Нормативни актове
-
Закон за защита на личните данни
- в сила от 01.01.2002г.
- Правилник за дейността на Комисията за
защита на личните данни и нейната администрация - в сила от 23.03.2007г.
- Наредба
№1 от 7 февруари 2007г. за
минималното ниво на технически и организационни мерки и допустимия вид защита
на личните данни
- Наредба
№40 от 7.01.2008г. за категориите
данни и реда, по който се съхраняват и предоставят от предприятията,
предоставящи обществени електронни съобщителни мрежи и/или услуги, за нуждите
на националната сигурност и за разкриване на престъпленията (Обн., Дв, бр. 9 от 29 януари 2008г.)
- Над
500 акта съдържат термина „лични данни”
--
6 кодекса
--
над 40 закона
--
по-съществени
--- Закон за гражданската регистрация
--- Закон за статистиката
Идентификационни номера
Чл. 1.
(6)
(Предишна ал.5, - ДВ, бр. 91 от 2006г.) Условията и редът за обработването на единен граждански номер и на други идентификационни номера с общо
приложение се уреждат в специални закони.
-
единен граждански номер
-
номер на български документ за
самоличност - чл.20, ал.2, т.4 ЗБДС.
Тези номера са
машиночитаеми според чл.20, ал.2.
n номер на лична карта
n номер на паспорт - чл.41 ЗБДС
n номер на военна карта за самоличност -
чл.41 ЗБДС
n номер на свидетелство за управление на мпс - чл.53
ЗБДС
n уникален идентификационен код на удостоверението уип – чл.24 ЗЕДЕП
n частен и публичен ключ на електронния подпис на физическо лице
n уникален идентификационен номер на лицата по чл.132 от ЗЗдравето
n единен идентификационен код по
чл.23 ЗТРегистър
n индивидуален осигурителен номер по чл 128, 210
КСО
ЗЗЛД - ЗГР
Чл.1. (6) (Предишна ал.5 - ДВ,
бр. 91 от 2006г) Условията и редът за
обработването на единен граждански номер
и на други идентификационни номера с
общо приложение се уреждат в специални закони.
ЗГР, Чл. 111. (1) Единната система за гражданска регистрация и
административно обслужване на населението предоставя данни на информационните
системи в страната и получава данни от тях.
(2)
Предоставяните от ЕСГРАОН данни за гражданската регистрация на лицата
имат задължителен характер за останалите информационни системи, извършващи
административно обслужване на населението.
(3) Предоставяните
от други информационни системи данни за лицата имат осведомителен характер
за ЕСГРАОН.
(4) Редът за предостяване и обмен на данни
между информационните системи се урежда със закон.
Чл.1. (6) (Предишна ал.5 - ДВ,
бр. 91 от 2006г) Условията и редът за
обработването на единен граждански номер
и на други идентификационни номера с
общо приложение се уреждат в специални закони.
ЗГР,
Чл. 106. (1) Данните от ЕСГРАОН се предоставят на:
1. българските и чуждестранни граждани, както и на
лицата без гражданство, за които се отнасят, а също така и на трети лица,
когато тези данни са от значение за възникване, съществуване, изменение или
прекратяване на техни законни права и интереси;
2. (доп. – Дв, бр. 96
от 2004г.) държавни органи и институции
съобразно законоустановените им правомощия;
3. (изм. -
Дв, бр. 96 от 2004г) български и
чуждестранни юридически лица - въз
основа на закон, акт на съдебната власт или разрешение на Комисията за защита
на личните данни.
(2) …
ДОПУСТИМОСТ НА ОБРАБОТВАНЕТО
Допустимост на
обработването
Чл.4. (Изм. – Дв, бр. 103 от 2005г.) (1)
Обработването на лични данни е допустимо само в случаите, когато е налице
поне едно от следните условия:
1. обработването е
необходимо за изпълнение на нормативно установено задължение на администратора
на лични данни;
2. физическото лице, за което се отнасят
данните, е дало изрично своето съгласие;
3. (изм. – ДВ, бр.91 от 2006г.) обработването е необходимо за изпълнение на
задължения по договор, по който физическото лице, за което се отнасят данните,
е страна, както и за действия, предхождащи сключването на договор и предприети
по негово искане;
4. обработването е
необходимо, за да се защитят животът и здравето на физическото лице, за което
се отнасят данните;
5. обработването е необходимо за изпълнението на
задача, която се осъществява в обществен интерес;
6. обработването е необходимо за упражняване на
правомощия, предоставени със закон на администратора или на трето лице, на
което се разкриват данните;
7. обработването е
необходимо за реализиране на законните интереси на администратора на лични
данни или на трето лице, на което се разкриват данните, освен когато пред тези
интереси преимущество имат интересите на физическото лице, за което се отнасят
данните.
Допустимост на обработването - Чл.4.,
ал.1, т.1
1. обработването е
необходимо за изпълнение на нормативно установено задължение на администратора
на лични данни;
Допустимост на обработването - Чл.4.,
ал.1, т.2
2. физическото лице, за което се отнасят
данните, е дало изрично своето съгласие;
Допустимост на обработването - Чл.4.,
ал.1, т.5
5. обработването е необходимо за изпълнението
на задача, която се осъществява в обществен интерес;
В конкретния случай двете съдебни инстанции
са обработвали лични данни на Т.К. във връзка с проведеното наказателно
производство, т.е. в изпълнение на задължения по закон. Не е извършено
нарушение на ЗЗЛД от страна на тези съдилища, тъй като данните са предоставени в изпълнение на задача, която се осъществява в
обществен интерес /чл.4, ал.1, т.5 от
ЗЗЛД/. - Р.
№2152 от 02.03.2007г., V отд. на
ВАС.
Допустимост на обработването - Чл.4.,
ал.1, т.6
6. обработването е необходимо за упражняване на
правомощия, предоставени със закон на администратора или на трето лице, на
което се разкриват данните;
Р.
№ 10967 от 09.11.2007г., ІІІ отд. на ВАС
Със жалба рег.
№ Ж-42/25.07.2007г. Р.П. е сезирал Комисията за защита на личните
данни за злоупотреба с негови лични данни в нарушение на ЗЗЛД, което нарушение
е извършено от адв.Г. В жалбата се твърди, че Г. е подала искова
молба за увеличение на издръжка на дъщеря му по искане на бившата му съпруга по
което дело не е бил посочен адреса му въпреки, че Г. е имала знание за
него. Твърди, че вследствие на това по
образуваното гражданско дело е призован чрез ДВ и му е бил назначен служебен
адвокат. Счита, че умишлено не е посочен точния му адрес за призоваване с което
е въведен съдът в заблуждение и му е попречено лично да се яви в съдебните заседания.
В обжалваното решение КЗЛД е приела, че не е налице незаконосъобразно
обработване на лични данни, което да доведе до накърняване личността или личния
живот на жалбоподателя. Обработването на данните в конкретния случай е станало
по повод на защита на права по съдебен ред поради което адв.Г. е събирала данни
за П. за нуждите на съдебното производство. Комисията е приела, че липсва и
незаконно разкриване на данни пред трети лица по смисъла на т.1 от §1
от ДР на ЗЗЛД, поради което е
приела жалбата за неоснователна.
Адв.
Г. в не е използвала лични данни на
жалбоподателя с цел злоупотреба с тях в нарушение на целта на закона така както
се твърди, а е използвала същите за воденото на съдебния процес по който тя е
била ангажирана от другата страна в качеството й на адвокат. Липсват доказателства Г. да е използвал
личните данни на жалбоподателя за други цели, освен като доказателство по
образуваното дело, с оглед на което не са основателни твърденията на
жалбоподателя за нарушение на ЗЗЛД.
Допустимост на обработването - Чл.4.,
ал.1, т.7
7. обработването е
необходимо за реализиране на законните интереси на администратора на лични
данни или на трето лице, на което се разкриват данните, освен когато пред тези
интереси преимущество имат интересите на физическото лице, за което се отнасят
данните.
Прието е, че определянето на издръжка е
извън компетентността на комисията, а относно издването на съдебно
удостоверение по висящо съдебно производство, съдът разполага с правомощията по
чл.148 от ГКП. На основание чл.4, ал.1, т.7 от ЗЗЛД е прието, че обработването е необходимо за реализиране на законни интереси на
трето лице, на което се разкриват данните, освен когато пред тези интереси
преимущество имат интересите на физическото лице, за което се отнасят данните.
В случая не се касае за огласяване на
лични данни в нарушение на разпоредбите на ЗЗЛД, а за обработване на лични данни за нужди на съдебната система въз
основа на разпоредбата на чл.148 от
ГКП. Данните не са използвани и
огласени публично с цел злоупотреба с тях в нарушение на целта на закона, а са
използвани за нуждите на правосъдието и за упражняване на законни права и
интереси на другата страна по образувано съдебно производство - Р. №
10610 от 01.11.2007г., ІІІ отд. на ВАС.
Допустимост на
обработването
Чл. 4.
(2)
Обработването на лични данни е допустимо и в случаите, когато то се
извършва единствено за целите на журналистическата дейност, литературното или
художественото изразяване, доколкото това обработване не нарушава правото на
личен живот на лицето, за което се отнасят данните. В тези случаи разпоредбите
на глава трета не се прилагат.
Глава трета. ЗАДЪЛЖЕНИЯ
НА АДМИНИСТРАТОРА НА
ЛИЧНИ ДАННИ - чл.
17-22а.
Допустимост на
обработването
Р. 7309
от 2008г. ІІІ отд.,
ВАС
… Книгите за вписвания са публични и всеки може
да получи достъп до информацията, съдържаща се в тях. Публичния характер на
тези данни при издаване на удостоверение е ограничен, съобразно чл.45 от
Правилника за вписвания /ПВ/. Правото на достъп до информацията,
съдържаща се в книги за вписванията е свободно, само когато се отнася до
конкретни лица, конкретни имоти и за конкретен период от време. Поисканата
информация от журналистката Шикерова за
период от четири години явно надхвърля установените изисквания в ПВ. Правилна е констатацията на Комисията, че
е налице нарушение на чл.2, ал.2, т.2 от ЗЗЛД.
ЗЗЛД -
приложно поле
Р. №
67 ОТ
24.01.2007г., КЗЛД -
Жалбоподателят И.С. сезира Комисията с жалба, в която твърди, че С.Д. с
действията си е нарушил чл.2, ал.2 и чл.4 от
ЗЗЛД, като недобросъвестно е
разкрил негови лични данни пред трети лица, предоставяйки им копие от трудовия
му договор и споразумение към него.
С. и Д. са служители във фирма „Б.Б.Е.А.”
ЕООД. С. твърди, че ответникът е
предоставил данните му на трети лица в период на негово отсъствие от работа по
мидицински причини.
Към жалбата няма приложени доказателства.
Не може да се прецени дали ответникът е действал в качеството си на длъжностно
лице и на какво основание.
Съгласно чл.3, ал.1 от ЗЗЛД, като администратор на лични данни в
случая се явява „Б.Б.Е.А.” ЕООД, чийто
управител е конституиран като страна по жалбата.
СПЕЦИАЛНИ
КАТЕГОРИИ ДАННИ
Специални категории данни
Чл. 5. (изм.- ДВ, бр. 103 от 2005г.) (1)
Забранено е обработването на лични данни, които:
1. разкриват расов или етнически произход;
2. разкриват политически, религиозни или
философски убеждения, членство в политически партии или организации, сдружения
с религиозни, философски, политически или синдикални цели;
3. се отнасят до здравето, сексуалния живот или
до човешкия геном.
(2)
Алинея 1 не се прилага, когато
1.
обработването е необходимо за целите на изпълнението на спицифични права
и задължения на администратора в областта на трудовото законодателство;
2.
(доп. – Дв, бр. 91 от 2006г.)
физическото лице, за което се отнасят тези данни, е дало изрично своето съгласие за
обработването им, освен ако в специален закон е предвидено друго;
3.
обработването е необходимо за защита на живота и здравето на физическото
лице, за което тези данни се отнасят, или на друго лице и състоянието на
физическото лице не му позволява да даде съгласие или съществуват законни
пречки за това;
4.
обработването се извършва от организация с нестопанска цел, включително
с политическа, философска, религиозна, или синдикална цел, в хода на
законосъобразната й дейност и с подходяща защита, при условие че:
а) обработването е свързано единствено с
членовете на тази организация или с лица, които поддържат редовни контакти с
нея във връзка с нейните цели;
б)
данните не се разкриват на трети лица без съгласието на физическото
лице, за което те се отнасят;
5.
обработването се отнася до данни, публично оповестени от физическото
лице, или то е необходимо за установяването, упражняването или защитата на
права по съдебен ред;
6. обработването е необходимо за целите на
превантивната медицина, медицинската диагностика, предоставянето или
управлението на здравни услуги, при условие че данните се обработват от
медицински специалист, задължен по закон да пази професионална тайна, или от
друго лице, обвързано с подобно задължение за опадване на тайна;
7. обработването са извършва единствено за
целите на журналистическата дейност, литературното или художественото
изразяване, доколкото то не нарушава правото на личен живот на лицето, за което
се отнасят тези данни.
Специални категории данни
Кандидат за народен представител представя
публично свои политически възледи.
Допустимо ли е запазване, систематизиране,
сравняване и показване на противоречия между негови изказвания?
Има ли място приложението на чл.5, ал.2,
т.5, предл. първо:
(2)
Алинея 1 не се прилага, когато:
5.
обработването се отнася до данни, публично оповестени от физическото
лице …
СУБЕКТИ
Комисия за защита на
личните данни
Чл. 6. (1) Комисията за защита на личните данни,
наричана по-нататък „комисията”, е независим държавен орган, който осъществява
защитата на лицата при обработването на техните лични данни и при
осъществяването на достъпа до тези данни, както и контрола по спазването на
този закон.
(2)
(Доп. – ДВ, бр. 91 от 2006г., в сила от 01.01.2007г.) Комисията е юридическо лице на бюджетна
издръжка със седалище София и е първостепенен разпоредител с бюджетни кредити.
Чл. 10. (1)
Комисията:
1.
анализира и осъществява цялостен контрол за спазването на
нормативните актове в областта на защитата на лични данни;
2.
(доп. – ДВ, бр. 103 от
2005г.) води регистър на администраторите на лични данни и на водените от тях регистри на лични
данни;
/виж схема от
интернет-лекцията на стр.40/
/виж схема от
интернет-лекцията на стр. 41 за „Брой
вписани в регистъра АЛД”/
3.
извършва проверки на администраторите на лични
данни във връзка с дейността си по т.1;
4.
изразява становища и дава разрешения
в предвидените в този закон случаи;
Примери:
-
Становище относно искане на
министъра на правосъдието по въпроси, касаещи приложението на ЗЗЛД;
-
Становище относно проект на
Споразумение за достъп до Националната база данни „Население” на Агенцията по вписванията.
5.
издава задължителни предписания до администраторите във връзка със
защитата на лични данни;
Комисия за защита на
личните данни
Чл. 10. (1)
Комисията:
1.
извършва проверки на администраторите на лични
данни във връзка с дейността си по т.1;
2.
изразява становища и дава разрешения
в предвидените в този закон случаи;
6.
след предварително уведомяване налага временна забрана за обработването на
лични данни, с които се нарушават нормите за защита на личните данни;
7.
(изм. – ДВ, бр.103 от 2005г.) разглежда жалби срещу актове и действия на администраторите, с които се
нарушават правата на физическите лица по този закон, както и жалби на трети лица във връзка с
правата им по този закон;
8.
(изм. – ДВ, бр.103 от 2005г.) участва в подготовката и задължително дава
становища по проекти на закони и подзаконови нормативни актове в областта на
защитата на личните данни;
9.
(изм. – ДВ, бр.103 от 2005г., в
сила от датата на влизане в сила на Договора за присъединяване на Република
България към Европейския съюз) осигурява прилагането на решенията на
Европейската комисия в областта на защитата на личните данни.
Чл. 10. (2) (изм. –
ДВ, бр.103 от 2005г.) Редът за водене на
регистъра по ал.1, т.2, за уведомяване на комисията, за даване на разрешения и изразяване
на становища, за разглеждане на жалбите, както и за издаване на задължителните
предписания и налагането на временни забрани за обработване на лични данни, се
определя в правилника по чл.9, ал.2.
(3)
(Доп. – ДВ, бр.103 от 2005г.,
изм. – ДВ, бр. 91 от 2006г.)
Комисията издава бюлетин, в който публикува информация за своята дейност
и за взетите решения. В бюлетина се публикува и отчетът по чл.7, ал.6.
(4) (Нова – ДВ, бр.103 от 2005г., изм. – ДВ, бр. 91 от 2006г.) Комисията съгласува по браншове и области на
дейност етичните кодекси за поведение на администраторите на лични данни по
чл.22а и при установяване на несъответствие с нормативната уредба дава
задължителни предписания.
Чл. 14. (изм. – ДВ, бр.103 от 2005г.) (1) В
регистъра по чл. 10, ал.1, т.2 се вписват данните по чл.18, ал.2.
(2) Вписването в регистъра по чл.10, ал.1,
т.2 се удостоверява с идентификационен номер.
(3)
Регистърът по ал.1 е публичен.