ВЪТРЕШНИ ПРАВИЛА ЗА УПРАЖНЯВАНЕ НА ПРАВА НА СУБЕКТИТЕ НА ДАННИ НА НАРОДНОТО СЪБРАНИЕ

I. ОБЩИ ПОЛОЖЕНИЯ.
Цел на документа.
Чл.1. С този документ се изпълнява задължението на Народното събрание на Република България в качеството му на администратор на лични данни, да оказва съдействие и да осигурява упражняването на правата на субектите на лични данни, по отношение на които е администратор.
Чл.2. С описаната в този документ процедура се създават условия за упражняването на правата на субектите на данни съгласно нормативните изисквания на националното и европейското законодателство за защита на личните данни. 
Чл.3. Настоящата процедура се прилага при разглеждане на искания от всички категории субекти на лични данни, по отношение на които Народното събрание е администратор.
Чл.4. Настоящата процедура се основава на принципа, че правата на субекта на данни са лични права, защитаващи неприкосновеността на личността и човешкото достойнство като върховни ценности. Народното събрание строго спазва своите задължения да не разкрива или изменя личните данни на физическите лица, освен ако разкриването или изменението е направено по искане на самото лице или се изисква от националното или европейското законодателство.
Чл.5. Отговорно лице за актуализирането и прилагането на настоящата процедура е длъжностното лице по защита на данните. 
Адресати на документа
Чл.6. Настоящите вътрешни правила са задължителни за всички служители на Народното събрание на Република България, които могат да получат за разглеждане искания за упражняване на права от субект на данните.
Релевантни нормативни актове и свързани вътрешни нормативни документи.
Чл.7. Настоящите Вътрешни правила се приемат на основание чл. 12, параграф 2 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) и е съобразена със Закона за защита на личните данни, подзаконовите нормативни актове по прилагането му и вътрешните правила и процедури за защита на личните данни, утвърдени за работата на Народното събрание.

II. ФОРМА И РЕД ЗА ПОДАВАНЕ НА ИСКАНЕ ЗА УПРАЖНЯВАНЕ НА ПРАВА ОТ СУБЕКТА НА ДАННИТЕ.
Чл. 8. /1/ Искането за упражняване на права се прави лично от субекта на данните, от негов законен представител или от упълномощено лице въз основа на писмено пълномощно с нотариална заверка на подписа.    
/2/ Субектът на данните или неговият представител прави искането в писмена форма. Устните искания не са валидни. Исканията, депозирани или изпратени на хартиен носител следва да съдържат саморъчния подпис на  субекта на данните или неговия представител, а когато се подава искане в електронна форма, файлът на изявлението или електронното писмо, с което той се изпраща, да са подписани с квалифициран електронен подпис на субекта на данните съгласно Закона за електронния документ и електронните удостоверителни услуги.
/3/ Когато субект на данните прави устно искане за упражняване на права, служител от Дирекция „Парламентарна канцелария“, пред когото е направено искането дава насоки на субекта за съставяне на писмен документ, посочвайки му възможността да попълни утвърдения бланков образец.
Чл.9. /1/ Исканията за упражняване на права могат да се правят и в свободна форма, на книжовен български език. 
/2/ Искането за упражняване на правата на субект на данни може да не съдържа определени реквизити или да е съгласно образец. В него не е задължително да се използва конкретна терминология или точните наименования на правата като „достъп до личните данни“, „права на субекта на данни“ или дори да не съдържа понятието „лични данни“.
/3/ В искането следва да се  посочат:
1. Име, презиме, фамилия , адрес и  ЕГН/ЛНЧ/друг аналогичен идентификатор или други идентификационни данни на съответното физическо лице, определени от администратора, във връзка с извършваната от него дейност на субекта на личните данни с цел неговото идентифициране;
2. Име, презиме и фамилия на представителя на субекта на данните, както и доказателства за представителната власт (упълномощаване, отношение „родител – дете“, назначаване за настойник или друго).
3. В какво се изразява искането;
4. Физически или електронен адрес съгласно предпочитаната форма за комуникация.
5. Подпис, дата на подаване на заявлението и адрес за кореспонденция.
/4/ При искане за упражняване на права може да бъде използван образецът „Искане за упражняване на права от субектите на данни“ /Приложение №1/
Чл.10. /1/ Искането се подписва от субекта на данните и се представя на Народното събрание по някой от следните начини: 
а) Като се изпрати на хартиен носител чрез пощенска услуга на адрес: Народно събрание, гр. София 1000, пл. „Княз Александър І“ № 1. 
б) Като се подаде лично на посочения в предходната подточка адрес;
в) Като се изпрати на следния адрес на електронна поща: infocenter@ parliament.bg.

ІІІ. ПРИЕМАНЕ И РАЗГЛЕЖДАНЕ НА ИСКАНЕ ЗА УПРАЖНЯВАНЕ НА ПРАВА ОТ СУБЕКТА НА ДАННИТЕ. ИЗПРАЩАНЕ НА ОТГОВОР. АРХИВИРАНЕ НА ПРЕПИСКАТА.
Чл.11. Приемането, регистрацията, разпределянето на искането за упражняване на права на субекта на данни, както и предаването на отговора и архивиране на преписката се извършва съгласно реда, установен в Инструкцията за работа с документи в Народното събрание. 
Чл.12. При подаване на искането се извършва проверка на самоличността на заявителя. В случай на необходимост, служителят, който приема искането  има право да поиска допълнително данни за неговото идентифициране.
Чл.13. /1/ Освен ако самоличността на заявителя е абсолютно сигурна (напр. когато се прави искане от парламентарен служител), за да се предотврати всяка възможност за упражняване на тук регулираните права от трето, нелегитимирано за това лице, заявителят или неговият представител трябва да докаже самоличността си чрез предоставяне на документ за самоличност.
/2/ Не се извършва проверка на самоличността, когато е получено искане в електронна форма, подписано с квалифициран електронен подпис.
/3/ Разглеждането на искания за упражняване на права от субект на данните е безплатно. Народното събрание на Република България може да определи цена за упражняване на права за втори или следващ път, ако се отнася до аналогични или сходни искания, касаещи една и съща информация. 
Чл.14. /1/ След регистрация в Интегрираната информационна система на Народното събрание, искането се изпраща незабавно на длъжностното лице по защита на данните, за да се гарантира спазването на законоустановения краен срок за отговор, както и принципите за защита на личните данни.  
/2/ Ако активната легитимация на подалия искането субект, обхватът или характерът на искането не са ясни или предизвикват съмнение, длъжностното лице по защита на данните трябва да се свърже възможно най-бързо по телефона, с писмо или чрез имейл с лицето, подало искането за упражняване на права и да поиска необходимата за конкретизацията на искането информация.
Чл.15. /1/ Длъжностното лице по защита на данните разглежда искането за упражняването на права и извършва преценка относно неговата основателност. 
/2/ При разглеждане на искането трябва да бъде съобразено, че правата на субекта на данни се отнасят само за лични данни. Лицата нямат право да получават документи или записи, които не съдържат личните им данни, нито да контролират или променят процесите в Народното събрание, в които не се използват лични данни. Тази забрана се прилага и по отношение на онези процеси, които използват обобщени данни, които не могат да се считат за лични данни.
/3/ При разглеждане на искането длъжностното лице по защита на данните може да търси съдействие от всички служители на Народното събрание, както и от доставчици на услуги, включително за подпомагане на техническата идентификация и извличането на данни за целите на анализа и подготовката на отговора.  
Чл.16. /1/ Когато се установи, че искането е основателно, длъжностното лице по защита на данните предприема действията по уважаване на искането и изготвя отговор за информиране на субекта на данните.
/2/  В случаите когато искането е неоснователно, длъжностното лице по защита на данните изготвя мотивиран отказ. 
/3/ Писмото за отговор на искане за предоставяне на достъп до лични данни се изготвя по образец /Приложение №2/, който трябва да бъде адаптиран към всяко искане и да бъде изменен и допълнен, както е подходящо в съответствие с  направеното искане.
/4/ Отговорът, изготвен от длъжностното лице по защита на данните, се подписва от Главния секретар на Народното събрание.
/5/ Отговорът се предоставя до 1 календарен месец от получаване на искането, като срокът може да бъде удължен с още два месеца, като се взема предвид сложността и броя на исканията.
/6/ Ако е необходимо да се провери самоличността на заявителя или обхвата на искането или да се получи искането в писмен вид, едномесечният срок ще започне да тече от приключването на тази проверка.
/7/ В случай на удължаване, заявителят се уведомява в рамките на първоначалния едномесечен срок, като се посочват причините, които налагат удължаването.
Чл.17. /1/ Отговорът се завежда в Интегрираната информационна система на Народното събрание със съответния изходящ номер и се връчва/изпраща на заявителя по избрания от него начин за кореспонденция.
/2/ Заявителят може да получи отговора на място или да му бъде изпратен на посочения от него физически адрес чрез лицензиран пощенски оператор или на посочен електронен адрес за кореспонденция. 
/3/ В случаите, когато се предоставя информация за обработваните данни, на основание отправено искане за достъп, тя може да бъде получена от заявителя на хартиен носител, на предоставено от него техническо средство – CD или DVD, по начин съгласно ал.2 или на посочен електронен адрес за кореспонденция
/4/ В случаите на изпращане чрез лицензиран пощенски оператор, при подаването на искането заявителят следва да е декларирал, че пощенските разходи са за негова сметка, платими при получаването.
Чл.18. След като отговорът бъде изпратен, процедурата по разглеждане на искането приключва и длъжностното лице по защита на данните предава искането за архивиране заедно със всички входящи и изходящи документи, създадени в процеса на разглеждането му в съответствие с гл. V на Инструкцията за работа с документите в Народното събрание.
/2/ Длъжностното лице по защита на личните данни поддържа Регистър на исканията за упражняване на права /Приложение №3/.
Чл.19. /1/ Народното събрание съобщава за всяко извършено коригиране, изтриване или ограничаване на обработване на всеки получател, пред когото личните данни са били разкрити, освен ако това е невъзможно или изисква несъразмерно големи усилия. 
/2/ Народното събрание информира субекта на данните относно тези получатели, ако субектът на данните поиска това.

ІV. ИЗКЛЮЧЕНИЯ И ОГРАНИЧЕНИЯ.
Чл. 20. /1/ Правата на субекта на данните са от личен характер и упражняването на правото на субекта на данните винаги трябва да бъде балансирано спрямо правата на другите лица, които също се явяват субекти на данни. 
/2/ Ако искането за разкриване засяга правата на други лица, Народното събрание може да изпълни това искане, само ако засегнатото трето лице − субект на данни, даде своето съгласие за оповестяването. Данните следва да бъдат разкрити без да се иска съгласието на третото лице, ако оповестяването е справедливо в рамките на разумните очаквания на другия субект на данните и е малко вероятно да навреди на основните му права, преценката за което се прави от длъжностното лице по защита на личните данни.
/3/ В съответствие с предходната алинея, при наличието на необходимост от получаване на съгласие за предоставяне на определена информация, съдържаща лични данни, в рамките на процедурата по разглеждане на подадено заявление за упражняване на правата на субектите на данни, длъжностното лице по защита на данни предприема действия по свързване и поискване на съгласие от засегнатото трето лице, ако същото може да бъде идентифицирано.
/4/ Когато с предоставянето на копие от определен документ ще се разкрият данните на трети лица, чието съгласие за предоставяне на личните им данни не е получено или не може да бъде получено (например поради невъзможност за идентификация или невъзможност за установяване на контакт), на субекта на данните се дава извлечение или копие с трайно заличени лични данни на съответните трети лица.
Чл.21. /1/ Народното събрание има право да не уважи искания, които са явно неоснователни. 
/2/ Искането се квалифицира като „явно неоснователно“, когато обектът на искането не е разрешен съгласно правата на субекта на данните или когато е неправилно формулиран (например е направено възражение срещу обработването на основание на законово задължение или във връзка с дейност, която е необходима за изпълнението на договор, и следователно правото на възражение е неприложимо). 
Чл. 22. /1/ Народното събрание има право да не уважи искания, които са прекомерни.
/2/ Искането е прекомерно, само когато е повтарящо се (например, заявителят прави втора молба за достъп в рамките на 6-месечен период). При преценката за прекомерност се отчита дали данните на субекта са били изменяни след предишното предоставяне, като искането не се счита за прекомерно по смисъла на ал.2, ако данните са изменяни. 
/3/ Всички решения за това дали едно искане е неоснователно по смисъла на чл. 22, ал.3 или е прекомерно, съгласно предходната алинея,  трябва да бъдат взети от длъжностното лице по защита на личните данни.
Чл. 23. При разглеждане на исканията Народното събрание отчита това, че някои права (с изключение на правото на достъп до лични данни), предвиждат специфични изключения, когато обработването на лични данни е необходимо за установяването, упражняването или защитата на правни искове.
V. ПРЕХОДНИ И ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ.
§ 1 Настоящите Вътрешни правила за упражняване на права влизат  в сила от датата на утвърждаването им. 
§ 2. Веднъж годишно настоящите Вътрешни правила се преглеждат и актуализират при необходимост.