Art. 33 din Regulament reglementeaza obligatia operatorului de a notifica bresele de securitate catre autoritatea de supraveghere a prelucrarii datelor cu caracter personal.
In situatia in care operatorul actioneaza in calitate de persoana imputernicita, este obligatia operatorului sa notifice autoritatea de supraveghere cu privire la bresa de securitate.
Scopul notificarii autoritatii este ca aceasta sa poata interveni pentru limitarea riscurilor asupra drepturilor si libertatilor persoanelor vizate.
Nu orice bresa de securitate trebuie notificata autoritatii de supraveghere. Conform art. 32 din Regulament, nu este obligatorie notificarea daca respectiva bresa nu este susceptibila sa genereze un risc pentru drepturile si libertatile persoanelor vizate. Este obligatia operatorului sa analizeze daca incidentul de securitate cu care se confrunta genereaza riscuri pentru drepturile si libertatilor persoanelor vizate.
Analiza se face de la caz la caz, pe baza urmatoarelor elemente:
a) tipul incidentului;
b) natura, contextul, volumul datelor afectate;
c) posibilitatea de a identifica persoanele vizate;
d) consecintele incidentului asupra persoanelor vizate;
e) consecintele incidentului asupra persoanelor vizate;
f) circumstantele persoanelor vizate;
g) circumstantele operatorului in cauza.
Exemplu: pierderea unor date cu caracter personal criptate cu un algoritm de criptare complex nu este susceptibila sa genereze riscuri pentru drepturile si libertatile persoanelor vizate, atat timp cat criptarea asigura ca datele nu pot fi accesate de persoane neautorizate. Totusi, daca datele nu sunt criptate, pierderea acestora ar trebui notificata.
In cazurile in care notificarea autoritatii este obligatorie, aceasta trebuie facuta „fara intarziere”, de principiu nu mai tarziu de 72 de ore de la data la care operatorul a luat la cunostinta de existenta bresei.
Continutul minim al notificarii este reglementat de art. 33 din Regulament. La pregatirea notificarii, operatorii vor trebui sa protejeze confidentialitatea informatiilor oferite de clienti, sens in care vor oferi autoritatii detalii despre categoriile si numarul persoanelor afectate, fara insa a compromite confidentialitatea datelor primite de la persoanele vizate.
In anumite situatii, este posibil ca nu toate datele sa fie de la inceput la dispozitia operatorului, unele amanunte devenind disponibile pe masura ce operatorul investigheaza bresa. Pentru aceste situatii, Regulamentul (art. 33 alin. (4)) si A29 GL recunosc posibilitatea notificarii etapizate, in care operatorul transmite autoritatii de supraveghere datele relevante pe masura ce acestea devin disponibile.
Sursa: GHID DE BUNE PRACTICI privind principalele obligatii ale operatorilor conform Regulamentului General privind Protectia Datelor (GDPR)
Gestionarea riscurilor in domeniul prelucrarii datelor cu caracter personalIn cazul in care au fost identificate prelucrari de date cu caracter personal susceptibile de a prezenta riscuri ridicate pentru drepturile si libertatile persoanelor fizice, operatorul va efectua o evaluare a impactului asupra protectiei datelor, in ... → |
Dezvaluiri de date personale la solicitarea autoritatilor publice. Limitele dezvaluirilorArt. 6 para. 1 lit. c) din Regulament prevede ca prelucrarea datelor cu caracter personal este legala daca, printre altele, "prelucrarea este necesara in vederea indeplinirii unei obligatii legale care ii revine operatorului". Ca atare, operatorii po ... → |
Bresele de securitate a datelor cu caracter personal. Obligatiile operatorilorConform art. 5 din Regulament unul din principiile de baza care guverneaza prelucrarea datelor cu caracter personal este acela ca datele trebuie sa fie prelucrate intr-un mod care asigura securitatea adecvata a acestora. Garantiile legale ale acestui ... → |
Informarea persoanelor vizate in cazul breselor de securitate a datelor cu caracter personalArt. 34 din Regulament reglementeaza obligatia operatorului de a informa persoanele vizate cu privire la bresele de securitate. Scopul informarii este ca persoanele vizate sa isi poata lua masuri de protectie. |
EXPLICATII. PROCEDURI. GHIDURI. MASURI NECESAREPrivind protectia si circulatia datelor cu caracter personal, destinate atat persoanelor vizate, cat si operatorilor sau reprezentantilor acestora. Mai multe |
AUDIT. IMPLEMENTARE. RESPECTARE GDPROferim servicii specializate de protectia si circulatia datelor personale, integrate sau in completarea serviciilor juridice in domeniul relatiilor de munca si comerciale. Solicita servicii |
© Copyright 2008, MCP Cabinet Avocati | UNBR | Baroul Bucuresti
Cabinetul de avocatura "Predut Marius-Catalin" este autorizat prin Decizia Baroului Bucuresti nr. 1341/2008 | CUI RO24004840
MCP este Marca inregistrata, protejata de drepturile de autor. Sitemap