Комисията за защита на личните данни започна да прилага редовно нови обстойни процедури в случай на уведомления за нарушения на сигурността на данните, изискващи сериозни ресурси. Те включват сложни въпросници, които надхвърлят обхвата на нарушението и се доближават до пълна проверка на дейностите по обработване на данни на администратора, както и обширни искания за предоставяне на документи и информация в кратки срокове.
Процедурата в случаите на нарушение на сигурността на данните в България включват следните стъпки:
1) Уведомяване за нарушаване на сигурността на данните
Уведомяването за нарушения на сигурността на данните в България се извършва чрез формуляр, публикуван от КЗЛД, в който освен информацията, изисквана съгласно чл. 33 от Общия регламент относно защитата на данните (ОРЗД, GDPR), се включва и оценка дали нарушението на сигурността на данните може да доведе до висок риск за правата и свободите на субектите на данни. Като първа стъпка КЗЛД разглежда информацията, предоставена в този формуляр.
2) Методология за измерване на нивото на риска
При получаване на уведомление за нарушение на сигурността КЗЛД използва Методология за измерване на нивото на риска за правата и свободите на субектите на данни. Според тази методология нивото на риска се оценява въз основа на:
1) тежест на въздействието
2) вероятност за настъпване на въздействието.
На основание резултата от оценката КЗЛД определя какви мерки да предприеме в следствие на уведомлението за нарушение. В съответствие с вътрешната инструкция на КЗЛД:
- при ниско ниво на риск КЗЛД изпраща известие, че е приела уведомлението за нарушение на сигурността на данните „за сведение“,
- при средно ниво на риск КЗЛД започва проверка по документи,
- при високо ниво на риск КЗЛД провежда проверка на място. Важно е да се отбележи, че съгласно Процедурния правилник на КЗЛД проверка на място може да бъде извършена във всички случаи.
3) Въпросници
Етапът от процедурата за нарушаване на сигурността на данните, който засяга в най-голяма степен администраторите, е, че КЗЛД публикува и започна да прилага обемни въпросници към администраторите. Тя ги изпраща в случаите на уведомления за нарушение на сигурността, ако прецени, че нивото на риска е средно или високо.
Основните обезпокояващи моменти са следните:
• На основание описаната по-горе методология КЗЛД може да реши, че рискът е среден или висок, дори в случаи, когато от практическа гледна точка въздействието на нарушението върху субектите на данни е съвсем малко. В някои случаи, дори ако са засегнати малко по обем данни или ограничен брой субекти на данни, КЗЛД пак може да поиска попълване на въпросници и изпращане на допълнителна информация и документи.
• Обхватът на въпросниците обикновено надхвърля обхвата на нарушението и съдържа десетки общи въпроси, а процедурата прилича повече на пълен одит на администратора, отколкото на проверка на конкретно нарушение.
Въпросникът изисква подробна информация не само за дейностите, засегнати от нарушението, но и обща информация за основните дейности и структурата на администратора, както и какви регистри по чл. 30 ОРЗД поддържа, правните основания за обработване, които прилага, категориите данни, които обработва, възлагането на дейностите по обработване на обработващи данните, обмена на данни между администраторите, предаването на данни и други. Цял раздел от въпросника е посветен на прилаганите технически и организационни мерки, включително конкретни въпроси относно специфични мерки за физическа, лична и документална защита и защита на автоматизираните информационни системи и/или мрежи и защита чрез криптиране. Пример: Въпросникът съдържа въпрос, в който се изисква описание на цялата изградена компютърна мрежа и информационните системи, използвани за обработката на лични данни.
• КЗЛД предоставя много кратък срок за предоставяне на цялата информация, обикновено седем дни.
• КЗЛД може да изпрати допълнителни въпроси след получаването на първата партида информация и отново да предостави кратък срок за отговор.
• КЗЛД може да изиска множество допълнителни документи, като например извършен от администратора анализ на риска, , уведомление, получено от обработващ личните данни, и други.
• Цялата информация трябва да бъде предоставена на български език, което допълнително затруднява международните дружества.
Основни изводи
Практиките на КЗЛД засягат всички администратори с дейност в България в случай на уведомяване на Комисията за нарушение на сигурността на данните. Освен това отбелязваме, че в съответствие с вътрешната инструкция на КЗЛД е възможно Комисията да започне да изпраща описаните подробни и затрудняващи въпросници не само при нарушения, но и при жалби и сигнали от субекти на данни.
*Този текст е публикуван първо в Newsletter for Google Hubs, изготвен от Traple Konarski Podrecki i Wspólnicy.