Pentru a răspunde la această întrebare, înainte de toate, vom începe prin a explica ce este o breşă de securitate.
Breşa de securitate sau încălcarea securităţii datelor cu caracter personal a fost definită prin Regulamentul GDPR drept “o încălcare a securităţii care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea” [1]
În concret, breşa de securitate poate fi reprezentată de atacuri informatice tip ransomware, pierderea cheii de criptare a datelor, nefuncţionarea sistemelor informatice, pierderea unor documente, transmiterea unei corespondenţe la adresa greşită etc.
Exemplu: operatorul de date Bristol Logistics S.A. a fost sancționat contravențional cu amendă în cuantum de 9.828,00 lei (echivalentul a 2000 EURO) întrucât, în cadrul unei investigaţii s-a constat că a fost sustras un biblioraft conținând dosarele de personal a 12 angajați, ceea ce a condus la accesarea de date personale de către persoane neautorizate.
Drept urmare, s-a reținut că operatorul Bristol Logistics S.A. nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării generat în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal, în data de 03.06.2021, fiind accesate neautorizat date cu caracter personal (date de contact/identificare, pregătire academică şi profesională, detalii legate de angajare, informații referitoare la deduceri de taxe şi persoane aflate în întreținere, calificativ medicina muncii). [2]
Când avem obligaţia de a notifica Autoritatea de Supraveghere?
Potrivit art. 33 din Regulamentul GDPR, în cazul în care are loc o încălcare a securităţii datelor cu caracter personal, operatorul notifică acest lucru autorităţii de supraveghere competente cu excepţia cazului în care este puţin probabil să genereze un risc pentru drepturile şi libertăţile persoanelor fizice.
Întrucât GDPR nu a impus o grilă pentru evaluarea riscului, rămâne la latitudinea fiecărui operator de date să determine ce aspecte legate de un incident de securitate reprezintă sau pot duce la apariţia unor riscuri pentru drepturile şi libertăţile persoanelor fizice.
Care este termenul în care trebuie transmisă notificarea?
Notificarea trebuie transmisă autorităţii de supraveghere de îndată, fără întârzieri nejustificate şi, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoştinţă de aceasta.
În cazul în care notificarea către autoritatea de supraveghere nu are loc în termen de 72 de ore, aceasta trebuie să fie însoţită de o explicaţie motivată pentru întârziere.
Ce trebuie să conţină notificarea adresată Autorităţii de Supraveghere?
Notificarea va conţine cel puţin următoarele informaţii:
- descrierea caracterului încălcării securităţii datelor cu caracter personal, inclusiv, acolo unde este posibil, categoriile şi numărul aproximativ al persoanelor vizate în cauză, precum şi categoriile şi numărul aproximativ al înregistrărilor de date cu caracter personal în cauză;
- comunicarea numelui şi datelor de contact ale responsabilului cu protecţia datelor sau un alt punct de contact de unde se pot obţine mai multe informaţii;
- descrierea consecinţelor probabile ale încălcării securităţii datelor cu caracter personal;
- descrierea măsurilor luate sau propuse spre a fi luate de operator pentru a remedia problema încălcării securităţii datelor cu caracter personal, inclusiv, după caz, măsurile pentru atenuarea eventualelor sale efecte negative.
Notificarea va fi transmisă cu ajutorul formularului pus la dispoziţie de Autoritatea de Supravheghere pe site-ul acesteia:
https://www.dataprotection.ro/index.jsp?page=pagina_formular_679
Ce se întâmplă dacă nu pot furniza toate aceste informaţii în termen de 72 de ore?
Atunci când operatorul de date nu are posibilitatea de a furniza toate informaţiile necesare în termen de 72 de ore, acestea pot fi transmise în mai multe etape, în cel mai scurt timp posibil.
Operatorul va păstra documentele referitoare la toate cazurile de încălcare a securităţii datelor cu caracter personal, care cuprind o descriere a situaţiei de fapt în care a avut loc încălcarea securităţii datelor cu caracter personal, a efectelor acesteia şi a măsurilor de remediere întreprinse.
[1] Art. 4. pct. 12 din Regulamentului 679/27-apr-2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE
[2] https://www.dataprotection.ro/?page=Comunicat_Presa_12_01_2023