« Глава IV. Предоставяне на лични данни на трети лица
Чл. 26. (1) Всяко физическо лице има право на достъп до отнасящи се за него лични данни.
(2) (Изм. - ДВ, бр. 103 от 2005 г.) В случаите, когато при осъществяване правото на достъп на физическото лице могат да се разкрият лични данни и за трето лице, администраторът е длъжен да предостави на съответното физическо лице достъп до частта от тях, отнасяща се само за него.
Чл. 27. (Изм. - ДВ, бр. 103 от 2005 г., отм. - ДВ, бр. 91 от 2006 г.)
Чл. 28. (Изм. - ДВ, бр. 103 от 2005 г.) (1) При упражняване на правото си на достъп физическото лице има право по всяко време да поиска от администратора на лични данни:
1. потвърждение за това, дали отнасящи се до него данни се обработват, информация за целите на това обработване, за категориите данни и за получателите или категориите получатели, на които данните се разкриват;
2. съобщение до него в разбираема форма, съдържащо личните му данни, които се обработват, както и всяка налична информация за техния източник;
3. информация за логиката на всяко автоматизирано обработване на лични данни, отнасящи се до него, поне в случаите на автоматизирани решения по чл. 34б.
(2) (Изм. - ДВ, бр. 94 от 2010 г.) Администраторът на лични данни предоставя информацията по ал. 1 безплатно.
(3) При смърт на физическото лице правата му по ал. 1 и 2 се упражняват от неговите наследници.
Чл. 28а. (Нов - ДВ, бр. 103 от 2005 г.) Физическото лице има право по всяко време да поиска от администратора да:
1. заличи, коригира или блокира негови лични данни, обработването на които не отговаря на изискванията на този закон;
2. уведоми третите лица, на които са били разкрити личните му данни, за всяко заличаване, коригиране или блокиране, извършено в съответствие с т. 1, с изключение на случаите, когато това е невъзможно или е свързано с прекомерни усилия.
Чл. 29. (1) (Изм. - ДВ, бр. 103 от 2005 г.) Правото на достъп по чл. 26 и правата по чл. 28а се осъществяват с писмено заявление до администратора на лични данни.
(2) (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 85 от 2017 г.) Заявление може да бъде отправено и по електронен път подписано с усъвършенстван електронен подпис, усъвършенстван електронен подпис, основан на квалифицирано удостоверение за електронни подписи, или квалифициран електронен подпис, съгласно изискванията на Регламент (ЕС) № 910/2014 на Европейския парламент и на Съвета от 23 юли 2014 г. относно електронната идентификация и удостоверителните услуги при електронни трансакции на вътрешния пазар и за отмяна на Директива 1999/93/ЕО (OB, L 257/73 от 28 август 2014 г.) и на Закона за електронния документ и електронните удостоверителни услуги.
(3) (Изм. - ДВ, бр. 103 от 2005 г.) Заявлението по ал. 1 се отправя лично от физическото лице или от изрично упълномощено от него лице чрез нотариално заверено пълномощно.
(4) (Отм. - ДВ, бр. 103 от 2005 г.)
Чл. 30. (Изм. - ДВ, бр. 103 от 2005 г.) (1) Заявлението по чл. 29 съдържа:
1. име, адрес и други данни за идентифициране на съответното физическо лице;
2. описание на искането;
3. предпочитана форма за предоставяне на информацията по чл. 28, ал. 1;
4. подпис, дата на подаване на заявлението и адрес за кореспонденция.
(2) При подаване на заявление от упълномощено лице към заявлението се прилага и нотариално завереното пълномощно.
(3) Заявленията по чл. 29 се завеждат в регистър от администратора.
Чл. 31. (1) (Изм. - ДВ, бр. 103 от 2005 г.) Информацията по чл. 28, ал. 1 може да бъде предоставена под формата на устна или писмена справка или на преглед на данните от съответното физическо лице или от изрично упълномощено от него друго лице.
(2) Физическото лице може да поиска копие от обработваните лични данни на предпочитан носител или предоставяне по електронен път, освен в случаите, когато това е забранено от закон.
(3) (Изм. - ДВ, бр. 103 от 2005 г.) Администраторът на лични данни е длъжен да се съобрази с предпочитаната от заявителя форма на предоставяне на информацията по чл. 28, ал. 1.
Чл. 32. (Изм. - ДВ, бр. 103 от 2005 г.) (1) В случаите по чл. 28, ал. 1 администраторът на лични данни или изрично оправомощено от него лице разглежда заявлението по чл. 29 и се произнася в 14-дневен срок от неговото подаване.
(2) (Доп. - ДВ, бр. 81 от 2016 г., в сила от 14.10.2016 г.) Срокът по ал. 1 може да бъде удължен от администратора или от изрично оправомощено от него длъжностно лице до 30 дни в случаите по чл. 28, ал. 1, т. 1 и 2, когато обективно се изисква по-дълъг срок за събирането на всички искани данни и това сериозно затруднява дейността на администратора.
(3) (Доп. - ДВ, бр. 81 от 2016 г., в сила от 14.10.2016 г.) В 14-дневен срок администраторът или изрично оправомощено от него длъжностно лице взема решение за предоставянето на пълна или частична информация по чл. 28, ал. 1 на заявителя или мотивирано отказва предоставянето ѝ.
(4) (Доп. - ДВ, бр. 81 от 2016 г., в сила от 14.10.2016 г.) В случаите по чл. 28а, т. 1 администраторът или изрично оправомощено от него длъжностно лице взема решение и извършва съответното действие в 14-дневен срок от подаване на заявлението по чл. 29 или мотивирано отказва извършването му.
(5) (Доп. - ДВ, бр. 81 от 2016 г., в сила от 14.10.2016 г.) В случаите по чл. 28а, т. 2 администраторът на лични данни или изрично оправомощено от него длъжностно лице взема решение в 14-дневен срок и незабавно уведомява третите лица или мотивирано отказва да извърши уведомяването.
Чл. 33. (1) (Изм. - ДВ, бр. 103 от 2005 г., доп. - ДВ, бр. 81 от 2016 г., в сила от 14.10.2016 г.) Администраторът на лични данни или изрично оправомощено от него длъжностно лице писмено уведомява заявителя за решението или отказа си по чл. 32, ал. 3 - 5 в съответния срок.
(2) Уведомяването по ал. 1 е лично срещу подпис или по пощата с обратна разписка.
(3) (Нова - ДВ, бр. 103 от 2005 г.) Липсата на уведомление по ал. 1 се смята за отказ.
Чл. 34. (1) (Изм. - ДВ, бр. 103 от 2005 г.) Администраторът отказва достъп до лични данни, когато те не съществуват или предоставянето им е забранено със закон.
(2) (Отм. - ДВ, бр. 103 от 2005 г.)
(3) (Нова - ДВ, бр. 93 от 2004 г., изм. - ДВ, бр. 103 от 2005 г., изм. и доп. - ДВ, бр. 91 от 2006 г.) Администраторът отказва пълно или частично предоставяне на данни на лицето, за което те се отнасят, когато от това би възникнала опасност за отбраната или националната сигурност или за защитата на класифицираната информация и това е предвидено в специален закон.
(4) (Нова - ДВ, бр. 81 от 2011 г.) Администраторът отказва пълно или частично предоставяне на данни, получени по чл. 1, ал. 6, на лицето, за което те се отнасят, в случаите, когато:
1. това би попречило на предотвратяването или разкриването на престъпления, на провеждането на наказателно производство или на изпълнението на наказания;
2. това е необходимо за защита на:
а) националната сигурност;
б) обществения ред;
в) лицето, за което се отнасят данните.
(5) (Нова - ДВ, бр. 81 от 2011 г.) Администраторът, който е получил данни по чл. 1, ал. 6, не информира лицето, за което се отнасят данните, ако това е указано изрично от предоставящия данните.
Чл. 34а. (Нов - ДВ, бр. 103 от 2005 г.) (1) Физическото лице, за което се отнасят данните, има право да:
1. възрази пред администратора срещу обработването на личните му данни при наличие на законово основание за това; когато възражението е основателно, личните данни на съответното физическо лице не могат повече да бъдат обработвани;
2. възрази срещу обработването на личните му данни за целите на директния маркетинг;
3. бъде уведомено, преди личните му данни да бъдат разкрити за пръв път на трети лица или използвани от тяхно име за целите по т. 2, като му бъде предоставена възможност да възрази срещу такова разкриване или използване.
(2) Администраторът уведомява физическото лице за правата му по ал. 1, т. 2 и 3.
Чл. 34б. (Нов - ДВ, бр. 103 от 2005 г.) (1) Решението на администратора е недопустимо, когато:
1. има правни или други съществени последици за физическото лице, и
2. е основано единствено на автоматизирано обработване на лични данни, предназначено да оценява лични характеристики на физическото лице.
(2) Алинея 1 не се прилага, когато решението е:
1. взето по време на сключването или изпълнението на договор, при условие че подадената от съответното физическо лице молба за сключване или изпълнение на договора е била удовлетворена или че съществуват подходящи мерки, гарантиращи законните му интереси;
2. уредено в закон, предвиждащ и мерки за защита на законните интереси на лицето.
(3) Физическото лице има право да поиска от администратора да преразгледа решението, прието в нарушение на ал. 1.
+ Глава I. Общи положения. Чл. 1, Чл. 2 Какво са лични данни, Чл. 3 Администратор, Чл. 4 Обработване, Чл. 5 Забрани + II. Комисия за защита на личните данни + Глава III. Задължения на администратора на лични данни + Глава IV. Защита на личните данни + Глава IV. Предоставяне на лични данни на трети лица + Глава VII. Обжалване на действия на администратора на лични данни + Допълнителни разпоредби