Глава първа
ОБЩИ ПОЛОЖЕНИЯ
Чл. 1. С тази инструкция се определят обстоятелствата, при които предприятията, предоставящи обществени електронни съобщителни услуги, уведомяват потребителите за нарушения на сигурността на личните им данни, формата и начина на уведомяването.
Чл. 2. Инструкцията се отнася до всички предприятия, които са вписани в публичния регистър на предприятията по чл.33, ал.1, т.1 от Закона за електронните съобщения (ЗЕС), поддържан от Комисията за регулиране на съобщенията.
Глава втора
ОБСТОЯТЕЛСТВА, ПРИ КОИТО ПРЕДПРИЯТИЯТА, ПРЕДОСТАВЯЩИ ОБЩЕСТВЕНИ ЕЛЕКТРОННИ СЪОБЩИТЕЛНИ УСЛУГИ, УВЕДОМЯВАТ ПОТРЕБИТЕЛИТЕ ЗА НАРУШЕНИЯ НА СИГУРНОСТТА НА ЛИЧНИТЕ ДАННИ
Чл. 3. (1) В случай на нарушение на сигурността на личните данни по смисъла на §1, т.34а от допълнителните разпоредби на ЗЕС, което може да повлияе неблагоприятно на лични данни или на неприкосновеността на личния живот на абонат или на друго физическо лице, предприятието, при което е настъпило нарушението на сигурността, уведомява своевременно съответното лице за нарушението, но не по-късно от три дни от установяването му.
(2) Предприятието не уведомява абоната или друго физическо лице, в случай че Комисията за защита на личните данни (КЗЛД) е приела, че предприятието е предприело предхождащи подходящи технологични мерки за защита на сигурността на личните данни – обект на нарушението, при условията на чл.261в, ал.3 ЗЕС.
(3) В случаите по ал.1 след разглеждане на възможните неблагоприятни последици от нарушението КЗЛД може да възложи на предприятието да уведоми съответните неуведомени засегнати лица по ал.1.
Чл. 4. Извън случаите по чл.3, ал.2 предприятието не извършва уведомяване и когато са налице обстоятелствата по чл.3, параграф5 от Регламент(ЕС)№611/2013 на Комисията от 24юни 2013г. относно мерките, приложими за съобщаването на нарушения на сигурността на личните данни съгласно Директива2002/58/ЕО на Европейския парламент и на Съвета за правото на неприкосновеност на личния живот и електронни комуникации.
Чл. 5. При определянето, че дадено нарушение на сигурността на личните данни може да повлияе неблагоприятно на лични данни или на неприкосновеността на личния живот на абонат или на друго физическо лице, предприятието отчита следните обстоятелства:
1. категориите лични данни – обект на нарушение на сигурността, като данни по чл.5, ал.1 от Закона за защита на личните данни; данни по чл.248, ал.2 ЗЕС; данни по чл.3, параграф2, буква„а“ от Регламент(ЕС)№ 611/2013; данни в широкомащабни регистри на лични данни по смисъла на Наредба№1 от 2013г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни на КЗЛД и данни за лица, заемащи висши държавни и други длъжности по смисъла на Закона за публичност на имуществото на лица, заемащи висши държавни и други длъжности; биометрични данни по смисъла на чл.4, т.14 от Регламент(ЕС)2016/679 на Eвропейския парламент и на Съвета от 27април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива95/46/EО (общ регламент относно защитата на данните); данни, чието обработване съгласно решение на КЗЛД застрашава правата и законните интереси на физическите лица;
2. характера на нарушението на сигурността на личните данни и вероятните последици от него за засегнатия абонат или друго физическо лице като някоя от последиците, посочени в чл.3, параграф 2, буква „б“ от Регламент(ЕС)№611/2013; загуба на данни; незаконно унищожаване; нерегламентиран достъп; трайни здравословни увреждания или смърт на група физически лица или на отделно физическо лице по смисъла на Наредба№1 от 2013г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни на КЗЛД.
Глава трета
ФОРМА И НАЧИН НА УВЕДОМЯВАНЕ
Чл. 6. Предприятието уведомява абоната или друго физическо лице за настъпилото нарушение на сигурността на личните данни в разбираема форма. Уведомлението задължително съдържа информацията по ПриложениеII от Регламент(ЕС)№611/2013.
Чл. 7. При спазване на изискванията на чл.3, параграф 6 от Регламент(ЕС)№611/2013 предприятието уведомява абоната или друго физическо лице чрез средства за комуникация, гарантиращи незабавното получаване на информацията по чл.6.
Чл. 8.(1) В случаите по чл.3, параграф7 от Регламент(ЕС)№611/2013 предприятието прави обявление в две или повече национални и/или регионални медии. Обявлението в този случай е в срока по чл.3.
(2) След идентифициране на всички засегнати от нарушението лица предприятието незабавно уведомява всяко от тях, като им предоставя информацията по чл.6, с изключение на случаите, когато това е невъзможно или е свързано с прекомерни усилия.
ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ
§1. Тази инструкция е приета на основание чл.261г, ал.1 ЗЕС с решение на КЗЛД от 21.12.2016 г.
§2. Инструкцията влиза в сила три дни след обнародването й в „Държавен вестник“.
|
ПРЕДСЕДАТЕЛ /п/
ВЕНЦИСЛАВКАРАДЖОВ
|
