Когато администратор на лични данни в заявлението за регистрация е посочил обработване на данни по чл. 5, ал. 1 от Закона за защита на личните данни (ЗЗЛД), съгласно чл. 17б, ал. 1 от ЗЗЛД Комисията за защита на личните данни (КЗЛД) задължително следва да извърши предварителна проверка преди вписване в регистъра по чл. 10, ал. 1, т. 2 от ЗЗЛД.

Предвид гореизложеното, Комисията започва производство по чл. 28, ал. 1, т. 2 от Правилника за дейността на Комисията за защита на личните данни и нейната администрация. В тази връзка на администратора на лични данни се изпраща писмо за подготвяне и изпращане (в двуседмичен срок) до Комисията на комплект от копия на документи, заверени “Вярно с оригинала”, а това са както следва:

1. Инструкция (вътрешни правила, заповед) за мерките за защита на личните данни, съгласно чл. 23, ал. 4 от ЗЗЛД и чл. 3, ал. 3 от Наредба № 1 от 7 февруари 2007 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни (ДВ, бр. 25 от 23 март 2007 г.);

В чл. 23, ал. 4 от ЗЗЛД е регламентирано, че администратора на лични данни определя с утвърдена от него инструкция (вътрешни правила, заповед) за предприетите технически и организационни мерки за защита на данните от случайно или незаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване при осъществяване на дейността си.

В същия текст е определено, че мерките за защита трябва да са съобразени със съвременните технологични постижения и осигуряват ниво на защита, което съответства на рисковете, свързани с обработването, и на естеството на данните, които трябва да бъдат защитени. В тази връзка, съгласно чл. 23, ал. 5 от ЗЗЛД, Комисията определя с наредба минималното ниво на технически и организационни мерки, както и допустимия вид защита.

В “Държавен вестник”, бр. 25 от 23 март 2007 г. е обнародвана Наредба № 1 от 7 февруари 2007 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни (наредбата).

В чл. 5, ал. 1 от Наредбата е посочено съдържанието, което администраторът на лични данни трябва да има в предвид при изготвянето на инструкцията, а именно:

- определяне на нива на чувствителност за обработваните лични данни и препоръчителен вид на носителя на данните за трайно съхраняване (хартиен, електронен, технически);

- определяне на лицата, които отговарят за обработката на лични данни, техните права и задължения;

- списък от задължителни и препоръчителни мерки за осигуряване на необходимото ниво на защита на личните данни съобразено вида и чувствителността на данните;

- спецификация на техническите ресурси, прилагани за обработка на личните данни;

- организационна процедура за обработване на личните данни, включваща време, място и ред при обработване, като чрез регистрация на всички извършени действия с регистрите в компютърната среда е препоръчително да се създава системен файл-дневник, достъпен само за системния администратор и лицето по защита на личните данни;

- мероприятия за защита на техническите и информационните ресурси при аварии, произшествия и бедствия (пожар, наводнение и др.);

- средства за предотвратяване на умишлено повреждане или нерегламентиран достъп до личните данни;

- ред за съхраняване и унищожаване на информационни носители;

- ред при задаване, използване и промяна на пароли, както и действията в случай на узнаване на парола и/или криптографски ключ;

- правила за провеждане на редовна профилактика на компютърните и комуникационните средства, включваща и проверка за вируси, за нелегално инсталиран софтуер, на целостта на базата данни, както и архивиране на данни, актуализиране на системната информация и др.

Съдържанието на инструкцията трябва да се има предвид и се описва за всеки отделен регистър с лични данни.

2. Заповед, с която се определят служителите, обработващи личните данни;

Заповед (вътрешен акт), с която се определят (поименно и/или по заемана длъжност) служители на администратора на лични данни, които ще отговарят за обработването на съответните регистри с лични данни, както и имащите достъп до тях.

3. Договор за възлагане на “обработващ личните данни”, съгласно чл. 24, ал. 4 от ЗЗЛД /при наличие/;

“Обработващ лични данни” е физическо или юридическо лице, държавен орган или орган на местно самоуправление, който обработва лични данни от името на администратора на лични данни. Когато обработването на данните не се извършва от администратора на лични данни, той е длъжен да определи “обработващ личните данни” и да осигури достатъчни гаранции за тяхната защита. Отношенията между администратора и “обработващия лични данни” се уреждат с нормативен акт, писмен договор или с друг акт на администратора, в който се определя обемът на задълженията, възложени от администратора на обработващия данните. В договора трябва да са заложени клаузи за защитата на личните данни и отговорните лица. Финансовите клаузи на договора могат да бъдат заличени в копието.

Пример за възлагане на обработване на лични данни е сключването на договор за счетоводно обслужване между администратора на лични данни и счетоводна фирма.

4. Описание на:

· местоположение на обектите, в които ще се обработват данните;

В свободен текст се записват местоположението (адреса) на обектите (офис, сграда), в които се обработват регистрите с лични данни.

· начин на охрана на обектите – СОТ, ведомствена охрана и др.;

/при наличие представете съответни договори/

В свободен текст се описва начина на охрана на обектите, в които ще се обработват регистрите с лични данни. При наличие се предоставя копие на съответния договор за охрана. Финансовите клаузи на договора могат да бъдат заличени в копието.

· организация на достъпа до помещенията;

В свободен текст се описва кой има достъп до помещенията, в които се обработват лични данни (упълномощени служители, външни лица и др.) – списък на упълномощени лица, баджове за упълномощени лица, заключване на помещенията, защитна сигнализация и охрана, алармена система, абонамент за СОД, специален вход, с цифров код, с магнитна карта, с гласов анализатор и др.

· ограничаване на достъпа до данните;

В свободен текст се описва предприетите мерки за ограничаване на достъпа до данните – поставени метални решетки на врати и прозорци, специализирана (еднопосочна) брава, заключване на регистрите в шкаф/каса и др.

При обработка на личните данни чрез информационни системи администратора на лични данни следва да представи и:

1. Описание на:

· компютърната мрежа;

В свободен текст се описва изградената компютърна мрежа – комуникационен хардуер, софтуер, компютри и други устройства, свързани в една система, която позволява на група потребители да ползват заедно общи бази данни, софтуер, периферни устройства и др.

· ограничаване на достъпа до данните;

В свободен текст се описва предприетите мерки за ограничаване на достъпа до данните – дефинирани потребителски имена и пароли за достъп до операционната система и/или специализиран софтуер за обработка на данните, дефинирани права на достъп до данните, парола за отваряне на файлове, автоматична регистрация на всеки достъп, на извършени операции, на нелигитимен достъп и др.

· защита на електронните данни;

В свободен текст се описва предприетите мерки за защита на електронните данни – поддържане на копие, периодично архивиране, “заключване” на файловете – “само за четене” и/или “само за запис”, антивирусна защита, защитна стена, криптиране на данните и др.

· защита при предаване на данни по електронен път;

В свободен текст се описва предприетите мерки за защита при предаване на данните по електронен път – криптиране, електронен подпис, специализирани устройства и др.

2. Договор за доставка на интернет;

При наличие се предоставя копие на договор за доставка на интернет. Финансовите клаузи на договора могат да бъдат заличени в копието. / Комисия за защита на личните данни

Файлове за сваляне
Документи за предварителна проверка по чл. 17б, ал. 1 от ЗЗЛД - word документ

Документи за предварителна проверка по чл. 17б, ал. 1 от ЗЗЛД - pdf документ

Подобни статии:
 

Реклама