Теч на лични данни – какви са задълженията ми и как да уведомя КЗЛД до 72 часа?

Теч на лични данни – кошмарният сценарий, за който трябва да съм подготвен

Хакерска атака. Изгубен лаптоп. Имейл, изпратен до грешен получател. Служител, изтеглил база данни на клиенти. Всичко това са примери за теч на лични данни – и всеки от тях може да се случи в моя бизнес. Въпросът не е дали ще се случи, а дали ще знам как да реагирам правилно, когато се случи.

GDPR е категоричен: при нарушение на сигурността на данните имам 72 часа да уведомя КЗЛД. Пропусна ли срока – получавам допълнителна санкция върху тази за самото нарушение. В тази статия ще обясня точно какво трябва да направя стъпка по стъпка.

Какво е "нарушение на сигурността на личните данни"?

GDPR дефинира нарушението на сигурността на данните като "нарушение на сигурността, което води до случайно или незаконосъобразно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни". На практика това включва три вида нарушения:

• Нарушение на поверителността – неразрешен или случаен достъп до лични данни или разкриването им. Пример: хакер е получил достъп до базата данни с клиентски имейли.
• Нарушение на целостта – неразрешена или случайна промяна на лични данни. Пример: злонамерен служител е редактирал клиентски записи.
• Нарушение на наличността – случайна или неразрешена загуба на достъп до лични данни. Пример: ransomware атака е криптирала всички файлове и нямам резервно копие.

Важно е да разбера: не всяко нарушение трябва да се докладва на КЗЛД. Ако нарушението вероятно няма да доведе до риск за правата и свободите на физическите лица – например изгубен флаш диск с анонимизирани данни – уведомяване не се изисква. Но трябва да документирам всяко нарушение вътрешно, независимо дали докладвам или не.

Случаят с НАП – уроците от най-голямата катастрофа с данни в България

Случаят с Националната агенция за приходите от 2019 г. е учебник по погрешно управление на нарушение на сигурността. Теч на лични данни на над 5 милиона български граждани – имена, ЕГН, доходи, адреси – беше разкрит не от НАП, а от хакерите сами, след като изпратиха данните на журналисти.

Резултатът: глоба от 5,1 милиона лева от КЗЛД – рекорд за България. Освен финансовата санкция, щетите за репутацията бяха неизмерими. За малкия и среден бизнес подобен сценарий може да е фатален.

За да разбера по-добре основните си задължения като администратор, препоръчвам да прочета: Каква отговорност нося като администратор на уеб сайт?

Задължението за уведомяване на КЗЛД в 72 часа

Чл. 33 от GDPR е ясен: при установено нарушение на сигурността на данните трябва да уведомя КЗЛД в рамките на 72 часа от момента, в който съм разбрал за него. Ако уведомлението не може да бъде изпратено в срок – трябва да го изпратя с обяснение на причините за забавяне.

Кога точно започва да тече 72-часовият срок?

Срокът започва да тече от момента, в който стана разумно сигурно, че е настъпило нарушение. Не е необходимо да знам всички детайли – достатъчно е да имам достатъчно информация, за да установя, че вероятно е имало нарушение. При разследване мога да изпратя първоначално уведомление с непълна информация и да го допълня по-късно.

Какво трябва да съдържа уведомлението до КЗЛД?

Съгласно чл. 33, ал. 3 от GDPR, уведомлението трябва да включва:

1. Описание на естеството на нарушението – какво точно се е случило, какви категории данни са засегнати, приблизителен брой засегнати лица и записи.
2. Данни за контакт – имена и координати на DPO или друго лице за контакт.
3. Вероятните последици – какъв е рискът за засегнатите лица (кражба на самоличност, финансова измама, дискриминация и т.н.).
4. Предприети или планирани мерки – какво съм направил или ще направя, за да овладея нарушението и да намаля последиците.

Кога трябва да уведомя и засегнатите лица?

Освен КЗЛД, при определени условия трябва да уведомя и самите засегнати лица – клиентите или служителите, чиито данни са изтекли. Задължението е по чл. 34 от GDPR и възниква, когато нарушението е вероятно да доведе до висок риск за правата и свободите им.

Примери за "висок риск":

• Изтичане на финансови данни (номера на банкови карти, сметки)
• Изтичане на здравословна информация
• Изтичане на пароли или данни за вход в системи
• Изтичане на данни, позволяващи кражба на самоличност (ЕГН + адрес + трите имена)

Уведомлението до засегнатите лица трябва да е ясно, разбираемо и без излишен жаргон. Трябва да обясня: какво се е случило, какви данни са засегнати, какви мерки предприемам и какво могат да направят хората, за да се защитят.

За да разбера какви са правата на хората, чиито данни обработвам: GDPR и лични данни - какви са правата на потребителите?

Кога НЕ е нужно да уведомявам засегнатите лица?

Има три случая, в които уведомяването на засегнатите лица може да се избегне:

• Данните са били криптирани по начин, който прави невъзможно разчитането им без ключа.
• Вече съм предприел мерки, елиминиращи вероятността от висок риск за субектите на данни.
• Уведомяването би изисквало несъразмерни усилия – в такъв случай КЗЛД може да изиска публично съобщение.

Как да подам уведомление до КЗЛД – стъпка по стъпка

Практически процесът по уведомяване на КЗЛД за теч на лични данни изглежда така:

1. Установи нарушението – веднага щом подозирам или установя нарушение, стартирам разследване и документирам всичко.
2. Оцени риска – дали нарушението може да засегне правата на физически лица? Ако не – само документирам вътрешно. Ако да – продължавам с уведомлението.
3. Попълни формуляра на КЗЛД – на сайта на КЗЛД (kzld.bg) е достъпен електронен формуляр за уведомяване за нарушения. Може да се подаде и по имейл или на хартия, но електронният начин е най-бърз.
4. Изпрати уведомлението в срок – в рамките на 72 часа. Ако не разполагам с пълна информация, изпращам частично уведомление и допълвам по-късно.
5. Уведоми засегнатите лица (ако рискът е висок) – "без ненужно забавяне".
6. Документирай всичко – чл. 33, ал. 5 изисква да водя регистър на всички нарушения, включително тези, за които не е необходимо уведомяване.

Какви превантивни мерки да предприема предварително?

Реакцията след нарушение е важна, но превенцията е многократно по-ефективна. Ето какво мога да направя, преди да е настъпил теч на лични данни:

Технически мерки

• Криптиране на данните – особено на преносими устройства и при трансфер на данни. Криптираните данни при изтичане не изискват уведомяване на засегнатите лица.
• Двуфакторна автентикация – за достъп до системи с лични данни.
• Редовни резервни копия – защита от ransomware и загуба на данни.
• Управление на достъпа – принципът на минималния достъп: всеки служител вижда само данните, от които се нуждае.
• Мониторинг и логове – системи, които следят за необичаен достъп до данни.

Организационни мерки

• Процедура за управление на нарушения – трябва да имам писмена процедура, описваща кой какво прави при теч на данни. Служителите трябва да знаят на кого да докладват веднага.
• Обучение на служителите – повечето течове на данни са резултат от човешка грешка.
• Договори с обработващи лични данни – доставчиците ми на облачни услуги, счетоводители и IT фирми трябва да ме уведомят за нарушения от тяхна страна в рамките на 24-48 часа, за да мога аз да спазя 72-часовия срок към КЗЛД.
• Регулярни одити – проверявам редовно дали системите и процедурите ми са актуални и ефективни.

За пълна защита на бизнеса ми е добре да имам и актуални общи условия и политики за поверителност, в които е описано как обработвам и защитавам личните данни на клиентите си. Ако тепърва ги изготвям или искам да ги актуализирам, мога да се обърна за професионални общи условия за онлайн магазин или уебсайт, съобразени с изискванията на GDPR.

Специфики за онлайн магазини

Ако управлявам онлайн магазин, рискът от теч на данни е особено висок – съхранявам имена, адреси, телефони, имейли и понякога платежна информация на хиляди клиенти. Препоръчвам да прочета: Лични данни - как да си ги защитя? и Какви са новите правила за защита на личните данни (GDPR)?

За платежните данни важи допълнителен стандарт за сигурност – PCI DSS – и е добра практика да не съхранявам номерата на карти в собствените си системи, а да разчитам на сертифицирани платежни доставчици.

Цялостна GDPR защита – не само реакция при теч

Управлението на нарушения е само един аспект от GDPR съответствието. За да съм наистина защитен, трябва да имам цялостна система: политика за поверителност, регистър на дейностите, процедури за права на субектите, договори с обработващи и редовно обучение на екипа.

За цялостно въвеждане на GDPR в бизнеса мога да потърся специализирана правна помощ и да получа персонализиран GDPR наръчник, съобразен с конкретната ми дейност и рискове.

Заключение

Теч на лични данни е реален риск за всеки бизнес – от стартиращ онлайн магазин до голяма корпорация. При настъпване на нарушение имам ясни задължения: да оценя риска, да уведомя КЗЛД в рамките на 72 часа, и при висок риск – да уведомя и засегнатите лица. Всичко трябва да е документирано.

Но най-важното е да не чакам нарушението да се случи. Превантивните технически и организационни мерки – криптиране, управление на достъпа, обучение, процедури – са многократно по-евтини от последиците от един сериозен теч на данни. Случаят с НАП е най-добрата илюстрация: 5,1 милиона лева глоба и неизмерими щети за репутацията.