Чл. 26.  (1) Всяко физическо лице има право на достъп до отнасящи се за него лични данни.
 (2) В случаите, когато при осъществяване правото на достъп на физическото лице могат да се разкрият лични данни и за трето лице, администраторът е длъжен да предостави на съответното физическо лице достъп до частта от тях, отнасяща се само за него.

Изменен: Чл. 27. Упражняването на правото на достъп до лични данни не може да накърнява правата на друго физическо лице или да е насочено срещу националната сигурност и обществения ред.

Изменен: Чл. 28. (1) При упражняване на правото си на достъп физическото лице има право по всяко време да поиска от администратора на лични данни:
1. потвърждение за това, дали отнасящи се до него данни се обработват, информация за целите на това обработване, за категориите данни и за получателите или категориите получатели, на които данните се разкриват;
2. съобщение до него в разбираема форма, съдържащо личните му данни, които се обработват, както и всяка налична информация за техния източник;
3. информация за логиката на всяко автоматизирано обработване на лични данни, отнасящи се до него, поне в случаите на автоматизирани решения по чл. 34б.
(2) Физическото лице може да упражни безплатно своето право да получи информация по ал. 1 веднъж на 12 месеца.
(3) При смърт на физическото лице правата му по ал. 1 и 2 се упражняват от неговите наследници.

Нов: Чл. 28а. Физическото лице има право по всяко време да поиска от администратора да:
1. заличи, коригира или блокира негови лични данни, обработването на които не отговаря на изискванията на този закон;
2. уведоми третите лица, на които са били разкрити личните му данни, за всяко заличаване, коригиране или блокиране, извършено в съответствие с т. 1, с изключение на случаите, когато това е невъзможно или е свързано с прекомерни усилия.

Чл. 29. Изменена: (1) Правото на достъп по чл. 26 и правата по чл. 28а се осъществяват с писмено заявление до администратора на лични данни.
Изменена: (2) Заявление може да бъде отправено и по електронен път по реда на Закона за електронния документ и електронния подпис.
Изменена: (3) Заявлението по ал. 1 се отправя лично от физическото лице или от изрично упълномощено от него лице чрез нотариално заверено пълномощно.
 (4) отменя се 

Изменен: Чл. 30. (1) Заявлението по чл. 29 съдържа:
1. име, адрес и други данни за идентифициране на съответното физическо лице;
2. описание на искането;
3. предпочитана форма за предоставяне на информацията по чл. 28, ал. 1;
4. подпис, дата на подаване на заявлението и адрес за кореспонденция.
(2) При подаване на заявление от упълномощено лице към заявлението се прилага и нотариално завереното пълномощно.
(3) Заявленията по чл. 29 се завеждат в регистър от администратора.

 Чл. 31.  Изменена: (1) Информацията по чл. 28, ал. 1 може да бъде предоставена под формата на устна или писмена справка или на преглед на данните от съответното физическо лице или от изрично упълномощено от него друго лице.
 (2) Физическото лице може да поиска копие от обработваните лични данни на предпочитан носител или предоставяне по електронен път, освен в случаите, когато това е забранено от закон.
  Изменена: (3) Администраторът на лични данни е длъжен да се съобрази с предпочитаната от заявителя форма на предоставяне на информацията по чл. 28, ал. 1.

Изменен: Чл. 32. (1) В случаите по чл. 28, ал. 1 администраторът на лични данни или изрично оправомощено от него лице разглежда заявлението по чл. 29 и се произнася в 14-дневен срок от неговото подаване.
(2) Срокът по ал. 1 може да бъде удължен от администратора до 30 дни в случаите по чл. 28, ал. 1, т. 1 и 2, когато обективно се изисква по-дълъг срок за събирането на всички искани данни и това сериозно затруднява дейността на администратора.
(3) В 14-дневен срок администраторът взема решение за предоставянето на пълна или частична информация по чл. 28, ал. 1 на заявителя или мотивирано отказва предоставянето й.
(4) В случаите по чл. 28а, т. 1 администраторът взема решение и извършва съответното действие в 14-дневен срок от подаване на заявлението по чл. 29 или мотивирано отказва извършването му.
(5) В случаите по чл. 28а, т. 2 администраторът на лични данни взема решение в 14-дневен срок и незабавно уведомява третите лица или мотивирано отказва да извърши уведомяването.

 Чл. 33.  Изменена: (1) Администраторът на лични данни писмено уведомява заявителя за решението или отказа си по чл. 32, ал. 3 - 5 в съответния срок.
 (2) Уведомяването по ал. 1 е лично срещу подпис или по пощата с обратна разписка.
Нова: (3) Липсата на уведомление по ал. 1 се смята за отказ.

Чл. 34.  (1) Администраторът отказва достъп до лични данни, когато те не съществуват или предоставянето им е забранено със закон.
 (2) отменя се
Нова: (3) Администраторът отказва пълно или частично предоставяне на данни на лицето, за което те се отнасят, когато от това би възникнала опасност за отбраната или националната сигурност или за защитата на класифицираната информация. Отказът не се мотивира, като се посочва само правното основание.

Нов: Чл. 34а. (1) Физическото лице, за което се отнасят данните, има право да:
1. възрази пред администратора срещу обработването на личните му данни при наличие на законово основание за това; когато възражението е основателно, личните данни на съответното физическо лице не могат повече да бъдат обработвани;
2. възрази срещу обработването на личните му данни за целите на директния маркетинг;
3. бъде уведомено, преди личните му данни да бъдат разкрити за пръв път на трети лица или използвани от тяхно име за целите по т. 2, като му бъде предоставена възможност да възрази срещу такова разкриване или използване.
(2) Администраторът уведомява физическото лице за правата му по ал. 1, т. 2 и 3.

Нов: Чл. 34б. (1) Решението на администратора е недопустимо, когато:
1. има правни или други съществени последици за физическото лице, и
2. е основано единствено на автоматизирано обработване на лични данни, предназначено да оценява лични характеристики на физическото лице.
(2) Алинея 1 не се прилага, когато решението е:
1. взето по време на сключването или изпълнението на договор, при условие че подадената от съответното физическо лице молба за сключване или изпълнение на договора е била удовлетворена или че съществуват подходящи мерки, гарантиращи законните му интереси;
2. уредено в закон, предвиждащ и мерки за защита на законните интереси на лицето.
(3) Физическото лице има право да поиска от администратора да преразгледа решението, прието в нарушение на ал. 1.