ПРОЦЕДУРА ПО УВЕДОМЯВАНЕ ЗА НАРУШЕНИЕ НА СИГУРНОСТТА НА ЛИЧНИТЕ ДАННИ

I. Предназначение на процедурата 

Тази процедура се прилага в случай на нарушение на сигурността на личните данни и съдържа правилата за:

  • уведомяване на Комисията за защита на личните данни (КЗЛД) за нарушение на сигурността на личните данни;
  • съобщаване на субекта на данните за нарушение на сигурността на неговите лични данни.

II. Нормативна уредба

  • Член 33 и член 34 от Общия регламент за защита на данните (ОРЗД).

III. Задължения и роли

Всички лица,  свързани със СНЦ АРТ ЦЕНТЪР ТОЧНО ВРЕМЕ (служители, контрагенти и партньори, временно наети лица) трябва да са запознати и да прилагат настоящата процедура, в случай на нарушение на сигурността на личните данни.

Всички служители, контрагенти и партньори, временно наети лица, са длъжни да докладват на член на Управителния съвет на СНЦ АРТ ЦЕНТЪР ТОЧНО ВРЕМЕ за всяко нарушение на сигурността на личните данни.

IV. Ход на процедурата

1. Процедура по уведомяване на СНЦ АРТ ЦЕНТЪР ТОЧНО ВРЕМЕ

Всеки обработващ личните данни, без изключение, с когото СНЦ АРТ ЦЕНТЪР ТОЧНО ВРЕМЕ има договорни отношения, уведомява Управителния съвет на СНЦ АРТ ЦЕНТЪР ТОЧНО ВРЕМЕ, без ненужно забавяне и по възможност не повече от 36 часа от узнаването, за всяко нарушение на сигурността на личните данни или за какъвто и да било друг инцидент, свързан със сигурността на данните.

Съобщението се изпраща на имейл info@tochnovreme.org, като в него се посочват всички необходими детайли и данни във връзка с осъщественото нарушение.

Управителният съвет на сдружението изпраща потвърждение за получаване на уведомлението на имейл адреса, от който е получено съобщението.

2. Процедура по уведомяване на надзорния орган

2.1. СНЦ АРТ ЦЕНТЪР ТОЧНО ВРЕМЕ прави преценка дали е необходимо да се уведоми надзорния орган за нарушението. Съгласно член 33, параграф 1 от ОРЗД, не е необходимо да се изпраща уведомление, ако не съществува вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица. За целта СНЦ АРТ ЦЕНТЪР ТОЧНО ВРЕМЕ извършва оценка на въздействието на нарушението.

2.2. Ако установи, че съществува риск за правата и свободите на субектите на данни, СНЦ АРТ ЦЕНТЪР ТОЧНО ВРЕМЕ уведомява Комисията за защита на личните данни за нарушението на сигурността на личните данни, без ненужно забавяне и не по-късно от 72 часа след като е узнало за него. В случай, че уведомлението не е направено в рамките на 72 часа, Управителният съвет на СНЦ АРТ ЦЕНТЪР ТОЧНО ВРЕМЕ уведомява КЗЛД при първа възможност, като към уведомлението в допълнение излага причините за забавянето.

2.3. Уведомлението до КЗЛД съдържа следната информация:

– описание на естеството на нарушението на сигурността на личните данни;

– категориите лични данни, засегнати от нарушението;

– категориите и приблизителния брой на засегнатите субекти на данни;

– приблизителното количество на засегнатите записи на лични данни;

– имената и контактните данни на членовете на Управителния съвет на сдружението;

– описание на последиците от нарушението на сигурността;

– предприетите или предложените от СНЦ АРТ ЦЕНТЪР ТОЧНО ВРЕМЕ мерки за справяне с нарушението.

2.4. Когато и доколкото не е възможно цялата необходима информация да се подаде едновременно, тя се подава поетапно, без по-нататъшно ненужно забавяне. Уведомлението до КЗЛД се изпраща съобразно указания от комисията ред и начин на комуникация.

2.5. СНЦ АРТ ЦЕНТЪР ТОЧНО ВРЕМЕ записва информация относно потвърждението от страна на КЗЛД за получаването на уведомлението.

3. Процедура по изпращане на съобщение до субекта на данните

3.1. Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на субекти на данните, СНЦ АРТ ЦЕНТЪР ТОЧНО ВРЕМЕ, без ненужно забавяне, съобщава на засегнатите субекти на данните за нарушението.

3.2. Съобщението до субекта/ите на данни съдържа същата информация, която се изпраща и до КЗЛД и е посочена в т. 2.3 от настоящата поцедура.

Информацията се предоставя на ясен, прост и разбираем български език.

V. Предприемане на мерки от СНЦ АРТ ЦЕНТЪР ТОЧНО ВРЕМЕ за справяне с нарушението

В срок от 36 часа от узнаването на нарушението, СНЦ АРТ ЦЕНТЪР ТОЧНО ВРЕМЕ предприема всички подходящи мерки да направи личните данни неразбираеми за всяко лице, което няма разрешение за достъп до тях, като ги криптира или защити с пароли.

В срок от 36 часа от узнаването на нарушението, СНЦ АРТ ЦЕНТЪР ТОЧНО ВРЕМЕ предприема последващи мерки, които да гарантират, че няма вероятност да се материализира висок риск за правата и свободите на субектите на данни.

Ако нарушението засяга голям брой субекти на данни и записи на лични данни, СНЦ АРТ ЦЕНТЪР ТОЧНО ВРЕМЕ взема решение, основано на оценка на количеството усилия, необходими за уведомяване поотделно на всеки субект на данни и на това дали по този начин би била възпрепятствана способността на СНЦ АРТ ЦЕНТЪР ТОЧНО ВРЕМЕ да изпрати навреме нужните съобщения.

Когато тази оценка покаже, че съобщаването до голям брой субекти би довело до непропорционални усилия, то СНЦ АРТ ЦЕНТЪР ТОЧНО ВРЕМЕ прави публично съобщение на своята интернет страница или взема друга подобна мярка, с която да гарантира, че субектите на данни ще бъдат в еднаква степен ефективно информирани.

Ако СНЦ АРТ ЦЕНТЪР ТОЧНО ВРЕМЕ не е съобщило на субекта/ите на данните за нарушението на сигурността на личните данни и КЗЛД счита и му даде изрични указания, че има голяма вероятност нарушението да породи висок риск, СНЦ АРТ ЦЕНТЪР ТОЧНО ВРЕМЕ съобщава на субекта/ите на данните за нарушението в срок до 24 часа. СНЦ АРТ ЦЕНТЪР ТОЧНО ВРЕМЕ документира всички нарушения на сигурността на личните данни, като посочва отнасящите се до тях факти, последиците и предприетите мерки за смекчаване на тяхното въздействие.