Държавен вестник, брой 35 от 30.IV

§ 1. В чл. 5 се правят следните изменения и допълнения:

1. Създава се нова ал. 3:

"(3) Инспекторатът осъществява надзор и осигурява спазването на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните), наричан по-нататък "Регламент (ЕС) 2016/679", на Закона за защита на личните данни (ЗЗЛД) и на нормативните актове в областта на защитата на личните данни при обработването на лични данни от:

1. съда при изпълнение на функциите му на орган на съдебната власт, и

2. прокуратурата и следствените органи при изпълнение на функциите им на органи на съдебната власт за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания."

2. Досегашната ал. 3 става ал. 4.

§ 2. В чл. 7 се създава т. 7а:

"7а. осъществява надзор при обработването на лични данни в случаите по чл. 17 ЗЗЛД;".

§ 3. В чл. 8 се правят следните изменения и допълнения:

1. В ал. 1 след думата "чрез" се добавя "предварителни консултации" и се поставя запетая.

2. В ал. 2 думите "на проверяващия екип" се заличават, а след думата "предложение" се поставя запетая и се добавя "решение, наказателно постановление".

§ 4. В чл. 20, ал. 1, т. 10 в края се добавя "и по чл. 87, ал. 3 ЗЗЛД".

§ 5. В чл. 21 се създават т. 4а и 4б:

"4а. разглежда искания за предварителни консултации по чл. 17б и 65 ЗЗЛД, както и жалби на субектите на данни за нарушаване на правата им по Регламент (ЕС) 2016/679 и ЗЗЛД;

4б. изготвя предложения за прилагане на принудителни административни мерки в случаите, предвидени в ЗЗЛД и този правилник;".

§ 6. В чл. 25 се правят следните изменения:

1. В ал. 1 думите "или заместващия го инспектор" се заличават.

2. В ал. 2 думите "или заместващия го" се заличават.

§ 7. В чл. 37, т. 1 се създава буква "к":

"к) поддържа регистър на уведомленията за нарушения на сигурността на личните данни по чл. 33 от Регламент (ЕС) 2016/679 и по чл. 67 ЗЗЛД."

§ 8. В чл. 42, ал. 1, т. 2 след думите "на проверките по" се добавя "чл. 54, ал. 1, т. 15 и по".

§ 9. В чл. 46 се правят следните допълнения:

1. Създава се т. 1а:

"1а. участват в проверки по чл. 18 ЗЗЛД;".

2. Създава се т. 5а:

"5а. участват в изготвяне на становища, актове и решения по ЗЗЛД, както и в поддържането на регистъра по чл. 21, ал. 1, т. 1 ЗЗЛД;".

§ 10. В чл. 48, ал. 2 думите "по чл. 46, т. 6, 7 и 10" се заменят с "по чл. 46, т. 1а, 5а, 6, 7 и 10".

§ 11. В чл. 49, ал. 2 думите "по чл. 46, т. 4 - 7 и 10" се заменят с "по чл. 46, т. 1а, 4 - 7 и 10".

§ 12. В чл. 50 се създава ал. 4:

"(4) Съобразно специализацията и правомощията си по ал. 1 експертите от звено "Аналитично" участват и при изпълнение на дейности по чл. 46, т. 1а, 4, 5а - 8 и 10."

§ 13. В чл. 53, ал. 2, т. 2 в края се поставя запетая и се добавя "както и проверки по чл. 18 ЗЗЛД".

§ 14. В чл. 64, ал. 1 думите "или заместващия го инспектор" се заличават.

§ 15. В чл. 69 се създава ал. 4:

"(4) Едновременно с декларацията за имущество и интереси съдиите, прокурорите и следователите могат да подадат и отделна декларация за съгласие за разкриване на банкова тайна по чл. 62, ал. 5, т. 1 от Закона за кредитните институции по образец, утвърден от главния инспектор."

§ 16. В чл. 70 се правят следните изменения:

1. В ал. 1 думите "по Закона за електронния документ и електронния подпис" се заменят с "в съответствие с чл. 175а, ал. 3, т. 2 ЗСВ".

2. В ал. 3 думата "закона" се заменя с "изискванията".

§ 17. В чл. 73 се правят следните изменения:

1. В ал. 1 думата "тримесечен" се заменя с "шестмесечен".

2. В ал. 2 в края цифрата "6" се заменя със "7".

§ 18. В глава пета се създава раздел VІ "а" с чл. 94а - 94о:

"Раздел VІ "а"

Организация и ред за осъществяване на надзор при обработването на лични данни в случаите по чл. 17 ЗЗЛД

Чл. 94а. (1) При осъществяване на надзор при обработването на лични данни в случаите по чл. 17 ЗЗЛД Инспекторатът:

1. извършва по искане на съда, прокуратурата или следствените органи предварителни консултации съгласно чл. 17б и 65 ЗЗЛД;

2. извършва проверки, включени в годишната му програма или по сигнали, във връзка със спазване изискванията на Регламент (ЕС) 2016/679 и на ЗЗЛД;

3. разглежда жалби на субектите на данни за нарушаване на правата им по Регламент (ЕС) 2016/679 и по ЗЗЛД;

4. прилага принудителни административни мерки по чл. 84, ал. 1 ЗЗЛД;

5. в предвидените от закона случаи изразява становища по проекти на нормативни актове, на административни мерки или по други въпроси, свързани със защитата на личните данни;

6. оказва съдействие на субектите на данни при упражняване на правата им по чл. 54, ал. 3, чл. 55, ал. 3 и 4 и чл. 56, ал. 6 и 7 ЗЗЛД;

7. осъществява сътрудничество с други надзорни органи, в т.ч. и съответните надзорни органи на другите държави - членки на Европейския съюз, с оглед спазване на правилата за защита на личните данни.

(2) При осъществяване на надзора по чл. 17 ЗЗЛД Инспекторатът може да разглежда и други производства по свое решение или когато това е предвидено в закон.

(3) За производствата по ал. 1 и 2 не се събират държавни такси.

Чл. 94б. (1) Инспекторатът разглежда искания за предварителни консултации, подадени от съда при изпълнение на функциите му на орган на съдебната власт, и се произнася с писмено становище в срок до осем седмици.

(2) В искането задължително следва да се посочи:

1. информация за задълженията на администратора, съвместните администратори и обработващите лични данни, които се занимават с обработването;

2. целите на планираното обработване и средствата за него;

3. предвидените мерки и гаранции за защита на правата и свободите на субектите на данни по Регламент (ЕС) 2016/679 и по ЗЗЛД;

4. координатите за връзка с длъжностното лице по защита на данните;

5. оценката на въздействието върху защитата на данните по чл. 35 от Регламент (ЕС) 2016/679 или по чл. 64 ЗЗЛД.

(3) Искането се разглежда от инспектор, определен на принципа на случайния подбор от главния инспектор.

(4) В двуседмичен срок от постъпването на искането инспекторът извършва предварително проучване, което приключва с докладна записка до главния инспектор.

(5) Докладната записка съдържа:

1. искане за удължаване на срока за извършване на предварителната консултация, когато сложността на планираното обработване налага това;

2. описание на събраната до момента информация, както и допълнителната информация, която ще е необходима за извършване на предварителната консултация, включително информация от администратора или обработващия лични данни;

3. предложение за прилагане на мерките по чл. 84, ал. 1 ЗЗЛД и/или за налагане на административно наказание по глава девета от ЗЗЛД;

4. предложение за произнасяне по искане за предварително разрешение във връзка с обработването на лични данни, когато това се налага за изпълнение на задача в обществен интерес.

(6) Когато с докладната записка се прави предложение за прилагане на мерките по чл. 84, ал. 1 ЗЗЛД или за произнасяне по искане за предварително разрешение във връзка с обработването на лични данни, инспекторът, който разглежда искането за предварителна консултация, изготвя съответното предложение и го внася за обсъждане на заседание на Инспектората.

(7) Главният инспектор със заповед удължава срока за извършване на предварителната консултация с още до шест седмици. Съответният инспектор следва да уведоми администратора или обработващия лични данни за удължаването на срока за извършване на предварителната консултация и причините за това в едномесечен срок от получаването на искането.

(8) Сроковете по ал. 1 и ал. 7, изр. първо не текат, докато Инспекторатът получи допълнително поисканата информация.

(9) Когато искането за предварителна консултация е направено от прокуратурата или следствените органи при изпълнение на функциите им на органи на съдебната власт за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, становището се изготвя в срок до шест седмици, който може да бъде удължен с още един месец. Тези срокове не спират да текат.

Чл. 94в. (1) Становището по предварителната консултация се внася на заседание на Инспектората в срок не по-късно от две седмици преди изтичане на срока за произнасяне по консултацията.

(2) Със становището може да се направи и предложение за прилагане на мерките по чл. 84, ал. 1 ЗЗЛД и/или за налагане на административно наказание по глава девета от ЗЗЛД.

Чл. 94г. (1) При условията и по реда на чл. 94б и 94в Инспекторатът разглежда и искания на органите на съдебната власт за изразяване на становища по принципни въпроси, свързани със защитата на личните данни.

(2) Становището по ал. 1 се публикува на интернет страницата на Инспектората в 7-дневен срок след заседанието.

Чл. 94д. (1) Проверките за спазване изискванията на Регламент (ЕС) 2016/679 и на ЗЗЛД се извършват от Инспектората съобразно годишната му програма или въз основа на сигнали за допуснати нарушения.

(2) Плановите проверки се извършват по реда на чл. 54 - 56.

(3) Проверката приключва с акт за резултати, който се подписва от инспектора и съдържа номер на заповедта за възлагане на проверката, органа на съдебната власт, който е проверяван, вида, задачите, периода и обхвата на проверката, името на проверяващия инспектор и експертите, които го подпомагат, констатациите от извършената проверка, изводи и предложения.

(4) Когато при проверката бъде установено нарушение на Регламент (ЕС) 2016/679 или на ЗЗЛД, в зависимост от характера и степента на нарушението се прилагат мерките по чл. 84, ал. 1 ЗЗЛД и/или се налага административно наказание по глава девета от ЗЗЛД.

Чл. 94е. (1) Сигнал е всяко искане, различно от жалба на субект на данни, отправено до Инспектората във връзка с нарушения на Регламент (ЕС) 2016/679 и/или на ЗЗЛД. За сигнал се приема и публикация в средствата за масово осведомяване, ако отговаря на условията по ал. 4, т. 2 и 3.

(2) Всеки сигнал се регистрира в Инспектората незабавно след постъпването му.

(3) Сигнали, които не са от компетентността на Инспектората, незабавно се препращат по компетентност на съответния орган.

(4) Всеки сигнал трябва да съдържа:

1. трите имена, единен граждански номер, адрес, телефон, факс и електронен адрес на подателя;

2. данни за администратора или когато това е приложимо, за обработващия лични данни;

3. описание на твърдяното нарушение, в т. ч. място и период на извършване, характер на използваните данни и операции, както и всякакви други обстоятелства, при които е било извършено;

4. дата на подаване на сигнала;

5. подпис на подателя.

(5) Към сигнала може да се приложат всякакви писмени доказателства, с които подателят разполага по случая.

(6) Главният инспектор утвърждава образец на сигнал, който е достъпен на интернет страницата на Инспектората, както и на място.

Чл. 94ж. (1) Сигналът се разпределя от главния инспектор по реда на чл. 64. Работата по сигнала може да протича в две фази:

1. предварително проучване;

2. проверка по реда на чл. 94д, ако се установи необходимост от нейното извършване.

(2) При предварителното проучване се преценява редовността и допустимостта на сигнала. При необходимост се събират допълнителни материали с оглед изясняване на изложеното в сигнала.

(3) Ако сигналът не отговаря на някое от изискванията на чл. 94е, ал. 4, на подателя се изпраща съобщение за отстраняване на допуснатите нередовности в 7-дневен срок от получаване на съобщението. Ако в този срок нередовностите не бъдат отстранени, сигналът не се разглежда.

(4) Когато при предварителното проучване се установи, че сигналът е неоснователен, се изготвя мотивирано становище, което се изпраща на подателя.

Чл. 94з. Когато сигналът е от компетентността на Инспектората и са налице данни за допуснати нарушения, се извършва проверка по реда на чл. 94д.

Чл. 94и. (1) Субект на данни има право да подаде жалба до Инспектората за нарушаване на правата му по Регламент (ЕС) 2016/679 и по ЗЗЛД при условията и по реда на чл. 38б ЗЗЛД. Главният инспектор утвърждава образец на жалбата, който е достъпен на интернет страницата на Инспектората и на място.

(2) Жалбата може да се подаде с писмо, по факса или по електронен път по реда на Закона за електронния документ и електронните удостоверителни услуги. Не се разглеждат анонимни жалби, както и жалби, които не са подписани от подателя или от негов представител.

(3) Жалбата се разглежда от инспектор по реда на чл. 38в ЗЗЛД.

(4) Когато при разглеждането на жалбата бъде установено нарушение на Регламент (ЕС) 2016/679 или на ЗЗЛД, в зависимост от характера и степента на нарушението се прилагат мерките по чл. 84, ал. 1 ЗЗЛД и/или се налага административно наказание по глава девета от ЗЗЛД.

Чл. 94к. (1) В случаите по чл. 39 ЗЗЛД субект на данни има право да обжалва действия и актове на администратор или на обработващ лични данни направо пред съда.

(2) Субектът на данни може да поиска от Инспектората издаването на удостоверение за липса на висящо пред него производство във връзка със същия спор. Удостоверение се издава и по искане на съда.

(3) Искането за удостоверение се разпределя от главния инспектор на изрично определени от него служители, които извършват справка дали същият субект на данни е подавал в Инспектората жалба със същия предмет.

(4) Служителите по ал. 3 изготвят удостоверението в срок до седем дни от постъпване на искането.

(5) Удостоверението се подписва от главния инспектор или оправомощен от него инспектор.

Чл. 94л. (1) Инспекторатът води и поддържа регистри по чл. 21, ал. 1 ЗЗЛД, които не са публични.

(2) Регистърът по чл. 21, ал. 1, т. 2 ЗЗЛД съдържа:

1. данни за администратора, подал уведомлението;

2. описание на нарушението на сигурността на личните данни, включително категориите и приблизителния брой на засегнатите субекти на данни и категориите и приблизителния брой на засегнатите записи на лични данни;

3. името и координатите за връзка на длъжностното лице по защита на данните или на друго звено за контакт, от което може да се получи повече информация;

4. описание на евентуалните последици от нарушението на сигурността на личните данни;

5. описание на предприетите или предложените от администратора мерки за справяне с нарушението на сигурността на личните данни, включително предприетите по целесъобразност мерки за намаляване на евентуалните неблагоприятни последици;

6. всяка друга необходима информация.

Чл. 94м. (1) При отказ по чл. 54, ал. 3, чл. 55, ал. 3 и 4 и чл. 56, ал. 6 и 7 ЗЗЛД субектът на данните има възможност да подаде писмено заявление за упражняване на правата си до Инспектората в 14-дневен срок от уведомяването му от администратора.

(2) Заявлението може да се подаде с писмо, по факса или по електронен път по реда на Закона за електронния документ и електронните удостоверителни услуги и трябва да съдържа:

1. име, адрес, единен граждански номер или личен номер на чужденец или друг аналогичен идентификатор, или други идентификационни данни на физическото лице, определени от администратора, във връзка с извършваната от него дейност;

2. данни за администратора;

3. описание на искането;

4. предпочитана форма за получаване на информация при упражняване на правата по чл. 54, ал. 3, чл. 55, ал. 3 и 4 и чл. 56, ал. 6 и 7 ЗЗЛД;

5. подпис, дата на подаване на заявлението и адрес за кореспонденция.

(3) При подаването на заявление от упълномощено лице към заявлението се прилага и пълномощното.

(4) Ако заявлението не отговаря на някое от изискванията по ал. 2 или 3, на подателя се изпраща съобщение за отстраняване на допуснатите нередовности в 7-дневен срок от получаване на съобщението. Не се разглеждат анонимни заявления и заявления, по които нередовностите не са отстранени.

Чл. 94н. (1) Заявлението се разглежда от инспектор, определен на принципа на случайния подбор от главния инспектор.

(2) При разглеждането на заявлението се събират всички данни, относими към постановения отказ, и се изисква информацията по чл. 55, ал. 5 ЗЗЛД от администратора или обработващия лични данни.

(3) Когато се установи, че постановеният отказ по чл. 54, ал. 3, чл. 55, ал. 3 и 4 и чл. 56, ал. 6 и 7 ЗЗЛД е законосъобразен, на субекта на данни се изпраща уведомление за това, че са извършени всички необходими проверки или справки, както и за неговото право да потърси защита срещу действията на администратора по съдебен ред.

(4) Когато се установи, че отказът е незаконосъобразен, се извършва проверка по реда на чл. 94д, при която, ако бъде установено нарушение на ЗЗЛД, в зависимост от характера и степента на нарушението се прилагат мерките по чл. 84, ал. 1 ЗЗЛД и/или се налага административно наказание по глава девета от ЗЗЛД. Субектът на данни се уведомява за резултата от проверката, както и за правото му да потърси защита по съдебен ред.

(5) Уведомяването по ал. 3 и 4 се извършва в тримесечен срок от подаване на заявлението по чл. 94м в Инспектората. На субекта на данни може да бъде предоставена всяка друга информация, свързана с упражняване на правата му по случая, ако нейното предоставяне не би възпрепятствало постигането на някоя от целите по чл. 54, ал. 3 ЗЗЛД.

Чл. 94о. (1) Инспекторатът сътрудничи със съответните надзорни органи на другите държави - членки на Европейския съюз, чрез:

1. разработване на програми и планове за съвместни мероприятия, обмяна на опит и информация;

2. участие в международни симпозиуми и научни конференции;

3. привличане на изтъкнати чуждестранни специалисти като преподаватели или под друга форма;

4. изпращане на служители на краткосрочни или дългосрочни специализации;

5. участие в международните проекти на Европейския комитет, съвместни разработки и изследвания;

6. всякакви други подходящи форми.

(2) Инспекторатът отправя и изпълнява искания за консултации и проверки.

(3) Исканията следва да съдържат цялата необходима информация, включително целта и основанията на искането.

(4) Инспекторатът предприема мерки, за да се отговори на искането на друг надзорен орган своевременно и не по-късно от един месец след получаване на искането.

(5) Инспекторатът може да откаже да изпълни искане по ал. 2, като мотивира отказа си, когато:

1. не е компетентен относно предмета на искането или мерките, които се изисква да изпълни;

2. изпълнението на искането би нарушило законодателството на Република България или правото на Европейския съюз.

(6) Инспекторатът информира искащия надзорен орган за резултатите или за напредъка на предприетите мерки в отговор на искането. Обменената информация се използва единствено за целите, за които е поискана."

§ 19. В глава пета наименованието на раздел VІІІ се изменя така:

"Принудителни административни мерки и административни наказания".

§ 20. В раздел VІІІ преди чл. 98 се създава чл. 97а:

"Чл. 97а. (1) В случаите, предвидени в ЗЗЛД и този правилник, Инспекторатът прилага принудителни административни мерки по чл. 84, ал. 1 ЗЗЛД.

(2) Мерките по ал. 1 се прилагат с решение на Инспектората по предложение на инспектора, извършил предварителна консултация или проверка по ЗЗЛД или разгледал жалба на субект на данни във връзка с нарушения на Регламент (ЕС) 2016/679 или на ЗЗЛД."

§ 21. В чл. 98, ал. 4 в края думата "закона" се заменя с "изискванията".

§ 22. Създават се чл. 98а и 98б:

"Чл. 98а. Главният инспектор със заповед оправомощава определени служители да съставят актовете за установяване на административни нарушения по ЗСВ и ЗЗЛД, както и да водят регистрите по чл. 98, ал. 2 и чл. 98б, ал. 1, като при необходимост могат да поискат информация за попълване на регистъра от всички звена в Инспектората.

Чл. 98б. (1) За нарушенията на Регламент (ЕС) 2016/679 или на ЗЗЛД, за приложените принудителни административни мерки и за наложените административни наказания по глава девета от ЗЗЛД се води електронен регистър, който не е публичен.

(2) Регистърът по ал. 1 съдържа:

1. номер по ред на записа;

2. данни за администратора или обработващия лични данни, извършил нарушението;

3. номер на съответната преписка в Инспектората;

4. описание на констатираното нарушение;

5. приложена принудителна административна мярка или наложено административно наказание;

6. обжалване на решението за прилагане на принудителна административна мярка или на наказателното постановление;

7. резултат от инстанционния контрол."