При нарушение на сигурността на данните администраторът има задължение за уведомяване на КЗЛД.

„Нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до:
  • случайно или неправомерно унищожаване или повреждане. Напр. данните вече ги няма или ги няма във вид, в който администраторът на лични данни да може да ги използва, респ. личните данни са променени, подправени или станали вече непълни;
  • загуба – данните може все още да ги има, но администраторът на лични данни е загубил контрол или достъп до тях или те вече не са притежавани от него. Напр. устройство, съдържащо копие от база данни, е било загубено или откраднато или базите данни са били криптирани със зловреден софтуер;
  • промяна;
  • неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин. Напр. разкриване на лични данни пред или достъп до тях на получатели, които нямат право да ги получат или да имат достъп до тях.
Нарушенията на сигурността на данните могат да бъдат:
  • нарушение на поверителността — при неразрешено или случайно разкриване или достъп до лични данни;
  • нарушение на целостта — при неразрешена или случайна промяна на лични данни;
  • нарушение на наличността — при неразрешена или случайна загуба на достъп до или унищожаване на лични данни. Напр. когато данните са били заличени случайно или от неоправомощено лице, или са били криптирани, но е загубен ключът за декриптиране. В случай че администраторът не може да възстанови достъпа до данните от резервно копие, се приема, че има трайна загуба на наличността.

Възможно е нарушението да засегне едновременно поверителността, целостта и наличността на личните данни, както и каквато и да е комбинация от тях.

Временната загуба на наличността на лични данни също е нарушение на сигурността. То обаче, не винаги изисква уведомяване на надзорния орган и съобщаване на засегнатите физически лица. Напр. заразяването със зловреден софтуер, който криптира данните на администратора, докато не бъде платен откуп, може да доведе до временна загуба на наличност, ако има възможност данните да бъдат възстановени от резервно копие. Уведомяването ще е наложително, ако инцидентът бъде окачествен като нарушение на поверителността (т.е. атакуващият е имал достъп до личните данни).

Задължение за уведомяване на КЗЛД възниква, когато има вероятност нарушението да породи риск от настъпването на физически, материални или нематериални вреди за субектите на данни.

Такива вреди могат да бъдат загуба на контрол върху личните им данни, ограничаване на правата им, дискриминация, кражба на самоличност или измама с фалшива самоличност, финансови загуби, накърняване на репутацията и нарушаване на поверителността на лични данни, защитени от професионална тайна.

Ако има риск от настъпването на такива вреди, администраторът уведомява КЗЛД. Той трябва да направи това без ненужно забавяне и, когато това е осъществимо, не по-късно от 72 часа след като е разбрал за нарушението. Ако срокът не бъде спазен, в уведомлението се посочват и причините за забавянето.

Дали уведомяването е станало без ненужно забавяне, се установява като се отчитат естеството и тежестта на нарушението на личните данни и последиците и неблагоприятното въздействие от него върху субекта на данни.

Приема се, че администраторът е „разбрал“ за нарушението, когато е установил с разумна степен на увереност, че е настъпил инцидент, свързан със сигурността, който е повлиял на личните данни.

Когато обработващият лични данни има съмнения или получи сигнал за нарушение във връзка с данните, които обработва от името на администратора, той е длъжен без ненужно забавяне, но не по-късно от 72 часа, да уведоми администратора.

Обработващият обаче не извършва преценка дали има риск от настъпването на вреди за субектите на данни. Тази преценка се прави от администратора. В договора между администратора и обработващия е добре да се включат изисквания за ранно уведомяване от страна на обработващия. Това ще помогне на администратора да изпълни изискването за уведомяване на КЗЛД в срок от 72 часа. Ако е уговорено в договора, обработващият може да извърши уведомяването на КЗЛД от името на администратора.

Уведомлението до КЗЛД трябва да съдържа:
  1. описание на естеството на нарушението. Когато е възможно се посочват и категориите и приблизителният брой на засегнатите лица и записи на лични данни;
  2. посочване на името и данните за контакт на длъжностното лице по защита на данните;
  3. описание на евентуалните последици от нарушението на сигурността на личните данни. Напр. кражба на самоличност, измама с фалшива самоличност, финансова загуба, заплаха за професионална тайна;
  4. описание на предприетите или предложените от администратора мерки за справяне с нарушението, включително такива за намаляване на евентуалните неблагоприятни последици.

В уведомлението може да се включи и допълнителна информация. Напр. данните на обработващия лични данни, ако при него е направен пробив в сигурността.

Администраторът може да няма цялата необходима информация относно настъпилия инцидент към момента на изпращане на уведомлението. Няма пречка той да предостави част от информацията допълнително.

Администраторът трябва да води вътрешен регистър на нарушенията. В него се документират всички нарушения, включително и тези, за които не се изисква уведомяване на КЗЛД.

В регистъра на нарушенията се посочват:
  • описание на нарушението;
  • причините за пробива в сигурността;
  • личните данни, които са били засегнати;
  • последици от нарушението;
  • предприети от администратора действия за справяне с нарушението;
  • причините, поради които администраторът смята, че няма вероятност нарушението да породи риск за правата и свободите на физическите лица, респ. не се налага уведомяване на КЗЛД.

Допустимо е документирането на нарушенията да се извършва в регистъра на дейностите по обработване по чл. 30 от ОРЗД. В този случай информацията, отнасяща се до нарушението, трябва да е ясно разпознаваема като такава и да може да бъде извлечена при поискване от КЗЛД.

Ако администраторът има длъжностно лице по защита на данните (ДЛЗД), той трябва да го уведоми незабавно за нарушението. ДЛЗД предоставя съвети и наблюдава спазването на изискванията както по време на нарушение, така и при евентуално последващо разследване от КЗЛД. ДЛЗД трябва да участва в целия процес на управление на нарушението и уведомяване на КЗЛД за него.

При неизпълнение на задължението за уведомяване, КЗЛД може да наложи коригираща мярка или глоба. Максималният й размер е до 10 000 000 EUR или, в случай на предприятие — до 2 % от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока.

Актът за установяване на нарушение на задължението за уведомяване се съставя от член на КЗЛД или от оправомощени от комисията длъжностни лица. Срещу акта може да се подадат писмени възражения в 3-дневен срок.

Наказателните постановления се издават от председателя на КЗЛД, съответно от главния инспектор или от оправомощени от него инспектори. Те подлежат на обжалване пред районния съд в 7-дневен срок от връчването им. Жалбата се подава чрез КЗЛД.

В случай, че се нуждаете от съдействие за изготвяне на документи или от консултация в областта на защита на личните данни, свържете се с нас на тел.: 02 851 72 59 или по e-mail: office@kgmp-legal.com

Изпратете запитване

Контакти
Първо
Фамилия