Задълженията на администраторите при нарушения на сигурността на личните данни
адв. Димитър Джутев,
адв. Цвета Спартанска
В началото на седмицата няколко медийни редакции получиха идентични имейли, разпространени от хакер. Имейлите съдържаха значителен по обем масив - лични данни за около 6 млн. български граждани (4.66 млн. живи и 1.38 починали). Сред личните данни са имена, ЕГН, адреси, данни за доходи, плащания по заеми, номера на превозни средства, граждански договори, IP адреси и дори данни за лица, играещи хазартни игри. Беше установено, че данните са свалени от сървъри на Национална агенция по приходите (НАП), като е използвана уязвимост на една от електронните услуги на агенцията - за възстановяване на ДДС, платен в чужбина.
Безпрецедентната хакерска атака и изтичането на данни от държавната администрация безспорно засягат националната сигурност. Характерът на данните обаче пренася събитието и в приложното поле на Закона за защита на личните данни (ЗЗЛД) и Общия регламент относно защитата на данните (GDPR).
Съгласно чл. 4 от GDPR нарушението на сигурността на личните данни е такова нарушение, което “води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин”. Съгласно изнесената в публичното пространство информация са предприети активни действия за установяване на хакерите, извършили пробива, както и за отстраняване на уязвимостите в информационната сигурност на НАП. За момента обаче липсват данни за предприети действия от страна на НАП в съответствие със задълженията им съгласно ЗЗЛД и GDPR. Комисията за защита на личните данни (КЗЛД) обяви, че започва производство спрямо НАП, като предстои да бъде предоставена повече информация за неговия ход. Съгласно предвидените в GDPR санкции НАП може да бъде глобена до 20 млн. евро за извършения пробив в системите ѝ.
В настоящото изложение ще направим преглед на задълженията на администраторите на лични данни, пораждащи се при нарушения в сигурността на обработваните от тях данни.
Превенция и последващи действия
Администраторите и обработващите лични данни следва преди всичко да положат достатъчно усилия за ограничаване на рисковете от настъпване на нарушения на сигурността, като прилагат “подходящи технически и организационни мерки”, съобразени с естеството, обхвата, контекста и целите на обработване на данните. При получаване на информация за предполагаемо или действително нарушение следват да предприемат незабавни действия по: установяване или потвърждаване на събитието, определяне на вида и параметрите му, разследване на причините, установяване на необходимите мерки за ограничаване или преодоляване на последствията, съставяне на план за действие, координиране на взаимодействието с компетентните органи и, не на последно място, документиране на всички текущи действия.
Уведомяване на надзорния орган при нарушение на сигурността
Чл. 33 от GPDR предвижда срок от 72 часа за уведомяване на компетентния надзорен орган, като срокът започва да тече от установяването на конкретното нарушение (в случай че уведомлението се подава след установения срок се посочват причините за това). Уведомлението трябва да съдържа информация за: лицето за контакт, естеството на нарушението, кръга на засегнатите субекти, обема на засегнатите записи на лични данни, евентуалните последици, предприетите или предложените мерки за справяне с нарушението.
С оглед предвидения кратък срок за уведомяване в Регламента се предвижда задължение за обработващите лични данни за уведомяване на съответните администратори без ненужно забавяне при установяване на нарушение на сигурността по отношение на обработването, извършвано от тях. Конкретни договорености по отношение на дължимото поведение на обработващите лични данни при нарушения на сигурността могат да се предвидят в сключвания между страните договор или друг правен акт.
Уведомление до надзорния орган не се дължи за всяко нарушение, а за тези, при които съществува вероятност събитието да породи риск за правата и свободите на физическите лица. Указания за извършването на оценката на този риск се съдържат в утвърдените от Европейския комитет за защита на данните (ЕКЗД) Насоки относно уведомяването за нарушения на сигурността на личните данни.
Уведомяване на субектите на лични данни
Уведомяване на субектите на лични данни без ненужно забавяне се дължи, когато съществува вероятност нарушението да породи висок риск за правата и свободите на субектите на лични данни. При определяне степента на риска администраторът отново следва да прилага приетите от ЕКЗД насоки (в зависимост от естеството на данните нанесените вреди могат да бъдат особено сериозни и нарушението може да доведе до кражба на самоличност, телесна повреда, психологически стрес, унижение или накърняване на репутацията).
Уведомление до засегнатите лица не се изисква, когато администраторът е предприел подходящи мерки за защита на данните и същите са неразбираеми (например когато е осъществено криптиране на данните или въвеждане на токени) или когато приложените мерки гарантират, че няма вероятност високият риск да се материализира. В случаите когато уведомяването на всеки субект поотделно би довело до непропорционални усилия за администратора, се предвижда, че съобщението може да се направи публично. Субектите на лични данни следва да бъдат уведомени за събитието по разбираем и достъпен начин. Администраторите разполагат с възможността се обърнат за съдействие към надзорния орган за съвет относно уведомяването, вида на подходящите съобщения и оптималния канал за контакт със засегнатите лица.
Често администраторите и обработващите лични данни инвестират повече време и усилия в превенцията на самите нарушения на сигурността, отколкото в създаването на правила и процедури за действия след самото установяване на извършеното нарушение. Интегрирането на вътрешни механизми за последващи действия, оценка на риска и уведомяване на надзорните органи и засегнатите субекти на данни е съществен аспект от дължимото поведение на отговорните лица и предпоставка за значително по-адекватна и навременна реакция след установяване на нарушения на сигурността на данните.
---------------------
Автори:
адв. Димитър Джутев, LL.M., съдружник в Адвокатско дружество “Георгиева и Джутев”, dzhutev@gdlaw.bg
адв. Цвета Спартанска, адвокат в Адвокатско дружество “Георгиева и Джутев”, spartanska@gdlaw.bg
Важна забележка!
Настоящото изложение не съставлява правно становище, препоръка за действия или бездействия. То отразява единствено мнението на авторите.
Винаги търсете правна помощ и съдействие по конкретни въпроси от своята дейност.
Илюстрация: Computer photo created by freepik - www.freepik.com
Настоящото изложение има информативен и опознавателен характер. Изразява личното професионално мнение на авторите на сайта и не представлява конкретен съвет или консултация