Нарушение на сигурността (или „пробив“) е всяко събитие, което води до случайно или неправомерно разкриване, загуба, промяна или неоторизиран достъп до лични данни – напр. хакерска атака, изгубен лаптоп, изпратен имейл до грешен получател, техническа грешка в сайт, човешка грешка при споделяне на файл и т.н.
- Кога и как да уведомите КЗЛД?
Съгласно чл. 33 от GDPR в случай на нарушение на сигурността на личните данни администраторът трябва да уведоми Комисията за защита на личните данни (КЗЛД) в срок до 72 часа от момента, в който е узнал за нарушението. Уведомлението до надзорния орган съдържа причините за забавянето, когато не е подадено в срок от 72 часа.
Уведомлението трябва да съдържа:
- естеството на нарушението;
- категориите и броя на засегнатите лица и записи;
- последствията от нарушението;
- мерките, които са предприети или предстоят;
- име и контакт с длъжностното лице по защита на данните (ако има такова).
Дори ако администраторът не е в състояние да предостави цялата информация веднага, трябва да изпрати първоначално уведомление, а след това допълнение.
- Кога трябва да уведомите засегнатите лица?
Съгласно чл. 34 от GDPR, ако нарушението може да създаде висок риск за правата и свободите на субектите на данни, е нужно да ги уведомите без ненужно забавяне.
Пример: Хакер е получил достъп до база данни с имена, имейли и пароли – трябва да уведомите клиентите.
- Какви първоначални мерки можете да предприемете?
- Ограничете щетите:
- спрете достъпа до засегнатата система;
- прекратете неоторизирания достъп;
- информирайте ИТ отдела (ако има такъв).
- Съберете информация за инцидента:
- кога и как е открит;
- какви данни са засегнати;
- колко души са засегнати
- Уведомете ръководството и длъжностното лице по защита на данните (ДЛЗД), ако има такова
- Преценете риска
- Уведомете надзорния орган и, ако е необходимо, субектите на данни
Повече информация, свързана с нарушения на сигурността на данните, както и образец на формуляри и начини за подаване можете да откриете тук.
