Как да напишем полезни правила и процедури за докладване на нарушения

Новият член Чл. 25и от Закона за защита наличните данни предвижда работодател или орган по назначаването, в качеството си на администратор на лични данни, да приеме правила и процедури при използване на система за докладване на нарушения.

Документите обаче не са достатъчни. Служителите на администратора, трябва да са добре подготвени, за да могат да познаят нарушението, преди да го докладват. Затова не е достатъчно да се напишат правила, а те да се осмислят от всеки служител на администрацията или фирмата.

Какво препоръчват надзорните органи? Ирландската комисия за защита на данните (DPC) задава няколко въпроса към администраторите за готовността им да докладват за нарушения.

Какво ще направи вашата организация, ако има инцидент с нарушаване на данните?

Имате ли политика, която определя какво е нарушение на данните?

Как бихте разбрали, че вашата организация е претърпяла нарушение на данните? Разбира ли персоналът на организацията (на всички нива) последиците от загубата на лични данни?

Служителите знаят ли на кого да кажат за нарушаване на лични данни?

Вашата политика ясно показва ли кой е отговорен за справянето с инцидента?

Вашата политика покрива ли изискванията за задължително докладване за нарушения съгласно GDPR?

Британската Служба на комисаря по информацията (ICO) предлага в помощ на администраторите цял комплект документи, свързани с образоването на персонала.

Голяма част от помощните материали целят да помогнат на администраторите да преценят дали да информират надзорния орган, и това е разбираемо – той се опасява от лавина ненужни съобщения, изпратени от презастраховащите се фирми и организации.

В информацията на сайта на ICO се подчертава, че GDPR въвежда задължение организациите да докладват определени видове нарушения на личните данни на съответния надзорен орган в рамките на 72 часа от узнаването за нарушението, а когато е възможно то да доведе до висок риск от неблагоприятно въздействие  –  трябва да се информират самите лица.

Подготовката за справяне с нарушенията включва попълване на въпросници за самооценка и примери.

Нарушенията в личните данни могат да включват:

– достъп от неоторизирани трети лица;

– умишлено или случайно действие (или бездействие) от администратор или обработващ;

– изпращане на лични данни до неправилен получател;

– компютърни устройства, съдържащи лични данни, които са загубени или откраднати;

– промяна на лични данни без разрешение; и

– липса на лични данни.

Нарушаването на сигурността на личните данни може да бъде широко определено като инцидент, свързан със сигурността, който е засегнал поверителността, целостта или достъпността на личните данни. Накратко, ще има нарушение на личните данни при загуба, унищожаване, повреждане или разкриване на лични данни; ако някой има достъп до данните или ги предава без подходящо разрешение; или ако данните са направени недостъпни, например, когато са били криптирани чрез ransomware или случайно са загубени или унищожени.

При оценката на риска за правата и свободите е важно да се обсъдят потенциалните негативни последици за хората. Съображение 85 от GDPR обяснява, че: „Нарушаването на сигурността на лични данни може, ако не бъде овладяно по подходящ и навременен начин, да доведе до физически, материални или нематериални вреди за физическите лица, като загуба на контрол върху личните им данни или ограничаване на правата им, дискриминация, кражба на самоличност или измама с фалшива самоличност, финансови загуби, неразрешено премахване на псевдонимизацията, накърняване на репутацията, нарушаване на поверителността на лични данни, защитени от професионална тайна, или всякакви други значителни икономически или социални неблагоприятни последствия за засегнатите физически лица.“

ICO дава за пример, изискващ уведомяване, кражбата на база данни на клиентите, а за ненужно сигнализиране – загубата на телефонния указател.

В документите на администраторите задължително трябва да се включи текст за отговорностите на обработващите лични данни. Ако този обработващ констатира нарушение, в съответствие с член 33 от GDPR, той трябва да  информира администратора веднага. Примерът на ICO е за договор с фирма за информационни услуги за архивиране и съхранение на клиентски записи. IT компанията, ако открие атака на своята мрежа, която води до незаконно ползване на лични данни за клиентите, трябва незабавно да ви уведоми, а вие на свой ред уведомявате надзорния орган.

ICO коментира и ситуацията, в която администраторът не разполага с пълната информация за нарушението. Ако знаете, че няма да можете да предоставите пълни подробности в рамките на 72 часа, можете да ни обясните закъснението и да ни кажете, кога очаквате да изпратите повече информация, посочват от надзорния орган и дават следния пример:

Вие откривате проникване в мрежата си и осъзнавате, че до файловете, които съдържат лични данни, е осъществен достъп, но не знаете как атакуващият е проникнал, до каква степен са били достъпни данните или дали нападателят е копирал данните от вашата система. Вие уведомявате ICO в рамките на 72 часа, след като сте узнали за нарушението, като обяснявате, че все още нямате всички подробности, но очаквате резултатите от разследването ви да се появят в рамките на няколко дни. След като разследването разкрие подробности за инцидента, вие незабавно давате на ICO повече информация за нарушението.

Кога трябва да се информират субекта на данни за нарушението?

Според ICO администраторът преценява кога е налице „високият риск“ по чл. 34 от GDPR и дава за пример нарушение в болница, което води до случайно разкриване на досиета на пациентите. Вероятно има значително въздействие върху засегнатите лица поради чувствителността на данните и техните поверителни медицински подробности, които стават достъпни. Това вероятно ще доведе до висок риск за техните права и свободи, така че те трябва да бъдат информирани за нарушението.

Друг пример е с университет претърпял нарушение, когато член на персонала случайно изтрива данни за контакт с негови възпитаници. По-късно данните се възстановяват от архива. Малко вероятно е това да доведе до висок риск за правата и свободите на тези лица. Те не трябва да бъдат информирани за нарушението, смята ICO.

При всички случаи решенията на администратора трябва да бъдат документирани.

Каква информация трябва да се предоставят на субектите на данни, когато им се съобщава за нарушение?

Трябва да опишете ясно естеството на нарушението на личните данни и най-малко:

– име и данни за контакт на служител по защита на данните (ако вашата организация има такъв) или друг контакт, където може да се получи повече информация;

– описание на вероятните последици от нарушението на личните данни;

– описание на мерките, предприети или предложени за предприемане, и

– действия за преодоляване на нарушението на личните данни и

– предприетите мерки за смекчаване на евентуалните неблагоприятни последици.

Примери за уведомяването за нарушения на сигурността на личните данни могат да се открият и на сайта на КЗЛД. Там, в рубриката Насоки на Работна група по чл. 29 по прилагането на Общия регламент относно защита на данните, приети и утвърдени от ЕКЗД са публикувани  Насоки относно уведомяването за нарушения на сигурността на личните данни съгласно Регламент (ЕС) 2016/679

GDPR:

Член 33

Уведомяване на надзорния орган за нарушение на сигурността на личните данни

1.В случай на нарушение на сигурността на личните данни администраторът, без ненужно забавяне и когато това е осъществимо – не по-късно от 72 часа след като е разбрал за него, уведомява за нарушението на сигурността на личните данни надзорния орган, компетентен в съответствие с член 55, освен ако не съществува вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица. Уведомлението до надзорния орган съдържа причините за забавянето, когато не е подадено в срок от 72 часа.

2.Обработващият лични данни уведомява администратора без ненужно забавяне, след като узнае за нарушаване на сигурността на лични данни.

3.В уведомлението, посочено в параграф 1, се съдържа най-малко следното:

a) описание на естеството на нарушението на сигурността на личните данни, включително, ако е възможно, категориите и приблизителният брой на засегнатите субекти на данни и категориите и приблизителното количество на засегнатите записи на лични данни;

б) посочване на името и координатите за връзка на длъжностното лице по защита на данните или на друга точка за контакт, от която може да се получи повече информация;

в) описание на евентуалните последици от нарушението на сигурността на личните данни;

г) описание на предприетите или предложените от администратора мерки за справяне с нарушението на сигурността на личните данни, включително по целесъобразност мерки за намаляване на евентуалните неблагоприятни последици.

4.Когато и доколкото не е възможно информацията да се подаде едновременно, информацията може да се подаде поетапно без по-нататъшно ненужно забавяне.

5.Администраторът документира всяко нарушение на сигурността на личните данни, включително фактите, свързани с нарушението на сигурността на личните данни, последиците от него и предприетите действия за справяне с него. Тази документация дава възможност на надзорния орган да провери дали е спазен настоящият член.

Член 34

Съобщаване на субекта на данните за нарушение на сигурността на личните данни

1.Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, администраторът, без ненужно забавяне, съобщава на субекта на данните за нарушението на сигурността на личните данни. 4.5.2016 г. L 119/52 Официален вестник на Европейския съюз BG

2.В съобщението до субекта на данните, посочено в параграф 1 от настоящия член, на ясен и прост език се описва естеството на нарушението на сигурността на личните данни и се посочват най-малко информацията и мерките, посочени в член 33, параграф 3, букви б), в) и г).

3.Посоченото в параграф 1 съобщение до субекта на данните не се изисква, ако някое от следните условия е изпълнено:

a) администраторът е предприел подходящи технически и организационни мерки за защита и тези мерки са били приложени по отношение на личните данни, засегнати от нарушението на сигурността на личните данни, по- специално мерките, които правят личните данни неразбираеми за всяко лице, което няма разрешение за достъп до тях, като например криптиране;

б) администраторът е взел впоследствие мерки, които гарантират, че вече няма вероятност да се материализира високият риск за правата и свободите на субектите на данни, посочен в параграф 1;

в) то би довело до непропорционални усилия. В такъв случай се прави публично съобщение или се взема друга подобна мярка, така че субектите на данни да бъдат в еднаква степен ефективно информирани.

4.Ако администраторът все още не е съобщил на субекта на данните за нарушението на сигурността на личните данни, надзорният орган може, след като отчете каква е вероятността нарушението на сигурността на личните данни да породи висок риск, да изиска от администратора да съобщи за нарушението или да реши, че е изпълнено някое от условията по параграф 3. Раздел 3

Чл. 4, т. 12 „нарушение на сигурността на лични данни” означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;

Можете да споделите: