ЗАКОН ЗА ИЗМЕНЕНИЕ И ДОПЪЛНЕНИЕ НА ЗАКОНА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ (ДВ, БР. 1 ОТ 2002 Г.)
ЗАКОН ЗА ИЗМЕНЕНИЕ И ДОПЪЛНЕНИЕ НА ЗАКОНА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ (ДВ, БР. 1 ОТ 2002 Г.)
Обн. ДВ. бр.81 от 18 Октомври 2011г.
§ 1. В чл. 1 се правят следните изменения и допълнения:
1. Алинея 5 се изменя така:
"(5) Доколкото в специален закон не е предвидено друго, този закон се прилага и за обработването на лични данни за целите на:
1. отбраната на страната;
2. националната сигурност;
3. опазването на обществения ред и противодействието на престъпността;
4. наказателното производство;
5. изпълнението на наказанията."
2. Създават се нови ал. 6 и 7:
"(6) Когато в рамките на полицейско или съдебно сътрудничество данни по ал. 5, т. 3, 4 и 5 са получени от или са предоставени на държава - членка на Европейския съюз, или органи или информационни системи, създадени въз основа на Договора за създаването на Европейския съюз или на Договора за функциониране на Европейския съюз, те се обработват при условията и по реда на този закон.
(7) Обработването на данните по ал. 5 се извършва под контрола на съответния държавен орган."
3. Досегашните ал. 6 и 7 стават съответно ал. 8 и 9.
§ 2. В чл. 2 се правят следните допълнения:
1. В ал. 2, т. 2 накрая се добавя "с изключение на случаите, изрично предвидени в този закон".
2. Създават се ал. 3 и 4:
"(3) Лични данни, получени по чл. 1, ал. 6, могат да бъдат обработвани допълнително за друга цел, различна от целта, за която са събрани, когато са налице едновременно следните условия:
1. това обработване е съвместимо с целта, за която са били събрани данните;
2. съществува основание, предвидено в закон, за обработване на данните за тази друга цел;
3. обработването е в съответствие с изискванията на ал. 2.
(4) Администратор, получил данни по чл. 1, ал. 6, уведомява физическото лице, за което се отнасят данните, за допълнителното обработване по ал. 3, освен в случаите по чл. 36д, ал. 2 или когато в специален закон е предвидено друго."
§ 3. В чл. 10, ал. 1 се правят следните изменения и допълнения:
1. Създава се нова т. 9:
"9. издава подзаконови нормативни актове в областта на защита на личните данни;".
2. Досегашните т. 9, 10, 11 и 12 стават съответно т. 10, 11, 12 и 13.
§ 4. В чл. 11, т. 3 думите "след решение на комисията" се заличават.
§ 5. В чл. 17 се създават ал. 4, 5 и 6:
"(4) Преди преустановяване на обработването на лични данни администраторът подава заявление за заличаването му от регистъра по чл. 10, ал. 1, т. 2.
(5) Със заявлението по ал. 4 администраторът е длъжен да предостави на комисията доказателства за изпълнение на задълженията си по чл. 25, ал. 1.
(6) Условията и редът за заличаването на администратора от регистъра по чл. 10, ал. 1, т. 2 се уреждат с правилника по чл. 9, ал. 2."
§ 6. В чл. 18 се създава ал. 5:
"(5) Администраторът подава заявлението по чл. 17, ал. 1 на хартиен носител или по електронен път. В случаите, когато заявлението се подава по електронен път, се прилага Законът за електронното управление."
§ 7. В чл. 23 се правят следните допълнения:
1. В ал. 1 се създава изречение второ: "Администраторът на лични данни определя срокове за провеждане на периодични прегледи относно необходимостта от обработване на данните, както и за заличаване на личните данни."
2. В ал. 4 след думата "Мерките" се добавя "и сроковете".
§ 8. Създават се чл. 23а и 23б:
"Чл. 23а. (1) При обработване на лични данни, получени по чл. 1, ал. 6, администраторът блокира съхраняваните данни, за да ограничи тяхното обработване в бъдеще, вместо да ги заличава, ако са налице достатъчно основания да се смята, че заличаването би могло да засегне законните интереси на физическото лице, за което се отнасят данните.
(2) Блокираните данни се обработват само за целта, която е препятствала заличаването им.
Чл. 23б. (1) Когато са получени данни по чл. 1, ал. 6, без да са поискани от администратора, той незабавно проверява дали тези данни са необходими за целта, за която са предоставени.
(2) Когато администраторът, предоставящ данни по чл. 1, ал. 6, установи, че те са неточни или са били предоставени незаконосъобразно, той незабавно уведомява получателя на данните за това.
(3) Администратор, получил данни по чл. 1, ал. 6, които са неточни или са получени незаконосъобразно, и е уведомен за това от предоставящия данните, е длъжен незабавно да предприеме действия за тяхното коригиране, заличаване или блокиране.
(4) Когато лицето, за което се отнасят данните по чл. 1, ал. 6, оспори точността на данните и не може да бъде проверена тяхната точност, администраторът може да ги отбележи като оспорени, като това не ограничава тяхното обработване в бъдеще."
§ 9. В чл. 25, ал. 1 в текста преди т. 1 след думата "данни" се добавя "или преди преустановяване на обработването на личните данни".
§ 10. В чл. 34 се създават ал. 4 и 5:
"(4) Администраторът отказва пълно или частично предоставяне на данни, получени по чл. 1, ал. 6, на лицето, за което те се отнасят, в случаите, когато:
1. това би попречило на предотвратяването или разкриването на престъпления, на провеждането на наказателно производство или на изпълнението на наказания;
2. това е необходимо за защита на:
а) националната сигурност;
б) обществения ред;
в) лицето, за което се отнасят данните.
(5) Администраторът, който е получил данни по чл. 1, ал. 6, не информира лицето, за което се отнасят данните, ако това е указано изрично от предоставящия данните."
§ 11. В чл. 36а се правят следните изменения и допълнения:
1. Създава се нова ал. 4:
"(4) Комисията за защита на личните данни преценява адекватността на нивото на защита съгласно ал. 3 и при предоставяне на лични данни по чл. 1, ал. 6 на трета държава или на международна организация."
2. Досегашната ал. 4 става ал. 5.
3. Досегашната ал. 5 става ал. 6 и в нея думите "ал. 4, т. 2" се заменят с "ал. 5, т. 2".
4. Досегашната ал. 6 става ал. 7 и в нея думите "ал. 2 и 4" се заменят с "ал. 2 и 5".
5. Досегашната ал. 7 става ал. 8.
§ 12. Създават се чл. 36в - 36и:
"Чл. 36в. Администраторът води регистри на данните, предоставени и получени по чл. 1, ал. 6.
Чл. 36г. В съответствие с чл. 2, ал. 3 данни, получени по чл. 1, ал. 6, могат да бъдат обработвани допълнително за цели, различни от целите, за които първоначално са били предоставени тези данни, ако целите са във връзка със:
1. предотвратяване или разкриване на престъпления, провеждане на наказателно производство или изпълнение на наказания;
2. предотвратяване на непосредствена и сериозна заплаха за обществения ред;
3. друга цел само ако за това има предварително съгласие на предоставящия данните или на лицето, за което те се отнасят.
Чл. 36д. (1) В случаите, когато специален закон въвежда ограничения за предоставящия данни по чл. 1, ал. 6, свързани с обработването на данните, получателят задължително се уведомява за това от предоставящия данните.
(2) Когато администратор, получил данни по чл. 1, ал. 6, бъде уведомен от предоставящия данните за наличието на ограничения съгласно националното му законодателство, свързани с тяхното обработване, той задължително се съобразява с тези ограничения.
(3) При предоставяне на данни по чл. 1, ал. 6 администраторът, предоставящ данните, може да посочи изрични срокове за запазване на данните или за провеждане на преглед дали те все още са необходими.
(4) Администратор, получил данни по чл. 1, ал. 6, е длъжен да заличи или блокира данните или да проведе преглед дали те все още са необходими след изтичане на сроковете, определени от предоставящия данните.
(5) Алинея 4 не се прилага, когато към момента на изтичане на сроковете за съхранение данните са необходими за неприключило наказателно производство или изпълнение на наказание.
Чл. 36е. (1) Администратор, получил данни по чл. 1, ал. 6, може да ги предава на компетентен орган в трета държава или на международна организация само когато са налице едновременно следните условия:
1. това е необходимо за предотвратяването или разкриването на престъпления, провеждането на наказателно производство или изпълнението на наказания;
2. получателят е компетентен да осъществява дейности по т. 1;
3. съответната държава - членка на Европейския съюз, от която са получени данните, е дала съгласие за тяхното предоставяне в съответствие с националното си законодателство;
4. получателят осигурява адекватно ниво на защита за планираното обработване на данни.
(2) Съгласието по ал. 1, т. 3 не е необходимо, когато предоставянето на данните е от съществено значение за предотвратяването на непосредствена и сериозна заплаха за обществения ред на държава - членка на Европейския съюз, или на трета държава, и предварителното съгласие не може да бъде получено своевременно. В този случай предоставящият данните се уведомява незабавно.
Чл. 36ж. Комисията за защита на личните данни не извършва преценка на адекватността на нивото на защита по чл. 36е, ал. 1, т. 4, когато е налице поне едно от следните условия:
1. националното законодателство на предоставящия данните допуска такова предоставяне за защита на законни интереси на лицето, за което се отнасят данните, или за защита на особено важен обществен интерес;
2. получателят на данните предоставя достатъчно гаранции за защита.
Чл. 36з. (1) Администратор, получил данни по чл. 1, ал. 6, може да ги предостави на трето физическо или юридическо лице само в случай че:
1. предоставящият данните е дал съгласие за предоставянето им;
2. предоставянето на данните няма да засегне законни права на лицето, за което те се отнасят;
3. предоставянето е от съществено значение за:
а) изпълнение на законоустановено задължение на предоставящия данните;
б) предотвратяване или разкриване на престъпления, провеждане на наказателно производство или изпълнение на наказания;
в) предотвратяване на непосредствена и сериозна заплаха за обществения ред;
г) предотвратяване на сериозно нарушение на конституционни права на физически лица.
(2) При предоставянето на данни по ал. 1 третото физическо или юридическо лице се уведомява от предоставящия данните за целите, за които могат да бъдат обработвани данните, като тези данни могат да бъдат обработвани само за тези цели.
Чл. 36и. При поискване от администратора, предоставящ данните, администраторът, получил данни по чл. 1, ал. 6, незабавно писмено го информира за тяхното обработване."
§ 13. В чл. 39 се правят следните изменения и допълнения:
1. Създава се нова ал. 3:
"(3) В производството по ал. 1 администратор, получил данни по чл. 1, ал. 6, които са неточни, не може да използва в своя защита неточността на получените данни."
2. Досегашната ал. 3 става ал. 4.
§ 14. В чл. 42, ал. 1 думите "чл. 2, ал. 2" се заменят с "чл. 2, ал. 2 и ал. 3".
Допълнителни разпоредби
§ 15. Този закон въвежда изискванията на Рамково решение 2008/977/ПВР на Съвета от 27 ноември 2008 г. относно защитата на личните данни, обработвани в рамките на полицейското и съдебното сътрудничество по наказателноправни въпроси (ОВ, L 350/ 60 от 30 декември 2008 г.).
Заключителни разпоредби
§ 16. В Закона за Министерството на вътрешните работи (обн., ДВ, бр. 17 от 2006 г.; изм., бр. 30, 102 и 105 от 2006 г., бр. 11, 31, 41, 46, 57, 64 и 109 от 2007 г., бр. 28, 43, 69, 94 и 98 от 2008 г., бр. 27, 42, 74, 82 и 93 от 2009 г., бр. 88 от 2010 г. и бр. 9, 23, 47 и 48 от 2011 г.) в чл. 159 се създава ал. 9:
"(9) Данните, получени по чл. 1, ал. 6 от Закона за защита на личните данни, се обработват при условията и по реда на Закона за защита на личните данни."
§ 17. В Закона за съдебната власт (обн., ДВ, бр. 64 от 2007 г.; изм., бр. 69 и 109 от 2008 г., бр. 25, 33, 42, 102 и 103 от 2009 г., бр. 59 от 2010 г. и бр. 1, 23, 32 и 45 от 2011 г.) в чл. 64 се правят следните изменения и допълнения:
1. Създава се нова ал. 2:
"(2) Публикуването на актовете по ал. 1 се извършва по начин, който не позволява идентифицирането на физическите лица, упоменати в тези актове."
2. Досегашната ал. 2 става ал. 3.
§ 18. В Закона за изпълнение на наказанията и задържането под стража (обн., ДВ, бр. 25 от 2009 г.; изм., бр. 74 и 82 от 2009 г. и бр. 32 и 73 от 2010 г.) в допълнителните разпоредби се създава § 4а:
"§ 4а. При обработването на лични данни в изпълнение на този закон се прилага Законът за защита на личните данни."
-------------------------
Законът е приет от 41-ото Народно събрание на 6 октомври 2011 г. и е подпечатан с официалния печат на Народното събрание.
