Înapoi la pagina principală a Orientărilor pentru organizatori cu privire la protecția datelor
Orientări privind protecția datelor – Întrebarea 11
Ce ar trebui să faceți în cazul încălcării securității datelor cu caracter personal?
Se aplică în scenariul 2, exceptând cazul în care transmiterea declarațiilor de susținere se face prin intermediul serviciului de transfer de fișiere al Comisiei.
Încălcarea securității datelor cu caracter personal este o încălcare care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate în alt mod, sau la accesul neautorizat la acestea.
Notificarea unei încălcări a securității datelor
Dacă are loc o încălcare a securității datelor cu caracter personal, reprezentantul grupului de organizatori trebuie să anunțe autoritatea competentă de protecție a datelor fără întârziere și, dacă este posibil, în termen de cel mult 72 de ore de la momentul la care a luat cunoștință de aceasta. Pasul nu este obligatoriu dacă este puțin probabil ca încălcarea să genereze un risc pentru drepturile și libertățile unor persoane fizice.
Notificarea trebuie să includă cel puțin următoarele:
- o descriere a încălcării securității datelor, inclusiv numărul semnatarilor afectați și categoriile de date afectate;
- numele și datele de contact ale responsabilului cu protecția datelor (sau ale altui punct de contact relevant);
- consecințele probabile ale încălcării securității datelor, după analizarea acesteia; precum și
- orice măsuri luate de operator pentru a remedia sau atenua încălcarea.
Dacă nu se pot furniza simultan aceste informații, ele pot fi furnizate în mai multe etape, în cel mai scurt timp.
Reprezentantul trebuie, de asemenea, să păstreze documente referitoare la situațiile de fapt, efectele acestora și măsurile de remediere deja întreprinse (sau care urmează să fie luate de urgență, indicând un termen).
Riscuri la adresa drepturilor și libertăților
În plus, dacă încălcarea este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile semnatarilor, aceștia trebuie să fie informați în consecință, cu excepția cazului în care:
- măsurile aplicate (cum ar fi criptarea, atâta timp cât cheia nu este compromisă) au făcut ca datele să devină neinteligibile sau garantează că este puțin probabil ca riscurile să se materializeze, sau
- comunicarea individuală către semnatari ar implica eforturi disproporționate. În acest caz, semnatarii pot fi informați despre încălcare printr-o notificare publică.
NOTĂ:
În cazul prelucrării datelor în cadrul unui asocieri privind prelucrarea datelor cu caracter personal cu Comisia și cu excepția cazului în care încălcarea securității datelor este imputabilă comportamentului membrilor grupului de organizatori, obligațiile de mai sus sunt îndeplinite de Comisie. Dacă este necesar și în măsura posibilului, grupul de organizatori ar trebui să asiste Comisia în gestionarea încălcărilor securității datelor cu caracter personal.
Trimiteri:
- Articolele 33 și 34 din RGPD
- Întrebări frecvente privind protecția datelor: „Ce este o încălcare a securității datelor și ce trebuie făcut în cazul unei asemenea încălcări?”
