Какви са правилата за уведомяване при пробив в защитата?

Член 33 въвежда изискването за уведомяване на регулатора в случай на пробив в защитата на информацията в случай на пробив в системата. Уведомяването трябва да стане не по-късно от 72 часа след установяването на пробива.

Член 34 реферира към комуникирането на пробиви в системите за съхранение на информация към субектите на данни по следния начин:

Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, администраторът, без ненужно забавяне, съобщава на субекта на данните за нарушението на сигурността на личните данни.

Как може да се защитите?

Посоченото в параграф 1 съобщение до субекта на данните не се изисква, ако някое от следните условия е изпълнено:

a) администраторът е предприел подходящи технически и организационни мерки за защита и тези мерки са били приложени по отношение на личните данни, засегнати от нарушението на сигурността на личните данни, по-специално мерките, които правят личните данни неразбираеми за всяко лице, което няма разрешение за достъп до тях, като например криптиране;

b) администраторът е взел впоследствие мерки, които гарантират, че вече няма вероятност да се материализира високият риск за правата и свободите на субектите на данни, посочен в параграф 1;

c) то би довело до непропорционални усилия. В такъв случай се прави публично съобщение или се взема друга подобна мярка, така че субектите на данни да бъдат в еднаква степен ефективно информирани.

Редица проучвания показват, че колкото по-рано се съобщи за нарушение в сигурността на личните данни, толкова по-големи са последиците за организацията, станала жертва на пробива.