Задължителни указания

Комисията за защита на личните данни (КЗЛД), в качеството си на национален надзорен орган за защита на личните данни и наблюдаващ орган относно сигурността на данните, на основание чл.261а, ал.3, т.2 от Закона за електронните съобщения (ЗЕС) и във връзка с чл.10, ал.1, т.1 от Закона за защита на личните данни, въз основа на решение на КЗЛД (Протокол№5) дава настоящите ЗАДЪЛЖИТЕЛНИ УКАЗАНИЯ по чл.261а, ал.3, т.2 от Закона за електронните съобщения до задължените по ЗЕС предприятия, предоставящи обществени електронни съобщителни мрежи и/или услуги:

Настоящите задължителни указания имат за цел да унифицират практиката на предприятията, предоставящи обществени електронни съобщителни мрежи и/или услуги, ангажирани в процеса по осигуряване на достъп до съхранени трафични данни по чл. 251б, ал.1 от ЗЕС, при спазване на изискванията на Закона за електронните съобщения и Закона за защита на личните данни.

Описаното в този раздел от задължителните указания съдържание на регистрите, поддържани от предприятията, предоставящи обществени електронни съобщителни мрежи и/или услуги, следва да се счита за минимално необходимото. Всяко предприятие, по своя преценка, може да изисква вписването в регистрите и на допълнителна информация.

А. Всяко разпореждане за достъп до данни по чл.251б, ал.1 от ЗЕС, искане за достъп от съд и искане по чл.251г¹, ал.1 от ЗЕС, постъпило в съответното предприятие, предоставящо обществени електронни съобщителни мрежи и/или услуги, се вписва в специален регистър, който не е публичен.

Б. Регистърът се води на хартиен и/или електронен носител.

В. Регистърът се води по образец (Приложение № 1 към настоящите задължителни указания).

Регистрирането, съхранението и унищожаването на разпорежданията, исканията и справките се определя с вътрешни правила на съответното предприятие за работа с явни и класифицирани документи, при спазване на приложимите нормативни актове.

Предприятията са длъжни да съхраняват данни по чл.251б, ал.1 от ЗЕС за срок от 6 месеца, считано от момента на създаването им или обработването им, за нуждите на националната сигурност и за предотвратяване, разкриване и разследване на тежки престъпления, в това число за целите на предотвратяване на тежки престъпления в рамките на оперативно-издирвателната дейност по реда на глава девета от Закона за противодействие на корупцията и за отнемане на незаконно придобитото имущество, както и за осъществяване на операции по издирване и спасяване на лица в случаите по чл.38, ал.3 от Закона за защита при бедствия.

Предприятията са длъжни да предоставят справка за запазени данни по 251б, ал.1:

· на определеното в разпореждането за достъп длъжностно лице (физическо лице), издадено от председателя на съответния съд или от упълномощен от него съдия за нуждите на органите, посочени в чл.251в, ал.1 и ал.2 от ЗЕС и при спазване на изискванията на ЗЕС;

· на длъжностното лице (физическо лице), определено в искането за достъп до данни по чл.251г¹, ал.1 от ЗЕС, издадено от ръководителя на структура по чл.251б, ал.1 от ЗЕС, при спазване на изискванията на ЗЕС;

· на съда в съдебното производство – по негово искане в случаите по чл.159а от НПК;

· на разследващия прокурор, посочен в разпореждането на съответния съдия в случаите по чл.159а от НПК.

Задължение за ежегодно предоставяне на статистическа информация на КЗЛД съгласно чл.261а, ал.4 от ЗЕС имат всички предприятия, предоставящи електронни съобщителни мрежи и/или услуги, независимо дали при тях са постъпвали разпореждания за достъп, респ. искания от съд или от наблюдаващ прокурор, или не. Липсата на постъпили разпореждания и искания за достъп до трафични данни не освобождава предприятията от задължението да предоставят статистическа информация на КЗЛД в качеството й на наблюдаващ орган относно сигурността. Всяка година, до 31 март, те предоставят информацията по чл.261а, ал.4 на КЗЛД, отнасяща се за предходната календарна година.

Предприятията предоставят обобщена статистическа информация по чл.261а, ал.4 ЗЕС по образец (Приложение № 2 към настоящите задължителни указания).

Предприятията, предоставящи електронни съобщителни мрежи и/или услуги, предприемат технически и организационни мерки за унищожаване на съхраняваните данни след изтичането на 6–месечния срок на тяхното съхранение. В случаите по чл.251е, ал.7 данните се унищожават след изтичането на 3 – месечния срок на удължаването. До 5-о число на всеки месец предприятията предоставят на КЗЛД протокол за унищожените през предходния месец данни. Комисията за защита на личните данни поддържа регистър на предоставените протоколи, който не е публичен.

В случай на запазване на копие/екземпляр от предоставени справки на хартиен/електронен носител, унищожаването на справката следва да се извърши в съответствие с вътрешните правила на съответното предприятие за работа с документи и при спазване на приложимите нормативни актове. След извършване на действията по унищожаване, това обстоятелство се отбелязва в регистъра на разпорежданията, исканията и справките, воден от предприятията, предоставящи обществени електронни съобщителни мрежи и/или услуги или в съответните лог файлове в информационната система на даденото предприятие.

Унищожаването на справки се извършва от комисия, определена с акт на ръководителя на съответното предприятие. Действията по унищожаването се документират в протокол.

Предприятията, предоставящи обществени електронни съобщителни мрежи и/или услуги следва да разпишат в свой вътрешен акт реда и условията за водене и достъп до регистъра на разпорежданията, исканията и справките.

Ежегодно, едновременно с предоставянето на обобщената статистическа информация по чл.261а, ал.4 от ЗЕС, предприятията посочват лице/лица за контакт с КЗЛД по въпроси, свързани с изпълнението на задълженията им по чл.251б и следващите от ЗЕС.

Настоящите задължителни указания подлежат на незабавно изпълнение