Obligația de notificare a autorității de supraveghere în cazul încălcării securității datelor cu caracter personal
Noțiunea de „încălcare a securității datelor cu caracter personal” înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea.
Dacă nu este soluționată la timp și într-un mod adecvat, o încălcare a securității datelor cu caracter personal poate conduce la prejudicii fizice, materiale sau morale aduse persoanelor fizice, cum ar fi pierderea controlului asupra datelor lor cu caracter personal sau limitarea drepturilor lor, discriminare, furt sau fraudă de identitate, pierdere financiară, inversarea neautorizată a pseudonimizării, compromiterea reputației, pierderea confidențialității datelor cu caracter personal protejate prin secret profesional sau orice alt dezavantaj semnificativ de natură economică sau socială adus persoanei fizice în cauză.
Potrivit art. 33 din RGPD, în cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică acest lucru autorității de supraveghere competente în temeiul art. 55, fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta, cu excepția cazului în care este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor fizice. În cazul în care notificarea nu are loc în termen de 72 de ore, aceasta este însoțită de o explicație motivată din partea autorității de supraveghere în cazul în care.
Totodată, persoana împuternicită de operator care ia cunoștință de o încălcare a securității datelor cu caracter personal, are obligaţia să înștiințeze despre aceasta operatorul, fără întârzieri nejustificate.
Notificarea autorității de supraveghere competente cuprinde cel puțin următoarele elemente:
- descrierea caracterului încălcării securității datelor cu caracter personal, inclusiv, acolo unde este posibil, categoriile și numărul aproximativ al persoanelor vizate în cauză, precum și categoriile și numărul aproximativ al înregistrărilor de date cu caracter personal în cauză;
- numele și datele de contact ale responsabilului cu protecția datelor sau un alt punct de contact de unde se pot obține mai multe informații;
- descrie consecințele probabile ale încălcării securității datelor cu caracter personal;
- descrie măsurile luate sau propuse spre a fi luate de operator pentru a remedia problema încălcării securității datelor cu caracter personal, inclusiv, după caz, măsurile pentru atenuarea eventualelor sale efecte negative.
Scopul notificării autorității este ca aceasta să poată interveni pentru limitarea riscurilor asupra drepturilor și libertăților persoanelor vizate.
Nu orice breșă de securitate trebuie notificată autorității de supraveghere. Astfel, nu este obligatorie notificarea dacă respectiva breșă nu este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor vizate. În aceste condiții, operatorului îi revine obligația să analizeze dacă incidentul de securitate cu care se confruntă generează riscuri pentru drepturile și libertăților persoanelor vizate. Analiza se face de la caz la caz, pe baza următoarelor elemente:
- tipul incidentului;
- natura, contextul, volumul datelor afectate;
- posibilitatea de a identifica persoanele vizate;
- consecințele incidentului asupra persoanelor vizate;
- circumstanțele persoanelor vizate;
- circumstanțele operatorului în cauză.
Operatorul are obligaţia de a păstra documentele referitoare la toate cazurile de încălcare a securității datelor cu caracter personal, care cuprind o descriere a situației de fapt în care a avut loc încălcarea securității datelor cu caracter personal, a efectelor acesteia și a măsurilor de remediere întreprinse. În cazul incidentelor de securitate pentru care s-a luat decizia să nu se notifice autoritatea de supraveghere sau persoanele vizate, operatorul va face mențiune despre decizia de a nu notifica, arătând motivele care au fundamentat această decizie.