ПРИСТАНИЩЕ      БУРГАС“ ЕАД

 

ИНСТРУКЦИЯ

      за действия в случай на нарушение на сигурността на личните данни

  1.  Лицата, идентифицирали признаци на нарушение на сигурността на личните данни, са длъжни да уведомят незабавно изпълнителния директор и председателя на постоянно действащата комисия за защита на личните данни, назначен със Заповед № РД 05/366 от 25.09.2018 г., на тел. 0888 860 650, наричан по-долу „Председател“, както и да представят цялата налична документация.
  2.  В случай на нарушение на сигурността на личните данни Председателят, без ненужно забавяне и когато това е осъществимо — не по-късно от 72 часа след като е разбрал за него, уведомява за нарушението на сигурността на личните данни Комисията за защита на личните данни в съответствие с член 33, параграф 1 от Регламент (ЕС) 2016/679, на тел.02/91 33 519, имейл: kzld@cpdp.bg..
  3.  Уведомлението до КЗЛД съдържа най-малко следното:

(а) описание на естеството на нарушението на сигурността на личните данни;

(б) категориите и приблизителният брой на засегнатите субекти на данни (ако е възможно);

(в) приблизителното количество на засегнатите записи на лични данни (ако е възможно);

(г) описание на евентуалните последици от нарушението на сигурността на личните данни;

(д) описание на предприетите или предложените от администратора мерки за справяне с нарушението на сигурността на личните данни, включително по целесъобразност мерки за намаляване на евентуалните неблагоприятни последици;

(е)  причините за забавянето, когато не е подадено в срок от 72 часа (ако е приложимо);

(и) посочване на името и координатите на отговорно лице или на друга точка за контакт, от която може да се получи повече информация.

  1. Председателят, документира всяко нарушение на сигурността на личните данни, включително фактите, свързани с нарушението на сигурността на личните данни, последиците от него и предприетите действия за справяне с него.
  2.  Документирането включва:

(а) предполагаемото време или период на възникване,

(б) времето на установяване,

    (с) времето на докладване името на служителя, извършил доклада.

  1. След анализ на инцидента, председателят вписва в регистър последствията от инцидента и мерките, които са предприети за отстраняването им.
  2.  Тази документация дава възможност на Комисията за защита на личните данни да провери дали са спазени условията на член 33, параграф 1 от Регламент 2016/679 на ЕС.
  3.  Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, Дружеството, чрез ръководния си орган, без ненужно забавяне, съобщава на субекта на данните за нарушението на сигурността на личните данни.
  4. Съобщението до засегнатите физически лица съдържа:

          (а) естеството на нарушението на сигурността;

            (б) описание на евентуалните последици от нарушението;

(в) описание на предприетите или предложените от администратора мерки за справяне с нарушението на сигурността на личните данни, включително по целесъобразност мерки за намаляване на евентуалните неблагоприятни последици;

(г) името и координатите за връзка на отговорно лице или на друга точка за контакт, от която може да се получи повече информация.

  1.  Съобщение до субекта на данните не се изисква, ако някое от следните условия е изпълнено:

(а) е предприело подходящи технически и организационни мерки за защита и тези мерки са били приложени по отношение на личните данни, засегнати от нарушението на сигурността на личните данни, по-специално мерките, които правят личните данни неразбираеми за всяко лице, което няма разрешение за достъп до тях, като например криптиране;

(б) е взело впоследствие мерки, които гарантират, че вече няма вероятност да се материализира високият риск за правата и свободите на субектите на данни;

(в) то би довело до непропорционални усилия. В такъв случай се прави публично съобщение или се взема друга подобна мярка, така че субектите на данни да бъдат в еднаква степен ефективно информирани.