Нова обврска - Известување за нарушување на безбедноста на личните податоците

Општата Регулатива за заштита на лични податоци (Регулативата) воведува нова обврска[1] за контролорот, во случај на нарушување на безбедноста/повреда на личните податоци,[2] да ги извести надзорниот орган и засегнатиот субјект на лични податоци.

Со транспонирање на Регулативата во новото законско решение, контролорот ќе има обврска да ја извести ДЗЛП за нарушувањето на безбедноста односно повреда  на личните податоци, само ако постои веројатност дека нарушувањето/повредата претставува ризик за правата и слободите на поединците. Притоа, за секое конкретно нарушување/повреда, контролорот ќе цени дали има обврска да ја извести ДЗЛП или не.[3] 

Во случај кога постои веројатност нарушувањето на безбедноста односно повредата на личните податоци да предизвика висок ризик за правата и слободите на поединецот, контролорот директно ќе го извести и субјектот на лични податоци.[4]

Известувањето до ДЗЛП ќе ги содржи следните информации:

  • опис на природата на нарушувањето/повредата и ако е можно категориите и приближен број на засегнати субјекти и категории и приближен број на засегнати евиденции на лични податоци;
  • името и податоците за контакт на ОЗЛП или друга точка за контакт кога треба да бидат обезбедени повеќе информации;
  • опис на можни последици;
  • опис на предложени или преземени мерки од страна на контролорот за справување со нарушувањето/повредата или за намалување на негативните ефекти.

Содржината на известувањето до субјектот на лични податоци ќе биде иста, но природата на нарушувањето/повредата треба да биде опишана на поедноставен јазик.

Известувањето ќе се врши на следниот начин:

Без непотребно одлагање и ако е изводливо, не подоцна од 72 часа откако контролорот дознал за нарушувањето/повредата. Кога известувањето се поднесува во рок подолг од 72 часа, кон истото треба да бидат приложени причините за доцнењето.

Обврска за документирање:

Контролорот ќе има обврска да го документира нарушувањето на безбедноста односно повредата на личните податоци, вклучувајќи ги и фактите поврзани со нарушувањето/повредата, последиците и преземените активности за справување со истото. Документацијата ќе му овозможи на ДЗЛП да ја провери усогласеноста со овој член.

За контролорите во областа на електронските комуникации, оваа обврска е веќе предвидена со Законот за електронските комуникации.[5]

Известувањето за нарушување на безбедноста на личните податоци што операторот го доставува до АЕК И Дирекција за заштита на личните податоци може да се достави преку веб апликацијата е-пријави достапна на следниот линк.

 

[1] Основа за да се воведе оваа обврска во Регулативата е член 4 став 2 од Директивата за приватност и електронски комуникации 2002/58/EK, позната како „E-Privacy Directive“

[2] Како нарушување на безбедноста/повреда на личните податоци ќе се смета: физичка, материјална или нематеријална штета за субјектот на лични податоци, како што е губењето на контрола врз неговите лични податоци, ограничување на неговите права, дискриминација, кражба на идентитет, измама со лажен идентитет, финансиски загуби, нарушување на доверливоста на личните податоци или секакви други значителни економски или социјални неповолни последици за засегнатиот субјект.

[3] Пример: Контролорот ќе ја извести ДЗЛП за губење на кориснички податоци, заради што би можело да дојде со кражба на идентитет, но нема да ја извести ДЗЛП за губење на податоци во листата со службени телефони на вработените, бидејќи ова нарушување не претставува ризик за правата и слободите на поединците.  

[4] Контролорот нема да има обврска да го извести субјектот на лични податоци за нарушувањето/повредата, ако е исполнет еден од следните услови:

  • контролорот преземал соодветни технички и организациски мерки за заштита, вклучително и во однос на личните податоци погодени од нарушувањето/повредата;
  • контролорот преземал последователни мерки кои гарантираат дека веќе не постои веројатност за висок ризик за слободите и правата на субјектот;
  • известувањето би довело до непропорционални напори, заради што се прави јавно известување или се бара друг начин за информирање на субјектот.  

Доколку контролорот не го известил субјектот, а ДЗЛП смета дека конкретно нарушување/повреда претставува висок ризик за неговите слободи и права, ДЗЛП може да побара од контролорот:

  • да го извести субјектот за истото или
  • да се произнесе дека е исполнет еден од условите во кои нема обврска за известување.

[5] Член 167 од Законот за електронските комуникации