Уведомяване на надзорния орган за нарушения на сигурността на личните данни
Бойчо Момчилов
Още за лични данни:
Регистри на дейностите по обработване на лични данни, извършване на анализ на риска и оценка на въздействието върху защитата на данните
Отношения между администратор и обработващ лични данни. Здължения на обработващият лични данни съгласно ЗЗЛД и ОРЗД
Задължения по ЗЗЛД и ОРЗД на администратора за прилагане на подходящи мерки за защита и осигуряване на защита на етапа на проектиране и по подразбиране
Oсновни понятия, общи и специфични случаи при обработване на личните данни съгласно ЗЗЛД и Регламент (ЕС) 2016/679
Регистри на дейностите по обработване на лични данни, извършване на анализ на риска и оценка на въздействието върху защитата на данните
Отношения между администратор и обработващ лични данни. Здължения на обработващият лични данни съгласно ЗЗЛД и ОРЗД
Задължения по ЗЗЛД и ОРЗД на администратора за прилагане на подходящи мерки за защита и осигуряване на защита на етапа на проектиране и по подразбиране
Oсновни понятия, общи и специфични случаи при обработване на личните данни съгласно ЗЗЛД и Регламент (ЕС) 2016/679
Уведомяването на надзорния орган от администратора за нарушение на сигурността на личните данни е част от по-общото му задължение за оказване на сътрудничество на надзорния орган. Така съгласно чл. 67, ал. 1 от ЗЗЛД, в случай на нарушение на сигурността на личните данни, което има вероятност да доведе до риск за правата и свободите на субектите на данни, администраторът без излишно забавяне, но не по-късно от 72 часа след като е разбрал за нарушението, уведомява комисията, съответно инспектората, за него. Когато уведомлението е подадено след срока по изречение първо, в него се посочват причините за забавянето.
Съгласно чл. 4, т. 12 от ОРЗД „нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин.
ЗЗЛД и ОРЗД въвеждат и изисквания по отношение минималното съдържание на уведомлението до надзорния орган. Така съгласно чл. 67, ал. 3 уведомлението съдържа най-малко:
1. описание на нарушението на сигурността на личните данни, включително когато е възможно, категориите и приблизителния брой на засегнатите субекти на данни и категориите и приблизителния брой на засегнатите записи на лични данни;
2. името и координатите за връзка на длъжностното лице по защита на данните или на друго звено за контакт, от което може да се получи повече информация;
3. описание на евентуалните последици от нарушението на сигурността на личните данни;
4. описание на предприетите или предложените от администратора мерки за справяне с нарушението на сигурността на личните данни, включително по целесъобразност мерки за намаляване на евентуалните неблагоприятни последици.
Съгласно чл. 4, т. 12 от ОРЗД „нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин.
Регламентът изброява неизчерпателно възможните неблагоприятни последици в резултат на настъпване на нарушение на сигурността. Съгласно съображения 85 от Регламента, нарушаването на сигурността на лични данни може, ако не бъде овладяно по подходящ и навременен начин, да доведе до физически, материални или нематериални вреди за физическите лица като загуба на контрол върху личните им данни или ограничаване на правата им, дискриминация, кражба на самоличност или измама с фалшива самоличност, финансови загуби, неразрешено премахване на псевдонимизацията, накърняване на репутацията, нарушаване на поверителността на лични данни, защитени от професионална тайна, или всякакви други значителни икономически или социални неблагоприятни последствия за засегнатите физически лица. Поради това, веднага след като установи нарушение на сигурността на личните данни, администраторът следва да уведоми надзорния орган за нарушението на сигурността на личните данни без ненужно забавяне и когато това е осъществимо — не по-късно от 72 часа след като е разбрал за него, освен ако администраторът не е в състояние да докаже в съответствие с принципа на отчетност, че няма вероятност нарушението на сигурността на личните данни да доведе до риск за правата и свободите на физическите лица. Когато такова уведомление не може да бъде подадено в срок от 72 часа, то следва да посочва причините за забавянето и че информацията може да се подаде поетапно без ненужно допълнително забавяне.
ЗЗЛД и ОРЗД въвеждат и изисквания по отношение минималното съдържание на уведомлението до надзорния орган. Така съгласно чл. 67, ал. 3 уведомлението съдържа най-малко:
1. описание на нарушението на сигурността на личните данни, включително когато е възможно, категориите и приблизителния брой на засегнатите субекти на данни и категориите и приблизителния брой на засегнатите записи на лични данни;
2. името и координатите за връзка на длъжностното лице по защита на данните или на друго звено за контакт, от което може да се получи повече информация;
3. описание на евентуалните последици от нарушението на сигурността на личните данни;
4. описание на предприетите или предложените от администратора мерки за справяне с нарушението на сигурността на личните данни, включително по целесъобразност мерки за намаляване на евентуалните неблагоприятни последици.
Администраторът документира и всяко нарушение на сигурността на личните данни, като включва фактите, свързани с нарушението, последиците от него и предприетите действия за справяне с него.
В някои случаи, субектите също следва да бъдат информирани за нарушение на сигурността. Така съгласно чл. 68, ал. 1 от ЗЗЛД, когато има вероятност нарушението на сигурността на личните данни да доведе до висок риск за правата и свободите на субектите на данни, администраторът на лични данни уведомява и субекта на данните за нарушението не по-късно от 7 дни от установяването му.
Субектът на данните не се уведомява за нарушението, ако е изпълнено някое от следните условия:
1. администраторът е предприел подходящи технически и организационни мерки за защита и тези мерки са били приложени по отношение на личните данни, засегнати от нарушението, по-специално мерки, които правят личните данни неразбираеми за всяко лице, което няма право на достъп до тях, като например криптиране;
2. администраторът е взел впоследствие мерки, които гарантират, че вече няма вероятност да се реализира високият риск за правата и свободите на субектите на данни;
3. уведомяването би довело до непропорционални усилия; в този случай се прави публично съобщение или се взема друга подобна мярка, така че субектите на данни да са в еднаква степен ефективно информирани.
Оценете отговора на експерта
(1 звезда - незадоволителен; 5 звезди - отличен)
Оценка:
(1 звезда - незадоволителен; 5 звезди - отличен)
Оценка:
Съдържанието, дизайнът и публикуваните статии в portaltrznormativi.bg подлежат на РС Издателство и Бизнес Консултации и са защитени по смисъла на закона за авторското право и сродните му права. Копирането и разпространението на съдържанието е забранено! Общи условия
Подобни статии
04Ноем2021
Комисията за защита от дискриминация също взе отношение по темата за третирането на лицата във връзка с ваксинационния им статус
от доц. д-р Андрей Александров
04 Ноем 2021
02Ноем2021
Комисията за защита на личните данни разяснява обработването на данни за ваксинационния статус на лицата
от доц. д-р Андрей Александров
02 Ноем 2021
23Юли2020
Допустимо ли е задължителното подлагане на тестове на персонала за COVID-19 и за чия сметка трябва да се провежда?
от доц. д-р Андрей Александров
23 Юли 2020
21Апр2020
Граници на допустимото вмешателство в личното пространство в условия на извънредно положение
от доц. д-р Андрей Александров
21 Апр 2020