Каква е процедурата при "нарушение на сигурността на личните данни" (изтичане на данни)?

Бърз отговор

При пробив или изтичане на данни (нарушение на сигурността), администраторът е длъжен да уведоми Комисията за защита на личните данни (КЗЛД) без ненужно забавяне, като приложимият стандарт е до 72 часа. При висок риск за правата на гражданите, администраторът трябва да информира и самите засегнати лица.
Проверено от Екипът на ПравниОтговори
Източници:

Детайли по темата

Задължително уведомяване на КЗЛД

Когато базата данни на една фирма или институция бъде хакната, лаптоп със списъци бъде откраднат или служител погрешка изпрати файл с чужди данни, това представлява “нарушение на сигурността на личните данни” (§ 1, т. 10 от Допълнителните разпоредби на ЗЗЛД).

При подобна ситуация администраторът няма право да прикрива инцидента. Съгласно чл. 67, ал. 1 от ЗЗЛД (и чл. 33 от пряко приложимия GDPR), администраторът е длъжен да уведоми Комисията за защита на личните данни без ненужно забавяне и, когато е осъществимо, не по-късно от 72 часа, след като е разбрал за нарушението. КЗЛД поддържа специален непубличен регистър на тези уведомления (чл. 15, ал. 2, т. 2 от ЗЗЛД).

Уведомяване на засегнатите граждани

Ако изтичането на данните може да породи висок риск за правата и свободите на засегнатите лица (например изтичане на финансови данни, ЕГН-та или медицински досиета), администраторът има второ задължение. Съгласно чл. 68 от ЗЗЛД, той трябва да съобщи за нарушението и на самите засегнати физически лица без ненужно забавяне, за да могат те да вземат предпазни мерки срещу злоупотреби.

Проверено от Екипът на ПравниОтговори

Проектът се реализира с подкрепата на Адвокат Стела Дойкова. Научете повече за нас.