Колко са уведомленията за нарушения на сигурността на личните данни?

През миналата година 28% от случаите на нарушения на сигурността на данните са с високо ниво на риск от неблагоприятни последици за пострадалите. Общо уведомленията за нарушения на сигурността на данните, получени в КЗЛД, са  65. С високо ниво на риск са оценени 18 уведомления.

 

Годишен отчет на Комисията за защита на личните данни за дейността ѝ през 2019 г.:

 Уведомления за нарушения на сигурността на личните данни по реда на чл. 33 от Регламент (ЕС) 2016/679

Всеки администратор в случай на нарушение на сигурността на личните данни без ненужно забавяне – не по-късно от 72 часа, след като е разбрал за него, е длъжен да уведоми КЗЛД, а в някои случаи и физическите лица, субекти на данни, за настъпили нарушения на сигурността на данните. Нарушението на сигурността на лични данни е нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин. Следва да се отбележи, че в зависимост от обстоятелствата нарушението може да засегне поверителността, целостта и наличността на личните данни, както и каквато и да е комбинация от тях. Регламентът задължава администратора да оцени рисковете с различна вероятност и тежест за правата и свободите на физическите лица и да приложи подходящи технологични и организационни мерки за защита. Установяването на нарушение и своевременното информиране на надзорния орган и на субектите на данни са свързани с отчитането на естеството и тежестта на нарушението и последиците, както и с оценяването на неблагоприятното въздействие от него върху субектите на данни.

В изпълнение на чл. 15 от ЗЗЛД и чл. 62 от ПДКЗЛДНА, КЗЛД регистрира уведомленията за нарушение на сигурността на личните данни в регистъра по чл. 15, ал. 2, т. 2 от ЗЗЛД и извършва анализ за наличие на информацията по чл. 33, §3 от Регламент (ЕС) 2016/679.

Анализ на нарушението на сигурността на личните данни се извършва въз основа на посочените в уведомлението данни за:

  • неговото естество;
  • категории субекти на данни и техния брой, засегнати от нарушението;
  • категории записи лични данни и техния брой, засегнати от нарушението;
  • гражданство на засегнатите субекти на лични данни.

Анализът на нарушението на сигурността на личните данни включва и преглед и анализ на:

  • анализа на риска, представен от администратора в уведомлението;
  • посочените евентуалните последици от нарушението на сигурността;
  • предприетите или предложени от администратора мерки.

За отчетния период в КЗЛД са получени общо 65 уведомления за нарушения на сигурността на данните.

От тях с ниско ниво на риск са оценени 30 уведомления. Това са случаите, в които вероятността за субекта на данни да настъпят имуществени или неимуществени вреди в резултат на обработването на лични данни или на нарушението на сигурността на личните данни е малка или незначителна и/или тези вреди се изразяват в накърняване на интереси и/или неприкосновеността на личността и личния живот на едно или повече физически лица. Тези случаи се приемат единствено за сведение, за което КЗЛД уведомява съответния администратор.

Със средно ниво на риск са 15 уведомления, получени през 2019 г. В тези случаи вероятността за субекта на данни да настъпят имуществени или неимуществени вреди в резултат на обработването на лични данни или на нарушението на сигурността на личните данни е голяма или много голяма и/или тези вреди включват незначителни финансови загуби, незначителни икономически или социални неблагоприятни последствия, накърняване на репутацията, разкриване, разпространяване или осигуряване на неразрешен достъп до лични данни по чл. 9, §1 или чл. 10 от Регламент (ЕС) 2016/679, автоматизирано вземане на решение, което може да породи правни последствия за отделен субект на данни или по подобен начин да го засегне в значителна степен, вкл. профилиране, лишаване на субекта на данни от контрол върху негови лични данни, незначително засягане на права или свободи на едно или повече физически лица. В тези случаи се извършва проверка по документи, като от администратора се изисква представяне на допълнителна информация. След получаване на информацията се извършва допълнителен анализ.

С високо ниво на риск са оценени 18 уведомления. В тези случаи вероятността за субекта на данни да настъпят имуществени или неимуществени вреди в резултат на обработването на лични данни или на нарушението на сигурността на личните данни е сигурна или значителна и/или тези вреди включват кражба на самоличност, измама с фалшива самоличност, финансови загуби, значителни икономически или социални неблагоприятни последствия на едно или повече физически лица, лишаване от права или свободи на едно или повече физически лица, автоматизирано вземане на решение, което може да породи правни последствия за множество субекти на данни или по подобен начин да ги засегне в значителна степен, вкл. профилиране, или вредите засягат голям брой субекти на данни или уязвими лица, или се засяга голям обем лични данни. В тези случаи КЗЛД извършва проверка на място.

За два от случаите на уведомления за нарушения на сигурността на данните има трансгранично обработване на данни, при което на основание чл. 56 от Регламента КЗЛД се конституира като засегнат орган и се регистрира като такъв в Информационната система на вътрешния пазар (ИСВП/IMI).

На фиг. 8 е представено процентното съотношение на определените нива на риск. Най-висок е процентът на случаите, за които при анализа е установено ниско ниво на риск – 48%, следвано от случаите на инциденти с високо ниво на риск – 28%. Със средно ниво на риск са 24% от случаите.

Фиг. 8

Анализът на нарушенията на сигурността на данните от гледна точка на техния характер показва, че дигиталните пробиви в сигурността на данните са значително
по-голям процент от „обикновените“ (физическите) пробиви. Броят на дигиталните пробиви е 46, докато физическите са 19.

А видно от разреза според причините/причинителите (фиг. 9), най-голям процент са случаите на инциденти, свързани с външни злонамерени атаки към системите на организациите, представляващи различни по вид киберпрестъпления, включително кражби на документи, съдържащи лични данни, за което са уведомени и съответните правоохранителни органи – 52%. На следващо място с 40% са инцидентите, свързани с разкриването на данни пред трети лица вследствие на неволни технически грешки и възникнали технически проблеми в информационните системи, предизвикани от човешкия фактор. Останалите уведомления са за случаи, в които впоследствие е установено, че няма изтичане на лични данни или засягане на правата на субектите на данни.

Фиг. 9

В зависимост от сектора/отрасъла, в който оперират АЛД, подали уведомления, през отчетният период най-голям е броят на уведомления за нарушение на сигурността на личните данни от финансови институции (банкови, небанкови финансови предприятия и застрахователни дружества), следвано от инциденти в образователния сектор.

От подадените уведомления може да се направи изводът за необходимостта от допълнителни разяснения за администраторите – какво е нарушение на сигурността и кога е необходимо да се уведомява надзорният орган и/или засегнатите субекти на данни.

Ясно се очертава и необходимостта от продължаване на провеждането на обучения за АЛД и ОЛД в насока за по-пълно осъзнаване и обхващане на отговорностите им за спазването и прилагането на Регламента. Високият процент „вътрешни“ причини за допускане на нарушения на сигурността показва недостатъчна компетентност по отношение на обработването на лични данни от служители на администратора.

Общият брой извършени проверки на място след получени уведомления е 13, като 7 от тях приключват с изготвянето на констативен акт без констатирано нарушение, отправени са 2 официални предупреждения (Общинска администрация с. Гърмен – област Благоевград, „Фрезениус Медикъл Кеър България“ ЕООД).

В подаденото от „Фрезениус Медикъл Кеър България” ЕООД уведомление се твърди, че е установен случай на нарушение на сигурността на личните данни по чл. 33 от Регламент (ЕС) 2016/679, изразяващ се в извършено неоторизирано криптиране на данни на сървър на дружеството, като пробивът е засегнал около 1500 субекта на данни, включително бизнес партньори, доставчици и 16 служители на дружеството. След извършена проверка на място за изясняване факти и обстоятелства по полученото уведомление КЗЛД отправя официално предупреждение до дружеството в качеството му на администратор на лични данни за това, че е извършило нарушение на чл. 32, §1 и §4 от Регламент (ЕС) 2016/679 във връзка със сигурността на обработването на лични данни.

По повод постъпило уведомление за нарушение на сигурността на личните данни по чл. 33 от Регламент (ЕС) 2016/679 на Общинска администрация – с. Гърмен, относно извършена кражба на твърд диск-памет от служебен компютър на лицето по гражданско състояние в кметството в с. Дебрен, община Гърмен, съдържащ лични данни на 2500 физически лица – жители на селото, е извършена проверка на място. В резултат на направените по време на проверката констатации и събраните документи и доказателства КЗЛД отправя официално предупреждение до Общинска администрация – с. Гърмен, в качеството ѝ на администратор на лични данни за това, че е извършила нарушение на чл. 32, §1 и §4 от Регламент (ЕС) 2016/679 във връзка със сигурността на обработването на лични данни.

На редовни заседания на КЗЛД са приети решения за издаване на 4 разпореждания (община Стара Загора, ИВСС, Министерството на регионалното развитие и благоустройството, Министерството на образованието и науката), които предстои да бъдат връчени на съответните АЛД.

Можете да споделите: