Закон за изменение и допълнение на Закона за защита на личните данни
Народното събрание отхвърли наложеното от Президента вето върху измененията в Закона за защита на личните данни, с които следва да се изпълнят изискванията на Общия регламент за защита на личните данни, като на 26.02.2019 г. измененията бяха публикувaни в Държавен вестник. С приетите изменения са уредени задълженията за администраторите на лични данни да регистрират пред КЗЛД назначените длъжностни лица по защита на личните данни, ако такива следва да бъдат определени по силата на регламента. Изрично е забранено снемането на копие от документи за самоличност, когато това не се допуска от закон. ЗЗЛД изисква администраторите на лични данни, които извършват мащабно обработване на лични данни или систематично мащабно обработване на данни от наблюдение на публично достъпни зони, да предвидят правила, които уреждат целите и основанията на обработването, правата на субектите на данните (т.е. наблюдаваните лица), как се уведомяват те за обработването и как се ограничава достъпът на трети лица до събраните данни.
Предвидена е забрана за свободен достъп до регистри, които съдържат уникални идентификатори на физически лица (ЕГН, лични номера на чужденци), освен ако такъв достъп е предвиден по закон. Предвидени са специални правила за обработването на лични данни за журналистически цели – като няма изискване за основание на обработването, но за сметка на това се въвеждат изисквания за съразмерност на обработването, които поставят въпрос до колко ще може да бъде запазена свободата на словото.
За работодателите е създадено задължение при въвеждане на системи за докладване на нарушения, органичения за използване на вътрешнофирмени ресурси и контрол на достъпа, работното време и трудовата дисциплина, трябва да се предвиждат и правила за обхвата на тези системи, задълженията в тази връзка и практическото им приложение. По отношение на процедурите за кандидатстване за работа е предвидено, че когато кандидатът не е избран за работата, то в срок от 6 месеца личните му данни следва да бъдат изтрити, а оригиналните документи – върнати.
ЗЗЛД предвижда и специални правила за подаването на жалби, като такива се разглеждат, само ако са подадени в срок от 6 месеца от узнаване за нарушението, но не по-късно от 2 години от извършването му. Независимо от това, действията на администратора на лични данни могат да се обжалват пред административния съд по реда на Административнопроцесуалния кодекс, като може да бъде потърсено обезщетение. Производството пред административния съд обаче не може да се развие докато КЗЛД разглежда сигнал за допуснато нарушение на правилата за защита на личните данни.