Държавен вестник, брой 1 от 3.I

Чл. 1. С тази инструкция се определят обстоятелствата, при които предприятията, предоставящи обществени електронни съобщителни услуги, уведомяват потребителите за нарушения на сигурността на личните им данни, формата и начина на уведомяването.

Чл. 2. Инструкцията се отнася до всички предприятия, които са вписани в публичния регистър на предприятията по чл. 33, ал. 1, т. 1 от Закона за електронните съобщения (ЗЕС), поддържан от Комисията за регулиране на съобщенията.

Чл. 3. (1) В случай на нарушение на сигурността на личните данни по смисъла на § 1, т. 34а от допълнителните разпоредби на ЗЕС, което може да повлияе неблагоприятно на лични данни или на неприкосновеността на личния живот на абонат или на друго физическо лице, предприятието, при което е настъпило нарушението на сигурността, уведомява своевременно съответното лице за нарушението, но не по-късно от три дни от установяването му.

(2) Предприятието не уведомява абоната или друго физическо лице, в случай че Комисията за защита на личните данни (КЗЛД) е приела, че предприятието е предприело предхождащи подходящи технологични мерки за защита на сигурността на личните данни - обект на нарушението, при условията на чл. 261в, ал. 3 ЗЕС.

(3) В случаите по ал. 1 след разглеждане на възможните неблагоприятни последици от нарушението КЗЛД може да възложи на предприятието да уведоми съответните неуведомени засегнати лица по ал. 1.

Чл. 4. Извън случаите по чл. 3, ал. 2 предприятието не извършва уведомяване и когато са налице обстоятелствата по чл. 3, параграф 5 от Регламент (ЕС) № 611/2013 на Комисията от 24 юни 2013 г. относно мерките, приложими за съобщаването на нарушения на сигурността на личните данни съгласно Директива 2002/58/ЕО на Европейския парламент и на Съвета за правото на неприкосновеност на личния живот и електронни комуникации.

Чл. 5. (Изм. - ДВ, бр. 9 от 2024 г., в сила от 30.01.2024 г.) При определянето, че дадено нарушение на сигурността на личните данни може да повлияе неблагоприятно на лични данни или на неприкосновеността на личния живот на абонат или на друго физическо лице, предприятието отчита следните обстоятелства:

1. категориите лични данни - обект на нарушение на сигурността, като данни по чл. 9, параграф 1 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните); данни по чл. 248, ал. 2 ЗЕС; данни по чл. 3, параграф 2, буква "а" от Регламент (ЕС) № 611/2013;

2. характера на нарушението на сигурността на личните данни и вероятните последици от него за засегнатия абонат или друго физическо лице, като някоя от последиците, посочени в чл. 3, параграф 2, буква "б" от Регламент (ЕС) № 611/2013; загуба или промяна на данни; незаконно унищожаване; нерегламентиран достъп.

Чл. 6. Предприятието уведомява абоната или друго физическо лице за настъпилото нарушение на сигурността на личните данни в разбираема форма. Уведомлението задължително съдържа информацията по Приложение II от Регламент (ЕС) № 611/2013.

Чл. 7. При спазване на изискванията на чл. 3, параграф 6 от Регламент (ЕС) № 611/2013 предприятието уведомява абоната или друго физическо лице чрез средства за комуникация, гарантиращи незабавното получаване на информацията по чл. 6.

Чл. 8. (1) В случаите по чл. 3, параграф 7 от Регламент (ЕС) № 611/2013 предприятието прави обявление в две или повече национални и/или регионални медии. Обявлението в този случай е в срока по чл. 3.

(2) След идентифициране на всички засегнати от нарушението лица предприятието незабавно уведомява всяко от тях, като им предоставя информацията по чл. 6, с изключение на случаите, когато това е невъзможно или е свързано с прекомерни усилия.