Начало
»
Правна рамка
» Инструкция № 1 от 21 декември 2016 г. за обстоятелствата, при които предприятията, предоставящи обществени електронни съобщителни услуги, уведомяват потребителите за нарушения на сигурността на личните данни, формата и начина на уведомяването
Инструкция № 1 от 21 декември 2016 г. за обстоятелствата, при които предприятията, предоставящи обществени електронни съобщителни услуги, уведомяват потребителите за нарушения на сигурността на личните данни, формата и начина на уведомяването
Глава първа
ОБЩИ ПОЛОЖЕНИЯ
Чл. 1. С тази инструкция се определят обстоятелствата, при които предприятията, предоставящи обществени електронни съобщителни услуги, уведомяват потребителите за нарушения на сигурността на личните им данни, формата и начина на уведомяването.
Чл. 2. Инструкцията се отнася до всички предприятия, които са вписани в публичния регистър на предприятията по чл. 33, ал. 1, т. 1 от Закона за електронните съобщения (ЗЕС), поддържан от Комисията за регулиране на съобщенията.
Глава втора
ОБСТОЯТЕЛСТВА, ПРИ КОИТО ПРЕДПРИЯТИЯТА, ПРЕДОСТАВЯЩИ ОБЩЕСТВЕНИ ЕЛЕКТРОННИ СЪОБЩИТЕЛНИ УСЛУГИ, УВЕДОМЯВАТ ПОТРЕБИТЕЛИТЕ ЗА НАРУШЕНИЯ НА СИГУРНОСТТА НА ЛИЧНИТЕ ДАННИ
Чл. 3. (1) В случай на нарушение на сигурността на личните данни по смисъла на § 1, т. 34а от допълнителните разпоредби на ЗЕС, което може да повлияе неблагоприятно на лични данни или на неприкосновеността на личния живот на абонат или на друго физическо лице, предприятието, при което е настъпило нарушението на сигурността, уведомява своевременно съответното лице за нарушението, но не по-късно от три дни от установяването му.
(2) Предприятието не уведомява абоната или друго физическо лице, в случай че Комисията за защита на личните данни (КЗЛД) е приела, че предприятието е предприело предхождащи подходящи технологични мерки за защита на сигурността на личните данни – обект на нарушението, при условията на чл. 261в, ал. 3 ЗЕС.
(3) В случаите по ал. 1 след разглеждане на възможните неблагоприятни последици от нарушението КЗЛД може да възложи на предприятието да уведоми съответните неуведомени засегнати лица по ал. 1.
Чл. 4. Извън случаите по чл. 3, ал. 2 предприятието не извършва уведомяване и когато са налице обстоятелствата по чл. 3, параграф 5 от Регламент (ЕС) № 611/2013 на Комисията от 24 юни 2013 г. относно мерките, приложими за съобщаването на нарушения на сигурността на личните данни съгласно Директива 2002/58/ЕО на Европейския парламент и на Съвета за правото на неприкосновеност на личния живот и електронни комуникации.
Чл. 5. При определянето, че дадено нарушение на сигурността на личните данни може да повлияе неблагоприятно на лични данни или на неприкосновеността на личния живот на абонат или на друго физическо лице, предприятието отчита следните обстоятелства:
1. категориите лични данни – обект на нарушение на сигурността, като данни по чл. 5, ал. 1 от Закона за защита на личните данни; данни по чл. 248, ал. 2 ЗЕС; данни по чл. 3, параграф 2, буква „а“ от Регламент (ЕС) № 611/2013; данни в широкомащабни регистри на лични данни по смисъла на Наредба № 1 от 2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни на КЗЛД и данни за лица, заемащи висши държавни и други длъжности по смисъла на Закона за публичност на имуществото на лица, заемащи висши държавни и други длъжности; биометрични данни по смисъла на чл. 4, т. 14 от Регламент (ЕС) 2016/679 на Eвропейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (общ регламент относно защитата на данните); данни, чието обработване съгласно решение на КЗЛД застрашава правата и законните интереси на физическите лица;
2. характера на нарушението на сигурността на личните данни и вероятните последици от него за засегнатия абонат или друго физическо лице като някоя от последиците, посочени в чл. 3, параграф 2, буква „б“ от Регламент (ЕС) № 611/2013; загуба на данни; незаконно унищожаване; нерегламентиран достъп; трайни здравословни увреждания или смърт на група физически лица или на отделно физическо лице по смисъла на Наредба № 1 от 2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни на КЗЛД.
ФОРМА И НАЧИН НА УВЕДОМЯВАНЕ
Чл. 6. Предприятието уведомява абоната или друго физическо лице за настъпилото нарушение на сигурността на личните данни в разбираема форма. Уведомлението задължително съдържа информацията по Приложение II от Регламент (ЕС) № 611/2013.
Чл. 7. При спазване на изискванията на чл. 3, параграф 6 от Регламент (ЕС) № 611/2013 предприятието уведомява абоната или друго физическо лице чрез средства за комуникация, гарантиращи незабавното получаване на информацията по чл. 6.
Чл. 8.(1) В случаите по чл. 3, параграф 7 от Регламент (ЕС) № 611/2013 предприятието прави обявление в две или повече национални и/или регионални медии. Обявлението в този случай е в срока по чл. 3.
(2) След идентифициране на всички засегнати от нарушението лица предприятието незабавно уведомява всяко от тях, като им предоставя информацията по чл. 6, с изключение на случаите, когато това е невъзможно или е свързано с прекомерни усилия.
§ 1. Тази инструкция е приета на основание чл. 261г, ал. 1 ЗЕС с решение на КЗЛД от 21.12.2016 г.
§ 2. Инструкцията влиза в сила три дни след обнародването й в „Държавен вестник“.
ПРЕДСЕДАТЕЛ: |
|
/п/ ВЕНЦИСЛАВ КАРАДЖОВ
|
|
Файлове за сваляне
Инструкция № 1 от 21 декември 2016 г. за обстоятелствата, при които предприятията, предоставящи обществени електронни съобщителни услуги, уведомяват потребителите за нарушения на сигурността на личните данни, формата и начина на уведомяването (DOC)
Инструкция № 1 от 21 декември 2016 г. за обстоятелствата, при които предприятията, предоставящи обществени електронни съобщителни услуги, уведомяват потребителите за нарушения на сигурността на личните данни, формата и начина на уведомяването (PDF)