Този сайт използва т.нар. бисквитки (Cookies), съгласно разпоредбите на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета, за да Ви осигури най-функционалното посещение на нашия сайт. "Бисквитките" ни помагат да подобряваме съдържанието на сайта, като Ви даваме персонализирано и много по-бързо онлайн изживяване. Те се използват само от нашия сайт и нашите доверени партньори. Кликнете ТУК за подробности относно правилата за "бисквитките".
Този сайт използва т.нар. бисквитки (Cookies), съгласно разпоредбите на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета, за да Ви осигури най-функционалното посещение на нашия сайт. "Бисквитките" ни помагат да подобряваме съдържанието на сайта, като Ви даваме персонализирано и много по-бързо онлайн изживяване. Те се използват само от нашия сайт и нашите доверени партньори. Кликнете ТУК за подробности относно правилата за "бисквитките". Съгласен съм
Имейл RSS Facebook
x Влез в clubtrznormativi.bg

Лични данниОбезщетенияОсигуровкиТрудови правоотношенияУсловия на трудЧовешки ресурси

Закон за защита на личните данни

За пълния текст на Регламент (ЕС) 2016/679 за защита на личните данни - кликнете тук >>
В сила от 01.01.2002 г.
 
Обн. ДВ. бр.1 от 4 Януари 2002г., изм. ДВ. бр.70 от 10 Август 2004г., изм. ДВ. бр.93 от 19 Октомври 2004г., изм. ДВ. бр.43 от 20 Май 2005г., изм. ДВ. бр.103 от 23 Декември 2005г., изм. ДВ. бр.30 от 11 Април 2006г., изм. ДВ. бр.91 от 10 Ноември 2006г., изм. ДВ. бр.57 от 13 Юли 2007г., изм. ДВ. бр.42 от 5 Юни 2009г., изм. ДВ. бр.94 от 30 Ноември 2010г., изм. ДВ. бр.97 от 10 Декември 2010г., изм. ДВ. бр.39 от 20 Май 2011г., изм. ДВ. бр.81 от 18 Октомври 2011г., изм. ДВ. бр.105 от 29 Декември 2011г., изм. и доп. ДВ. бр.15 от 15 Февруари 2013г., доп. ДВ. бр.81 от 14 Октомври 2016г., изм. ДВ. бр.85 от 24 Октомври 2017г., доп. ДВ. бр.103 от 28 Декември 2017г., изм. ДВ. бр.7 от 19 Януари 2018г.
 
Глава първа.
ОБЩИ ПОЛОЖЕНИЯ
 
Чл. 1. (Изм. - ДВ, бр. 103 от 2005 г.) (1) Този закон урежда защитата на правата на физическите лица при обработването на личните им данни.
(2) Целта на закона е гарантиране на неприкосновеността на личността и личния живот чрез осигуряване на защита на физическите лица при неправомерно обработване на свързаните с тях лични данни в процеса на свободното движение на данните.
(3) (Нова - ДВ, бр. 91 от 2006 г.) Този закон се прилага за обработването на лични данни със:
1. автоматични средства;
2. неавтоматични средства, когато тези данни съставляват или са предназначени да съставляват част от регистър.
(4) (Предишна ал. 3, изм. - ДВ, бр. 91 от 2006 г.) Този закон се прилага за обработването на лични данни, когато администраторът на лични данни:
1. (изм. - ДВ, бр. 91 от 2006 г.) е установен на територията на Република България и обработва лични данни във връзка със своята дейност;
2. (изм. - ДВ, бр. 91 от 2006 г.) не е установен на територията на Република България, но е задължен да прилага този закон по силата на международното публично право;
3. (В сила от 01.01.2007 г., изм. - ДВ, бр. 91 от 2006 г.) не е установен на територията на държава - членка на Европейския съюз, както и в друга държава - членка на Европейското икономическо пространство, но за целите на обработването използва средства, разположени на българска територия, освен когато тези средства се използват само за транзитни цели; в този случай администраторът трябва да посочи представител, установен на територията на Република България, без това да го освобождава от отговорност.
(5) (Предишна ал. 4, изм. - ДВ, бр. 91 от 2006 г., изм. - ДВ, бр. 81 от 2011 г.) Доколкото в специален закон не е предвидено друго, този закон се прилага и за обработването на лични данни за целите на:
1. отбраната на страната;
2. националната сигурност;
3. опазването на обществения ред и противодействието на престъпността;
4. наказателното производство;
5. изпълнението на наказанията.
(6) (Нова - ДВ, бр. 81 от 2011 г.) Когато в рамките на полицейско или съдебно сътрудничество данни по ал. 5, т. 3, 4 и 5 са получени от или са предоставени на държава - членка на Европейския съюз, или органи или информационни системи, създадени въз основа на Договора за създаването на Европейския съюз или на Договора за функциониране на Европейския съюз, те се обработват при условията и по реда на този закон.
(7) (Нова - ДВ, бр. 81 от 2011 г.) Обработването на данните по ал. 5 се извършва под контрола на съответния държавен орган.
(8) (Предишна ал. 5 - ДВ, бр. 91 от 2006 г., предишна ал. 6 - ДВ, бр. 81 от 2011 г.) Условията и редът за обработването на единен граждански номер и на други идентификационни номера с общо приложение се уреждат в специални закони.
(9) (Предишна ал. 6 - ДВ, бр. 91 от 2006 г., доп. - ДВ, бр. 57 от 2007 г., в сила от 13.07.2007 г., предишна ал. 7 - ДВ, бр. 81 от 2011 г.) Този закон не се прилага за обработването на лични данни, извършвано от физически лица за техни лични или домашни дейности, както и за информацията, която се съхранява в Националния архивен фонд.
 
Чл. 2. (Доп. - ДВ, бр. 70 от 2004 г., в сила от 01.01.2005 г., изм. - ДВ, бр. 103 от 2005 г.) (1) (Изм. - ДВ, бр. 91 от 2006 г.) Лични данни са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци.
(2) Личните данни трябва да:
1. се обработват законосъобразно и добросъвестно;
2. (доп. - ДВ, бр. 81 от 2011 г.) се събират за конкретни, точно определени и законни цели и да не се обработват допълнително по начин, несъвместим с тези цели; допълнително обработване на личните данни за исторически, статистически или научни цели е допустимо, при условие че администраторът осигури подходяща защита, като гарантира, че данните не се обработват за други цели с изключение на случаите, изрично предвидени в този закон;
3. (изм. - ДВ, бр. 91 от 2006 г.) бъдат съотносими, свързани със и ненадхвърлящи целите, за които се обработват;
4. бъдат точни и при необходимост да се актуализират;
5. се заличават или коригират, когато се установи, че са неточни или непропорционални по отношение на целите, за които се обработват;
6. се поддържат във вид, който позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които тези данни се обработват; личните данни, които ще се съхраняват за по-дълъг период за исторически, статистически или научни цели, се поддържат във вид, непозволяващ идентифицирането на физическите лица.
(3) (Нова - ДВ, бр. 81 от 2011 г.) Лични данни, получени по чл. 1, ал. 6, могат да бъдат обработвани допълнително за друга цел, различна от целта, за която са събрани, когато са налице едновременно следните условия:
1. това обработване е съвместимо с целта, за която са били събрани данните;
2. съществува основание, предвидено в закон, за обработване на данните за тази друга цел;
3. обработването е в съответствие с изискванията на ал. 2.
(4) (Нова - ДВ, бр. 81 от 2011 г.) Администратор, получил данни по чл. 1, ал. 6, уведомява физическото лице, за което се отнасят данните, за допълнителното обработване по ал. 3, освен в случаите по чл. 36д, ал. 2 или когато в специален закон е предвидено друго.
 
Чл. 3. (1) (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г.) Администратор на лични данни, наричан по-нататък "администратор", е физическо или юридическо лице, както и орган на държавната власт или на местното самоуправление, който сам или съвместно с друго лице определя целите и средствата за обработване на личните данни.
(2) (Нова - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г.) Администратор е и физическо или юридическо лице, както и орган на държавната власт или на местното самоуправление, който обработва лични данни, видът на които, целите и средствата за обработване се определят със закон. В тези случаи администраторът или специфичните критерии за неговото определяне са нормативно уредени.
(3) (Предишна ал. 2 - ДВ, бр. 103 от 2005 г.) Администраторът на лични данни обработва личните данни самостоятелно или чрез възлагане на обработващ данните.
(4) (Нова - ДВ, бр. 103 от 2005 г.) Администраторът осигурява спазването на изискванията на чл. 2, ал. 2.
 
Чл. 4. (Изм. - ДВ, бр. 103 от 2005 г.) (1) Обработването на лични данни е допустимо само в случаите, когато е налице поне едно от следните условия:
1. обработването е необходимо за изпълнение на нормативно установено задължение на администратора на лични данни;
2. физическото лице, за което се отнасят данните, е дало изрично своето съгласие;
3. (изм. - ДВ, бр. 91 от 2006 г.) обработването е необходимо за изпълнение на задължения по договор, по който физическото лице, за което се отнасят данните, е страна, както и за действия, предхождащи сключването на договор и предприети по негово искане;
4. обработването е необходимо, за да се защитят животът и здравето на физическото лице, за което се отнасят данните;
5. обработването е необходимо за изпълнението на задача, която се осъществява в обществен интерес;
6. обработването е необходимо за упражняване на правомощия, предоставени със закон на администратора или на трето лице, на което се разкриват данните;
7. обработването е необходимо за реализиране на законните интереси на администратора на лични данни или на трето лице, на което се разкриват данните, освен когато пред тези интереси преимущество имат интересите на физическото лице, за което се отнасят данните.
(2) Обработването на лични данни е допустимо и в случаите, когато то се извършва единствено за целите на журналистическата дейност, литературното или художественото изразяване, доколкото това обработване не нарушава правото на личен живот на лицето, за което се отнасят данните. В тези случаи разпоредбите на глава трета не се прилагат.
 
Чл. 5. (Изм. - ДВ, бр. 103 от 2005 г.) (1) Забранено е обработването на лични данни, които:
1. разкриват расов или етнически произход;
2. разкриват политически, религиозни или философски убеждения, членство в политически партии или организации, сдружения с религиозни, философски, политически или синдикални цели;
3. се отнасят до здравето, сексуалния живот или до човешкия геном.
(2) Алинея 1 не се прилага, когато:
1. обработването е необходимо за целите на изпълнението на специфични права и задължения на администратора в областта на трудовото законодателство;
2. (доп. - ДВ, бр. 91 от 2006 г.) физическото лице, за което се отнасят тези данни, е дало изрично своето съгласие за обработването им, освен ако в специален закон е предвидено друго;
3. обработването е необходимо за защита на живота и здравето на физическото лице, за което тези данни се отнасят, или на друго лице и състоянието на физическото лице не му позволява да даде съгласие или съществуват законни пречки за това;
4. обработването се извършва от организация с нестопанска цел, включително с политическа, философска, религиозна или синдикална цел, в хода на законосъобразната ѝ дейност и с подходяща защита, при условие че:
а) обработването е свързано единствено с членовете на тази организация или с лица, които поддържат редовни контакти с нея във връзка с нейните цели;
б) данните не се разкриват на трети лица без съгласието на физическото лице, за което те се отнасят;
5. обработването се отнася до данни, публично оповестени от физическото лице, или то е необходимо за установяването, упражняването или защитата на права по съдебен ред;
6. обработването е необходимо за целите на превантивната медицина, медицинската диагностика, предоставянето или управлението на здравни услуги, при условие че данните се обработват от медицински специалист, задължен по закон да пази професионална тайна, или от друго лице, обвързано с подобно задължение за опазване на тайна;
7. обработването се извършва единствено за целите на журналистическата дейност, литературното или художественото изразяване, доколкото то не нарушава правото на личен живот на лицето, за което се отнасят тези данни.
 
Глава втора.
КОМИСИЯ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
 
Чл. 6. (1) Комисията за защита на личните данни, наричана по-нататък "комисията", е независим държавен орган, който осъществява защитата на лицата при обработването на техните лични данни и при осъществяването на достъпа до тези данни, както и контрола по спазването на този закон.
(2) (Нова - ДВ, бр. 94 от 2010 г.) Комисията съдейства за провеждането на държавната политика в областта на защита на личните данни.
(3) (Доп. - ДВ, бр. 91 от 2006 г., в сила от 01.01.2007 г., предишна ал. 2 - ДВ, бр. 94 от 2010 г., изм. - ДВ, бр. 15 от 2013 г., в сила от 01.01.2014 г.) Комисията е юридическо лице на бюджетна издръжка със седалище София и е първостепенен разпоредител с бюджет.
 
Чл. 7. (1) Комисията е колегиален орган и се състои от председател и 4 членове.
(2) (Изм. - ДВ, бр. 91 от 2006 г.) Членовете на комисията и председателят ѝ се избират от Народното събрание по предложение на Министерския съвет за срок 5 години и могат да бъдат преизбирани за още един мандат.
(3) Председателят и членовете на комисията осъществяват своята дейност по трудово правоотношение.
(4) (Нова - ДВ, бр. 91 от 2006 г.) Членовете на комисията получават основно месечно възнаграждение, равно на 2,5 средномесечни работни заплати на наетите лица по трудово и служебно правоотношение в обществения сектор съобразно данни на Националния статистически институт. Основното месечно възнаграждение се преизчислява всяко тримесечие, като се взема предвид средномесечната работна заплата за последния месец от предходното тримесечие.
(5) (Нова - ДВ, бр. 91 от 2006 г.) Председателят на комисията получава месечно възнаграждение с 30 на сто по-високо от основното месечно възнаграждение по ал. 4.
(6) (Изм. - ДВ, бр. 103 от 2005 г., предишна ал. 4 - ДВ, бр. 91 от 2006 г.) Комисията до 31 януари всяка година представя годишен отчет за своята дейност пред Народното събрание.
 
Чл. 8. (1) За членове на комисията могат да бъдат избирани български граждани, които:
1. имат висше образование по информатика, по право или са магистри по информационни технологии;
2. имат трудов стаж по специалността си не по-малко от 10 години;
3. (доп. - ДВ, бр. 103 от 2005 г.) не са осъждани на лишаване от свобода за умишлени престъпления от общ характер, независимо дали са реабилитирани;
(2) Членове на комисията не могат:
1. (изм. - ДВ, бр. 103 от 2005 г.) да бъдат лица, които са еднолични търговци, управители/прокуристи или членове на управителни или на контролни органи на търговски дружества, кооперации или администратори на лични данни по смисъла на този закон;
2. да заемат друга платена длъжност, освен когато упражняват научна или преподавателска дейност;
3. (нова - ДВ, бр. 42 от 2009 г.) да бъдат лица, които са съпрузи или се намират във фактическо съжителство, роднини по права линия, по съребрена линия - до четвърта степен включително, или по сватовство - до втора степен включително, с друг член на комисията.
(3) За председател на комисията се избира правоспособен юрист, който отговаря на изискванията по ал. 1 и 2.
(4) Мандатът на председателя или член на комисията се прекратява предсрочно:
1. при смърт или поставяне под запрещение;
2. по решение на Народното събрание, когато:
а) е подал молба за освобождаване;
б) е извършил грубо нарушение на този закон;
в) е извършил умишлено престъпление от общ характер, за което има влязла в сила присъда;
г) е налице невъзможност да изпълнява задълженията си за срок по-дълъг от шест месеца;
д) (нова - ДВ, бр. 42 от 2009 г., изм. - ДВ, бр. 97 от 2010 г., в сила от 10.12.2010 г., изм. - ДВ, бр. 7 от 2018 г.) е налице влязъл в сила акт, с който е установен конфликт на интереси по Закона за противодействие на корупцията и за отнемане на незаконно придобитото имущество.
(5) (Изм. и доп. - ДВ, бр. 103 от 2005 г.) В случаите по ал. 4 Министерският съвет предлага на Народното събрание да избере нов член за срок до края на първоначалния мандат на съответния член на комисията.
(6) Времето, през което лицето е работило като председател или член на комисията, се признава и за служебен стаж по Закона за държавния служител.
(7) (Нова - ДВ, бр. 103 от 2017 г., в сила от 01.01.2018 г.) Обстоятелствата по ал. 1, т. 3 се установяват служебно от органа, който прави предложението.
 
Чл. 9. (1) Комисията е постоянно действащ орган, който се подпомага от администрация.
(2) Комисията урежда в правилник своята дейност и дейността на администрацията си и го обнародва в "Държавен вестник".
(3) Решенията на комисията се вземат с мнозинство от общия брой на членовете ѝ.
(4) Заседанията на комисията са открити. Комисията може да реши отделни заседания да бъдат закрити.
 
Чл. 10. (1) Комисията:
1. анализира и осъществява цялостен контрол за спазването на нормативните актове в областта на защитата на лични данни;
2. (доп. - ДВ, бр. 103 от 2005 г.) води регистър на администраторите на лични данни и на водените от тях регистри на лични данни;
3. извършва проверки на администраторите на лични данни във връзка с дейността си по т. 1;
4. изразява становища и дава разрешения в предвидените в този закон случаи;
5. издава задължителни предписания до администраторите във връзка със защитата на личните данни;
6. след предварително уведомяване налага временна забрана за обработването на лични данни, с които се нарушават нормите за защита на личните данни;
7. (изм. - ДВ, бр. 103 от 2005 г.) разглежда жалби срещу актове и действия на администраторите, с които се нарушават правата на физическите лица по този закон, както и жалби на трети лица във връзка с правата им по този закон;
8. (изм. - ДВ, бр. 103 от 2005 г.) участва в подготовката и задължително дава становища по проекти на закони и подзаконови нормативни актове в областта на защитата на личните данни;
9. (нова - ДВ, бр. 81 от 2011 г.) издава подзаконови нормативни актове в областта на защита на личните данни;
10. (нова - ДВ, бр. 103 от 2005 г., в сила от 01.01.2007 г., предишна т. 9 - ДВ, бр. 81 от 2011 г.) осигурява прилагането на решенията на Европейската комисия в областта на защитата на личните данни;
11. (нова - ДВ, бр. 94 от 2010 г., предишна т. 10 - ДВ, бр. 81 от 2011 г.) участва в дейностите, осъществявани от международните организации по въпросите в областта на защита на личните данни;
12. (нова - ДВ, бр. 94 от 2010 г., предишна т. 11 - ДВ, бр. 81 от 2011 г.) участва в преговорите и сключването на двустранни или многостранни споразумения по въпроси от своята компетентност;
13. (нова - ДВ, бр. 94 от 2010 г., предишна т. 12 - ДВ, бр. 81 от 2011 г.) организира и координира обучението в областта на защитата на личните данни на администраторите на лични данни;
14. (нова - ДВ, бр. 105 от 2011 г., в сила от 29.12.2011 г.) издава общи и нормативни административни актове, свързани с правомощията ѝ, в случаите, предвидени в закон.
(2) (Изм. - ДВ, бр. 103 от 2005 г.) Редът за водене на регистъра по ал. 1, т. 2, за уведомяване на комисията, за даване на разрешения и изразяване на становища, за разглеждане на жалбите, както и за издаване на задължителните предписания и налагането на временни забрани за обработване на лични данни, се определя в правилника по чл. 9, ал. 2.
(3) (Доп. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г.) Комисията издава бюлетин, в който публикува информация за своята дейност и за взетите решения. В бюлетина се публикува и отчетът по чл. 7, ал. 6.
(4) (Нова - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г.) Комисията съгласува по браншове и области на дейност етичните кодекси за поведение на администраторите на лични данни по чл. 22а и при установяване на несъответствие с нормативната уредба дава