Държавен вестник, брой 38 от 28.IV

§ 1. В чл. 1 се създава ал. 3:

"(3) С този правилник се определят и правилата във връзка с разглеждане на сигнали или публично оповестена информация за нарушения на българското законодателство или на актове на Европейския съюз, подадени пред комисията като канал за външно подаване на сигнали, доколкото същите не са уредени в Закона за защита на лицата, подаващи сигнали или публично оповестяващи информация за нарушения (ЗЗЛПСПОИН), както и изпълнението на задълженията на комисията като задължен субект по чл. 12 от този закон."

§ 2. В чл. 3 се правят следните изменения и допълнения:

1. Създава се нова ал. 2:

"(2) Комисията е централен орган за външно подаване на сигнали и за защита на лицата, подаващи сигнали или публично оповестяващи информация за нарушения."

2. Досегашните ал. 2 и 3 стават съответно ал. 3 и 4.

§ 3. В чл. 5 ал. 1 се изменя така:

"(1) Комисията:

1. осъществява контрол за защита на основните права и свободи на физическите лица във връзка с обработването на техни лични данни и гарантиране свободното движение на личните данни в рамките на Европейския съюз, като:

а. изпълнява задачите по чл. 57 и правомощията по чл. 58 от Регламент (ЕС) 2016/679 и свързаните с тях функции и дейности, възложени ѝ с Регламент (ЕС) 2016/679;

б. осъществява задачите и правомощията по чл. 10, ал. 2 и чл. 10а, ал. 2 от ЗЗЛД;

2. осигурява защита на лицата в публичния и в частния сектор, които подават сигнали или публично оповестяват информация за нарушения на българското законодателство или на актове на Европейския съюз, станала им известна при или по повод изпълнение на трудовите или служебните им задължения или в друг работен контекст, като изпълнява задачите по чл. 19, ал. 1 и 2 от ЗЗЛПСПОИН."

§ 4. В чл. 7 т. 1 се изменя така:

"1. са равнопоставени и осъществяват функциите си съгласно Регламент (ЕС) 2016/679, ЗЗЛД и ЗЗЛПСПОИН;".

§ 5. В чл. 8 се правят следните изменения и допълнения:

1. Алинея 1 се изменя така:

"(1) Комисията разглежда и решава въпроси от своята компетентност в областта на защитата на личните данни на открити заседания. Отделни заседания могат да бъдат закрити по решение на комисията."

2. Алинея 2 се изменя така:

"(2) Заседанията на комисията по чл. 9, ал. 5 от ЗЗЛД са закрити."

3. В ал. 7 след думата "решения" се поставя запетая и се добавя "след съвещание в закрито заседание".

4. В ал. 9 се създава изречение второ: "Това не се прилага за заседанията по чл. 9, ал. 5 от ЗЗЛД."

§ 6. Член 13 се изменя така:

"Чл. 13. (1) Комисията и/или упълномощени нейни служители провеждат разследвания под формата на проверки във връзка със защитата на личните данни в съответствие с инструкцията по чл. 12, ал. 10 от ЗЗЛД и проверки по сигнали за нарушения съгласно ЗЗЛПСПОИН.

(2) С решение на комисията проверки във връзка със защитата на личните данни или за изпълнение на решение на комисията може да се извършват без уведомяване на проверяваните лица."

§ 7. Създава се чл. 13а:

"Чл. 13а. Комисията обезпечава правното съдействие и защитата на правата на служителите в администрацията ѝ по производства, образувани срещу тях при или по повод изпълнение на служебните им задължения."

§ 8. В чл. 15 се правят следните изменения и допълнения:

1. В ал. 4:

а) в т. 3 точката накрая се заменя с точка и запетая;

б) създава се т. 4:

"4. Дирекция "Канал за външно подаване на сигнали"."

2. В ал. 6 числото "87" се заменя със "117".

§ 9. В чл. 23 се правят следните изменения:

1. Точка 12 се изменя така:

"12. осъществява сътрудничеството с други надзорни органи и международни организации, включително чрез обмен на информация и взаимопомощ, с оглед осигуряване на съгласувано прилагане и изпълнение на приложимото законодателство в областите на компетентност на комисията;".

2. Точка 14 се изменя така:

"14. осигурява прилагането на решенията на Европейската комисия и на Съда на Европейския съюз в областите на компетентност на комисията, включително и изпълнението на задължителните решения на Европейския комитет по защита на данните;".

3. В т. 15 думите "в областта на защитата на личните данни" се заменят с "в областите на компетентност на комисията".

4. В т. 16 думите "в областта на защитата на личните данни" се заменят с "в областите на компетентност на комисията".

5. В т. 17 думите "в областта на защитата на личните данни" се заменят с "в областите на компетентност на комисията".

6. В т. 18 думите "областта на защитата на личните данни" се заменят с "компетентност на комисията".

§ 10. В чл. 24, т. 11 се правят следните изменения и допълнения:

1. След думите "наказателни постановления" се поставя запетая и се добавя "решения на комисията, приети по реда на т. 8,".

2. Думите "по линия на контролната дейност" се заличават.

§ 11. В чл. 25 се правят следните изменения и допълнения:

1. В т. 6 думите "институционалния сайт" се заменят с "интернет страницата".

2. Точка 7 се отменя.

3. Точка 8 се изменя така:

"8. обработва информацията през Информационната система на вътрешния пазар на Европейската комисия;".

4. Точка 11 се отменя.

5. В т. 12 след думите "по чл. 36" се поставя запетая и се добавя "параграфи 1 - 3", а след думите "чл. 65" се поставя запетая и се добавя "ал. 1".

6. В т. 17 думите "букви "д" и "з" и запетаята пред тях се заличават.

7. Точка 20 се изменя така:

"20. наблюдава развитието и практиките в областта на конкуренцията и защитата на потребителите с оглед взаимодействието и въздействието им върху защитата на личните данни;".

8. Точка 21 се отменя.

§ 12. Създава се чл. 25а:

"Чл. 25а. (1) Дирекция "Канал за външно подаване на сигнали":

1. подпомага комисията при осъществяване на правомощията ѝ на централен орган за външно подаване на сигнали и за защита на лицата, подаващи сигнали или публично оповестяващи информация за нарушения;

2. регистрира и обработва сигнали за нарушения, подадени до комисията като централен орган или препратени от служителите на задължените субекти по чл. 12, отговарящи за разглеждането на сигнали, или от ръководителите на компетентните органи по чл. 20 от ЗЗЛПСПОИН;

3. поддържа регистър на сигналите за нарушения, постъпили в комисията, на постановените решения и издадените наказателни постановления, както и следи за предоставените уникални идентификационни номера на сигналите, постъпили при задължените субекти;

4. изготвя мотивирани правни становища по редовност на постъпилите сигнали;

5. изготвя мотивирани правни становища по редовност в случаите на публично оповестена информация за нарушения, за която са постъпили данни в комисията или е поискана защита от лицето, оповестило информацията;

6. осъществява комуникация с работодатели и/или други лица, срещу които е насочен сигнал или е оповестена публично информация за нарушения;

7. подпомага комисията при осигуряването на правна защита на лицата по чл. 5 и предлага прилагането на конкретни мерки във връзка с това, вкл. в случаите по чл. 6, ал. 2 от ЗЗЛПСПОИН;

8. поддържа регистрите на комисията по чл. 18, ал. 2, чл. 19, ал. 2, т. 4 и чл. 29, ал. 1 от ЗЗЛПСПОИН и прилага технически и организационни мерки за тяхната защита с цел гарантиране на поверителността и сигурността на информацията в тях;

9. разработва проекти на указания по приложението на ЗЗЛПСПОИН;

10. изготвя проекти на правни становища по искания на заинтересовани лица по приложението на ЗЗЛПСПОИН;

11. разработва проекти на нормативни актове в областта на защитата на лицата, подаващи сигнали или публично оповестяващи информация за нарушения;

12. насочва постъпилите сигнали и публично оповестената информация за нарушения, за която са постъпили данни в комисията към компетентните органи по чл. 20 от ЗЗЛПСПОИН за проверка на съдържащите се в тях твърдения и предприемане на съответни действия по компетентност;

13. изготвя доклади, констативни актове, актове за установяване на административни нарушения и на наказателни постановления по реда на ЗАНН;

14. събира, анализира и обобщава практиката по сигналите за нарушения и по случаите на публично оповестена информация за нарушения;

15. при наличие на данни за извършено престъпление прави предложение до комисията за изпращане на материалите на прокуратурата;

16. подготвя и предава информацията, съдържаща се в сигнала, на компетентните институции, органи, служби или агенции на ЕС в случаите по чл. 23, ал. 1, т. 3 от ЗЗЛПСПОИН;

17. подготвя и поддържа на интернет страницата на комисията актуална информация по чл. 21 от ЗЗЛПСПОИН;

18. подготвя проект на доклад на комисията по чл. 26 от ЗЗЛПСПОИН;

19. участва в провеждането на обучения по ЗЗЛПСПОИН и изготвя информационно-разяснителни материали по прилагането му;

20. осъществява правна защита и процесуално представителство пред съда по жалби срещу актове на комисията, приети по предложение на дирекцията, и предоставя текуща информация на комисията по движението на съдебните дела във връзка с тези производства;

21. осигурява поверителността на преписките по сигнали и публично оповестена информация за нарушения, както и предприема действия по унищожаването им след приключване на разглеждането им и изтичане на сроковете за тяхното съхранение;

22. изпълнява функции на точка за контакт с Европейската комисия във връзка с изпълнение на задълженията на комисията по чл. 29, ал. 2, както и с органите по чл. 6, ал. 2 от ЗЗЛПСПОИН;

23. изпълнява и други задачи, възложени от председателя, комисията или от главния секретар.

(2) С решение на комисията се определя служител от дирекцията, който да отговаря за разглеждането на сигнали, постъпили по канал за вътрешно подаване на сигнали съгласно чл. 13, ал. 1 от ЗЗЛПСПОИН."

§ 13. Наименованието на глава четвърта се изменя така:

"Производства по Регламент (ЕС) 2016/679 и по Закона за защита на личните данни".

§ 14. В чл. 26, ал. 1 се правят следните изменения:

1. Точка 8 се изменя така:

"8. одобряване, изменение или допълнение на кодекси за поведение и акредитация и отнемане на акредитация на органи за наблюдение на одобрени кодекси за поведение при условията и по реда на чл. 14а, ал. 3 от ЗЗЛД;".

2. Точка 9 се отменя.

§ 15. В чл. 28 се правят следните изменения и допълнения:

1. В ал. 1:

а) точка 1 се изменя така:

"1. данни за искателя: име, адрес за кореспонденция, индивидуализиращи данни, свързани с естеството на искането;"

б) точка 2 се изменя така:

"2. изложение на обстоятелствата, на които се основава искането;"

в) точка 6 се изменя така:

"6. дата и подпис; в случаите, когато искателят е физическо лице, може да предостави информация за наличие на персонален профил, регистриран в информационната система за сигурно електронно връчване като модул на Единния портал за достъп до електронни административни услуги по смисъла на Закона за електронното управление - ако разполага с такъв."

2. Създава се нова ал. 2:

"(2) Искателят предоставя електронен адрес съгласно Закона за електронното управление и/или телефонен номер, при наличие."

3. Досегашните ал. 2 и 3 стават съответно ал. 3 и 4.

§ 16. В чл. 32 се правят следните изменения и допълнения:

1. Създава се ал. 1:

"(1) Събирането на доказателствата, назначаването на експерти, представителството, призоваването и други действия в производството по тази глава се извършват по реда на АПК."

2. Досегашният текст става ал. 2.

§ 17. Създава се чл. 35а:

"Чл. 35а. За определяне на местната подсъдност страните в производство по чл. 35, ал. 1, които са физически лица, посочват постоянен адрес."

§ 18. В чл. 39 ал. 4 се изменя така:

"(4) Когато комисията е водещ надзорен орган, при вземане на решение по жалбата се следва процедурата по чл. 60 от Регламент (ЕС) 2016/679."

§ 19. В чл. 40 се правят следните изменения и допълнения:

1. Създава се нова ал. 2:

"(2) При отлагане на заседанието по ал. 1 на редовно уведомените страни и заинтересовани лица не се изпращат уведомителни писма, освен ако заседанието е било отсрочено в закрито заседание или по-нататъшният му ход е бил преграден."

2. Досегашните ал. 2 и 3 стават съответно ал. 3 и 4.

§ 20. Член 41 се отменя.

§ 21. В чл. 47 се правят следните изменения и допълнения:

1. В ал. 1 т. 2 се изменя така:

"2. осъществяване на контролната дейност на комисията по чл. 12 от ЗЗЛД и по уведомление за нарушение на сигурността на личните данни по чл. 33 от Регламент (ЕС) 2016/679 и чл. 67 от ЗЗЛД;".

2. В ал. 3 след думите "Правни производства и надзор" се добавя "или дирекция "Правно-аналитична, информационна и контролна дейност".

§ 22. В чл. 51, т. 1 след думите "лични данни" се поставя запетая и се добавя "включително съгласно чл. 36, параграф 4 от Регламент (ЕС) 2016/679".

§ 23. В чл. 58, ал. 1 след думите "по чл. 36" се поставя запетая и се добавя "параграф 1", а след думите "чл. 65" се поставя запетая и се добавя "ал. 1".

§ 24. В чл. 58, ал. 2 се правят следните изменения и допълнения:

1. Създава се нова т. 6:

"6. становището по оценката на въздействието върху защитата на данните на длъжностното лице по защита на данните, когато такова е определено;".

2. Досегашната т. 6 става т. 7.

§ 25. В чл. 62 се правят следните изменения и допълнения:

1. Създава се ал. 1:

"(1) Уведомление за нарушение на сигурността на личните данни е уведомление, подадено от администратор на лични данни или от упълномощено от него лице, на основание и в съответствие с изискванията на чл. 33 от Регламент (ЕС) 2016/679 или чл. 67 от ЗЗЛД."

2. Досегашният текст става ал. 2 и в нея се правят следните изменения:

а) в т. 2 думите "в двуседмичен срок" се заменят с "в едномесечен срок";

б) т. 3 се изменя и допълва така:

"3. при констатиране на непълнота на данните по чл. 33, параграф 3 от Регламент (ЕС) 2016/679, съответно чл. 67, ал. 3 от ЗЗЛД, дирекция "Правно-аналитична, информационна и контролна дейност" изисква от администратора, подал уведомлението за нарушение на сигурността, допълване и/или изясняване на информацията. До получаване на допълнителната информация от администратора срокът по т. 2 спира да тече."

§ 26. В чл. 63 се правят следните изменения и допълнения:

1. Алинея 1 се изменя така:

"(1) Незабавно след събиране на информацията и извършване на анализа по чл. 62, ал. 2, но не по-късно от два месеца от постъпване на уведомлението за нарушението дирекция "Правно-аналитична, информационна и контролна дейност" изготвя мотивиран доклад до КЗЛД с предложения, в т.ч. за извършване на проверка по документи или на място, съобразно предложеното ниво на риск. За решението на комисията се уведомява администраторът, а при необходимост и други, свързани с нарушението, страни."

2. Създава се ал. 3:

"(3) След приключване на проверката по ал. 1 или 2 комисията постановява решение, като може да приложи мерките по чл. 58, параграф 2, букви "а" - "з" и "й" от Регламент (ЕС) 2016/679 или по чл. 80, ал. 1, т. 3, 4 и 5 от ЗЗЛД и в допълнение към тези мерки или вместо тях да наложи административно наказание в съответствие с чл. 83 от Регламент (ЕС) 2016/679, както и по глава девета от ЗЗЛД."

§ 27. Раздел VIII в глава четвърта се изменя така:

"Раздел VIII

Условия, ред и критерии за одобряване, изменение или допълнение на кодекс за поведение

Чл. 64. (1) Процедурата по одобрение на кодекс за поведение по чл. 40 от Регламент (ЕС) 2016/679 започва с подаване на писмено искане, което съдържа:

1. информация за отговарящия за прилагането на кодекса за поведение (сдружение или друга представителна структура на съответния сектор, бранш или категория администратори/обработващи лични данни, за които е приложим кодексът) с посочване на неговото наименование, адрес, ЕИК, БУЛСТАТ или друг уникален идентификатор;

2. наименование на кодекса за поведение, което не може да повтаря наименованието на вече регистриран и публикуван кодекс за поведение;

3. обхват на операциите по обработване;

4. категориите администратори/обработващи лични данни, за които ще се прилага кодексът за поведение;

5. териториален обхват на кодекса за поведение;

6. наличие на механизми за наблюдение на спазването на кодекса за поведение;

7. информация за кандидата за акредитация като орган за наблюдение на кодекса за поведение (вътрешен или външен орган по отношение на отговарящия за прилагането на кодекса) с посочване на неговото наименование, адрес, ЕИК, БУЛСТАТ или друг уникален идентификатор, ако е относимо, ведно с доказателства за изпълнението на изискванията за акредитация по наредбата по чл. 14а, ал. 3 от ЗЗЛД;

8. информация за обхвата на проведените консултации със заинтересованите страни, включително със субектите на данни, когато това е осъществимо.

(2) Проектът на кодекс за поведение и документите по ал. 1 се подават на български език, а в хипотезата по чл. 69 и на английски език, на хартиен и електронен носител в машинночетим формат.

(3) Искането по ал. 1 се разпределя на дирекция "Правно-аналитична, информационна и контролна дейност", която извършва проверка по допустимост и редовност за:

1. представителна власт на отговарящия за прилагането на кодекса за поведение по отношение на администраторите или обработващите, които ще го прилагат;

2. компетентност на комисията да разгледа и одобри кодекса за поведение съгласно чл. 55 от Регламент (ЕС) 2016/679;

3. изпълнението на условията по ал. 1 и 2.

(4) При установяване на нередовности по ал. 3, т. 1 или 3 дирекция "Правно-аналитична, информационна и контролна дейност" уведомява подателя да ги отстрани в тридневен срок от получаване на съобщението.

(5) При установена недопустимост по ал. 3, т. 2 или неотстраняване на нередовност по ал. 4 дирекция "Правно-аналитична, информационна и контролна дейност" изготвя доклад до КЗЛД, с който се предлага проектът на кодекс за поведение да се върне на отговарящия за прилагането му, като посочва основанията за това. В този случай комисията прекратява производството с решение.

Чл. 65. (1) При установено изпълнение на изискванията по чл. 64, ал. 3 комисията изпраща писмено потвърждение до отговарящия за прилагането на кодекса за поведение, че се преминава към следващия етап на одобрението - анализ на съдържанието на проекта за кодекс.

(2) Анализът по ал. 1 включва обща оценка дали проектът на кодекс за поведение:

1. съответства на Регламент (ЕС) 2016/679 и ЗЗЛД и отговаря на конкретна потребност на съответния сектор или бранш или на съответните операции по обработване;

2. уточнява и улеснява ефективното прилагане на Регламент (ЕС) 2016/679 и ЗЗЛД от администраторите/обработващите лични данни, които ще го прилагат;

3. осигурява механизми за отчетност и ефективно наблюдение;

4. съдържа достатъчно подходящи гаранции за правата и свободите на физическите лица.

Чл. 66. (1) За анализа по чл. 65, ал. 2 дирекция "Правно-аналитична, информационна и контролна дейност" представя на комисията становище по проекта на кодекс за поведение, което задължително съдържа и конкретна оценка за наличието на информация и доказателства относно:

1. предмета, териториалния и секторния обхват на кодекса за поведение, вкл. специфичните за съответния сектор характеристики и/или потребности на микропредприятията, малките и средните предприятия и/или техните операции по обработване;

2. специфичната правна рамка за съответния сектор, имаща отношение към обработването на лични данни;

3. критериите за присъединяване на администратори/обработващи лични данни към кодекса за поведение;

4. механизма за присъединяване към кодекса за поведение и обвързващата сила на това присъединяване, както и на механизма за прекратяване или временно спиране на присъединяването към кодекса за поведение;

5. механизма за извършване на задължително наблюдение за спазването на кодекса за поведение от администратори/обработващи лични данни, които приемат да го прилагат;

6. правното основание, на което се обработват данните от администраторите/обработващите лични данни, които ще прилагат кодекса за поведение, вкл. законните интереси на администраторите/обработващите лични данни, когато това е приложимо;

7. прилагането на принципите за защита на данните по чл. 5 от Регламент (ЕС) 2016/679, вкл. наличието на добросъвестност и прозрачност по отношение на механизмите за информираност на обществеността и субектите на данни относно присъединяването към кодекса и правата им по Регламент (ЕС) 2016/679;

8. наличието на общи критерии и механизми за извършване на анализ на риска и ако е приложимо - наличието на общи изисквания към извършване на оценка на въздействието по чл. 35 от Регламент (ЕС) 2016/679;

9. механизмите за подпомагане отчетността на администраторите/обработващите лични данни, които ще прилагат кодекса за поведение, чрез предоставяне на образци на документи;

10. категориите лични данни и/или регистрите, съдържащи лични данни, които обработват администраторите/обработващите лични данни, които ще прилагат кодекса за поведение, в т.ч. целите на обработване и срока за съхранение;

11. технологията на обработване на личните данни, вкл. категориите лица (физически и юридически), които имат право на достъп до информацията от регистрите с лични данни, както и степента на този достъп (пълен, ограничен);

12. предвидените мерки за гарантиране упражняването на правата на субектите на данни;

13. процедурата относно информирането и закрилата на децата и начина на получаване на съгласие от носещите родителска отговорност за детето;

14. предвидените подходящи технически и организационни мерки за защита, вкл. условията за прилагане на псевдонимизация на данните, ако е приложимо;

15. позоваването на кодекса за поведение като подходяща гаранция по смисъла на чл. 46, параграф 2, буква "д" от Регламент (ЕС) 2016/679;

16. процедурата за уведомяването за нарушения на сигурността на личните данни на КЗЛД или друг компетентен надзорен орган и процедура за уведомяването за такива нарушения на засегнатите субекти на данни;

17. извънсъдебните производства и други процедури за разрешаване на спорове между администраторите и субектите на данни по отношение на обработването;

18. процедурата за изменение и допълнение на кодекса за поведение;

19. процедурата за предприемане на съответните действия в случай на нарушение на кодекса за поведение от страна на администратор или обработващ лични данни, включително суспендиране членството или изключване на съответния администратор или обработващ лични данни от кодекса за поведение;

20. необходимостта и полезността от изготвяне и прилагане на кодекс за поведение в съответния сектор или бранш.

(2) В становището по ал. 1 се представя и информация за изпълнението на изискванията за акредитация от предложения за конкретния кодекс за поведение орган за наблюдение съгласно наредбата по чл. 14а, ал. 3 от ЗЗЛД.

Чл. 67. (1) Комисията се произнася по съответствието на проекта на кодекс за поведение с изискванията на чл. 64, ал. 3, чл. 65, ал. 2 и чл. 66 на закрито заседание.

(2) Комисията изразява становище и връща кодекса за поведение за привеждане в съответствие с Регламент (ЕС) 2016/679 и ЗЗЛД, ако установи несъответствие с техните изисквания и/или липса на достатъчно подходящи гаранции за правата и свободите на физическите лица, като дава подходящ срок за това. При неизпълнение в срок производството се прекратява с решение на комисията.

(3) Комисията изразява становище и връща кодекса за поведение за привеждане в съответствие с наредбата по чл. 14а, ал. 3 от ЗЗЛД, ако установи несъответствие с изискванията на наредбата, като дава подходящ срок за това. При неизпълнение в срока производството се прекратява с решение на комисията.

(4) В случаите, когато проектът на кодекс за поведение уточнява приложението на Регламент (ЕС) 2016/679 и ЗЗЛД в рамките на съответния сектор или бранш и отговаря изцяло на изискванията на чл. 64, ал. 3, чл. 65, ал. 2 и чл. 66, комисията с решение одобрява кодекса и акредитира органа за наблюдението му, за което информира отговарящия за прилагането на кодекса за поведение. В седемдневен срок от влизането в сила на решението комисията регистрира и публикува кодекса за поведение във водения от нея регистър по чл. 72, ал. 1, т. 3.

(5) Заедно с решението по ал. 4 комисията издава и удостоверение за акредитация на органа за наблюдение на кодекса за поведение съгласно наредбата по чл. 14а, ал. 3 от ЗЗЛД.

(6) Комисията изпраща одобрения кодекс за поведение по ал. 3 на Европейския комитет по защита на данните за публикуване в регистъра по чл. 40, параграф 11 от Регламент (ЕС) 2016/679. В случай че кодексът за поведение е бил представен на комисията само на български език, отговарящият за прилагането му предоставя негов превод на английски език в едномесечен срок от получаването на уведомление за одобрението на кодекса за поведение.

Чл. 68. Изискванията и процедурите по този раздел и наредбата по чл. 14а, ал. 3 от ЗЗЛД се прилагат съответно и при искания за изменение или допълнение на вече одобрен кодекс за поведение.

Чл. 69. В случай че проект на кодекс за поведение, подаден по чл. 64, има отношение към дейности по обработване в няколко държави - членки на ЕС и/или ЕИП, комисията предоставя информация за постъпилия проект на кодекс на надзорните органи и Европейския комитет по защита на данните чрез информационната система на вътрешния пазар и прилага механизма за съгласуваност по чл. 63 от Регламент (ЕС) 2016/679. Комисията не може да одобри такъв кодекс, преди Европейският комитет по защита на данните да е изразил становище относно наличието на съответствие на проекта на кодекс с изискванията на Регламент (ЕС) 2016/679, респ. на подходящи гаранции в случаите по чл. 40, параграф 3 от Регламент (ЕС) 2016/679."

§ 28. Раздел X в глава четвърта се отменя.

§ 29. Създава се нова глава пета:

"Глава пета

РАЗГЛЕЖДАНЕ НА СИГНАЛИ ЗА НАРУШЕНИЯ ПО ЗАКОНА ЗА ЗАЩИТА НА ЛИЦАТА, ПОДАВАЩИ СИГНАЛИ ИЛИ ПУБЛИЧНО ОПОВЕСТЯВАЩИ ИНФОРМАЦИЯ ЗА НАРУШЕНИЯ

Чл. 72. При изпълнение на функциите си на канал за външно подаване на сигнали комисията и служителите в дирекция "Канал за външно подаване на сигнали" се ръководят от следните основни принципи:

1. законност, обективност, пълнота на информацията, защита на лицата по чл. 5 от ЗЗЛПСПОИН и на лицата, публично оповестили информация за нарушения, зачитане правата и достойнството на личността;

2. лоялност, честност, безпристрастност и политическа неутралност при изпълнение на задачите и дейностите по ЗЗЛПСПОИН;

3. отговорност и отчетност.

Чл. 73. (1) Производството по разглеждане на сигнали за нарушения започва с постъпване в комисията на сигнал при условията и по реда на ЗЗЛПСПОИН.

(2) След постъпването на сигнала по ал. 1 по електронен път чрез интернет страницата на комисията и генерирането на уникален идентификационен номер сигналът се разпределя на случаен принцип на служител от дирекция "Канал за външно подаване на сигнали" чрез специализираната информационна система на комисията, определена за регистриране и работа със сигнали за нарушения.

(3) След постъпването на сигнала по ал. 1 писмено, по ред, различен от този по ал. 2, служител от дирекция УРАПО, определен за работа със специализираната информационна система на комисията, определена за регистриране и работа със сигнали за нарушения, завежда в нея следната информация за постъпилия сигнал:

1. наименование и ЕИК/БУЛСТАТ на работодателя, срещу когото се подава сигналът;

2. идентификационни данни на служителя от дирекция УРАПО, завеждащ сигнала;

3. предмет на сигнала (съответните области, предвидени в чл. 3, ал. 1 и 2 от ЗЗЛПСПОИН);

4. начин на подаване на сигнала (по пощата, вкл. електронна поща, или лично);

5. приоритетност на сигнала, ако е посочен като такъв.

(4) След завеждането на сигнала по ал. 3 и генерирането на уникален идентификационен номер сигналът се разпределя на случаен принцип на служител от дирекция "Канал за външно подаване на сигнали" чрез специализираната информационна система на комисията, определена за регистриране и работа със сигнали за нарушения. Служителят предприема действия по регистриране на сигнала съгласно чл. 15, ал. 2 от ЗЗЛПСПОИН.

(5) При устно подаване на сигнал по ал. 1 (по телефон или чрез лична среща) служител от дирекция "Канал за външно подаване на сигнали" попълва формуляра по чл. 15, ал. 2 от ЗЗЛПСПОИН и генерира уникален идентификационен номер. След генерирането на уникален идентификационен номер сигналът се разпределя на случаен принцип на служител от дирекция "Канал за външно подаване на сигнали" чрез специализираната информационна система на комисията, определена за регистриране и работа със сигнали за нарушения.

Чл. 74. В 7-дневен срок от получаването на сигнала или на данните относно публично оповестена информация за нарушения, или на искането за защита от лицето, което я е оповестило, служителят, отговарящ за разглеждането на сигнала, извършва проверка за редовност.

Чл. 75. (1) В хода на производството по разглеждане на всеки постъпил сигнал служителят, отговарящ за разглеждането на сигнала, извършва действията по чл. 16, т. 1 - 4, т. 6 - 10 и т. 11, букви "а" - "в", чл. 23, ал. 1, т. 1 и 2 и ал. 3 и чл. 24 от ЗЗЛПСПОИН.

(2) След изясняване на всички факти, обстоятелства и информация по постъпилия сигнал за нарушения, но не по-късно от 2 месеца от регистрирането на сигнала или в надлежно обосновани случаи - 5 месеца, служителят, отговарящ за разглеждането на сигнала, изготвя доклад до директора на дирекцията.

(3) Въз основа на доклада по ал. 2 директорът на дирекцията внася в закрито заседание на комисията доклад със съдържанието по чл. 25 от ЗЗЛПСПОИН.

Чл. 76. След получаване на информация от компетентните органи по чл. 20 за предприетите от тях действия по чл. 25 директорът на дирекцията предлага на комисията проект на доклад със съдържанието и в сроковете по чл. 26 от ЗЗЛПСПОИН.

Чл. 77. (1) В рамките на производството по тази глава председателят и членовете на комисията или упълномощени от нея лица от администрацията ѝ извършват проверки на задължените субекти по чл. 12 и на компетентните органи по чл. 20 от ЗЗЛПСПОИН, както и на всички органи и организации, които получават или работят с такива сигнали, след решение на комисията, както следва:

1. планови - по одобрен от комисията годишен план, и

2. извънпланови проверки - извън тези по т. 1.

(2) Видът, редът и обхватът на проверките по ал. 1 се определят с вътрешни правила на комисията.

Чл. 78. При постъпване на сигнал или данни за публично оповестена информация за нарушения, подадени срещу председателя и/или членовете на комисията, директорът на дирекция "Канал за външно подаване на сигнали" незабавно изпраща сигнала за проверка на Комисията за противодействие на корупцията и за отнемане на незаконно придобитото имущество.

Чл. 79. При неизпълнение в срок на задължения по ЗЗЛПСПОИН и този правилник на служители от дирекция "Канал за външно подаване на сигнали", както и на други служители, чиято дейност е свързана с функции по този закон, главният секретар незабавно уведомява за това председателя на комисията, който със заповед в 14-дневен срок нарежда образуването на дисциплинарно дело при условията и по реда на Закона за държавния служител."

§ 30. Създава се нова глава шеста:

"Глава шеста

ВОДЕНЕ НА РЕГИСТРИ И ОБМЕН НА ИНФОРМАЦИЯ С ПУБЛИЧНИ ОРГАНИ

Чл. 79а. (1) Комисията води следните публични регистри:

1. регистър на администраторите и обработващите лични данни, които са определили длъжностни лица по защита на данните;

2. регистър на акредитираните по чл. 14 от ЗЗЛД сертифициращи органи;

3. регистър на кодексите за поведение по чл. 40 от Регламент (ЕС) 2016/679.

(2) Комисията води следните регистри, които не са публични:

1. регистър на нарушенията на Регламент (ЕС) 2016/679 и на ЗЗЛД, както и на предприетите мерки в съответствие с упражняването на корективните правомощия по чл. 58, параграф 2 от Регламент (ЕС) 2016/679;

2. регистър на уведомленията за нарушения на сигурността на личните данни по чл. 33 от Регламент (ЕС) 2016/679 и по чл. 67 от ЗЗЛД;

3. регистър на получените протоколи от предприятията, предоставящи електронни съобщителни услуги, за унищожените данни по чл. 251ж, ал. 1 от ЗЕС;

4. регистър на сигналите за нарушения по чл. 19, ал. 2, т. 4 и чл. 29, ал. 1 от ЗЗЛПСПОИН, постъпили по канал за външно подаване на сигнали;

5. регистър на сигналите за нарушения по чл. 18, ал. 2 от ЗЗЛПСПОИН, постъпили по канал за вътрешно подаване на сигнали за нарушения.

(3) Регистрите по ал. 1 и 2 се водят в електронен вид.

(4) Вписвания, отбелязвания и заличавания в регистрите по ал. 1 и 2 се извършват, както следва:

1. в регистрите по ал. 1 и ал. 2, т. 2 и 3 - от дирекция "Правно-аналитична, информационна и контролна дейност";

2. в регистъра по ал. 2, т. 1 - от дирекция "Правни производства и надзор" и дирекция "Правно-аналитична, информационна и контролна дейност", по компетентност;

3. в регистрите по ал. 2, т. 4 и 5 - от дирекция "Канал за външно подаване на сигнали".

(5) Всяка настъпила промяна на обстоятелствата/данните в регистрите по ал. 1 и 2 подлежи на отбелязване в регистъра.

(6) Допуснати грешки в данните в регистрите по ал. 1 се поправят служебно или по искане от администратора, като се извършва съответното отбелязване.

Чл. 79б. (1) В регистъра по чл. 79а, ал. 1, т. 1 се вписват данни за идентификация на администраторите и обработващите лични данни, които са определили длъжностни лица по защита на данните, данни за идентификация на длъжностните лица по защита на данните и данни за контакти с длъжностните лица по защита на данните.

(2) Публичната част на регистъра включва името/наименованието на администраторите и обработващите лични данни, които са определили длъжностни лица по защита на данните, имената на длъжностните лица по защита на данните и данните за контакт с тях.

Чл. 79в. (1) В регистъра по чл. 79а, ал. 1, т. 2 се вписват данни за идентификация на акредитирания сертифициращ орган, данни за акредитацията (сертификат) по чл. 43, параграф 4 от Регламент (ЕС) 2016/679, данни за контакт с акредитирания сертифициращ орган.

(2) Публичната част на регистъра включва наименованието на акредитирания сертифициращ орган, срока на валидност на акредитацията (сертификат) и данни за контакт с акредитирания сертифициращ орган.

Чл. 79г. (1) В регистъра по чл. 79а, ал. 1, т. 3 се вписват данни за идентификация на отговарящия за прилагането на кодекса, наименование на сектора/бранша, съдържание на кодекса (текста), идентификация на органа, акредитиран като орган за наблюдение (при наличие).

(2) Публичната част на регистъра включва наименованието на кодекса, наименованието на отговарящия за прилагането му, наименованието на сектора/бранша, наименованието на акредитирания орган за наблюдението на кодекса (при наличие) и съдържанието (текста) на кодекса.

Чл. 79д. В регистъра по чл. 79а, ал. 2, т. 1 се вписват данни за корективната мярка по чл. 58, параграф 2 от Регламент (ЕС) 2016/679, данни за първоизточника, от който е постъпила информация относно нарушението (жалба, сигнал, уведомление за нарушение на сигурността на личните данни), предприети действия от КЗЛД, данни за администратора, за когото е постъпила информация за нарушение, нарушени разпоредби от Регламент (ЕС) 2016/679 и от ЗЗЛД, постановен от комисията акт, срок за изпълнение на корективната мярка, дата на връчване на акта на комисията, размер на наложеното наказание, постъпили възражения, информация за влизане в законна сила на акта на комисията, данни за изпълнението на корективната мярка.

Чл. 79е. В регистъра по чл. 79а, ал. 2, т. 2 се вписват данни за идентификация на администратора на лични данни, засегнат от нарушението, информация по чл. 33, параграф 3 и чл. 58, параграф 2 от Регламент (ЕС) 2016/679, както и по чл. 67 от ЗЗЛД.

Чл. 79ж. В регистъра по чл. 79а, ал. 2, т. 3 се вписват данни за идентификация на предприятието, състава на комисията, изготвила протокола, данни за периода на съхранение на унищожените данни, способите и средствата, с които са унищожени данните, както и използването на облачни услуги.

Чл. 79з. В регистъра по чл. 79а, ал. 2, т. 4 се вписват данните по чл. 18, ал. 2 от ЗЗЛПСПОИН.

Чл. 79и. (1) В комисията се внедрява и поддържа система за управление на документи и работни потоци и за контрол на решенията ѝ.

(2) При изпълнение на своите задачи и правомощия комисията обменя и осъществява достъп до информация с други публични органи посредством поддържаните от Държавна агенция "Електронно управление":

1. среда за електронен обмен на съобщения;

2. система за сигурно електронно връчване;

3. среда за междурегистров обмен RegiX.

(3) Комисията може да осъществява достъп и до регистри и/или услуги, предоставяни от публични органи, и посредством съответните информационни системи, поддържани от публичните органи за тази цел."

§ 31. Досегашните глава пета и глава шеста стават съответно глава седма и глава осма.

§ 32. Приложението към чл. 15, ал. 6 се изменя така:

"Приложение към чл. 15, ал. 6

"