Закон за защита на личните данни (предишна версия)
Глава четвърта: Защита на личните данни

Чл. 23. (1) Администраторът по чл. 3, ал. 1 е длъжен да предприеме необходимите технически и организационни мерки, за да защити данните от случайно или незаконно разрушаване, случайна загуба или промяна, незаконно разкриване или достъп, нерегламентирано изменение или разпространение, както и от всички други незаконни форми на обработване на лични данни.

(2) Администраторът е длъжен да предприеме специални мерки за защита, когато обработването предвижда предаване на данните по електронен път.

(3) Комисията за защита на личните данни определя в наредба минимално необходимите технически и организационни мерки, както и за допустимия вид защита.

Чл. 24. (1) Администраторът по чл. 3, ал. 1 може да обработва данните сам или чрез възлагане на обработващ данните. Когато е необходимо по организационни причини, обработването може да се възложи на повече от един обработващ данните, включително с цел разграничаване на конкретните им задължения.

(2) В случаите, когато обработването на данните не се извършва от администратора, той е длъжен да определи обработващ данните и да осигури достатъчни гаранции за тяхната защита.

(3) Обработващият данните се определя между лица, които имат професионални и технически възможности да гарантират пълно съобразяване с всички условия, свързани с обработването на данни, и тяхната защита.

(4) Администраторът по чл. 3, ал. 1 определя начините на обработване в писмена инструкция, която е задължителна за обработващия данните и за оператора на лични данни.

(5) Задълженията на обработващия данни и на оператора, включително отговорността при неизпълнението им, се определят в техните заповеди за назначаване или в писмени договори във връзка с инструкцията по ал. 4.

(6) Отговорността по ал. 5 не изключва носенето на друг вид отговорност в зависимост от извършените от това лице неправомерни действия или бездействия.

Чл. 25. (1) След приключването на обработването на лични данни администраторът по чл. 3, ал. 1 може:
1. да ги унищожи, или
2. да ги прехвърли с разрешение от Комисията за защита на личните данни на друг администратор, ако това е предвидено в закон и е налице идентичност на целите на обработването.

(2) След приключването на обработването на лични данни администраторът по чл. 3, ал. 1 ги съхранява само в предвидените в закон случаи.

(3) В случаите, когато след приключване на обработката администраторът по чл. 3, ал. 1 иска да съхрани обработените лични данни за ползване като анонимни данни за исторически, научни или статистически цели, той трябва да уведоми за това Комисията за защита на личните данни.

(4) Комисията за защита на личните данни може да забрани съхраняването за целите по ал. 3, ако администраторът не е осигурил достатъчната защита на обработените данни като анонимни данни.

(5) Решението на комисията по ал. 4 подлежи на обжалване пред Върховния административен съд. В случаите на отхвърляне от Върховния административен съд на жалбата срещу решението на комисията администраторът на лични данни е длъжен да ги унищожи.