ИНСТРУКЦИЯ

за мерките и средствата за защита на личните данни

събирани, обработвани, съхранявани и предоставяни от НСИ

Раздел І

            Общи положения

Чл. 1. Инструкцията регламентира:

            1. Воденето, поддържането и защитата на регистрите, съхраняващи лични данни в ЦУ на Националния статистически институт

2. Задълженията на длъжностните лица, обработващи лични данни и тяхната отговорност при неизпълнение на тези задължения;

3. Необходимите програмно-технически и организационни мерки, както и мерки за физическа защита на личните данни, обработвани в НСИ от случайно или незаконно унищожаване, случайна загуба или промяна, незаконно разкриване или достъп, нерегламентирано изменение или разпространение, както и от всички други незаконни форми на обработване на лични данни.

Чл. 2. (1) Съгласно чл.2 от Закона за защита на личните данни, лични данни са всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано пряко или непряко чрез идентификационен номер или чрез един или повече специфични признаци, свързани с неговата физическа, физиологична, генетична, психическа, психологическа, икономическа, културна или социална идентичност.

(2) Осъществяването на правото на достъп до лични данни не може да бъде насочено срещу правата и доброто име на друго физическо лице, както и срещу националната сигурност, обществения ред, народното здраве и морала.

Чл. 3. (1) Лични данни на служителите, посетителите и контрагентите на НСИ се събират, обработват и съхраняват в Регистри „Персонал”, „Видеонаблюдение” и „Деловодство”;

(2) Лични данни, събирани чрез статистически изследвания се събират, обработват и съхраняват в регистър „Демография”, „Статистически бизнес регистър” и база данни „Наблюдение на структурата на заплатите”.

(3) Лични данни, събирани по време на преброявания на населението и жилищния фонд се събират, обработват и съхраняват в регистри „Преброяване 2001” и „Преброяване 2011”.

Чл.4. (1) Личните данни по чл.3, ал.2 и 3 са индивидуални статистически данни и представляват статистическа тайна, съгласно Закона за статистиката. Те могат да се използват само за статистически цели. Индивидуалните данни, получени за целите на статистическите изследвания, не могат да се ползват като доказателства пред органите на изпълнителната и съдебната власт.

(2) Служителите на Националния статистически институт не могат да разгласяват или предоставят:

1. индивидуални статистически данни;

2. статистически данни, които е възможно да бъдат обвързани така, че да се идентифицира определена статистическа единица;

3. статистическа информация, която обобщава данните за по-малко от три статистически единици или за съвкупност, в която относителният дял на стойността на изучаван параметър на една единица, е над 85 на сто от общата стойност на този параметър за всички единици от съвкупността.

(3) Индивидуалните данни могат да се публикуват само ако субектът, за който се отнасят, е дал съгласие за това. Съгласието се дава в писмена форма и от него трябва да е ясно за кои данни се отнася. Лицето, за което се отнасят данните, може по всяко време да оттегли съгласието си писмено, като оттеглянето на съгласието не засяга извършените преди това действия.

Чл.5. (1) За защита на личните данни от случайно или незаконно унищожаване, от неправомерен достъп, от изменение или разпространение както и от други незаконни форми на обработване НСИ организира и предприема мерки, съобразени със съвременните технологични постижения и рисковете, свързани с естеството на данните, които трябва да бъдат защитени

(2) НСИ предприема следните мерки за защита на личните данни:

1. програмно-технически – криптографски методи и средства и защита при пренасяне на информацията, надеждна и защитена идентификация и автентификация на изпращача и на получателя на информацията и осигуряване конфиденциалност, интегритет на пренасяната информация

2. физически – система от мерки по защита на сградите, помещенията и съоръженията и които се създават, обработват и съхраняват лични данни и контрола върху достъпа до тях;

3. организационни и административни – регламентирани с правила и заповеди на Председателя на НСИ;

4. нормативни, предвидени в законови и подзаконови нормативни актове.

Раздел ІІ

Обработване на лични данни на служителите, посетителите и контрагентите на НСИ

Чл.6. (1) В регистър „Персонал” се съхраняват следните видове лични данни:

1. физическа идентичност – имена, ЕГН, адрес, дом. телефон, паспортни данни;
2. образование – документ за придобито образование, квалификация правоспособност,

3. трудова дейност – съгласно приложените документи за трудов стаж и професионална биография;

4. медицински данни – карта за предварителен медицински преглед за постъпване на работа;

5 свидетелство за съдимост, когато се изисква;

6. формуляр по образец;

7. имотно състояние.

(2) Събирането, обработването и съхранението на лични данни в Регистър „Персонал” е уредено в Инструкция за механизма на обработване на лични данни и защитата им от незаконни форми на обработване в Регистър „Персонал” в ЦУ на НСИ, утвърдена със Заповед № РД 07-11/31.01.2006г. на Председателя на НСИ.

(3) Данните в регистъра на хартиен носител се събират обработват и съхраняват в отдел: „Човешки ресурси и канцелария” за които е определена степен на защита „начално ниво”. Данните в регистъра на хартиен и технически носител се обработват и съхраняват в отдел „ Финансови стопански дейности” и за тях е определена степен на защита – „средно ниво”;

(4) Личните данни в регистър “Персонал” се набират при подаване на документи за постъпване на работа по трудово и служебно правоотношение.

(5) Право на достъп до данните в регистъра имат:

1. Лицата, за които се отнасят данните в регистъра, по тяхно изрично искане;

2. Председателя, Заместник – председателите и Главния секретар на НСИ - при изпълнение на правомощията им по Закона за статистиката, Кодекса на труда, Закона за държавния служител и др.

3. Обработващите и операторите на лични данни – служителите от отдели: „Човешки ресурси и канцелария”, „Финансови стопански дейности” и „Правни дейности” и служителите от фирма „Омега софт”, лица, осъществяващи технически операции по обработката и контрол на данните.

4. Държавни органи, надлежно легитимирали се със съответни документи - писмени разпореждания на съответния орган, в които се посочва основанието, имената на лицата, на които е необходимо да се осигури достъп до личните данни.

(6) Данните от регистъра не се предават на трети лица.

Чл.7. (1) Регистър „Видеонаблюдение” се попълва с данни от автоматично денонощно видеонаблюдение (видеообраз) за движението на служителите и посетителите към подходите на сградите на НСИ и помещенията с определен статут. Записите с видеообрази се съхраняват на отделен персонален компютър, монтиран в помещението на физическата охрана.

(2) За Регистър „Видеонаблюдение” е определена степен на защита – „средно ниво”;

(3) Данните в регистъра се предоставят доброволно от лицата при влизането им в сградата на НСИ. На входовете на сградата са поставени предупредителни табели, че обектът се намира под постоянно видеонаблюдение.

(4) Физическата защита на личните данни се осъществява от денонощна физическа охрана.

(5) Право на достъп до данните в регистъра имат:

1. Лицата, за които се отнасят данните в регистъра, по тяхно изрично искане;

2. Председателя, Заместник – председателите и Главния секретар на НСИ - при изпълнение на правомощията им по Закона за статистиката, Кодекса на труда, Закона за държавния служител и др.

3. Обработващите и операторите на лични данни – служителите от отдел “УК, ЗОВ-С и ОМП”, осъществяващи технически операции по обработката и контрол на данните.

4. Държавни органи, надлежно легитимирали се със съответни документи - писмени разпореждания на съответния орган, в които се посочва основанието, имената на лицата, на които е необходимо да се осигури достъп до личните данни.

(6) Данните от регистъра не могат да бъдат предавани по електронен път.

Чл.8. (1) Регистър „Деловодство” съдържа следните лични данни за физическите лица, контрагенти на НСИ: имена и ЕГН, номер на лична карта, дата и място на издаване, адрес, телефони, месторождение, данни относно образованието на лицата - вид на образованието, допълнителна квалификация, степени и звания, данни за имотно и финансово състояние, доходи.

(2) Данните в регистъра на хартиен носител се събират обработват и съхраняват в отдел: „Човешки ресурси и канцелария” за които е определена степен на защита „ниско”. Данните в регистъра на хартиен и технически носител се обработват и съхраняват в отдел „ Финансови стопански дейности” и за тях е определена степен на защита – „средно ниво”

(3) Данните в регистъра се предоставят по силата на договорни правоотношения;

(4) Физическата защита на личните данни от регистъра е организирана, като данните се обработват и съхраняват в заключващи се помещения и строг контрол на достъпа до тях.

(5) Право на достъп до данните в регистъра имат:

1. Лицата, за които се отнасят данните в регистъра, по тяхно изрично искане;

2. Председателя, Заместник – председателите и Главния секретар на НСИ - при изпълнение на правомощията им по Закона за статистиката, Кодекса на труда, Закона за държавния служител и др.

3. Обработващите и операторите на лични данни – служителите от отдели „ФСД”, „Правни дейности”, „Човешки ресурси и канцелария”, служителите на „Омега софт” и лица, осъществяващи технически операции по обработката на данните.

4. Държавни органи, надлежно легитимирали се със съответни документи - писмени разпореждания на съответния орган, в които се посочва основанието, имената на лицата, за които за целите на дейността им е необходимо да се осигури достъп до личните данни.

(6) Данните от регистъра не се предават на трети лица.

Раздел ІІІ

Обработване на лични данни, събрани от статистически изследвания и

преброяванията на населението и жилищния фонд

Чл.9. (1) Регистри „Преброяване 2001” и „Преброяване 2011” съдържат следните лични данни за физическите лица, субекти на ЗПНЖФРБ’2011: ЕГН, номер на лична карта (само при регистрация за е-преброяване), трите имена на лицата, пол, гражданство, постоянен и настоящ адрес, място на раждане, семейно положение, завършена степен на образование, етническа група, вероизповедание, майчин език, трудов статус, професия/длъжност, месторабота, местонахождение на работата или учебното заведение, вид транспорт използван за пътуване, здравен статус;

(2) Данните в регистрите се събират и съхраняват на електронен носител в отдел: „Демографска статистика”. За Регистрите е определена степен на защита – „средно ниво”;

(3) Данните в регистъра се предоставят по силата на ЗПНЖФРБ’2001 и ЗПНЖФРБ’2011 и/ или доброволно от лицата при осъществяване на преброяванията;

(4) С цел физическа защита на личните данни, обработвани в Регистри „Преброяване 2001” и „Преброяване 2011” е изградена автоматична пропускателна система за контрол на достъп на служителите до помещенията, където се обработват и съхраняват личните данни в отдел „Демографска статистика” и отдел „Информационни системи”;

(5) Право на достъп до данните в регистъра имат:

1. Лицата, за които се отнасят данните в регистъра, по тяхно изрично искане;

2. Председателя, Заместник – председателите и Главния секретар на НСИ - при изпълнение на правомощията им по Закона за статистиката, Кодекса на труда, Закона за държавния служител и др.

3. обработващите и операторите на лични данни – служителите от отдел “Демографска статистика” и „Информационни системи” лицата, осъществяващи технически операции по обработката на данните.

4. Държавни органи, надлежно легитимирали се със съответни документи - писмени разпореждания на съответния орган, в които се посочва основанието, имената на лицата, на които за целите на дейността им е необходимо да се осигури достъп до личните данни.

Чл.10. (1) Регистър „Демография” съдържа следните лични данни за физическите лица, субекти на ЗПНЖФРБ’2011: ЕГН, трите имена, пол, гражданство, постоянен и настоящ адрес, семейно положение, образование;

(2) Данните в Регистър „Демография” се получават в криптиран вид по електронна поща и се събират и съхраняват на персонални компютри и на сървър в отдел „Демографска статистика” дирекция „Демографска и социална статистика” и в отдел „Информационни системи” дирекция „Информационни и комуникационни технологии”.

(3) Данните в Регистър „Демография” се предоставят от ГД ГРАО към МРРБ, съгласно споразумение.

(4) С цел физическа защита на личните данни, обработвани в Регистри „Демография” е изградена автоматична пропускателна система за контрол на достъп на служителите до помещенията, където се обработват и съхраняват личните данни в отдел „Демографска статистика” и отдел „Информационни системи”;

(5) Право на достъп до данните в регистъра имат:

1. Лицата, за които се отнасят данните в регистъра, по тяхно изрично искане;

2. Председателя, Заместник – председателите и Главния секретар на НСИ - при изпълнение на правомощията им по Закона за статистиката, Кодекса на труда, Закона за държавния служител и др.

3. Обработващите и операторите на лични данни – служителите от отдел “Демографска статистика” и „Информационни системи”, лицата, осъществяващи технически операции по обработката на данните.

4. Държавни органи, надлежно легитимирали се със съответни документи - писмени разпореждания на съответния орган, в които се посочва основанието, имената на лицата, на които за целите на дейността им е необходимо да се осигури достъп до личните данни.

(6) Данните от регистъра могат да бъдат предавани по ел.път на Евростат, когато това е необходимо за производство на европейска статистическа информация.

Чл.11. (1) „Статистически бизнес регистър” съдържа следните лични данни за физическите лица, представляващи Юридическите лица, включени в ИС „Бизнес статистика”: имена и ЕГН.

(2) Данните в регистъра се събират и съхраняват на електронен носител в отдел: „Бизнес регистри”. За Регистъра е определена степен на защита – „средно ниво”;

(3) Данните в регистъра се предоставят по силата на доброволно/задължително предоставяне на данни /ЗСт./ и от Агенцията по вписванията по силата на споразумение;

(4) Физическата защита на личните данни от регистъра е организирана като елемент на общата физическа защита на сградите и работните помещения при строг контрол на достъп до тях.

(5) Право на достъп до данните в регистъра имат:

1. Лицата, за които се отнасят данните в регистъра, по тяхно изрично искане;

2. Председателя, Заместник – председателите и Главния секретар на НСИ - при изпълнение на правомощията им по Закона за статистиката, Кодекса на труда, Закона за държавния служител и др.

3. Обработващите и операторите на лични данни – служителите от отдел “Бизнес регистри” и дирекция „ИКТ”, осъществяващи технически операции по обработката на данните.

4. Държавни органи, надлежно легитимирали се със съответни документи - писмени разпореждания на съответния орган, в които се посочва основанието, имената на лицата, на които за целите на дейността им е необходимо да се осигури достъп до личните данни.

(6) Данните от регистъра могат да бъдат предавани по ел.път на Евростат, когато това е необходимо за производство на европейска статистическа информация.

Чл.11а. (1) База данни „Наблюдение на структурата на заплатите” съдържа следните лични данни за физическите лица: година на раждане, пол, дата на постъпване в предприятието, код на професията, образователна степен, режим на работното време, продължителност на работния ден и седмица, вид трудов договор, информация за отработеното време, месечната и годишна заплати по елементи;

(2) Информацията в базата данни  се събира и съхранява на електронен носител в отдел: „Статистика на труда”. За Базата данни е определена степен на защита – „средно ниво”;

(3) Данните се предоставят по силата на задължително предоставяне на данни /ЗСт./ НСП;

(4) Физическата защита на личните данни е организирана като елемент на общата физическа защита на сградите и работните помещения при строг контрол на достъп до тях.

(5) Право на достъп до данните имат:

1. Лицата, за които се отнасят данните, по тяхно изрично искане;

2. Председателя, Заместник – председателите и Главния секретар на НСИ - при изпълнение на правомощията им по Закона за статистиката, Кодекса на труда, Закона за държавния служител и др.

3. Обработващите и операторите на лични данни, служителите от отдел “Статистика на труда” и дирекция ИКТ, осъществяващи технически операции по обработката на данните.

 (6) Данните могат да бъдат предавани по ел.път на Евростат, когато това  е необходимо за производство на европейска статистическа информация.

Раздел ІV

Права и задължения на лицата обработващи лични данни

Чл. 12. (1) Лице по защита на личните данни в НСИ е Главният секретар на НСИ, който е и председател на Съвета по защита на информация.

(2) Лицето по защита на информация има следните правомощия:

1. осигурява организацията по водене на регистрите, съгласно предвидените мерки за гарантиране на адекватна защита;

2. следи за спазването на конкретните мерки за защита и контрол на достъпа съобразно, спецификата на водените регистри;

3. осъществява контрол по спазване на изискванията за защита на регистрите;

4. поддържа връзка с Комисията за защита на личните данни относно предприетите мерки и средства за защита на регистрите и подадените заявления за предоставяне на лични данни;

5. контролира спазването на правата на потребителите във връзка с регистрите и програмно- техническите ресурси за тяхната обработка;

6. специфицира техническите ресурси, прилагани за обработка на личните данни;

7. следи за спазване на организационната процедура за обработване на личните данни, включваща време, място и ред при обработване, като чрез регистрация на всички извършени действия с регистрите в компютърната среда.

13. определя ред за съхраняване и унищожаване на информационни носители;

14. определя ред при задаване, използване и промяна на пароли, както и действията в случай на узнаване на парола и/или криптографски ключ;

15. определя правила за провеждане на редовна профилактика на компютърните и комуникационните средства, включваща и проверка за вируси, за нелегално инсталиран софтуер, на целостта на базата данни, както и архивиране на данни, актуализиране на системната информация и др. ;

16. провежда периодичен контрол за спазване на изискванията по защита на данните и при открити нередности взема мерки за тяхното отстраняване.

Чл.13. (1) Съветът по защита на информация осъществява цялостната политика на НСИ по защитата на информацията. Съветът организира, координира, анализира и контролира дейностите свързани със създаването, получаването, обработването, съхраняването и архивирането на информация, представляваща статистическа, държавна или служебна тайна, както и условията и реда за предоставяне на достъпа до тях в съответствие с българската и европейската нормативна уредба.

(2) Съветът по защита на информация се назначава със Заповед на Председателя на НСИ и е съвещателен орган към председателя на НСИ.

Чл.14. Председателят на НСИ по предложение на главния секретар определя със заповед списъка на лицата, които обработват лични данни в НСИ. Списъците се изготвят поотделно за всеки регистър.

Чл. 15. Служителите на НСИ са длъжни:

1. да обработват лични данни законосъобразно и добросъвестно;

2.да използват личните данни, до които имат достъп, съобразно целите, за които се събират и да не ги обработват допълнително по начин, несъвместим с тези цели;

3. да актуализират регистрите на личните данни (при необходимост);

4. да заличават или коригират личните данни, когато се установи, че са неточни или непропорционални по отношение на целите, за които се обработват;

5. да поддържат личните данни във вид, който позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които тези данни се обработват;

Чл.16. (1) За неспазването на разпоредбите на настоящата инструкция служителите на НСИ носят отговорност по Закона за статистиката, Закона за защита на личните данни, Закона за преброяването и Кодекса на труда.

(2) Ако в резултат на действията на съответен служител на НСИ по обработване на лични данни са произтекли вреди за трето лице, същото може да потърси отговорност по реда на общото гражданско законодателство или по наказателен ред, ако стореното представлява по-тежко деяние, за което се предвижда наказателна отговорност.

Чл.17. (1) Програмно техническите средства за защита на личните данни са обект на отделна Инструкция за организация на работата и работните места на служителите от НСИ, на които са предоставени права за работа с информационни системи, утвърдена със заповед на Председателя на НСИ РД 07-243/14.05.2010 г.

(2) При внедряване на нов програмен продукт за обработване на лични данни следва да се съставя нарочна комисия по тестване и проверка на възможностите на продукта с оглед спазване изискванията на Закона за защита на личните данни и осигуряване на максималната им защита от неправомерен достъп, загубване, повреждане или унищожаване.

Раздел V

Съхраняване и унищожаване на личните данни

Чл.18. Лични данни на физическите и юридическите лица, получени от статистически наблюдения и преброявания, се съхраняват до осъществяване на целите, за които се обработват, но не по-късно от периода, предвиден съгласно Номенклатурата на делата със сроковете за тяхното съхранение в НСИ и Закона за преброяването на населението и жилищния фонд.

Чл.19. След постигане целите по предходния член личните данни на физическите и юридическите лица се унищожават физически, чрез претопяване за което надеждно се изготвят актови протоколи за унищожаване.

Заключителни разпоредби

§ 1. Тази инструкция се издава на основание чл. 23 от Закона за защита на личните данни и Наредба № 1 от 07.02.2007г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни.

§ 2. Настоящата инструкция е задължителна за всички служители на НСИ, както и за служителите на ТСБ.

Определения:

1. "Обработване на лични данни" е всяко действие или съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространяване, предоставяне, актуализиране или комбиниране, блокиране, заличаване или унищожаване.

2. (изм. - ДВ, бр. 103 от 2005 г.) "Регистър на лични данни" е всяка структурирана съвкупност от лични данни, достъпна по определени критерии, централизирана, децентрализирана или разпределена на функционален или географски принцип.

3. (изм. - ДВ, бр. 103 от 2005 г.) "Обработващ лични данни" е физическо или юридическо лице, държавен орган или орган на местно самоуправление, който обработва лични данни от името на администратора на лични данни.

Удостоверение на НСИ за администриране на лични данни 576.54KB