Глава III    ЗАЩИТА НА ПЕРСОНАЛНАТА ИНФОРМАЦИЯ

     Чл. 18. (1) Управление на персонална информация е допустимо само когато субектът на информация е дал изрично съгласие за това. Когато управлението на информацията е автоматизирано, съгласието трябва да бъде писмено. Автоматизираното управление на лична информация от особен интерес е забранено, освен когато субектът на информация писмено заяви съгласието си, придружено с обяснение за това.
    (2) Без съгласие на субекта на информация управление на персонална информация може да се осъществява само по силата на разпоредба на закон.
    (3) Лицата, чиято професионална дейност включва събиране и управление на персонална информация, са длъжни предварително да уведомяват субектите на такава информация за започването на такава дейност, без да е необходимо тяхното съгласие за това. За извършваната от тях дейност солидарна отговорност носи и възложителят.
    (4) Извън тези случаи управление на персонална информация не се допуска.
    (5) В случай на нарушение, засегнатият субект на персонална информация има право на съдебна защита.
    Чл. 19. Масивите с персонална информация се регистрират в Националната агенция за защита на информацията в 10-дневен срок преди започване на създаването на масива.
    Чл. 20. (1) Персоналната информация трябва да се получава лично от субекта на информация, освен в предвидените по този закон случаи.
    (2) Субектът на информацията трябва да бъде уведомен предварително относно целта, за която се събира информацията, както и за лицата, на които информацията ще бъде предоставяна.
    (3) Когато по силата на специален закон се предвижда събиране на лична информация, лицето, за което се отнася информацията, се уведомява за това. В случаите, когато се събира лична информация, за която се изисква разрешение на лицето, последното се уведомява, че може да откаже да даде исканата информация.
    (4) Когато информацията се обработва автоматизирано, субектът на информацията трябва да бъде уведомен и относно начина, по който ще се съхранява и обработва информацията, както и лицето, което ще отговаря за управлението на информацията, включително и неговия адрес.
    Чл. 21. (1) Персоналната информация се събира само за точно определени и допустими от закона цели и се управлява само в съответствие с тези цели.
    (2) Информацията се запазва във форма, която позволява идентифициране на субекта на информацията само за времето и за целта, за която е събрана.
    (3) Може да се съединяват масиви с персонална информация или да се прилагат нови технологии за обработката им само когато те са създадени със едни и същи цели, на еднакви основания и като не се деформира получената в новия масив информация.
    (4) Персоналната информация трябва да бъде точна и ясна и може да се актуализира само в съответствие с ал.3. След изтичане на срока за нейното управление тя може да се запази само ако се деперсонализира.
    Чл. 22. (1) Лицата, които работят в звената за обработка на информацията, нямат право да обработват или да използват персонална информация за други цели освен за тези в изпълнение на службата им.
    (2) При постъпване на длъжност лицата, които работят в звената за обработка на информация, поемат задължения да опазват тайната на информацията и 3 години след напускане на службата.
    Чл. 23. (1) Субектът на персонална информация има право:
    1.да знае къде и каква негова персонална информация се намира под управление;
    2.да иска и да получава сведения за управлението на тазии нформация;
    3.да иска уточняване, поправки в нея и заличаване;
    4.да знае кое е лицето, което отговаря за управлението на неговата персонална информация, както и неговия адрес;
    5.да оспори данните, които съдържа персоналната му информация.
    (2) Отказът на компетентните органи да бъдат удовлетворени правата по ал.1 се прави писмено и мотивирано. В този случай засегнатото лице има право на съдебна защита.
    (3) Когато държавен орган или организация е субект на информационни права по този закон, които са нарушени, той има право на съдебна защита.
    Чл. 24. Лицето, отговарящо за управлението на персонална информация, е длъжно да даде отговор на субекта на такава информация на всяко запитване относно:
    1.каква информация на субекта се намира в момента под управление;
    2.каква е целта, правното основание и продължителността на управление на информацията;
    3. кой е източникът на информация.
    Чл. 25. (1) Запитването може да бъде в писмена или устна форма. В срок от 30 дни от запитването лицето, отговарящо за управлението на персоналната информация, е длъжно да даде мотивиран писмен отговор. При отказ засегнатото лице има правата по чл. 23, ал. 2.
    (2) Отказът да се предостави исканата информация е правомерен само когато е основан на закон.
    Чл. 26. (1) Лицето, което отговаря за управлението на персоналната информация, е длъжно служебно да следи за всяка грешка и неточност в персоналната информация и своевременно да ги отстранява.
    (2) Правото на субекта на персонална информация за поправяне и заличаване на персонална информация се осъществява посредством подаване на писмено заявление до лицето, което управлява персоналната му информация.
    (3) До решаване на спора оспорената персонална информация не се ползва.
    Чл. 27. (1) Лицето, което отговаря за управлението на персоналната информация, е длъжно да възстанови на субекта на персоналната информация вредите, които са причинени от неспазване на техническите и организационни правила за управление на информацията.
    (2) Когато лицето, което отговаря за управлението на персонална информация, го възложи на друг орган или лице, наказателна или имуществена отговорност за неспазването на този закон носи и възложителят.
    (3) Когато персоналната информация се предава на трети лица, отговорността за вреди се носи от този, който предава информацията. Ако информацията се събира по искане на третото лице, отговорността за вреди се носи от него.