Отговор
Нарушение на сигурността на данни възниква, когато данните, за които Вашето дружество/организация отговаря, са засегнати от инцидент със сигурността, в резултат на който се нарушава поверителността, наличието или целостта. Ако това се случи и има вероятност нарушението да представлява риск за правата и свободите на дадено лице, Вашето дружество/организация трябва да уведоми надзорния орган без ненужно забавяне и най-късно до 72 часа, след като сте узнали за нарушението. Ако Вашето дружество/организация е обработващ данни, то трябва да уведоми администратора на данни за всяко нарушение на сигурността на данните.
Ако нарушението на сигурността на данните представлява висок риск за засегнатите лица, всички те също трябва да бъдат информирани,освен ако не са въведени ефективни технически и организационни мерки за защита или други мерки, които гарантират, че вече няма вероятност рискът да се случи на практика.
За вас като организация е жизненоважно да приложите подходящи технически и организационни мерки, за да се избегнат възможни нарушения на сигурността на данните.
Примери
Организацията трябва да уведоми ОЗД и физическите лица
Данните на служителите на текстилно дружество са разкрити. Данните включват личните адреси, членове на семейството, месечната заплата и медицински бележки на всеки служител. В този случай текстилното дружество трябва да информира надзорния орган за нарушението. Тъй като личните данни включват чувствителни данни, като например данни за здравословното състояние, дружеството трябва да уведоми и служителите.
Болничен служител решава да копира данните на пациентите на компактдиск и да ги публикува онлайн. Болницата разбира за това няколко дни по-късно. Веднага след като болницата разбере, тя има 72 часа, за да информира надзорния орган, и тъй като личните данни съдържат чувствителна информация, като например дали даден пациент е болен от рак, дадена пациентка е бременна и т.н., тя трябва да информира и пациентите. В този случай би било под въпрос дали болницата е въвела подходящи технически и организационни мерки за защита. Ако тя действително е въвела подходящи мерки за защита (напр. криптиране на данните), би било малко вероятно рискът да се осъществи и тя би могла да бъде освободена от изискването за уведомяване на пациентите.
Дружеството трябва да уведоми клиентите, а те могат след това да уведомят ОЗД и физическите лица
Дружество, предлагащо услуги „в облак“, губи няколко твърди диска, които съдържат лични данни, принадлежащи на няколко от неговите клиенти. То трябва да уведоми тези клиенти, веднага щом узнае за нарушението. Неговите клиенти трябва да уведомят ОЗД и физическите лица в зависимост от данните, които са били обработени от обработващия данни.
Позовавания
Examples
Organisation must notify the DPA and individuals
The data of a textile company’s employees has been disclosed. The data included the personal addresses, family composition, monthly salary and medical claims of each employee. In that case, the textile company must inform the supervisory authority of the breach. Since the personal data includes sensitive data, such as health data, the company has to notify the employees as well.
A hospital employee decides to copy patients’ details onto a CD and publishes them online. The hospital finds out a few days later. As soon as the hospital finds out, it has 72 hours to inform the supervisory authority and, since the personal details contain sensitive information such as whether a patient has cancer, is pregnant, etc., it has to inform the patients as well. In that case, there would be doubts about whether the hospital has implemented appropriate technical and organisational protection measures. If it had indeed implemented appropriate protection measures (for example encrypting the data), a material risk would be unlikely and it could be exempt from notifying the patients.
Company must notify clients and they may then have to notify the DPA and individuals
A cloud service loses several hard drives containing personal data belonging to several of its clients. It has to notify those clients as soon as it becomes aware of the breach. Its clients must notify the DPA and the individuals depending on the data that was processed by the data processor.