ИНСТРУКЦИЯ № 8121з-1280 ОТ 7 ОКТОМВРИ 2021 Г. ЗА РЕДА ЗА ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ В МИНИСТЕРСТВОТО НА ВЪТРЕШНИТЕ РАБОТИ
ИНСТРУКЦИЯ № 8121з-1280 ОТ 7 ОКТОМВРИ 2021 Г. ЗА РЕДА ЗА ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ В МИНИСТЕРСТВОТО НА ВЪТРЕШНИТЕ РАБОТИ
Обн. ДВ. бр.87 от 19 Октомври 2021г.
Глава първа.
ОБЩИ ПОЛОЖЕНИЯ
Чл. 1. (1) С тази инструкция се определя редът за обработване на лични данни в Министерството на вътрешните работи (МВР).
(2) Лични данни в МВР се обработват в съответствие с Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (ОВ, L 119/4.05.2016 г.), наричан по-нататък "Регламент (ЕС) 2016/679", Закона за защита на личните данни (ЗЗЛД) и Закона за Министерството на вътрешните работи (ЗМВР).
(3) Лични данни в МВР се обработват и по силата на правни актове на Европейския съюз (ЕС) и на международни договори, по които Република България е страна.
Чл. 2. (1) Лични данни се обработват в автоматизирани и неавтоматизирани информационни фондове.
(2) Информационните фондове по ал. 1 са регистри с лични данни по смисъла на Регламент (ЕС) 2016/679 и ЗЗЛД.
Чл. 3. (1) Дирекция "Комуникационни и информационни системи" (ДКИС) подпомага министъра на вътрешните работи при поддържането на регистър на дейностите по обработване на лични данни в МВР в съответствие с нормативната уредба.
(2) За целите на ал. 1 всеки управляващ информационен фонд поддържа в актуален вид регистър на дейностите по обработване на лични данни в съответния информационен фонд в писмена форма, включително в електронен формат.
Глава втора.
ПРАВИЛА ОТНОСНО ДЕЙНОСТИТЕ ПО ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ
Раздел I.
Източници на лични данни, обработвани в МВР
Чл. 4. В информационните фондове на МВР се обработват следните категории лични данни в зависимост от източника:
1. предоставени от субектите на данни;
2. събрани от органи на МВР при упражняване на правомощията им;
3. получени от други органи или организации;
4. получени от други държави - членки на ЕС, държави, които са страни по Споразумението за Европейското икономическо пространство, и Конфедерация Швейцария, както и от органи, институции и агенции на ЕС;
5. получени от трети държави или международни организации, в това число по силата на международни договори, по които Република България е страна.
Раздел II.
Записване на лични данни в информационен фонд
Чл. 5. (1) Лични данни се записват в информационен фонд в изпълнение на изискване на нормативен акт, правен акт на ЕС или международен договор, по който Република България е страна.
(2) При записването на личните данни се спазват следните изисквания:
1. съвкупността от данни да идентифицира субекта на данни;
2. във фонда се въвежда несъществуваща до този момент съвкупност от данни;
3. съвкупността от данни да съдържа източника им.
(3) Съвкупността от данни се записва, като се извършва проверка за наличност и избягване на дублирането на данните.
(4) В документа, въз основа на който се записват лични данни, се посочва източникът на лични данни, а самият документ се регистрира в съответната структура, освен в случаите, когато записването е в хода на автоматизирано административно обслужване, извършване на полицейски или гранични проверки на лица, ползваните от тях документи и превозни средства.
(5) Правните основания по ал. 1 се посочват в организационно-технологичните правила за работа със съответния информационен фонд, в който се обработват лични данни.
Раздел III.
Съхранение на лични данни
Чл. 6. (1) Личните данни се съхраняват във вид, който позволява идентифицирането на субекта на данните за период не по-дълъг от необходимия за целите, за които те се обработват.
(2) Личните данни се съхраняват по начин, който гарантира подходящо ниво на сигурност, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически и организационни мерки.
Чл. 7. (1) Когато сроковете за изтриване на лични данни или за периодична проверка на необходимостта от съхранението им не са определени в нормативен акт, те се определят със заповед на министъра на вътрешните работи.
(2) Извършването на периодична проверка по ал. 1 се документира, а решението за продължаване на съхранението на данните се мотивира.
Раздел IV.
Коригиране и актуализиране на лични данни
Чл. 8. Коригирането или актуализирането на лични данни представлява допълване и/или изменение на съществуващи лични данни в информационен фонд.
Чл. 9. (1) Коригиране или актуализиране на лични данни се осъществява:
1. при упражняване на правото на субекта на данни да поиска със заявление коригиране на неточни лични данни, свързани с него, и ако няма основание за отказ;
2. когато в хода на обработването от служителя се установи, че личните данни са неточни поради допусната техническа грешка;
3. в изпълнение на влязъл в сила акт на орган на съдебната власт;
4. в изпълнение на влязъл в сила акт на Комисията за защита на личните данни (КЗЛД);
5. по искане на органи или организации, предоставили личните данни, включително по силата на международен договор.
(2) В случаите на ал. 1 се допуска допълване или изтриване на част от обработваните лични данни.
(3) При коригиране или актуализиране на лични данни в база данни на информационния фонд се записват датата на промяната, данни за служителя, извършил промяната, а в случаите по ал. 1, т. 1, 3, 4 и 5 - и регистрационният номер на документа.
Чл. 10. (1) Коригиране или актуализиране на лични данни се извършва след проверка за наличност на данните.
(2) За извършено коригиране или актуализиране на неточни или неактуални лични данни се съобщава на предаващия орган.
(3) За извършено коригиране или актуализиране на неточни или неактуални лични данни се уведомяват получателите, пред които данните са разкрити, като получателите се уведомяват, че също са длъжни да коригират или актуализират получените лични данни.
(4) Извършването на дейностите по ал. 2 и 3 се отразява в протокол, който се изготвя от служителя, извършил действията, и се регистрира в съответната структура.
Чл. 11. (1) В случаите на чл. 9, ал. 1, т. 1 коригиране или актуализиране на лични данни се извършва въз основа на заповед от министъра на вътрешните работи или изрично оправомощено от него длъжностно лице.
(2) В случаите по чл. 9, ал. 1, т. 2 - 5 коригиране или актуализиране на лични данни се извършва въз основа на писмена заповед, издадена от управляващия информационния фонд, като в случаите по чл. 9, ал. 1, т. 3 и 4 се извършва проверка дали съответният акт е влязъл в сила.
Раздел V.
Справки
Чл. 12. (1) Извършването на справки с лични данни, съдържащи се в информационен фонд, се осъществява по реда на нормативен акт, правен акт на ЕС, международен договор, по който Република България е страна, и организационно-технологичните правила на информационния фонд.
(2) Извършването на справки по ал. 1 се извършва при спазване на принципа "необходимост да знае".
Раздел VI.
Предаване на лични данни на получатели извън МВР
Чл. 13. (1) Лични данни, обработвани в МВР, се предават на получатели, извън МВР, при условията на Регламент (ЕС) 2016/679, Закона за защита на личните данни и Закона за Министерството на вътрешните работи.
(2) Предаването по ал. 1 се извършва въз основа на заповед на управляващия съответния информационен фонд, доколкото с нормативен акт не е предвиден друг ред.
(3) Лични данни се предават въз основа на писмено искане/автоматизирана заявка или по инициатива на МВР. В документа, с който се предават лични данни, се посочва целта, за която се предават личните данни, и правното основание. Документът се регистрира в съответната предаваща структура.
(4) Искането за предаване на лични данни се изпълнява в нормативно определения срок, а ако такъв не е определен, предаването се извършва съгласно условията на искането или във възможно най-кратък срок.
(5) Служителят, който обработва лични данни, проверява целта, за която са поискани личните данни, и правното основание, посочени в искането.
(6) В случаите, когато са налице специфични условия за обработването на лични данни, включително срок за съхранение, служителят уведомява получателя на данните за тези условия и за задължението му да ги спазва.
(7) В организационно-технологичните правила за съответния информационен фонд се посочва технологията, свързана с дейността по предаване на личните данни.
(8) Когато се установи, че предадените лични данни са неточни или са предадени незаконосъобразно, получателят се уведомява незабавно, а предаващият служител и получателят коригират, изтриват или ограничават обработването на личните данни.
(9) Предаване на лични данни от МВР на други органи или организации чрез автоматизиран обмен се осъществява по реда на нормативен акт, правен акт на ЕС или международен договор, по който Република България е страна.
(10) Предаването на лични данни по ал. 9 се осъществява по начин, който позволява да се направи връзка между автоматизираната заявка по ал. 3 и отговора или между полученото съвпадение при автоматизирано запитване и допълнително предоставените лични данни.
(11) Лични данни на служители на МВР се предават в ограничен обем, необходим за идентифицирането, съгласно приложимите нормативни актове.
Раздел VII.
Ограничаване на обработването на лични данни
Чл. 14. (1) Ограничаване на обработването на лични данни се извършва въз основа на:
1. влязъл в сила акт на орган на съдебната власт;
2. влязъл в сила акт на КЗЛД;
3. искане на субекта на данните - при упражняване на неговото право да поиска от администратора ограничаване на обработването на лични данни, които го засягат;
4. искане от органи или организации, предоставили личните данни, включително по силата на международен договор.
(2) Ограничаване на обработването на лични данни по ал. 1, т. 3 се извършва въз основа на решение на министъра на вътрешните работи или изрично оправомощено от него длъжностно лице.
(3) Ограничаване на обработването на лични данни по ал. 1, т. 1, 2 и 4 се извършва въз основа на заповед на управляващия съответния информационен фонд.
(4) В случаите по ал. 1, т. 1 и 2 управляващият съответния информационен фонд издава заповед за ограничаване на обработването на лични данни след проверка дали съответният акт е влязъл в сила.
(5) Срокът за ограничаване на обработването се определя в зависимост от основанието, във връзка с което се осъществява ограничаването на обработването. Срокът се посочва в съответното решение или заповед.
Чл. 15. Когато обработването на лични данни е ограничено съгласно чл. 14, такива данни се обработват, с изключение на тяхното съхранение, само със съгласието на субекта на данните или за установяването, упражняването или защитата на правни претенции или за защита на правата на друго физическо лице, или поради основания от обществен интерес.
Чл. 16. (1) Ограничаване на обработването на лични данни в автоматизиран информационен фонд се извършва чрез временно добавяне на записи в базата данни, съотносими към определен запис или група записи, обединени по определен признак.
(2) Ограничаване на обработването на лични данни в автоматизиран информационен фонд се извършва чрез специализиран софтуер на автоматизираната система.
(3) Софтуерът на автоматизираната система трябва да изключва възможността за обработване, с изключение на тяхното съхранение, на лични данни, чието обработване е ограничено при всяка функционална дейност на системата за указания период от време.
(4) Софтуерът на автоматизираната система трябва да осигурява възможност лични данни, чието обработване е ограничено, по изключение да се обработват в съответствие с чл. 15.
(5) След извършено възстановяване на базата данни от нейно архивно копие се повтарят действията за ограничаване на обработването на лични данни в срока на ограничаване на обработването.
Чл. 17. (1) В автоматизиран информационен фонд ограничаването на обработването на определен запис или записи се премахва при изтичане на срока по чл. 14, ал. 5 чрез специализиран софтуер за всеки автоматизиран информационен фонд.
(2) След извършено възстановяване на базата данни от нейно архивно копие се повтарят действията за премахване на временното ограничаване на обработването на данните съгласно ал. 1.
Чл. 18. (1) Ограничаване на обработването на данни в неавтоматизиран информационен фонд се извършва чрез временно добавяне на информация към отделен документ или група от документи, обединени по определен признак.
(2) Ограничаване на обработването може да бъде извършено и на част от документ.
(3) Маркировката за ограничаване на обработването съдържа указание относно прекратяването на обработването на личните данни.
Чл. 19. (1) В неавтоматизирания информационен фонд премахването на ограничаването на обработването се извършва, като временно добавената информация се заличава след изтичане на срока по чл. 14, ал. 5.
(2) За премахването на ограничаването на обработването се уведомява инициаторът на ограничаването на обработването.
Чл. 20. (1) Когато обработването е ограничено съгласно чл. 14, ал. 1, т. 3, субектът на данните се информира, преди да се премахне ограничаването на обработването.
(2) Когато е ограничено обработването на лични данни, за това се уведомяват получателите, пред които данните са разкрити, като получателите се уведомяват, че също са длъжни да ограничат обработването на получените лични данни.
(3) Извършването на дейностите по ал. 1 и 2 се отразява в протокол, който се регистрира в съответната структура.
Раздел VIII.
Изтриване на лични данни
Чл. 21. Изтриване на лични данни се извършва въз основа на:
1. влязъл в сила акт на орган на съдебната власт;
2. влязъл в сила акт на КЗЛД;
3. установено по служебен път несъответствие между оригиналния документ и извършеното обработване на данни във фонда;
4. отпадане на необходимостта от обработване на данните;
5. предоставяне на данни от субекта без правно основание по чл. 6, параграф 1 от Регламент (ЕС) 2016/679 или в противоречие с принципите по чл. 5 от Регламент (ЕС) 2016/679;
6. основателно искане на субекта на данните - при упражняване на неговото право да поиска от министъра на вътрешните работи изтриване на личните данни, които го засягат;
7. основателно искане от органи или организации, предоставили личните данни, включително по силата на международен договор;
8. оттегляне на съгласието за обработване от страна на субекта на данни, когато обработването се извършва на основание съгласие;
9. изтичане на срока за съхранението на данните.
Чл. 22. (1) Изтриването на лични данни по чл. 21, т. 6 и 8 се извършва въз основа на решение на министъра на вътрешните работи или изрично оправомощено от него длъжностно лице.
(2) Изтриването на лични данни по чл. 21, т. 1, 2, 3, 4, 5, 7 и 9 се извършва въз основа на заповед на управляващия съответния информационен фонд.
(3) В случаите на чл. 21, т. 1 и 2 управляващият съответния информационен фонд издава заповед за изтриване на лични данни след проверка дали съответният акт е влязъл в сила.
(4) Лични данни, съдържащи се в обявени на електронни страници на МВР в интернет документи във връзка с провеждане на конкурси, се изтриват в шестмесечен срок от приключване на процедурите по искане на структурата, инициирала публикуването.
Чл. 23. (1) Изтриване на информация, съдържаща лични данни, отразена в неавтоматизиран информационен фонд, се извършва, като:
1. се прилага механична операция, водеща до невъзможност за последващо ползване на изтритите лични данни във фонда;
2. във фонда се поставя маркер за операцията по т. 1, съдържащ основанието за изтриване, номер и дата на документа, иницииращ операцията, подписалия документа, служителя, извършил операцията.
(2) В случаите, когато съответният документ съдържа само идентификационни данни на субекта на данни, той се унищожава, като за целта се съставя протокол от служителя, извършил операцията.
(3) Изтриване на информация, съдържаща лични данни, отразена в неавтоматизирани архивни фондове, не се извършва. Управляващият информационния фонд прилага подходящи технически и организационни мерки за гарантиране правата на субектите на данни.
Чл. 24. (1) Изтриване на информация, съдържаща лични данни, отразена в автоматизиран информационен фонд, се извършва:
1. чрез програмно изтриване на съответната съвкупност от лични данни от базата данни на системата посредством специализиран софтуер на автоматизираната информационна система;
2. по начин, който не позволява възстановяване на изтритата информация, съдържаща лични данни.
(2) В случай на изтриване, при което от даден запис е останала незаличена само идентификационната част, записът се изтрива заедно с референтните връзки, ако има създадени такива към други записи в същата база данни.
(3) При изтриване в базата данни на системата се отразяват основанието за операцията, номерът и датата на документа, иницииращ операцията, данните за разпореждащия операцията, данните за служителя, осъществил операцията, датата и часът на операцията.
Чл. 25. (1) При изтриване на информация, съдържаща лични данни в автоматизиран фонд, управляващият информационния фонд организира изтриване на данните в резервните копия на базата данни, както и недопускане на повторно активиране на изтритите данни.
(2) За извършено изтриване на лични данни се уведомяват получателите, пред които данните са разкрити, като получателите се уведомяват, че са длъжни да изтрият получените лични данни.
(3) Извършването на дейностите по ал. 1 и 2 се отразява в протокол, който се регистрира в съответната структура.
Раздел IX.
Водене на системни дневници (логове) в автоматизираните информационни фондове
Чл. 26. (1) В автоматизираните информационни фондове, в които се обработват лични данни за целите по глава осма на Закона за защита на личните данни, се водят системни дневници (логове) за следните дейности по обработване: събиране, промяна, справка, разкриване, включително предаване, комбиниране и изтриване.
(2) Логовете по ал. 1 за извършена справка или разкриване дават възможност за установяване на основанието, датата и часа на такива дейности и доколкото е възможно - идентификацията на лицето, което е направило справка или е разкрило лични данни, както и данни, идентифициращи получателите на тези лични данни, както и личните данни, до които е осъществен достъп или са били разкрити.
(3) Логовете по ал. 1 се използват единствено за проверяване на законосъобразността на обработването, за целите на контрола, включително за целите на дисциплинарни производства, за гарантиране на целостността и сигурността на личните данни и при наказателни производства.
(4) Срокът за съхранение на логовете по ал. 1, както и срокът за тяхното архивиране се определят със заповед на министъра на вътрешните работи.
(5) При поискване копие от логове се предоставя на КЗЛД.
(6) Министърът на вътрешните работи утвърждава със заповед правилата за водене на логове по ал. 1.
(7) В правилата по ал. 6 се определят редът за ползване на логове и структурите на МВР, които имат право на достъп до тях.
Глава трета.
ОРГАНИЗАЦИЯ НА ОБРАБОТВАНЕТО НА ЛИЧНИ ДАННИ
Раздел I.
Организационно-технологични правила на информационните фондове, в които се обработват лични данни
Чл. 27. (1) Всеки информационен фонд, в който се обработват лични данни, функционира съобразно организационно-технологични правила, изготвени от управляващия фонда, утвърдени със заповед на министъра на вътрешните работи.
(2) В организационно-технологичните правила по ал. 1 се определят:
1. целите, за които се обработват личните данни;
2. функционалностите на информационния фонд и връзките с други информационни фондове;
3. категориите лични данни, подлежащи на обработване, и категориите субекти на данни, чиито данни се обработват;
4. сроковете за съхранение на личните данни или сроковете и процедурите за извършване на периодични проверки на необходимостта от по-нататъшното съхранение на обработваните лични данни, доколкото не са определени в нормативен акт;
5. потребителите и техните права на достъп до лични данни;
6. получателите и/или категориите получатели, пред които личните данни могат да бъдат разкрити; редът и условията за ползване и/или получаване на лични данни;
7. управлението, контролът и отговорността за поддържане и ползване на информационния фонд;
8. мерките за защита на лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице;
9. редът за псевдонимизация на лични данни, когато е приложимо;
10. технологията на работа с информационния фонд;
11. сроковете и процедурите за извършване на периодични проверки на качеството на обработваните лични данни с оглед тяхната точност и актуалност;
12. мерките за осъществяване на разграничение между личните данни на различни категории субекти на данни;
13. технологията, свързана с дейността по предаване на личните данни, обхватът на предаваните данни и ограниченията, които се налагат при предаването.
(3) Сроковете по ал. 1, т. 4 могат да бъдат определени общо за съответния информационен фонд или за отделни категории лични данни, обработвани във фонда.
(4) Извършването на периодична проверка по ал. 1, т. 4 се документира, а решението за продължаване на съхранението на данните се мотивира.
Чл. 28. В организационно-технологичните правила за автоматизиран информационен фонд, в който се обработват лични данни, се определят и:
1. потребителските права за достъп до функционалните дейности и потребителските профили;
2. процедурата за изтриване на данните след изтичане на срока за съхранение и контролът за нейното спазване;
3. процедурата, правилата и схемите за архивиране;
4. редът за обработване на архивни данни;
5. редът за ползване на данни, чието обработване е ограничено, с оглед обработването им за статистически цели;
6. процедурата за уведомяване на лице, чиито лични данни са събрани и се съхраняват без негово знание и не са унищожени, при условие че това уведомяване не може да повлияе върху дейността на органите на МВР.
Чл. 29. В организационно-технологичните правила за неавтоматизиран информационен фонд, в който се обработват лични данни, се определят и:
1. изискванията към помещенията, в които се съхраняват документите, по отношение на физическа сигурност, пожарна безопасност, параметри на въздуха (температура, влажност);
2. необходимостта от наличие на работни места в помещенията, в които се съхраняват документите;
3. достъпът до помещенията.
Раздел II.
Задължения на длъжностните лица
Чл. 30. (1) Дирекция "Комуникационни и информационни системи" поддържа в актуално състояние регистър на автоматизираните информационни фондове в МВР, в които се обработват лични данни, като автоматизирана база данни.
(2) Длъжностното лице по защита на данните поддържа в актуално състояние регистър на неавтоматизираните информационни фондове в МВР, в които се обработват лични данни.
(3) Регистрите по ал. 1 и 2 съдържат наименованията на информационните фондове, структурите, към които са изградени, и в приложение - организационно-технологичните правила за всеки фонд.
(4) Алинеи 1 и 2 не се прилагат за архивните фондове на МВР.
(5) Забранява се обработването на лични данни в информационни фондове, които не са вписани в регистрите по ал. 1 и 2, с изключение на архивните фондове на МВР.
Чл. 31. (1) Длъжностното лице по защита на личните данни изразява становище по проектите на организационно-технологични правила на информационни фондове, в които се обработват лични данни, по искане на управляващия съответния информационен фонд.
(2) Дирекция "Комуникационни и информационни системи" проверява за съответствие в техническо и технологично отношение проектите на организационно-технологични правила на автоматизираните информационни фондове, в които се обработват лични данни, по искане на управляващия съответния информационен фонд.
Чл. 32. Ръководителите на структури в МВР със заповед определят правата за достъп до личните данни в информационния фонд и потребителския профил и/или разрешените дейности на определените служители съгласно изискванията на организационно-технологичните правила на фонда.
Чл. 33. (1) При назначаване или преназначаване на служител на друга длъжност, за която не се изисква достъп до лични данни, или при прекратяване на правоотношението на служител, получил достъп до лични данни в автоматизиран информационен фонд за общо ползване, ръководителят на съответната структура в определения в организационно-технологичните правила срок, а ако такъв срок не е определен - в 5-дневен срок от възникване на обстоятелството, писмено уведомява директора на ДКИС за прекратяване на достъпа до информационния фонд.
(2) При назначаване или преназначаване на служител на друга длъжност, за която не се изисква достъп до лични данни, или при прекратяване на служебното правоотношение на служител, получил достъп до лични данни в локален автоматизиран информационен фонд, ръководителят на съответната структура в определения в организационно-технологичните правила срок, а ако такъв срок не е определен - в 5-дневен срок от възникване на обстоятелството, прекратява достъпа до информационния фонд.
Чл. 34. Управляващият информационния фонд пряко отговаря и се отчита пред министъра на вътрешните работи за:
1. законосъобразността на обработването на личните данни в информационния фонд;
2. сигурността, правилното съхранение, целостта и качеството на личните данни;
3. спазването на сроковете за съхранение на личните данни, съответно за периодичната оценка на необходимостта от съхранение;
4. предоставянето на достъп до информационния фонд на съответните служители;
5. контрола на достъпа до информационния фонд.
Чл. 35. (1) Служителите, които извършват обработване на лични данни, при изпълнение на справки в съответните информационни фондове задължително отразяват във фонда конкретния повод за извършване на справката, освен в процеса на административно обслужване на граждани или извършване на гранични проверки на граничните контролно-пропускателни пунктове на преминаващи лица, ползваните от тях документи и превозни средства.
(2) Когато служител, който извършва обработване на лични данни, извърши справка с оглед разкриване на личните данни пред определен получател, той задължително въвежда във фонда данни, идентифициращи получателя, с изключение на случаите на извършване на справка в автоматизиран информационен фонд, където това е технически невъзможно.
Раздел III.
Предоставяне на потребителско име и парола за достъп до автоматизиран информационен фонд
Чл. 36. Служителите, които обработват лични данни в автоматизиран информационен фонд, получават персонални потребителско име и парола за достъп, които осигуряват достъп до мрежата за предаване на данни в МВР и ресурсите на съответния автоматизиран информационен фонд.
Чл. 37. (1) Потребителското име и паролата за достъп до автоматизирани информационни фондове за общо ползване се предоставят от ДКИС, а до останалите информационни фондове - от управляващия съответния фонд.
(2) Потребителското име и паролата се предоставят персонално на всеки служител въз основа на утвърдено от управляващия информационния фонд мотивирано искане, изготвено от ръководителя на съответната структура.
(3) Искането по ал. 2 съдържа:
1. трите имена на служителя;
2. единен граждански номер (ЕГН);
3. основна структура;
4. структурно звено;
5. служебен телефон;
6. номер на заповедта по чл. 32;
7. потребителския профил и/или разрешените дейности.
(4) Служителите не предоставят своите потребителско име и парола за достъп на други лица и не използват потребителско име и парола за достъп на други лица.
Глава четвърта.
ТЕХНИЧЕСКИ И ОРГАНИЗАЦИОННИ МЕРКИ ЗА ЗАЩИТА ПРИ ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ
Чл. 38. (1) При обработване на лични данни в МВР се предприемат технически и организационни мерки за физическа, персонална, документална защита, защита на автоматизирани информационни системи и/или мрежи и криптографска защита въз основа на извършена периодична оценка на риска.
(2) Мерките по ал. 1 се определят с организационно-технологичните правила на информационния фонд, в който се обработват лични данни, освен ако не са уредени с нормативен акт, правен акт на ЕС или международен договор, по който Република България е страна.
(3) Мерките по ал. 1 се преразглеждат и при необходимост се актуализират.
Чл. 39. (1) Организационно-технологичните правила за автоматизиран информационен фонд, в който се обработват лични данни, регламентират технически и организационни мерки, които:
1. отхвърлят достъпа на неоторизирани лица до оборудването за обработване на данни - контрол на достъпа до оборудване;
2. предотвратяват неоторизираното четене, копиране, промяна или унищожаване на информационни носители - контрол на информационните носители; неоторизирано използване на системите за лични данни чрез средства за пренос на данни;
3. предотвратяват неоторизираното добавяне, въвеждане, преглеждане, промяна или изтриване на съхранени лични данни - контрол по съхраняването;
4. предотвратяват използването му от неоторизирани лица, използващи комуникационно оборудване за данни - контрол на потребителите;
5. гарантират, че лицата, които са оторизирани да ползват система за автоматизирано обработване на лични данни, имат достъп само до данните, включени в обхвата на техния достъп - контрол на достъпа до данни;
6. осигуряват възможността за проверка и установяване до кои органи са били или могат да бъдат изпратени или предоставени личните данни чрез използване на комуникационно оборудване за данни - контрол на комуникациите;
7. осигуряват възможност за последваща проверка и установяване какви лични данни са въведени в системите за автоматизирано обработване на данни, кога и от кого са въведени данните и идентификационен номер на компютъра, от който са въведени данните - контрол на въвеждане;
8. предотвратяват неоторизирано четене, копиране, промяна или изтриване на лични данни при трансфер на лични данни или превозване на носители на данни - контрол при транспортиране;
9. осигуряват възможност инсталираните системи да могат да се възстановят в случаи на прекъсване на функционирането - възстановяване;
10. осигуряват правилното функциониране на системата, докладване на появата на грешки във функциите (надеждност) и гарантират, че съхранените данни не могат да бъдат повредени чрез неправилно функциониране на системата - интегритет.
(2) Ръководителят на структура на МВР, в която се обработват лични данни, прилага, в съответствие с организационно-технологичните правила на съответния информационен фонд, технически и организационни мерки, които осигуряват ниво на сигурност на личните данни, съобразено с рисковете за сигурността на личните данни.
Чл. 40. (1) Организационно-технологичните правила за неавтоматизиран информационен фонд, в който се обработват лични данни, регламентират технически и организационни мерки, които гарантират защита на личните данни срещу случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до прехвърлени, съхранявани или обработвани по друг начин лични данни.
(2) Мерките по ал. 1 се преразглеждат и при необходимост се актуализират.
Глава пета.
КОНТРОЛ ПРИ ОБРАБОТВАНЕ НА ЛИЧНИТЕ ДАННИ
Чл. 41. (1) Контролът върху дейностите по обработване на лични данни в МВР се осъществява от:
1. Комисията за защита на личните данни;
2. министъра на вътрешните работи.
(2) В дейността си по ал. 1 министърът на вътрешните работи се подпомага от длъжностното лице по защита на данните в МВР.
(3) Контролът върху дейностите по обработване на лични данни в информационен фонд се извършва от управляващия информационния фонд.
Чл. 42. (1) Управляващият информационен фонд извършва планови и внезапни проверки за установяване на спазването на необходимите технически и организационни мерки по защита на личните данни, както и периодични проверки на качеството на обработваните лични данни.
(2) Плановите проверки се извършват по график, утвърден от министъра на вътрешните работи.
(3) За резултатите от извършените проверки се докладва на министъра на вътрешните работи.
(4) При констатирани несъответствия или нарушения управляващият информационен фонд представя на министъра на вътрешните работи за утвърждаване предложения и срок за отстраняване на несъответствията или нарушенията.
Чл. 43. (1) Утвърдените предложения по чл. 42, ал. 4 се изпращат на компетентните структури за изпълнение.
(2) Копие от предложенията по чл. 42, ал. 4 се изпращат за съхранение в съответния регистър на информационни фондове по чл. 30.
(3) След изпълнение на утвърдените предложения на министъра на вътрешните работи се представя доклад. Копие от доклада се изпраща в съответния регистър на информационни фондове по чл. 30.
(4) Когато предложенията са направени в изпълнение на указания на КЗЛД, министърът на вътрешните работи уведомява КЗЛД за тяхното изпълнение. В тези случаи министърът на вътрешните работи се подпомага от ДКИС и длъжностното лице по защита на данните.
Чл. 44. (1) В случай на нарушение на сигурността на личните данни служителят, който обработва лични данни, е длъжен без забавяне да уведоми управляващия информационния фонд, който незабавно, след получаване на информацията, уведомява за нарушението на сигурността на личните данни министъра на вътрешните работи и длъжностното лице по защита на данните в МВР.
(2) Длъжностното лице по защита на данните създава необходимата организация с оглед изпълнение на ангажимента за уведомяване на КЗЛД, когато има вероятност от риск за правата и свободите на субектите на данни.
(3) Всяко нарушение на сигурността на личните данни се документира и се описват фактите, свързани с нарушението, последиците от него и предприетите действия за справяне с него.
Чл. 45. (1) Когато има вероятност нарушението на сигурността на личните данни да доведе до висок риск за правата и свободите на субектите на данни, управляващият информационния фонд, без забавяне, но не по-късно от 7 дни от установяването му, съобщава на субекта на данни за нарушението на сигурността на личните данни.
(2) Уведомяването по ал. 1 се извършва въз основа на заповед на министъра на вътрешните работи или изрично оправомощено от него длъжностно лице.
(3) За уведомяването по ал. 1 управляващият информационния фонд информира длъжностното лице по защита на данните в МВР.
Глава шеста.
ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ ЗА ЦЕЛИТЕ НА ПРЕДОТВРАТЯВАНЕТО, РАЗСЛЕДВАНЕТО, РАЗКРИВАНЕТО ИЛИ НАКАЗАТЕЛНОТО ПРЕСЛЕДВАНЕ НА ПРЕСТЪПЛЕНИЯ ИЛИ ИЗПЪЛНЕНИЕТО НА НАКАЗАНИЯ, ВКЛЮЧИТЕЛНО ПРЕДПАЗВАНЕТО ОТ ЗАПЛАХИ ЗА ОБЩЕСТВЕНИЯ РЕД И СИГУРНОСТ И ТЯХНОТО ПРЕДОТВРАТЯВАНЕ
Чл. 46. (1) Правилата на тази глава се прилагат при обработването на лични данни за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществения ред и сигурност и тяхното предотвратяване.
(2) Компетентните органи обработват лични данни за целите по ал. 1 по реда на глава осма от ЗЗЛД и на ЗМВР.
(3) Компетентните органи обработват лични данни, събрани за целите по ал. 1 за други цели, при наличието на изрично правно основание и по реда на Регламент (ЕС) 2016/679 и съответните разпоредби от ЗЗЛД, които въвеждат мерки за неговото прилагане.
Чл. 47. Управляващият информационния фонд, когато е приложимо, взема мерки за отделно съхранение на личните данни на различни категории субекти на данни.
Чл. 48. Компетентните органи разграничават лични данни, основани на факти, и лични данни, основани на лични оценки, като при обработването им се прави надлежна отметка.
Чл. 49. (1) Компетентните органи проверяват качеството на личните данни преди тяхното предаване, като при възможност се добавя необходимата информация, позволяваща на получаващия компетентен орган да оцени степента на точност, пълнотата и надеждността на личните данни и до каква степен те са актуални.
(2) Когато предадените лични данни са неточни, непълни или са предадени незаконосъобразно, получателят се уведомява незабавно. В този случай предаващият компетентен орган и получателят коригират, изтриват или ограничават обработването на личните данни.
Чл. 50. При предаване на лични данни на трети държави или международни организации на основанията, предвидени в чл. 72 до 76 от ЗЗЛД, компетентните органи документират предаването, включително датата и часа на предаване, информация относно получателя, основанието за предаването и предадените лични данни.
Глава седма.
ОЦЕНКА НА ВЪЗДЕЙСТВИЕТО ВЪРХУ ЗАЩИТАТА НА ЛИЧНИТЕ ДАННИ
Чл. 51. Министърът на вътрешните работи със заповед възлага на управляващия информационния фонд да предприеме подходящи технически и организационни мерки за обезпечаване сигурността на данните, като отчита естеството, обхвата, контекста и целите на обработването на лични данни, както и риска от възможно неблагоприятно въздействие върху правата на лицата.
Чл. 52. (1) Когато има вероятност определен вид обработване, по-специално това, при което се използват нови технологии и предвид естеството, обхвата, контекста и целите на обработването, да доведе до висок риск за правата и свободите на субектите на данни, преди да бъде извършено обработването, се извършва оценка на въздействието на предвидените операции по обработването върху защитата на личните данни.
(2) Оценка на въздействието се извършва задължително и във връзка с операциите по обработване, определени с решение на КЗЛД.
(3) При обработването на лични данни за целите по чл. 46, ал. 1, оценката на въздействието съдържа най-малко: общо описание на предвидените операции по обработване, оценка на рисковете за правата и свободите на субектите на данни, мерките, предвидени за справяне с тези рискове, гаранции, мерки за сигурност и механизми за гарантиране на защитата на личните данни и за доказване на съответствие с правилата на тази глава, като се вземат предвид правата и законните интереси на субектите на данни и другите засегнати лица.
(4) Във всички останали случаи, извън ал. 1 и 3, оценката на въздействието съдържа най-малко:
1. системен опис на предвидените операции по обработване и целите на обработването;
2. оценка на необходимостта и пропорционалността на операциите по обработване по отношение на целите;
3. оценка на рисковете за правата и свободите на субектите на данни;
4. мерките, предвидени за справяне с рисковете, включително гаранциите, мерките за сигурност и механизмите за осигуряване на защитата на личните данни и за демонстриране на спазването на изискванията за защита на данните.
(5) Извършването на оценка на въздействието се организира от управляващия информационния фонд и резултатът се докладва на министъра на вътрешните работи за утвърждаване.
Чл. 53. Управляващият информационния фонд ежегодно, до 31 януари, изготвя и представя на министъра на вътрешните работи доклад относно състоянието на обработването на лични данни в съответния информационен фонд за предходната година.
Допълнителни разпоредби
§ 1. По смисъла на тази инструкция "управляващ информационния фонд" е ръководителят на съответната структура от МВР, при която е изграден информационният фонд, съгласно чл. 24, ал. 2 от ЗМВР.
Преходни и Заключителни разпоредби
§ 2. Тази инструкция се издава на основание чл. 29, ал. 2 от Закона за Министерството на вътрешните работи.
§ 3. Инструкция № 8121з-1122 от 12 септември 2015 г. за реда за обработка на лични данни в Министерството на вътрешните работи (обн., ДВ, бр. 73 от 2015 г.; изм., бр. 31 от 2016 г. и бр. 3 от 2017 г.) се отменя.
§ 4. В срок шест месеца след влизане в сила на тази инструкция организационно-технологичните правила за функционирането на информационните фондове, в които се обработват лични данни, се привеждат в съответствие с нея.
