Art. 34 din Regulament reglementeaza obligatia operatorului de a informa persoanele vizate cu privire la bresele de securitate.
Scopul informarii este ca persoanele vizate sa isi poata lua masuri de protectie.
Informarea persoanelor vizate este obligatorie numai daca incidentul de securitate este susceptibil sa genereze un risc ridicat pentru drepturile si libertatile persoanelor vizate. Daca notificarea autoritatii de supraveghere este obligatorie ori de cate ori exista un risc privind drepturile si libertatile persoanelor vizate, informarea persoanelor vizate este obligatorie atunci cand exista un risc ridicat pentru drepturile si libertatile acestora.
Regulamentul nu prevede criterii obiective in functie de care se determina nivelul riscului generat de incidentul de securitate. Conform Ghidului privind notificarea incalcarii securitatii datelor, la analiza nivelului de risc, operatorul va avea in vedere criteriile de mai jos:
a) tipul incidentului;
b) natura, contextul, volumul datelor afectate;
c) posibilitatea de a identifica persoanele vizate;
d) consecintele incidentului asupra persoanelor vizate;
e) consecintele incidentului asupra persoanelor vizate;
f) circumstantele persoanelor vizate;
g) circumstantele operatorului in cauza;
h) numarul persoanelor afectate.
In analiza sa, operatorul va avea in vedere severitatea riscului, insa in acelasi timp va tine cont de probabilitatea aparitiei acestuia. Astfel, posibilitatea ca incidentul de securitate sa genereze un risc ridicat cu privire la drepturile si libertatile persoanei/persoanelor vizate creste (i) atunci cand severitatea riscului creste, dar si (ii) atunci cand, chiar daca riscul nu este foarte ridicat, totusi probabilitatea aparitiei sale este mai mare .
In cazurile in care informarea persoanelor vizate este obligatorie, aceasta trebuie facuta �fara intarziere�. Continutul notificarii este reglementat de art. 34 din Regulament.
Regulamentul nu prescrie un anume formalism pentru informarea persoanelor vizate. Daca circumstantele concrete nu reclama o alta abordare, informarea se va face printr-o comunicare adresata direct persoanei vizate, printr-un mijloc de comunicare corespunzator (posta electronica, SMS etc.). Cu titlu de exceptie, doar in situatia in care contactarea directa a persoanei/persoanelor vizate ar presupune un efort disproportionat, se poate face o informare publica.
Sursa: GHID DE BUNE PRACTICI privind principalele obligatii ale operatorilor conform Regulamentului General privind Protectia Datelor (GDPR)
Gestionarea riscurilor in domeniul prelucrarii datelor cu caracter personalIn cazul in care au fost identificate prelucrari de date cu caracter personal susceptibile de a prezenta riscuri ridicate pentru drepturile si libertatile persoanelor fizice, operatorul va efectua o evaluare a impactului asupra protectiei datelor, in ... → |
Dezvaluiri de date personale la solicitarea autoritatilor publice. Limitele dezvaluirilorArt. 6 para. 1 lit. c) din Regulament prevede ca prelucrarea datelor cu caracter personal este legala daca, printre altele, "prelucrarea este necesara in vederea indeplinirii unei obligatii legale care ii revine operatorului". Ca atare, operatorii po ... → |
Bresele de securitate a datelor cu caracter personal. Obligatiile operatorilorConform art. 5 din Regulament unul din principiile de baza care guverneaza prelucrarea datelor cu caracter personal este acela ca datele trebuie sa fie prelucrate intr-un mod care asigura securitatea adecvata a acestora. Garantiile legale ale acestui ... → |
Notificarea autoritatii de supraveghere in cazul breselor de securitate a datelor cu caracter pesonalArt. 33 din Regulament reglementeaza obligatia operatorului de a notifica bresele de securitate catre autoritatea de supraveghere a prelucrarii datelor cu caracter personal. In situatia in care operatorul actioneaza in calitate de persoana imputernic ... → |
EXPLICATII. PROCEDURI. GHIDURI. MASURI NECESAREPrivind protectia si circulatia datelor cu caracter personal, destinate atat persoanelor vizate, cat si operatorilor sau reprezentantilor acestora. Mai multe |
AUDIT. IMPLEMENTARE. RESPECTARE GDPROferim servicii specializate de protectia si circulatia datelor personale, integrate sau in completarea serviciilor juridice in domeniul relatiilor de munca si comerciale. Solicita servicii |
© Copyright 2008, MCP Cabinet Avocati | UNBR | Baroul Bucuresti
Cabinetul de avocatura "Predut Marius-Catalin" este autorizat prin Decizia Baroului Bucuresti nr. 1341/2008 | CUI RO24004840
MCP este Marca inregistrata, protejata de drepturile de autor. Sitemap