« Глава III. Задължения на администратора на лични данни
Чл. 17. (Изм. - ДВ, бр. 103 от 2005 г., изм. - ДВ, бр. 91 от 2006 г.) (1) Администраторът на лични данни е длъжен да подаде заявление за регистрация преди започване обработването на лични данни.
(2) В 14-дневен срок от подаване на заявлението комисията вписва администратора на лични данни в регистъра по чл. 10, ал. 1, т. 2.
(3) Администраторът може да започне обработване на данните след подаване на заявлението за регистрация.
(4) (Нова - ДВ, бр. 81 от 2011 г.) Преди преустановяване на обработването на лични данни администраторът подава заявление за заличаването му от регистъра по чл. 10, ал. 1, т. 2.
(5) (Нова - ДВ, бр. 81 от 2011 г.) Със заявлението по ал. 4 администраторът е длъжен да предостави на комисията доказателства за изпълнение на задълженията си по чл. 25, ал. 1.
(6) (Нова - ДВ, бр. 81 от 2011 г.) Условията и редът за заличаването на администратора от регистъра по чл. 10, ал. 1, т. 2 се уреждат с правилника по чл. 9, ал. 2.
Чл. 17а. (Нов - ДВ, бр. 91 от 2006 г.) (1) Не се подава заявление за регистрация, когато администраторът:
1. поддържа регистър, който по силата на нормативен акт е предназначен да осигури обществена информация и:
а) достъпът до него е свободен, или
б) достъп до него има лице, което има правен интерес;
2. обработва данни в случаите по чл. 5, ал. 2, т. 4.
(2) Комисията може да освободи от задължение за регистрация и администратори, които обработват данни извън тези по ал. 1, когато обработването не застрашава правата и законните интереси на физическите лица, чиито данни се обработват.
(3) Условията и редът за освобождаване по ал. 2 се уреждат с правилника по чл. 9, ал. 2, като комисията определя критериите в съответствие със:
1. целите на обработване на личните данни;
2. личните данни или категориите лични данни, подлежащи на обработване;
3. категориите физически лица, чиито данни се обработват;
4. получателите или категориите получатели, пред които личните данни могат да бъдат разкрити;
5. срока на съхраняване на данните.
Чл. 17б. (Нов - ДВ, бр. 91 от 2006 г.) (1) Когато администраторът е заявил обработване на данни по чл. 5, ал. 1 или на данни, чието обработване съгласно решение на комисията застрашава правата и законните интереси на физическите лица, комисията задължително извършва предварителна проверка преди вписване в регистъра по чл. 10, ал. 1, т. 2.
(2) Предварителната проверка се извършва в двумесечен срок от подаване на заявление за регистрация по чл. 17, ал. 1.
(3) След приключване на предварителната проверка комисията:
1. вписва администратора на лични данни в регистъра;
2. дава задължителни предписания относно условията за обработване на лични данни и воденето на регистър на лични данни;
3. отказва вписването.
(4) Администраторът не може да започне обработване на данните, преди да е вписан в регистъра по чл. 10, ал. 1, т. 2 или преди да изпълни задължителните предписания на комисията.
(5) Непроизнасянето в срока по ал. 2 се смята за мълчалив отказ за вписване на администратора в регистъра.
(6) Диспозитивът на решението по ал. 1 се обнародва в "Държавен вестник".
Чл. 18. (Изм. - ДВ, бр. 103 от 2005 г.) (1) (Изм. - ДВ, бр. 91 от 2006 г.) Администраторът или негов представител подава заявление по чл. 17, ал. 1 и документи по образец, утвърден от комисията.
(2) Заявлението съдържа:
1. данните, идентифициращи администратора на лични данни и неговия представител, ако има такъв;
2. целите на обработване на личните данни;
3. категориите физически лица, чиито данни се обработват, и категориите лични данни, отнасящи се до тях;
4. получателите или категориите получатели, на които личните данни могат да бъдат разкрити;
5. предлаганото предоставяне на данни в други държави;
6. общото описание на мерките, предприети съгласно чл. 23, позволяващо изготвянето на предварителна оценка на тяхната целесъобразност.
(3) Администраторът уведомява комисията за всяка промяна на данните по ал. 2 преди нейното извършване. В случаите, когато такава промяна е предвидена в закон, уведомяването се извършва в 7-дневен срок от влизането в сила на съответния закон.
(4) В случаите, когато администраторът не е вписан в регистъра по чл. 10, ал. 1, т. 2, той е длъжен да предостави данните по ал. 2 на всяко лице при поискване.
(5) (Нова - ДВ, бр. 81 от 2011 г.) Администраторът подава заявлението по чл. 17, ал. 1 на хартиен носител или по електронен път. В случаите, когато заявлението се подава по електронен път, се прилага Законът за електронното управление.
Чл. 19. (Доп. - ДВ, бр. 93 от 2004 г., изм. - ДВ, бр. 103 от 2005 г.) (1) (Изм. - ДВ, бр. 91 от 2006 г.) В случаите, когато личните данни се събират от лицето, за което се отнасят, администраторът или негов представител му предоставя:
1. данните, които идентифицират администратора и неговия представител;
2. целите на обработването на личните данни;
3. получателите или категориите получатели, на които могат да бъдат разкрити данните;
4. данните за задължителния или доброволния характер на предоставяне на данните и последиците от отказ за предоставянето им;
5. информация за правото на достъп и правото на коригиране на събраните данни.
(2) Данните по ал. 1 не се предоставят, когато физическото лице, за което се отнасят, вече разполага с тях или в закон съществува изрична забрана за предоставянето им.
Чл. 20. (Изм. - ДВ, бр. 103 от 2005 г.) (1) (Изм. - ДВ, бр. 91 от 2006 г.) Когато личните данни не са получени от физическото лице, за което те се отнасят, администраторът или негов представител му предоставя:
1. данните, които идентифицират администратора и неговия представител;
2. целите на обработването на личните данни;
3. категориите лични данни, отнасящи се до съответното физическо лице;
4. получателите или категориите получатели, на които могат да бъдат разкрити данните;
5. информация за правото на достъп и правото на коригиране на събраните данни.
(2) Данните по ал. 1 се предоставят на лицето, за което се отнасят, към момента на вписването им в съответния регистър или, ако се предвижда разкриване на данните на трето лице - не по-късно от момента на разкриването им за пръв път.
(3) Алинея 1 не се прилага, когато:
1. обработването е за статистически, исторически или научни цели и предоставянето на данните по ал. 1 е невъзможно или изисква прекомерни усилия;
2. вписването или разкриването на данни са изрично предвидени в закон;
3. физическото лице, за което се отнасят данните, вече разполага с информацията по ал. 1;
4. е налице изрична забрана за това в закон.
Чл. 21. (Изм. - ДВ, бр. 103 от 2005 г.) (1) (Изм. - ДВ, бр. 91 от 2006 г.) Информацията по чл. 19, ал. 1, т. 3 - 5, чл. 20, ал. 1, т. 3 - 5, както и всяка друга информация, свързана с обработването на данните, се предоставя след извършване на преценка за необходимостта от предоставянето с цел гарантиране на справедливо обработване на данните по отношение на физическото лице, за което се отнасят.
(2) Преценката по ал. 1 се извършва от администратора за всеки конкретен случай.
Чл. 22. (Изм. - ДВ, бр. 103 от 2005 г.) (1) Администраторът на лични данни е длъжен да осигури достъп на лицата по чл. 12, ал. 1 до водените от него регистри и да не препятства контрола върху процеса по обработване на лични данни.
(2) Администраторът на лични данни е длъжен да предостави на лицата по чл. 12, ал. 1 исканата информация в устен или писмен вид, или на други информационни носители.
(3) (Нова - ДВ, бр. 91 от 2006 г.) Наличието на търговска, производствена или друга защитена от закона тайна не може да бъде основание за отказ от съдействие от страна на администратора.
(4) (Предишна ал. 3 - ДВ, бр. 91 от 2006 г.) Когато информацията съдържа данни, представляващи класифицирана информация, се прилага редът за достъп по Закона за защита на класифицираната информация.
(5) (Предишна ал. 4 - ДВ, бр. 91 от 2006 г.) Всички лица, които обработват лични данни, са длъжни да оказват съдействие на комисията при упражняване на правомощията ѝ.
Чл. 22а. (Нов - ДВ, бр. 91 от 2006 г.) (1) Администраторите по браншове и области на дейност могат да изготвят етични кодекси за поведение, отчитайки специфичните особености на своята дейност и правилата на морала и добрите нрави.
(2) Етичните кодекси могат да се представят на комисията за съгласуване преди приемането им от администраторите.
+ Глава I. Общи положения. Чл. 1, Чл. 2 Какво са лични данни, Чл. 3 Администратор, Чл. 4 Обработване, Чл. 5 Забрани + II. Комисия за защита на личните данни + Глава III. Задължения на администратора на лични данни + Глава IV. Защита на личните данни + Глава IV. Предоставяне на лични данни на трети лица + Глава VII. Обжалване на действия на администратора на лични данни + Допълнителни разпоредби