На 14-ти октомври 2021 г. се проведе онлайн обучение на тема „Какво да правим при изтичане на информация?”, организирано от Асоциация на индустриалния капитал в България и CTeam Group. Чрез дистанционна платформа присъстваха предварително регистрирани участници, по-голямата част от които представители на частния бизнес.
Лектори на обучението бяха представители на Комисията за защита на личните данни – председателят Венцислав Караджов, членът на Комисията Цанко Цолов и служители от дирекция „Правно-аналитична, информационна и контролна дейност”. Целта на обучението бе да бъдат разгледани действията на всички участници в системата за защита на личните данни при настъпване на нарушение на сигурността на данните – администратори, обработващи, надзорен орган (КЗЛД), физически лица.
Организирането, координирането и провеждането на обучения в областта на защитата на личните данни е едно от основните правомощия и задължения на КЗЛД. Такива се осъществяват както на териториален, така и на секторен принцип и се съобразяват с конкретни интереси и проблеми на аудиторията.
Председателят на КЗЛД, Венцислав Караджов откри семинара, като представи приоритетите на КЗЛД във връзка със защитата на личните данни и по-специално – тези, свързани с нарушенията на сигурността.
На участниците бе разяснено какво се разбира под „сигурност на обработването на личните данни”, кога има нарушение на сигурността и какви са видовете нарушения. Oбобщeнa бe последователността на действия, които следва да се предприемат от АЛД при настъпване на нарушение на сигурността на личните данни. Обяснено бе защо уведомяването по чл.33 от Регламент (ЕС) 2016/679 трябва да разглежда като важен инструмент за засилване на спазването на заложените в Регламента изисквания за защита на личните данни. Разгледани бяха условията, изискващи уведомяване на надзорния орган при констатиране на нарушение на сигурността на личните данни, както и задълженията на администраторите, обработващите и съвместните администратори. В отделна презентация бяха разгледани условията, изискващи уведомяване на засегнатите субекти на данни, в съответствие с чл. 34 от Регламент (ЕС) 2016/679, който регламентира условията, при които се налага или допуска уведомяване на субектите на личните данни при нарушаване на сигурността. Посочени бяха формата и минималното съдържание на уведомлението за субектите на лични данни, засегнати от нарушението. Обърнато внимание на обстоятелството, че правилното поведение на АЛД е отваряне на информацията към засегнатите субекти, тъй като информираното физическо лице може също да предприеме мерки, които да допълнят вече взетите от АЛД такива.
Разгледани бяхатехнически и организационни мерки за минимизиране вероятността от настъпване на нарушение, както и мерки, които следва да се предприемат при настъпване на нарушение на сигурността на данните.
На семинара бе представен приетият от КЗЛД формуляр на Уведомление за нарушаване на сигурността на данните на основание чл. 33 от Регламент (ЕС) 2016/679 или на основание чл. 67 от ЗЗЛД. Попълването му не е задължително, но е препоръчително, с оглед избягване на последващи искания за допълнителна информация, както и унифициране на уведомленията, пристигащи в КЗЛД. Формулярът е публикуван на институционалния сайт.
Оценката на риска, който възниква в резултат от настъпило нарушение на сигурността, е важен фактор по отношение на последващите действия както на администратора, така и на КЗЛД. В две отделни презентации бяха разгледани темите за оценка на риска, извършвана от администратора, и оценка на риска, извършвана от КЗЛД при получаване на уведомление за настъпило нарушение. Участниците в обучението бяха запознати с методиката на КЗЛД за оценка на риска, която е вътрешен документ, подпомагащ обработването на постъпващите в КЗЛД уведомления за нарушения на сигурността. Посочено бе, че правилната оценка на риска е от съществено значение за по-нататъшните действия на КЗЛД във връзка с обработването на едно уведомление.
Разгледан бе въпросът за документиране на всяко нарушение на сигурността на личните данни, включително фактите, свързани с нарушението, последиците от него и предприетите действия за справяне с него. Всеки администратор трябва да разполага с планове и процедури за реакция при евентуални нарушения на сигурността на данните, докладване и отговорни лица в процеса на възстановяване.
Участниците в обучението бяха запознати с административния процес в КЗЛД, протичащ при получаване на уведомление за нарушение на сигурността – процедурата по неговото обработване, инструментите, които се ползват, как се взима решение, какви са последствията.
След като в рамките на 10 презентации бяха изяснени основните понятия,действащите лица и техните задължения при констатирано нарушение на сигурността на данните, в отделен панел бяха разгледаниказуси за различен тип нарушения, действия на администратора,изпращане на уведомление за настъпило нарушение и действия на надзорния орган след оценка на риска за субектите на данни. На участниците в семинара бе дадена думата за задаване на въпроси, при което съответно бяха предоставени компетентни разяснения.
