Нарушение на сигурността на данните по смисъла на GDPR (ОРЗД) и ЗЗЛД може да е налице при онлайн или офлайн пробив в сигурността. За да е налице пробив или изтичане, трябва да сме изправени пред един или няколко от следните резултати:
- Унищожаване – данните не могат вече да бъдат изцяло или частично разчетени, напр. лоши или форматирани сектори на твърд диск или изгорени хартиени документи
- Загуба – данните са налични, но администраторът няма достъп до тях, напр. кражба на компютър или изгубена от служител по път за работа флашка
- Промяна – данните са налични, но неточни, напр. злонамерено променени стойности на резултати от медицински изследвания, счетоводни одити, IBAN номера на банкови сметки и др., осъществени от неоторизирано лице
- Неразрешено разкриване – данните са непокътнати и администраторът има достъп до тях, но са нерегламентирано разпространени, вкл. публично, въпреки че са поверителни, напр. публикуване в онлайн пространството на откраднати от болница здравни досиета на пациенти, номера на кредитни карти, потребителски имена и пароли и т.н.
- Достъп – същото като по предходната точка, с тази разлика, че не са разпространени, напр. хакер или неоторизирано лице са прочели трудовите договори или служебната имейл кореспонденция на служители в дадена фирма, без да ги правят достояние на трети лица
Офлайн пробивът може да бъде констатиран на практика безпогрешно и в повечето случаи включва човешка намеса – напр. кражба на документи, лаптоп, компютърна конфигурация, NAS сървър, твърд диск (HDD/SSD), оптичен диск (CD/DVD), флаш памет (USB storage) и др. аналогови или цифрови носители, но може да е и напр. резултат от природни или други бедствия като пожар или наводнение. Пробивът може да засегне както цифрови носители, върху които са записани данни, като изброените по-горе, така и аналогови, напр. разпечатани на хартия същите тези данни. Крадецът може да открадне както флашка, на която са записани лични данни на служители, така и класьор с принтирани на хартия същите тези данни, а в резултат на пожар или наводнение могат да бъдат безвъзвратно повредени и двата вида (цифров и аналогов) носители, върху които са записани лични данни.
Онлайн пробивите изискват повече технически знания, но са и по-опасни, защото много често остават незабелязани. Ако дадено лице осъществи неоторизиран достъп до данни офлайн, напр. в архива на фирмата, до което помещение няма право на достъп, поведението му може да бъде забелязано от служители във фирмата или от охраната, оперираща CCTV видеонаблюдение. В аналогична ситуация, но в онлайн среда, неоторизираното лице (хакер) може да осъществи достъп до поверителни лични данни в много случаи напълно незабелязано, особено ако фирмената мрежа, хардуер и софтуер не се поддържат професионално, напр. неправилно конфигуриран файъруол (firewall), липса на антивирусна защита, лог файлове (log files), които се изтриват автоматично в много кратки срокове и т.н.
Ако сигурността на личните данни е била нарушена, чл. 33 от GDPR изисква надзорният орган, в случая Комисията за защита на личните данни (КЗЛД), да бъде уведомен в 3-дневен срок (72 часа) от администратора на лични данни. Ако обработващ лични данни установи пробив, следва да уведоми администратора, който от своя страна пък да уведоми КЗЛД. Ако бъде установено, че е налице висок риск, следва да бъдат уведомени и съответните субекти на лични данни. Пробивът задължително трябва да бъде отбелязан в регистъра на нарушенията на сигурността на личните данни, които администраторът е длъжен да води. Задължително следва да бъде уведомено длъжностното лице по защита на данните (ДЛЗД или DPO), ако такова е било назначено. Ако не е било назначено, препоръчителна е незабавна консултация със и съдействие от специалист в материята на защитата на личните данни, защото неговият опит, преценка и съвети могат да спестят много хиляди левове санкции (максимално до 10 млн. евро или 2% от годишния оборот съгласно GDPR), които могат да бъдат наложени от надзорния орган дори само за неуведомяване или некоректно уведомяване.
Ето и част от въпросите, от отговора на които зависи дали е налице нарушение на сигурността на личните данни и ако е, каква е неговата тежест и респ. вероятна имуществена санкция в ущърб на администратора на лични данни:
- Съставлява ли дадено злонамерено или неоторизирано действие нарушение на сигурността на личните данни. Защото е възможно да е успешно осъществена хакерска атака, но същата да не съставлява нарушение по смисъла на GDPR, напр. един от най-популярните типове хакерски атаки (DDoS) може само временно да доведе до загуба на достъп до данни.
- Съществува ли вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица. Ако бъде направена правилна, професионална и юридически издържана преценка, че няма риск за субектите на данни, тогава органът може да не бъде уведомяван.
- Представлява ли нарушението на сигурността на данните висок риск за засегнатите лица – субекти на данни. Ако представлява, същите следва да бъдат уведомени, в допълнение към уведомлението до КЗЛД.
- Каква информация да бъде първоначално предоставена на надзорния орган. Защото законът допуска поетапно предоставяне на информация на органа, което може да е от неимоверно голяма полза за администратора, ако знае как да се възползва.
- Описание на нарушението и евентуалните негови последици. Ако нарушението е повече от категорично доказано и не подлежи на никакво съмнение, как точно ще бъде описано то е може би най-важният за администратора на лични данни въпрос, който има пряка връзка с неговата имуществена отговорност и потенциалните санкции, които може да му бъдат наложени. Едно би било положението, ако вирус или друг малуер (malware), напр. троянски кон (trojan), ренсъмуер (ransomware) и др., единствено форматира хард диска на заразен компютър, но съвсем друго, ако се разпрати до всички имейл контакти на заразен компютър и оттам инфектира и нанесе допълнителни поражения. От значение също така са и много други въпроси, вкл. дали напр. е налице бекап (backup) сървър и дали същият е локален или облачен (cloud), дали даден вирус е полиморфен, дали данните са били симетрично или асиметрично криптирани, дали за даден ренсъмуер има наличен декриптор (decryptor) и т.н.
- Описание на предприетите от администратора мерки. Това е въпрос, който е почти изцяло в компетентността на IT специалистите или IT отдела на администратора на лични данни, но не бива да се неглижира и правилното описание на предприетите мерки. Защото същите може да са на практика най-ефективните, но ако не са добре законово обосновани, това може да доведе до значително по-неприятни за администратора последици.