Accueil » Cadre juridique » Loi sur la protection des données personnelles

Loi sur la protection des données personnelles

 

 

 
Loi sur la protection des données à caractère personnel

Entrée en vigueur le 1.01.2002
Promulguée au Journal officiel n° 1 du 4 janvier 2002, amendée Journal officiel n° 70 du 10 août 2004, amendée Journal officiel n° 93 du 19 octobre 2004, amendée Journal officiel n° 43 du 20 mai 2005, amendée Journal officiel n° 103 du 23 décembre 2005, amendée Journal officiel n° 30 du 11 avril 2006, amendée Journal officiel n° 91 du 10 novembre 2006, amendée Journal officiel n° 57 du 13 juillet 2007, amendée Journal officiel n° 42 du 5 juin 2009, amendée Journal officiel n° 94 du 30 novembre 2010, amendée Journal officiel n° 97 du 10 décembre 2010, amendée Journal officiel n° 39 du 20 mai 2011, amendée Journal officiel n° 81 du 18 octobre 2011, amendée Journal officiel n° 105 du 29 décembre 2011, amendée Journal officiel n° 15 du 15 février 2013, amendée Journal officiel n° 81 du 14 octobre 2016, amendée Journal officiel n° 85 du 24 octobre 2017, amendée Journal officiel n° 103 du 28 décembre 2017, amendée Journal officiel n° 7 du 19 janvier 2018, amendée Journal officiel n° 17 du 26 février 2019, amendée

 

Chapitre Premier
GÉNÉRALITÉS
Art. 1. (Amendé - Journal officiel, n° 103 de 2005, amendée - Journal officiel, n° 17 de 2019) (1) Cette loi régit les relations publiques liées à la protection des droits des personnes physiques relatifs au traitement de leurs données à caractère personnel, dans la mesure où ces derniers ne sont pas régis par le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l`égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119/1, 4.5.2016 ), dénommé ci-après « Règlement (UE) 2016/679 ».
(2) Cette loi définit les règles relatives à la protection des personnes physiques à l`égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d`enquêtes et de poursuites en la matière ou d`exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.
(3) La loi vise à assurer une protection aux personnes physiques à l`égard du traitement des données à caractère personnel en conformité avec Règlement (UE) 2016/679, ainsi qu’à l`égard du traitement des données à caractère personnel par les autorités compétentes aux fins visées à l’al. 2.
(4) Cette loi régit également :
1. le statut de la Commission de la protection des données à caractère personnel en sa qualité d’autorité de contrôle chargéе de protéger les libertés et droits fondamentaux des personnes physiques à l`égard du traitement des données à caractère personnel et de faciliter leur libre circulation dans l`ensemble de l`Union européenne ;
2. les pouvoirs de l’Inspection auprès du Conseil supérieur de la magistrature(CSM) relatifs au contrôle à l’égard du traitement des données à caractère personnel dans les cas énoncés à l’art. 17 ;
3. les voies de recours ;
4. l’accréditation et la certification dans le domaine de la protection des données à caractère personnel ;
5. les cas particuliers de traitement des données à caractère personnel.
(5) Cette loi ne s’applique pas au traitement des données à caractère personnel aux fins de la défense du pays et de la sécurité nationale dans la mesure où une loi spéciale n’en dispose pas autrement.
(6) Cette loi ne s’applique pas au traitement des données à caractère personnel des personnes décédées, sous réserve des dispositions de l’art. 25 septies.
(7) Dans le cadre du traitement des données à caractère personnel conformément à l’art. 2 du Règlement (UE) 2016/679 les Etats signataires de l’Accord de l’Espace économique européen et la Confédération suisse sont égaux aux Etats membres de l’Union européenne. Tous les autres Etats sont des pays tiers.
(8) Dans le cadre du traitement des données à caractère personnel aux fins de l’art. 42, al. 1 les Etats participant à l’exécution, à l’application et au développement des acquis du droit de Schengen sont égaux aux Etats membres de l’Union européenne. Tous les autres Etats sont des pays tiers.
 
Art. 2. (Amendé - Journal officiel, n° 70 de 2004, entré en vigueur le 01.01.2005, amendé - Journal officiel, n° 103 de 2005, abrogé- Journal officiel, n° 17 de 2019)
Art. 3. (Abrogé - Journal officiel, n° 17 de 2019)
Art. 4. (Amendé - Journal officiel, n° 103 de 2005, abrogé- Journal officiel, n° 17 de 2019)
Art. 5. (Amendé - Journal officiel, n° 103 de 2005, abrogé- Journal officiel, n° 17 de 2019)

Chapitre deux
COMMISSION DE LA PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL
Art. 6. (1) (Amendé - Journal officiel, n° 17 de 2019) La Commission de la protection des données à caractère personnel, dénommée ci-après « La Commission », est une autorité indépendante permanente de contrôle qui assure la protection des personnes à l’égard du traitement de leurs données à caractère personnel et de l`accès à celles-ci, ainsi que le contrôle du respect du Règlement (UE) 2016/679 et de cette loi.
(2) (nouvel alinéa - Journal officiel, n° 94 de 2010) La Commission contribue à la conduite de la politique publique dans le domaine de la protection des données à caractère personnel.
(3) (amendé - Journal officiel, n° 91 de 2006, entré en vigueur le 01.01.2007, ancien alinéa 2 - Journal officiel n° 94 de 2010, amendée - Journal officiel, n° 15 de 2013, entré en vigueur le 01.01.2014, amendé - Journal officiel, n° 17 de 2019) La Commission est une personne morale financée par le budget de l’Etat dont le siège est à Sofia et le président est ordonnateur principal de crédits budgétaires.
 
Art. 7. (1) La Commission est un collège comprenant un président et 4 membres.
(2) (Amendé - Journal officiel, n° 91 de 2006, amendé - Journal officiel, n° 17 de 2019) Les membres de la Commission et son président sont élus par l’Assemblée nationale sur proposition du Conseil des ministres pour un mandat de 5 ans et peuvent être réélus une fois. Le Président et les membres de la Commission continuent de satisfaire à leurs obligations après l’arrivée à échéance de leur mandat jusqu’à l’élection des nouveaux président et membres.
(3) Le président et les membres de la Commission effectuent leur activité conformément à contrat de travail.
(4) (nouvel alinéa - Journal officiel, n° 91 de 2006) Les membres de la Commission touchent une rémunération mensuelle de base égale à 2,5 salaires moyens des employés selon une relation de travail ou une relation de service dans le secteur public conformément à des données de l’Institut national de la statistique. La rémunération mensuelle de base est ajustéе chaque trimestre en fonction du salaire mensuel moyen pour le dernier mois du précédent trimestre.
(5) (nouvel alinéa - Journal officiel, n° 91 de 2006) Le président de la Commission touche un salaire mensuel de 30% supérieur au salaire mensuel de base conformément à l’art. 4.
(6) (Amendé - Journal officiel, n° 103 de 2005, ancien alinéa 4 - Journal officiel n° 91 de 2006, amendée - Journal officiel, n° 17 de 2019) D’ici le 31 mars, la Commission rend un rapport d’activité annuel devant l’Assemblée nationale.
 
Art. 8. (1) Sont éligibles à un siège au sein de la Commission des citoyens bulgares qui :
1. sont diplômés d’études supérieures d’informatique, de droit ou titulaires d’un master de technologies informatiques ;
2. ont une expérience d’au moins 10 ans dans le domaine de spécialité ;
3. (amendé - Journal officiel, n° 103 de 2005) n’ont pas été condamnés à une peine de privation de liberté pour la commission des infractions préméditées de droit commun, indépendamment de l’octroi d’une réhabilitation ;
(2) Ne sont pas éligibles à un siège au sein de la Commission :
1. (amendé - Journal officiel, n° 103 de 2005) des entreprises unipersonnelles, des gérants/fondés de pouvoir ou des membres d’autorité de direction ou de contrôle de sociétés commerciales, de mutuelles ou des responsables du traitement de données à caractère personnel au sens de cette loi ;
2. des personnes qui occupent un autre poste de manière lucrative à l’exception d’activités scientifiques et d’enseignement ;
3. (nouvelle disposition - Journal officiel, n° 42 de 2009) des personnes mariées ou des concubins, des parents en ligne directe, des collatéraux - jusqu’au quatrième degré compris, ou des personnes en lien d’alliance – jusqu’au deuxième degré compris, avec un autre membre de la commission.
(3) Est élu président de la Commission un juriste habilité (Ndt. Doté de la capacité juridique) qui satisfait aux exigences prévues par les alinéas 1 et 2.
(4) Le mandat du président ou d’un membre de la Commission prend fin avant terme du fait :
1. de son décès ou de sa mise sous le régime de curatelle ;
2. d’une décision de l’Assemblée nationale lorsqu’ :
a) il a déposé une demande de démission ;
b) il a commis une violation grave de cette loi ;
c) il a commis une infraction préméditée de droit commun faisant l’objet d’une condamnation prononcée par un jugement définitif ;
d) il lui est impossible d’exercer ses obligations pendant plus de six mois ;
e) (nouvelle disposition - Journal officiel, n° 42 de 2009, amendée - Journal officiel, n° 97 de 2010, entré en vigueur le 10.12.2010, amendé - Journal officiel, n° 7 de 2018) il existe un acte définitif établissant un conflit d’intérêts en vertu de la Loi sur la répression de la corruption et la confiscation des biens acquis de façon illégale.
(5) (modifié et complété - Journal officiel, n° 103 de 2005) Dans les cas prévus par l’alinéa 4, le Conseil des ministres propose à l’Assemblée nationale d’élire un nouveau membre pour terminer le mandat initial du membre afférent de la Commission.
(6) Le temps pendant lequel la personne a occupé le poste de président ou de membre de la Commission est pris en compte au titre de l’ancienneté de service conformément à la loi sur la fonction publique.
(7) (nouvel alinéa - Journal officiel, n° 103 de 2017, entré en vigueur le 01.01.2018) Les circonstances visées à l’alinéa 1, p. 3 sont établies d’office par l’autorité qui soumet la proposition.
 
Art. 9. (1) (Amendé - Journal officiel, n° 17 de 2019) La Commission est assistée par une administration.
(2) (Amendé - Journal officiel, n° 17 de 2019) La Commission régit son activité, celle de son administration et les modalités d’examen des procédures auprès d’elle dans un règlement qu’elle promulgue au Journal officiel.
(3) La Commission décide à la majorité de l’ensemble de ses membres.
(4) Les réunions de la Commission sont publiques. Cependant, la commission se réserve le droit de décider de siéger à huis clos.
 
Art. 10. (1) (nouvel alinéa - Journal officiel, n° 17 de 2019) La Commission assume les missions visées à l’art. 57 du Règlement (UE) 2016/679.
(2) (Annule et remplace l’ancien alinéa 1, amendé - Journal officiel, n° 17 de 2019) En dehors des missions visées à l’alinéa 1, la Commission :
1. analyse, effectue un contrôle intégral et assure le respect du Règlement (UE) 2016/679, de cette loi et des actes normatifs dans le domaine de la protection des données à caractère personnel, à l’exception des cas visés à l’art. 17 ;
2. édicte des dispositions réglementaires dans le domaine de la protection des données à caractère personnel ;
3. garantit l’application des décisions de la Commission européenne dans le domaine de la protection des données à caractère personnel et l’exécution des décisions obligatoires du Comité européen de la protection des données en vertu de l’art. 65 du Règlement (UE) 2016/679 ;
4. participe à la coopération internationale avec d’autres autorités de protection des données et des organisations dans le domaine de la protection des données personnelles ;
5. participe aux négociations et à la conclusion d’accords bilatéraux et multilatéraux relevant de son domaine de compétence ;
6. organise, coordonne et met en œuvre des formations dans le domaine de la protection des données à caractère personnel ;
7. édicte des dispositions administratives générales et réglementaires relatives à ses pouvoirs, ainsi que dans les cas prévus par la loi.
(3) (amendé - Journal officiel, n° 103 de 2005, amendée - Journal officiel, n° 91 de 2006) Dans un bulletin, la Commission communique des informations relatives à ses activités et à ses décisions. Elle y publie également le rapport en vertu de l’art. 7, al. 6.
(4) (nouvel alinéa - Journal officiel, n° 103 de 2005, amendée - Journal officiel, n° 91 de 2006, abrogé- Journal officiel, n° 17 de 2019)
 
Art. 10 bis. (Nouvel alinéa - Journal officiel, n° 17 de 2019) La Commission exerce les pouvoirs visés à l’art. 58 du Règlement (UE) 2016/679.
(2) En outre, la Commission dispose des pouvoirs suivants :
1. le pouvoir de saisir une juridiction de la violation du Règlement (UE) 2016/679 ;
2. donne des consignes, définit des orientations, des recommandations et des meilleures pratiques liées à la protection des données à caractère personnel.
 
Art. 10 ter. (Nouvel alinéa - Journal officiel, n° 17 de 2019) Ce n’est que par l’intermédiaire d’une loi que d’autres missions et pouvoirs peuvent être attribués à la Commission.
 
Art. 10 quater. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) La Commission participe au mécanisme de contrôle de la cohérence au sens de l’art. 63 du Règlement (UE) 2016/679 et coopère avec l`autorité de contrôle chef de file ou avec les autorités de contrôle concernées des Etats membres de l’Union européenne, y compris en échangeant des informations, en fournissant ou en demandant une assistance mutuelle ou en participant à des opérations conjointes conformément au Règlement (UE) 2016/679.
(2) Les formes de participation au mécanisme de contrôle de la cohérence, à la fourniture ou à la demande d’assistance mutuelle, ainsi qu’aux procédures selon lesquelles ils s’effectuent, sont définies dans le règlement visé à l’art. 9, al. 2.
 
Art. 10 quinquies. (Nouvel alinéa - Journal officiel, n° 17 de 2019 г.) Exerçant ses missions et pouvoirs à l’égard de responsables du traitement ou de sous‑traitants qui sont des microentreprises, des petites et moyennes entreprises au sens de l’art. 3 de la Loi sur les petites et moyens entreprises, la Commission prend en compte leurs besoins spécifiques et ressources disponibles.
 
Art. 11. Le président de la Commission :
1. organise et dirige l’activité de la Commission conformément à la loi et aux décisions de la Commission et répond de la satisfaction à ses obligations ;
2. représente la Commission auprès de tierces personnes ;
3. (amendé - Journal officiel, n° 103 de 2005, amendée - Journal officiel, n° 81 de 2011) nomme et révoque les fonctionnaires, conclut des contrats de travail avec les contractuels de l’administration et les résilie.
4. (nouvelle disposition - Journal officiel, n° 103 de 2005, amendée - Journal officiel, n° 17 de 2019) rend des décisions administratives infligeant une sanction en vertu de l’art. 87, al. 3.
 
Art. 12. (Amendé - Journal officiel, n° 91 de 2006) (1) (Amendé - Journal officiel, n° 17 de 2019) Le président et les membres de la Commission ou des représentants de son administration qu’elle aura mandatés effectuent un contrôle par l’intermédiaire de consultations préalables, d’inspections et d’opérations conjointes en vue du respect du Règlement (UE) 2016/679 et de cette loi.
(2) (Amendé - Journal officiel, n° 17 de 2019) Sous réserve des dispositions de l’art. 36, paragraphe 1 du Règlement (UE) 2016/679 des consultations préalables sont également effectuées lorsque des données à caractère personnel font l`objet d`un traitement afin d’accomplir une mission d’intérêt public, y compris concernant la protection sociale et la santé publique. Dans un tel cas, la Commission peut autoriser le traitement avant l’arrivée à échéance du délai en vertu de l’art. 36, paragraphe 2 du Règlement (UE) 2016/679.
(3) (Amendé - Journal officiel, n° 17 de 2019) Les consultations préalables sont engagées conformément à l’art. 36, paragraphes 2 et 3 du Règlement (UE) 2016/679.
(4) (Amendé - Journal officiel, n° 17 de 2019) Des inspections sont effectuées à l’initiative de la Commission, à la suite d’une requête de la part de personnes intéressées ou d’un signalement déposé.
(5) Les inspecteurs certifient de leur identité par l’intermédiaire d’une carte de service ou d’un ordre du président de la Commission relatif à l’inspection en question.
(6) Lors des inspections, les personnes en vertu de l’alinéa 1 peuvent demander l’élaboration d’expertises conformément au Code de procédure civile.
(7) L’inspection aboutit à la rédaction d’un acte d’inspection.
(8) (Amendé - Journal officiel, n° 17 de 2019) Lorsqu’une infraction administrative est établie lors d’une inspection, une procédure pénale administrative est ouverte.
(9) (nouvel alinéa - Journal officiel, n° 17 de 2019) Indépendamment de la sanction administrative, l’établissement d’une infraction administrative peut donner lieu à l`imposition d’une mesure administrative contraignante conformément au chapitre neuf.
(10) (Ancien al. 9 - Journal officiel, n° 17 de 2019) Les modalités relatives à l’inspection sont régies par une instruction de la Commission.
(11) (nouvel alinéa - Journal officiel, n° 17 de 2019) Des opérations conjointes avec des autorités de contrôle d’autres Etats membres en vertu de l’art. 62 du Règlement (UE) 2016/679 sont menées, le cas échéant, en effectuant des enquêtes conjointes et des mesures répressives conjointes, auxquelles participent, en dehors des personnes visées à l’alinéa 1, des membres ou des représentants autorisés de l’autorité de contrôle de l’État membre de l’Union européenne.
 
Art. 12 bis. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) Le responsable du traitement et le sous-traitant coopèrent avec la Commission, à la demande de celle-ci, dans l`exécution de ses missions et de ses pouvoirs.
(2) Lorsqu’il y a un risque que l’exercice des pouvoirs de la Commission en vertu de l’art. 58, paragraphe 1, points « e » et « f » du Règlement (UE) 2016/679 porte atteinte à l’obligation de secret professionnel du responsable du traitement ou du sous-traitant ou d’une autre obligation de secret professionnel découlant d’une loi, le responsable du traitement ou le sous-traitant ne refuse la fourniture ou l’accès que des/aux informations protégées par le secret professionnel.
(3) Lorsque les informations contiennent des données confidentielles, c’est la loi sur la protection de l’information confidentielle qui est appliquée.
 
Art. 13. (Amendé - Journal officiel, n° 103 de 2005) (1) Le président, les membres de la Commission et les agents de son administration sont tenus de ne pas divulguer et de ne pas profiter en leur faveur ou en faveur d’autrui d’informations protégées par le secret conformément à la loi, auxquelles ils ont eu accès dans l’exercice de leur activité jusqu’à l’extinction de leur protection.
(2) Lors de la prise de leurs fonctions les personnes visées à l’alinéa 1 signent une déclaration relative à leurs obligations en vertu de l’alinéa 1.
(3) (nouvel alinéa - Journal officiel, n° 17 de 2019) Le président et les membres de la Commission, ainsi que les agents contractuels de son administration bénéficient annuellement de vêtements de fonction d’une valeur égale à deux salaires minimales, ces dépenses étant imputées sur le budget de la Commission. Le montant individuel des fonds est déterminé par le président de la Commission selon des conditions et des modalités prévues par le Règlement visé à l’art. 9, alinéa 2.
 
Art. 14. (Amendé - Journal officiel, n° 103 de 2005, amendée - Journal officiel, n° 17 de 2019) (1) La Commission procède à l`agrément des organismes de certification conformément au Règlement (UE) 2016/679 sur la base d’exigences définies par elle-même ou par le Comité européen de la protection des données.
(2) L`agrément est délivré en vertu de l’art. 43, paragraphe 2 du Règlement (UE) 2016/679 pour une durée maximale de cinq ans et peut être renouvelé.
(3) La Commission révoque l`agrément d`un organisme de certification si les conditions d`agrément ne sont pas réunies ou si les mesures prises par l`organisme de certification constituent une violation du Règlement (UE) 2016/679.
(4) Les décisions de la Commission relatives à la révocation de l’agrément visé à l’alinéa 3 peuvent faire l’objet d’un appel conformément au Code de procédure administrative.
(5) Les conditions, y compris les exigences en vertu de l’alinéa 1, et les modalités d’agrément et de révocation de l’agrément sont déterminées dans une ordonnance adoptée par la Commission. Cette ordonnance est promulguée au Journal officiel.
(6) Les critères, les mécanismes et les procédures de certification, les labels ou les marques sont définis dans une ordonnance adoptée par la Commission. Cette ordonnance est promulguée au Journal officiel.
 
Art. 14 bis. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) La Commission approuve les projets de codes de conduite par secteur et domaine d’activité en application de l`article 40 du Règlement (UE) 2016/679. Les modalités et les critères d’approbation des codes de conduite sont définis dans le règlement visé à l’art. 9, al. 2.
(2) La Commission procède l`agrément d`un organisme chargé du suivi des codes de conduite visés à l’alinéa 1 en application de l`article 41 du Règlement (UE) 2016/679.
(3) Les exigences d’agrément en vertu de l’alinéa 2 et les modalités d’agrément et de révocation de l’agrément sont déterminées dans une ordonnance adoptée par la Commission. Cette ordonnance est promulguée au Journal officiel.
(4) La Commission révoque l`agrément d`un organisme chargé du suivi des codes de conduite si les exigences d`agrément ne sont pas réunies ou si les mesures prises par l`organisme constituent une violation du Règlement (UE) 2016/679.
(5) Les décisions de la Commission relatives à la révocation de l’agrément visé à l’alinéa 4 peuvent faire l’objet d’un appel conformément au Code de procédure administrative.
 
Art. 15. (Abrogé - Journal officiel, n° 103 de 2005, nouvel article - Journal officiel, n° 17 de 2019) (1) La Commission tient les registres publics suivants :
1. le registre des responsables du traitement et des sous-traitants qui ont désigné des délégués à la protection des données ;
2. le registre des organismes de certification agréés en vertu de l’art. 14 ;
3. le registre des codes de conduite en vertu de l’art. 40 du Règlement (UE) 2016/679.
(2) La Commission tient les registres suivants qui ne sont pas publics :
1. le registre des violations du Règlement (UE) 2016/679 et de cette loi, ainsi que des mesures entreprises par la Commission dans l’exercice de ses pouvoirs en vertu de l’art. 58, paragraphe 2 du Règlement (UE) 2016/679 ;
2. le registre des communications relatives à la violation de données à caractère personnel en vertu de l’art. 33 du Règlement (UE) 2016/679 et de l’art. 67.
(3) Les modalités relatives à la mise en place et à la tenue des registres visés aux alinéas 1 et 2 et l’accès à ceux-ci sont régies par la loi sur le gouvernement électronique, alors que leur contenu, par le règlement visé à l’art. 9, alinéa 2.
 
Art. 16. (Amendé - Journal officiel, n° 103 de 2005, abrogé- Journal officiel, n° 91 de 2006, nouvel article - Journal officiel, n° 17 de 2019) (1) Les modalités relatives à la tenue des formations visées à l’art. 10, alinéa 2, point 6 sont régies par le règlement visé à l’art. 9, alinéa 2.
(2) La Commission délivre des certificats aux personnes ayant suivi la formation visée à l’alinéa  1 et réussi l’examen la sanctionnant. Le certificat est délivré pour une durée de trois ans. Après l’arrivée à échéance du délai selon la phrase deux, le certificat est renouvelé à la suite de la réussite d’un examen passé conformément aux modalités définies dans le règlement visé à l’art. 9, alinéa 2.
(3) L’obtention d’un certificat visé à l’alinéa 2 peut être une condition obligatoire pour la nomination d’un délégué à la protection des données ou pour l’exercice de ses fonctions.
(4) La participation à la formation visée à l’alinéa 1 est soumise au versement de taxes, sauf si la formation est organisée et mise en œuvre à l’initiative de la commission. Les taxes sont déterminées conformément à un tarif validé par le Conseil des ministres sur proposition de la Commission.

Chapitre trois.
INSPECTION AUPRÈS DU CONSEIL SUPÉRIEUR DE LA MAGISTRATURE (intitulé AMENDÉ - Journal officiel, n° 103 de 2005, amendée - Journal officiel, n° 17 de 2019)
Art. 17. (Amendé - Journal officiel, n° 103 de 2005, amendée - Journal officiel, n° 91 de 2006, amendée - Journal officiel, n° 17 de 2019) (1) L’Inspection auprès du Conseil supérieur de la magistrature, ci-après « Inspection », contrôle et assure le respect du Règlement (UE) 2016/679, de cette loi et des dispositions règlementaires dans le domaine de la protection des données à caractère personnel à l’égard du traitement de données à caractère personnel par :
1.  les juridictions dans l’exercice de leurs  fonctions d’autorité du pouvoir judiciaire et
2. le parquet et les autorités de l’enquête dans l’exercice de leurs fonctions d’autorités du pouvoir judiciaire à des fins de prévention et de détection des infractions pénales, d`enquêtes et de poursuites en la matière ou d`exécution de sanctions pénales.
(2) Les modalités d’exercice de l’activité visée à l’alinéa 1, y compris celles relatives au contrôle et aux procédures auprès de l’Inspection sont régies par le règlement visé à l’art. 55, alinéa 8 de la Loi sur le pouvoir judiciaire.
(3) Le contrôlé visé à l’alinéa 1 est effectué en application également de l’art. 12 bis.
 
Art. 17 bis. (Nouvel alinéa - Journal officiel, n° 91 de 2006, amendée - Journal officiel, n° 17 de 2019) (1) Lors du contrôle du traitement de données à caractère personnel par le siège dans l’exercice de ses fonctions d’autorité du pouvoir judiciaire, en outre du traitement de données à caractère personnel aux fins de l’art. 42, alinéa 1, l’Inspection:
1. accomplit les missions visées à l’art. 57, paragraphe 1, points de « a » à « i », « l », « u » et « v » et paragraphes 2 et 3 du Règlement (UE) 2016/679;
2. exerce les pouvoirs visés à l’art. 58, paragraphe 1, points « a », « b », « d », « e », « f », paragraphe 2, points de « a » à « g », « i » et « j » et paragraphe 3, point « a », « b » et « c » du Règlement (UE) 2016/679;
3. et applique la liste élaborée par la Commission conformément à l’art. 35, paragraphe 4 du Règlement (UE) 2016/679 en application duquel une étude d’impact relative à la protection des données doit être effectuée;
4. saisit une juridiction de la violation du Règlement (UE) 2016/679;
(2) En outre des missions et des pouvoirs visés à l’alinéa 1, l’inspection:
1. participe à la coopération internationale avec d’autres autorités de protection des données et des organisations dans le domaine de la protection des données personnelles ;
2. donne des consignes, définit des orientations, des recommandations et des meilleures pratiques liées à la protection des données à caractère personnel.
(3) Lors du contrôle du traitement de données à caractère personnel aux fins de l’art. 42, al. 1 par les juridictions , le parquet et les autorités d’enquête dans l’exercice de leurs fonctions d’autorité du pouvoir judiciaire, l’inspection accomplit les missions et exerce les pouvoirs visés au chapitre huit.
 
Art. 17 ter. (Nouvel alinéa - Journal officiel, n° 91 de 2006, amendée - Journal officiel, n° 17 de 2019) (1) L’Inspection procède à des consultations préalables :
1. dans les cas visés à l’art. 36, paragraphe 1 du Règlement (UE) 2016/679 ;
2. lors d’un traitement de données à caractère personnel dont les finalités sont nécessaires à l`exécution d`une mission d`intérêt public ; l’Inspection peut, en l’occurrence, autoriser le traitement avant l’arrivée à échéance du délai en vertu de l’art. 36, paragraphe 2 du Règlement (UE) 2016/679.
(2) Les consultations préalables sont engagées conformément à l’art. 36, paragraphes 2 et 3 du Règlement (UE) 2016/679.
 
Art. 18. (Amendé - Journal officiel, n° 103 de 2005, amendée - Journal officiel, n° 17 de 2019) (1) Lors du contrôle en vertu de l’art. 17, alinéa 1, l’Inspection procède à des contrôles prévus dans son programme annuel ou déclenchés par des signalements. Une publication dans les médias pouvant également être considérée comme un signalement.
(2) Le contrôle est effectué par l’inspecteur général ou par un inspecteur, assisté par des experts sur la base d’un ordre de la part de l’inspecteur général.
 
Art. 19. (Amendé - Journal officiel, n° 93 de 2004, amendée - Journal officiel, n° 103 de 2005, amendée - Journal officiel, n° 17 de 2019) (1) Le contrôle aboutit à la rédaction d’un rapport de résultats comprenant les constats faits et des recommandations, le cas échéant.
(2) Lorsque le contrôle établit une violation du Règlement (UE) 2016/679 et de cette loi, sont appliquées en fonction de la nature et du degré les mesures visées à l’art. 58, paragraphe 2, points « a » - « g » et « j » du Règlement (UE) 2016/679 ou à l’art. 80, alinéa 1, points 3, 4 et 5 et/ou sont infligées des sanctions administratives conformément à l’art. 83 du Règlement (UE) 2016/679, ainsi qu’au chapitre neuf.
(3) Les mesures visées à l’art. 58, paragraphes 2, points de « a » à « g » et « j » du Règlement (UE) 2016/679 et à l’art. 80, alinéa 1, points 3, 4 et 5 sont appliquées à la suite d’une décision de l’Inspection sur proposition de l’inspecteur ayant procédé au contrôle.
 
Art. 20. (Amendé - Journal officiel, n° 103 de 2005, amendée - Journal officiel, n° 17 de 2019) (1) L’Inspecteur général, les inspecteurs et les agents de l’administration de l’Inspection sont tenus de ne pas divulguer et de ne pas profiter, en leur faveur ou en faveur d’autrui, d’informations protégées par le secret conformément à la loi, auxquelles ils ont eu accès dans l’exercice de leur activité jusqu’à l’extinction de leur protection.
Art. 21. (Amendé - Journal officiel, n° 103 de 2005, amendée - Journal officiel, n° (1) L’Inspection tient les registres suivants qui ne sont pas publics:
1. le registre des violations du Règlement (UE) 2016/679 et de cette loi, ainsi que des mesures entreprises par la Commission dans l’exercice de ses pouvoirs en vertu de l’art. 58, paragraphe 2, points « а » - « g », « i » et « j » du Règlement (UE) 2016/679;
2. le registre des communications relatives à la violation de données à caractère personnel en vertu de l’art. 33 du Règlement (UE) 2016/679 et de l’art. 67.
(2) Les modalités relatives à la mise en place et à la tenue des registres visés à l’alinéa 1 et l’accès à ceux-ci sont régis par la loi sur le gouvernement électronique, alors que leur contenu, par le règlement visé à l’art. 55, alinéa 8 de la Loi sur le pouvoir judiciaire.
Art. 22. (Amendé - Journal officiel, n° 103 de 2005, abrogé- Journal officiel, n° 17 de 2019)
Art. 22 bis. (Nouvel alinéa - Journal officiel, n° 91 de 2006, abrogé- Journal officiel, n° 17 de 2019)
 

Chapitre quatre.
PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL (abrogé- Journal officiel, n° 17 de 2019)
Art. 23. (Amendé - Journal officiel, n° 103 de 2005, abrogé- Journal officiel, n° 17 de 2019)
Art. 23 bis. (Nouvel alinéa - Journal officiel, n° 81 de 2011, abrogé- Journal officiel, n° 17 de 2019)
Art. 23 ter. (Nouvel alinéa - Journal officiel, n° 81 de 2011, abrogé- Journal officiel, n° 17 de 2019)
Art. 24. (Abrogé - Journal officiel, n° 17 de 2019)
Art. 25. (Abrogé - Journal officiel, n° 17 de 2019)
 

Chapitre quatre « bis ».
RÈGLES GÉNÉRALES RELATIVES AU TRAITEMENT DE DONNÉES À CARACTÈRE PERSONNEL. CAS PARTICULIERS DE TRAITEMENT DE DONNÉES À CARACTÈRE PERSONNEL (Nouveau - Journal officiel, n°. 17 de 2019)
Art. 25 bis. (Nouvel alinéa - Journal officiel, n° 17 de 2019) Lorsque des données à caractère personnel ont été fournies par une personne concernée à un responsable du traitement ou à un sous-traitant en l’absence du fondement juridique de l’art. 6, paragraphe 1 du Règlement (UE) 2016/679 ou en violation avec les principes visés à l’art. 5 du même règlement, le responsable du traitement ou le sous-traitant les rendent dans un délai d’un mois à compter du moment où il en a connaissance, et si cela est impossible ou exige des efforts disproportionnés, les efface ou les détruit. L’effacement et la destruction sont consignés dans un document.
 
Art. 25 ter. (Nouvel alinéa - Journal officiel, n° 17 de 2019) Le responsable du traitement et le sous-traitant communiquent à la Commission les noms, le numéro national unique ou le numéro personnel d’étranger ou un autre identifiant analogue, ainsi que les données de contact du délégué à la protection des données etleur modification ultérieure. La forme et le contenu de la communication et les modalités de son dépôt sont régis par le règlement visé à l’art. 9, al. 2.
 
Art. 25 quater. (Nouvel alinéa - Journal officiel, n° 17 de 2019) Le traitement de données relatives à une personne concernée de moins de 14 ans sur la base d’un accord en vertu de l’art. 4, p. 11 du Règlement (UE) 2016/679, y compris dans les cas d’une l`offre directe de services de la société de l`information en vertu de l’art. 1, al. 3 de la loi sur le commerce électronique, n’est licite que si le consentement est donné par le titulaire de la responsabilité parentale ou par le tuteur de la personne concernée.
 
Art. 25 quinquies. (Nouvel alinéa - Journal officiel, n° 17 de 2019) Le responsable du traitement ou le sous-traitant ne peut copier une pièce d’identité, un permis de conduire ou une pièce de séjour que si cela est prévu par une loi.
 
Art. 25 sixies. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) Le responsable du traitement ou le sous-traitant adopte et applique, lorsqu’il procède au traitement à grande échelle de données à caractère personnel ou à la surveillance systématique à grande échelle d`une zone accessible au public, y compris par la vidéosurveillance, des règles par lesquelles il introduit des mesures techniques et organisationnelles appropriées pour assurer la protection des droits et libertés des personnes concernées. Les règles relatives à la surveillance systématique à grande échelle d`une zone accessible au public comprennent les fondements juridiques et les objectifs à l’origine de l’établissement des systèmes de surveillance, la portée territoriale de la surveillance et les moyens de surveillance, le délai de conservation des enregistrements d’information et leur effacement, le droit d’y accéder de la part des personnes surveillées, l’information de la société de la surveillance effectuée, ainsi que les contraintes relatives à la fourniture d’accès aux informations de tierces personnes.
(2) La Commission publie sur sa page Internet les lignes directrices qu’elle donne aux responsables du traitement et aux sous-traitants en vue de l’accomplissement de leur obligation en vertu de l’alinéa 1.
 
Art. 25 septies. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) Le responsable du traitement ou le sous-traitant ne peut procéder au traitement de données à caractère personnel de personnes décédées quе sur la base d’un fondement juridique. Dans ces cas le responsable du traitement ou le sous-traitant entreprend les mesures appropriées afin d’éviter qu’une atteinte défavorable soit portée aux droits et aux libertés d’autres personnes ou à l’intérêt public.
(2) Le responsable du traitement assure, sur demande, un accès à des données à caractère personnel d’une personne décédée, et présente une copie de ces données à ses héritiers ou à d’autres ayants droit.
 
Art. 25 octies. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) L’accès public à l’information comprenant un numéro national unique ou un numéro personnel d’étranger, n’est pas autorisé, à moins qu’une loi n’en dispose autrement.
(2) Les responsables du traitement, assurant la prestation de services par voie électronique, entreprennent des mesures techniques et organisationnelles évitant que le numéro national unique ou le numéro personnel d’étranger soient le seul moyen d’identification de l’usager lors de l’octroi d’un accès à distance au service afférent.
(3) Aux fins de la prestation de services administratifs par voie électronique selon les modalités prévues par la Loi sur le gouvernement électronique, le responsable du traitement garantit à la personne concernée la possibilité de s’identifier selon des modalités prévues par une loi.

Art. 25 novies. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) Le traitement de données à caractère personnel à des fins journalistiques, ainsi qu’aux fins de l’expression universitaire, artistique ou littéraire, est légitime , lorsqu`il est effectué dans l’exercice de la liberté d’expression et du droit à l’information et dans le respect de l’inviolabilité de la vie privée.
(2) Lors d`une révélation par l’intermédiaire d’une transmission, d’une divulgation ou d’une autre façon rendant accessibles des données à caractère personnel collectées aux fins visées à l’alinéa 1, l’équilibre entre la liberté d’expression et le droit à l’information et le droit à la protection des données à caractère personnel est jugé sur la base des critères suivants dans la mesure où ils sont pertinents :
1. la nature des données à caractère personnel ;
2. l`impact que la révélation des données à caractère personnel ou leur communication publique aurait sur l’inviolabilité de la vie privée de la personne concernée ou de sa bonne réputation ;
3. les circonstances dans lesquelles le responsable du traitement a accédé aux données à caractère personnel ;
4. le caractère et la nature de la déclaration par laquelle sont exercés les droits visés à l’alinéa 1 ;
5. l`importance de la révélation de données à caractère personnel ou de leur communication publique pour clarifier une question d’intérêt public ;
6. la prise en compte du statut de la personne concernée, notamment la question de savoir s’il s’agit d’une personne qui occupe une fonction visée à l’art. 6 de la Loi sur la répression de la corruption et la confiscation des biens acquis de façon illégale ou d’une personne dont la nature de l’activité et le rôle dans la société fragilise l’inviolabilité de sa vie privée et dont l’activité a une influence sur la société ;
7. la prise en compte de la contribution de la personne concernée à la révélation de ses propres données personnelles et/ou d’informations relatives à sa vie privée et familiale ;
8. la finalité, le contenu, la forme et les conséquences de la déclaration par laquelle sont exercés les droits visés à l’alinéa 1 ;
9. la conformité de la déclaration par laquelle sont exercés les droits visés à l’alinéa 1 aux droits fondamentaux des citoyens ;
10. d’autres circonstances afférentes au cas concret.
(3) Lors du traitement de données à caractère personnel aux fins visées à l’alinéa 1 :
1. ne s’appliquent pas à ce traitement les articles 6, 9, 10, 30, 34 et le chapitre cinq du Règlement (UE) 2016/679, ainsi que l’art. 25 quater;
2. le responsable du traitement ou le sous-traitant peut s’opposer entièrement ou partiellement à l’exercice des droits des personnes concernées visées aux articles 12 à 21 du Règlement (UE) 2016/679.
(4) L’exercice des pouvoirs de la Commission visés à l’art. 58, paragraphe 1 du Règlement (UE) 2016/679 ne peut pas donner lieu à la révélation du secret de la source d`information.
(5) Lors du traitement de données à caractère personnel aux fins de la création d’une œuvre photographique ou audiovisuelle par la prise d’une photo d’une personne dans l’exercice de son activité sociale ou dans un lieu public, les articles 6, 12 à 21, 30 et 34 du Règlement (UE) 2016/679 ne sont pas appliqués à ce traitement.
 
Art. 25 decies. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) L’employeur ou l’autorité de nomination adopte, en sa qualité de responsable du traitement, des règles et des procédures lors de :
1. l’utilisation du système de compte rendu d’irrégularités ;
2. contraintes relatives à l’utilisation des ressources internes d’une entreprise ;
3. la mise en place de systèmes de contrôle de l’accès, des horaires de travail et de la discipline de travail.
(2) Les règles et les procédures visées à l’alinéa 1 comprennent des informations relatives à leurs portée, obligations et méthodes d’application pratique. Elles permettent de rendre compte de l’objet social de l’employeur ou de l’autorité de nomination et la nature du travail afférent et ne peuvent pas limiter les droits des personnes concernées au sens du Règlement (UE) 2016/679 et de la présente loi.
(3) Les règles et les procédures visées à l’alinéa 1 sont communiquées aux travailleurs.
 
Art. 25 undecies. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) L’employeur ou l’autorité de nomination, en sa qualité de responsable du traitement, détermine le délai de conservation des données à caractère personnel des participants à des procédures de recrutement et de sélection de personnel, ne pouvant pas dépasser 6 mois, à moins que le candidat n’ait pas consenti à un délai de conservation plus long. A l’expiration de ce délai, l’employeur ou l’autorité de nomination efface ou détruit les documents conservés où figurent des données à caractère personnel, à moins qu`une loi spéciale n’en dispose autrement.
(2) Lorsque dans le cadre d’une procédure visée à l’alinéa 1, l’employeur ou l’autorité de nomination a exigé la présentation des originaux ou des copies conformes authentifiées chez un notaire de documents attestant de la capacité physique et psychique du candidat, du degré de qualification et de l’expérience requis pour le poste occupé, il rend ces documents à la personne concernée, qui n’est pas retenue pour être nommée, dans un délai de 6 mois à compter de l’achèvement de la procédure, à moins qu’une loi spéciale n’en dispose autrement.
 
Art. 25 duodecies. (Nouvel alinéa - Journal officiel, n° 17 de 2019) Le traitement de données à caractère personnel pour les finalités du Fonds national des archives de la République de Bulgarie constitue un traitement dans l’intérêt public. Dans ces cas, les articles 15, 16, 18, 19, 20 et 21 du Règlement (UE) 2016/679 ne sont pas appliqués.
 
Art. 25 tredecies. (Nouvel alinéa - Journal officiel, n° 17 de 2019) Lorsque des données à caractère personnel sont traitées à des fins statistiques, les articles 15, 16, 18 et 21 du Règlement (UE) 2016/679 ne s`appliquent pas à ce traitement.
 
Art. 25 quatuordecies. (Nouvel alinéa - Journal officiel, n° 17 de 2019) Les données à caractère personnel collectées initialement pour une autre finalité ne peuvent pas être traitées pour les finalités du Fonds national des archives, à des fins de recherche scientifique ou historiques ou à des fins statistiques. Dans ces cas le responsable du traitement applique des mesures techniques et organisationnelles appropriées garantissant les droits et les libertés de la personne concernée conformément à l’art. 89, paragraphe 1 du Règlement (UE) 2016/679.

Art. 25 quindecies. (Nouvel alinéa - Journal officiel, n° 17 de 2019) Le traitement de données à caractère personnel à des fins humanitaires par des autorités publiques ou des organisations humanitaires, ainsi que le traitement dans des cas de catastrophes naturelles ou d’origine humaine au sens de la Loi sur les catastrophes naturelles ou d’origine humaine, est légitime . Dans ces cas, les articles 12 à 21 et  34 du Règlement (UE) 2016/679 ne sont pas appliqués.

Chapitre cinq.
DROITS DES PERSONNES PHYSIQUES (INTITULÉ AMENDÉ - Journal officiel, n° 103 DE 2005, ABROGÉ - Journal officiel, n° 17 de 2019)
Art. 26. (Abrogé - Journal officiel, n° 17 de 2019)
Art. 27. (Amendé - Journal officiel, n° 103 de 2005, Abrogé - Journal officiel, n° 91 de 2006)
Art. 28. (Amendé - Journal officiel, n° 103 de 2005, Abrogé - Journal officiel, n° 17 de 2019
Art. 28 bis. (Nouvel alinéa - Journal officiel, n° 103 de 2005, abrogé- Journal officiel, n° 17 de 2019)
Art. 29. (Abrogé - Journal officiel, n° 17 de 2019)
Art. 30. (Amendé - Journal officiel, n° 103 de 2005, Abrogé - Journal officiel, n° 17 de 2019)
Art. 31. (Abrogé - Journal officiel, n° 17 de 2019)
Art. 32. (Amendé - Journal officiel, n° 103 de 2005, Abrogé - Journal officiel, n° 17 de 2019)
Art. 33. (Abrogé - Journal officiel, n° 17 de 2019)
Art. 34. (Abrogé - Journal officiel, n° 17 de 2019
Art. 34 bis. (Nouvel alinéa - Journal officiel, n° 103 de 2005, Abrogé - Journal officiel, n° 17 de 2019)
Art. 34 ter. (Nouvel alinéa - Journal officiel, n° 103 de 2005, Abrogé - Journal officiel, n° 17 de 2019)

Chapitre six.
MISE À DISPOSITION DE DONNÉES À CARACTÈRE PERSONNEL À DE TIERCES PERSONNES (abrogé- Journal officiel, n° 17 de 2019)

Art. 35. (Amendé - Journal officiel, n° 103 de 2005, Abrogé - Journal officiel, n° 91 de 2006)
Art. 36. (Amendé - Journal officiel, n° 103 de 2005, en vigueur jusqu’au 01.01.2007, abrogé- Journal officiel, n° 17 de 2019)
Art. 36 bis. (Nouvel alinéa - Journal officiel, n° 103 de 2005, entré en vigueur le 01.01.2007, abrogé- Journal officiel, n° 17 de 2019)
Art. 36 ter. (Nouvel alinéa - Journal officiel, n° 103 de 2005, entré en vigueur le 01.01.2007, abrogé- Journal officiel, n° 17 de 2019)
Art. 36 quater. (Nouvel alinéa - Journal officiel, n° 81 de 2011, abrogé- Journal officiel, n° 17 de 2019)
Art. 36 quinquies. (Nouvel alinéa - Journal officiel, n° 81 de 2011, abrogé- Journal officiel, n° 17 de 2019)
Art. 36 sexies. (Nouvel alinéa - Journal officiel, n° 81 de 2011, abrogé- Journal officiel, n° 17 de 2019)
Art. 36 septies. (Nouvel alinéa - Journal officiel, n° 81 de 2011, abrogé- Journal officiel, n° 17 de 2019)
Art. 36 octies. (Nouvel alinéa - Journal officiel, n° 81 de 2011, abrogé- Journal officiel, n° 17 de 2019)
Art. 36 novies. (Nouvel alinéa - Journal officiel, n° 81 de 2011, abrogé- Journal officiel, n° 17 de 2019)
Art. 36 decies. (Nouvel alinéa - Journal officiel, n° 81 de 2011, abrogé- Journal officiel, n° 17 de 2019)
Art. 37. (Abrogé - Journal officiel, n° 103 de 2005)

Chapitre sept.
EXERCICE DES DROITS DES PERSONNES CONCERNÉES. RECOURS JURIDICTIONNELS (intitulé AMENDÉ - Journal officiel, n° 17 de 2019)
Art. 37 bis. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) Le responsable du traitement ou le sous-traitant peut s’opposer entièrement ou partiellement à l’exercice des droits des personnes concernées prévus aux articles 12 à 22 du Règlement (UE) 2016/679, ainsi que ne pas satisfaire à son obligation en vertu de l’art. 34 du Règlement (UE) 2016/679, lorsque l’exercice de ces droits pourrait constituer un risque pour :
1. la sécurité nationale ;
2. la défense ;
3. l’ordre et la sécurité publics ;
4. la prévention et la détection d`infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l`exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de menaces pour l’ordre et la sécurité publics ;
5. d`autres objectifs importants d`intérêt public général, notamment un intérêt économique ou financier important, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale ;
6. la protection de l`indépendance de la justice et des procédures judiciaires ;
7. la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière ;
8. la protection de la personne concernée ou des droits et libertés d`autrui ;
9. l`exécution des demandes de droit civil.
(2) Les modalités relatives à l’application de l’alinéa 1 sont définies par une loi et conformément à l’art. 23, paragraphe 2 du Règlement (UE) 2016/679.
 
Art. 37 ter. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) La personne concernée exerce les droits prévus aux articles 15 à 22 du Règlement (UE) 2016/679 par l’intermédiaire d’une demande écrite adressée à l’attention du responsable du traitement ou selon d’autres modalités définies par le responsable du traitement.
(2) La demande peut être adressée par voie électronique conformément aux modalités prévues par la Loi sur le document électronique et les services de confiance pour les transactions électroniques, par la Loi sur le gouvernement électronique et la Loi sur l’identification électronique.
(3) Une demande peut aussi être adressée par l’interface des usagers du système d’information, qui traite les données, la personne étant ensuite identifiée par l’intermédiaire des moyens afférents d’identification du système d’information.
 
Art. 37 quater. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) La demande visée à l’art. 37 ter comprend :
1. les noms, l’adresse, le numéro national unique ou le numéro personnel d’étranger ou un autre identifiant analogue, ou d’autres données d’identification de la personne physique, déterminées par le responsable du traitement, en fonction de l’activité effectuée par celle-ci ;
2. description de la demande ;
3. la forme préférée de réception de l’information lors de l’exercice des droits prévus aux articles 15 à 22 du Règlement (UE) 2016/679 ;
4. la signature, la date du dépôt de la demande et l’adresse de correspondance.
(2) Lorsque la demande est déposée par un mandataire, la procuration lui donnant pouvoir est jointe à la demande.
 
Art. 38. (1) (Amendé - Journal officiel, n° 103 de 2005, amendée - Journal officiel, n° 91 de 2006, amendée - Journal officiel, n° 17 de 2019) Lorsque les droits de la personne concernée en vertu du Règlement (UE) 2016/679 et de cette loi sont violés, celle-ci a le droit de saisir la Commission dans un délai de 6 mois à compter de la prise de connaissance de la violation, mais de deux ans au plus tard à compter de sa commission.
(2) (nouvel alinéa - Journal officiel, n° 17 de 2019) La Commission communique à l’auteur de la réclamation l’évolution de son examen ou le résultat dans un délai de trois mois à compter de sa saisine.
(3) (Amendé - Journal officiel, n° 103 de 2005, ancien alinéa 2, amendé - Journal officiel, n° 17 de 2019) La Commission, qui rend une décision, peut appliquer les mesures visées à l’art. 58, paragraphe 2, lettres « а » à « h » et « j » du Règlement (UE) 2016/679 ou à l’art. 80, alinéa 1, p. 3, 4 et 5, et en complément de ces mesures ou à leur place infliger une sanction administrative conformément à l’art. 83 du Règlement (UE) 2016/679 et au chapitre neuf.
(4) (nouvel alinéa - Journal officiel, n° 17 de 2019) Lorsque la réclamation est manifestement infondée ou disproportionnée, la Commission peut décider de ne pas l’examiner.
(5) (Ancien alinéa 4, amendé - Journal officiel, n° 17 de 2019) La Commission envoie une copie de sa décision à la personne concernée.
(6) (nouvel alinéa - Journal officiel, n° 91 de 2006, ancien alinéa 5, amendé - Journal officiel, n° 17 de 2019) Dans les cas de l’alinéa 1, lorsque des données à caractère personnel sont traitées aux fins visées à l’art. 42, alinéa 1, la décision de la Commission ne contient qu’une constatation relative à la légalité du traitement.
(7) (Amendé - Journal officiel, n° 103 de 2005, ancien alinéa 5 - Journal officiel n° 91 de 2006, amendée - Journal officiel, n° 39 de 2011, ancien alinéa 6, amendé - Journal officiel, n° 17 de 2019) La décision de la Commission visée aux alinéas 3 et 4 est susceptible d’appel conformément au Code de procédure administrative dans un délai de 14 jours à compter de sa réception.
 
Art. 38 bis. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) La réclamation peut être introduite auprès de la Commission par une lettre, par télécopie ou par voie électronique conformément à la Loi sur le document électronique et les services de confiance pour les transactions électroniques.
(2) Les réclamations anonymes ou non signées par l’émetteur ou son représentant légal ou mandataire ne sont pas examinées.
 
Art. 38 ter. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) Lorsqu’une atteinte est portée aux droits d’une personne concernée en vertu du Règlement (UE) 2016/679 et de cette loi lors du traitement de données à caractère personnel par les juridictions  dans l’exercice de leurs  fonctions d’autorité du pouvoir judiciaire et par le parquet et les autorités d’enquête dans l’exercice de leurs fonctions d’autorités du pouvoir judiciaire à des fins de prévention et de détection des infractions pénales, d`enquêtes et de poursuites en la matière ou d`exécution de sanctions pénales, elle a le droit d’introduire une réclamation auprès de l’Inspection dans un délai de six mois à compter de la prise de connaissance de la violation et de deux ans au plus tard à compter de sa commission.
(2) Dans les cas de l’alinéa 1 est appliqué respectivement l’art. 38 bis.
 
Art. 38 quater. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) La réclamation visée à l’art. 38 ter, alinéa 1 est examinée par un inspecteur, déterminé de manière aléatoire par l’Inspecteur général.
(2) Lors de l’examen de la réclamation, sont collectées des données relatives à la violation reprochée, y compris des informations fournies par le responsable du traitement ou le sous -traitant.
(3) L’auteur de la réclamation est informé de l’évolution de son examen ou du résultat auquel elle aura abouti dans un délai de trois mois à compter de la saisine de l’Inspection.
(4) Lorsque la réclamation est infondée, l’Inspection rend une décision qui est susceptible d’appel conformément au Code de procédure administrative dans un délai de 14 jours à compter de sa réception.
(5) Lorsque la réclamation est fondée, l’Inspection rend une décision sur  proposition de l’inspecteur. La décision est susceptible d’un appel conformément au Code de procédure administrative dans un délai de 14 jours à compter de sa réception.
(6) Lorsque la réclamation est manifestement infondée ou disproportionnée, la Commission peut décider de ne pas l’examiner.
 
Art. 38 quinquies. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1)Lorsqu’il est établi, lors de la procédure visée à l’art. 38 quinquies, une violation du Règlement (UE) 2016/679 et de cette loi, sont appliquées en fonction de la nature et du degré les mesures visées à l’art. 58, paragraphe 2, points « a » - « g » et « j » du Règlement (UE) 2016/679 ou à l’art. 80, alinéa 1, points 3, 4 et 5 et/ou sont infligées des sanctions administratives conformément à l’art. 83 du Règlement (UE) 2016/679, ainsi qu’au chapitre neuf.
(2) Les mesures visées à l’art. 58, paragraphes 2, points de « a » à « g » et « j » du Règlement (UE) 2016/679 et à l’art. 80, alinéa 1, points 3, 4 et 5 sont appliquées à la suite d’une décision de l’inspecteur ayant examiné la réclamation visée à l’art. 38 ter, alinéa 1.
 
Art. 39. (1) (Amendé - Journal officiel, n° 103 de 2005, amendée - Journal officiel, n° 30 de 2006, entré en vigueur le 01.03.2007, amendé - Journal officiel, n° 91 de 2006, amendée - Journal officiel, n° 17 de 2019) Lorsqu’une atteinte est portée aux droits d’une personne concernée en vertu du Règlement (UE) 2016/679 et de la présente loi, cette personne peut faire appel des actes du responsable du traitement et du sous-traitant devant le tribunal conformément au Code de procédure administrative.
(2) (Amendé - Journal officiel, n° 103 de 2005, amendé - Journal officiel, n° 17 de 2019) Lors de la procédure visée à l’alinéa 1, la personne concernée peut demander la réparation des préjudices subis du fait du traitement irrégulier de donnés à caractère personnel de la part du responsable du traitement ou du sous-traitant.
(3) (nouvel alinéa - Journal officiel, n° 81 de 2011, abrogé- Journal officiel, n° 17 de 2019)
(4) (nouvel alinéa - Journal officiel, n° 103 de 2005, ancien alinéa 3 - Journal officiel n° 81 de 2011, amendée - Journal officiel, n° 17 de 2019) La personne concernée ne peut pas saisir le tribunal, lorsqu’ il y a une procédure pendante devant la Commission concernant la même violation de données ou lorsque la décision de la Commission relative à cette même violation fait l’objet d’un appel et le tribunal ne s’est pas prononcé définitivement. A la demande de la personne concernée ou du tribunal, la Commission certifie l’absence de procédure pendante relative au même contentieux devant elle.
(5) (Ancien alinéa 4, amendé - Journal officiel, n° 103 de 2005, amendée - Journal officiel, n° 30 de 2006, entré en vigueur le 12.07.2006, abrogé - Journal officiel, n° 91 de 2006, nouvel alinéa - Journal officiel, n° 17 de 2019) l’alinéa 4 est applicable à une procédure pendante devant l’Inspection.
 
Art. 40. (Abrogé - Journal officiel, n° 103 de 2005, nouvel article - Journal officiel, n° 17 de 2019) Lorsque la décision visée à l’art. 38, alinéa 3 est adoptée en application d’une décision obligatoire du Comité européen de la protection des données, les articles 263 et 267 du Traité sur le fonctionnement de l’Union européenne sont respectivement appliqués.
 
Art. 41. (Abrogé - Journal officiel, n° 103 de 2005)

Chapitre huit
RÈGLES RELATIVES À LA PROTECTION DES PERSONNES PHYSIQUES À L`ÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL PAR LES AUTORITÉS COMPÉTENTES À DES FINS DE PRÉVENTION ET DE DÉTECTION DES INFRACTIONS PÉNALES, D`ENQUÊTES ET DE POURSUITES EN LA MATIÈRE OU D`EXÉCUTION DE SANCTIONS PÉNALES, Y COMPRIS LA PROTECTION CONTRE LES MENACES POUR L’ORDRE ET LA SÉCURITÉ PUBLICS ET LA PRÉVENTION DE TELLES MENACES (INTITULÉ AMENDÉ - Journal officiel, n° 17 de 2019)

Section I.
Dispositions générales (Nouvel article - Journal officiel, n° 17 de 2019)
Art. 42. (Amendé - Journal officiel, n° 103 de 2005, amendée - Journal officiel, n° 17 de 2019) (1) Les règles visées à ce chapitre s’appliquent au traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d`enquêtes et de poursuites en la matière ou d`exécution de sanctions pénales, y compris de protection contre les menaces pour l’ordre et la sécurité publics et la prévention de telles menaces.
(2) Les données collectées aux fins visées à l’alinéa 1 ne sont pas traitées à d’autres fins, à moins que le droit de l’Union européenne ou la législation de la République de Bulgarie n’en disposent autrement.
(3) Lorsque les autorités compétentes au sens de l’alinéa 1 traitent des données à caractère personnel dans un objectif différent de ceux qui sont visés à l’alinéa 1, ainsi que dans les cas de l’alinéa 2, ce sont le Règlement (UE) 2016/679 et les dispositions afférentes de cette loi introduisant des mesures relatives à son application qui s’appliquent.
(4) Les autorités compétentes visées à l’alinéa 1 sont des autorités d’Etat qui ont des pouvoirs en matière de prévention et de détection des infractions pénales, d`enquêtes et de poursuites en la matière ou d`exécution de sanctions pénales, y compris de protection contre les menaces pour l’ordre et la sécurité publics et la prévention de telles menaces.
(5) A moins qu`une loi n’en dispose autrement, lors du traitement de données à caractère personnel aux fins de l’alinéa 1 le responsable du traitement au sens de ce chapitre est une autorité compétente en vertu de l’alinéa 4 ou l’unité administrative dont fait partie cette autorité, lesquelles individuellement ou conjointement avec d’autres autorités définissent les finalités et les moyens relatifs au traitement de données à caractère personnel.
 
Art. 42 bis. (Nouvel alinéa - Journal officiel, n° 103 de 2005, abrogé- Journal officiel, n° 17 de 2019)
 
Art. 43. (1) (Amendé - Journal officiel, n° 103 de 2005, amendée - Journal officiel, n° 17 de 2019) Les règles visées à ce chapitre s`appliquent au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu`au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un tel fichier.
 
Art. 44. (Nouvel alinéa - Journal officiel, n° 17 de 2019) L’échange de données à caractère personnel entre les autorités compétentes des Etats membres de l’Union européenne, lorsqu’un tel échange est exigé par le droit de l’Union européenne ou par la législation de la République de Bulgarie, n’est pas limité ni interdit du fait de la protection des personnes physiques à l’égard du traitement de données à caractère personnel.
 
Art. 45. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) Lors du traitement de données à caractère personnel aux fins de l’art. 42, al. 1, les données à caractère personnel doivent :
1. être traitées de manière licite et loyale ;
2. être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées d`une manière incompatible avec ces finalités ;
3. être appropriées, pertinentes et ne pas aller au-delà de ce qui est requis eu égard aux finalités pour lesquelles les données sont traitées ;
4. être exactes et, si nécessaire, tenues à jour ; toutes les mesures requises doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder ;
5. conservées sous une forme permettant l`identification des personnes concernées pendant une durée n`excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ;
6. être traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d`origine accidentelle, à l`aide de mesures techniques ou organisationnelles appropriées.
(2) Le traitement de données à caractère personnel par le responsable du traitement les ayant initialement collectées ou par un autre responsable du traitement pour satisfaire à n’importe laquelle des finalités visées à l’art. 42, alinéa 1, différente de la finalité pour laquelle les données à caractère personnel ont été collectées, n’est autorisé qu’à condition que :
1. le responsable du traitement soit habilité à traiter des données à caractère personnel conformément au droit de l’Union européenne ou à la législation de la République de Bulgarie, et que
2. le traitement soit nécessaire et proportionnel à cette finalité conformément au droit de l’Union européenne ou à la législation de la République de Bulgarie.
(3) Le traitement par le responsable du traitement visé à l’alinéa 2 peut inclure le traitement de données à des fins archivistiques dans l`intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques en vertu de l’art. 42, alinéa 1 sous réserve des garanties appropriées pour les droits et libertés de la personne concernée.
(4) Le responsable du traitement est responsable du respect des alinéas 1, 2 et 3 et est en mesure de démontrer que ceux-ci sont respectés.
 
Art. 46. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) Lorsque les délais pour l’effacement des données à caractère personnel ou pour un examen périodique de la nécessité de les conserver ne sont pas établis par un acte réglementaire, ils sont fixés par le responsable du traitement.
(2) La réalisation d’un examen périodique visé à l’alinéa 1 est consignée dans un document, alors que la décision relative à la poursuite de la conservation des données est motivée.
 
Art. 47. (Nouvel alinéa - Journal officiel, n° 17 de 2019) Le responsable du traitement établit une distinction claire, le cas échéant et dans la mesure du possible, entre les données à caractère personnel des différentes catégories de personnes concernées, telles que :
1. les personnes à l’égard desquelles il existe des motifs sérieux de croire qu’elles ont commis ou sont sur le point de commettre une infraction pénale ;
2. les personnes reconnues coupables d’une infraction pénale ;
3. les victimes d’une infraction pénale ou les personnes dont on peut raisonnablement penser qu’elles pourraient être victimes d’une infraction pénale, et
4. les tiers à une infraction pénale, y compris les personnes pouvant être convoquées pour témoigner dans le cadre de l’enquête judiciaire ou de la procédure pénale, des personnes pouvant fournir des informations relatives à des infractions ou à des personnes liées.
 
Art. 48. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) L’autorité compétente établit une distinction entre des données à caractère personnel fondées sur des faits et des données à caractère personnel fondées sur des appréciations personnelles.
(2) L’autorité compétente entreprend les mesures nécessaires afin que des données à caractère personnel imprécises, non exhaustives ou non actuelles ne soient pas transférées. A cette fin, toute autorité compétente vérifie dans la mesure du possible la qualité des données à caractère personnel avant leur transfert. Lors de chaque transfert de données à caractère personnel, il est fourni, dans la mesure du possible, l’information nécessaire permettant à l’autorité compétente destinataire d’apprécier le degré de précision, d’exhaustivité et de fiabilité des données à caractère personnel, ainsi que le degré de leur actualité.
(3) Tout transfert de données à caractère personnel imprécises ou tout transfert illégal de données est immédiatement communiqué au destinataire. Dans un tel cas l’autorité compétente transférant les données et le destinataire corrigent, effacent ou limitent le traitement des données à caractère personnel.
Art. 49. (Nouvel alinéa - Journal officiel, n° 17 de 2019) Le traitement de données à caractère personnel est légitime, lorsqu`il est nécessaire pour l’exercice des pouvoirs de l’autorité compétente aux fins de l’art. 42, alinéa 1 et prévu par le droit de l’Union européenne ou par un acte légal ou réglementaire définissant les finalités du traitement et les catégories des données à caractère personnel qui sont traitées.
 
Art. 50. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) Lorsque le droit de l’Union européenne ou la législation de la République de Bulgarie, applicable à l’autorité compétente assurant le transfert, prévoit des conditions spécifiques de traitement des données à caractère personnel, cette autorité communique au destinataire des données ces conditions et son obligation de les respecter.
(2) Le transfert de données à caractère personnel à des destinataires dans d’autres Etats membres de l’Union européenne, ou à des agences, services et autorités de l’Union européenne, institués en vertu de la section V, chapitres 4 et 5 du Traité de fonctionnement de l’Union européenne, est effectué dans les mêmes conditions applicables à un pareil transfert en République de Bulgarie.
 
Art. 51. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) Le traitement de données à caractère personnel qui révèle l`origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l`appartenance à des organisations professionnelles, ainsi que le traitement des données génétiques, des données biométriques aux fins d`identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l`orientation sexuelle de la personne, n’est autorisé que lorsqu`il est indispensable, qu’il existe des garanties appropriées pour les droits et les libertés de la personne concernée et qu’il est prévu par le droit de l’Union européenne ou par la législation de la République de Bulgarie.
(2) Lorsque le traitement visé à l’alinéa 1 n’est pas prévu par le droit de l’Union européenne ou par la législation de la République de Bulgarie, les données visées à l’alinéa 1 peuvent être traitées lorsque cela est indispensable et il existe des garanties appropriées pour les droits et les libertés de la personne concernée et lorsque :
1. le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d`une autre personne physique, ou
2. si le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée.
(3) Le traitement des données visées à l’alinéa 1 est soumis à des mesures et des garanties appropriées pour la non-discrimination des personnes physiques.
 
Art. 52. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) La prise de décision sur le seul fondement d’un traitement automatisé, y compris le profilage, qui produit des effets juridiques défavorables pour la personne concernée ou l’affecte considérablement, est interdit, à moins qu’elle ne soit prévue par le droit de l’Union européenne ou par la législation de la République de Bulgarie et que des garanties appropriées pour les droits et les libertés de la personne concernée soient assurées, au moins le droit à obtenir une intervention humaine lors de la prise de décision par le responsable du traitement.
(2) Les décisions visées à l’alinéa 1 ne peuvent pas être fondées sur les catégories de données à caractère personnel visées à l’art. 51, alinéa 1, à moins que des mesures appropriées pour la protection des droits, des libertés et des intérêts légaux de la personne concernée ne soient introduites.
(3) Dans les cas visés aux alinéas. 1 et 2, le responsable du traitement procède à une étude d’impact en vertu de l’art. 64.
(4) Le profilage donnant lieu à la discrimination de personnes physiques sur la base des catégories de données personnelles visées à l’art. 51, alinéa 1 est interdit.
(5) La personne concernée a le droit d’obtenir de l’information relative au traitement visé à l’alinéa 1, d’exprimer son opinion, d’obtenir une explication sur la décision visée à l’alinéa 1 prise en résultat de ce traitement, ainsi que de faire appel de cette décision.

Section II.
Droits de la personne concernée (Nouvelle - Journal officiel, n° 17 de 2019)
Art. 53. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) Le responsable du traitement prend les mesures appropriées pour fournir toute information visée à l’art. 54 ainsi que pour procéder à toute communication au titre de l’art.  52, alinéa 5, des articles 55 à 58 et de l’art. 68 en ce qui concerne le traitement à la personne concernée d`une façon concise, compréhensible et aisément accessible, en des termes clairs et simples. Le responsable du traitement fournit l’information selon la façon dont la demande est parvenue. Lorsque cela est impossible ou implique de consentir des efforts disproportionnés, l’information est fournie d’une autre façon appropriée, y compris par voie électronique.
(2) Le responsable du traitement facilite l’exercice des droits de la personne concernée visés à l’article 52, alinéa 5 et aux articles 55 -58.
(3) Le responsable du traitement répond à la demande de la personne concernée ou l’informe par écrit des mesures prises à la suite de sa demande, dans un délai de deux mois à compter de la réception de la demande. Le cas échéant, le délai peut être prolongé d’un mois, compte tenu de la complexité et du nombre de demandes.
(4) Aucun paiement n`est exigé pour fournir l’information au titre de l’art. 54 et pour procéder à toute communication et prendre toute mesure au titre de l’art. 52, alinéa 5, des articles 55 à 58 et de l’art. 68. Lorsque les demandes d`une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut :
1. exiger le paiement de frais basés sur les coûts administratifs relatifs à la fourniture d’information ou à la communication avec la personne concernée ou à la prise de mesures pour répondre à la demande, ou bien
2. refuser de donner suite à la demande.
(5) Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande.
(6) Lorsque le responsable du traitement a des doutes raisonnables quant à l`identité de la personne physique présentant la demande visée aux articles 55 ou 56, il peut demander que lui soient fournies des informations supplémentaires nécessaires pour confirmer l`identité de la personne concernée. Le délai prévu par l’alinéa 3 commence à courir à compter de la réception de ces informations supplémentaires.
 
Art. 54. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) Le responsable du traitement fournit à la personne concernée au moins les informations suivantes :
1. l`identité et les coordonnées du responsable du traitement ;
2. le cas échéant, les coordonnées du délégué à la protection des données ;
3. les finalités pour lesquelles les données à caractère personnel sont traitées ;
4. le droit d`introduire une réclamation auprès de la Commission, respectivement de l’Inspection et d’obtenir leurs coordonnées ;
5. le droit de demander au responsable du traitement l`accès aux données à caractère personnel,la rectification ou l`effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée ;
6. la possibilité d’exercer ses droits par l’intermédiaire de la Commission et respectivement de l’Inspection en cas du refus visé à l’alinéa 3, à l’art. 55, alinéas 3 et 4 et à l’art. 56, alinéas 6 et 7.
(2) En dehors de l’information visée à l’alinéa 1, le responsable du traitement fournit, à la demande de la personne concernée ou à son initiative, dans des cas concrets et afin de pouvoir exercer ses pouvoirs, les informations supplémentaires suivantes :
1. le fondement juridique pour le traitement ;
2. la durée pendant laquelle les données à caractère personnel seront conservées ou, lorsque ce n`est pas possible, les critères utilisés pour déterminer cette durée ;
3. le cas échéant, les destinataires ou les catégories de destinataires de données à caractère personnel y compris les destinataires dans des pays tiers ou des organisations internationales ;
4. le cas échéant, d’autres informations supplémentaires, notamment lorsque les données à caractère personnel ont été collectées à l’insu de la personne concernée.
(3) Le responsable du traitement peut retarder ou refuser en tout ou en partie de fournir les informations visées à l’alinéa 2, lorsque cela est nécessaire afin de :
1. ne pas faire obstacle à des contrôles de service ou prévus par la loi, des enquêtes et des procédures ;
2. ne pas affecter défavorablement la prévention et la détection des infractions pénales, les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales ;
3. protéger l’ordre et la sécurité publics ;
4. protéger la sécurité nationale ;
5. protéger les droits et les libertés de tierces personnes.
(4) une fois que la circonstance visée à l’alinéa 3 cesse d’exister, le responsable du traitement fournit sans tarder l’information demandée dans le délai prévu par l’art. 53, alinéa 3.
(5) Lors de la prise de la décision visée à l’alinéa 3, le responsable du traitement prend en compte les droits fondamentaux et les intérêts légaux de la personne physique affectée.
 
Art. 55. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) La personne concernée a le droit d`obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu`elles le sont, l`accès auxdites données à caractère personnel ainsi que les informations suivantes :
1. les circonstances visées à l’art. 54, alinéa 1, points 3 à 5 et alinéa 2, points 1 à 3 ;
2. les catégories de données à caractère personnel traitées ;
3. les données à caractère personnel étant en cours de traitement et toute information disponible concernant leur origine, à moins qu’elle ne soit protégée par le secret conformément à la loi.
(2) Le responsable du traitement fournit l’information visée à l’alinéa 1 dans le délai prévu par l’art. 53, alinéa 3.
(3) Le droit à l’accès aux données et à l’information visées à l’alinéa 1 peut être limité entièrement ou partiellement, en tenant compte des droits fondamentaux et des intérêts légaux de la personne physique affectée dans les cas prévus par l’art. 54, alinéa 3. C’est l’art. 54, alinéa 4 qui est appliqué dans ces cas-là.
(4) Dans les cas visés à l’alinéa 3, le responsable du traitement informe par écrit la personne concernée dans le délai prévu par l’art. 53, alinéa. 3 de tout refus d’accès ou de la limitation de l’accès, ainsi que des raisons à son origine. Lorsque l’accès à cette information risque d’affecter la réalisation de l’une des finalités prévues par l’art. 54, alinéa 3, celle-ci peut ne pas être fournie. Le responsable du traitement informe la personne concernée de son droit d`introduire une réclamation auprès de la Commission, respectivement de l’Inspection ou de former un recours juridictionnel.
(5) Le responsable du traitement consigne dans un document les fondements de fait ou de droit à l’origine de sa décision. Ces informations sont fournies à la Commission et respectivement à l’Inspection.
 
Art. 56. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) La personne concernée a le droit d`obtenir du responsable du traitement la rectification des données à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d`obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire.
(2) Le responsable du traitement visé à l’alinéa 1 est tenu d’effacer les données à caractère personnel et la personne concernée a le droit de demander au responsable du traitement d’effacer les données à caractère personnel l’affectant, lorsque le traitement viole les dispositions des articles 45, 49 ou 51, ou lorsque les données à caractère personnel doivent être effacées dans le respect d’une obligation légale du responsable du traitement.
(3) Le responsable du traitement rectifie et complète les données visées à l’alinéa 1 ou efface les données dans les cas prévus par l’alinéa 2 et dans le délai visé à l’art. 53, alinéa 3.
(4) Le responsable du traitement limite le traitement des données à caractère personnel sans les effacer, lorsque :
1. l’exactitude des données à caractère personnel est contestée par la personne concernée et elle ne peut pas être vérifiée, ou
2. les données à caractère personnel doivent être conservées à des fins probatoires.
(5) Dans les cas visés à l’alinéa 4, p. 1, le responsable du traitement informe la personne concernée avant de lever la limitation du traitement.
(6) Corriger, compléter, effacer ou limiter le traitement des données à caractère personnel peut être refusé, en prenant en compte les droits fondamentaux et les intérêts légaux de la personne physique affectée dans les cas prévus par l’art. 54, alinéa 3. C’est l’art. 54, alinéa 4 qui est appliqué dans ces cas-là. Le responsable du traitement communique par écrit à la personne concernée, dans le délai prévu par l’art. 53, alinéa. 3, le refus et les raisons à son origine.
(7) Le responsable du traitement peut ne pas communiquer à la personne concernée le refus visé à l’alinéa 6 dans les cas prévus par l’art. 54, alinéa 3, en appliquant respectivement l’art. 54, alinéa 4 et 5.
(8) Le responsable du traitement informe la personne concernée de son droit d`introduire une réclamation auprès de la Commission, respectivement de l’Inspection et de former un recours juridictionnel.
(9) Le responsable du traitement communique à l’autorité compétente, lui ayant fourni des données à caractère personnel inexactes, leur rectification.
(10) Le responsable du traitement communique toute rectification, tout complément, tout effacement, ou toute limitation du traitement des données à caractère personnel à leurs destinataires, qui, par conséquent, les rectifient, complètent, effacent ou limitent leur traitement.
 
Art. 57. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) Dans les cas prévus par l’art. 54, alinéa 3, art. 55, alinéas 3 et 4 et art. 56, alinéas 6 et 7 la personne concernée peut exercer ses droits par l’intermédiaire de la Commission et respectivement de l’Inspection. Dans ces cas, la Commission et respectivement l’Inspection vérifient la légalité du refus.
(2) Dans les cas visés à l’alinéa 1, la Commission et respectivement l’Inspection communiquent à la personne concernée au moins le fait que toutes les inspections nécessaires ou informations ont été effectuées, ainsi que son droit d’introduire un recours juridictionnel.
 
Art. 58. (Nouvel alinéa - Journal officiel, n° 17 de 2019) L’exercice des droits visés aux articles 54, 55 et 56, lorsque les données à caractère personnel sont contenues dans une décision judicaire, un document ou des écrits dans le cadre de l’affaire, relevant de la procédure pénale, n’affectent pas et ne peuvent pas être contraires aux dispositions du Code de procédure pénale.

Section III.
Responsable du traitement et sous-traitant (Nouvelle - Journal officiel, n° 17 de 2019)
Art. 59. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) Tenant compte de la nature, de la portée, du contexte et des finalités du traitement, ainsi que les risques pour les droits et les libertés des personnes physiques, le responsable du traitement applique des mesures techniques et organisationnelles appropriées afin de garantir et d’être en mesure de prouver que le traitement est conforme à cette loi. Le cas échéant, ces mesures sont réexaminées et actualisées.
(2) Lorsque cela est proportionné au regard des activités de traitement, les mesures visées à l’alinéa 1 comprennent la mise en œuvre de politiques appropriées en matière de protection des données par le responsable du traitement.
(3) Par les mesures visées à l’alinéa 1 le responsable du traitement assure la protection des données à caractère personnel dès la conception, en tenant compte de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques pour les droits et libertés des personnes physiques lors du traitement. Les mesures doivent être conformes aux exigences de l’art. 45, sont programmées au moment de la détermination des moyens du traitement et appliquées au moment du traitement lui-même. Les mesures peuvent comprendre la pseudonymisation, la minimisation des données et la mise en place de garanties appropriées au moment du traitement des données.
(4) Par les mesures visées à l’alinéa 1, le responsable du traitement garantit que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s`applique à la quantité de données à caractère personnel collectées, à l`étendue de leur traitement, à leur durée de conservation et à leur accessibilité. Ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l`intervention de la personne physique concernée.
 
Art. 60. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement.
(2) Les responsables conjoints du traitement visés à l’alinéa 1 définissent de manière transparente leurs droits et obligations en vertu de ce chapitre, notamment ceux qui sont liés à l`exercice des droits de la personne concernée et à la communication des informations visées conformément à l’art. 54 par l’intermédiaire de règles conjointes, à moins que leurs droits et obligations ne soient définis par le droit de l`Union européenne ou par la législation de la République de Bulgarie. Les règles définissent le point de contact pour les personnes concernées, les responsables du traitement conjoints pouvant indiquer qui d’eux sert de point de contact unique.
(3) Indépendamment de ce qui est prévu par les règles visées à l’alinéa 1, la personne concernée peut exercer ses droits en vertu de ce chapitre à l’égard de chacun des responsables du traitement visés à l’alinéa 1.
 
Art. 61. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) Le responsable du traitement ne peut confier le traitement de données à caractère personnel pour son compte qu’à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences de ce chapitre et garantisse la protection des droits de la personne concernée.
(2) Le sous-traitant ne recrute pas un autre sous-traitant sans l`autorisation écrite préalable, spécifique ou générale, du responsable du traitement visé à l’alinéa 1. Dans le cas d`une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l`ajout ou le remplacement d`autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d`émettre des objections à l`encontre de ces changements
(3) Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l`Union ou de la législation de la République de Bulgarie, qui lie le sous-traitant à l`égard du responsable du traitement au sens de l’alinéa 1, définit l`objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, les obligations et les droits du responsable du traitement. Ce contrat ou cet autre acte juridique prévoit, notamment, que le sous-traitant :
1. n’agit que sur instruction du responsable du traitement ;
2. veille à ce que les personnes autorisées à traiter les données à caractère personnel s`engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
3. aide le responsable du traitement à garantir le respect des droits de la personne concernée ;
4. selon le choix du responsable du traitement, supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation de services relatifs au traitement, et détruit les copies existantes, à moins que le droit de l`Union européenne ou la législation de la République de Bulgarie n`exige la conservation des données à caractère personnel ;
5. fournit au responsable du traitement toute l’information nécessaire pour démontrer le respect de cet article ;
6. respecte les conditions visées aux points 1 à 5 et à l’alinéa 2 pour recruter un autre sous-traitant.
(4) Le contrat ou l`autre acte juridique visé à l’alinéa 3 se présente sous une forme écrite, y compris en format électronique.
(5) Si, en violation des règles de ce chapitre, un sous-traitant détermine les finalités et les moyens du traitement, il est considéré comme un responsable du traitement pour ce qui concerne ce traitement.
(6) Le sous-traitant et toute personne agissant sous son autorité ou sous l`autorité du responsable du traitement au titre de l’alinéa 1, qui a accès à des données à caractère personnel, ne peut traiter ces données que sur instruction du responsable du traitement, à moins que les modalités du traitement ne soient prévues par le droit de l`Union européenne ou la législation de la République de Bulgarie.
 
Art. 62. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) Le responsable du traitement tient un registre des catégories d’activités de traitement de données à caractère personnel, comprenant :
1. le nom et les coordonnées du responsable du traitement et, le cas échéant, des responsables conjoints du traitement et du délégué à la protection des données ;
2. les finalités de traitement des données à caractère personnel.
3. les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales ;
4. une description des catégories de personnes concernées et des catégories de données à caractère personnel ;
5. le cas échéant, des informations relatives à l`existence d`un profilage ;
6. le cas échéant, les catégories de transferts de données à caractère personnel à des pays tiers ou à des organisations internationales ;
7. le fondement juridique pour une opération de traitement, y compris le transfert de données, à laquelle sont destinées les données à caractère personnel ;
8. dans la mesure du possible, les délais prévus pour l`effacement des différentes catégories de données à caractère personnel ;
9. dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l`article 66.
(2) Le sous-traitant tient un registre des catégories d`activités de traitement effectuées pour le compte du responsable du traitement, comprenant :
1. le nom et les coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, ceux du délégué à la protection des données ;
2. les catégories de traitements de données à caractère personnel effectués pour le compte de chaque responsable du traitement ;
3. le cas échéant, le transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, sur instruction expresse du responsable du traitement, y compris le nom de ce pays tiers ou de cette organisation internationale ;
4. dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l`article 66.
(3) Les registres visés aux alinéas 1 et 2 se présentent sous une forme écrite y compris la forme électronique.
(4) Le responsable du traitement ou le sous-traitant fournissent, sur demande, accès aux registres de la Commission et respectivement à ceux de l’Inspection.
 
Art. 63. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) Des journaux de bord sont tenus au sein des systèmes de traitement automatisé, entretenus par le responsable du traitement et le sous-traitant, concernant au moins les opérations de traitement telles que la collecte, la modification, les consultations, la communication, y compris la transmission, l`interconnexion ou l’effacement.
(2) En cas de consultation ou de communication de données, les journaux visés à l’alinéa 1 doivent permettre d’établir le fondement, la date et l’heure de la réalisation de ces opérations et dans la mesure du possible - d’identifier la personne ayant procédé à la consultation ou à la communication des données à caractère personnel ainsi que des données permettant d’identifier les destinataires de ces données à caractère personnel.
(3) Les journaux visés à l’alinéa 1 ne sont utilisés qu’à des fins de contrôle de la légalité du traitement, d’autocontrôle et de garantie de l’intégrité et de la sécurité des données à caractère personnel, ainsi que dans le cadre des procédures pénales.
(4) Le responsable du traitement détermine des délais appropriés de conservation, y compris d’archivage, des journaux visés à l’alinéa 1.
(5) Le responsable du traitement ou le sous-traitant fournissent, sur demande, accès aux journaux visés à l’alinéa 1 de la Commission et respectivement à ceux de l’Inspection.
 
Art. 64. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) Lorsqu`un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d`engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l`impact des opérations de traitement envisagées sur la protection des données à caractère personnel.
(2) L’analyse de l`impact visée à l’alinéa 1 comprend au moins une description générale des opérations de traitement envisagées, une évaluation des risques pour les droits et les libertés des personnes concernées, les mesures prévues pour faire face à ces risques, des garanties, des mesures de sécurité et des dispositifs garantissant la protection des données à caractère personnel et apportant la preuve du respect des règles de ce chapitre, compte tenu des droits et des intérêts légaux des personnes concernées et d’autres personnes affectées.
 
Art. 65. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) Le responsable du traitement ou le sous-traitant consulte la Commission, respectivement l’Inspection préalablement au traitement de données à caractère personnel, qui fera l’objet d’un nouveau registre de données à caractère personnel à mettre en place, lorsque :
1. l’analyse d`impact effectuée au titre de l`article 64 indique que le traitement présenterait un risque élevé malgré les mesures prises par le responsable du traitement pour atténuer le risque, ou
2. le type de traitement, en particulier par le recours à de nouvelles technologies, dispositifs et procédures présente un risque élevé pour les droits et les libertés des personnes concernées.
(2) La Commission et respectivement l’Inspection est consultée lors de l’élaboration de projets de lois et de disposions réglementaires comprenant des mesures relatives au traitement.
(3) La Commission adopte et publie une liste des opérations de traitement, faisant obligatoirement l’objet de la consultation préalable visée à l’alinéa 1. L’Inspection applique la liste visée à la phrase précédente.
(4) Le responsable du traitement fournit à la Commission et respectivement à l’Inspection l’analyse d’impact visée à l’art. 64 et sur demande - toute autre information, qui leur permettra d’évaluer la conformité du traitement et plus particulièrement les risques pour la protection des données à caractère personnel et les garanties afférentes à cette protection.
(5) Lorsque la Commission, respectivement l’Inspection, est d’avis que le traitement envisagé visé à l’alinéa 1 constituerait une violation des dispositions du présent chapitre, en particulier lorsque le responsable du traitement n`a pas suffisamment identifié ou atténué le risque, elle fournit par écrit, dans un délai maximum de six semaines à compter de la réception de la demande de consultation, un avis écrit au responsable du traitement et, le cas échéant, au sous-traitant. Ce délai peut être prolongé d’un mois. En fonction de la complexité du traitement envisagé La Commission, respectivement l’Inspection, informe le responsable du traitement et, le cas échéant, le sous-traitant de la prolongation du délai ainsi que des motifs du retard, dans un délai d`un mois à compter de la réception de la demande de consultation.
(6) L’avis écrit rendu en vertu de l’alinéa 5 est sans préjudice à la possibilité de la Commission, respectivement de l’Inspection, d’exercer ses pouvoirs en vertu de l’art. 80 à l’égard du responsable du traitement ou du sous-traitant.
 
Art. 66. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) Compte tenu de l`état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant, mettent en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, notamment à l’égard du traitement de catégories de données à caractère personnel prévu par l’art. 51, alinéa 1.
(2) Le responsable du traitement ou le sous-traitant appliquent à l’égard du traitement automatisé, à la suite d’une évaluation des risques, des mesures concernant notamment :
1. le contrôle de l’accès aux infrastructures - refuser l’accès de personnes non autorisées aux infrastructures utilisées pour le traitement de données à caractère personnel ;
2. le contrôle des supports de données - empêcher que des supports de données soient lus, copiés, modifiés ou effacés par des personnes non autorisées ;
3. le contrôle du stockage - empêcher l`introduction non autorisée de données et le contrôle, la consultation, la modification ou l`effacement non autorisés de données à caractère personnel stockées ;
4. le contrôle des utilisateurs - empêcher l’utilisation de systèmes automatisés de traitement par des personnes non autorisées par l’intermédiaire de l’utilisation d’infrastructures de transfert de données ;
5. le contrôle de l’accès à des données - garantir que les personnes autorisées à utiliser le système automatisé de traitement n’aient accès qu’aux donnés à caractère personnel couvertes par leur autorisation d’accès ;
6. le contrôle de la transmission -garantir qu’il puisse être vérifié et constaté à quelles instances des données à caractère personnel ont été ou peuvent être transmises ou mises à disposition par des installations de transmission de données ;
7. le contrôle de l’introduction des données - garantir qu’il puisse être vérifié et constaté a posteriori quelles données à caractère personnel ont été introduites dans les systèmes de traitement automatisé de données, et à quel moment et par quelle personne elles y ont été introduites ;
8. le contrôle du transport - empêcher toute lecture, copie, modification ou tout effacement non autorisés de données à caractère personnel pendant la transmission des données ou durant le transport de supports de données ;
9. la restauration - garantir que les systèmes installés puissent être rétablis en cas d’interruption ;
10. la fiabilité - garantir que les fonctions du système opèrent, que les erreurs de fonctionnement soient signalées ;
11. intégrité - garantir que les données conservées ne puissent pas être corrompues par un dysfonctionnement du système.
 
Art. 67. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) En cas de violation de données à caractère personnel pouvant engendrer un risque élevé pour les droits et libertés des personnes concernées, le responsable du traitement notifie la violation à la Commission, respectivement à l’Inspection, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance. Lorsque la notification n`a pas lieu dans le délai prévu dans la phrase précédente, elle est accompagnée des motifs du retard.
(2) Le sous-traitant notifie au responsable du traitement, dans les meilleurs délais et, si possible, 72 heures au plus tard après avoir pris connaissance d’une violation de données à caractère personnel.
(3) La notification visée à l’alinéa 1 comprend au moins :
1. la description de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d`enregistrements de données à caractère personnel concernés ;
2. le nom et les coordonnées du délégué à la protection des données ou d`un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
3. la description des conséquences probables de la violation de données à caractère personnel ;
4. la description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
(4) S’il n`est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.
(5) Le responsable du traitement documente toute violation de données à caractère personnel au titre de l’alinéa 1, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier.
(6) Lorsque la violation des données à caractère personnel affecte des données à caractère personnel, envoyées par un responsable du traitement d’un Etat membre de l’Union européenne ou adressées à celui-ci, les informations visées à l’alinéa 3 sont communiquées à ce responsable du traitement dans les meilleurs délais et, si possible, 7 jours au plus tard à compter de l’établissement de cette violation.
 
Art. 68. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) Lorsque la violation des données à caractère personnel visée à l’art. 67, alinéa 1, est susceptible d`engendrer un risque élevé pour les droits et libertés des personnes concernées, le responsable du traitement communique la violation de données à caractère personnel également à la personne concernée dans un délai de 7 jours au plus tard à compter de l’établissement de cette violation.
(2) La communication visée à l’alinéa 1 décrit, en des termes clairs et simples, la violation des données à caractère personnel et contient au moins les informations et les mesures visées à l’art. 67, alinéa 3, points 2, 3 и 4.
(3) La violation visée à l’alinéa 1 n`est pas communiquée à la personne concernée si l`une ou l`autre des conditions suivantes est remplie :
1. le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n`est pas autorisée à y avoir accès, telles que le chiffrement ;
2. le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées n`est plus susceptible de se matérialiser ;
3. la communication exigerait des efforts disproportionnés ; Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d`être informées de manière tout aussi efficace.
(4) Lorsque le responsable du traitement n`a pas encore communiqué à la personne concernée la violation des données à caractère personnel en vertu de l’alinéa 1, la Commission, et respectivement l’Inspection, peut, après avoir examiné si cette violation de données à caractère personnel est susceptible d`engendrer un risque élevé, exiger que le responsable du traitement procède à cette communication.
(5) Dans les cas de l’art. 54, alinéa 3, le responsable du traitement peut ne pas communiquer à la personne concernée la violation visée à l’alinéa 1, la lui communiquer après le délai visé à l’alinéa 1, ainsi que limiter les informations visées à l’alinéa 2.
 
Art. 69. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) Le responsable du traitement désigne le délégué à la protection des données sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l`article 70.
(2) Un délégué à la protection des données peut être désigné conjointement pour plusieurs responsables du traitement, compte tenu de leur structure organisationnelle et de leur taille.
(3) Le responsable du traitement publie par tout moyen approprié les coordonnées du délégué à la protection des données et les notifie à la Commission selon les modalités prévues par l’art. 25 ter.
(4) Les délégués à la protection des données désignés par les autorités du pouvoir judicaire n’accomplissent pas les missions prévues par l’art. 70 lors du traitement de données à caractère personnel aux fins de l’art. 42, alinéa 1 par les juridictions, le parquet et les autorités d’enquête dans l’exercice de leurs fonctions d’autorités du pouvoir judiciaire.
 
Art. 70. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) Le responsable du traitement veille à ce que le délégué à la protection des données soit associé, d`une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel.
(2) Le responsable du traitement confie au délégué à la protection des données au moins les missions suivantes :
1. informer et conseiller le responsable du traitement et les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu de la présente loi et d`autres dispositions relatives à la protection des données ;
2. contrôler le respect de la présente loi et d`autres dispositions relatives à la protection des données et des règles internes du responsable du traitement en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s`y rapportant ;
3. dispenser des conseils, sur demande, en ce qui concerne l`analyse d`impact visée à l’art. 64 et vérifier l`exécution de celle-ci ;
4. coopérer avec la Commission, respectivement avec l’Inspection ;
5. servir de point de contact avec la Commission, y compris aux fins de la consultation préalable en vertu de l’art. 65, et le cas échéant, consulter la Commission, respectivement l’Inspection, sur les questions liées aux traitements de données à caractère personnel.
(3) Le responsable du traitement assiste sur les plans technique et organisationnel le délégué à la protection des données, en lui fournissant les ressources nécessaires, ainsi que l`accès aux données à caractère personnel et aux opérations de traitement, et lui permettant d`entretenir ses connaissances spécialisées.
 
Art. 71. (Nouvel alinéa - Journal officiel, n° 17 de 2019) Les autorités compétentes définissent des procédures appropriées permettant à leurs agents de rendre compte, directement et de façon confidentielle au point administratif afférent au sein de la structure de l’administrateur ou de la Commission, respectivement de l’Inspection, des violations en vertu de ce chapitre.

Section IV.
Transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales (Nouvel alinéa - Journal officiel, n°. 17 de 2019)
Art. 72. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) Une autorité compétente peut transférer des données à caractère personnel qui sont en cours de traitement ou sont destinées à faire l’objet d’un traitement après leur transfert vers un pays tiers ou une organisation internationale, y compris en vue d’un transfert ultérieur à un autre pays ou organisation internationale, à condition que le transfert est conforme à cette loi et si chacune des conditions suivantes est remplie :
1. le transfert est nécessaire aux fins de l’art. 42, al. 1 ;
2. les données à caractère personnel sont transférées vers un responsable du traitement établi dans un pays tiers ou vers une organisation internationale qui sont des autorités compétentes aux fins de l’art. 42, alinéa 1 ;
3. des données à caractère personnel, reçues d’un autre Etat membre de l’Union européenne, sont transférées avec l’accord préalable de transfert conformément à son droit national ;
4. lorsque :
a) la Commission européenne a constaté par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l’organisation internationale en question assurent un niveau adéquat de protection, ou
b) en l’absence de la décision visée à la lettre « а », des garanties appropriées sont prévues conformément à l’art. 74, ou
c) en l’absence de la décision visée à la lettre « а » et des garanties appropriées visées à la lettre « b », le transfert de données personnelles est nécessaire dans les cas visés à l’art. 75 ;
5. En cas de transfert ultérieur de données à caractère personnel vers un pays tiers ou une organisation internationale, l’autorité compétente, ayant procédé au transfert initial, ou une autre autorité compétente de la  République de Bulgarie autorise le transfert ultérieur de données, après avoir dûment pris en considération l’ensemble des facteurs importants, y compris la gravité de l’infraction pénale, la finalité pour laquelle les données à caractère personnel ont été transférées initialement et le niveau de protection des données dans l’autre pays tiers ou au sein de l’organisation internationale, vers lequel/laquelle est les données à caractère personnel sont transférées ultérieurement.
(2) Le transfert de données à caractère personnel en l’absence de l’accord préalable de l’autre Etat membre de l’Union européenne conformément à l’alinéa 1, p. 3, est autorisé uniquement lorsque le transfert est nécessaire aux fins de la prévention d’une menace grave et immédiate pour l’ordre et la sécurité publics d’un Etat membre de l’Union européenne ou d’un pays tiers ou pour les intérêts essentiels d’un Etat membre de l’Union européenne et si l’accord préalable ne peut pas être obtenu en temps utile. Dans ces cas, l’autorité de l’Etat membre de l’Union européenne ayant fourni les données à caractère personnel et à laquelle il revient d`accorder l`autorisation préalable visée à l’alinéa 1, p. 3 en est informée sans tarder.
 
Art. 73. (Nouvel alinéa - Journal officiel, n° 17 de 2019) Lorsque la Commission européenne abroge, modifie ou suspend une décision visée à l’art. 72, alinéa 1, p. 4, lettre « а », les données à caractère personnel vers le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l’organisation internationale en question peuvent être transférées dans les conditions prévues par les articles 74 et 75.
 
Art. 74. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) En l’absence de décision de la Commission européenne conformément à l’art. 72, alinéa 1, p. 4, lettre « а » un transfert de données à caractère personnel vers un pays tiers ou une organisation internationale peut avoir lieu lorsque :
1. la législation du pays tiers ou les statuts de l’organisation internationale, ou encore un traité international entré en vigueur dont la République de Bulgarie est signataire, ou un autre acte juridiquement contraignant prévoient des garanties appropriées en ce qui concerne la protection des données à caractère personnel, ou
2. le responsable du traitement a évalué toutes les circonstances du transfert et estime qu`il existe des garanties appropriées au regard de la protection des données à caractère personnel.
(2) Le responsable du traitement documente le transfert dans les cas visés à l’alinéa 1, p. 2, y compris la date et l’heure du transfert, des informations sur l`autorité compétente destinataire, la justification du transfert et les données à caractère personnel transférées.
(3) Le responsable du traitement communique à la Commission, respectivement à l’Inspection les catégories de transfert en vertu de l’alinéa 1, p. 2 et sur demande met à leur disposition la documentation visée à l’alinéa 2.
 
Art. 75. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) En l’absence de décision de la Commission européenne conformément à l’art. 72, alinéa 1, p. 4, lettre « а » ou de garantes appropriées, un transfert de données à caractère personnel vers un pays tiers ou une organisation internationale peut avoir lieu uniquement si ce transfert est nécessaire :
1. à la sauvegarde des intérêts vitaux de la personne concernée ou d`une autre personne ;
2. à la sauvegarde des intérêts légitimes de la personne concernée lorsque la législation de la République de Bulgarie le prévoit ;
3. pour prévenir une menace grave et immédiate pour l’ordre et la sécurité publics d`un État membre de l’Union européenne ou d`un pays tiers ;
4. dans des cas particuliers, aux fins énoncées à l’art. 42, alinéa 1, ou
5. dans un cas particulier, à la constatation, à l`exercice ou à la défense de droits en justice en rapport avec les fins énoncées à l`art. 42, alinéa 1.
(2) Les données à caractère personnel ne sont pas transférées si l`autorité compétente estime que les libertés et droits fondamentaux de la personne concernée l`emportent sur l`intérêt public dans le cadre du transfert visé à l’alinéa. 1, points 4 et 5.
(3) Le transfert de données visé à l’alinéa 1 est documenté et la documentation est mise à la disposition de la Commission, et respectivement à l’Inspection, sur demande, y compris la date et l`heure du transfert, des informations sur l`autorité compétente destinataire, la justification du transfert et les données à caractère personnel transférées.
 
Art. 76. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) Une autorité compétente peut, dans certains cas particuliers, par dérogation à l’art. 72, alinéa 1, p. 2 et sans préjudice de tout accord international, transférer des données à caractère personnel directement aux destinataires établis dans des pays tiers, uniquement lorsque les autres dispositions de ce chapitre sont respectées et que toutes les conditions ci-après sont remplies :
1. le transfert est strictement nécessaire à l`exécution de la mission de l`autorité compétente qui transfère les données ainsi que le prévoit le droit de l`Union européenne ou la législation de la République de Bulgarie aux fins énoncées à l’art. 42, alinéa 1 ;
2. l`autorité compétente qui transfère les données établit qu`il n`existe pas de libertés ni de droits fondamentaux de la personne concernée qui prévalent sur l`intérêt public nécessitant le transfert dans le cas en question ;
3. l`autorité compétente qui transfère les données estime que le transfert à une autorité qui est compétente aux fins visées à l`article 42, alinéa 1, dans le pays tiers est inefficace ou inapproprié, notamment parce que le transfert ne peut pas être effectué en temps opportun ;
4. l`autorité qui est compétente aux fins visées à l`article 42, alinéa 1, dans le pays tiers est informée dans les meilleurs délais, à moins que cela ne soit inefficace ou inapproprié ;
5. l`autorité compétente qui transfère les données informe le destinataire de la finalité ou des finalités déterminées pour lesquelles les données à caractère personnel ne doivent faire l`objet d`un traitement que par cette dernière, à condition qu`un tel traitement soit nécessaire.
(2) Par accord international visé à l’alinéa 1, on entend tout accord international bilatéral ou multilatéral en vigueur entre les États membres de l’Union européenne et des pays tiers dans le domaine de la coopération judiciaire en matière pénale et de la coopération policière.
(3) L`autorité compétente qui transfère les données documente tout transfert visé à l’alinéa 1 et en informe la Commission, et respectivement l’Inspection.
 
Art. 77. (Nouvel alinéa - Journal officiel, n° 17 de 2019) La Commission prend, à l`égard des pays tiers et des organisations internationales, les mesures appropriées pour :
1. élaborer des mécanismes de coopération internationale destinés à faciliter l`application effective de la législation relative à la protection des données à caractère personnel ;
2. se prêter mutuellement assistance sur le plan international dans l`application de la législation relative à la protection des données à caractère personnel, y compris par la notification, la transmission des réclamations, l`entraide pour les enquêtes et l`échange d`informations, sous réserve de garanties appropriées pour la protection des données à caractère personnel et d`autres libertés et droits fondamentaux ;
3. associer les parties prenantes intéressées aux discussions et activités visant à développer la coopération internationale dans le domaine de l`application de la législation relative à la protection des données à caractère personnel ;
4. favoriser l`échange et la documentation de la législation et des pratiques en matière de protection des données à caractère personnel, y compris en ce qui concerne les conflits de compétence avec des pays tiers.

Section V.
Contrôle du respect des règles relatives à la protection des données à caractère personnel Recours juridictionnels (Nouvelle disposition - Journal officiel, n°. 17 de 2019)
Art. 78. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) Le contrôle relatif au présent chapitre en matière de traitement de données à caractère personnel aux fins énoncées à l’art. 42, alinéa 1 est effectué par la Commission, à l’exception des cas prévus par l’alinéa 2.
(2) Le contrôle en vertu du présent chapitre concernant le traitement de données à caractère personnel aux fins énoncées à l’art. 42, al. 1 par les juridictions, le parquet et les autorités d’enquête dans l’exercice de leurs fonctions d’autorité du pouvoir judiciaire est exercé par l’Inspection.
 
Art. 79. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) Lors du contrôle conformément au présent chapitre, la Commission, et respectivement l’Inspection, exerce les missions suivantes :
1. supervise et garantit la mise en œuvre des dispositions de ce chapitre ;
2. encourage la sensibilisation de la société et la compréhension des risques, des règles, des garanties et des droits, liées au traitement de données à caractère personnel ;
3. sensibilise davantage les responsables du traitement et les sous-traitants aux obligations qui leur incombent ;
4. fournit, sur demande, à toute personne concernée des informations sur l`exercice de ses droits et, si nécessaire, coopère, à cette fin, avec les autorités de contrôle d`autres États membres de l’Union européenne ;
5. traite les réclamations introduites par une personne concernée conformément aux modalités prévues par le chapitre sept ;
6. contrôle la légalité du traitement dans des cas prévus par l’art. 57 et informe la personne concernée des résultats du contrôle dans un délai de trois mois à compter de la saisie ou des raisons pour lesquels le contrôle n’a pas été effectué ;
7. coopère avec les autres autorités de contrôle, y compris par l’échange d’informations et l’assistance mutuelle en vue de la mise en œuvre et de l`application de façon cohérente des règles relatives à la protection des données à caractère personnel ;
8. effectue des enquêtes dans le domaine de la protection des données à caractère personnel, y compris sur la base d’informations reçues d`une autre autorité de contrôle ou d`une autre autorité publique ;
9. suit les évolutions dans le domaine des technologies de l`information et de la communication, dans la mesure où elles ont une incidence sur la protection des données à caractère personnel.
(2) En outre des missions et des pouvoirs visés à l’alinéa 1, la Commission exerce, dans le cadre du contrôle au titre de ce chapitre, les missions visées à l’art. 10, alinéa 2, et participe aux activités du Comité européen de la protection des données.
(3) Aucun paiement de frais n`est exigé lors de l’exercice des missions visées à l’alinéa 1 de la part de la personne concernée et du délégué à la protection des données.
(4) Le responsable du traitement et le sous-traitant coopèrent à la demande de la Commission, respectivement de l’Inspection, dans l’exercice de leurs missions.
 
Art. 80. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) Lors du contrôle conformément au présent chapitre, la Commission, et respectivement l’Inspection, a les pouvoirs suivants :
1. obtenir du responsable du traitement ou du sous-traitant l’accès à toutes les données à caractère personnel qui sont traitées ;
2. obtenir du responsable du traitement ou du sous-traitant l’accès à toute l’information nécessaire à l’exercice des missions visées à l’art. 79 ;
3. avertir un responsable du traitement ou un sous-traitant lorsque les opérations de traitement envisagées sont susceptibles de violer les dispositions du présent chapitre ;
4. ordonner au responsable du traitement ou au sous-traitant de mettre les opérations de traitement de données en conformité avec les dispositions du présent chapitre, y compris ordonner la rectification, l’effacement ou la limitation du traitement des données à caractère personnel conformément à l’article 56 ;
5. imposer une limitation temporaire ou définitive, y compris une interdiction, du traitement ;
6. donner un avis au responsable du traitement ou au sous-traitant conformément à la procédure de consultation préalable conformément à l’art. 65 ;
7. émettre, de sa propre initiative ou sur demande, des avis sur des projets de loi, d’autres dispositions réglementaires et de mesures administratives relatifs à la protection des données à caractère personnel des personnes physiques ;
8. émettre, de sa propre initiative ou sur demande, des avis sur des questions relatives à la protection des données à caractère personnel.
(2) En outre des pouvoirs visés à l’alinéa 1, la Commission, respectivement l’Inspection, exerce les pouvoirs énoncés à l’art. 10 bis, alinéa. 2, p. 2, et respectivement à l’art. 17 bis, alinéa. 2, p. 2.
(3) La Commission, respectivement l’Inspection peut saisir le tribunal de violations relevant de ce chapitre.
 
Art. 81. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) La Commission, et respectivement l’Inspection, coopère avec les autorités de contrôle des autres Etats membres, y compris par l’intermédiaire d’échanges d`informations et de demandes de consultations, d’inspections et d’enquêtes et de la satisfaction à ces demandes. Il convient que les demandes contiennent toutes les informations nécessaires, y compris la finalité et les motifs de la demande. Les informations échangées ne sont utilisées qu`aux fins pour lesquelles elles ont été demandées.
(2) La Commission, et respectivement l’Inspection prend toutes les mesures appropriées requises pour répondre à une demande d`une autre autorité de contrôle dans les meilleurs délais et au plus tard un mois après réception de la demande.
(3) La Commission, et respectivement l’Inspection peut refuser de satisfaire à une demande d`assistance, en motivant son refus, lorsque :
1. elle n`est pas compétente pour traiter l`objet de la demande ou pour prendre les mesures qu`elle est requise d`exécuter, ou
2. satisfaire à la demande constituerait une violation de la législation de la République de Bulgarie ou du droit de l’Union européenne.
(4) La Commission, et respectivement l’Inspection, informe l`autorité de contrôle requérante des résultats obtenus ou, selon le cas, de l`avancement des mesures prises pour donner suite à la demande.
(5) Les formes de coopération et d’assistance entre la Commission, et respectivement l’Inspection, et les autorités de contrôle des autres Etats membres de l’Union européenne, et les procédures selon lesquelles elles sont effectuées sont définies au règlement visé à l’art. 9, alinéa 2, et respectivement au règlement visé à l’art. 55, alinéa 8 de la Loi sur le pouvoir judiciaire.
 
Art. 82. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) En cas de violation de ses droits prévus par le présent chapitre, la personne concernée dispose de voies de recours juridictionnels et a le droit d’obtenir réparation des préjudices subis conformément aux dispositions du chapitre sept.
(2) Dans les cas de l’art. 38, alinéa 1 et de l’art. 38 ter, alinéa 1, la Commission, respectivement l’Inspection facilite l’introduction de la réclamation de la personne concernée en lui fournissant un formulaire.
 
Art. 83. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) La personne concernée a le droit de mandater une personne morale à but non lucratif, dont les objectifs statutaires sont d’intérêt public et est active dans le domaine de la protection des droits et des libertés des personnes physiques dans le cadre de la protection des données à caractère personnel les concernant, pour qu’il introduise une réclamation en son nom et exerce en son nom les droits visés aux articles  38, alinéas 1 et 6,  38 ter, alinéa 1, 38 quater, alinéas 4 et 5 et 39, alinéa 1.
(2) La personne concernée ne peut pas mandater une personne au titre de l’alinéa 1 pour qu`elle exerce son droit d`obtenir réparation visé à l`article 39, alinéa 2.

Chapitre neuf.
MESURES ADMINISTRATIVES CONTRAIGNANTES. DISPOSITIONS ADMINISTRATIVES DE SANCTION (Nouvelle disposition - Journal officiel, n° 17 de 2019)
Art. 84. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) Les mesures visées à l’art. 58, paragraphes 2, points « a » à « g » et « j » du Règlement (UE) 2016/679 et à l’art. 80, alinéa 1, points 3, 4 et 5 sont des mesures administratives contraignantes en vertu de la Loi sur les infractions et les sanctions administratives.
(2) Les mesures visées à l’alinéa 1 sont appliquées sur décision de la Commission, respectivement de l’Inspection, susceptible d’ appel conformément au Code de procédure administrative dans un délai de 14 jours à compter de sa réception.
 
Art. 85. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) Pour les violations visées à l’art. 25 quater, des amendes administratives dont les montants sont prévus par l’art 83, paragraphe 4 du Règlement (UE) 2016/679 sont infligées au responsable du traitement ou au sous-traitant.
(2) Pour les violations visées à l’art. 12 bis, alinéa 2, art. 25 octies, alinéas 1 et 2, art 25 novies, alinéa 1 et 2, art. 25 decies, art. 25 undecies et art. 25 duodecies, des amendes administratives dont les montants sont prévus par l’art 83, paragraphe 5 du Règlement (UE) 2016/679 sont infligées au responsable du traitement ou au sous-traitant.
(3) Pour les violations visées aux articles 45, 49, 51, 53 à 56 et 80, alinéa 1, points 1 et 2 des amendes administratives dont les montants sont prévus par l’art 83, paragraphe 5 du Règlement (UE) 2016/679 sont infligées au responsable du traitement ou au sous-traitant.
(4) Pour les violations visées aux articles 59, alinéas 3 et 4, 62 et 64 à 70 des amendes administratives dont les montants sont prévus par l’art 83, paragraphe 4 du Règlement (UE) 2016/679 sont infligées au responsable du traitement ou au sous-traitant.
(5) Pour la non-exécution d’une décision de justice définitive conformément à l’art. 84, alinéa 2, appliquant les mesures administratives contraignantes prévues à l’art. 80, alinéa 1, points 4 et 5, des amendes administratives dont les montants sont prévus par l’art 83, paragraphe 5 du Règlement (UE) 2016/679 sont infligées au responsable du traitement ou au sous-traitant.
(6) Les montants des sanctions administratives visées aux alinéas 1 à 5 sont définis conformément aux critères énoncés à l’art. 83, paragraphe 2 du Règlement (UE) 2016/679 et c’est leur équivalent en monnaie locale qui est infligé.
 
Art. 86. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) Pour d’autres violations prévues par cette loi, une amende d’un montant de 5 000 leva est infligée au responsable du traitement ou au sous-traitant.
(2) Pour une violation répétée conformément à l’alinéa 1, est infligée une amende d’un montant équivalent au double de l’amende initialement infligée.
 
 
Art. 87. (Nouvel alinéa - Journal officiel, n° 17 de 2019) (1) En outre des cas énoncés à l’art. 38, al 1, établir des violations du Règlement (UE) 2016/679 ou de cette loi, rendre, faire appel et exécuter les décisions infligeant une sanction punitive relèvent des dispositions de la Loi sur les infractions et les sanctions administratives.
(2) Les actes constatant  les infractions administratives sont établis par un membre de la commission ou par des agents habilités par la Commission, respectivement par des personnes habilitées par un ordre émis par l’Inspecteur général.
(3) Les décisions infligeant une sanction punitive sont rendues par le président de la Commission, respectivement par l’Inspecteur général ou par des inspecteurs qu’il a habilités.
(4) Les amendes administratives relevant de décisions de justice définitives conformément à l’art. 38, alinéa 3 et de décisions administratives sont payées conformément au Code de procédure fiscale et de sécurité sociale.
(5) Les montants reçus des amendes administratives infligées par la Commission sont versés au budget de la Commission
(6) Les montants reçus des amendes administratives infligées par l’Inspection sont versés au budget du pouvoir judiciaire.

Dispositions complémentaires
 
§ 1. (Amendé - Journal officiel, n° 17 de 2019) Aux fins de la présente de la présente loi:
1. « Données à caractère personnel » est la notion visée à l’art. 4, point 1 du Règlement (UE) 2016/679.
2. « Responsable du traitement », à l’exception du responsable du traitement visé au chapitre huit, est la notion visée à l’art. 4, point 7 du Règlement (UE) 2016/679.
3. « Sous-traitant » est la notion visée à l’art. 4, point 8 du Règlement (UE) 2016/679.
4. « Traitement » est la notion visée à l’art. 4, point 2 du Règlement (UE) 2016/679.
5. « limitation du traitement » est la notion visée à l’art. 4, point 3 du Règlement (UE) 2016/679.
6. « Profilage » est la notion visée à l’art. 4, point 4 du Règlement (UE) 2016/679.
7. « Pseudonymisation » est la notion visée à l’art. 4, point 5 du Règlement (UE) 2016/679.
8. « Fichier » est la notion visée à l’art. 4, point 6 du Règlement (UE) 2016/679.
9. « Destinataire » est la notion visée à l’art. 4, point 9 du Règlement (UE) 2016/679. Une autorité publique, ainsi qu`une structure dont l’activité principale consiste à dépenser des fonds publics, qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d`une mission d`enquête particulière conformément à une loi ne sont pas considérées comme des « destinataires » au sens du chapitre huit. Le traitement de ces données par les autorités publiques ou structures en question est conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement.
10. « Violation de données à caractère personnel » est la notion visée à l’art. 4, point 12 du Règlement (UE) 2016/679.
11. « Données génétiques » est la notion visée à l’art. 4, point 13 du Règlement (UE) 2016/679.
12. « Données biométriques » est la notion visée à l’art. 4, point 14 du Règlement (UE) 2016/679.
13. « Données concernant la santé » est la notion visée à l’art. 4, point 15 du Règlement (UE) 2016/679.
14. « Organisation internationale » est la notion visée à l’art. 4, point 26 du Règlement (UE) 2016/679.
15. « à grande échelle » est la surveillance et/ou le traitement des données à caractère personnel d’un nombre significatif ou indéterminé de personnes concernées ou un volume de données à caractère personnel, lorsque les principales activités du responsable du traitement ou du sous-traitant, y compris les moyens pour leur mise en œuvre, consistent en de telles opérations.
16. « Risque », la possibilité que la personne concernée subisse un préjudice matériel ou immatériel dans des conditions spécifiques, évaluée du point de vue de sa gravité et de sa probabilité.
17. « Autorité publique », une autorité au niveau central ou local, ainsi qu’une structure dont l’activité principale consiste en la dépense de fonds publics.
18. « Effacement », la radiation irréversible de l’information du support afférent.
19. « Destruction », la destruction physique irréversible du support matériel de l’information.
20. « Répétée », est l’infraction commise dans un délai d’un an à compter de l’entrée en vigueur de la décision de la Commission ou de la décision de sanction pénale infligeant une sanction à l’auteur de violation pour le même type de violation.
 
§ 1 bis. (Nouvel alinéa - Journal officiel, n° 91 de 2006, amendée - Journal officiel, n° 17 de 2019) Cette loi prévoit des mesures relatives à l’application du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l`égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119/1, 4.5.2016 ), ainsi qu’introduit les exigences de la Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l`égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d`enquêtes et de poursuites en la matière ou d`exécution de sanctions pénales, et à la libre circulation de ces données et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO, L 119/1, 4.05. 2016).

Dispositions transitoires et finales
§ 2. (1) Dans un délai d’un mois à compter de l’entrée en vigueur de cette loi, le Conseil des ministres propose à l’Assemblée nationale la composition de la Commission pour la protection des données à caractère personnel.
(2) Dans un délai de 14 jours à compter de la soumission de la proposition visée à l’alinéa 1, l’Assemblée nationale élit les membres de la Commission pour la protection des données à caractère personnel.
(3) Dans un délai de 3 mois à compter de l’élection de ses membres, la Commission pour la protection des données à caractère personnel adopte et promulgue au Journal officiel le règlement visé à l’art. 9, alinéa 2.
(4) Dans un délai d’un mois à compter de l’entrée en vigueur de la décision de l’Assemblée nationale visée à l’alinéa 2, le Conseil des ministres fournit les biens et les ressources nécessaires pour que la Commission commence à fonctionner.
 
§ 3. (1) Dans un délai de 6 mois de l’entrée en vigueur du règlement visé à l’art. 9, alinéa 2 les personnes qui à la date de l’entrée en vigueur de la présente loi tiennent des registres de données à caractère personnel, les mettent en conformité avec les exigences de la loi et en informent la Commission.
(2) La Commission procède à des contrôles préalables, enregistrent ou refusent d’enregistrer en tant que responsables du traitement des personnes qui tiennent des registres à la date de l’entrée en vigueur de la présente loi dans un délai de 3 mois à compter de la réception de la demande visée à l’alinéa 1.
(3) Les décisions de la Commission relatives à un refus d’enregistrement sont susceptible d’ appel devant la Cour administrative suprême dans un délai 14 jours.
(4) L’entrée en vigueur de la décision de la Commission relative à un refus d’enregistrement ou de l’arrêt de la Cour administrative suprême confirmant le refus de la Commission, contraint la personne qui tient de façon irrégulière un registre de détruire des données à caractère personnel contenues dans son registre , ou de les transmettre, avec l’accord de la Commission, à un autre responsable du traitement ayant enregistré son registre et traitant des données à caractère personnel aux mêmes fins.
(5) la Commission exerce un contrôle sur l’accomplissement de l’obligation visée à l’alinéa 4.
(6) Dans un délai de 3 mois à compter de l’enregistrement le responsable du traitement visé à l’art. 3, alinéa 1 est tenu de publier au bulletin de la Commission pour la protection des données à caractère personnel les informations visées à l’art. 22, alinéa 1.
 
§ 4. La loi sur l’accès à l’information publique (Journal officiel, numéro 55 de 2000) est amendée comme suit :
1. Dans l’art. 2, alinéa 3 la notion d’« information à caractère personnel » est remplacée par « données à caractère personnel ».
2. Au § 1 p. 2 est modifié comme suit :
2. « Données à caractère personnel », toute information se rapportant à une personne physique révélant son identité physique, physiologique, intellectuelle, génétique, économique, culturelle ou sociale. »
 
§ 5. La loi entre en vigueur le mardi, 1 janvier 2002.
-------------------------
La loi est adoptée par la ХХХIХ ème législature de l’Assemblée nationale le 21 décembre 2001 et est scellée par le cachet officiel de l’Assemblée nationale.
 

Dispositions transitoires et finales
concernant la LOI RELATIVE AUX HUISSIERS DE JUSTICE INDÉPENDANTS
(Promulguée - Journal officiel, n° 43 DE 2005, EN VIGUEUR LE 1.09.2005)
 
§ 23. La loi entre en vigueur le 1 septembre 2005.
 

Dispositions transitoires et finales
concernant LA LOI D’AMENDEMENT À LA LOI SUR LA PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL
(Promulguée - Journal officiel, n° 103 de 2005, amendée - Journal officiel, n° 91 de 2006)
 
§ 50. La disposition de § 38, concernant l’art. 36, est appliquée jusqu’à l’entrée en vigueur du Traité d’adhésion de la République de Bulgarie à l’Union européenne.
§ 51. (Amendé - Journal officiel, n° 91 de 2006) Les dispositions de § 1, concernant l’art. 1, al. 4, p. 3, § 8, p. 1, lettre « c », concernant l’art. 10, alinéa 1, p. 9, § 39, concernant l’art. 36 bis, § 40, concernant l’art. 36 ter, и § 48, p. 5, concernant le p. 14 de la disposition complémentaire, entrent en vigueur à la date de l’entrée en vigueur du Traité d’adhésion de la République de Bulgarie à l’Union européenne.
§ 52. Dans un délai de trois mois à compter de l’entrée en vigueur de la loi, la Commission pour la protection des données à caractère personnel adopte le Code de déontologie visé à l’art. 10, alinéa 4 et de l’ordonnance visée à l’art. 23, alinéa 5.
 

Dispositions définitives et transitoires et finales
concernant le CODE DE PROCÉDURE ADMINISTRATIVE
(Promulguée - Journal officiel, n° 30 DE 2006, ENTRÉE EN VIGUEUR LE 12.07.2006)
 
§ 142. Le Code entre en vigueur trois mois après sa promulgation au Journal officiel, à l’exception du :
1. titre trois, § 2, p. 1 et § 2, p. 2 - concernant l’annulation du chapitre trois, section II « Recours juridictionnel  », § 9, p. 1 et 2, § 11, p. 1 et 2, § 15, § 44, p. 1 et 2, § 51, p. 1, § 53, p. 1, § 61, p. 1, § 66, p. 3, § 76, p. 1 - 3, § 78, § 79, § 83, p. 1, § 84, p. 1 и 2, § 89, p. 1 - 4, § 101, p. 1, § 102, p. 1, § 107, § 117, p. 1 et 2, § 125, § 128, p. 1 et 2, § 132, p. 2 et § 136, p. 1, ainsi que § 34, § 35, p. 2, § 43, p. 2, § 62, p. 1, § 66, p. 2 et 4, § 97, p. 2 et § 125, p. 1 - concernant le remplacement du mot « régional » par « administratif » et le remplacement du « Tribunal de la ville de Sofia » par le « Tribunal administratif - ville de Sofia », entrant en vigueur le 1 mars 2007;
2. paragraphe 120, entrant en vigueur le 1 janvier 2007 ;
3. paragraphe 3, entrant en vigueur à la date de la promulgation du Code au Journal officiel.

Dispositions transitoires et finales
concernant LA LOI D’AMENDEMENT À LA LOI SUR LA PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL
(Promulguée - Journal officiel, n° 91 de 2006)
 
§ 31. La disposition du § 6 concernant l’art. 6, alinéa 2 entre en vigueur le 1 janvier 2007
§ 32. Dans un délai de deux mois à compter de l’entrée en vigueur de cette loi, la Commission pour la protection des données à caractère personnel adopte l’Instruction visée à l’art. 12, alinéa 9.
§ 33. Dan un délai de trois mois à compter de l’entrée en vigueur de cette loi, les responsables du traitement faisant l`objet d’un enregistrement déposent une demande d’enregistrement.

Dispositions transitoires et finales
concernant la LOI RELATIVE AU FONDS NATIONAL DES ARCHIVES
(Promulguée - Journal officiel, n° 57 DE 2007 ENTRÉE EN VIGUEUR LE 13.07.2007)
 
§ 23. La loi entre en vigueur à la date de sa promulgation au Journal officiel.

Dispositions transitoires et finales
concernant LA LOI D’AMENDEMENT À LA LOI SUR LA PRÉVENTION ET L’ÉTABLISSEMENT DE CONFLITS D’INTÉRÊT
(Promulguée - Journal officiel, n° 97 DE 2010 ENTRÉE EN VIGUEUR 10.12.2010)
 
§ 61. La loi entre en vigueur à la date de sa promulgation au Journal officiel, à l’exception de :
1. paragraphe 11 concernant l’art. 22 a – 22 e, entrant en vigueur le 1 janvier 2011 ;
2. paragraphes 7, 8, 9, § 11 concernant l’art. 22 f– 22 i et § 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22 и 23, entrant en vigueur le 1 avril 2011.

Dispositions complémentaires
concernant LA LOI D’AMENDEMENT À LA LOI SUR LA PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL
(Promulguée - Journal officiel, n° 81 de 2011)
 
§ 15. Cette loi introduit les exigences de la Décision-cadre 2008/977/JAI du Conseil du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale (ОВ, L 350/ 60, 30.12. 2008).

Dispositions transitoires et finales
concernant LA LOI D’AMENDEMENT À LA LOI SUR Les COMMUNICATIONS ÉLECTRONIQUES
(Promulguée - Journal officiel, n° 105 DE 2011, EN VIGUEUR LE 29.12.2011)
§ 220. La loi entre en vigueur à la date de sa promulgation au Journal officiel.

Dispositions transitoires et finales
concernant la LOI RELATIVE AUX HUISSIERS DE JUSTICE INDÉPENDANTS
(Promulguée - Journal officiel, n° 15 DE 2013, ENTRÉE EN VIGUEUR LE 01.01.2014)
§ 123. La loi entre en vigueur 1 janvier 2014, à l’exception de § 115, entrant en vigueur le 1 janvier 2013, et § 18, § 114, § 120, § 121 et § 122 entrant en vigueur le 1 février 2013.

Dispositions transitoires et finales
concernant LA LOI D’AMENDEMENT À LA LOI SUR LE MINISTÈRE DE L’INTÉRIEUR
(Promulguée - Journal officiel, n° 81 DE 2016, ENTRÉE EN VIGUEUR LE 01.01.2017)
§ 102. La loi entre en vigueur le dimanche 1 janvier 2017, à l’exception de :
1. paragraphes 6 - 8, § 12, p. 1, 2 et 4, § 13, § 14, § 18 - 20, § 23, § 26 - 31, § 32, p. 1 et 4, § 33 - 39, § 41 - 48, § 49 concernant l’art. 187, alinéa 3, première proposition, § 50 - 59, § 61 - 65, § 81 - 85, § 86, p. 4 и 5, § 87, p. 3, § 90, p. 1, § 91, p. 2 et 3, § 92, § 93 et § 97 - 101, entrant en vigueur à la date de la promulgation de la loi au Journal officiel ;
2. paragraphe 32, p. 2 et 3, § 49 concernant l’art. 187, alinéa 3, nouvelle proposition deux, § 69 - 72, § 76 concernant les personnes visées aux § 70, § 78 s’agissant des agents visés aux § 69 et § 70, § 79 s’agissant des agents visés aux § 69 et § 70, § 91, p. 1 et § 94, entrant en vigueur le 1 février 2017.

Dispositions transitoires et finales
concernant LA LOI D’AMENDEMENT À LA LOI SUR LA LIMITATION DE LA RÉGULATION ADMINISTRATIVE ET DU CONTRÔLE ADMINISTRATIF SUR L’ACTIVITÉ ÉCONOMIQUE
(Promulguée - Journal officiel, n° 103 DE 2017, ENTRÉE EN VIGUEUR LE 01.01.2018)
§ 68. La loi entre en vigueur le lundi 1 janvier 2018.

Dispositions transitoires et finales
concernant LA LOI D’AMENDEMENT À LA LOI SUR LA PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL
(Promulguée - Journal officiel, n° 17 de 2019)
§ 44. (1) Les procédures ouvertes d’ici le 25 mai 2018 г. et n’ayant pas abouti jusqu’à l’entrée en vigueur de la présente loi pour violation de la loi sont achevées selon les dispositions anciennes.
(2) Pour les violations de la présente loi et du Règlement (UE) 2016/679, commises jusqu’à l’entrée en vigueur de cette loi, le délai pour saisir la Commission en vertu de l’art. 38 est un an à compter de la prise de connaissance de la violation, et 5 ans au plus tard de sa commission.
§ 45. Les systèmes de traitement automatisé utilisés par les autorités compétentes en vertu de l’art. 42, alinéa. 4 à des fins de prévention et de détection des infractions pénales, d`enquêtes et de poursuites en la matière ou d`exécution de sanctions pénales, y compris de protection contre les menaces pour l’ordre et la sécurité publics et la prévention de telles menaces, créés avant le 6 mai 2016, sont mises en conformité avec l’art. 63, alinéa. 1 et 2 jusqu’au 6 mai 2023.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
 
§ 120. Dans un délai d’un an à compter de l’entrée en vigueur de cette loi, la Commission pour la protection des données à caractère personnel adopte les ordonnances visées à l’art. 14, alinéas 5 et 6 et à l’art. 14 bis, alinéa 3.
 

Législation européenne pertinente
 
Directives :
 
DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relative à la protection des personnes physiques à l`égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d`enquêtes et de poursuites en la matière ou d`exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil
DIRECTIVE 2002/58/CE DU PARLEMENT EUROPÉEN ET DU CONSEIL du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques)
DIRECTIVE 95/46/CE DU PARLEMENT EUROPÉEN ET DU CONSEIL du 24 octobre 1995 relative à la protection des personnes physiques à l`égard du traitement des données à caractère personnel et à la libre circulation de ces données (abrogée)
 

Règlements :
 
RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l`égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
RÈGLEMENT (UE) No 910/2014 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE
RÈGLEMENT (CE) N° 45/2001 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 18 décembre 2000 relatif à la protection des personnes physiques à l`égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données
RÈGLEMENT (CEE) N° 2380/74 DU CONSEIL, du 17 septembre 1974, arrêtant le régime de diffusion des connaissances applicable aux programmes de recherches pour la Communauté économique européenne
 

Décisions :
 
DÉCISION-CADRE 2008/977/JAI DU CONSEIL du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale (abrogée)
DÉCISION DE LA COMMISSION 2001/497/CE du 15 juin 2001 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu de la directive 95/46/CE (notifiée sous le numéro C (2001) 1539)
DÉCISION DE LA COMMISSION 2000/518/CE du 26 juillet 2000 relative à la constatation, conformément à la directive 95/46/CE du Parlement européen et du Conseil, du caractère adéquat de la protection des données à caractère personnel en Suisse (notifiée sous le numéro C (2000) 2304)



Fichiers à télécharger

Loi sur la protection des données à caractère personnel
Loi sur la protection des données à caractère personnel

Messages

La Commission de Protection des Données Personnelles, Sofia, Prof. Tsvetan Lazarov 2
Cookie Settings