Задължителни указания

 

Комисията за защита на личните данни (КЗЛД), в качеството си на национален надзорен орган за защита на личните данни и наблюдаващ орган относно сигурността на данните, на основание чл. 261а, ал. 3, т. 2 от Закона за електронните съобщения (ЗЕС) и във връзка с чл. 10, ал. 1, т. 1 от Закона за защита на личните данни, въз основа на решение на КЗЛД (Протокол № 5) дава настоящите ЗАДЪЛЖИТЕЛНИ УКАЗАНИЯ по чл. 261а, ал. 3, т. 2 от Закона за електронните съобщения до задължените по ЗЕС предприятия, предоставящи обществени електронни съобщителни мрежи и/или услуги:

Настоящите задължителни указания имат за цел да унифицират практиката на предприятията, предоставящи обществени електронни съобщителни мрежи и/или услуги, ангажирани в процеса по осигуряване на достъп до съхранени трафични данни по чл. 251б, ал. 1 от ЗЕС, при спазване на изискванията на Закона за електронните съобщения и Закона за защита на личните данни.

 

Описаното в този раздел от задължителните указания съдържание на регистрите, поддържани от предприятията, предоставящи обществени електронни съобщителни мрежи и/или услуги, следва да се счита за минимално необходимото. Всяко предприятие, по своя преценка, може да изисква вписването в регистрите и на допълнителна информация.

А. Всяко разпореждане за достъп до данни по чл. 251б, ал. 1 от ЗЕС, искане за достъп от съд и искане по чл. 251г¹, ал. 1 от ЗЕС, постъпило в съответното предприятие, предоставящо обществени електронни съобщителни мрежи и/или услуги, се вписва в специален регистър, който не е публичен.

Б. Регистърът се води на хартиен и/или електронен носител.

 

Регистрирането, съхранението и унищожаването на разпорежданията, исканията и справките се определя с вътрешни правила на  съответното предприятие за работа с явни и класифицирани документи, при спазване на приложимите нормативни актове.

Предприятията са длъжни да съхраняват данни по чл. 251б, ал. 1 от ЗЕС за срок от 6 месеца, считано от момента на създаването им или обработването им, за нуждите на националната сигурност и за предотвратяване, разкриване и разследване на тежки престъпления, в това число за целите на предотвратяване на тежки престъпления в рамките на оперативно-издирвателната дейност по реда на глава девета от Закона за противодействие на корупцията и за отнемане на незаконно придобитото имущество, както и за осъществяване на операции по издирване и спасяване на лица в случаите по чл. 38, ал. 3 от Закона за защита при бедствия.

Предприятията са длъжни да предоставят справка за запазени данни по 251б, ал. 1:

· на определеното в разпореждането за достъп длъжностно лице (физическо лице), издадено от председателя на съответния съд или от упълномощен от него съдия за нуждите на органите, посочени в чл. 251в, ал. 1 и ал. 2 от ЗЕС и при спазване на изискванията на ЗЕС;

· на длъжностното лице (физическо лице), определено в искането за достъп до данни по чл. 251г¹, ал. 1 от ЗЕС, издадено от ръководителя на структура по чл. 251б, ал. 1 от ЗЕС, при спазване на изискванията на ЗЕС;

· на съда в съдебното производство – по негово искане в случаите по чл. 159а от НПК;

· на разследващия прокурор, посочен в разпореждането на съответния съдия в случаите по чл. 159а от НПК.

 

Задължение за ежегодно предоставяне на статистическа информация на КЗЛД съгласно чл. 261а, ал. 4 от ЗЕС имат всички предприятия, предоставящи електронни съобщителни мрежи и/или услуги, независимо дали при тях са постъпвали разпореждания за достъп, респ. искания от съд или от наблюдаващ прокурор, или не. Липсата на постъпили разпореждания и искания за достъп до трафични данни не освобождава предприятията от задължението да предоставят статистическа информация на КЗЛД в качеството й на наблюдаващ орган относно сигурността. Всяка година, до 31 март, те предоставят информацията по чл. 261а, ал. 4 на КЗЛД, отнасяща се за предходната календарна година.

Предприятията предоставят обобщена статистическа информация по чл. 261а, ал.4 ЗЕС по образец (Приложение № 2 към настоящите задължителни указания).

 

Предприятията, предоставящи електронни съобщителни мрежи и/или услуги, предприемат технически и организационни мерки за унищожаване на съхраняваните данни след изтичането на 6–месечния срок на тяхното съхранение. В случаите по чл. 251е, ал. 7 данните се унищожават след изтичането на 3 – месечния срок на удължаването. До 5-о число на всеки месец предприятията предоставят на КЗЛД протокол за унищожените през предходния месец данни. Комисията за защита на личните данни поддържа регистър на предоставените протоколи, който не е публичен.

В случай на запазване на копие/екземпляр от предоставени справки на хартиен/електронен носител, унищожаването на справката следва да се извърши в съответствие с вътрешните правила на съответното предприятие за работа с документи и при спазване на приложимите нормативни актове. След извършване на действията по унищожаване, това обстоятелство се отбелязва в регистъра на разпорежданията, исканията и справките, воден от предприятията, предоставящи обществени електронни съобщителни мрежи и/или услуги или в съответните лог файлове в информационната система на даденото предприятие.

Унищожаването на справки се извършва от комисия, определена с акт на ръководителя на съответното предприятие. Действията по унищожаването се документират в протокол.

Предприятията, предоставящи обществени електронни съобщителни мрежи и/или услуги следва да разпишат в свой вътрешен акт реда и условията за водене и достъп до   регистъра на разпорежданията, исканията и справките.

Ежегодно, едновременно с предоставянето на обобщената статистическа информация по чл. 261а, ал.4 от ЗЕС, предприятията посочват лице/лица за контакт с КЗЛД по въпроси, свързани с изпълнението на задълженията им по чл. 251б и следващите от ЗЕС.

Настоящите задължителни указания подлежат на незабавно изпълнение