НАРЕДБА № I-4 ОТ 22 ОКТОМВРИ 2019 Г. ЗА РЕДА ЗА ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ В ДЪРЖАВНА АГЕНЦИЯ "НАЦИОНАЛНА СИГУРНОСТ"

Чл. 1. (1) С тази наредба се урежда редът за обработване на лични данни от компетентните органи на Държавна агенция "Национална сигурност", наричана по-нататък "агенцията".

(2) Лични данни в агенцията се обработват единствено с цел изпълнение на дейностите, предвидени в закон.

(3) Лични данни в агенцията се обработват при спазване на Закона за Държавна агенция "Национална сигурност" и подзаконовите нормативни актове по неговото прилагане, доколкото в специален закон не е предвидено друго.

Чл. 2. Обработването на лични данни се извършва при спазване на следните принципи:

1. законосъобразност;

2. добросъвестност;

3. съотносимост и пропорционалност с целите на обработването на личните данни;

4. гарантиране на подходящо ниво на сигурност (поверителност).

Чл. 3. При обработването на личните данни, свързано с дейностите по защита на националната сигурност, органите на агенцията:

1. не искат съгласието на физическото лице;

2. не информират физическото лице преди и по време на обработването на личните му данни;

3. не предоставят лични данни на трети лица;

4. съхраняват данните и след приключването на обработването им в срокове, определени от администратора на лични данни.

Чл. 4. Председателят на Държавна агенция "Национална сигурност":

1. определя реда за създаване, експлоатиране и контрол на информационните фондове в агенцията, в които се обработват лични данни;

2. осъществява контрол по спазване изискванията за защита на личните данни при обработването им;

3. при констатирани нередности предприема мерки за тяхното отстраняване;

4. оказва съдействие при осъществяване на контролните функции на Комисията за защита на личните данни при спазване изискванията на Закона за защита на личните данни.

Чл. 5. (1) При обработване на лични данни в комуникационни и информационни системи, предназначени за работа с класифицирана информация, се прилагат изискванията на Закона за защита на класифицираната информация и подзаконовите нормативни актове по неговото прилагане.

(2) Извън случаите по ал. 1 председателят на агенцията въвежда необходимите технически и организационни мерки за защита на личните данни, включително когато обработването включва предаване на данните по електронен път.

(3) Мерките по ал. 2 се определят с вътрешни правила на председателя при спазване на нормативно установените минимални изисквания.

(4) Мерките по ал. 2 се преразглеждат периодично и при необходимост се актуализират.

(5) Личните данни се обработват само в зони за сигурност и административни зони при спазване на мерките за физическа сигурност по Закона за защита на класифицираната информация и подзаконовите нормативни актове по неговото прилагане.

Чл. 6. (1) Председателят на агенцията възлага обработката на лични данни на определени от него длъжностни лица.

(2) Обработващо данните длъжностно лице може да бъде само служител, в чиито функционални задължения е включено обработването на лични данни, който притежава валидно разрешение за достъп до класифицирана информация и при спазване на принципа "необходимост да се знае" по смисъла на чл. 3 от Закона за защита на класифицираната информация.

Чл. 7. (1) Лични данни се събират при осъществяване на законоустановените дейности на агенцията от информационни носители, изготвени от органите на агенцията или от държавни органи, организации, юридически лица и граждани, както и от специални служби на други държави, с които Република България има сключен международен договор.

(2) Личните данни, получени и обработвани от други органи, не се препредават.

Чл. 8. (1) Събраните лични данни се записват и обработват на хартиен, електронен и/или електромагнитен носител, в комуникационна и информационна система и се съхраняват в информационните фондове на агенцията.

(2) Когато информационните фондове на агенцията се използват за работа с класифицирана информация, личните данни се съхраняват в сроковете и по реда на Закона за защита на класифицираната информация и подзаконовите нормативни актове по неговото прилагане.

(3) Извън случаите по ал. 2 личните данни се съхраняват до отпадане на причината за тяхното запазване или до окончателното постигане на целта на обработването им.

Чл. 9. (1) Всяко нарушение на сигурността на лични данни се документира.

(2) Документирането по ал. 1 задължително включва регистриране на нарушението и описание на неговото естество, времето на установяването му, лицето, което докладва, и лицето, на което е докладвано нарушението, мерките за отстраняването му и последствията от него.

(3) Когато нарушението по ал. 1 съставлява и нарушение по Закона за защита на класифицираната информация или подзаконовите нормативни актове по неговото прилагане, за неговото установяване, както и за реализиране на административнонаказателна отговорност по отношение на нарушителя, се прилага Законът за защита на класифицираната информация.

Чл. 10. (1) Обработването на лични данни при осъществяване на дейностите по възлагане на обществени поръчки по реда на Закона за обществените поръчки, с изключение на дейностите по част четвърта от закона, се извършва по реда на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Регламент (ЕС) 2016/679) (Общ регламент относно защитата на данните) и на глави първа - седма от Закона за защита на личните данни.

(2) Със заповед на председателя на Държавна агенция "Национална сигурност" се определя длъжностно лице по защита на данните, което наблюдава обработването на лични данни при осъществяване на дейностите по ал. 1.

(3) Длъжностното лице по защита на данните изпълнява задачите по чл. 39 от Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните).

Чл. 11. (1) Обработването на лични данни за целите на превенцията на изпирането на пари и финансирането на тероризма се извършва по реда на Закона за мерките срещу изпирането на пари и Закона за мерките срещу финансирането на тероризма.

(2) Със заповед на директора на специализираната административна дирекция "Финансово разузнаване" на Държавна агенция "Национална сигурност" се определя длъжностно лице по защита на данните, което наблюдава обработването на лични данни при осъществяване на дейностите по ал. 1.

(3) Длъжностното лице по защита на данните изпълнява задачите по чл. 39 от Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните).

Чл. 12. (1) Личните данни от информационните фондове на агенцията могат да бъдат предоставяни само на органите за защита на националната сигурност, както и на органите на съдебната власт за нуждите на конкретно наказателно дело.

(2) Личните данни по ал. 1 могат да се предоставят и на чуждестранни органи в изпълнение на международен договор, по който Република България е страна.

Чл. 13. Личните данни се предоставят във вид на справка по писмено искане от органите по чл. 12 или по инициатива на агенцията.

Чл. 14. Заличаване на лични данни от информационните фондове на агенцията се допуска, когато се установи, че вече не съществува причина за тяхното запазване съгласно закона или в изпълнение на съдебен акт.

Чл. 15. При заличаването на лични данни се вземат предвид възрастта на физическото лице, естеството на обработваните лични данни, необходимостта от обработване до приключването на разследване или законова процедура, влизане в сила на присъда или съдебно решение, амнистия, реабилитация или изтичане на предвидената в закона давност.

Чл. 16. Унищожаване на лични данни се допуска само след окончателно постигане целта на обработването им и при спазване изискванията на Закона за защита на класифицираната информация.

Чл. 17. Заличаването и унищожаването на лични данни се извършва със заповед на председателя на агенцията по мотивирано предложение на ръководителя на структурното звено, в което се обработват същите лични данни, за всеки отделен случай.