Закон за защита на личните данни в сила от 01. 01. 2002 г

Чл. 1. (Изм. - ДВ, бр. 103 от 2005 г.) (1) Този закон урежда защитата на правата на физическите лица при обработването на личните им данни.

(2) Целта на закона е гарантиране на неприкосновеността на личността и личния живот чрез осигуряване на защита на физическите лица при неправомерно обработване на свързаните с тях лични данни в процеса на свободното движение на данните.

(3) (Нова - ДВ, бр. 91 от 2006 г.) Този закон се прилага за обработването на лични данни със:

1. автоматични средства;

2. неавтоматични средства, когато тези данни съставляват или са предназначени да съставляват част от регистър.

(4) (Предишна ал. 3, изм. - ДВ, бр. 91 от 2006 г.) Този закон се прилага за обработването на лични данни, когато администраторът на лични данни:

1. (изм. - ДВ, бр. 91 от 2006 г.) е установен на територията на Република България и обработва лични данни във връзка със своята дейност;

2. (изм. - ДВ, бр. 91 от 2006 г.) не е установен на територията на Република България, но е задължен да прилага този закон по силата на международното публично право;

3. (В сила от 01.01.2007 г., изм. - ДВ, бр. 91 от 2006 г.) не е установен на територията на държава - членка на Европейския съюз, както и в друга държава - членка на Европейското икономическо пространство, но за целите на обработването използва средства, разположени на българска територия, освен когато тези средства се използват само за транзитни цели; в този случай администраторът трябва да посочи представител, установен на територията на Република България, без това да го освобождава от отговорност.

(5) (Предишна ал. 4, изм. - ДВ, бр. 91 от 2006 г., изм. - ДВ, бр. 81 от 2011 г.) Доколкото в специален закон не е предвидено друго, този закон се прилага и за обработването на лични данни за целите на:

1. отбраната на страната;

2. националната сигурност;

3. опазването на обществения ред и противодействието на престъпността;

4. наказателното производство;

5. изпълнението на наказанията.

(6) (Нова - ДВ, бр. 81 от 2011 г.) Когато в рамките на полицейско или съдебно сътрудничество данни по ал. 5, т. 3, 4 и 5 са получени от или са предоставени на държава - членка на Европейския съюз, или органи или информационни системи, създадени въз основа на Договора за създаването на Европейския съюз или на Договора за функциониране на Европейския съюз, те се обработват при условията и по реда на този закон.

(7) (Нова - ДВ, бр. 81 от 2011 г.) Обработването на данните по ал. 5 се извършва под контрола на съответния държавен орган.

(8) (Предишна ал. 5 - ДВ, бр. 91 от 2006 г., предишна ал. 6 - ДВ, бр. 81 от 2011 г.) Условията и редът за обработването на единен граждански номер и на други идентификационни номера с общо приложение се уреждат в специални закони.

(9) (Предишна ал. 6 - ДВ, бр. 91 от 2006 г., доп. - ДВ, бр. 57 от 2007 г., в сила от 13.07.2007 г., предишна ал. 7 - ДВ, бр. 81 от 2011 г.) Този закон не се прилага за обработването на лични данни, извършвано от физически лица за техни лични или домашни дейности, както и за информацията, която се съхранява в Националния архивен фонд.

Чл. 2. (Доп. - ДВ, бр. 70 от 2004 г., в сила от 01.01.2005 г., изм. - ДВ, бр. 103 от 2005 г.) (1) (Изм. - ДВ, бр. 91 от 2006 г.) Лични данни са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци.

(2) Личните данни трябва да:

1. се обработват законосъобразно и добросъвестно;

2. (доп. - ДВ, бр. 81 от 2011 г.) се събират за конкретни, точно определени и законни цели и да не се обработват допълнително по начин, несъвместим с тези цели; допълнително обработване на личните данни за исторически, статистически или научни цели е допустимо, при условие че администраторът осигури подходяща защита, като гарантира, че данните не се обработват за други цели с изключение на случаите, изрично предвидени в този закон;

3. (изм. - ДВ, бр. 91 от 2006 г.) бъдат съотносими, свързани със и ненадхвърлящи целите, за които се обработват;

4. бъдат точни и при необходимост да се актуализират;

5. се заличават или коригират, когато се установи, че са неточни или непропорционални по отношение на целите, за които се обработват;

6. се поддържат във вид, който позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които тези данни се обработват; личните данни, които ще се съхраняват за по-дълъг период за исторически, статистически или научни цели, се поддържат във вид, непозволяващ идентифицирането на физическите лица.

(3) (Нова - ДВ, бр. 81 от 2011 г.) Лични данни, получени по чл. 1, ал. 6, могат да бъдат обработвани допълнително за друга цел, различна от целта, за която са събрани, когато са налице едновременно следните условия:

1. това обработване е съвместимо с целта, за която са били събрани данните;

2. съществува основание, предвидено в закон, за обработване на данните за тази друга цел;

3. обработването е в съответствие с изискванията на ал. 2.

(4) (Нова - ДВ, бр. 81 от 2011 г.) Администратор, получил данни по чл. 1, ал. 6, уведомява физическото лице, за което се отнасят данните, за допълнителното обработване по ал. 3, освен в случаите по чл. 36д, ал. 2 или когато в специален закон е предвидено друго.

Чл. 3. (1) (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г.) Администратор на лични данни, наричан по-нататък "администратор", е физическо или юридическо лице, както и орган на държавната власт или на местното самоуправление, който сам или съвместно с друго лице определя целите и средствата за обработване на личните данни.

(2) (Нова - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г.) Администратор е и физическо или юридическо лице, както и орган на държавната власт или на местното самоуправление, който обработва лични данни, видът на които, целите и средствата за обработване се определят със закон. В тези случаи администраторът или специфичните критерии за неговото определяне са нормативно уредени.

(3) (Предишна ал. 2 - ДВ, бр. 103 от 2005 г.) Администраторът на лични данни обработва личните данни самостоятелно или чрез възлагане на обработващ данните.

(4) (Нова - ДВ, бр. 103 от 2005 г.) Администраторът осигурява спазването на изискванията на чл. 2, ал. 2.

Чл. 4. (Изм. - ДВ, бр. 103 от 2005 г.) (1) Обработването на лични данни е допустимо само в случаите, когато е налице поне едно от следните условия:

1. обработването е необходимо за изпълнение на нормативно установено задължение на администратора на лични данни;

2. физическото лице, за което се отнасят данните, е дало изрично своето съгласие;

3. (изм. - ДВ, бр. 91 от 2006 г.) обработването е необходимо за изпълнение на задължения по договор, по който физическото лице, за което се отнасят данните, е страна, както и за действия, предхождащи сключването на договор и предприети по негово искане;

4. обработването е необходимо, за да се защитят животът и здравето на физическото лице, за което се отнасят данните;

5. обработването е необходимо за изпълнението на задача, която се осъществява в обществен интерес;

6. обработването е необходимо за упражняване на правомощия, предоставени със закон на администратора или на трето лице, на което се разкриват данните;

7. обработването е необходимо за реализиране на законните интереси на администратора на лични данни или на трето лице, на което се разкриват данните, освен когато пред тези интереси преимущество имат интересите на физическото лице, за което се отнасят данните.

(2) Обработването на лични данни е допустимо и в случаите, когато то се извършва единствено за целите на журналистическата дейност, литературното или художественото изразяване, доколкото това обработване не нарушава правото на личен живот на лицето, за което се отнасят данните. В тези случаи разпоредбите на глава трета не се прилагат.

Чл. 5. (Изм. - ДВ, бр. 103 от 2005 г.) (1) Забранено е обработването на лични данни, които:

1. разкриват расов или етнически произход;

2. разкриват политически, религиозни или философски убеждения, членство в политически партии или организации, сдружения с религиозни, философски, политически или синдикални цели;

3. се отнасят до здравето, сексуалния живот или до човешкия геном.

(2) Алинея 1 не се прилага, когато:

1. обработването е необходимо за целите на изпълнението на специфични права и задължения на администратора в областта на трудовото законодателство;

2. (доп. - ДВ, бр. 91 от 2006 г.) физическото лице, за което се отнасят тези данни, е дало изрично своето съгласие за обработването им, освен ако в специален закон е предвидено друго;

3. обработването е необходимо за защита на живота и здравето на физическото лице, за което тези данни се отнасят, или на друго лице и състоянието на физическото лице не му позволява да даде съгласие или съществуват законни пречки за това;

4. обработването се извършва от организация с нестопанска цел, включително с политическа, философска, религиозна или синдикална цел, в хода на законосъобразната й дейност и с подходяща защита, при условие че:

а) обработването е свързано единствено с членовете на тази организация или с лица, които поддържат редовни контакти с нея във връзка с нейните цели;

б) данните не се разкриват на трети лица без съгласието на физическото лице, за което те се отнасят;

5. обработването се отнася до данни, публично оповестени от физическото лице, или то е необходимо за установяването, упражняването или защитата на права по съдебен ред;

6. обработването е необходимо за целите на превантивната медицина, медицинската диагностика, предоставянето или управлението на здравни услуги, при условие че данните се обработват от медицински специалист, задължен по закон да пази професионална тайна, или от друго лице, обвързано с подобно задължение за опазване на тайна;

7. обработването се извършва единствено за целите на журналистическата дейност, литературното или художественото изразяване, доколкото то не нарушава правото на личен живот на лицето, за което се отнасят тези данни.

Чл. 6. (1) Комисията за защита на личните данни, наричана по-нататък "комисията", е независим държавен орган, който осъществява защитата на лицата при обработването на техните лични данни и при осъществяването на достъпа до тези данни, както и контрола по спазването на този закон.

(2) (Нова - ДВ, бр. 94 от 2010 г.) Комисията съдейства за провеждането на държавната политика в областта на защита на личните данни.

(3) (Доп. - ДВ, бр. 91 от 2006 г., в сила от 01.01.2007 г., предишна ал. 2 - ДВ, бр. 94 от 2010 г., изм. - ДВ, бр. 15 от 2013 г., в сила от 01.01.2014 г.) Комисията е юридическо лице на бюджетна издръжка със седалище София и е първостепенен разпоредител с бюджет.

Чл. 7. (1) Комисията е колегиален орган и се състои от председател и 4 членове.

(2) (Изм. - ДВ, бр. 91 от 2006 г.) Членовете на комисията и председателят й се избират от Народното събрание по предложение на Министерския съвет за срок 5 години и могат да бъдат преизбирани за още един мандат.

(3) Председателят и членовете на комисията осъществяват своята дейност по трудово правоотношение.

(4) (Нова - ДВ, бр. 91 от 2006 г.) Членовете на комисията получават основно месечно възнаграждение, равно на 2,5 средномесечни работни заплати на наетите лица по трудово и служебно правоотношение в обществения сектор съобразно данни на Националния статистически институт. Основното месечно възнаграждение се преизчислява всяко тримесечие, като се взема предвид средномесечната работна заплата за последния месец от предходното тримесечие.

(5) (Нова - ДВ, бр. 91 от 2006 г.) Председателят на комисията получава месечно възнаграждение с 30 на сто по-високо от основното месечно възнаграждение по ал. 4.

(6) (Изм. - ДВ, бр. 103 от 2005 г., предишна ал. 4 - ДВ, бр. 91 от 2006 г.) Комисията до 31 януари всяка година представя годишен отчет за своята дейност пред Народното събрание.

Чл. 8. (1) За членове на комисията могат да бъдат избирани български граждани, които:

1. имат висше образование по информатика, по право или са магистри по информационни технологии;

2. имат трудов стаж по специалността си не по-малко от 10 години;

3. (доп. - ДВ, бр. 103 от 2005 г.) не са осъждани на лишаване от свобода за умишлени престъпления от общ характер, независимо дали са реабилитирани;

(2) Членове на комисията не могат:

1. (изм. - ДВ, бр. 103 от 2005 г.) да бъдат лица, които са еднолични търговци, управители/прокуристи или членове на управителни или на контролни органи на търговски дружества, кооперации или администратори на лични данни по смисъла на този закон;

2. да заемат друга платена длъжност, освен когато упражняват научна или преподавателска дейност;

3. (нова - ДВ, бр. 42 от 2009 г.) да бъдат лица, които са съпрузи или се намират във фактическо съжителство, роднини по права линия, по съребрена линия - до четвърта степен включително, или по сватовство - до втора степен включително, с друг член на комисията.

(3) За председател на комисията се избира правоспособен юрист, който отговаря на изискванията по ал. 1 и 2.

(4) Мандатът на председателя или член на комисията се прекратява предсрочно:

1. при смърт или поставяне под запрещение;

2. по решение на Народното събрание, когато:

а) е подал молба за освобождаване;

б) е извършил грубо нарушение на този закон;

в) е извършил умишлено престъпление от общ характер, за което има влязла в сила присъда;

г) е налице невъзможност да изпълнява задълженията си за срок по-дълъг от шест месеца;

д) (нова - ДВ, бр. 42 от 2009 г., изм. - ДВ, бр. 97 от 2010 г., в сила от 10.12.2010 г.) е налице влязъл в сила акт, с който е установен конфликт на интереси по Закона за предотвратяване и установяване на конфликт на интереси.

(5) (Изм. и доп. - ДВ, бр. 103 от 2005 г.) В случаите по ал. 4 Министерският съвет предлага на Народното събрание да избере нов член за срок до края на първоначалния мандат на съответния член на комисията.

(6) Времето, през което лицето е работило като председател или член на комисията, се признава и за служебен стаж по Закона за държавния служител.

Чл. 9. (1) Комисията е постоянно действащ орган, който се подпомага от администрация.

(2) Комисията урежда в правилник своята дейност и дейността на администрацията си и го обнародва в "Държавен вестник".

(3) Решенията на комисията се вземат с мнозинство от общия брой на членовете й.

(4) Заседанията на комисията са открити. Комисията може да реши отделни заседания да бъдат закрити.

Чл. 10. (1) Комисията:

1. анализира и осъществява цялостен контрол за спазването на нормативните актове в областта на защитата на лични данни;

2. (доп. - ДВ, бр. 103 от 2005 г.) води регистър на администраторите на лични данни и на водените от тях регистри на лични данни;

3. извършва проверки на администраторите на лични данни във връзка с дейността си по т. 1;

4. изразява становища и дава разрешения в предвидените в този закон случаи;

5. издава задължителни предписания до администраторите във връзка със защитата на личните данни;

6. след предварително уведомяване налага временна забрана за обработването на лични данни, с които се нарушават нормите за защита на личните данни;

7. (изм. - ДВ, бр. 103 от 2005 г.) разглежда жалби срещу актове и действия на администраторите, с които се нарушават правата на физическите лица по този закон, както и жалби на трети лица във връзка с правата им по този закон;

8. (изм. - ДВ, бр. 103 от 2005 г.) участва в подготовката и задължително дава становища по проекти на закони и подзаконови нормативни актове в областта на защитата на личните данни;

9. (нова - ДВ, бр. 81 от 2011 г.) издава подзаконови нормативни актове в областта на защита на личните данни;

10. (нова - ДВ, бр. 103 от 2005 г., в сила от 01.01.2007 г., предишна т. 9 - ДВ, бр. 81 от 2011 г.) осигурява прилагането на решенията на Европейската комисия в областта на защитата на личните данни;

11. (нова - ДВ, бр. 94 от 2010 г., предишна т. 10 - ДВ, бр. 81 от 2011 г.) участва в дейностите, осъществявани от международните организации по въпросите в областта на защита на личните данни;

12. (нова - ДВ, бр. 94 от 2010 г., предишна т. 11 - ДВ, бр. 81 от 2011 г.) участва в преговорите и сключването на двустранни или многостранни споразумения по въпроси от своята компетентност;

13. (нова - ДВ, бр. 94 от 2010 г., предишна т. 12 - ДВ, бр. 81 от 2011 г.) организира и координира обучението в областта на защитата на личните данни на администраторите на лични данни;

14. (нова - ДВ, бр. 105 от 2011 г., в сила от 29.12.2011 г.) издава общи и нормативни административни актове, свързани с правомощията й, в случаите, предвидени в закон.

(2) (Изм. - ДВ, бр. 103 от 2005 г.) Редът за водене на регистъра по ал. 1, т. 2, за уведомяване на комисията, за даване на разрешения и изразяване на становища, за разглеждане на жалбите, както и за издаване на задължителните предписания и налагането на временни забрани за обработване на лични данни, се определя в правилника по чл. 9, ал. 2.

(3) (Доп. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г.) Комисията издава бюлетин, в който публикува информация за своята дейност и за взетите решения. В бюлетина се публикува и отчетът по чл. 7, ал. 6.

(4) (Нова - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г.) Комисията съгласува по браншове и области на дейност етичните кодекси за поведение на администраторите на лични данни по чл. 22а и при установяване на несъответствие с нормативната уредба дава задължителни предписания.

Чл. 11. Председателят на комисията:

1. организира и ръководи дейността на комисията съобразно закона и решенията на комисията и отговаря за изпълнението на задълженията й;

2. представлява комисията пред трети лица;

3. (доп. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 81 от 2011 г.) назначава и освобождава държавните служители и сключва и прекратява трудовите договори на служителите по трудови правоотношения от администрацията.

4. (нова - ДВ, бр. 103 от 2005 г.) издава наказателни постановления по чл. 43, ал. 2.

Чл. 12. (Изм. - ДВ, бр. 91 от 2006 г.) (1) Председателят и членовете на комисията или упълномощени от нея лица от администрацията й осъществяват контрол чрез предварителни, текущи и последващи проверки за спазване на този закон.

(2) Предварителна проверка се извършва в случаите по чл. 17б.

(3) Текущи проверки се извършват по молба на заинтересовани лица, както и по инициатива на комисията въз основа на приет от нея месечен план за контролна дейност.

(4) Последващи проверки се извършват за изпълнение на решение или на задължително предписание на комисията, както и по нейна инициатива след подаден сигнал.

(5) Проверяващите лица се легитимират със служебна карта и заповед на председателя на комисията за съответната проверка.

(6) При извършване на проверки лицата по ал. 1 могат да възлагат изготвяне на експертизи по реда на Гражданския процесуален кодекс.

(7) Проверката завършва с констативен акт.

(8) В случаите, когато с акта по ал. 7 е установено нарушение, констативният акт е акт за установяване на административно нарушение по смисъла на Закона за административните нарушения и наказания.

(9) Условията и редът за осъществяване на контрол се определят с инструкция на комисията.

Чл. 13. (Изм. - ДВ, бр. 103 от 2005 г.) (1) Председателят и членовете на комисията и служителите от нейната администрация са длъжни да не разгласяват и да не се възползват за свое или чуждо облагодетелстване от информацията, представляваща защитена от закон тайна, която им е станала известна при осъществяване на тяхната дейност, до изтичане на срока за защитата й.

(2) При постъпване на работа лицата по ал. 1 подават декларация за задълженията си по ал. 1.

Чл. 14. (Изм. - ДВ, бр. 103 от 2005 г.) (1) В регистъра по чл. 10, ал. 1, т. 2 се вписват данните по чл. 18, ал. 2.

(2) Вписването в регистъра по чл. 10, ал. 1, т. 2 се удостоверява с идентификационен номер.

(3) Регистърът по ал. 1 е публичен.

Чл. 15. (Отм. - ДВ, бр. 103 от 2005 г.)

Чл. 16. (Изм. - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 91 от 2006 г.)

Чл. 17. (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г.) (1) Администраторът на лични данни е длъжен да подаде заявление за регистрация преди започване обработването на лични данни.

(2) В 14-дневен срок от подаване на заявлението комисията вписва администратора на лични данни в регистъра по чл. 10, ал. 1, т. 2.

(3) Администраторът може да започне обработване на данните след подаване на заявлението за регистрация.

(4) (Нова - ДВ, бр. 81 от 2011 г.) Преди преустановяване на обработването на лични данни администраторът подава заявление за заличаването му от регистъра по чл. 10, ал. 1, т. 2.

(5) (Нова - ДВ, бр. 81 от 2011 г.) Със заявлението по ал. 4 администраторът е длъжен да предостави на комисията доказателства за изпълнение на задълженията си по чл. 25, ал. 1.

(6) (Нова - ДВ, бр. 81 от 2011 г.) Условията и редът за заличаването на администратора от регистъра по чл. 10, ал. 1, т. 2 се уреждат с правилника по чл. 9, ал. 2.

Чл. 17а. (Нов - ДВ, бр. 91 от 2006 г.) (1) Не се подава заявление за регистрация, когато администраторът:

1. поддържа регистър, който по силата на нормативен акт е предназначен да осигури обществена информация и:

а) достъпът до него е свободен, или

б) достъп до него има лице, което има правен интерес;

2. обработва данни в случаите по чл. 5, ал. 2, т. 4.

(2) Комисията може да освободи от задължение за регистрация и администратори, които обработват данни извън тези по ал. 1, когато обработването не застрашава правата и законните интереси на физическите лица, чиито данни се обработват.

(3) Условията и редът за освобождаване по ал. 2 се уреждат с правилника по чл. 9, ал. 2, като комисията определя критериите в съответствие със:

1. целите на обработване на личните данни;

2. личните данни или категориите лични данни, подлежащи на обработване;

3. категориите физически лица, чиито данни се обработват;

4. получателите или категориите получатели, пред които личните данни могат да бъдат разкрити;

5. срока на съхраняване на данните.

Чл. 17б. (Нов - ДВ, бр. 91 от 2006 г.) (1) Когато администраторът е заявил обработване на данни по чл. 5, ал. 1 или на данни, чието обработване съгласно решение на комисията застрашава правата и законните интереси на физическите лица, комисията задължително извършва предварителна проверка преди вписване в регистъра по чл. 10, ал. 1, т. 2.

(2) Предварителната проверка се извършва в двумесечен срок от подаване на заявление за регистрация по чл. 17, ал. 1.

(3) След приключване на предварителната проверка комисията:

1. вписва администратора на лични данни в регистъра;

2. дава задължителни предписания относно условията за обработване на лични данни и воденето на регистър на лични данни;

3. отказва вписването.

(4) Администраторът не може да започне обработване на данните, преди да е вписан в регистъра по чл. 10, ал. 1, т. 2 или преди да изпълни задължителните предписания на комисията.

(5) Непроизнасянето в срока по ал. 2 се смята за мълчалив отказ за вписване на администратора в регистъра.

(6) Диспозитивът на решението по ал. 1 се обнародва в "Държавен вестник".

Чл. 18. (Изм. - ДВ, бр. 103 от 2005 г.) (1) (Изм. - ДВ, бр. 91 от 2006 г.) Администраторът или негов представител подава заявление по чл. 17, ал. 1 и документи по образец, утвърден от комисията.

(2) Заявлението съдържа:

1. данните, идентифициращи администратора на лични данни и неговия представител, ако има такъв;

2. целите на обработване на личните данни;

3. категориите физически лица, чиито данни се обработват, и категориите лични данни, отнасящи се до тях;

4. получателите или категориите получатели, на които личните данни могат да бъдат разкрити;

5. предлаганото предоставяне на данни в други държави;

6. общото описание на мерките, предприети съгласно чл. 23, позволяващо изготвянето на предварителна оценка на тяхната целесъобразност.

(3) Администраторът уведомява комисията за всяка промяна на данните по ал. 2 преди нейното извършване. В случаите, когато такава промяна е предвидена в закон, уведомяването се извършва в 7-дневен срок от влизането в сила на съответния закон.

(4) В случаите, когато администраторът не е вписан в регистъра по чл. 10, ал. 1, т. 2, той е длъжен да предостави данните по ал. 2 на всяко лице при поискване.

(5) (Нова - ДВ, бр. 81 от 2011 г.) Администраторът подава заявлението по чл. 17, ал. 1 на хартиен носител или по електронен път. В случаите, когато заявлението се подава по електронен път, се прилага Законът за електронното управление.

Чл. 19. (Доп. - ДВ, бр. 93 от 2004 г., изм. - ДВ, бр. 103 от 2005 г.) (1) (Изм. - ДВ, бр. 91 от 2006 г.) В случаите, когато личните данни се събират от лицето, за което се отнасят, администраторът или негов представител му предоставя:

1. данните, които идентифицират администратора и неговия представител;

2. целите на обработването на личните данни;

3. получателите или категориите получатели, на които могат да бъдат разкрити данните;

4. данните за задължителния или доброволния характер на предоставяне на данните и последиците от отказ за предоставянето им;

5. информация за правото на достъп и правото на коригиране на събраните данни.

(2) Данните по ал. 1 не се предоставят, когато физическото лице, за което се отнасят, вече разполага с тях или в закон съществува изрична забрана за предоставянето им.

Чл. 20. (Изм. - ДВ, бр. 103 от 2005 г.) (1) (Изм. - ДВ, бр. 91 от 2006 г.) Когато личните данни не са получени от физическото лице, за което те се отнасят, администраторът или негов представител му предоставя:

1. данните, които идентифицират администратора и неговия представител;

2. целите на обработването на личните данни;

3. категориите лични данни, отнасящи се до съответното физическо лице;

4. получателите или категориите получатели, на които могат да бъдат разкрити данните;

5. информация за правото на достъп и правото на коригиране на събраните данни.

(2) Данните по ал. 1 се предоставят на лицето, за което се отнасят, към момента на вписването им в съответния регистър или, ако се предвижда разкриване на данните на трето лице - не по-късно от момента на разкриването им за пръв път.

(3) Алинея 1 не се прилага, когато:

1. обработването е за статистически, исторически или научни цели и предоставянето на данните по ал. 1 е невъзможно или изисква прекомерни усилия;

2. вписването или разкриването на данни са изрично предвидени в закон;

3. физическото лице, за което се отнасят данните, вече разполага с информацията по ал. 1;

4. е налице изрична забрана за това в закон.

Чл. 21. (Изм. - ДВ, бр. 103 от 2005 г.) (1) (Изм. - ДВ, бр. 91 от 2006 г.) Информацията по чл. 19, ал. 1, т. 3 - 5, чл. 20, ал. 1, т. 3 - 5, както и всяка друга информация, свързана с обработването на данните, се предоставя след извършване на преценка за необходимостта от предоставянето с цел гарантиране на справедливо обработване на данните по отношение на физическото лице, за което се отнасят.

(2) Преценката по ал. 1 се извършва от администратора за всеки конкретен случай.

Чл. 22. (Изм. - ДВ, бр. 103 от 2005 г.) (1) Администраторът на лични данни е длъжен да осигури достъп на лицата по чл. 12, ал. 1 до водените от него регистри и да не препятства контрола върху процеса по обработване на лични данни.

(2) Администраторът на лични данни е длъжен да предостави на лицата по чл. 12, ал. 1 исканата информация в устен или писмен вид, или на други информационни носители.

(3) (Нова - ДВ, бр. 91 от 2006 г.) Наличието на търговска, производствена или друга защитена от закона тайна не може да бъде основание за отказ от съдействие от страна на администратора.

(4) (Предишна ал. 3 - ДВ, бр. 91 от 2006 г.) Когато информацията съдържа данни, представляващи класифицирана информация, се прилага редът за достъп по Закона за защита на класифицираната информация.

(5) (Предишна ал. 4 - ДВ, бр. 91 от 2006 г.) Всички лица, които обработват лични данни, са длъжни да оказват съдействие на комисията при упражняване на правомощията й.

Чл. 22а. (Нов - ДВ, бр. 91 от 2006 г.) (1) Администраторите по браншове и области на дейност могат да изготвят етични кодекси за поведение, отчитайки специфичните особености на своята дейност и правилата на морала и добрите нрави.

(2) Етичните кодекси могат да се представят на комисията за съгласуване преди приемането им от администраторите.