При пробив в сигурността на личните данни администраторът има задължение да уведоми Комисията за защита на личните данни (КЗЛД).

„Нарушение на сигурността на личните данни“ е събитие, водещо до:

• Неправомерно унищожаване или повреждане на данните, което ги прави неизползваеми или непълни;
• Загуба на контрол или достъп до данните. Пример: устройство, съдържащо база данни, е загубено или криптирано от зловреден софтуер;
• Промяна на данните;
• Неоторизиран достъп до данните, водещ до тяхното разкриване пред лица, които нямат правото на достъп.

Видове нарушения на сигурността

• Нарушение на поверителността – неразрешено разкриване или достъп до данните.
• Нарушение на целостта – неразрешена промяна на данните.
• Нарушение на наличността – загуба на достъп или унищожаване на данните. Пример: случайно изтриване на данни или криптиране без възможност за възстановяване.

Едно нарушение може едновременно да засегне поверителността, целостта и наличността на данните.

Дори и временната загуба на наличност на данни се счита за нарушение на сигурността, но тя не винаги налага уведомяване на КЗЛД. Ако напр., администраторът е обект на зловреден софтуер, който временно криптира данните, и те могат да бъдат възстановени от резервно копие, може да не се налага уведомяване.

Кога е задължително уведомяването на КЗЛД?

Ако има вероятност нарушението да доведе до физически, материални или нематериални вреди за субектите на данни, администраторът трябва да уведоми КЗЛД. Такива вреди могат да включват:

• Загуба на контрол върху личните данни;
• Ограничаване на правата на субектите;
• Дискриминация, кражба на самоличност, финансови загуби;
• Нарушение на професионална тайна.

Администраторът е длъжен да уведоми КЗЛД в рамките на 72 часа след като разбере за нарушението. Ако срокът не е спазен, трябва да се посочат причините за забавянето.

Установяване на „разбиране“ за нарушението: Администраторът се счита за „разбрал“ за нарушението, когато има разумна увереност, че е настъпил инцидент, засягащ личните данни.

Ролята на обработващия лични данни

Обработващият данни, който установи нарушение, трябва да уведоми администратора без ненужно забавяне, но не по-късно от 72 часа. Обработващият не преценява дали има риск за субектите на данни – тази преценка е отговорност на администратора. Препоръчително е договорът между администратор и обработващ да съдържа условия за бързо уведомяване, за да се спази 72-часовият срок за уведомяване на КЗЛД.

Съдържание на уведомлението до КЗЛД

Уведомлението трябва да включва:

1. Описание на нарушението и при възможност – категориите и броя на засегнатите лица и записи;
2. Контакт на длъжностното лице по защита на данните (ДЛЗД);
3. Описание на евентуалните последици – напр., кражба на самоличност, финансова загуба;
4. Описание на предприетите мерки за ограничаване на последиците от нарушението.

Ако обработващият данни е източник на пробива, администраторът може да включи и неговите данни в уведомлението. Администраторът има право да допълни информацията на по-късен етап, ако към момента на уведомлението не разполага с всички данни.

Водене на регистър на нарушенията

Администраторът трябва да поддържа вътрешен регистър на нарушенията. В него се включва информация както за уведомени, така и за неуведомени случаи. В регистъра се записват:

• Описание на нарушението;
• Причини за пробива;
• Засегнати данни;
• Последици от нарушението;
• Предприети действия и причините за ненужно уведомяване на КЗЛД.

Възможно е регистърът на нарушенията да бъде част от регистъра на дейностите по обработване (чл. 30 от ОРЗД), при условие че информацията за нарушенията може да бъде лесно извадена при поискване от КЗЛД.

Роля на длъжностното лице по защита на данните (ДЛЗД)

Ако администраторът има ДЛЗД, той трябва незабавно да го информира за нарушението. ДЛЗД съдейства за спазване на изискванията и за координиране на уведомлението до КЗЛД, а също така участва при разследване от страна на КЗЛД и в целия процес на управление на инцидента.

Санкции при неизпълнение на задължението за уведомяване

При неизпълнение на задължението за уведомяване, КЗЛД може да наложи коригираща мярка или глоба до 10 000 000 EUR или до 2% от годишния световен оборот на предприятието за предходната година, в зависимост от това коя сума е по-голяма.

Акт за установяване на нарушение се съставя от член на КЗЛД или оправомощени лица. Администраторът има право да подаде писмени възражения в 3-дневен срок. Наказателните постановления се издават от председателя на КЗЛД и могат да бъдат обжалвани пред районния съд в 7-дневен срок след връчването им. Жалбата се подава чрез КЗЛД.

В случай, че се нуждаете от съдействие за изготвяне на документи или от консултация в областта на защита на личните данни, свържете се с нас на тел.: 02 851 72 59 или по e-mail: