", а след думите "мандат на" се добавя "съответния член на".

§ 8. В чл. 10 се правят следните изменения и допълнения:

1. В ал. 1:

а) в т. 2 накрая се добавя "и на водените от тях регистри на лични данни";

б) точки 7 и 8 се изменят така:

"7. разглежда жалби срещу актове и действия на администраторите, с които се нарушават правата на физическите лица по този закон, както и жалби на трети лица във връзка с правата им по този закон;

8. участва в подготовката и задължително дава становища по проекти на закони и подзаконови нормативни актове в областта на защитата на личните данни;"

в) (*) създава се т. 9:

"9. осигурява прилагането на решенията на Европейската комисия в областта на защитата на личните данни."

2. В ал. 2 думите "чл. 14" се заменят с "ал. 1, т. 2", а след думата "комисията" се поставя запетая.

3. В ал. 3 се създава изречение второ: "В бюлетина се публикува и отчетът по чл. 7, ал. 4."

4. Създава се ал. 4:

"(4) Комисията приема Етичен кодекс за поведение на администраторите на лични данни при отчитане на специфичните особености на тяхната дейност."

§ 9. В чл. 11 се правят следните допълнения:

1. В т. 3 след думата "администрацията" се добавя "след решение".

2. Създава се т. 4:

"4. издава наказателни постановления по чл. 43, ал. 2."

§ 10. В чл. 12 се правят следните изменения:

1. Алинея 2 се отменя.

2. Алинеи 3, 4, 5 и 6 се изменят така:

"(3) Проверките по ал. 1 се извършват по молба на заинтересовани лица, както и по инициатива на комисията въз основа на приет от нея месечен план за контролна дейност.

(4) Проверяващите лица се легитимират със служебна карта и заповед на председателя на комисията за съответната проверка.

(5) При извършване на проверки лицата по ал. 1 могат да възлагат изготвяне на експертизи по реда на Гражданския процесуален кодекс.

(6) Проверката завършва с акт за констатация, а при установено нарушение по този закон - с акт за неговото установяване."

§ 11. Член 13 се изменя така:

"Чл. 13. (1) Председателят и членовете на комисията и служителите от нейната администрация са длъжни да не разгласяват и да не се възползват за свое или чуждо облагодетелстване от информацията, представляваща защитена от закон тайна, която им е станала известна при осъществяване на тяхната дейност, до изтичане на срока за защитата й.

(2) При постъпване на работа лицата по ал. 1 подават декларация за задълженията си по ал. 1."

§ 12. Член 14 се изменя така:

"Чл. 14. (1) В регистъра по чл. 10, ал. 1, т. 2 се вписват данните по чл. 18, ал. 2.

(2) Вписването в регистъра по чл. 10, ал. 1, т. 2 се удостоверява с идентификационен номер.

(3) Регистърът по ал. 1 е публичен."

§ 13. Член 15 се отменя.

§ 14. Член 16 се изменя така:

"Чл. 16. (1) В 14-дневен срок от подаване на заявление за регистрация по чл. 18 комисията вписва администратора на лични данни в регистъра по чл. 10, ал. 1, т. 2, ако са изпълнени изискванията на този закон за обработване на лични данни.

(2) Преди да извърши вписването по ал. 1 комисията може да направи предварителна проверка и да даде задължителни предписания относно условията за обработване на личните данни и воденето на регистър от администратора на лични данни."

§ 15. Наименованието на глава трета се изменя така: "Задължения на администратора на лични данни".

§ 16. Член 17 се изменя така:

"Чл. 17. (1) Администраторът на лични данни е длъжен да подаде заявление за регистрация, когато е налице поне едно от следните условия:

1. обработва лични данни, които разкриват расов или етнически произход, политически, религиозни или философски убеждения, членство в политически партии или организации, сдружения с религиозни, философски, политически или синдикални цели, както и лични данни, отнасящи се до здравето, сексуалния живот или до човешкия геном;

2. обработва лични данни при упражняване на правомощия, предоставени със закон;

3. поддържа регистър, съдържащ данни за не по-малко от 100 физически лица;

4. получил е задължително предписание за регистрация от комисията.

(2) Администратор може да се регистрира и доброволно, без да има задължение за това."

§ 17. Член 18 се изменя така:

"Чл. 18. (1) Администраторът или негов представител подава заявление за регистрация по чл. 17 и документи по образец, утвърден от комисията, преди започване на обработката на лични данни.

(2) Заявлението съдържа:

1. данните, идентифициращи администратора на лични данни и неговия представител, ако има такъв;

2. целите на обработване на личните данни;

3. категориите физически лица, чиито данни се обработват, и категориите лични данни, отнасящи се до тях;

4. получателите или категориите получатели, на които личните данни могат да бъдат разкрити;

5. предлаганото предоставяне на данни в други държави;

6. общото описание на мерките, предприети съгласно чл. 23, позволяващо изготвянето на предварителна оценка на тяхната целесъобразност.

(3) Администраторът уведомява комисията за всяка промяна на данните по ал. 2 преди нейното извършване. В случаите, когато такава промяна е предвидена в закон, уведомяването се извършва в 7-дневен срок от влизането в сила на съответния закон.

(4) В случаите, когато администраторът не е вписан в регистъра по чл. 10, ал. 1, т. 2, той е длъжен да предостави данните по ал. 2 на всяко лице при поискване."

§ 18. Член 19 се изменя така:

"Чл. 19. (1) В случаите, когато личните данни се събират от лицето, за което се отнасят, администраторът или негов представител е длъжен да му предостави:

1. данните, които идентифицират администратора и неговия представител;

2. целите на обработването на личните данни;

3. получателите или категориите получатели, на които могат да бъдат разкрити данните;

4. данните за задължителния или доброволния характер на предоставяне на данните и последиците от отказ за предоставянето им;

5. информация за правото на достъп и правото на коригиране на събраните данни.

(2) Данните по ал. 1 не се предоставят, когато физическото лице, за което се отнасят, вече разполага с тях или в закон съществува изрична забрана за предоставянето им."

§ 19. Член 20 се изменя така:

"Чл. 20. (1) Когато личните данни не са получени от физическото лице, за което те се отнасят, администраторът или негов представител е длъжен да му предостави:

1. данните, които идентифицират администратора и неговия представител;

2. целите на обработването на личните данни;

3. категориите лични данни, отнасящи се до съответното физическо лице;

4. получателите или категориите получатели, на които могат да бъдат разкрити данните;

5. информация за правото на достъп и правото на коригиране на събраните данни.

(2) Данните по ал. 1 се предоставят на лицето, за което се отнасят, към момента на вписването им в съответния регистър или, ако се предвижда разкриване на данните на трето лице - не по-късно от момента на разкриването им за пръв път.

(3) Алинея 1 не се прилага, когато:

1. обработването е за статистически, исторически или научни цели и предоставянето на данните по ал. 1 е невъзможно или изисква прекомерни усилия;

2. вписването или разкриването на данни са изрично предвидени в закон;

3. физическото лице, за което се отнасят данните, вече разполага с информацията по ал. 1;

4. е налице изрична забрана за това в закон."

§ 20. Член 21 се изменя така:

"Чл. 21. (1) Всяка друга информация извън тази по чл. 19, ал. 1 и чл. 20, ал. 1, свързана с обработването на данните, се предоставя след извършване на преценка за необходимостта от предоставянето с цел гарантиране на справедливо обработване на данните по отношение на физическото лице, за което се отнасят.

(2) Преценката по ал. 1 се извършва от администратора за всеки конкретен случай."

§ 21. Член 22 се изменя така:

"Чл. 22. (1) Администраторът на лични данни е длъжен да осигури достъп на лицата по чл. 12, ал. 1 до водените от него регистри и да не препятства контрола върху процеса по обработване на лични данни.

(2) Администраторът на лични данни е длъжен да предостави на лицата по чл. 12, ал. 1 исканата информация в устен или писмен вид, или на други информационни носители.

(3) Когато информацията съдържа данни, представляващи класифицирана информация, се прилага редът за достъп по Закона за защита на класифицираната информация.

(4) Всички лица, които обработват лични данни, са длъжни да оказват съдействие на комисията при упражняване на правомощията й."

§ 22. Член 23 се изменя така:

"Чл. 23. (1) Администраторът на лични данни предприема необходимите технически и организационни мерки, за да защити данните от случайно или незаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване.

(2) Администраторът взема специални мерки за защита, когато обработването включва предаване на данните по електронен път.

(3) Мерките по ал. 1 и 2 са съобразени със съвременните технологични постижения и осигуряват ниво на защита, което съответства на рисковете, свързани с обработването, и на естеството на данните, които трябва да бъдат защитени.

(4) Мерките по ал. 1 и 2 се определят с инструкция на администратора на лични данни.

(5) Комисията определя с наредба минималното ниво на технически и организационни мерки, както и допустимия вид защита. Наредбата се обнародва в "Държавен вестник."

§ 23. В чл. 24 се правят следните изменения:

1. В ал. 1 думите "по чл. 3, ал. 1" се заличават.

2. Алинея 3 се отменя.

3. Алинеи 4, 5 и 6 се изменят така:

"(4) Отношенията между администратора и обработващия лични данни се уреждат с нормативен акт, писмен договор или с друг акт на администратора, в който се определя обемът на задълженията, възложени от администратора на обработващия данните.

(5) За вреди, причинени на трети лица от действия или бездействия на обработващия данни, администраторът отговаря солидарно с него.

(6) Обработващият лични данни, както и всяко лице, действащо под ръководството на администратора или на обработващия, което има достъп до лични данни, може да ги обработва само по указание на администратора, освен ако в закон е предвидено друго."

§ 24. В чл. 25 ал. 1, 2 и 3 се изменят така:

"(1) След постигане целта на обработване на личните данни администраторът е длъжен да ги:

1. унищожи, или

2. прехвърли на друг администратор, като предварително уведоми за това комисията, ако прехвърлянето е предвидено в закон и е налице идентичност на целите на обработването.

(2) След постигане целта на обработване на личните данни администраторът ги съхранява само в предвидените в закон случаи.

(3) В случаите, когато след постигане целта на обработване администраторът иска да съхрани обработените лични данни като анонимни данни за исторически, научни или статистически цели, той уведомява за това комисията."

§ 25. Наименованието на глава пета се изменя така: "Права на физическите лица".

§ 26. В чл. 26, ал. 2 думите "по чл. 3, ал. 1" се заличават.

§ 27. Член 27 се изменя така:

"Чл. 27. Упражняването на правото на достъп до лични данни не може да накърнява правата на друго физическо лице или да е насочено срещу националната сигурност и обществения ред."

§ 28. Член 28 се изменя така:

"Чл. 28. (1) При упражняване на правото си на достъп физическото лице има право по всяко време да поиска от администратора на лични данни:

1. потвърждение за това, дали отнасящи се до него данни се обработват, информация за целите на това обработване, за категориите данни и за получателите или категориите получатели, на които данните се разкриват;

2. съобщение до него в разбираема форма, съдържащо личните му данни, които се обработват, както и всяка налична информация за техния източник;

3. информация за логиката на всяко автоматизирано обработване на лични данни, отнасящи се до него, поне в случаите на автоматизирани решения по чл. 34б.

(2) Физическото лице може да упражни безплатно своето право да получи информация по ал. 1 веднъж на 12 месеца.

(3) При смърт на физическото лице правата му по ал. 1 и 2 се упражняват от неговите наследници."

§ 29. Създава се чл. 28а:

"Чл. 28а. Физическото лице има право по всяко време да поиска от администратора да:

1. заличи, коригира или блокира негови лични данни, обработването на които не отговаря на изискванията на този закон;

2. уведоми третите лица, на които са били разкрити личните му данни, за всяко заличаване, коригиране или блокиране, извършено в съответствие с т. 1, с изключение на случаите, когато това е невъзможно или е свързано с прекомерни усилия."

§ 30. В член 29 се правят следните изменения:

1. Алинеи 1, 2 и 3 се изменят така:

"(1) Правото на достъп по чл. 26 и правата по чл. 28а се осъществяват с писмено заявление до администратора на лични данни.

(2) Заявление може да бъде отправено и по електронен път по реда на Закона за електронния документ и електронния подпис.

(3) Заявлението по ал. 1 се отправя лично от физическото лице или от изрично упълномощено от него лице чрез нотариално заверено пълномощно."

2. Алинея 4 се отменя.

§ 31. Член 30 се изменя така:

"Чл. 30. (1) Заявлението по чл. 29 съдържа:

1. име, адрес и други данни за идентифициране на съответното физическо лице;

2. описание на искането;

3. предпочитана форма за предоставяне на информацията по чл. 28, ал. 1;

4. подпис, дата на подаване на заявлението и адрес за кореспонденция.

(2) При подаване на заявление от упълномощено лице към заявлението се прилага и нотариално завереното пълномощно.

(3) Заявленията по чл. 29 се завеждат в регистър от администратора."

§ 32. В чл. 31 се правят следните изменения:

1. Алинея 1 се изменя така:

"(1) Информацията по чл. 28, ал. 1 може да бъде предоставена под формата на устна или писмена справка или на преглед на данните от съответното физическо лице или от изрично упълномощено от него друго лице."

2. Алинея 3 се изменя така:

"(3) Администраторът на лични данни е длъжен да се съобрази с предпочитаната от заявителя форма на предоставяне на информацията по чл. 28, ал. 1."

§ 33. Член 32 се изменя така:

"Чл. 32. (1) В случаите по чл. 28, ал. 1 администраторът на лични данни или изрично оправомощено от него лице разглежда заявлението по чл. 29 и се произнася в 14-дневен срок от неговото подаване.

(2) Срокът по ал. 1 може да бъде удължен от администратора до 30 дни в случаите по чл. 28, ал. 1, т. 1 и 2, когато обективно се изисква по-дълъг срок за събирането на всички искани данни и това сериозно затруднява дейността на администратора.

(3) В 14-дневен срок администраторът взема решение за предоставянето на пълна или частична информация по чл. 28, ал. 1 на заявителя или мотивирано отказва предоставянето й.

(4) В случаите по чл. 28а, т. 1 администраторът взема решение и извършва съответното действие в 14-дневен срок от подаване на заявлението по чл. 29 или мотивирано отказва извършването му.

(5) В случаите по чл. 28а, т. 2 администраторът на лични данни взема решение в 14-дневен срок и незабавно уведомява третите лица или мотивирано отказва да извърши уведомяването."

§ 34. В чл. 33 се правят следните изменения и допълнения:

1. Алинея 1 се изменя така:

"(1) Администраторът на лични данни писмено уведомява заявителя за решението или отказа си по чл. 32, ал. 3 - 5 в съответния срок."

2. Създава се ал. 3:

"(3) Липсата на уведомление по ал. 1 се смята за отказ."

§ 35. В чл. 34 се правят следните изменения:

1. Алинея 1 се изменя така:

"(1) Администраторът отказва достъп до лични данни, когато те не съществуват или предоставянето им е забранено със закон."

2. Алинея 2 се отменя.

3. Алинея 3 се изменя така:

"(3) Администраторът отказва пълно или частично предоставяне на данни на лицето, за което те се отнасят, когато от това би възникнала опасност за отбраната или националната сигурност или за защитата на класифицираната информация. Отказът не се мотивира, като се посочва само правното основание."

§ 36. След чл. 34 се създават чл. 34а и 34б:

"Чл. 34а. (1) Физическото лице, за което се отнасят данните, има право да:

1. възрази пред администратора срещу обработването на личните му данни при наличие на законово основание за това; когато възражението е основателно, личните данни на съответното физическо лице не могат повече да бъдат обработвани;

2. възрази срещу обработването на личните му данни за целите на директния маркетинг;

3. бъде уведомено, преди личните му данни да бъдат разкрити за пръв път на трети лица или използвани от тяхно име за целите по т. 2, като му бъде предоставена възможност да възрази срещу такова разкриване или използване.

(2) Администраторът уведомява физическото лице за правата му по ал. 1, т. 2 и 3.

Чл. 34б. (1) Решението на администратора е недопустимо, когато:

1. има правни или други съществени последици за физическото лице, и

2. е основано единствено на автоматизирано обработване на лични данни, предназначено да оценява лични характеристики на физическото лице.

(2) Алинея 1 не се прилага, когато решението е:

1. взето по време на сключването или изпълнението на договор, при условие че подадената от съответното физическо лице молба за сключване или изпълнение на договора е била удовлетворена или че съществуват подходящи мерки, гарантиращи законните му интереси;

2. уредено в закон, предвиждащ и мерки за защита на законните интереси на лицето.

(3) Физическото лице има право да поиска от администратора да преразгледа решението, прието в нарушение на ал. 1."

§ 37. Член 35 се изменя така:

"Чл. 35. (1) Предоставянето на лични данни от администратора на трети лица се допуска, ако:

1. е налице някое от основанията по чл. 4;

2. източниците на данни са публични регистри или документи, съдържащи обществена информация, за която е осигурен достъп по ред, определен в закон.

(2) В случаите по ал. 1, т. 1 се отправя писмено искане, в което се посочва основанието за предоставяне на лични данни.

(3) Администраторът се произнася с решение по искането в 14-дневен срок, като предоставя исканите данни или мотивирано отказва предоставянето им.

(4) Администраторът писмено уведомява третото лице за решението си по ал. 3.

(5) Предоставянето на лични данни или отказът може да се обжалва от заинтересованите лица по реда на глава седма."

§ 38. (*)Член 36 се изменя така:

"Чл. 36. (1) Предоставянето на лични данни от администратора на чуждестранни физически и юридически лица или на чужди държавни органи се допуска с разрешение на Комисията за защита на личните данни, ако нормативните актове на страната получател гарантират по-добра или еднаква с предвидената в този закон защита на данните.

(2) При прехвърлянето на лични данни в случаите по ал. 1 се спазват изискванията на този закон."

§ 39. (В сила от 01.01.2007 г.) Създава се чл. 36а:

"Чл. 36а. (1) Предоставянето на лични данни в държава - членка на Европейския съюз, както и в друга държава - членка на Европейското икономическо пространство, се извършва свободно при спазване на изискванията на този закон.

(2) Предоставяне на лични данни в трета държава се допуска само ако тя осигурява адекватно ниво на защита на личните данни на своя територия.

(3) Преценката на адекватността на нивото на защита на личните данни в трета държава се извършва от Комисията за защита на личните данни, като се вземат предвид всички обстоятелства, свързани с действието или съвкупността от действията по предоставянето на данните, включително характера на данните, целта и продължителността на обработването им, правната им уредба и мерките за сигурност, осигурени в третата държава.

(4) Преценка по ал. 3 не се извършва, когато Европейската комисия се е произнесла с решение относно нивото на защита на личните данни в третата държава, на която се предоставят данните.

(5) Изискването по ал. 2 не се прилага, когато предоставянето на лични данни се извършва съгласно международен договор, ратифициран, обнародван и влязъл в сила за Република България.

(6) Извън случаите по ал. 2 и 4, администраторът може да предоставя лични данни в трета държава, ако:

1. лицето, за което се отнасят данните, е дало изрично съгласие за това;

2. предоставянето е необходимо за изпълнението на договор между физическото лице и администратора или се осъществява по молба на лицето;

3. предоставянето е необходимо за изпълнение на договор, сключен в интерес на физическото лице между администратора и друг субект;

4. предоставянето е необходимо или се изисква от закона поради значим обществен интерес или за установяването, упражняването или защитата на права по съдебен ред;

5. предоставянето е необходимо, за да се защитят животът и здравето на лицето, за което се отнасят данните;

6. се предоставят данни, които са общодостъпни.

(7) Предоставянето на лични данни в трети държави е допустимо във всички случаи, когато то се извършва единствено за целите на журналистическата дейност, литературното или художественото изразяване, доколкото това обработване не нарушава правото на личен живот на лицето, за което се отнасят данните."

§ 40. (В сила от 01.01.2007 г.) Създава се чл. 36б:

"Чл. 36б. (1) Извън случаите по чл. 36а, предоставянето на лични данни в трета държава се извършва след разрешение на Комисията за защита на личните данни, при условие че администраторът, предоставящ данните, и администраторът, който ги получава, представят достатъчно гаранции за защитата им.

(2) Комисията уведомява Европейската комисия и компетентните органи на другите държави членки за разрешенията, предоставени по ал. 1."

§ 41. Член 37 се отменя.

§ 42. В чл. 38 се правят следните изменения:

1. Алинеи 1 и 2 се изменят така:

"(1) При нарушаване на правата му по този закон всяко физическо лице има право да сезира Комисията за защита на личните данни в 30-дневен срок от узнаване на нарушението, но не по-късно от една година от извършването му.

(2) Комисията се произнася в 30-дневен срок от сезирането с решение, като може да даде задължителни предписания, да определи срок за отстраняване на нарушението или да наложи административно наказание."

2. Алинея 3 се отменя.

3. В ал. 5 думите "във връзка с ал. 1" се заменят с "по ал. 2".

§ 43. В чл. 39 се правят следните изменения и допълнения:

1. Алинеи 1 и 2 се изменят така:

"(1) При нарушаване на правата му по този закон всяко физическо лице може да обжалва действия и актове на администратора по съдебен ред пред съответния окръжен съд или пред Върховния административен съд по общите правила за подсъдност в срока по чл. 38, ал. 1.

(2) В производството по ал. 1 физическото лице може да иска обезщетение за претърпените от него вреди вследствие на неправомерно обработване на лични данни от страна на администратора."

2. Създава се нова ал. 3:

"(3) Физическото лице не може да сезира съда, ако има висящо производство пред комисията за същото нарушение или нейно решение относно същото нарушение е обжалвано и няма влязло в сила решение на съда. По искане на физическото лице комисията удостоверява липсата на висящо производство пред нея по същия спор."

3. Досегашната ал. 3 става ал. 4 и в нея думите "указанията по чл. 38, ал. 3" се заменят с "предписанията по чл. 38, ал. 2", а думата "предписания" се заменя с "указания".

4. Досегашната ал. 4 става ал. 5 и в нея думите "ал. 1 и 3" се заменят с "ал. 4".

§ 44. Членове 40 и 41 се отменят.

§ 45. Член 42 се изменя така:

"Чл. 42. (1) За нарушения по чл. 2, ал. 2 и чл. 4 администраторът на лични данни се наказва с глоба или с имуществена санкция от 10 000 до 100 000 лв.

(2) За нарушения по чл. 5 администраторът се наказва с глоба или с имуществена санкция от 10 000 до 100 000 лв.

(3) За нарушения по чл. 19, ал. 1 и чл. 20, ал. 1 администраторът се наказва с глоба или с имуществена санкция от 5000 до 30 000 лв.

(4) Администратор, който не изпълни задължението си за регистрация по чл. 17, ал. 1, се наказва с глоба или с имуществена санкция от 1000 до 10 000 лв.

(5) Администратор, който не се произнесе в срок по заявление по чл. 29, се наказва с глоба или с имуществена санкция от 1000 до 20 000 лв., ако не подлежи на по-тежко наказание.

(6) За отказ от съдействие на комисията във връзка с контролните й правомощия лицата се наказват с глоба или с имуществена санкция от 1000 до 10 000 лв.

(7) За други нарушения по този закон виновните лица се наказват с глоба или с имуществена санкция от 500 до 5000 лв."

§ 46. Създава се чл. 42а:

"Чл. 42а. Когато нарушенията по този закон са извършени повторно, се налага глоба или имуществена санкция в двоен размер на първоначално наложената."

§ 47. В чл. 43 се правят следните изменения и допълнения:

1. В ал. 1 думите "от администрацията" се заличават.

2. В ал. 2 след думата "данни" се добавя "въз основа на решението на комисията по чл. 38, ал. 2."

§ 48. В допълнителната разпоредба в § 1 се правят следните изменения и допълнения:

1. Точки 1, 2 и 3 се изменят така:

"1. "Обработване на лични данни" е всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне или по друг начин, актуализиране или комбиниране, блокиране, заличаване или унищожаване.

2. "Регистър на лични данни" е всяка структурирана съвкупност от лични данни, достъпна по определени критерии, централизирана, децентрализирана или разпределена на функционален или географски принцип.

3. "Обработващ лични данни" е физическо или юридическо лице, държавен орган или орган на местно самоуправление, който обработва лични данни от името на администратора на лични данни."

2. Точка 4 се отменя.

3. Точка 6 се изменя така:

"6. "Анонимни данни" са лични данни, приведени във форма, която не позволява те да бъдат свързани със съответното физическо лице, за което се отнасят."

4. Точка 8 се отменя.

5. Създават се т. 11, 12, 13, 14 и 15:

"11. "Трето лице" е физическо или юридическо лице, орган на държавна власт или на местно самоуправление, различен от физическото лице, за което се отнасят данните, от администратора на лични данни, от обработващия лични данни и от лицата, които под прякото ръководство на администратора или обработващия имат право да обработват лични данни.

12. "Получател" е физическо или юридическо лице, орган на държавна власт или на местно самоуправление, на когото се разкриват лични данни, независимо дали е трето лице или не. Органите, които могат да получават данни в рамките на конкретно проучване, не се смятат за получатели.

13. "Съгласие на физическото лице" е всяко свободно изразено, конкретно и информирано волеизявление, с което физическото лице, за което се отнасят личните данни, се съгласява те да бъдат обработвани.

14. (В сила от 01.01.2007 г.) "Трета държава" е всяка държава, която не е член на Европейския съюз и не е страна по Споразумението за Европейското икономическо пространство.

15. "Директен маркетинг" е предлагане на стоки и услуги на физически лица по пощата, по телефон или по друг директен начин, както и допитване с цел проучване относно предлаганите стоки и услуги."