Инструкция за мерките за защита на личните данни в Районен съд Тетевен, вписан в „Регистър на администраторите на лични дани и на водените от тях регистри с идентификационен №0050826 и Удостоверение за администратор на лични данни с №0050826



Дата14.01.2019
Размер484.2 Kb.








Р А Й О Н Е Н С Ъ Д - Т Е Т Е В Е Н
5700, ул.“Христо Ботев“ №3А.Тел: 0678/ 555 58,факс: 0678/555 58




УТВЪРДИЛ:

МАРИО СТОЯНОВ

/ПРЕДСЕДАТЕЛ НА РАЙОНЕН СЪД ГР.ТЕТЕВЕН/
ИНСТРУКЦИЯ

за мерките за защита на личните данни в Районен съд - Тетевен, вписан в „Регистър на администраторите на лични дани и на водените от тях регистри" с идентификационен №0050826 и Удостоверение за администратор на лични данни с №0050826 /14.07.2008 година

I. Общи положения

Чл. 1. (1) Настоящата Инструкция се издава на основание чл. 23, ал. 4 от Закона за защита на личните данни (33ЛД) и Наредба № 1 от 30 януари 2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни.

(2) Инструкцията урежда условията и реда за водене на регистри по ЗЗЛД, както и организацията и реда за упражняване на контрол при обработването на лични данни в Районен съд-Тетевен.

Чл. 2. (1) Инструкцията се приема с цел да регламентира:



  1. Създаването на процедури и механизми за гарантиране на неприкосновеността на личността и личния живот, чрез осигуряване на защита на физическите лица, при неправомерно обработване на свързаните с тях лични данни, в процеса на свободно движение на данните.

  2. Видовете регистри, които се водят в Районен съд-Тетевен.

  3. Оценката на въздействието и нивото на защита за всеки от водените регистри с лични данни.

  4. Необходимите технически и организационни мерки за защита на личните данни от случайно или незаконно унищожаване, или от случайна загуба, неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване.Мерките имат за цел да гарантират поверителност, цялостност и наличност на личните данни.

  5. Правата и задълженията на длъжностните лица, обработващи лични данни и лицата, които имат достъп до лични данни, както и тяхната отговорност при изпълнението на тези задължения.

  6. Процедурите по докладване, управление и реагиране при инциденти.

  7. Правила за предоставяне на лични данни на трети лица.

  8. Сроковете за провеждане на периодични прегледи относно необходимостта от обработване на данните, както и за заличаването им.

9. Срокове за съхранение на личните данни и реда за тяхното унищожаване след изтичането им.

(2) Инструкцията се утвърждава, допълва, изменя и отменя от Председателя на Районен съд-Тетевен.



II. Администратор, обработващ лични данни и регистри с лични данни

Чл. 3. Администратор на лични данни е Районен съд-Тетевен със седалище и адрес на управление: гр. Тетевен,Лов.обл.,общ.Тетевен,ул.“Христо Ботев“ №3А.

Чл. 4. (1) Обработващ личните данни е всяко физическо или юридическо лице, което обработва лични данни от името на администратора на лични данни.


  1. Отношенията между администратора и обработващия лични данни се уреждат с писмен акт на администратора, в който се определя обемът на правата и задълженията във връзка с обработването на лични данни.

  2. Администраторът може да определи едно или повече лица, които да отговарят за координиране и прилагане на мерките за защита.

  3. Достъпът до лични данни се осъществява само от лица, чиито служебни задължения или конкретно възложена задача налагат такъв достъп, при спазване на принципа „Необходимост да знае" и след запознаване с нормативната уредба в областта на защитата на личните данни, политиката и ръководствата за защита на личните данни и опасностите за личните данни, обработвани от администратора, като за целта лицата подписват декларация за неразгласяване на лични данни на основание чл.7, ал.5 от Наредба № 1 от 30 януари 2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни, до които са получили достъп при и по повод изпълнение на задълженията си.

  4. Всички лица, отговарят за спазването на ограниченията за достъп до личните данни, и са персонално отговорни пред Председателя на Районен съд Тетевен за нарушаването на принципите за поверителност, цялостност и наличност на личните данни, освен в случаите на форсмажорни обстоятелства.

(6) Всяко физическо лице, чийто лични данни ще се обработват от администратора, следва да бъде уведомено за:

  1. данните, които идентифицират администратора;

  2. целите на обработването на личните данни;

  3. категориите лични данни, отнасящи се до съответното физическо лице;

  4. получателите или категориите получатели, на които могат да бъдат разкрити данните;

5.информация за правото на достъп и правото на коригиране на събраните данни.

Алинея 6 не се прилага, когато:

1. обработването е за статистически, исторически или научни цели и предоставянето на данните по ал. 1 е невъзможно или изисква прекомерни усилия;

2. вписването или разкриването на данни са изрично предвидени в закон;

3.физическото лице, за което се отнасят данните, вече разполага с информацията по ал. 1;

4. е налице изрична забрана за това в закон.

Чл. 5. В Районен съд Тетевен се обработват лични данни в следните регистри:


  1. Регистър „Деловодство, участници в съдебни производства" .

  2. Регистър «Бюро съдимост»

  3. Регистър „Личен състав".

  1. Регистър „Съдебно изпълнение".

  2. Регистър "Счетоводство и контрагенти".


П1.Регистър "Деловодство, участници в съдебни производства"

Чл. 6. Описание на поддържания регистър

В регистъра се обработват лични данни на страните по делата, образувани по описа на Районен съд Тетевен , с оглед:

Използване на събраните данни за съответните лица за служебни цели:

- за всички дейности, свързани с обработването на делата- изготвяне на всякакви документи в тази връзка (призовки, писма, съобщения до страните и техните представители или пълномощници и др.);

- за установяване на връзка с лицето по телефон, за изпращане на кореспонденция;

Чл. 7. Категории лични данни в регистъра и основание за обработването им В регистъра се обработват следните категории лични данни:


-гражданско състояние на физически лица- семейно положение, данни за наследници.

Чл. 8. Технологично описание на регистъра

1. Носители на данни в регистър «Деловодство, участници в съдебни производства»

Данните в регистъра се обработват на хартиен и технически носител.

В деловодството на съда на хартиен носител се водят следните книги и регистри.


  • Описни книги

  • Срочни книги

  • Азбучници

  • Входящ регистър

  • Изходящ регистър

  • Книга за получении и върнати призовки и съдебни книжа

  • Регистър на издадените изпълнителни листи

  • Регистър на заявленията за достъп до обществена информация.

В Районен съд Тетевен регистъра за достъп до обществена информация се води от административния секретар, който със заповед на административния ръководител е оправомощен да извършва тази дейност.

2. Технология на обработване

Данните в регистъра се предоставят от физическите и юридически лица при входиране на документа във входящия регистър. Данните се въвеждат директно в деловодната програма САС »Съдебно деловодство», с която работи Районен съд Тетевен.

3. Срок за съхранение

Данните в регистърите се съхраняват за сроковете, определени в ПАС.


  • наказателните дела- 5 години/след архивиране/

  • гражданските дела- 5 години/след архивиране/

  • описни книги, азбучници и регистри - 100 години

  • базата данни от деловодната програма след изтичане на 10 години се архивира в два еднакви носителя, които се съхраняват при специални условия 50 години.

4. Предоставени услуги

Администраторът на лични данни да предоставя достъп- справки, извлечения, да издава документи и други услуги от съответния регистър с лични данни.

Чл. 9. Длъжности, свързани с обработването и защитата на лични данни от регистъра и описание на техните права и задължения


  1. Данните от регистъра се обработват от съдиите, съдебните деловодители и съдебните секретари в Районен съд Тетевен и при спазване на принципа „Необходимост да се знае".

  2. Право на достъп до регистъра имат само упълномощени по длъжност или с изрична заповед лица.

3.Длъжностните лица нямат право да разпространяват информация за личните данни, станали им известни при изпълнение на служебните им задължения.

Чл. 10. Оценка на въздействието и определяне съответното ниво на защита на регистъра

Оценка на нивото на въздействие на регистър „Деловодство,участници в съдебни производства"

Наименование на регистъра



НИВО НА ВЪЗДЕЙСТВИЕ

поверител ност

цялостност

наличност

общо за регистъра

Регистър «Деловодство,участници в съдебни производства»

средно

средно

средно

средно

1 .За определяне на адекватното ниво на техническите и организационните мерки и допустимия вид защита администраторът извършва оценка на въздействието върху обработваните лични данни. При определяне нивата на въздействие върху конкретно физическо лице или група физически лица се взема в предвид характера на обработваните лични данни и броя на засегнатите физически лица. Оценката на въздействието се извършва по критериите „поверителност", „цялостност" и „наличност". Оценката на въздействието се извършва периодично на всеки две години или при промяна на характера на обработваните лични данни и броя на засегнатите физически лица.

2.При оценката на въздействието администраторът отчита характера на обработваните лични данни, които се отнасят до физическата идентичност на група физически лица - страни по дела, чийто брой надхвърля 2.

3. В зависимост от определеното ниско ниво на въздействие нивото на защита на регистър „Деловодство, участници в съдебни производства" е средно.

Чл. 11. Технически и организационни мерки за защита

1. Физическа защита

Личните данни от регистъра се обработват в стаите на упълномощените по чл. 9,т.1 лица. Всички документи на хартиен носител, съдържащи лични данни, се съхраняват в помещенията, в които работят упълномощените лица.

Помещенията, в които се обработват лични данни от регистъра са защитени чрез заключване на вратите, сигнално- охранителна система и пожарогасителни средства в коридора на сградата.

Достъп се предоставя само на служителите, чийто служебни задължения включват обработване на лични данни от регистъра.

Външни лица нямат достъп до помещенията, в които се обработват лични данни от регистъра, с изключение на служба Деловодство, където има обособен вход за граждани и участници в съдебните производства и само в присъствието на упълномощени служители.

2. Персонална защита

Лицата, обработващи лични данни се запознават със 33ЛД, Наредба № 1 от 30 януари 2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните дани и настоящата Инструкция.

Лицата, обработващи лични данни, задължително подписват декларация на основание чл.7, ал.5 от Наредба № 1 от 30 януари 2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните дани,, с която поемат задължение за неразпространение на лични данни станали им известни във връзка и по време на изпълнение на служебните им задължения. Декларацията се съхранява в кадровото досие на всеки служител.

Споделяне на критична информация между служителите (като идентификатори, пароли за достъп и т.н.) е забранено от политиките за информационна сигурност.

3. Документална защита

Личните данни в Регистър „Деловодство, участници в съдебни производства" се поддържа на хартиен и технически носител. Обработването се извършва само по време на редовното работно време на съда. Достъп до регистъра имат лицата посочени в чл. 9 по-горе от настоящата Инструкция. Личните данни се събират само с конкретна цел, в съответствие с нормативните изисквания към администратора. Достъпът до регистъра е ограничен само за упълномощени лица в съответствие с принципа „Необходимост да се знае".

Сроковете за съхранение на документи от регистър „Деловодство, участници в съдебни производства", които са на хартиен носител са определени в ПАС.

Личните данни могат да бъдат размножавани и разпространявани от упълномощените служители само ако е необходимо за изпълнение на служебните им задължения или ако са изискани по надлежния ред от упълномощени лица.

Временните документи от регистъра, които са на хартиен носител и съдържат лични данни, се унищожават само чрез специално устройство (шредер). След изтичане на срока за съхранение, тези документи се унищожават чрез нарязване или изгаряне, за което се съставя протокол от назначена със заповед на председателя комисия. Унищожаването се извършва след изрично писмено разрешение от Председателя.

4. Защита на автоматизирани информационни системи и мрежи

При работа с данните от регистъра се използват софтуерен продукт за обработване, деловодна програма САС «Съдебно деловодство», разработен от «Информационно обслужване» АД. Данните се въвеждат в база данни и се съхраняват на сървър. Прави се архив на друг твърд диск на същия сървър , като архивите са защитени с парола. Всеки упълномощен служител има личен профил (потребителско име и парола), с определени съобразно задълженията му права и нива на достъп. Дефинирани са и уникални потребителски имена и пароли за стартиране на операционната система на всеки един компютър.

Администраторът създава и поддържа стандартни и сигурни конфигурации за всяка компютърна и мрежова платформа, с която оперира, което включва стандартни и

базови конфигурации за защита на операционната система, защитни стени, рутери и мрежови устройства. За защита на данните е инсталирана антивирусна програма.

Съдебните служители- съдебни деловодители и съдебни секретари са отговорни за управлението на регистъра. Само лицата посочени в чл. 9 по-горе имат достъп до регистъра.

За всички компютърни конфигурации, сървъри и комуникационни средства, от които зависи правилното поддържане на базите данни, са осигурени непрекъсваеми токозахранващи устройства (UPS).

В помещенията, в които са разположени компютърни и комуникационни средства, е осигурено заключване на помещенията и сигнално-охранителна система.

Организационни мерки за гарантиране нивото на сигурност:



  • Охрана на сградата със сигнално-охранителна техника.

  • Работните компютърни конфигурации, както и цялата IT инфраструктура, включително и достъпът до интернет, се използват единствено от служебни лица,съобразно и утвърдения Правилник за използване на програмни продукти и Интернет в РС-гр.Тетевен.

  • При ремонт на компютърна техника, на която се съхраняват лични данни, предоставянето й на сервизната организация се извършва без устройствата, на които се съхраняват лични данни.

Не се разрешава осъществяването на отдалечен достъп до данни от регистъра. Сроковете за съхранение на данни от регистъра са описани в чл. 8, т. 3 от настоящата Инструкция.

Актовете /решения и определения/ на Районен съд Тетевен се публикуват ежедневно на интернет страницата на съда и в ЦУБИПСА, при спазване на Закона за защита на личните данни и Закона за защита на класифицираната информация. Публикуването се извършва след обезличаване на личните данни на физическите лица, по начин, който не позволява идентифицирането на физическите лица, упоменати в тези актове.

Чл. 12. Действия за защита при аварии, произшествия и бедствия (пожар, наводнение и др.)

При възникване и установяване на инцидент, веднага се докладва на лицето, отговорно за защитата на личните данни. За инцидентите се води дневник, в който задължително се вписват предполагаемото време или период на възникване, времето на установяване, времето на докладване и името на служителя, извършил доклада. След анализ на инцидента, упълномощено лице вписва в дневника последствията от инцидента и мерките, които са предприети за отстраняването им. В случаите на необходимост от възстановяване на данни, процедурата се изпълнява след писменото разрешение на лицето по защитата на личните данни, като това се отразява в дневника по архивиране и възстановяване на данни.

Чл. 13. Предоставяне на лични данни на трети лица

Данни от регистъра могат да бъдат предоставяни на държавни институции с оглед изпълнение на нормативно задължение (МВР,Прокуратура, следствени органи и т.н.) и при спазване разпоредбите на чл.2, ал.2 от Закона за защита на личните данни..



IV. Регистър "Бюро съдимост'

Чл. 14. Работата на Бюрата за съдимост е нормативно регламентирана в Наредба № 8 от 26.02.2008г.,Обн. ДВ,бр.24 от 04.03.2008г. за функциите и организацията на дейността на Бюрата за съдимост/БС/.

В Районен съд-Тетевен е налице утвърден щат за осъществяване дейността на Бюро съдимост,като същият се заема съдебен деловодител.

Използване на събраните данни за съответните лица за служебни цели:

- за всички дейности, свързани с движението и обработването на делата-изготвяне на справки за съдимост при подадени искания от компетентните органи или при подаване заявление лично от лицето или чрез пълномощник.

В регистъра подлежат на обработка лични данни на участници в съдебни процеси, както и на техни възходящи- родители.

Чл. 15. Категории лични данни в регистъра и основание за обработването им В регистъра се обработват следните категории лични данни:

- за физическа идентичност: имена, ЕГН, адрес, лични данни за възходящи лица-родители.

Чл. 16. Технологично описание на регистъра

1. Носители на данни

Данните в регистъра се обработват на хартиен и технически носител, посредством внедрен и поддържан софтуерен продукт АИС «Бюро съдимост».

2. Технология на обработване

Данните в регистъра се предоставят от физическите лица, направили искане за издаване на свидетелство за съдимост или от съответните компетентни органи, подали искането за издаване са справката. Данните се въвеждат директно в АИС «Бюро съдимост», посредством която се осъществява и издава справката.

От 2013г. свидетелства за съдимост могат да бъдат издавани и чрез квалифициран електронен подпис на физическо лице чрез интернет-страницата на Министерство на правосъдието.Електронно свидетелство за съдимост се издава само за лица, за които не са съставяни бюлетини за съдимост, включително и по чл.78а НК /Чл.35а от Наредба № 8 БС/.

3. Срок за съхранение

Данните в регистъра се съхраняват за сроковете, определени в Наредба № 8 от 26.02.2008г. за функциите и организацията на дейността на бюрата за съдимост.



  • бюлетините за наложени административни наказания по чл.78а НК- 15 години от влизане в сила на съдебния акт

  • бюлетините за съдимост се съхраняват 100 години от датата на раждане на лицата и се унищожават, след като бъдат микрофилмирани. /Чл.24, ал.1 от Наредба № 8 БС/

  • базата данни от деловодната програма след изтичане на 10 години се архивира в два еднакви носителя, които се съхраняват при специални условия 50 години.

4. Предоставени услуги

Администраторът на лични данни да предоставя достъп, справки, издаване на документи /бюлетини/,справки и свидетелства за съдимост от съответния регистър с лични данни.

Чл. 17. Длъжности, свързани с обработването и защитата на лични данни от регистъра и описание на техните права и задължения

1. Данните от регистъра се обработват от съдиите, съдебните деловодители-наказателни и граждански дела и съдебните секретари в Районен съд Тетевен и при спазване на принципа „Необходимост да се знае".

2. Право на достъп до регистъра имат само упълномощени лица.

3.Упълномощените лица няма право да разпространяват информация за личните данни,станали им известни при изпълнени на служебните им задължения.


Чл.18. Оценка на въздействие и определяне на съответно ниво на защита на регистъра „Бюро съдимост“.

Оценка на въздействие на регистър „Бюро съдимост“




Наименование на регистъра

НИВО НА ВЪЗДЕЙСТВИЕ

поверителност

цялостност

наличност

общо за регистъра

Регистър „Бюро съдимост

средно

средно

средно

средно

1.За определяне на адекватното ниво на техническите и организационните мерки и допустимия вид защита администраторът извършва оценка на въздействието върху обработваните лични данни. При определяне нивата на въздействие върху конкретно физическо лице или група физически лица се взема в предвид характера на обработваните лични данни и броя на засегнатите физически лица. Оценката на въздействието се извършва по критериите „поверителност", „цялостност" и „наличност". Оценката на въздействието се извършва периодично на всеки две години или при промяна на характера на обработваните лични данни и броя на засегнатите физически лица.

2.При оценката на въздействието администраторът отчита характера на обработваните лични данни, които се отнасят до физическата идентичност на група физически лица - страни по дела, чийто брой надхвърля 2.

3. В зависимост от определеното ниско ниво на въздействие нивото на защита на регистър „Деловодство, участници в съдебни производства" е средно.

Чл.19.Технически и организационни мерки за защита.

1.Физическа защита

Личните данни от регистъра се обработват в стаите на упълномощените по чл. 17 лица. Всички документи на хартиен носител, съдържащи лични данни, се съхраняват в помещенията, в които работят упълномощените лица.

Помещенията, в които се обработват лични данни от регистъра са защитени чрез заключване на вратите, сигнално- охранителна система и пожарогасителни средства в коридора на сградата.

Достъп се предоставя само на служителите, чийто служебни задължения включват обработване на лични данни от регистъра.

Външни лица нямат достъп до помещенията, в които се обработват лични данни от регистъра, с изключение на служба Деловодство, където има обособен вход за граждани и участници в съдебните производства и само в присъствието на упълномощени служители.

2. Персонална защита

Лицата, обработващи лични данни се запознават със 33ЛД, Наредба № 1 от 30 януари 2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни и настоящата Инструкция.

Лицата, обработващи лични данни, задължително подписват декларация на основание чл.7, ал.5 от Наредба № 1 от 30 януари 2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни, с която поемат задължение за неразпространение на лични данни станали им известни във връзка и по време на изпълнение на служебните им задължения. Декларацията се съхранява в кадровото досие на всеки служител.

Споделяне на критична информация между служителите (като идентификатори, пароли за достъп и т.н.) е забранено от политиките за информационна сигурност.

3.Документална защита

Личните данни в Регистър „Бюро съдимост" се поддържа на хартиен/Азбучен указател и книга за изпълнение на влезли в сила присъди и определения/ и технически носител. Обработването се извършва само по време на редовното работно време на съда. Достъп до регистъра имат лицата посочени в чл. 17 по-горе от настоящата Инструкция. Личните данни се събират само с конкретна цел, в съответствие с нормативните изисквания към администратора. Достъпът до регистъра е ограничен само за упълномощени лица в съответствие с принципа „Необходимост да се знае".

Сроковете за съхранение на документи от регистър „Бюро съдимост", които са на хартиен носител са определени в Наредба № 8 от 26.02.2008г. за функциите и организацията на дейността на бюрата за съдимост.

Личните данни могат да бъдат размножавани и разпространявани от упълномощените служители само ако е необходимо за изпълнение на служебните им задължения или ако са изискани по надлежния ред от упълномощени лица.

20. Защита на автоматизирани информационни системи и мрежи

-при работа с данните от регистъра се използва софтуерен продукт за обработка-АИС «Бюро съдимост» разработен и поддържан от Консорциум «Индекс-Бъргария-Лирекс БГ» ООД.

Данните се въвеждат в база данни и се съхраняват на сървър. Прави се архив на друг твърд диск на същия сървър , като архивите са защитени с парола. Всеки упълномощен служител има личен профил (потребителско име и парола), с определени съобразно задълженията му права и нива на достъп. Дефинирани са и уникални потребителски имена и пароли за стартиране на операционната система на всеки един компютър.

Администраторът създава и поддържа стандартни и сигурни конфигурации за всяка компютърна и мрежова платформа, с която оперира, което включва стандартни и базови конфигурации за защита на операционната система, рутери и мрежови устройства. За защита на данните е инсталирана антивирусна програма.

Съдебните служители- съдебни деловодители , съдебни секретари и системен администратор са отговорни за управлението на регистъра. Само лицата посочени в чл. 17 по-горе имат достъп до регистъра.

За всички компютърни конфигурации, сървъри и комуникационни средства, от които зависи правилното поддържане на базите данни, са осигурени непрекъсваеми токозахранващи устройства (UPS).

В помещенията, в които са разположени компютърни и комуникационни средства, е осигурено заключване на помещенията и сигнално-охранителна система.

Организационни мерки за гарантиране нивото на сигурност:



  • Охрана на сградата със сигнално-охранителна техника.

  • Работните компютърни конфигурации, както и цялата IT инфраструктура, включително и достъпът до интернет, се използват единствено за служебни цели.

  • При ремонт на компютърна техника, на която се съхраняват лични данни, предоставянето й на сервизната организация се извършва без устройствата, на които се съхраняват лични данни.

Не се разрешава осъществяването на отдалечен достъп до данни от регистъра.

Сроковете за съхранение на данни от регистъра са описани в чл. 16, т. 3 от настоящата Инструкция.

Чл. 21. Действия за защита при аварии, произшествия и бедствия (пожар, наводнение и др.)

При възникване и установяване на инцидент, веднага се докладва на лицето, отговорно за защитата на личните данни. За инцидентите се води дневник, в който задължително се вписват предполагаемото време или период на възникване, времето на установяване, времето на докладване и името на служителя, извършил доклада. След анализ на инцидента, упълномощено лице вписва в дневника последствията от инцидента и мерките, които са предприети за отстраняването им. В случаите на необходимост от възстановяване на данни, процедурата се изпълнява след писменото разрешение на лицето по защитата на личните данни, като това се отразява в дневника по архивиране и възстановяване на данни.


Чл. 22. Предоставяне на лични данни на трети лица

Данни от регистъра могат да бъдат предоставяни на държавни институции с оглед изпълнение на нормативно задължение (Прокуратура,Следствие, МВР и т.н.), както и на физически лица при спазване разпоредбите на чл.35, ал.2 и ал.З от Наредба № 8 БС.



V. Регистър „Личен състав".

Чл. 23. Описание на поддържания регистър

В регистърът се обработват лични данни на магистрати и съдебни служители, работещи в Районен съд Тетевен по правоотношение възникнали по силата на ЗСВ /магистрати/ и по трудови правоотношения /съдебни служители/, с оглед:


  1. индивидуализиране на правоотношения по Закона за съдебната власт /магистрати/ и трудовите правоотношение по Кодекса на труда /съдебни служители/;

  2. изпълнение на нормативните изисквания на Закона за съдебната власт, Кодекса на труд, Закона за държавния архив.

3. използване на събраните данни за съответните лица за служебни цели:

  • за всички дейности, свързани със съществуване, изменение и прекратяване на трудовите правоотношения и на правоотношенията на магистратите по силата на ЗСВ;

  • за изготвяне на всякакви документи на лицата в тази връзка (договори, заповеди, допълнителни споразумения, документи, удостоверяващи трудов стаж, служебни бележки, справки, удостоверения и др. подобни);

- за установяване на връзка с лицето по телефон, за изпращане на кореспонденция, отнасяща се до изпълнение на задълженията му по трудови договори;

- за водене на счетоводна отчетност относно възнагражденията на посочените по-горе лица по трудови правоотношения /съдебните служители/ и правоотношенията по ЗСВ/магистрати/.

Чл.24. Категории лични данни в регистъра и основание за обработването им В регистърът се обработват следните категории лични данни:

1. физическа идентичност: имена и паспортни данни (ЕГН, номер на лична карта, дата и място на издаване, адрес, телефони за връзка и др.);

2. социална идентичност: данни относно образование и допълнителни квалификации (вид на образованието, място, номер и дата на издаване на дипломата), както и трудова дейност и професионална биография;


  1. семейна идентичност: данни относно семейното положение на физическото лице (наличие на брак, развод, брой членове на семейството, в това число деца до 18 години);

  2. гражданско-правен статус на лицата, необходими за длъжностите, свързани с материална отговорност (напр. свидетелства за съдимост);

  3. лични данни, които се отнасят до здравето: данните се съдържат в медицинско свидетелство за започване на работа, експертни лекарски решения и др.

Чл. 25. Технологично описание на регистъра 1. Носители на данни

Данните в регистъра се обработват на хартиен и технически носител. Автоматизираната обработка на данните в Районен съд Тетевен се осъществява посредством счетоводна програма «Конто» и ТРЗ «Аладин».

2.Технология на обработване

Данните в регистъра се предоставят от физическите лица при назначаване в Районен съд Тетевен. Данните се въвеждат директно в трудови договори на съдебните служители, заповеди за магистратите, допълнителни споразумения, документи, удостоверяващи трудов стаж, служебни бележки, справки, удостоверения, кореспонденция и др.

3.Срок за съхранение

Данните в регистъра се съхраняват за срок от 50 години във връзка с нормативно установени срокове.

4.Предоставени услуги

Администраторът на лични данни да предоставя достъп, справки, извлечения, издаване на документи и други услуги от съответния регистър с лични данни.

Чл. 26. Длъжности, свързани с обработването и защитата на лични данни от регистъра и описание на техните права и задължения

1.Данните от регистъра се обработват от главния счетоводител и административния секретар /Главен специалист „Човешки ресурси“ на съда, в чийто длъжностни характеристики е вменено задължение за обработване на данните на магистратите и служителите и при спазване на принципа „Необходимост да се знае".

2.Право на достъп до регистъра има само управомощените лица.

3.Длъжностните лица нямат право да разпространяват информация за личните данни, станали им известни при изпълнение на служебните им задължения.

Чл.27.Оценка на въздействието и определяне съответното ниво на защита на регистъра „Личен състав“.

Оценка на нивото на въздействие на регистър „Личен състав"

Наименование на регистъра

НИВО НА ВЪЗДЕЙСТВИЕ

поверителност

цялостност

наличност

общо за регистъра

Регистър"Личен състав"

средно

средно

средно

средно


  1. За определяне на адекватното ниво на техническите и организационните мерки и допустимия вид защита администраторът извършва оценка на въздействието върху обработваните лични данни. При определяне нивото на въздействие върху конкретно физическо лице или група физически лица се взима в предвид характера на обработваните лични данни и броя на засегнатите физически лица. Оценката на въздействието се извършва по критериите „поверителност", „цялостност" и „наличност". Оценката на въздействието се извършва периодично на всеки две години или при промяна на характера на обработваните лични данни и броя на засегнатите физически лица.

  2. При оценката на въздействието администраторът отчита характера на обработваните лични данни, които се отнасят до физическата, социалната, семейната идентичност на група физически лица - магистрати и съдебни служители, чийто брой надхвърля 2.

3.В зависимост от определеното средно ниво на въздействие нивото на защита на регистър „Личен състав" е средно.

Чл. 28. Технически и организационни мерки за защита

1. Физическа защита

Личните данни от регистъра се обработват в кабинетите на упълномощените по чл. 28 лица. Всички документи на хартиен носител /кадрови досиета/, съдържащи лични данни, се съхраняват в шкаф в кабинета на Административния секретар / Главен специалист „Човешки ресурси“ с ограничен достъп само за упълномощени лица.

Помещенията, в които се обработват лични данни от регистъра са оборудвани с заключване на вратата , пожарогасителни средства в коридора и охрана СОТ.

Физически достъп се предоставя само на служителите, чийто служебни задължения включват обработване на лични данни от регистъра.

Външни лица имат достъп до помещенията, в които се обработват лични данни от регистъра, само в присъствието на упълномощени служители.

2. Персонална защита

Лицата, обработващи лични данни се запознават със 33ЛД, Наредба № 1 от 30 януари 2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните дани и настоящата Инструкция.

Лицата, обработващи лични данни, задължително подписват декларация, с която поемат задължение за неразпространение на лични данни станали им известни във връзка и по време на изпълнение на служебните им задължения. Декларацията се съхранява в кадровото досие на всеки служител.

Споделяне на критична информация между служителите (като идентификатори, пароли за достъп и т.н.) е забранено от политиките за информационна сигурност.

3. Документална защита

Регистър „Личен състав" се поддържа на хартиен носител (кадрови досиета, чието съдържание съответства на нормативните уредби на Р България, както и на вътрешните нужди за периодична оценка на служителите). Обработването се извършва само по време на редовното работно време на съда. Достъп до регистъра имат лицата посочени в чл. 24 по-горе. Личните данни се събират само с конкретна цел, в съответствие с нормативните изисквания към администратора. Данните се класифицират в съответствие с тяхното предназначение и характер и се съхраняват в шкаф в стаята на Административния секретар / Главен специалист „Човешки ресурси“ и Главния счетоводител. Достъпът до регистъра е ограничен само за упълномощени лица в съответствие с принципа „Необходимост да се знае". Председателят и Административния секретар / Главният специалист „Човешки ресурси“ и Главния счетоводител са отговорни за контрол на достъп до регистъра.

Сроковете за съхранение на документи от регистър „Личен състав", които са на хартиен носител, са определени в чл. 25, т. 3 от настоящата Инструкция по-горе. Документите се съхраняват в сградата на Районен съд Тетевен на II етаж /стаята на Административен секретар / Главния специалист „ Човешки ресурси“ и Главен счетоводител/.

Личните данни могат да бъдат размножавани и разпространявани от упълномощените служители само ако е необходимо за изпълнение на служебни задължения или ако са изискани по надлежния ред от упълномощени лица.

Временните документи от регистъра, които са на хартиен носител и съдържат лични данни, се унищожават само чрез специално устройство (шредер). След изтичане на срока за съхранение, тези документи се унищожават чрез нарязване или изгаряне, за което се съставя протокол от назначена със заповед на Председателя комисия. Унищожаването се извършва след изрично писмено разрешение от Председателя на съда.

4. Защита на автоматизирани информационни системи и мрежи.

При работа с данните от регистъра се използват софтуерен продукт за обработване. Данните се въвеждат в база данни и се съхраняват на работния компютър, където се обработват личните данни. Упълномощеният служител има личен профил (потребителско име и парола). Дефинирани са и уникални потребителски имена и пароли за стартиране на операционната система на всеки един компютър.

Администраторът създава и поддържа стандартни и сигурни конфигурации за всяка компютърна и мрежова платформа, с която оперира, което включва стандартни и базови конфигурации за защита на операционната система и мрежови устройства. За защита на данните е инсталирана антивирусна програма. Ежемесечно информацията се архивира и се съхранява на твърдия диск.

Административния секретар / Главният специалист „Човешки ресурси“ и Главния счетоводител са отговорни за управлението на регистъра. Само лицата посочени в чл. 24 по-горе имат достъп до регистъра.

За всички компютърни конфигурации, сървъри и комуникационни средства, от които зависи правилното поддържане на базите данни, са осигурени непрекъсваеми токозахранващи устройства (UPS).

В помещенията, в които са разположени компютърни и комуникационни средства, е осигурено заключване на помещенията и сигнално-охранителна система.

Организационни мерки за гарантиране нивото на сигурност:


  • Охрана на сградата със сигнално-охранителна техника.

  • Работните компютърни конфигурации, както и цялата IT инфраструктура, включително и достъпът до интернет, се използват единствено за служебни цели.

  • При ремонт на компютърна техника, на която се съхраняват лични данни, предоставянето й на сервизната организация се извършва без устройствата, на които се съхраняват лични данни.

Не се разрешава осъществяването на отдалечен достъп до данни от регистъра. Сроковете за съхранение на данни от регистъра са описани в чл. 23, т. 3.

Чл. 29. Действия за защита при аварии, произшествия и бедствия (пожар, наводнение и др.)

При възникване и установяване на инцидент, веднага се докладва на лицето, отговорно за защитата на личните данни. За инцидентите се води дневник, в който задължително се вписват предполагаемото време или период на възникване, времето на установяване, времето на докладване и името на служителя, извършил доклада. След анализ на инцидента, упълномощено лице вписва в дневника последствията от инцидента и мерките, които са предприети за отстраняването им. В случаите на необходимост от възстановяване на данни, процедурата се изпълнява след писменото разрешение на лицето по защитата на личните данни, като това се отразява в дневника по архивиране и възстановяване на данни.

Чл. 30. Предоставяне на лични данни на трети лица

Данни от регистъра могат да бъдат предоставяни на държавни институции с оглед изпълнение на нормативно задължение (НОИ, НАП, МВР и т.н.).

В качеството си на работодател, Районен съд Тетевен предоставя лични данни и на определени кредитни институции (банки) във връзка с изплащането на дължимите възнаграждения на магистрати и съдебни служители, както и по молба от работещите в Районен съд гр.Тетевен във връзка с отпускането на кредити на служителите. Личните данни, които се предоставят са три имена и единен граждански номер и се предоставят с цел идентификация на лицето, в чиято полза се извършва плащането, както и размер на трудовото възнаграждение на лицето за определен период от време,в полза на което се извършва кредитирането. Това се налага, с оглед изискванията на кредитните институции във връзка с извършваните от тях банкови операции.

Във връзка с използването на куриерски услуги - приемане, пренасяне и доставка и адресиране на пратките до физически лица съдът посочва следните данни: три имена, адрес, област, пощенски код и наименование на населеното място.

VІ. Регистър «Съдебно изпълнение»

Чл. 31. Описание на поддържания регистър

В регистърът се обработват лични данни на физически и юридически лица, нормативно регламентирани във връзка пряко с извършването на дейността, както и по извънтрудови правоотношения /вещи лица/ с оглед:

1 .Индивидуализиране във връзка с пряката дейност на службата



  1. индивидуализиране на правоотношения по граждански договори;

  2. използване на събраните данни за съответните лица за служебни цели:

  • за всички дейности, свързани със осъществяване на основната дейност по съдебното изпълнение и по възникналите граждански правоотношения;

  • за изготвяне на всякакви документи на лицата, в тази връзка (служебни бележки, справки, удостоверения и др. );

  • за установяване на връзка с лицата по телефон, по електронен път за изпращане на кореспонденция, отнасяща се до изпълнение на задълженията им по изпълнителни дела;

Чл. 32. Категории лични данни в регистъра и основание за обработването им

В регистърът се обработват следните категории лични данни:



  • физическа идентичност: имена, ЕГН, номер, дата и място на издаване на документи за самоличност, постоянен и настоящ адрес и др.;

  • трудова дейност: месторабота и размер на трудовото възнаграждение.

  • социално-икономическа идентичност: имотно и финансово състояние, участие в сдружения и /или притежаване на дялове или ценни книжа на дружества и др.

Чл. 33. Технологично описание на регистъра

1. Носители на данни

Данните в регистъра се обработват на хартиен и технически носител. В регистър «Съдебно изпълнение» се водят следните книги и регистри.


  • Описна книга

  • Азбучници

  • Входящ регистър

  • Изходящ регистър

  • Книга за получении и върнати призовки и съдебни книжа

2. Технология на обработване

В масовите случаи данните в регистъра се предоставят от самия администратор на лични данни след издаване на изпълнителен лист и или от съответните лица , с оглед изпълнение на нормативно регламентираните задължения на администратора и при изпълнение задълженията към взискатели/данъчни, контролни и осигурителни органи/, при покриване на критерии и изисквания при заемане на изборни постове или при участие в обществени поръчки, както и при искане за освобождаване от държавни такси, при което основанието за обработване на тези данни е посочено в нормативен акт.

Данните се въвеждат директно в деловодната програма, в документи, удостоверяващи определени обстоятелства пред компетентни нормативно-регламентирани органи, в служебни бележки, в справки, в удостоверения и друга кореспонденция.

3.Срок за съхранение на информацията:

-азбучни регистри и книги- 100 години;

-изпълнителни дела по частни и държавни вземания на физически и юридически лица - 5 години/след архивиране/

-изпълнителни листове по премирани/просрочени/ дела- 25 години/ след архивиране/.

-базата данни от деловодната програма след изтичане на 10 години се архивира


в два еднакви носителя, които се съхраняват при специални условия 50 години

4.Предоставени услуги

Администраторът на лични данни да предоставя достъп, справки, извлечения, издаване на документи и други услуги от съответния регистър с лични данни.

Чл. 34. Длъжности, свързани с обработването и защитата на лични данни от регистъра и описание на техните права и задължения

1.Данните от регистъра се обработват от Държавния съдебен изпълнител,
съдебен секретар при СИС и съдебен деловодител при СИС в чиято длъжностна
характеристика е определено задължение за обработване на данните на взискатели и
длъжници, вещи лица и при спазване на принципа „Необходимост да се знае".


  1. Право на достъп до регистъра имат само упълномощените лица.

  2. Длъжностното лице няма право да разпространява информация за личните
    данни, станали му известни при изпълнение на служебните му задължения.

Чл. 35. Оценка на въздействието и определяне съответното ниво на защита на регистъра „Съдебно изпълнение“.

Оценка на нивото на въздействие на регистър „Съдебно изпълнение"



Наименование на регистъра



НИВО НА ВЪЗДЕЙСТВИЕ

поверителност

цялостност

наличност

общо за регистъра

Регистър"Съдебно изпълнение"

средно

средно

средно

средно

  1. За определяне на адекватното ниво на техническите и организационните мерки и допустимия вид защита администраторът извършва оценка на въздействието върху обработваните лични данни. При определяне нивото на въздействие върху конкретно физическо лице или група физически лица се взима в предвид характера на обработваните лични данни и броя на засегнатите физически лица. Оценката на въздействието се извършва по критериите „поверителност", „цялостност" и„наличност". Оценката на въздействието се извършва периодично на всеки две години или при промяна на характера на обработваните лични данни и броя на засегнатите физически лица.

  2. При оценката на въздействието администраторът отчита характера на обработваните лични данни, които се отнасят до физическата идентичност на група физически лица - взискатели, длъжници и вещи лица, чийто брой надхвърля 2.

3.В зависимост от определеното средно ниво на въздействие нивото на защита на регистър „Съдебно изпълнение" е средно.

Чл. 36. Технически и организационни мерки за защита

1.Физическа защита

Личните данни от регистъра се обработват в стаята на упълномощените по чл. 36 лица. Всички документи на хартиен носител, съдържащи лични данни, се съхраняват в стаята на лицата, упълномощени по чл.36, находяща се на първия етаж на сградата на Районен съд Тетевен.

Помещението, в което се обработват лични данни от регистъра е защитено от посегателства чрез заключване на вратата и поставяне на метални решетки от външната страна на прозорците, свързано е със сигнално-охранителна система и пожарогасителни средства в коридора на съда.

Достъп се предоставя само на служителите, чиито служебни задължения включват обработване на лични данни от регистъра.

Външни лица имат достъп до помещението, в което се обработват лични данни от регистъра, само в присъствието на упълномощените служители.

2. Персонална защита

Лицата, обработващи лични данни се запознават със 33ЛД, Наредба № 1 от 30 януари 2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните дани и настоящата Инструкция.

Лицата, обработващи лични данни, задължително подписват декларация, с която поемат задължение за неразпространение на лични данни станали им известни във връзка и по време на изпълнение на служебните им задължения. Декларацията се съхранява в кадровите досиета на служителите.

Споделяне на критична информация между служителите (като идентификатори, пароли за достъп и т.н.) е забранено от политиките за информационна сигурност.

3. Документална защита

Регистър „Съдебно изпълнение" се поддържа на хартиен носител (папки, чието съдържание съответства на нормативните уредби на Р. България, както и на вътрешните нужди за периодична оценка на служителите). Обработването се извършва само по време на редовното работно време на съда. Достъп до регистъра имат лицата, посочени в чл. 36 по-горе. Личните данни се събират само с конкретна цел, в съответствие с нормативните изисквания към администратора. Достъпът до регистъра е ограничен само за упълномощени лица в съответствие с принципа „Необходимост да се знае".

Сроковете за съхранение на документи от регистър „Съдебно изпълнение", които са на хартиен носител, са определени в чл.33, т. 3 по-горе. Документите се съхраняват в архива на съда.

Личните данни могат да бъдат размножавани и разпространявани от упълномощените служители само ако е необходимо за изпълнение на служебни задължения или ако са изискани по надлежния ред от упълномощени лица.

Временните документи от регистъра, които са на хартиен носител и съдържат лични данни, се унищожават само чрез специално устройство (шредер). След изтичане на срока за съхранение, тези документи се унищожават чрез нарязване или изгаряне, за което се съставя протокол от назначена със заповед на председателя комисия. Унищожаването се извършва след изрично писмено разрешение от Председателя на съда.

4. Защита на автоматизирани информационни системи и мрежи.

При работа с данните от регистъра се използват софтуерен продукт за обработване "ДСИ-JES", разработен и поддържан от ЕТ"Темида-2000-Еди Чакъров" . Данните се въвеждат в база данни и се съхраняват на работния компютър, където се обработват.Упълномощените служители има личен профил (потребителско име и парола). Дефинирани са и уникално потребителско име и парола за стартиране на операционната система на компютъра.

Администраторът създава и поддържа стандартни и сигурни конфигурации за всяка компютърна и мрежова платформа, с която оперира, което включва стандартни и базови конфигурации за защита на операционната система, защитни стени, рутери и мрежови устройства. За защита на данните е инсталирана антивирусна програма.

Лицата, упълномощени по чл.36 са отговорни за управлението на регистъра. Само те има достъп до данните от регистъра.

За всички компютърни конфигурации, сървъри и комуникационни средства, от които зависи правилното поддържане на базите данни, са осигурени непрекъсваеми токозахранващи устройства (UPS).

В помещенията, в които са разположени компютърни и комуникационни средства, е осигурено заключване на помещенията и сигнално-охранителна система.

Организационни мерки за гарантиране нивото на сигурност:


  • Охрана на сградата със сигнално-охранителна техника.

  • Работните компютърни конфигурации, както и цялата IT инфраструктура, включително и достъпът до интернет, се използват единствено за служебни цели.

  • При ремонт на компютърна техника, на която се съхраняват лични данни, предоставянето й на сервизната организация се извършва без устройствата, на които се съхраняват лични данни.

Не се разрешава осъществяването на отдалечен достъп до данни от регистъра. Сроковете за съхранение на данни от регистъра са описани в чл. 35, т. 3.

Чл. 37. Действия за защита при аварии, произшествия и бедствия (пожар, наводнение и др.)

При възникване и установяване на инцидент, веднага се докладва на лицето, отговорно за защитата на личните данни. За инцидентите се води дневник, в който задължително се вписват предполагаемото време или период на възникване, времето на установяване, времето на докладване и името на служителя, извършил доклада. След анализ на инцидента, упълномощено лице вписва в дневника последствията от инцидента и мерките, които са предприети за отстраняването им. В случаите на необходимост от възстановяване на данни, процедурата се изпълнява след писменото разрешение на лицето по защитата на личните данни, като това се отразява в дневника по архивиране и възстановяване на данни.

Чл. 38. Предоставяне на лични данни на трети лица

Данни от регистъра могат да бъдат предоставяни на държавни институции с оглед изпълнение на нормативно задължение (НОИ, НАП, МВР и т.н.).

Във връзка с използването на куриерски услуги - приемане, пренасяне, доставка и адресиране на пратките до физически лица съдът посочва следните данни: три имена, адрес, област, пощенски код и наименование на населеното място.



VIІ. Регистър "Счетоводство и контрагенти".

Чл. 39. Описание на поддържания регистър

В регистъра се обработват лични данни на физически и юридически лица, нормативно регламентирани във връзка с извършването на дейността, както пряко свързани с основната дейност на регистратора, така и във връзка с допълнителни дейности- възлагане на обществени поръчки, изпълнение на текущи и аварийни ремонти и др.


  1. индивидуализиране на данни, свързани със сключване на договори;

  2. използване на събраните данни за съответните лица за служебни цели:

- за всички дейности, свързани с осъществяване на основната дейност- правораздаване;

  • по възникване на служебни правоотношения в останалите случаи-изготвяне на документи на лицата (служебни бележки, справки, удостоверения и др. );

  • за установяване на връзка с лицата по телефон, по електронен път за изпращане на кореспонденция, отнасяща се до изпълнение на задълженията им по сключени договори или поети ангажименти;

Чл. 40. Категории лични данни в регистъра и основание за обработването им В регистъра се обработват следните категории лични данни:

  • физическа идентичност: имена, ЕГН, номер, дата и място на издаване на документи за самоличност, постоянен и настоящ адрес и др.;

  • трудова дейност: месторабота и заемана длъжност, професионален опит.

  • социално-икономическа идентичност: текущо финансово състояние, участие в сдружения .

Чл. 41. Технологично описание на регистъра

1. Носители на данни

Данните в регистъра се обработват на хартиен и технически носител.

2. Технология на обработване

Личните данни на вещите лица, лицата с юридическа правоспособност-служебни защитници и особени представители и свидетелите по делата се въвеждат в програмен продукт ПП»Аладин».В масовите случаи данните в регистъра се предоставят от съответните лица , с оглед изпълнение на нормативно регламентираните задължения, възложени от администратора , при покриване на критерии и изисквания за участие в обществени поръчки, при които основанието за обработване е посочено в нормативен акт.

3. Срок за съхранение на информацията:



  • договори и приемо-предавателни протоколи за изпълнение на обществени поръчки- постоянен/ съхраняват се в съда/

  • служебни бележки и удостоверения за изплатени възнаграждения -10г. след одитиране /финансова ревизия/

  • договори за отдаване под наем- 5 години след приключване

  • лични данни на свидетели , вещи лица и лица с юридическа правоспособност изпълнителни дела по частни и държавни вземания на физически и юридически лица - 5 години/след архивиране/

4.Предоставени услуги

Администраторът на лични данни да предоставя достъп, справки, извлечения, издаване на документи и други услуги от съответния регистър с лични данни.

Чл.42. Длъжности, свързани с обработването и защитата на лични данни от регистъра и описание на техните права и задължения


  1. Данните от регистъра се обработват от Административния секретар / Главния специалист „ Човешки ресурси“ и Главния счетоводител, в чиито длъжностни характеристика е определено задължение за обработване на данните на външни лица- вещи лица, свидетели, лица с юридическа правоспособност и представители на фирми, извършващи външни услуги и при спазване на принципа „Необходимост да се знае".

  1. Право на достъп до регистъра имат само упълномощените лица.

3. Длъжностното лице няма право да разпространява информация за личните данни, станали му известни при изпълнение на служебните му задължения.

Чл.43. Оценка на въздействието и определяне съответното ниво на защита на регистъра „Счетоводство и контрагенти“.



Оценка на нивото на въздействие на регистър „Счетоводство и контрагенти"

Наименование на регистъра



НИВО НА ВЪЗДЕЙСТВИЕ

поверителност

цялостност

наличност

общо за регистъра

Рег. "Счетоводство и контрагенти"

средно

средно

средно

средно

  1. За определяне на адекватното ниво на техническите и организационните мерки и допустимия вид защита администраторът извършва оценка на въздействието върху обработваните лични данни. При определяне нивото на въздействие върху конкретно физическо лице или група физически лица се взима в предвид характера на обработваните лични данни и броя на засегнатите физически лица. Оценката на въздействието се извършва по критериите „поверителност", „цялостност" и„наличност". Оценката на въздействието се извършва периодично на всеки две години или при промяна на характера на обработваните лични данни и броя на засегнатите физически лица.

  2. При оценката на въздействието администраторът отчита характера на обработваните лични данни, които се отнасят до физическата идентичност на група физически лица - вещи лица, свидетели и лица с юридическа правоспособност, чийто брой надхвърля 2.

3.В зависимост от определеното средно ниво на въздействие нивото на защита на регистър „Счетоводство и контрагенти" е средно.

Чл.44. Технически и организационни мерки за защита

1.Физическа защита

Личните данни от регистъра се обработват в стаята на упълномощените по чл. 42 лица. Всички документи на хартиен носител, съдържащи лични данни, се съхраняват в стаята на лицата, упълномощени по чл. 42.Помещението, в което се обработват лични данни от регистъра е защитено от посегателства чрез заключване на вратата, свързано е със сигнално-охранителна система и пожарогасителни средства в коридорите на съда.

Достъп се предоставя само на служителите, чиито служебни задължения включват обработване на лични данни от регистъра.

Външни лица имат достъп до помещението, в което се обработват лични данни от регистъра, само в присъствието на упълномощените служители.

2.Персонална защита

Лицата, обработващи лични данни се запознават със 33ЛД, Наредба № 1 от 30 януари 2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните дани и настоящата Инструкция.

Лицата, обработващи лични данни, задължително подписват декларация, с която поемат задължение за неразпространение на лични данни станали му известни във връзка и по време на изпълнение на служебните им задължения. Декларацията се съхранява в кадровите досиета на служителите.

Споделяне на критична информация между служителите (като идентификатори, пароли за достъп и т.н.) е забранено от политиките за информационна сигурност.

3.Документална защита

Регистър „Счетоводство и контрагенти" се поддържа на хартиен и технически носител (съхраняват се в папки, чието съдържание съответства на нормативната уредба на Р България, както и на вътрешните нужди за периодична оценка на служителите). Обработването се извършва само по време на редовното работно време на съда.

Достъп до регистъра имат лицата, посочени в чл. 42 по-горе. Личните данни се събират само с конкретна цел, в съответствие с нормативните изисквания към администратора. Достъпът до регистъра е ограничен само за упълномощени лица в съответствие с принципа „Необходимост да се знае". Главния счетоводител, Административния секретар / Главния специалист „Човешки ресурси“ и секретар СИС са отговорни за контрола на достъпа до регистъра.

Сроковете за съхранение на документи от регистър „Счетоводство и контрагенти", които са на хартиен носител, са определени в чл.41,т.3 по-горе. Документите се съхраняват в архива на съда.

Личните данни могат да бъдат размножавани и разпространявани от упълномощените служители само ако е необходимо за изпълнение на служебните им задължения или ако са изискани по надлежния ред от упълномощени лица.

Временните документи от регистъра, които са на хартиен носител и съдържат лични данни, се унищожават само чрез специално устройство (шредер). След изтичане на срока за съхранение, тези документи се унищожават чрез нарязване или изгаряне, за което се съставя протокол от назначена със заповед на председателя комисия. Унищожаването се извършва след изрично писмено разрешение от Председателя на съда.

4.Защита на автоматизирани информационни системи и мрежи.

При работа с данните от регистъра се използват софтуерен продукт за обработване ПП»АЛАДИН». Данните се въвеждат в база данни и се съхраняват на работния компютър, където се обработват личните данни. Упълномощените служители имат лични профили (потребителско име и парола). Дефинирани са и уникално потребителско име и парола за стартиране на операционната система на компютъра.

Администраторът създава и поддържа стандартни и сигурни конфигурации за всяка компютърна и мрежова платформа, с която оперира, което включва стандартни и базови конфигурации за защита на операционната система, защитни стени, рутери и мрежови устройства. За защита на данните е инсталирана антивирусна програма.

Лицата, упълномощени по чл.42 са отговорни за управлението на регистъра. Само те има достъп до данните от регистъра.

За всички компютърни конфигурации, сървъри и комуникационни средства, от които зависи правилното поддържане на базите данни, са осигурени непрекъсваеми токозахранващи устройства (UPS).

В помещенията, в които са разположени компютърни и комуникационни средства, е осигурено заключване на помещенията и сигнално-охранителна система.

Организационни мерки за гарантиране нивото на сигурност:


  • Охрана на сградата със сигнално-охранителна техника.

  • Работните компютърни конфигурации, както и цялата IT инфраструктура, включително и достъпът до интернет, се използват единствено за служебни цели.

  • При ремонт на компютърна техника, на която се съхраняват лични данни, предоставянето й на сервизната организация се извършва без устройствата, на които се съхраняват лични данни.

Не се разрешава осъществяването на отдалечен достъп до данни от регистъра. Сроковете за съхранение на данни от регистъра са описани в чл. 41, т. 3.

Чл.45. Действия за защита при аварии, произшествия и бедствия (пожар, наводнение и др.)

При възникване и установяване на инцидент, веднага се докладва на лицето, отговорно за защитата на личните данни. За инцидентите се води дневник, в който задължително се вписват предполагаемото време или период на възникване, времето на установяване, времето на докладване и името на служителя, извършил доклада. След анализ на инцидента, упълномощено лице вписва в дневника последствията от инцидента и мерките, които са предприети за отстраняването им. В случаите на необходимост от възстановяване на данни, процедурата се изпълнява след писменото разрешение на лицето по защитата на личните данни, като това се отразява в дневника по архивиране и възстановяване на данни.

Чл. 46. Предоставяне на лични данни на трети лица

Данни от регистъра могат да бъдат предоставяни на държавни институции с оглед изпълнение на нормативно задължение (НОИ, НАП, и т.н.).

Във връзка с използването на куриерски услуги - приемане, пренасяне, доставка и адресиране на пратките съдът посочва следните данни: име на получателя, адрес, област, пощенски код и наименование на населеното място.

Чл. 47. Срок за провеждане на периодични прегледи относно необходимостта от обработване на данните, както и за заличаването им

Съдебните служители следва да извършват ежегодни проверки на личните данни от регистъра с оглед преценка на необходимостта от тяхното обработване и съответно ако е отпаднало задължението - за заличаването им.

Чл. 48. Ред за изпълнение на задълженията по чл. 25 от ЗЗЛД След изтичане на срокът за съхранение на данните, комисия определя чрез актови протоколи кои документи подлежат на унищожение и мястото на извършване на процедурата. Унищожението се извършва посредством няколко начина, определени в зависимост от наличните към момента на унищожението технически възможности за съда, а именно: чрез разрязване с помощта на машина - шредер и/или чрез изгаряне или разрушаване (отваряне) на корпуса и разтрошаване на носителя на данни.

В случай на прехвърляне на данните на друг администратор е необходимо да се уведоми КЗЛД, ако прехвърлянето е предвидено в закон и е налице идентичност на целите на обработването, като се съставят съответно приемо-предавателни протоколи.


VІІІ. Процедури по докладване,управление и реагиране при инциденти:
Чл.49.При съмнение за наличие на нераглемантиран достъп до лични данни или инциденти в регистрите, съдебните служители уведомяват незабавно Главния специалист „Човешки ресурси“ и Системния администратор.

Чл.50. Главният специалист „Човешки ресурси“ и Системният администратор извършват проверка,в резултат на която при констатиране на нерегламентиран достъп до лични данни или инциденти в регистрите уведомяват незабавно Административният ръководител-Председател на РС-Тетевен.

Чл.51.Главният специалист „Човешки ресурси“ съвместно със системният администратор изследват причините,довели до нераглемантирания достъп/инцидента и създават организация за неговото прекратяване,както и за преодоляване на негативни последици.

Чл.52.При съмнение за извършено престъпление уведомяват незабавно органите на полицията и прокуратурата.

Чл.53.По преценка се уведомява Комисията за защита на личните данни.
ІХ. Лица,осъществяващи прилагането на Инструкцията и контрол за изпълнение на нормативните актове-Закон за защита на личните данни и Наредба №1/30.01.2013г за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни.
Чл.54.Административният ръководител-Председател на Районен съд-град Тетевен ръководи цялостната дейност по прилагането на нормативните актове и изискуемите процедури за защита на личните данни в съда.

Чл.55.Главният специалист „Човешки ресурси“ координира и прилага непосредствено мерките по настоящата Инструкция.

Чл.56.Системният администратор подпомага Главният специалист „Човешки ресурси“.
ДОПЪЛНИТЕЛНИ РАЗПОРЕДБИ:
§ 1. За неуредените от тази Инструкция въпроси се прилагат разпоредбите на Закона за защита на личните данни и Инструкция №1/30.01.2013г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни.

§2.Непосредственият контрол за изпълнение на Инструкцията се възлага на Главния специалист „Човешки ресурси“.

§3.Настоящата Инструкция влиза в сила от датата на утвърждаването и може да бъде изменяна при промяна на действащата нормативна уредба.


ИЗГОТВИЛ:
МАРИНА ГРОЗЕВА

/Гл.Специалист „Човешки ресурси“/





База данных защищена авторским правом ©obuch.info 2016
отнасят до администрацията

    Начална страница