Насоки за защита на данните — въпрос 11

Назад към основната страница на насоките за организаторите относно защитата на данните

Насоки за защита на данните — въпрос 11

Какво трябва да направите в случай на нарушение на сигурността на личните данни?  

Важи за сценарий 2 освен по отношение на използването на услугата на Комисията за обмен на файлове.

Нарушение на сигурността на лични данни означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват.

Уведомяване за нарушение на сигурността на данни

В случай на нарушение на сигурността на личните данни представителят на групата на организаторите трябва без забавяне и по принцип не по-късно от 72 часа, след като е узнал за него, да уведоми за нарушението компетентния орган за защита на данните, освен ако не съществува вероятност то да породи риск за правата и свободите на физическите лица.

Уведомлението трябва да съдържа най-малко следното:

• описание на нарушението на сигурността на данните, включително броя на засегнатите поддръжници и категориите засегнати данни
• името и координатите за връзка на длъжностното лице по защита на данните (или друго имащо отношение звено за контакт)
• евентуалните последици от нарушението на сигурността на данни, като се вземе предвид предметът
• всички мерки, предприети от администратора за отстраняване на нарушението или смекчаване на последиците от него.

Когато не е възможно информацията да бъде предоставена едновременно, тя може да бъде предоставена на етапи без забавяне.

Представителят трябва също така да документира фактите, последиците от тях и вече предприетите действия за справяне с нарушението (или действията, които трябва да бъдат предприети спешно, като осигури тяхното планиране).

Рискове за правата и свободите

Освен това, когато има вероятност нарушението да породи висок риск за правата и свободите на поддръжниците, те трябва да бъдат информирани, освен когато:

• с приложените мерки (например криптиране, при условие че ключът не е компрометиран) данните са направени неразбираеми или се гарантира, че вече няма вероятност рисковете да се материализират, или
• индивидуални съобщения до поддръжниците биха изисквали непропорционални усилия. В такъв случай вместо това може да се направи публично известие за нарушението, чрез което поддръжниците да бъдат информирани.

ЗАБЕЛЕЖКА: 

В случай на обработване на данни при съвместно администриране на лични данни с Комисията и освен ако нарушението на сигурността на данните се дължи на поведението на членовете на групата на организаторите, горепосочените задължения се изпълняват от Комисията. Групата на организаторите следва да подпомага, ако е необходимо и доколкото е възможно, Комисията при управлението на нарушенията на сигурността на личните данни.

Относими разпоредби:

• членове 33 и 34 от ОРЗД
• отговор от Комисията на въпроса какво представлява нарушение на сигурността на данните и какво следва да бъде направено в случай на нарушение на сигурността на данните