Глава X

Нарушение на сигурността на данните. Средства за правна защита срещу нарушения

Чл. 33. (1) Всички служители са длъжни да докладват на ДЛЗД за всяко нарушение на сигурността на личните данни, свързани с нарушаване на:

  1. Поверителността – когато има неразрешено или случайно разкриване на данни или на достъп до лични данни;
  2. Достъпността/наличността – при случайна или неразрешена загуба на достъп или унищожаване на лични данни;
  3. Интерниста – когато има неразрешено или случайно изменение на  личните данни.

(2) При докладвано нарушение ДЛЗД предприема незабавни действия по действителното му установяване и анализ на възможните последици за отделните лица.

Чл. 34. (1) ДЛЗД изготвя уведомление за нарушение на сигурността на личните данни до Комисията за защита на личните данни без ненужно забавяне и не по-късно от 72 часа, след като е узнал за нарушението. При необходимост от провеждане на допълнителна проверка е необходимо получаване на съгласие от надзорния орган за срока и начина на предоставяне на допълнителната информация;

(2)     ДЛЗД изготвя уведомление за нарушение на сигурността на личните данни до субекта на данни, който разполага със средствата за защита и може да търси отговорност за причинените му вреди по реда на Закона за защита на личите данни;

(3)     В случаите на установяване на нарушение на сигурността на личните данни от обработващ, същият подава уведомление до администратора на лични данни за нарушение на сигурността в което описва естеството на нарушението, засегнатите данни и субекти, последиците от нарушението, предприетите технически и организационни мерки и изисква от администратора да посочи евентуални допълнителни мерки за сигурност;

(4)     ДЛЗД документира всяко нарушение на сигурността на личните данни, включително фактите, свързани с нарушението на сигурността на личните данни, последиците от него и предприетите действия за справяне с него, като същевременно води отделен регистър, в който задължително се вписват:

  1. Предполагаемото време или период на възникване;
  2. Времето на установяване;
  3. Времето на докладване и името на служителя, извършил доклада;
  4. Последствията от инцидента;
  5. Мерките, които са предприети за отстраняването им.