Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните), известен като GDPR, определя нарушението на сигурността на личните данни като нарушение, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин. Когато обхващат обработване на данни в киберпространството, тези нарушения най-често се изразяват в различни видове хакерски атаки, като например нерегламентиран достъп до компютърно-информационни ресурси, унищожаване и промяна на компютърни данни, разпространение на пароли и заразяване с компютърни вируси, извършване на атаки за отказ от услуга/DDoS, обезобразяване на интернет сайтове и ресурси/deface и др.
Според ENISA (Агенция на Европейския съюз за киберсигурност) 84% от кибератаките разчитат на социалното инженерство, което представлява съвкупност от механизми и тактики, използвани от недобронамерени лица (хакери) с цел манипулиране на предварително определена група от хора (т. нар. таргети), в резултат на което се предоставя достъп до конфиденциална информация и лични данни. Броят на фишинг атаките в ЕС продължава да нараства, като пандемията от COVID-19 е често използвана тема на съобщения, съдържащи злонамерени връзки, пренасочващи потребителите към сайтове за фишинг или изтегляне на зловреден софтуер.
Осигуряване на адекватно ниво на защита в киберпространството: имплементиране на превантивни мерки от страна на администратора на лични данни
Вследствие на множеството получени уведомления по реда, предвиден в чл. 33 от GDPR, относно нарушения на сигурността на данните, реализирани в дигитална среда, Комисия за защита на личните данни публикува в своята официална интернет страница съвети за защита на данните в киберпространството към администраторите и обработващите лични данни. Надзорният орган е установил, че компютърните системи и мрежи са изключително уязвими и много често представляват обект на злонамерени атаки. Именно поради тази причина е препоръчително администраторите да прилагат следните мерки:
- Въвеждане на високи изисквания за пароли, касаещи дължина, ползване на комбинации от малки и големи букви, цифри и специални символи, както и по отношение на изисквания за периодична смяна на паролата (60-90 дни);
- Въвеждане на двуфакторна (мултифакторна) идентификация: въвеждане на допълнителна информация от потребителя (автоматично генериран код, ПИН, отговор на таен въпрос или др.), освен стандартно използваната парола за достъп, която се получава на друго устройство;
- Въвеждане на ограничение за грешно въведени пароли (между 3 и 5 грешни опита за достъп);
- Редовни актуализации на софтуера и фърмуера;
- Използване на антивирусни програми на съвременно техническо ниво;
- Използване на защитни стени;
- Редовно архивиране на данните за целите на възстановяване им в случай на хакерска атака и загуба на тяхната наличност;
- Криптиране на данните;
- Редовно обучение на персонала във връзка с правилата за защита на личните данни и киберсигурността;
- Въвеждане на План за реакция при инцидент с киберсигурността.
Задължения на администратора на лични данни при установяване на нарушение на сигурността
Всеки администратор на лични данни е длъжен да въведе процедури и механизми, улесняващи установяването и определящи правила за реакция при нарушения на сигурността на личните данни, подлежащи на обработване в дейността му, както и такива за оценка на рисковете от подобни нарушения за правата и свободите на субектите на данни. Законът за защита на личните данни дефинира понятието „риск“ като възможността за настъпване на имуществена или неимуществена вреда за субекта на данните при определени условия, оценена от гледна точка на нейната тежест и вероятност. Целта на оценката на риска е да бъдат оценени специфичните обстоятелства на нарушението, включително на тежестта на евентуалното въздействие и вероятността то да настъпи.
В случай че установи наличие на нарушение на сигурността на личните данни, администраторът на лични данни е длъжен да го документира и да уведоми компетентния надзорен орган без ненужно забавяне и когато това е осъществимо с оглед спецификите на конкретния случай – не по-късно от 72 часа след като е разбрал за него. Подобно уведомяване не е задължително единствено в случай че администраторът е извършил оценка на риска и е установил, че нарушението не поражда риск за правата и свободите на физическите лица. В уведомлението следва да бъде посочена информация относно естеството на нарушението, категориите и броя на засегнатите субекти на данни, данни за контакт с длъжностното или друго лице и друга информация, касаеща нарушението, съгласно чл. 33, ал. 3 от Регламента.
Уведомяване на субектите на данни, в случай че администраторът на лични данни е оценил нивото на риска от нарушението за техните права и свободи като високо
Администраторът на лични данни е длъжен да уведоми субектите на данни, когато има вероятност нарушението на сигурността на личните данни да породи висок риск за техните права и свободи. След реализиране и документиране на оценка на риска, администраторът определя нивото на риска и на база на резултата преценява дали да извести субектите на данни, които са засегнати от нарушението. Добра практика е подобно уведомяване да се осъществява при всяко нарушение независимо от нивото на риска. Уведомяването се осъществява без ненужно забавяне, като администраторът на лични данни следва да изпрати съобщение на ясен и прост език, в което описва естеството на нарушението на сигурността на личните данни и посочва информацията и мерките, предвидени в член 33, параграф 3, букви б), в) и г) от Регламента (данни за контакт, описание на последиците, описание на предприетите мерки и действия).
По изключение, администраторът на лични данни може да не уведомява субектите, ако е налице някоя от следните хипотези:
- администраторът е предприел подходящи технически и организационни мерки за защита и тези мерки са били приложени по отношение на личните данни, засегнати от нарушението на сигурността на личните данни, по-специално мерките, които правят личните данни неразбираеми за всяко лице, което няма разрешение за достъп до тях, като например криптиране;
- администраторът е взел впоследствие мерки, които гарантират, че вече няма вероятност да се материализира високият риск за правата и свободите на субектите на данни;
- уведомяването би довело до непропорционални усилия. В този случай се прави публично съобщение или се взема друга подобна мярка, така че субектите на данни да бъдат в еднаква степен ефективно информирани.
Действия, които администраторът на лични данни предприема, за да ограничи неблагоприятните последици от нарушението
В зависимост от естеството на нарушението администраторът на лични данни следва да анализира и в максимално кратки срокове да предприеме действия с оглед минимизиране на възможните неблагоприятни последици от установеното нарушение. Препоръчително е администраторът да формира екип за реакция, който да включва различни специалисти – IT ръководител, юрист, HR специалист, отговорник по комуникациите, длъжностно лице по защита на данните (или друго лице, на което са възложени подобни функции) и др. длъжности в организацията, чиито служебни задължения биха били полезни в процеса, свързан с документиране на нарушението, осъществяване на оценка на риска, уведомяване на съответните лица и КЗЛД, както и определяне и имплементиране на мерки за минимизиране на последствията от нарушението.
Първата и най-важна стъпка за администратора е осъществяването на необходимите технически проверки от експерти, както и цялостно вътрешно разследване, които да установят източника на проблема и евентуалното въздействие върху критични бизнес функции/процеси. Организацията следва да предприеме всички необходими мерки с оглед ограничаване на разпространението на атаката, като за целта избира подходящи мерки, сред които например пренасочване на мрежовия трафик, филтриране или блокиране на трафика, както и изолиране на всички части от компрометираната мрежа.
Успоредно с уведомленията, които администраторът на лични данни отправя съобразно изискванията на GDPR, последният следва да уведоми и компетентните органи на територията на Република България (Министерство на вътрешните работи) с оглед осъществяване на разследване по случая и предприемане на необходимите последващи действия.
Задължения на администратора на лични данни при установяване на нарушение на сигурността
Автор: адв. Златка Коцалова