Изисква се администраторите на данни и обработващите данни да уведомяват за несъмнено нарушаване на данните.

Когато има нарушение на лични данни, като например неоторизиран достъп или загуба на данни, може да последват различни задължения за уведомяване.

Уведомяване на компетентния надзорен орган!

Това трябва да бъде извършено без неоправдано забавяне и, където е възможно, в рамките на 72 часа от узнаването на нарушението. Това задължение обаче не се прилага, ако нарушението е малко вероятно да доведе до риск за правата и свободите на физически лица. Ако администраторът не уведоми в определения период, трябва да обясни причината за забавянето си. В известието трябва най-малкото да се опише: естеството на нарушението, засегнатите категории, приблизителния брой на субектите на данни и съответните им записи, данните за СЗД или друго звено за контакт, вероятните последици и мерки, които се прилагат или предлагат да бъдат приложени. Всички нарушения на данните трябва да бъдат документирани, включително последиците и предприетите коригиращи действия.

Уведомяване на субектите на данни!

Това трябва да се направи без неоправдано забавяне, ако нарушението на данните е вероятно да доведе до висок риск за правата и свободите от лицата. Това уведомление трябва да описва ясно нарушението и да предоставя друга несъмнена информация. Уведомление може да не се изисква, например, ако данните са сигурно криптирани и достъпът до ключът за шифроване не е бил компрометиран. Обществената комуникация може да е задоволителна, ако индивидуално уведомление би включило прекомерни усилия. Обработващите данните трябва да уведомят администратора.

За разлика от Директивата, според GDPR обработващият данните също има пряко задължение. Обработващият данните трябва да уведоми администратора, без неоправдано забавяне, след като е узнал за нарушението на личните данни.Тези нови изисквания формализират съществуващите препоръки на надзорните органи каквито са ICO (вероятно Информационно-Комуникационна Организация). Те също хармонизират изискванията в държавите-членки. Това задължение, заедно с други изисквания, е за уведомяване за нарушения на сигурността

Някои специфични секторни законодателства, например съдържат задължението да се уведомява при определени обстоятелства. Примери за това са секторът на финансовите услуги и секторът на телекомуникациите. Съгласно Директивата за неприкосновеността на личния живот и електронните комуникации например, доставчиците на услуги (доставчици на телекомуникационни услуги или доставчици на интернет услуги) имат задължението да уведомяват съответния надзорен орган за нарушения на лични данни в рамките на 24 часа след откриването му, когато е възможно. В някои държави-членки съответният надзорен орган е и органът по защитата на данните. Доставчиците на услуги трябва също така да уведомяват абонатите или потребителите без ненужно забавяне, ако нарушението е вероятно да засегне личните им данни или поверителността на данните. Предложеният проект за Наредба за поверителност при електронна комуникация и Телекомуникационният кодекс предполагат тези задължения да останат под някаква форма.

Освен това, Директивата на ЕС относно мрежовата и информационната сигурност (EU NIS Directive) съдържа едно задължение за тези компании, за които се прилага (като тези, които предоставят съществени услуги в държавата-членка), да уведомяват за несъмнени нарушения на сигурността. В някои държави-членки това уведомление може да е подадено към различен надзорен орган, а не към този, който контролира GDPR и се отнася за всички инциденти, свързани със сигурността, дори и да не са засегнати лични данни.

Свързани с горните текстове членове от Регламента:

Член 30 - Регистри на дейностите по обработване

1. Всеки администратор и — когато това е приложимо — представител на администратор поддържа регистър на дейностите по обработване, за които отговоря. Този регистър съдържа цялата по-долу посочена информация:

a) името и координатите за връзка на администратора и — когато това е приложимо — на всички съвместни администратори, на представителя на администратора и на длъжностното лице по защита на данните, ако има такива;

б) целите на обработването;

в) описание на категориите субекти на данни и на категориите лични данни;

г) категориите получатели, пред които са или ще бъдат разкрити личните данни, включително получателите в трети държави или международни организации;

д) когато е приложимо, предаването на лични данни на трета държава или международна организация, включително идентификацията на тази трета държава или международна организация, а в случай на предаване на данни, посочено в член 49, параграф 1, втора алинея, документация за подходящите гаранции;

е) когато е възможно, предвидените срокове за изтриване на различните категории данни; ж) когато е възможно, общо описание на техническите и организационни мерки за сигурност, посочени в член 32, параграф 1.

2. Всеки обработващ лични данни и — когато това е приложимо — представителят на обработващия лични данни поддържа регистър на всички категории дейности по обработването, извършени от името на администратор, в който се съдържат:

a) името и координатите за връзка на обработващия или обработващите лични данни и на всеки администратор, от чието име действа обработващият лични данни и — когато това е приложимо —на представителя на администратора или обработващия лични данни и на длъжностното лице по защита на данните; по Дейвид Смит, бивш зам. Председател на Офиса на Комисията по Информация на UK, подбрани и обработени от Чавдар Пенков 3/6

б) категориите обработване, извършвано от името на всеки администратор;

в) когато е приложимо, предаването на лични данни на трета държава или международна организация, включително идентификацията на тази трета държава или международна организация, а в случай на предаване на данни, посочено в член 49, параграф 1, втора алинея, документация за подходящите гаранции;

г) когато е възможно, общо описание на техническите и организационни мерки за сигурност, посочени в член 32, параграф 1. 3.Регистрите, посочени в параграфи 1 и 2, се поддържат в писмена форма, включително в електронен формат.

4. При поискване, администраторът или обработващият лични данни и — когато това е приложимо — представителят на администратора или на обработващия личните данни, осигуряват достъп до регистъра на надзорния орган.

5. Задълженията, посочени в параграфи 1 и 2, не се прилагат по отношение на предприятие или дружество с по-малко от 250 служители, освен ако има вероятност извършваното от тях обработване да породи риск за правата и свободите на субектите на данни, ако обработването не е спорадично или включва специални категории данни по член 9, параграф 1 или лични данни, свързани с присъди и нарушения, по член 10.

Изложение 82, към Член 30

(82) За да докаже спазването на настоящия регламент, администраторът или обработващият данни следва да поддържа документация за дейностите по обработване, за които той е отговорен. Всеки администратор и обработващ лични данни следва да е длъжен да си сътрудничи с надзорния орган и да му осигури достъп до тази документация при поискване, за да може да бъде използвана за наблюдение на тези операции по обработване.

Член 32 - Сигурност на обработването

1. Като се имат предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекстът и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът и обработващият лични данни прилагат подходящи технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност, включително, inter alia, когато е целесъобразно:

a) псевдонимизация и криптиране на личните данни;

б) способност за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;

в) способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент;

г) процес на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването.

2. При оценката на подходящото ниво на сигурност се вземат предвид по-специално рисковете, които са свързани с обработването, по-специално от случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до прехвърлени, съхранявани или обработени по друг начин лични данни.

3. ридържането към одобрен кодекс за поведение, посочен в член 40 или одобрен механизъм за сертифициране, посочен в член 42 може да се използва като доказателство за предоставянето на достатъчно гаранции съгласно параграф 1 от настоящия член.

4. дминистраторът и обработващият лични данни предприемат стъпки всяко физическо лице, действащо под ръководството на администратора или на обработващия лични данни, което има достъп до лични данни, да обработва тези данни само по указание на администратора, освен ако от въпросното лице не се изисква да прави това по силата на правото на Съюза или правото на държава членка. по Дейвид Смит, бивш зам. Председател на Офиса на Комисията по Информация на UK, подбрани и обработени от Чавдар Пенков 4/6

Изложение 83 към Член 32

(83) С цел да се поддържа сигурността и да се предотврати обработване, което е в нарушение на настоящия регламент, администраторът или обработващият лични данни следва да извърши оценка на рисковете, свързани с обработването, и да предприеме мерки за ограничаване на тези рискове, например криптиране. Тези мерки следва да гарантират подходящо ниво на сигурност, включително поверителност, като се вземат предвид достиженията на техническия прогрес и разходите по изпълнението спрямо рисковете и естеството на личните данни, които трябва да бъдат защитени. При оценката на риска за сигурността на данните следва да се разгледат рисковете, произтичащи от обработването на лични данни, като случайно или неправомерно унищожаване, загуба, промяна, неправомерно разкриване, или достъп до предадени, съхранявани или обработвани по друг начин лични данни, което може по-конкретно да доведе до физически, материални или нематериални вреди.

Член 33 - Уведомяване на надзорния орган за нарушение на сигурността на личните данни

1. В случай на нарушение на сигурността на личните данни администраторът, без ненужно забавяне и когато това е осъществимо — не по-късно от 72 часа след като е разбрал за него, уведомява за нарушението на сигурността на личните данни надзорния орган, компетентен в съответствие с член 55, освен ако не съществува вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица. Уведомлението до надзорния орган съдържа причините за забавянето, когато не е подадено в срок от 72 часа.

2. Обработващият лични данни уведомява администратора без ненужно забавяне, след като узнае за нарушаване на сигурността на лични данни.

3. В уведомлението, посочено в параграф 1, се съдържа най-малко следното:

а) описание на естеството на нарушението на сигурността на личните данни, включително, ако е възможно, категориите и приблизителният брой на засегнатите субекти на данни и категориите и приблизителното количество на засегнатите записи на лични данни;

б) посочване на името и координатите за връзка на длъжностното лице по защита на данните или на друга точка за контакт, от която може да се получи повече информация;

в) описание на евентуалните последици от нарушението на сигурността на личните данни;

г) описание на предприетите или предложените от администратора мерки за справяне с нарушението на сигурността на личните данни, включително по целесъобразност мерки за намаляване на евентуалните неблагоприятни последици.

4. Когато и доколкото не е възможно информацията да се подаде едновременно, информацията може да се подаде поетапно без по-нататъшно ненужно забавяне.

5. Администраторът документира всяко нарушение на сигурността на личните данни, включително фактите, свързани с нарушението на сигурността на личните данни, последиците от него и предприетите действия за справяне с него. Тази документация дава възможност на надзорния орган да провери дали е спазен настоящият член.

Изложения 85, 87-88, към Член 33) Нарушаването на сигурността на лични данни може, ако не бъде овладяно по подходящ и навременен начин, да доведе до физически, материални или нематериални вреди за физическите лица, като загуба на контрол върху личните им данни или ограничаване на правата им, дискриминация, кражба на самоличност или измама с фалшива самоличност, финансови загуби, неразрешено премахване на псевдонимизацията, накърняване на репутацията, нарушаване на поверителността на лични данни, защитени от професионална тайна, или всякакви други значителни икономически или социални неблагоприятни последствия за засегнатите физически лица. Поради това, веднага след като установи нарушение на сигурността на личните данни, администраторът следва да уведоми надзорния орган за нарушението на сигурността на личните данни без ненужно забавяне и когато това е осъществимо — не по-късно от 72 часа след като е разбрал за него, освен ако администраторът не е в състояние да докаже в съответствие с принципа на отчетност, че няма вероятност нарушението на сигурността на личните данни да доведе до риск за правата и свободите на физическите лица. Когато такова уведомление не може да бъде подадено в срок от 72 часа, то следва да посочва причините за забавянето и че информацията може да се подаде поетапно без ненужно допълнително забавяне.

Член 34 - Съобщаване на субекта на данните за нарушение на сигурността на личните данни

1. Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободитена физическите лица, администраторът, без ненужно забавяне, съобщава на субекта на данните за нарушението на сигурността на личните данни.

2. В съобщението до субекта на данните, посочено в параграф 1 от настоящия член, на ясен и прост език се описва естеството на нарушението на сигурността на личните данни и се посочват най-малко информацията и мерките, посочени в член 33, параграф 3, букви б), в) и г).

3. Посоченото в параграф 1 съобщение до субекта на данните не се изисква, ако някое от следните условия е изпълнено:

a) администраторът е предприел подходящи технически и организационни мерки за защита и тези мерки са били приложени по отношение на личните данни, засегнати от нарушението на сигурността на личните данни, по- специално мерките, които правят личните данни неразбираеми за всяко лице, което няма разрешение за достъп до тях, като например криптиране;

б) администраторът е взел впоследствие мерки, които гарантират, че вече няма вероятност да се материализира високият риск за правата и свободите на субектите на данни, посочен в параграф 1;

в) то би довело до непропорционални усилия. В такъв случай се прави публично съобщение или се взема друга подобна мярка, така че субектите на данни да бъдат в еднаква степен ефективно информирани.

4. Ако администраторът все още не е съобщил на субекта на данните за нарушението на сигурността на личните данни, надзорният орган може, след като отчете каква е вероятността нарушението на сигурността на личните данни да породи висок риск, да изиска от администратора да съобщи за нарушението или да реши, че е изпълнено някое от условията по параграф 3.

Изложения 86-88, към Член 33

(86) Администраторът следва да уведоми субекта на данни за нарушението на сигурността на личните данни без ненужно забавяне, когато има вероятност нарушението на сигурността на личните данни да доведе до висок риск за правата и свободите на физическото лице, за да му се даде възможност да предприеме необходимите предпазни мерки. В уведомлението следва да се посочва естеството на нарушението на сигурността на личните данни, както и да се дават препоръки на засегнатото физическо лице за това как да ограничи потенциалните неблагоприятни последици. Такива уведомления до субектите на данни следва да бъдат правени веднага щом това е разумно осъществимо и в тясно сътрудничество с надзорния орган, като се спазват насоките, предоставени от него или от други съответни органи, като правоприлагащите органи. Така например необходимостта да се ограничи непосредственият риск от вреди би наложила незабавното уведомяване на субектите на данните, докато необходимостта от предприемането на целесъобразни мерки срещу продължаването на нарушения на сигурността на личните данни или срещу подобни нарушения би оправдало по-дълги срокове за уведомлението.

(87)Следва да се установи дали са били приложени всички подходящи мерки за технологична защита и организационни мерки, за да се определи незабавно дали е налице нарушение на лични данни и своевременно да се информират надзорният орган и субектът на данни. Фактът, че уведомлението е направено без ненужно забавяне следва да бъде установен, като се отчитат по-конкретно естеството и тежестта на нарушението на личните данни и последиците и неблагоприятното въздействие от него върху субекта на данни. Такова уведомление може да доведе до намесата на надзорния орган в съответствие със задачите и правомощията, които са му предоставени с настоящия регламент.

(88) При установяване на подробни правила за формàта и процедурите, приложими за уведомяването за нарушения на сигурността на личните данни, следва да се отдаде необходимото внимание на обстоятелствата, свързани с нарушението, включително дали личните данни са били защитени чрез подходящи технически мерки за защита, ефективно ограничаващи вероятността за измама с фалшива самоличност или други форми на злоупотреба. Освен това при такива правила и процедури следва да се отчитат законните интереси на правоприлагащите органи, когато ранното разкриване може ненужно да попречи при разследването на обстоятелствата, свързани с нарушението на сигурността на личните данни.

Въздействие

 Актуализирайте или създавайте вътрешни процеси за идентифициране и реагиране на нарушаването на личните данни, включително и със създаването на съответната документация, в рамките на сроковете, очаквани от GDPR.

 Създавайте писмен запис на техническите и въведените организационни мерки като част от записите на обработката.

 Прилагайте съответен процес за поддържане на писмен запис на нарушенията, включително и за действията за отстраняване им, предприети в отговор.

 Прегледайте споразуменията си с доставчици към трети страни, за да сте сигурни, че имат ясното задължение да ви уведомяват, когато е необходимо.

 Проверете какво покриват вашите застрахователни полици при поавяване на събитието нарушаване на личните данни.

 Осъществявайте технологичен процес, който да гарантира, че мерките за сигурност се тестват редовно и се актуализират.

 Прилагайте, където е възможно, процес за анонимност или псевдоними.

 Изпълнявайте метод за идентифициране на високия риск при обработката.

 Създайте организация и екип, които да се справят с последиците от инцидента. Организациите трябва да имат план за публична комуникация и да назначат външни специалисти в бъдеще.

 Редовно тествайте плана си чрез симулиране на инциденти.

 Уверете се, че сте взели под внимание изискванията за отчитане на нарушенията и в други юрисдикции (включително извън ЕС), както и специфични секторни изисквания.

 Чавдар Пенков