НАРЕДБА № 1 ОТ 7 ФЕВРУАРИ 2007 Г. ЗА МИНИМАЛНОТО НИВО НА ТЕХНИЧЕСКИ И ОРГАНИЗАЦИОННИ МЕРКИ И ДОПУСТИМИЯ ВИД ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
Издадена от Комисията за защита на личните данни
Обн. ДВ. бр.25 от 23 Март 2007г., отм. ДВ. бр.14 от 12 Февруари 2013г.
In order to view this page you need Adobe Flash Player 9 (or higher) equivalent support!
Чл. 1. (1) С тази наредба се определя минималното ниво на технически и организационни мерки при обработване на лични данни и допустимия вид защита.
(2) Мерките по ал. 1 включват следните средства за защита на личните данни:
1. програмно-апаратни;
2. физически;
3. организационни;
4. нормативни.
Глава втора.
ЛИЦА, ОСЪЩЕСТВЯВАЩИ ПРИЛАГАНЕТО И КОНТРОЛА ЗА ИЗПЪЛНЕНИЕ НА НАРЕДБАТА
Чл. 3. (1) Прилагането на необходимите технически и организационни мерки за защита на личните данни се осъществява от администратора на лични данни или от лице по защита на личните данни.
(2) Администраторът може да назначи едно или повече лица по защитата на личните данни, които отговарят за координиране и прилагане на мерките по ал. 1.
(3) Лицата, мерките и средствата за защита на лични данни се определят с вътрешни правила (инструкция или заповед) на администратора на лични данни.
Чл. 4. Администраторът има следните права и задължения:
1. определя политиката за защита на личните данни в организацията;
2. осигурява организацията по водене на регистрите съгласно предвидените мерки за гарантиране на адекватна защита;
3. определя конкретните мерки за защита и контрол на достъпа съобразно спецификата на водените регистри;
4. утвърждава вътрешните правила за защита на регистрите;
5. периодично информира персонала по въпросите на защитата на личните данни;
6. осъществява контрол по спазване на изискванията за защита на регистрите;
7. поддържа връзка с Комисията за защита на личните данни относно предприетите мерки и средства за защита на регистрите и подадените заявления за предоставяне на лични данни;
8. оказва съдействие при осъществяване на контролните функции на комисията;
9. подпомага установяването на обстоятелства, свързани с нарушаване на защитата на регистрите;
10. определя правата на потребителите във връзка с регистрите и програмно-техническите ресурси за тяхната обработка.
Чл. 5. (1) Вътрешните правила по чл. 3, ал. 2 включват:
1. определяне на нива на чувствителност за обработваните лични данни и препоръчителен вид на носителя на данните за трайно съхраняване (хартиен, електронен, технически);
2. определяне на лицата, които отговарят за обработката на лични данни, техните права и задължения;
3. списък от задължителни и препоръчителни мерки за осигуряване на необходимото ниво на защита на личните данни съобразено вида и чувствителността на данните;
4. спецификация на техническите ресурси, прилагани за обработка на личните данни;
5. организационна
процедура за обработване на личните данни, включваща време, място и ред при обработване, като чрез регистрация на всички извършени действия с регистрите в компютърната среда е препоръчително да се създава системен файл-дневник, достъпен само за системния администратор и лицето по защита на личните данни;
6. мероприятия за защита на техническите и информационните ресурси при аварии, произшествия и бедствия (пожар, наводнение и др.);
7. средства за предотвратяване на умишлено повреждане или нерегламентиран достъп до личните данни;
8. ред за съхраняване и унищожаване на информационни носители;
9. ред при задаване, използване и промяна на пароли, както и действията в случай на узнаване на парола и/или криптографски ключ;
10. правила за провеждане на редовна профилактика на компютърните и комуникационните средства, включваща и проверка за вируси, за нелегално инсталиран софтуер, на целостта на базата данни, както и архивиране на данни, актуализиране на системната информация и др.
(2) Администраторът провежда периодичен контрол за спазване на изискванията по защита на данните и при открити нередности взема мерки за тяхното отстраняване.
Чл. 6. Администраторът осигурява контролиран достъп на служителите при обработване на лични данни във връзка със:
1. техническите и програмно-информационните ресурси, използвани при обработката и защитата на личните данни;
2. информационните носители и извършваните действия по тяхното регистриране, преместване, подреждане, копиране, преобразуване и друг вид обработка;
3. личните данни в регистрите, както и контрол на лицата, извършващи действия по обработване на личните данни съгласно предоставените им права;
4. разполагането, поддържането и преместването на техническите ресурси, използвани за обработка на личните данни.
Чл. 7. Администраторът осигурява при въвеждане, промяна или предаване на лични данни в регистрите съхраняване на информация за:
1. времето (дата и час) на въвеждане, промяна или предаване на личните данни;
2. лицата, извършващи въвеждането, промяната или предаването на личните данни;
3. лицата, предоставили личните данни;
4. личните данни, които са били въведени, променени или предадени в регистрите.
Чл. 8. Лицето по защита на личните данни е задължено да подпомага администратора при изпълнение на действията му по чл. 4, ал. 2, 3, 8 и 9, чл. 5, ал. 3, 4, 5, 6, 7, 8, 9 и 10, чл. 6 и 7.
Глава трета.
НИВА НА ЗАЩИТА
Глава четвърта.
МЕРКИ ПРИ НАЧАЛНО НИВО НА ЗАЩИТА
Чл. 13. (1) Администраторът приема правила за сигурност, които са задължителни за служителите, оторизирани с достъп до регистри с лични данни.
(2) Минималното съдържание на правилата по ал. 1 включва:
1. подробно описание на регистрите;
2. мерки за гарантиране на нивото на сигурност: оторизиран достъп на служители само до данни и ресурси, необходими за изпълнение на техните задължения; заключване на помещенията; заключване на шкаф/каса за съхранение на регистъра;
3. права и задължения на служителите;
4. процедури за докладване, управляване и реагиране при инциденти.
Чл. 16. (1) Служителите на администратора имат оторизиран достъп само до тези регистри, които са необходими за изпълняване на техните задължения.
(2) Администраторът създава механизми за предотвратяване на достъп до регистрите на служители, различни от оторизираните.
(3) Предоставянето, промяната или прекратяването на оторизиран достъп до регистри в съответствие с критериите, приети от администратора, се извършва единствено от оторизираните съгласно правилата по чл. 13, ал. 1 служители.
Чл. 17. (1) Информацията, която се съдържа в регистрите, трябва да бъде идентифицирана, инвентаризирана и съхранявана на място с ограничен достъп само за определени от администратора служители.
(2) Унищожаването на регистрите от тези помещения се извършва само от администратора или изрично упълномощено от него лице.
(3) Временните регистри трябва да отговарят на съответното ниво за сигурност и се унищожават веднага след отпадане на целите, за които са били създадени.
Глава пета.
МЕРКИ ПРИ СРЕДНО НИВО НА ЗАЩИТА
Чл. 20. Средното ниво на защита на личните данни включва осигуряване на мерките, предвидени в чл. 13, 14, 15, 16, 17 и 18. При изготвяне на правилата за това ниво следва да се предвидят следните допълнителни мерки за защита:
1. възможност за установяване самоличността на лицето, отговорно за сигурността;
2. включване на процедури за създаване на архивни копия и възстановяване на данни;
3. периодични проверки, които следва да се извършват, за да се наблюдава спазването на правилата и мерките, които трябва да се предприемат за отстраняване на нарушенията.
Чл. 28. (1) При обработване на регистър с лични данни по смисъла на чл. 5, ал. 2 във връзка с ал. 1 от закона се предприемат допълнителни мерки за носителите, съдържащи лични данни, като тези носители могат да се разпространяват само ако данните са криптирани или е използван друг механизъм, гарантиращ, че данните не могат да се четат или променят при пренасянето им.
(2) При обработване на регистър с лични данни по ал. 1 се прилагат и мерките по чл. 19, 20, 21, 22, 23, 24, 25, 26 и 27.
Глава шеста.
МЕРКИ ПРИ ВИСОКО НИВО НА ЗАЩИТА
Чл. 30. (1) Задължителната информация, която следва да бъде регистрирана при високо ниво на защита, е: идентичност на служителя; дата на достъп; регистърът, за който е получен достъп; вид на достъпа и кога достъпът е бил отказан.
(2) Извън информацията по ал. 1 администраторът регистрира и информация, която позволява да се идентифицира записът, до който е имал достъп служителят.
(3) Информацията по ал. 1 и 2 се съхранява за период най-малко две години.
(4) Правилата за регистриране на данните по предходните алинеи се определят от администратора, който лично или чрез лично назначено от него лице осъществява контрол за спазването им и за недопускане на деактивирането им.
(5) Администраторът отговаря за извършване на редовни проверки на записаната информация по контрола и изготвя отчет за тях, установени най-малко веднъж месечно.
§ 1. По смисъла на тази наредба:
1. "Лице по защита на личните данни" е физическо или юридическо лице, притежаващо необходимата компетентност, което е упълномощено или назначено от администратора със съответен писмен акт, в който са уредени правата и задълженията му във връзка с осигуряване на минимално необходимите технически и организационни мерки за защита на личните данни при тяхното обработване.
2. "Ниво на защита" е степен на организация на обработката на личните данни в зависимост от рисковете и вида им.
3. "Потребител" е всяко едно лице, оторизирано от администратора, с достъп до регистър.
4. "Достъп до лични данни" е предоставената възможност на потребителя да използва регистрите.
5. "Инцидент" е непредвидимо обстоятелство, което би могло да засегне сигурността на данните.
6. "Носител на лични данни" е физически обект, който е възможно да бъде обработен в информационна система и на който могат да се запишат данни или могат да се възстановят от същия.
7. "Временни файлове" са сбор от данни или информация на електронен носител, създадени за период от време до започване изпълнението на целите, за които са определени.
8. "Архивни копия" са копия на данните, които се съдържат в компютърен файл, съхранявани на подходящ носител, чрез които може да се осъществи възстановяването.
9. "Възстановяване на данни" са процедури по реконструиране на личните данни в състоянието, в което са били по време на изгубването или унищожаването им.
§ 2. Администраторът на лични данни е длъжен да приведе своите вътрешни правила в съответствие с тази наредба:
1. за регистри с лични данни, водени към момента на влизане в сила на тази наредба, мерките за сигурност на начално ниво, предвидени в нея, трябва да бъдат изпълнени до два месеца от нейното влизане в сила;
2. за регистри с лични данни, водени към момента на влизане в сила на тази наредба, мерките за сигурност на средно ниво, предвидени в нея, трябва да бъдат изпълнени до шест месеца от нейното влизане в сила;
3. за регистри с лични данни, водени към момента на влизане в сила на тази наредба, мерките за сигурност на високо ниво, предвидени в нея, трябва да бъдат изпълнени до една година от нейното влизане в сила.
§ 3. Наредбата се приема на основание чл. 23, ал. 5 от Закона за защита на личните данни.