В съответствие с разпоредбите на Закон № 677/2001 относно защитата на лицата във връзка с обработването на лични данни и свободното движение на такива данни, PriceCarz обработва лични данни при спазване на принципите, посочени по-долу, за легитимни цели. Обработването на лични данни се извършва чрез смесени средства (ръчни и автоматизирани), при спазване на законовите изисквания и при условия, които гарантират сигурност, поверителност и зачитане на правата на субектите на данни.

ИЗВАДКА от Закон № 677/2001 относно защитата на лицата във връзка с обработването на лични данни и свободното движение на такива данни (публикуван в Официален вестник № 790 от 12 декември 2001 г.); изменен и допълнен със Закон № 102/2005 от 3 май 2005 г. (Официален вестник, Част I № 391 от 9 май 2005 г.)

Глава IV

Права на субекта на данни в контекста на обработването на лични данни

Информиране на субекта на данни

Чл. 12.

(1) В случай че личните данни се получават директно от субекта на данните, администраторът на данни е длъжен да предостави на субекта най-малко следната информация, освен ако субектът вече не разполага с нея:

a) самоличността на администратора на данни и на неговия представител, ако е приложимо;

b) целта, за която данните се обработват;

c) допълнителна информация, като: получатели или категории получатели на данните; дали предоставянето на всички изискани данни е задължително и последствията от отказа да бъдат предоставени; наличието на права, предвидени в този закон за субекта на данни, по-специално правото на достъп, правото на намеса върху данните и правото на възражение, както и условията, при които те могат да бъдат упражнени;

d) всяка друга информация, която надзорният орган изисква да бъде предоставена, като се вземе предвид специфичният характер на обработването.

(2) В случай че данните не се получават директно от субекта на данни, администраторът е длъжен — при събирането на данните или, ако се предвижда разкриване на данните на трети лица, най-късно при първото разкриване — да предостави на субекта на данни най-малко следната информация, освен ако субектът вече не разполага с нея:

a) самоличността на администратора на данни и на неговия представител, ако е приложимо;

b) целта, за която данните се обработват;

c) допълнителна информация, като: категориите съответни данни, получатели или категории получатели на данните, наличието на права, предвидени в този закон за субекта на данни, по-специално правото на достъп, правото на намеса върху данните и правото на възражение, както и условията, при които те могат да бъдат упражнени;

d) всяка друга информация, която надзорният орган изисква да бъде предоставена, като се вземе предвид специфичният характер на обработването.

(3) Разпоредбите на ал. (2) не се прилагат, когато обработването на данни е изключително за журналистически, литературни или художествени цели, ако прилагането им би разкрило източниците на информация.

(4) Разпоредбите на ал. (2) не се прилагат, когато обработването на данни е за статистически, исторически или научноизследователски цели, или във всяка друга ситуация, при която предоставянето на тази информация се оказва невъзможно или би изисквало несъразмерно усилие спрямо легитимния интерес, който би могъл да бъде засегнат, както и в ситуации, когато регистрирането или разкриването на данни е изрично предвидено със закон.

Право на достъп до данните

Чл. 13.

(1) Всеки субект на данни има право да получи от администратора на данни, при поискване и безплатно за едно искане годишно, потвърждение дали данни, отнасящи се до него/нея, се обработват от администратора. Администраторът е длъжен, в случай на обработване на лични данни, отнасящи се до заявителя, да му/ѝ съобщи, заедно с потвърждението, най-малко следното:

a) информация относно целите на обработването, категориите разглеждани данни и получателите или категориите получатели, на които данните се разкриват;

b) предоставяне в разбираема форма на данните, които се обработват, както и всяка налична информация относно произхода на данните;

c) информация за принципите на функциониране на механизма, чрез който се извършва всяко автоматизирано обработване на данни, отнасящи се до лицето;

d) информация за наличието на право на намеса върху данните и право на възражение, както и условията, при които те могат да бъдат упражнени;

e) информация относно възможността да се консултира регистърът на обработванията на лични данни, както е предвидено в Член 24, да се подаде жалба до надзорния орган и да се сезира съдът за оспорване на решенията на администратора на данни, в съответствие с разпоредбите на този закон.

(2) Субектът на данни може да поиска от администратора на данни информацията по ал. (1) чрез писмено искане, датирано и подписано. В искането заявителят може да посочи дали желае информацията да бъде изпратена на конкретен адрес, който може да бъде и имейл адрес, или чрез кореспондентска услуга, която осигурява доставяне само на лицето.

(3) Администраторът на данни е длъжен да предостави исканата информация в срок от 15 дни от датата на получаване на искането, като спази евентуалния избор на заявителя, изразен съгласно ал. (2).

(4) В случай на лични данни, свързани със здравословно състояние, искането по ал. (2) може да бъде подадено от субекта на данни или директно, или чрез медицински специалист, който ще посочи в искането лицето, от чието име се подава. По искане на администратора на данни или на субекта на данни, предоставянето по ал. (3) може да бъде извършено чрез медицински специалист, определен от субекта на данни.

(5) В случаите, когато лични данни, свързани със здравословно състояние, се обработват за научноизследователски цели, ако няма явен риск за правата на субекта на данни и ако данните не се използват за вземане на решения или предприемане на мерки, засягащи конкретно лице, предоставянето по ал. (3) може да бъде извършено в по-дълъг срок от посочения там, доколкото това би могло да повлияе на нормалното протичане или резултатите от изследването, но не по-късно от края на изследването. В този случай субектът на данни трябва изрично и недвусмислено да е дал съгласие личните данни да бъдат обработвани за научноизследователски цели и за възможното забавяне на предоставянето по ал. (3) поради тази причина.

(6) Разпоредбите на ал. (2) не се прилагат, когато обработването на данни е изключително за журналистически, литературни или художествени цели, ако прилагането им би разкрило източниците на информация.

Право на коригиране на данните

Чл. 14.

(1) Всеки субект на данни има право да получи от администратора на данни, при поискване и безплатно:

a) когато е приложимо — коригиране, актуализиране, блокиране или изтриване на данни, чието обработване не съответства на този закон, по-специално непълни или неточни данни;

b) когато е приложимо — преобразуване в анонимни данни на данни, чието обработване не съответства на този закон;

c) уведомяване на трети лица, на които данните са били разкрити, за всяка операция, извършена по букви a) или b), ако такова уведомяване не е невъзможно или не изисква несъразмерно усилие спрямо легитимния интерес, който би могъл да бъде засегнат.

(2) За да упражни правото по ал. (1), субектът на данни подава до администратора на данни писмено, датирано и подписано искане. В искането заявителят може да посочи дали желае информацията да бъде изпратена на конкретен адрес, който може да бъде и имейл адрес, или чрез кореспондентска услуга, която осигурява доставяне само на лицето.

(3) Администраторът на данни е длъжен да съобщи на субекта на данни мерките, предприети по ал. (1), както и, когато е приложимо, името на третото лице, на което са били разкрити личните данни за субекта на данни, в срок от 15 дни от получаването на искането, като спази евентуалния избор на заявителя, изразен съгласно ал. (2).

Право на възражение

Чл. 15.

(1) Субектът на данни има право по всяко време, на основателни легитимни основания, свързани с неговата/нейната конкретна ситуация, да възрази срещу обработването на отнасящи се до него/нея данни, освен ако законът предвижда друго. При основателно възражение обработването не може повече да включва въпросните данни.

(2) Субектът на данни има право по всяко време, безплатно и без да посочва основания, да възрази срещу обработването на отнасящи се до него/нея данни за целите на директния маркетинг, било от името на администратора на данни или от трето лице, или срещу разкриването на данни на трети лица за такива цели.

(3) За да упражни правата по ал. (1) и (2), субектът на данни подава до администратора на данни писмено, датирано и подписано искане. В искането заявителят може да посочи дали желае информацията да бъде изпратена на конкретен адрес, който може да бъде и имейл адрес, или чрез кореспондентска услуга, която осигурява доставяне само на лицето.

(4) Администраторът на данни е длъжен да съобщи на субекта на данни мерките, предприети по ал. (1) или (2), както и, когато е приложимо, името на третото лице, на което са били разкрити личните данни за субекта на данни, в срок от 15 дни от получаването на искането, като спази евентуалния избор на заявителя, изразен съгласно ал. (3).

Изключения

Чл. 16.

(1) Разпоредбите на Членове 12, 13, на Член 14, ал. (3), както и на Член 15 не се прилагат в случай на дейности, посочени в Член 2, ал. (5), ако прилагането им би подкопало ефективността на действието или целта, преследвана при изпълнение на законовите задължения на публичния орган.

(2) Разпоредбите на ал. (1) се прилагат строго за периода, необходим за постигане на целта, преследвана от провеждането на дейностите, посочени в Член 2, ал. (5).

(3) След като обстоятелствата, обосноваващи прилагането на ал. (1) и (2), отпаднат, операторите, които извършват дейностите, посочени в Член 2, ал. (5), предприемат необходимите мерки за осигуряване спазването на правата на субектите на данни.

(4) Публичните органи водят отчет за такива случаи и периодично информират надзорния орган за начина, по който са били решени.

Право да не бъдеш обект на индивидуално решение

Чл. 17.

(1) Всяко лице има право да поиска и да получи:

a) оттегляне или анулиране на всяко решение с правни последици, което го/я засяга, прието единствено въз основа на автоматизирано обработване на данни, насочено към оценяване на определени аспекти на личността му/ѝ, като професионална компетентност, надеждност, поведение или други подобни аспекти;

b) преразглеждане на всяко друго решение, което го/я засяга съществено, ако решението е взето единствено въз основа на обработване на данни, отговарящо на условията по буква a).

(2) При спазване на останалите гаранции, предвидени в този закон, лице може да бъде обект на решение по ал. (1) само в следните ситуации:

a) решението се взема при сключване или изпълнение на договор, при условие че искането за сключване или изпълнение на договора, подадено от субекта на данни, е удовлетворено или че подходящи мерки, като възможност да изрази своята гледна точка, гарантират защитата на неговия/нейния собствен легитимен интерес;

b) решението е разрешено със закон, който определя мерки за гарантиране на легитимния интерес на субекта на данни.

Право на съдебна защита

Чл. 18.

(1) Без да се засяга възможността за подаване на жалба до надзорния орган, субектите на данни имат право да сезират съдилищата за защита на всички права, гарантирани от този закон, които са били нарушени.

(2) Всяко лице, което е претърпяло вреди вследствие на незаконно обработване на данни, може да подаде иск пред компетентния съд за обезщетение.

(3) Компетентният съд е този, в чийто териториален район ищецът има местоживеене. Искът за обезщетение е освободен от съдебни такси.