На 30 януари 2013 г. Комисията за защита на личните данни прие нова Наредба за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни. Наредбата е публикувана в Държавен вестник на 12 февруари 2013г. и влиза в сила три дни след обнародването. Тази наредба отменя Наредба№1 от 7февруари 2007г. (ДВ, бр.25 от 23март 2007г.).
Наредбата има за цел да осигури адекватно ниво на защита на личните данни в поддържаните регистри с лични данни в зависимост от характера на данните и от броя на засегнатите лица при нарушаване на защитата им. Дефинирани са основните цели на защитата на личните данни– поверителност, цялостност и наличност, и са определени видовете защита на личните данни. С цел определяне на адекватното ниво на техническите и организационните мерки и допустимия вид защита, администраторите са длъжни да извършват периодична оценка на въздействието върху обработваните лични данни. Резултат от оценката на въздействието е определянето на нивото на въздействие и съответното му ниво на защита. Основен принцип за достъп до данните е „Необходимост да се знае”. За всяко ниво на защита са определени необходимите технически и организационни мерки, които следва да предприемат администраторите на лични данни.
В срок до 6 месеца от влизане на наредбата в сила, администраторът е длъжен да определи нивото на въздействие на обработваните от него регистри.
За регистрите с лични данни, водени към момента на влизане в сила на новата наредба, се определят следните срокове за изпълнение на мерките за защита, считано от момента на определяне на нивото на въздействие:
– за ниско ниво – до шест месеца;
– за средно ниво – до девет месеца;
– високо и изключително високо ниво – до една година.
Наредба № 1 за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни се издава на основание чл.23, ал.5 от Закона за защита на личните данни ие в сила от 15февруари 2013г.
