Какви са правилата за уведомяване при пробив в защитата?
Член 33 въвежда изискването за уведомяване на регулатора в случай на пробив в защитата на информацията в случай на пробив в системата. Уведомяването трябва да стане не по-късно от 72 часа след установяването на пробива.
Член 34 реферира към комуникирането на пробиви в системите за съхранение на информация към субектите на данни по следния начин:
Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, администраторът, без ненужно забавяне, съобщава на субекта на данните за нарушението на сигурността на личните данни.
Как може да се защитите?
Посоченото в параграф 1 съобщение до субекта на данните не се изисква, ако някое от следните условия е изпълнено:
a) администраторът е предприел подходящи технически и организационни мерки за защита и тези мерки са били приложени по отношение на личните данни, засегнати от нарушението на сигурността на личните данни, по-специално мерките, които правят личните данни неразбираеми за всяко лице, което няма разрешение за достъп до тях, като например криптиране;
b) администраторът е взел впоследствие мерки, които гарантират, че вече няма вероятност да се материализира високият риск за правата и свободите на субектите на данни, посочен в параграф 1;
c) то би довело до непропорционални усилия. В такъв случай се прави публично съобщение или се взема друга подобна мярка, така че субектите на данни да бъдат в еднаква степен ефективно информирани.
Редица проучвания показват, че колкото по-рано се съобщи за нарушение в сигурността на личните данни, толкова по-големи са последиците за организацията, станала жертва на пробива.