Инструкция за мерките и средствата за защита на личните данни

УТВЪРЖДАВАМ:
/Д-Р РЕНЕТА ИНДЖОВА/
ПРЕДСЕДАТЕЛ НА НСИ

ИНСТРУКЦИЯ

за мерките и средствата за защита на личните данни

събирани, обработвани, съхранявани и предоставяни от Националния Статистически Институт

 

Раздел първи

ОБЩИ ПОЛОЖЕНИЯ

Чл.1. Настоящата Инструкция урежда организацията и вътрешния ред на Националния статистически институт, наричан по-нататък за краткост”НСИ”, като администратор на лични данни, както и нивото на технически и организационни мерки при обработване на лични данни и допустимия вид защита.

Чл.2. Инструкцията е изготвена в съответствие с разпоредбите на Закона за защита на личните данни (ЗЗЛД) и Наредба № 1 от 30.01.2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни (Наредба № 1) и цели защита на интересите на клиентите - физически лица и физическите лица, представялващи юридическите, както и на служителите на НСИ от незаконосъобразно и недобросъвестно обработване на личните им данни.

Чл.3. За целите на настоящата Инструкция понятията по-долу имат следното значение:

1. „Лични данни” са всяка информация, отнасяща се до клиентите (физически лица и физическите лица, представляващи юридическите) на НСИ, както и тази, свързана с нейните служители, които са идентифицирани или чрез която същите могат да бъдат идентифицирани пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци.

2. „Обработване на лични данни” е всяко действие или съвкупност от действия, които НСИ извършва по отношение на личните данни с автоматични или неавтоматични средства (събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване и др.).

3. „Администратор на лични данни” е НСИ, което самостоятелно или чрез възлагане на друго лице обработва лични данни.

4. Специфични признациса признаци, свързани с физическа, физиологична, генетична, психическа, психологическа, икономическа, културна, социална или друга идентичност на лицето.

5. „Регистър на лични данни” е структурирана съвкупност от лични данни, достъпна по определени критерии съобразно вътрешните документи на НСИ, която може да бъде централизирана и децентрализирана и е разпределена на функционален принцип.

6. „Съгласие на физическо лице” е всяко свободно изразено, конкретно и информирано волеизявление, с което физическото лице, за което се отнасят личните данни, недвусмислено се съгласява те да бъдат обработвани.

Чл.4.(1) НСИ обработва само законно събрани лични данни, необходими за конкретни, точно определени и законни цели. Личните данни, които НСИ събира и обработва следва да бъдат точни и при необходимост да се актуализират. Личните данни се заличават или коригират, когато се установи, че са неточни или несъответстващи на целите, за които се обработват.

(2) НСИ поддържа личните данни във вида и формата, които позволяват идентифициране самоличността на физическите лица за срок не по-дълъг от необходимия за изпълнение на целите, за които личните данни се обработват.

(3) НСИ спазва принципа за забрана на обработване на специални категории данни съгласно чл. 5, ал. 1 от ЗЗЛД (разкриване на расов или етнически произход; разкриване на политически, религиозни или философски убеждения; членство в политически партии или организации; сдружения с религиозни, философски, политически или синдикални цели; лични данни, които се отнасят до здравето, сексуалния живот или до човешкия геном), като изключения се допускат само в случаите, предвидени в чл. 5, ал. 2 от ЗЗЛД.

Чл.5.(1) Клиентът - притежател на личните данни - изразява свободно своето съгласие относно обработването на отнасящи се за него лични данни.

(2) Клиентът има право по всяко време на обработването да поиска блокиране или унищожаване (изтриване) на събрани за него лични данни, в случаите, когато оспорва тяхната точност или обработването им е незаконосъобразно.

(3) В случаите, когато данните не са получени от клиента, НСИ го информира за целите и правното основание на обработването, за категориите предоставени данни и техния източник, за получателите, на които ще бъдат предоставени, както и за правото му на достъп до неговите лични данни.

Чл. 6. Като администратор на лични данни НСИ поддържа личните данни във вид, който позволява идентифициране на физическите лица.

Чл.7. Обработването на личните данни се извършва, когато:

1. Това е необходимо за изпълнение на нормативно установено задължение.

2. Физическото лице, за което се отнасят данните, е дало своето изрично съгласие. Клиентите (физически лица и физическите лица, представители на юридическите) и служителите на НСИ, се идентифицират посредством официален документ за самоличност (лична карта). Документът за самоличност задължително се копира като клиентът изписва на копието „Съгласен/а съм с копирането” и се подписва върху него. Оригиналът се връща на клиента, а копието се съхранява в архива на НСИ за срок от 5 години.

3. Обработването е необходимо за изпълнение на задължения по договор, по който физическото лице, за което се отнасят данните, е страна, както и за действия, предхождащи сключването на договор и предприети по негово искане.

Чл.8. Всички служители на НСИ при встъпване в длъжност се задължават да спазват конфиденциалност по отношение на базата данни с клиенти на НСИ, в т. ч. лични данни, както и да не разгласяват данни и информация, станали им известни при и по повод изпълнение на служебните им задължения.

Чл.9. НСИ поддържа вътрешен ред като администратор на лични данни, като осигурява технически и организационни мерки за защита.

Раздел втори

ОПИСАНИЕ НА РЕГИСТРИТЕ

Чл.10. НСИ поддържа следните регистри:

(1) Лични данни на служителите и посетителите на НСИ, които се събират, обработват и съхраняват в Регистри „Персонал”;

(2) „Видеонаблюдение”;

(3) „Деловодство”;

(4) „Външни посетители“ ;

(5) „Заплати и хонорари“;

(6) Лични данни, събирани чрез статистически изследвания се събират, обработват и съхраняват в регистри „Демография”, „Статистически бизнес регистър” и „Външна търговия“;

(7) Лични данни, събирани по време на преброявания на населението и жилищния фонд се събират, обработват и съхраняват в регистър „Преброяване”.

Чл.11. (1) Личните данни по чл.10, ал.6 и 7 са индивидуални статистически данни и представляват статистическа тайна, съгласно Закона за статистиката. Те могат да се използват само за статистически цели. Индивидуалните данни, получени за целите на статистическите изследвания, не могат да се ползват като доказателства пред органите на изпълнителната и съдебната власт.

(2) Служителите на НСИ не могат да разгласяват или предоставят:

1. индивидуални статистически данни;

2. статистически данни, които е възможно да бъдат обвързани така, че да се идентифицира определена статистическа единица;

3. статистическа информация, която обобщава данните за по-малко от три статистически единици или за съвкупност, в която относителният дял на стойността на изучаван параметър на една единица, е над 85 на сто от общата стойност на този параметър за всички единици от съвкупността.

(3) Индивидуалните данни могат да се публикуват само ако субектът, за който се отнасят, е дал съгласие за това. Съгласието се дава в писмена форма и от него трябва да е ясно за кои данни се отнася. Лицето, за което се отнасят данните, може по всяко време да оттегли съгласието си писмено, като оттеглянето на съгласието не засяга извършените преди това действия.

Чл.12. (1) За защита на личните данни от случайно или незаконно унищожаване, от неправомерен достъп, от изменение или разпространение както и от други незаконни форми на обработване НСИ организира и предприема мерки, съобразени със съвременните технологични постижения и рисковете, свързани с естеството на данните, които трябва да бъдат защитени.

Раздел трети

ТЕХНОЛОГИЧНО ОПИСАНИЕ НА ПОДДЪРЖАНИТЕ РЕГИСТРИ - НОСИТЕЛИ НА ДАННИ, ТЕХНОЛОГИЯ НА ОБРАБОТВАНЕ, СРОК ЗА СЪХРАНЕНИЕ И ПРЕДОСТАВЕНИ УСЛУГИ

Чл. 13. (1) НСИ събира и обработва лични данни автоматизирано и неавтоматизирано /хартиен носител/.

Чл.14. (1) В регистър „Персонал” се съхраняват следните видове лични данни:

1. физическа идентичност – имена, ЕГН, адрес, телефон, паспортниданни;

2. образование – документ за придобито образование, квалификация правоспособност;

3. трудова дейност – съгласно приложените документи за трудов стаж и професионална биография;

4. медицински данни – карта за предварителен медицински преглед за постъпване на работа;

5 свидетелство за съдимост, когато се изисква;

6. формуляр по образец;

7. имотно състояние.

(2) Събирането, обработването и съхранението на лични данни в Регистър „Персонал” е уредено в Инструкция за механизма на обработване на лични данни и защитата им от незаконни форми на обработване в Регистър „Персонал” в ЦУ на НСИ, утвърдена със Заповед № РД 07-11/31.01.2006 г. на Председателя на НСИ.

(3) Данните в регистъра на хартиен носител се събират, обработват и съхраняват в сектор „Човешки ресурси”. Данните в регистъра на хартиен и технически носител се обработват и съхраняват в отдел „Финансови стопански дейности”.

(4) Личните данни в регистър “Персонал” се набират при подаване на документи за постъпване на работа по трудово и служебно правоотношение.

Чл.15. (1) Регистър „Видеонаблюдение” се попълва с данни от автоматично денонощно видеонаблюдение (видеообраз) за движението на служителите и посетителите към подходите на сградите на НСИ и помещенията с определен статут. Записите с видеообрази се съхраняват на отделен персонален компютър, монтиран в помещението на физическата охрана.

(2) Данните в регистъра се предоставят доброволно от лицата при влизането им в сградата на НСИ. На входовете на сградата са поставени предупредителни табели, че обектът се намира под постоянно видеонаблюдение. Данните от този регистър се съхраняват 14 дни.

(3) Физическата защита на личните данни се осъществява от денонощна физическа охрана.

Чл.16. (1) Регистър „Деловодство” съдържа следните лични данни за физическите лица – служители на НСИ: три имена и длъжност.

(2) Данните в регистъра не се предоставят на трети лица.

(3) Физическата защита на личните данни от регистъра е организирана, като данните се обработват и съхраняват в заключващи се помещения и строг контрол на достъпа до тях.

Чл.17. Регистър „Външни посетители“ съдържа трите имена на респондентите и посетителите на НСИ.

Чл.18. (1) Регистър „Заплати и хонорари“ съдържа следните данни - име, ЕГН, номер на лична карта, адрес, банкова сметка, данъчна служба по местоживеене, месечен доход;

Чл.19. (1) Регистър „Преброяване“ съдържат следните лични данни за физическите лица, субекти на ЗПНЖФРБ’2011: ЕГН, номер на лична карта (само при регистрация за е-преброяване), трите имена на лицата, пол, гражданство, постоянен и настоящ адрес, място на раждане, семейно положение, завършена степен на образование, етническа група, вероизповедание, майчин език, трудов статус, професия/длъжност, месторабота, местонахождение на работата или учебното заведение, вид транспорт, използван за пътуване, здравен статус;

(2) Данните в регистъра се предоставят по силата на ЗПНЖФРБ’2011 и/ или доброволно от лицата при осъществяване на преброяванията;

(3) С цел физическа защита на личните данни, обработвани в Регистър „Преброяване“ е изградена автоматична пропускателна система за контрол на достъп на служителите до помещенията, където се обработват и съхраняват личните данни в отдел „Демографска статистика” и отдел „Информационни системи”;

Чл.20. (1) Регистър „Демография” съдържа следните лични данни за физическите лица, субекти на ЗПНЖФРБ’2011: ЕГН, трите имена, пол, гражданство, постоянен и настоящ адрес, семейно положение, образование;

(2) Данните в Регистър „Демография” се получават в криптиран вид по електронна поща и се събират и съхраняват на персонални компютри и на сървър в отдел „Демографска статистика” дирекция „Демографска и социална статистика” и в отдел „Информационни системи” дирекция „Информационни и комуникационни технологии”.

(3) Данните в Регистър „Демография” се предоставят от ГД ГРАО към МРРБ, съгласно споразумение.

(4) С цел физическа защита на личните данни, обработвани в Регистри „Демография” е изградена автоматична пропускателна система за контрол на достъп на служителите до помещенията, където се обработват и съхраняват личните данни в отдел „Демографска статистика” и отдел „Информационни системи”;

Чл.21. (1) „Статистически бизнес регистър” съдържа следните лични данни за физическите лица, представляващи Юридическите лица, включени в ИС „Бизнес статистика”: имена и ЕГН.

(2) Данните в регистъра се събират и съхраняват на електронен носител в отдел: „Бизнес регистри”.

(3) Данните в регистъра се предоставят по силата на доброволно/задължително предоставяне на данни /Закона за статистиката/ и от Агенцията по вписванията по силата на споразумение;

(4) Физическата защита на личните данни от регистъра е организирана като елемент на общата физическа защита на сградите и работните помещения при строг контрол на достъп до тях.

Чл. 22. (1) Регистър „Външна търговия“ съдържа следните лични данни за физическите лица, представляващи Юридическите лица: имена и ЕГН.

(2) Физическата защита на личните данни от регистъра е организирана като елемент на общата физическа защита на сградите и работните помещения при строг контрол на достъп до тях.

Чл. 23. НСИ предприема следните мерки за защита на личните данни:

(1) програмно-технически – криптографски методи и средства и защита при пренасяне на информацията, надеждна и защитена идентификация и автентификация на изпращача и на получателя на информацията и осигуряване конфиденциалност, интегритет на пренасяната информация

(3) физически – система от мерки по защита на сградите, помещенията и съоръженията, в които се създават, обработват и съхраняват лични данни и контрола върху достъпа до тях;

(4) организационни и административни – регламентирани с правила и заповеди на Председателя на НСИ;

(5) нормативни, предвидени в законови и подзаконови нормативни актове.

Чл.24. (1) Сроковете за съхранение са съобразно описанията в част 2 от съответния регистър, както следва:

1. за Регистър „Персонал” - 50 години;

2. за Регистър „ Видеонаблюдение” – 14 дни;

3. за Регистър „ Деловодство” – според номенклатурата на делата;

4. за Регистър „ Външни посетители“ – 3 месеца;

5. за Регистър „ Заплати и хонорари“ – 50 години;

6. за Регистър „ Преброяване“ – 3 години за хартиен носител;

7. за Регистър „ Демография“ – без определен срок;

8. за „ Статистически бизнес регистър“ – без определен срок;

9. за Регистър „Външна търговия“ – без определен срок.

(2) НСИ следва да спазва технологията за безопасно поддържане и съхранение, обновяване, заличаване, унищожаване и т.н на лични данни.

Раздел четвърти

ДЛЪЖНОСТИ, СВЪРЗАНИ С ОБРАБОТВАНЕ И ЗАЩИТА НА ЛИЧНИ ДАННИ. ПРАВА И ЗАДЪЛЖЕНИЯ

Чл. 25. (1) Лице по защита на личните данни в НСИ е Главният секретар на НСИ, който е и председател на Съвета по защита на информация.

(2) Лицето по защита на информация има следните правомощия:

1. осигурява организацията по водене на регистрите, съгласно предвидените мерки за гарантиране на адекватна защита;

2. следи за спазването на конкретните мерки за защита и контрол на достъпа съобразно, спецификата на водените регистри;

3. осъществява контрол по спазване на изискванията за защита на регистрите;

4. поддържа връзка с Комисията за защита на личните данни относно предприетите мерки и средства за защита на регистрите и подадените заявления за предоставяне на лични данни;

5. контролира спазването на правата на потребителите във връзка с регистрите и програмно- техническите ресурси за тяхната обработка;

6. специфицира техническите ресурси, прилагани за обработка на личните данни;

7. следи за спазване на организационната процедура за обработване на личните данни, включваща време, място и ред при обработване, като чрез регистрация на всички извършени действия с регистрите в компютърната среда.

13. определя ред за съхраняване и унищожаване на информационни носители;

14. определя ред при задаване, използване и промяна на пароли, както и действията в случай на узнаване на парола и/или криптографски ключ;

15. определя правила за провеждане на редовна профилактика на компютърните и комуникационните средства, включваща и проверка за вируси, за нелегално инсталиран софтуер, на целостта на базата данни, както и архивиране на данни, актуализиране на системната информация и др. ;

16. провежда периодичен контрол за спазване на изискванията по защита на данните и при открити нередности взема мерки за тяхното отстраняване.

Чл.26. (1) Съветът по защита на информация осъществява цялостната политика на НСИ по защитата на информацията. Съветът организира, координира, анализира и контролира дейностите свързани със създаването, получаването, обработването, съхраняването и архивирането на информация, представляваща статистическа, държавна или служебна тайна, както и условията и реда за предоставяне на достъпа до тях в съответствие с българската и европейската нормативна уредба.

(2) Съветът по защита на информация се назначава със Заповед на Председателя на НСИ и е съвещателен орган към председателя на НСИ.

Чл.27. Председателят на НСИ по предложение на главния секретар определя със заповед списъка на лицата, които обработват лични данни в НСИ. Списъците се изготвят поотделно за всеки регистър.

Чл. 28. Служителите на НСИ са длъжни:

1. да обработват лични данни законосъобразно и добросъвестно;

2. да използват личните данни, до които имат достъп, съобразно целите, за които се събират и да не ги обработват допълнително по начин, несъвместим с тези цели;

3. да актуализират регистрите на личните данни (при необходимост);

4. да заличават или коригират личните данни, когато се установи, че са неточни или непропорционални по отношение на целите, за които се обработват;

5. да поддържат личните данни във вид, който позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които тези данни се обработват;

Чл.29. (1) За неспазването на разпоредбите на настоящата инструкция служителите на НСИ носят отговорност по Закона за статистиката, Закона за защита на личните данни, Закона за преброяване на населението и жилищния фонд в Република Бълария през 2011 г. и Кодекса на труда.

(2) Ако в резултат на действията на съответен служител на НСИ по обработване на лични данни са произтекли вреди за трето лице, същото може да потърси отговорност по реда на общото гражданско законодателство или по наказателен ред, ако стореното представлява по-тежко деяние, за което се предвижда наказателна отговорност.

Чл.30. (1) Програмно техническите средства за защита на личните данни са обект на отделна Инструкция за организация на работата и работните места на служителите от НСИ, на които са предоставени права за работа с информационни системи, утвърдена със заповед на Председателя на НСИ РД 07-243/14.05.2010 г.

(2) При внедряване на нов програмен продукт за обработване налични данни следва да се съставя нарочна комисия по тестване и проверка на възможностите на продукта с оглед спазване изискванията на Закона за защита на личните данни и осигуряване на максималната им защита от неправомерен достъп, загубване, повреждане или унищожаване.

Чл.31. (1) Право на достъп до данните в регистър „Персонал” имат:

1. Лицата, за които се отнасят данните в регистъра, по тяхно изрично искане изразено писмено;

2. Председателят, Заместник – председателите и Главния секретар на НСИ - при изпълнение на правомощията им по Закона за статистиката, Кодекса на труда, Закона за държавния служител и др.

3. Обработващите и операторите на лични данни – служителите от сектор „Човешки ресурси”, отдел „Финансови стопански дейности” и „Правно обслужване” и служителите от фирмата, която обслужва НСИ със съответната програма, лица, осъществяващи технически операции по обработката и контрол на данните.

4. Държавни органи, надлежно легитимирали се със съответни документи - писмени разпореждания на съответния орган, в които се посочва основанието, имената на лицата, на които е необходимо да се осигури достъп до личните данни.

(2) Данните от регистъра не се предават на трети лица.

(3) Защитата на помещенията, в които се съхраняват личните данни се постига с контролиран достъп с чип-карта, СОТ-аларма с код и ключ, видеонаблюдение.

(4) Длъжностните лица, събиращи и обработващи лични данни в регистър „Персонал“ имат следните права и задължения:

1. да използват личните данни при спазване разпоредбите на Кодекса на труда, Закона за държавния служител /при възникване на трудови и служебни правоотношения/.

2. да използват личните данни изпълнение на задлженията по Закона за здравното осигуряване /ЗЗО/.

3. да не изнасят и съхраняват личните данни извън специално определените за целта места, регламентирани с режим на специален достъп;

4. да не използват личните данни по нерегламентиран начин /фалшифициране и друг вид злоупотреба/.

(5) Право на достъп до данните в регистъра имат:

1. Лицата, за които се отнасят данните в регистъра, по тяхно изрично искане;

2. Председателят, Заместник – председателите и Главния секретар на НСИ - при изпълнение на правомощията им по Закона за статистиката, Кодекса на труда, Закона за държавния служител и др.

3. Обработващите и операторите на лични данни – служителите от отдел „Сигурност на информацията и ОМП”, осъществяващи технически операции по обработката и контрол на данните.

4. Държавни органи, надлежно легитимирали се със съответни документи - писмени разпореждания на съответния орган, в които се посочва основанието, имената на лицата, на които е необходимо да се осигури достъп до личните данни.

(6) Данните от регистъра не могат да бъдат предавани по електронен път.

(7) Защитата на регистъра се осъществява посредством помещения с контролиран достъп, които са защитени от случайно проникване в тях.

Чл. 32. (1) Право на достъп до данните в регистър „Видеонаблюдение” имат:

1. Лицата, за които се отнасят данните в регистъра, по тяхно изрично искане;

2. Председателят, Заместник – председателите и Главния секретар на НСИ - при изпълнение на правомощията им по Закона за статистиката, Кодекса на труда, Закона за държавния служител и др.

3. Длъжностното лице, което поддържа регистър „Видеонаблюдение“ трябва да следи за изправността на ползваната апаратура.

4. Обработващите и операторите на лични данни – служителите от отдел „Сигурност на информацията и ОМП”, осъществяващи технически операции по обработката и контрол на данните.

5. Държавни органи, надлежно легитимирали се със съответни документи - писмени разпореждания на съответния орган, в които се посочва основанието, имената на лицата, на които е необходимо да се осигури достъп до личните данни.

6. Защитата на регистъра се осъществява посредством помещения с контролиран достъп, които са защитени от случайно проникване в тях.

(2) Данните от регистъра не могат да бъдат предавани по електронен път.

(3) Длъжностното лице, което поддържа регистър „Видеонаблюдение“ трябва да следи за изправността на ползваната апаратура.

(4) Защитата на регистъра се осъществява посредством помещения с контролиран достъп, които са защитени от случайно проникване в тях.

Чл.33. Право на достъп до данните в регистър „Деловодство” имат:

(1). Лицата, за които се отнасят данните в регистъра, по тяхно изрично искане;

(2) Председателят, Заместник – председателите и Главния секретар на НСИ - при изпълнение на правомощията им по Закона за статистиката, Кодекса на труда, Закона за държавния служител и др.

(3) Обработващите и операторите на лични данни – служителите от отдели „ФСД”, „Правно обслужване”, и сектор „Човешки ресурси”, служителите на фирмата, която обслужва НСИ със съответната програма и лица, осъществяващи технически операции по обработката на данните – само за определена група документи.

(4) Данните от регистъра не се предават на трети лица.

Чл.34. Данните, съхранявани в регистър „Посетители“ се предоставят на :

(1) физически лица, за които се отнасят данните;

(2) на лица, ако е предвидено в нормативен акт;

(3) на лица, обработващи личните данни.

Чл.35. Данните, съхранявани в регистър „Заплати и хонорари“ се предоставят на:

(1) физически лица, за които се отнасят данните;

(2) съответните ТД на НАП;

(3) съответните ТП на НОИ.

Чл.36. (1) Право на достъп до данните в регистър „Регистър „Преброяване“ имат:

(2) Лицата, за които се отнасят данните в регистъра, по тяхно изрично искане;

(3) Председателят, Заместник – председателите и Главния секретар на НСИ - при изпълнение на правомощията им по Закона за статистиката, Кодекса на труда, Закона за държавния служител и др.

(4) обработващите и операторите на лични данни – служителите от отдел “Демографска статистика” и „Информационни системи” лицата, осъществяващи технически операции по обработката на данните.

(5) Държавни органи, надлежно легитимирали се със съответни документи - писмени разпореждания на съответния орган, в които се посочва основанието, имената на лицата, на които за целите на дейността им е необходимо да се осигури достъп до личните данни.

Чл.37. Право на достъп до данните в регистър „Демография” имат:

1. Лицата, за които се отнасят данните в регистъра, по тяхно изрично искане;

2. Председателят, Заместник – председателите и Главния секретар на НСИ - при изпълнение на правомощията им по Закона за статистиката, Кодекса на труда, Закона за държавния служител и др.

3. Обработващите и операторите на лични данни – служителите от отдел “Демографска статистика” и „Информационни системи”, лицата, осъществяващи технически операции по обработката на данните.

4. Държавни органи, надлежно легитимирали се със съответни документи - писмени разпореждания на съответния орган, в които се посочва основанието, имената на лицата, на които за целите на дейността им е необходимо да се осигури достъп до личните данни.

5. Данните от регистъра могат да бъдат предавани по електронен път на Евростат, когато това е необходимо за производство на европейска статистическа информация.

Чл.38. Право на достъп до данните в регистър „Статистически бизнес регистър” имат:

1. Лицата, за които се отнасят данните в регистъра, по тяхно изрично искане;

2. Председателят, Заместник – председателите и Главния секретар на НСИ - при изпълнение на правомощията им по Закона за статистиката, Кодекса на труда, Закона за държавния служител и др.

3. Обработващите и операторите на лични данни – служителите от отдел “Бизнес регистри” и дирекция „ИКТ”, осъществяващи технически операции по обработката на данните.

4. Държавни органи, надлежно легитимирали се със съответни документи - писмени разпореждания на съответния орган, в които се посочва основанието, имената на лицата, на които за целите на дейността им е необходимо да се осигури достъп до личните данни.

5. Данните от регистъра могат да бъдат предавани по електронен път на Евростат, когато това е необходимо за производство на европейска статистическа информация.

Чл.39. Право на достъп до данните в Регистър „Външна търговия“ имат :

1. Лицата, за които се отнасят данните в регистъра, по тяхно изрично искане;

2. Председателят, Заместник – председателите и Главния секретар на НСИ - при изпълнение на правомощията им по Закона за статистиката, Кодекса на труда, Закона за държавния служител и др.

3. Обработващите данните лица.

4. Данните от регистъра могат да бъдат предавани по електронен път на Евростат, когато това е необходимо за производство на европейска статистическа информация.

Раздел пети

ОЦЕНКА НА ВЪЗДЕЙСТВИЕ И ОПРЕДЕЛЯНЕ НА СЪОТВЕТНО НИВО НА ЗАЩИТА

Чл.40. Оценка на въздействие е процес за определяне нивата на въздействие върху конкретно физическо лице или група физически лица, в зависимост от характера на обработваните лични данни и броя на засегнатите физически лица при нарушаване на поверителността, цялостността или наличността на личните данни.

Чл.41. Нива на защита:

(1) За Регистър „Персонал” се определя степен на защита – „средно ниво”;

(2) За Регистър „Видеонаблюдение” се определя степен на защита – „ниско ниво”;

(1) Регистър „Деловодство” е определена степен на защита - „ниско ниво”;

(2) Регистър „Външни посетители“ се определя степен на защита – „ниско ниво”;

(3) За регистър „Заплати и хонорари“ се определя „ниско ниво“ на защита;

(4) За Регистър „Демография“ се определя степен на защита „високо ниво“;

(5) За Регистър „Статистически бизнес регистър” се определя степен на защита „ниско ниво“;

(6) За Регистър „Външна търговия“ се определя степен на защита „ниско ниво“;

(7) За Регистър „Преброяване“ се определя степен на защита „високо ниво“.

Раздел шести

ТЕХНИЧЕСКИ И ОРГАНИЗАЦИОННИ МЕРКИ

Чл.42. НСИ е предприело мерки за защита, както технически така и организационни, а именно:

1. личните данни се съхраняват в шкафове със заключващи се устройства;

2. работата и съхранение при работата с компютърни системи е подсигурена с анти вирусни програми, пароли за достъп;

3. разполага с електронен подпис.

Раздел седми

ДЕЙСТВИЯ ЗА ЗАЩИТА ПРИ АВАРИИ, ПРОИЗШЕСТВИЯ И БЕДСТВИЯ

Чл.43. НСИ предприема превантивни действия при защита на личните данни като съставя план за действие при различните случаи на настъпили форсмажорни събития, а именно:

1. защита при аварии, независещи от НСИ – предприемат се конкретни действия в зависимост от конкретната ситуация;

2. защита от пожари - незабавно гасене със собствени средства /пожарогасители/и уведомяване на съответните органи;

3. защита от наводнения - предприемат действия по ограничаване на разпространението, както и се изпомпва вода или загребва със собствени подръчни средства.

Раздел осми

СЪХРАНЯВАНЕ И УНИЩОЖАВАНЕ НА ЛИЧНИ ДАННИ

Чл.44. Лични данни на физическите и юридическите лица, получени от статистически наблюдения и преброявания, се съхраняват до осъществяване на целите, за които се обработват, но не по-късно от периода, предвиден съгласно Номенклатурата на делата със сроковете за тяхното съхранение в НСИ и Закона за преброяване на населението и жилищния фонд в Република България от 2011 г.

Чл.45. След постигане целите по предходния член личните данни на физическите и юридическите лица се унищожават физически, чрез претопяване за което надеждно се изготвят актови протоколи за унищожаване.

Настоящата инструкция е приета и утвърдена със Заповед № РД 07-257/12.08.2013 г. на Председателя на НСИ.