Действия на администраторите на лични данни при настъпване на нарушение на сигурността на личните данни– чл.33 и чл.34 от Регламент (ЕС) 2016/679
Какво да правим при нарушение на сигурността на личните данни?
Предлагаме на вниманието на администраторите и обработващите лични данни кратък материал с отговор на въпроси като – кога има нарушение на сигурността и какви са видовете нарушения. Каква последователност на действия, следва да се предприемат от при настъпване на нарушение на сигурността на личните данни. Защо уведомяването по чл.33 от Регламент (ЕС) 2016/679 е важен инструмент за засилване на спазването на заложените в Регламента изисквания за защита на личните данни. Кога се изисква уведомяване на надзорния орган и кога на засегнатите субекти на данни, в съответствие с чл.34 от Регламент (ЕС) 2016/679. Какво е минималното съдържание на уведомлението. Какви технически и организационни мерки за минимизиране вероятността от настъпване на нарушение следва да се предприема и какви технически и организационни мерки се предприемат за преодоляване на последиците от евентуално такова. Оценка на риска и нейното място при нарушенията. Какво и как се документира при нарушение на сигурността на данните.
1. Нарушения на сигурността на личните данни.
1.1. Уведомяването за нарушение на сигурността на личните даннипо чл.33 от Регламент (ЕС) 2016/679 (ОРЗД, Регламента) е изцяло нов момент, въведен от Регламента и е със задължително действие за всички администратори на лични данни (АЛД, администратора). Обработващите лични данни (ОЛД, обработващия) имат задължение да уведомяват за нарушение на сигурността своя АЛД. В определени хипотези, посочени в чл.34 от ОРЗД, АЛД уведомяват и субектите на лични данни. Уведомяването по чл.33 и/или по чл.34 от ОРЗД трябва да се разглежда като важен инструмент за отчитане на спазването на Регламента.
1.2. Всеки АЛД/ОЛД следва предварително да планира действията си и да въведе процедури, които да му гарантират бързото откриване и ограничаване на нарушението на сигурността на лични данни, за да може своевременно да оцени риска за субектите на лични данни и съответно да предприеме задължителните действия, посочени в ОРЗД.
1.3. Легалната дефиниция е посочена в чл. 4, пар.12 от ОРЗД – „нарушение на сигурността на лични данни” означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин.
Важно! Ключов момент е оценката, която АЛД/ОЛД ще направи на настъпилото събитие и преценка на неговите евентуални последици.
2. Уведомяване на надзорния орган по чл.33 от ОРЗД.
2.1. Уведомяването на КЗЛД от АЛД става без ненужно забавяне, но не по-късно от 72 часа от узнаване за настъпване на нарушението (чл.33, пар.1 от ОРЗД), а ОЛД уведомява своя АЛД без ненужно забавяне от узнаване за настъпване на нарушението (чл.33, пар.2 от ОРЗД). При съвместни администратори следва предварително да се определят отговорностите, които всеки от тях има по отношение на спазването на задълженията по чл.33 от ОРЗД.
2.2. При необходимост АЛД може да предостави допълнителна информация (чл.33, пар.4 от ОРЗД), а при забавено уведомление (по-късно от 72 часа) следва задължително да се посочат причините за това.
3. Уведомяване на субектите на данни по чл.34 от ОРЗД.
3.1. При вероятност нарушението на сигурността да породи висок риск за правата и свободите на физическите лица, АЛД следва на ясен и прост език да съобщи на субектите на данните за нарушението, като им предостави информация относно рисковете, възникнали в резултат на нарушението, и стъпките, които могат да предприемат, за да се предпазят от възможните негативни последици от него (чл.34, пар.1 и 2 от ОРЗД).
Важно! АЛД трябва да споделя информация със субектите на данни при нарушение на сигурността, за да могат и самите лица да предприемат допълнителни и адекватни мерки за защита на личните си данни, които да допълнят вече взетите от АЛД технически и организационни мерки за справяне с последиците от нарушението.
3.2. ОРЗД допуска АЛД сам да избере какъв да бъде начина на уведомяване на субектите, като (без да е изчерпателно) напр.: изпращане на имейли, лични контакти, съобщение на сайта на администратора или чрез средствата за масова информация, както и други подходящи начини, съобразно дейността на администратора, но при спазване на принципа на отчетност
3.3. ОРЗД допуска АЛД да не уведоми субектите на данни, ако е налице някое от условията, изрично посочени в чл.34, пар.3 от ОРЗД.
3.4. Когато АЛД не е съобщил на субектите на лични данни за нарушението, ОРЗД предвижда възможността КЗЛД, след като прецени, че е вероятно нарушението на сигурността да породи висок риск за правата и свободите на физическите лица, да изиска от администратора да съобщи за нарушението на субектите (чл.34, пар.4 от ОРЗД).
4. Съдържание на уведомлението до надзорния орган.
4.1. По отношение съдържанието на уведомлението следва да се спазват изискванията на чл.33, пар.3 от Регламент (ЕС) 2016/679. За допълнителни методически разяснения, препоръчваме да се ползват „Насоки относно уведомяването за нарушения на сигурността на личните данни съгласно Регламент (ЕС) 2016/679” на Работната група по чл.29, приети на 3октомври 2017г., последно преработени и приети на 6февруари 2018г.(WP250, rev.01), впоследствие потвърдени от Европейския комитет по защита на данните на 25май 2018г. Насоките са публикувани на сайта на КЗЛД тук.
4.2. На сайта на КЗЛД е налична и бланка за уведомление по чл.33 от ОРЗД, която, без да е задължителна, е изготвена с оглед подпомагане на АЛД да се ориентират по-подробно за необходимата информация, която да подадат във връзка с нарушението, както и да се улеснят при изпълнението на това тяхно задължение. Бланката е налична тук.
5. Оценка на риска за правата и свободите на субектите на данни, извършвана от АЛД.
5.1. Риск за правата и свободите на субектите на данни по смисъла на Регламента е съществуването на възможност да се случи събитие, което само по себе си представлява вреда (включително необоснована намеса в правата и свободите на физическите лица) или което може да доведе до допълнителни щети на едно или повече физически лица.
5.2. На първо място АЛД следва да определи естество на нарушението– категориите и приблизителния брой на засегнатите субекти на данни и категориите и приблизителното количество на засегнатите записи на лични данни (чл.33, пар.3, б.„а” от ОРЗД)
5.3. На следващо място е определянето на риска от възникване на неблагоприятни последици за субектите на данни– физически, материални или нематериални вреди за физическите лица, като загуба на контрол върху личните им данни или ограничаване на правата им, дискриминация, кражба на самоличност или измама с фалшива самоличност, финансови загуби, неразрешено премахване на псевдонимизацията, накърняване на репутацията, нарушаване на поверителността на лични данни, защитени от професионална тайна, или всякакви други значителни икономически или социални неблагоприятни последствия за засегнатите физически лица (съображение85 от ОРЗД). Рискът може да се изрази в профилиране, лишаване от права и свободи или от упражняване на контрол върху своите лични данни, както и в нарушени мерки за сигурност при обработка на чувствителни данни, обработка на данни за уязвими категории лица или на голям брой данни и лица.
5.4. Накрая АЛД следва да направи оценка на риска, която има две измерения: тежест на щетите и вероятността да настъпи събитието и произтичащите от това щети.
5.4.1. За определяне на тежестта следва да се вземат предвид:
• Категории засегнати данни– основни/ профилиращи/ финансови/ чувствителни/ биометрични/ позволяващи кражба на самоличност/ застрашаващи живота на лицето;
• Възможност за идентификация на субектите– не е възможна идентификация/ необходими си допълнителни данни или достъп до други системи/ директна идентификация;
• Засегнатите категории субекти– граждани/ деца/ лица в неравностойно положение;
• Брой засегнати субекти на данни;
• Повторяемост спрямо субекти и данни.
5.4.2. За определяне на вероятността да настъпи събитието следва да се вземат предвид:
• характера на нарушението– наличие на умисъл/ по непредпазливост/ случайност;
• действия на администратора– не може да се ограничи въздействието/ при определени действия се ограничава въздействието/ ограничени са последствията.
5.5. След определяне от АЛД на тежестта (по т.5.4.1.) и на вероятността (по т.5.4.2.) се получава оценката на риска, която може да бъде:
• нисък риск, т.е. няма риск за правата и свободите на субекти на данни, въпреки че е установено нарушение;
• среден риск– следва да се уведоми КЗЛД;
• висок риск – следва да се уведоми КЗЛД, както и засегнатите субекти на данни.
5.6. На подаденото от АЛД уведомление се извършва анализ съгласно приета от КЗЛД „Методика за определяне нивото на риска при нарушение на сигурността на личните данни” (Методиката). Методиката е вътрешен документ, подпомагащ работата по обработване на постъпващите в КЗЛД уведомления, приета на основание чл.62, ал.2, буква „в” от Правилника за дейността на КЗЛД и е налична на сайта на комисията тук.
6. Приложими мерки за минимизиране на неблагоприятните въздействия върху правата и свободите на субектите на данни.
6.1. От АЛД следва да се предприемат предварителни технически и организационни мерки за минимизиране вероятността от настъпване на нарушение на сигурността на данните– това са отделните аспекти на информационната сигурност, които, например, са заложени в ISO27001 – персонална сигурност, управление на активите, управление на достъпа, физическа сигурност, сигурност на комуникациите, криптографска сигурност, оперативна сигурност, управление на инцидентите, управление на доставчиците, управление на непрекъсваемостта на функциониране и поддържане на постоянно съответствие.
6.2. При настъпване на нарушение на сигурността на данните техническите и организационни мерки следва да се разделят на:
6.2.1. Действия за минимизиране вредите за субектите на данни в 72часовия период от настъпване/узнаване за нарушението на сигурността на данните
• проверка на вида нарушение – поверителност, цялостност, наличност;
• спиране на уязвимостта;
• възстановяване на услугата;
• уведомяване на засегнатите от нарушението субекти на данни;
• препоръки от АЛД за минимизиране вредите за засегнатите от нарушението субекти на данни.
6.2.2. Действия за минимизиране вредите за субектите на данни след72 часовия период от настъпване/узнаване за нарушението на сигурността на данните– това са приложимите мерки за минимизиране вероятността от настъпване на нарушение на сигурността на данните (по т.6.1.) от подобен характер без ненужно забавяне.
7. Документиране на нарушенията на сигурността на данните от АЛД/ОЛД – чл.33, параграф5 от ОРЗД.
7.1. Администраторът документира всяко нарушение на сигурността на личните данни, включително фактите, свързани с нарушението, последиците от него и предприетите действия за справяне с него. Вътрешното документиране е задължение на АЛД независимо от нивото на рисковете, свързани с нарушението, което е свързано и с принципа на отчетност. Всеки АЛД е длъжен да поддържа документацията в актуален вид и ако надзорният орган поиска да му осигури достъп до тази документация.
7.2. Процедура за документиране на нарушенията на сигурността на данните.
Всеки администратор трябва да разполага с разписани планове и процедури за реакция при нарушения на сигурността и да са ясни каналите за докладване и отговорните за това лица. Обучението и запознаването на персонала с тези процедури е от съществено значение, като се обръща специално внимание на най-новите тенденции и примери за кибератаки или други инциденти.
7.3. Съдържание на регистъра на нарушенията на сигурността на личните данни.
Този регистър е част от регистрите на дейностите по обработване, които трябва да поддържа АЛД/ОЛД, съгласно чл.30 от ОРЗД. Не е задължително да има отделен регистър на нарушенията, при условие че информацията е лесно разпознаваема и може да бъде предоставена при поискване.
Ключовите елементи, които следва да бъдат включени в регистъра на нарушенията са всички подробности, свързани с нарушението: причините за нарушението; какво точно се е случило; личните данни, които са били засегнати; последиците от нарушението, както и предприетите действия за справяне с него.
7.4. Документиране на решенията, взети от АЛД/ОЛД.
Администраторът трябва да документира своите решения, както и основанията за тяхно взимане, при реагиране на нарушението. Ако за дадено нарушение не се уведомява надзорния орган, следва да се документира и основанието за това решение. По същия начин следва да се документират и основанията, въз основа на които АЛД е приел, че няма вероятност нарушението да породи риск за правата и свободите на лицата, засегнати от нарушението, и които не са били информирани за него, включително и в хипотезата на чл.34, пар.3 от ОРЗД.
7.5. Срок за съхранение на документацията.
Регламентът не посочва срок за съхранение на документацията, но следва да се спазва принципа за ограничение на съхранението на личните данни докато това е необходимо.
Всеки АЛД/ОЛД следва да има предвид, че неизпълнение на задълженията по чл.33 и чл.34 от ОРЗД във връзка с нарушение на сигурността на данните, може да е основание надзорният орган да упражни всяко от правомощията си по член58 от ОРЗД– било за разследване (чл.58, пар.1 от ОРЗД), било корективните си правомощия (чл.58, пар.2 от ОРЗД), а така също и/или да наложи административно наказание глоба/имуществена санкция в съответствие с член83 от Регламента.
23.11.2021 г.
