Se vehiculează des ideea că începând cu 25 mai orice incident de securitate trebuie notificat Autorității de supraveghere. Prin incident de securitate înțelegem înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea.
Exemple: pierderea unui laptop, uitarea unui telefon care conține date personale în taxi, un hacker a intrat în sistem și chiar și un screenshot făcut de un angajat la un ecran unde exista date personale.
Nu orice astfel de incident trebuie notitifcat autorității, ci doar incidentele care prezintă riscuri pentru persoana vizată.
Și nu o zic eu, o zice Regulamentul prin Art. 33 alin. (1) „ In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent in accordance with Article 55, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons ”
Ei bine, eroarea vine dintr-o traducere nefericită a textului de mai sus în română. În română sună așa:„În cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică acest lucru autorității de supraveghere competente în temeiul articolului 55, fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta, cu excepția cazului în care este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor fizice.”
Te-ar putea interesa și:
Aceeași părere o are și:
- Comisia Europeană: „să notifice cazurile de încălcare a securității datelor dacă există un risc pentru drepturile și libertățile persoanelor fizice.” Sursa aici
- ANSPDCP aici
- Grupul de Lucru Art. 29 aici
Cu toate acestea, înainte de a decide dacă vei notifica sau nu, trebuie să evaluezi cu atenție și luând în calcul toate circumanstanțele, dacă există un risc pentru drepturile și libertățile persoanei fizice și să urmezi o procedură pentru identificarea riscului și pentru a decide dacă vei notifica ANSPDCP și/sau persoanele vizate. O astfel de procedură o găsești aici.