Protecția datelor cu caracter personal este o responsabilitate esențială pentru operatorii de date. Regulamentul General privind Protecția Datelor (GDPR) stabilește obligații stricte pentru aceștia în ceea ce privește securitatea prelucrării datelor și gestionarea incidentelor de securitate.
- Măsuri tehnice și organizatorice pentru protecția datelor
Conform articolului 32 din GDPR, operatorii de date trebuie să implementeze măsuri tehnice și organizatorice adecvate pentru a asigura un nivel corespunzător de securitate. Acestea includ:
- Pseudonimizarea și criptarea datelor pentru a limita riscurile de acces neautorizat;
- Asigurarea confidențialității, integrității și disponibilității sistemelor;
- Capacitatea de recuperare rapidă a datelor în cazul unor incidente;
- Testarea și evaluarea periodică a eficacitatea măsurilor de securitate implementate.
Nivelul de protecție trebuie să fie adaptat riscurilor generate de prelucrarea datelor, cum ar fi accesul neautorizat, pierderea sau distrugerea accidentală a datelor.
- Notificarea autorității de supraveghere
Atunci când are loc o încălcare a securității datelor, operatorii trebuie să notifice autoritatea de supraveghere competentă (ANSPDCP în cazul României) într-un termen de maximum 72 de ore de la momentul luării la cunoștință despre incident. Notificarea trebuie să includă:
- Natura încălcării, categoriile de date afectate și numărul persoanelor vizate;
- Datele de contact ale responsabilului cu protecția datelor (DPO);
- Consecințele probabile ale incidentului;
- Măsurile luate pentru remedierea situației și atenuarea impactului.
Dacă notificarea nu este efectuată în termenul legal, trebuie furnizate explicații pentru întârziere.
- Informarea persoanelor vizate
Operatorul are obligația de a informa persoanele vizate despre o încălcare a securității datelor atunci când aceasta poate genera un risc ridicat pentru drepturile și libertățile acestora. Această informare trebuie să fie clară, simplă și să conțină detalii despre incident, consecințele posibile și măsurile adoptate. Totuși, dacă operatorul a implementat măsuri de protecție adecvate, precum criptarea, sau a luat măsuri care elimină riscul, informarea individuală poate să nu fie necesară.
- Păstrarea documentației privind incidentele de securitate
Operatorii sunt obligați să documenteze toate incidentele de securitate, inclusiv cauzele, efectele și măsurile luate. Această documentație este esențială pentru a demonstra conformitatea în fața autorităților de supraveghere.
Concluzie
Respectarea obligațiilor privind securitatea prelucrării datelor și notificarea incidentelor este esențială pentru evitarea sancțiunilor și protejarea drepturilor persoanelor vizate. Operatorii trebuie să adopte măsuri proactive pentru prevenirea breșelor de securitate și să reacționeze prompt în cazul apariției acestora. Pentru o implementare corectă, consultarea unui specialist în protecția datelor este recomandată.
RO 
EN