Начало Услуги Магазин Портфолио Клиенти Youtube

Течове на лични данни – задължения, санкции и права по GDPR

Течове на лични данни – задължения, санкции и права по GDPR

Какво трябва да направите при теч на лични данни? Какви са задълженията на администраторите и какви глоби предвижда КЗЛД? Примери от реални случаи.

Течове на лични данни - задължения, санкции и права по GDPR

Приблизително време за четене: 2m 28s

Течове на лични данни: какво трябва да знаете според GDPR и българската практика

 Запишете се още днес в Курса за защита на лините данни и бъдете подготвени,  aко искате да разберете повече за правата и задълженията по GDPR, включително в контекста на работното място.

Какво представлява течът на лични данни?

Теч на данни (или "data breach") е всяко нарушение на сигурността, което води до случайно или неправомерно:

  • унищожаване;

  • загубване;

  • изменение;

  • неразрешено разкриване или достъп до лични данни.

Това може да включва:

  • изпращане на имейл със списък от данни до грешен получател;

  • хакерска атака върху бази данни;

  • загубен лаптоп с чувствителна информация;

  • изтичане на данни чрез вътрешен служител ("инсайдърска заплаха").

Според чл. 33 от GDPR, при установяване на такова нарушение, администраторът на данни е длъжен да уведоми надзорния орган (в България – КЗЛД) до 72 часа.

Какви са задълженията на администратора при теч?

Администраторът на лични данни трябва да:

  1. Докладва инцидента в КЗЛД до 72 часа след установяване на нарушението;

  2. Оцени риска за правата и свободите на субектите на данни;

  3. Уведоми пострадалите лица, ако съществува висок риск за тях (напр. кражба на ЕГН, банкови или здравни данни);

  4. Документира всичко – включително причината, вида на данните, броя засегнати лица и предприетите мерки.

Липсата на действия или късно уведомление води до санкции, дори и когато самият теч не е по вина на администратора.

Най-големият теч в България: случаят с НАП

През 2019 г. България преживя най-големия известен теч на лични данни – над 6 млн. граждани бяха засегнати от пробив в сървърите на НАП. Данни като ЕГН, доходи, осигуровки, адреси и банкови трансакции се появиха в публичното пространство.

След проверка, КЗЛД наложи глоба от 5,1 млн. лева на НАП, позовавайки се на недостатъчно технически и организационни мерки за защита. Администрацията обжалва, но ВАС потвърди отговорността.

Извод: Дори държавна институция не е защитена от санкции, когато не е изпълнила изискванията на чл. 32 и 33 от GDPR.

Какво трябва да знаете като гражданин?

Ако научите, че личните ви данни са изтекли, имате право:

  • да бъдете уведомени без неоправдано забавяне;

  • да подадете жалба до КЗЛД (Комисия за защита на личните данни);

  • да търсите обезщетение по съдебен път, ако сте претърпели вреди (материални или нематериални);

  • да получите информация какви данни са засегнати и какви мерки са взети.

Пример: Ако банка е изпратила банково извлечение на грешен имейл адрес, и вие разберете, че трето лице е имало достъп, тя е длъжна да ви информира и да уведоми КЗЛД.

Какви санкции предвижда GDPR и КЗЛД?

  • До 10 млн. евро или 2% от годишния оборот за липса на вътрешна документация, закъсняло уведомление или непредприети мерки;

  • До 20 млн. евро или 4% от оборота при тежко нарушение и висок риск за правата на гражданите.

В България най-честите причини за глоби са:

  • неуведомяване на КЗЛД навреме;

  • липса на оценка на риска;

  • използване на незащитени системи без криптиране или контрол на достъпа.

Какви са добрите практики за защита срещу теч?

  • Редовни тестове за уязвимости на ИТ системите;

  • Ограничаване на достъпа до лични данни до служители, които реално ги използват;

  • Обучение на персонала как да разпознава фишинг и социално инженерство;

  • Въвеждане на двуфакторна автентикация и криптиране;

  • Водене на регистър на обработвани данни и дейности.

Роля на КЗЛД в управлението на инциденти

КЗЛД публикува формуляри и насоки за уведомяване при нарушения, както и редовно публикува обобщения в своите бюлетини.

В Бюлетин №3/2025 г. се посочва, че най-често срещаните пробиви са причинени от човешка грешка, липса на контрол и слаба ИТ сигурност. Отчетени са множество жалби и проверки, включително с последвали санкции.

Заключение: превенцията е ключова

Всеки администратор на лични данни – от малка фирма до държавна институция – трябва да приеме защитата на данните като непрекъснат процес, а не еднократна мярка.

Ако работите с лични данни, уверете се, че имате ясна процедура за реакция при инцидент.

Ако сте гражданин – следете какво се случва с вашите данни и реагирайте навреме при съмнение за теч.

Научете как да изградите система за сигурност, съвместима с GDPR, и как да реагирате при инцидент:

 Запишете се още днес в Курса за защита на лините данни и бъдете подготвени,  aко искате да разберете повече за правата и задълженията по GDPR, включително в контекста на работното място.

 

Свързани статии

  • Видеонаблюдение и лични данни – права, закони и съвети от КЗЛД
    Видеонаблюдение и лични данни – права, закони и съвети от КЗЛД
    Законно ли е видеонаблюдението във входа, магазина или офиса? Разберете как GDPR…
  • Правото да бъдеш забравен или как да изтриете личните си данни по GDPR
    Правото да бъдеш забравен или как да изтриете личните си данни по GDPR
    Научете как да упражните правото си на изтриване на лични данни по GDPR и ЗЗЛД. Примери…
  • Курс по Делова кореспонденция
    Курс по Делова кореспонденция
    Развийте уменията си за ефективна делова комуникация с обучението по делова кореспонденция.
  • Курс DORA Регламент за оперативна устойчивост на цифровите технологии
    Курс DORA Регламент за оперативна устойчивост на цифровите технологии
    Обучение по DORA (Digital Operational Resilience Act) предлага подробно описание…