Notificarea incidentelor de securitate

Incidentele de securitate reprezinta o afectare a sigurantei datelor cu caracter personal iar operatorilor de date si persoanelor imputernicite le revine obligatia de a notifica Autoritatea de supraveghere cu privire la producerea incidentului. Insa nu orice incident trebuie raportat.

Pentru a stabili daca incidentul produs trebuie raportat sau nu, operatorul (impreuna cu persoana imputernicita, atunci cand este cazul), va realiza o investigatie iar daca se constata ca incidentul a afectat siguranta datelor cu caracter personal iar acestul lucru reiese clar din dovezile stranse de echipa de investigatii sau daca incidentul este susceptibil sa genereze riscuri pentru drepturile si libertatile persoanelor vizate, in acest caz operatorul are obligatia de a notifica Autoritatea de control in maxim 72 de ore de la producerea incidentului.

Echipa formata la nivelul operatorului pentru a investiga incidentul are sarcina de a determina:

a) tipul incidentului;
b) natura, contextul, volumul datelor afectate;
c) persoanele vizate afectate;
d) consecintele incidentului asupra persoanelor vizate;
e) circumstantele in care s-a produs incidentul;

Din pacate, in ultima vreme numarul notificarilor primite de Autoritatea de control din partea operatorilor este intr-o continua crestere iar in urma investigatiilor pe care reprezentantii autoritatii le efectueaza, acestia constata ca motivele care au dus la aparitia acestor brese de securitate sunt foarte variate.

Numai in luna Septembrie 2022 cinci din cele sase comunicate publicate pe site-ul ANSPDCP cu privire la investigatiile efectuate de reprezentantii sai au ca motiv declansator notificarile privind bresele de securitate primite de la operatori.

Valoarea sanctiunilor aplicate difera de la caz la caz, iar pentru stabilirea ei reprezentantii autoritatii de supraveghere au in vedere urmatoarele aspecte:

  • natura, gravitatea si durata incalcarii, tinandu-se seama de natura, domeniul de aplicare sau scopul prelucrarii in cauza, precum si de numarul persoanelor vizate afectate si de nivelul prejudiciilor suferite de acestea;
  • daca incalcarea a fost comisa intentionat sau din neglijenta;
  • orice actiuni intreprinse de operator sau de persoana imputernicita de operator pentru a reduce prejudiciul suferit de persoana vizata;
  • gradul de responsabilitate al operatorului sau al persoanei imputernicite de operator tinandu-se seama de masurile tehnice si organizatorice implementate de acestia;
  • eventualele incalcari anterioare relevante comise de operator sau de persoana imputernicita de operator;
  • gradul de cooperare cu autoritatea de supraveghere pentru a remedia incalcarea si a atenua posibilele efecte negative ale incalcarii;
  • categoriile de date cu caracter personal afectate de incalcare;
  • modul in care incalcarea a fost adusa la cunostinta autoritatii de supraveghere, in special daca si in ce masura operatorul sau persoana imputernicita de operator a notificat incalcarea;
  • aderarea la coduri de conduita aprobate sau la mecanisme de certificare aprobate;
  • orice alt factor agravant sau atenuant;

Toti acesti factori sunt luati in calcul in momentul in care se stabileste cuantumul amenzii aplicate dar si restul masurilor corective care vor fi impuse operatorului.

Foarte important! Valoarea amenzii creste considerabil daca operator nu raporteaza incidentul sau refuza sa coopereze cu Autoritatea de supraveghere.

Multumim,

Echipa MyBiz GDPR