When do you need to notify a data breach?

Личните данни, които обработвате, били ли са изгубени, откраднати или компрометирани?

Is the processing likely to result in high risks?

Do any exceptions apply?

It’s important that you notify the competent data protection authority (DPA) within 72h.

If the data breach affects individuals in more than one country across Europe, you need to notify the lead DPA.

Is the data breach likely to result in a high risk to individuals’ rights and freedoms?

Трябва ли да извършвам ОВЗД?

Да, трябва да извършите ОВЗД

Остават ли високи рискове след ОВЗД?

Трябва ли да извършвам ОВЗД?

No personal data breach has occurred.

Consult your Data Protection Authority

You don’t need to notify the data protection authority or individuals.

You need to document all data breaches in a record.

Нарушенията на сигурността на данните могат да имат пагубно въздействие върху Вашата организация. От финансови загуби до глоби и спад в доверието на клиентите, въздействието на нарушенията на сигурността на данните може да бъде огромно. Ето защо е от съществено значение да се прилагат добри практики и процедури в областта на киберсигурността за предотвратяване на инциденти, свързани със сигурността. Въпреки това, все още може да претърпите нарушение на сигурността на данните, за което може да се наложи да уведомите съответния орган за защита на данните (ОЗД) или да съобщите на засегнатите лица.

Какво е „нарушение на сигурността на личните данни“

Нарушение на сигурността означава „нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни“.

Организациите следва да са наясно, че нарушението на сигурността на личните данни може да обхване много повече от просто „загуба“ на лични данни. Това включва инциденти, засягащи поверителността, целостта или наличността на лични данни. Важно е да се отбележи, че нарушенията на сигурността на данните включват инциденти, свързани със сигурността, които са резултат от двете злополуки (като изпращане на имейл до грешен получател, загуба на USB ключ, съдържащ клиентски данни, или случайно изтриване на медицински данни, за които не е налично резервно копие), както и умишлени действия (като фишинг атаки за получаване на достъп до данните на клиентите).

С други думи, това включва ситуации като например, когато някой има достъп до лични данни или ги предава без подходящо разрешение, или когато личните данни са станали недостъпни чрез криптиране от шифроващи вредителски програми, или при случайна загуба или унищожаване. Въпреки че всички нарушения на сигурността на личните данни са инциденти, свързани със сигурността, не всички инциденти, свързани със сигурността, са непременно нарушения на сигурността на личните данни (тъй като е възможно да няма никакви лични данни, свързани с даден инцидент).

Задължения на администраторите на данни

Ако Вашето МСП действа като администратор на данни, има три основни принципа по отношение на нарушенията на сигурността на данните.

  1. документиране на всякакви нарушения на сигурността на личните данни
  2. уведомяване на съответния орган за защита на личните данни (ОЗД) за всяко нарушение на сигурността на личните данни в рамките на 72 часа, освен ако е малко вероятно това да доведе до риск за физическите лица; и
  3. съобщаване на това нарушение на физическите лица без ненужно забавяне, когато има вероятност нарушението да доведе до висок риск за физическите лица.

От изключително значение е администраторите на данни да разбират и спазват тези задължения, и да прилагат предварително подходящите процедури, които ще им позволят своевременно да определят обективно дали е необходимо някое от посочените по-горе уведомления.

Във всеки случай за всички нарушения — дори и тези, които не са съобщени на ОЗД въз основа на това, че са оценени като малко вероятно да доведат до риск — администраторът на данни трябва да записва най-малко основните данни за нарушението, оценката му, последиците от него и предприетите ответни действия, както се изисква в член 33, параграф 5 от ОРЗД.

Какво да правим и как да предприемем действия?

Уведомление за нарушение на данните до съответния ОЗД

Съгласно член 33, параграф 1 от ОРЗД всички нарушения на сигурността на данните следва да бъдат съобщавани на съответния ОЗД, с изключение на тези, които е малко вероятно да представляват риск за физическите лица. За да улеснят това информиране, ОЗД са въвели процедури или онлайн формуляри, които ще Ви насочват стъпка по стъпка, за да се гарантира, че предоставяте цялата необходима информация.

Ако нарушението е извършено при трансгранично обработване и се изисква уведомяване, администраторът на данни, ако е установен в ЕИП, ще трябва да уведоми водещия орган за защита на данните. По този начин, когато изготвя своя план за реагиране при нарушения, администраторът на данни следва вече да направи оценка на това кой ОЗД е водещият орган, който ще трябва да уведоми. Ако администраторът има съмнения относно това, кой е водещият ОЗД, той следва най-малкото да уведоми местния ОЗД, където е извършено нарушението.

Когато се изисква уведомяване, това трябва да се направи възможно най-скоро и в рамките на 72 часа след като администраторът е разбрал за нарушението. В случай че това не е възможно, ще се изисква обосновка за забавянето. Може да се приеме, че дадена организация е „разбрала“ за нарушението, когато се е уверила, че е настъпил инцидент, свързан със сигурността, и че той е компрометирал личните данни.

На всички организации се препоръчва, като част от вътрешните им процедури, да разполагат със система за регистриране на това как и кога са узнали за нарушения на сигурността на личните данни и как са оценили потенциалния риск, породен от нарушенията, с оглед доказването на тези обстоятелства пред ОЗД.

Когато не е възможно да се предостави цялата необходима информация на ОЗД в рамките на 72-часовия срок, уведомлението следва да се извърши на няколко етапа. Първоначалното трябва  да бъде подадено уведомлението, а допълнителната информация може да бъде предоставяна поетапно.

По същия начин, съгласно член 33, параграф 2 от ОРЗД, ако Вашето МСП е обработващ лични данни, който обработва данни от името на друга организация, трябва да уведомите администратора на данни за всяко нарушение на сигурността на личните данни без ненужно забавяне. Това е от ключово значение, за да се даде възможност на администратора да изпълни своевременно задълженията си за уведомяване. Изискванията за докладване на нарушения също следва да бъдат подробно описани в договора между администратора на данни и обработващия лични данни, както се изисква съгласно член 28 от ОРЗД.

Уведомяването на съответния ОЗД за нарушение на сигурността на личните данни трябва най-малко да:

  • описва естеството на нарушението на сигурността на личните данни, включително, когато е възможно, категориите и приблизителния брой на засегнатите субекти на даннии категориите и приблизителното количество на засегнатите записи на лични данни;
  • посочва името и координатите за връзка на длъжностното лице по защита на данните (ДЛЗД) или на друга точка за контакт, от която може да се получи повече информация;
  • описва евентуалните последици от нарушението на сигурността на личните данни; и
  • описва предприетите или предложени от МСП мерки за справяне с нарушението на сигурността на личните данни, включително по целесъобразност мерки за намаляване на евентуалните неблагоприятни последици.

Съобщаване на това нарушение на засегнатите лица

Освен това засегнатите лица трябва да бъдат уведомени без ненужно забавяне за някои нарушения на сигурността на данните. Такъв е случаят, когато има вероятност нарушението на сигурността на личните данни да доведе до висок риск за правата и свободите на физическото лице.

Целта на това изискване е да се гарантира, че засегнатите лица могат да вземат необходимите предпазни мерки, когато са настъпили инциденти, които е вероятно да доведат до висок риск за тях.

Такива съобщения до физическите лица трябва да се извършват незабавно и, когато е целесъобразно, в тясно сътрудничество със съответния ОЗД. В случаите, когато е необходимо да се намали непосредственият риск за физическите лица, ще е необходима бърза комуникация.

Има обстоятелства, при които от администраторите на данни няма да се изисква да уведомяват физическите лица, като например:

  • администраторът на данни е криптирал данните и ключовете за криптиране не са били компрометирани;
  • администраторът на данни е взел впоследствие мерки, които гарантират, че вече няма вероятност да се материализира високият риск за правата и свободите на физическите лица;

или

  • то би довело до непропорционални усилия. В такъв случай обаче администраторът на данни трябва все пак да гарантира чрез публично съобщение или друга подобна мярка, че физическите лица са информирани по също толкова ефективен начин.

Това съобщение до лицето следва да описва на ясен и прост език естеството на нарушението на сигурността на личните данни и да включва най-малко следната информация:

  • името и координатите за връзка с длъжностното лице по защита на данните или на друга точка за контакт, от която може да се получи повече информация;
  • описание на евентуалните последици от нарушението на сигурността на личните данни; и
  • описание на предприетите или предложените от организацията мерки за справяне с нарушението на сигурността на личните данни, включително по целесъобразност мерки за намаляване на евентуалните  неблагоприятни последици.
  • В съобщението следва също така да се опишат препоръките към засегнатите лица за смекчаване на потенциалните неблагоприятни последици от нарушението.

Администраторите и обработващите лични данни се насърчават предварително да планират и въведат процедури, за да могат да откриват и своевременно да ограничават дадено нарушение, да оценяват риска за физическите лица и след това да определят дали е необходимо да уведомят компетентния орган за защита на данните, и да съобщят нарушението на засегнатите физически лица, когато това е необходимо.

Кога трябва да уведомите за нарушение на сигурността на данните?

table:  When do you need to notify a data breach?