« Глава IV. Защита на личните данни

Чл. 23. (Изм. - ДВ, бр. 103 от 2005 г.) (1) (Доп. - ДВ, бр. 81 от 2011 г.) Администраторът на лични данни предприема необходимите технически и организационни мерки, за да защити данните от случайно или незаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване. Администраторът на лични данни определя срокове за провеждане на периодични прегледи относно необходимостта от обработване на данните, както и за заличаване на личните данни.
(2) Администраторът взема специални мерки за защита, когато обработването включва предаване на данните по електронен път.
(3) Мерките по ал. 1 и 2 са съобразени със съвременните технологични постижения и осигуряват ниво на защита, което съответства на рисковете, свързани с обработването, и на естеството на данните, които трябва да бъдат защитени.
(4) (Доп. - ДВ, бр. 81 от 2011 г.) Мерките и сроковете по ал. 1 и 2 се определят с инструкция на администратора на лични данни.
(5) Комисията определя с наредба минималното ниво на технически и организационни мерки, както и допустимия вид защита. Наредбата се обнародва в "Държавен вестник".
 
 
Чл. 23а. (Нов - ДВ, бр. 81 от 2011 г.) (1) При обработване на лични данни, получени по чл. 1, ал. 6, администраторът блокира съхраняваните данни, за да ограничи тяхното обработване в бъдеще, вместо да ги заличава, ако са налице достатъчно основания да се смята, че заличаването би могло да засегне законните интереси на физическото лице, за което се отнасят данните.
(2) Блокираните данни се обработват само за целта, която е препятствала заличаването им.
 
 
Чл. 23б. (Нов - ДВ, бр. 81 от 2011 г.) (1) Когато са получени данни по чл. 1, ал. 6, без да са поискани от администратора, той незабавно проверява дали тези данни са необходими за целта, за която са предоставени.
(2) Когато администраторът, предоставящ данни по чл. 1, ал. 6, установи, че те са неточни или са били предоставени незаконосъобразно, той незабавно уведомява получателя на данните за това.
(3) Администратор, получил данни по чл. 1, ал. 6, които са неточни или са получени незаконосъобразно, и е уведомен за това от предоставящия данните, е длъжен незабавно да предприеме действия за тяхното коригиране, заличаване или блокиране.
(4) Когато лицето, за което се отнасят данните по чл. 1, ал. 6, оспори точността на данните и не може да бъде проверена тяхната точност, администраторът може да ги отбележи като оспорени, като това не ограничава тяхното обработване в бъдеще.
 
 
Чл. 24. (1) (Изм. - ДВ, бр. 103 от 2005 г.) Администраторът може да обработва данните сам или чрез възлагане на обработващ данните. Когато е необходимо по организационни причини, обработването може да се възложи на повече от един обработващ данните, включително с цел разграничаване на конкретните им задължения.
(2) В случаите, когато обработването на данните не се извършва от администратора, той е длъжен да определи обработващ данните и да осигури достатъчни гаранции за тяхната защита.
(3) (Отм. - ДВ, бр. 103 от 2005 г.)
(4) (Изм. - ДВ, бр. 103 от 2005 г.) Отношенията между администратора и обработващия лични данни се уреждат с нормативен акт, писмен договор или с друг акт на администратора, в който се определя обемът на задълженията, възложени от администратора на обработващия данните.
(5) (Изм. - ДВ, бр. 103 от 2005 г.) За вреди, причинени на трети лица от действия или бездействия на обработващия данни, администраторът отговаря солидарно с него.
(6) (Изм. - ДВ, бр. 103 от 2005 г.) Обработващият лични данни, както и всяко лице, действащо под ръководството на администратора или на обработващия, което има достъп до лични данни, може да ги обработва само по указание на администратора, освен ако в закон е предвидено друго.
 
 
Чл. 25. (1) (Изм. - ДВ, бр. 103 от 2005 г., доп. - ДВ, бр. 81 от 2011 г.) След постигане целта на обработване на личните данни или преди преустановяване на обработването на личните данни администраторът е длъжен да ги:
1. унищожи, или
2. прехвърли на друг администратор, като предварително уведоми за това комисията, ако прехвърлянето е предвидено в закон и е налице идентичност на целите на обработването.
(2) (Доп. - ДВ, бр. 93 от 2004 г., изм. - ДВ, бр. 103 от 2005 г.) След постигане целта на обработване на личните данни администраторът ги съхранява само в предвидените в закон случаи.
(3) (Изм. - ДВ, бр. 103 от 2005 г.) В случаите, когато след постигане целта на обработване администраторът иска да съхрани обработените лични данни като анонимни данни за исторически, научни или статистически цели, той уведомява за това комисията.
(4) Комисията за защита на личните данни може да забрани съхраняването за целите по ал. 3, ако администраторът не е осигурил достатъчната защита на обработените данни като анонимни данни.
(5) (Изм. - ДВ, бр. 39 от 2011 г.) Решението на комисията по ал. 4 подлежи на обжалване пред съответния административен съд. Решението на административния съд не подлежи на обжалване. В случаите на отхвърляне на жалбата срещу решението на комисията администраторът на лични данни е длъжен да ги унищожи.

Избрано от VipDir