Вече има одобрен формуляр на уведомление за нарушение на сигурността на личните данни

Документът може да се подаде в Комисията за защита на личните данни и с електронен подпис

Прилагането на технически и организационни мерки за защита на личните данни е задължение на администраторите и обработващите лични данни. Като се имат предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекстът и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторите и обработващите лични данни са длъжни да прилагат подходящи, съобразени с този риск технически и организационни мерки за защита на личните данни. В случай на нарушение на сигурността на данните, администраторът следва да уведоми за това съответния надзорен орган, пише в новия брой на бюлетина на Комисията за защита на личните данни.

„Уведомяването се извършва без ненужно забавяне и когато това е осъществимо – не по-късно от 72 часа след като е разбрал за него. Когато не е подадено в срок от 72 часа, в уведомлението се посочват причините за това забавяне. Когато не е възможно информацията да се подаде едновременно, тя може да се подава поетапно без по-нататъшно ненужно забавяне.

Обработващият лични данни уведомява администратора без ненужно забавяне, след като узнае за нарушаване на сигурността на лични данни.

Администраторът на лични данни (АЛД) следва да документира всяко нарушение на сигурността на личните данни, включително фактите, свързани с нарушението на сигурността на личните данни, последиците от него и предприетите действия за справяне с него.

В качеството ѝ на надзорен орган КЗЛД е разработила процедура за обработване на постъпващите уведомления за нарушение на сигурността на личните данни. В резултат от преценка на подадената от АЛД информация, както и служебно събраната такава, се извършва оценка на риска за правата и свободите на физическите лица. При необходимост, КЗЛД изисква предоставянето на допълнителна информация. В зависимост от нивото на риска се предприемат последващи действия. КЗЛД е приела методика за оценка на риска, която е вътрешен документ, подпомагащ работата по обработване на постъпващите в КЗЛД уведомления.

Съгласно чл. 33 от ОРЗД уведомлението следва да съдържа най-малко следното:

− описание на естеството на нарушението на сигурността на личните данни, включително, ако е възможно, категориите и приблизителният брой на засегнатите субекти на данни и категориите и приблизителното количество на засегнатите записи на лични данни;

− посочване на името и координатите за връзка на длъжностното лице по защита на данните или на друга точка за контакт, от която може да се получи повече информация;

− описание на евентуалните последици от нарушението на сигурността на личните данни;

− описание на предприетите или предложените от администратора мерки за справяне с нарушението на сигурността на личните данни, включително по целесъобразност мерки за намаляване на евентуалните неблагоприятни последици.

С цел подпомагане на АЛД при изпълняването на задължението им за подаване на уведомление за нарушаване на сигурността на личните данни, както и отчитайки своята практика по обработване на информацията от постъпващи уведомления, КЗЛД разработи и публикува на своя институционален сайт Формуляр на Уведомление за нарушаване на сигурността на данните на основание чл. 33 от Регламент (ЕС) 2016/679 или на основание чл. 67 от ЗЗЛД.

Попълването на този формуляр не е задължително, но е препоръчително, с оглед избягване на последващи искания за допълнителна информация, както и унифициране на уведомленията, пристигащи в КЗЛД. В уведомлението за нарушение на сигурността, АЛД трябва да предостави възможно най-точна и подробна информация, която му е известна. Формулярът има няколко основни раздела, които съдържат следната информация:

− Тип на уведомлението – дали е първоначално или последващо

− Общи и хронологични данни – кога е настъпило нарушението, кога е установено, как е установено, дали продължава, ако има забавяне в подаване на уведомлението – какви са те.

− Описание на нарушението – какво се е случило

− Категории данни, засегнати от нарушението. В този раздел е предоставена неизчерпателна възможност за избор измежду различни категории данни.

− Брой субекти и брой записи, засегнати от нарушението

− Категории субекти на данни (служители, потребители, контрагенти и т.н.)

− Потенциални последствия за правата и свободите на засегнатите субекти на данни според администратора. Възможно ли е нарушението на личните данни да доведе до висок риск за субектите на данни?

− Описание на техническите и организационни мерки за защита, предприети преди нарушението.

− Предприети или предложени за предприемане действия в отговор на нарушението.

− Стъпки, които се предприемат, за да се предотврати повторение на нарушението и срокът, в който се очаква те да бъдат изпълнени.

− Уведомени ли са субектите на данни и по какъв начин.

− Уведомени ли са други органи/организации за нарушението.

− Данни за администратора – име, ЕИК/БУЛСТАТ и т.н.

Уведомлението се подава от администратора или от изрично упълномощено от него лице с изрично нотариално заверено пълномощно при представителство от лица или организации или с нарочно адвокатско пълномощно (пълномощното се прилага и е неразделна част от Уведомлението).

Уведомлението се подава в КЗЛД по някой от следните начини:

− Лично, на хартиен носител – в деловодството на КЗЛД на адрес: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2;

− С писмо на адрес: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2, Комисия за защита на личните данни;

− На мейла на КЗЛД – kzld@cpdp.bg. В този случай, Уведомлението трябва да бъде подписано с Квалифициран електронен подпис (КЕП).

− Чрез Системата за сигурно електронно връчване, поддържана от Държавна агенция „Електронно управление”. В този случай Уведомлението трябва да бъде попълнено и съответният електронен файл да бъде изпратен чрез тази система.

Формулярът на Уведомление за нарушаване на сигурността на данните на основание чл. 33 от Регламент (ЕС) 2016/679 или на основание чл. 67 от ЗЗЛД е публикуван ТУК.”

В моя Наръчник за защита на личните данни за малки и стартиращи предприятия съм дала линк за допълнителна информация към Насоки относно уведомяването за нарушения на сигурността на личните данни съгласно Регламент (ЕС) 2016/679 на Работната група по чл. 29, приети на 3 октомври 2017 г., последно преработени и приети на 6 февруари 2018 г.(WP250, rev.01), впоследствие потвърдени от Европейския комитет по защита на данните на 25 май 2018 г.

 

Можете да споделите: