Inca din 2009 fusesera aduse unele modificari la Directiva 2002/58/CE privind prelucrarea datelor personale si protejarea confidentialitatii in sectorul comunicatiilor publice. Termenul de transpunere a respectivelor modificari in legislatia interna era 25 mai 2011.

Abia in luna aprilie a acestui an, respectivele prevederi cerute de Directiva 2002/58/CE au fost incluse in legislatia romaneasca.

Printre aceste prevederi, legea introduce obligatia de notificare, fara intarziere, a Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal (,,ANSPDCP”) cu privire la orice incalcare a securitatii datelor cu caracter personal.

Respectiva obligatie de notificare este in sarcina furnizorilor de servicii de comunicatii electronice destinate publicului. Pana la modificarea recenta a Legii nr. 506/2004, in caz de incalcare a securitatii datelor, exista obligatia respectivilor furnizori de a informa doar abonatii, nu si ANSPDCP.

Legea, in forma ei actuala, precizeaza ca notificarea trebuie sa includa si o descriere a consecintelor incalcarii, precum si a masurilor propuse sau adoptate pentru remedierea acestora.

Citeste si:

De asemenea, legea obliga furnizorii sa pastreze o evidenta a tuturor incalcarilor securitatii datelor. Aceasta evidenta trebuie sa includa o descriere a situatiei in care a avut loc incalcarea, a efectelor acesteia si a masurilor de remediere intreprinse, asa incat ANSPDCP sa poata verifica in ce masura au fost respectate obligatiile furnizorilor.

Legea mai precizeaza ca ANSPDCP poate sa stabileasca conditiile in care furnizorii sunt obligati sa notifice incalcarile, formatul acestor notificari si modalitatile in care se face notificarea. ANSPDCP nu a adoptat inca asemenea reglementari.

In situatia neindeplinirii obligatiei de notificare a ANSPDCP in cazul incalcarii de securitate a datelor, sanctiunea prevazuta de legea modificata este amenda de pana la 100.000 lei, iar in cazul societatilor comerciale cu o cifra de afaceri de peste 5.000.000 lei, amenda este de pana la 2% din cifra de afaceri. Cu toate acestea, pentru furnizori mai semnificativ poate fi riscul operational si de imagine. Conform noii obligatii de notificare acestia nu mai pot rezolva eventuale riscuri de securitate a datelor fara implicarea autoritatii, implicare care poate atrage atentia si asupra altor aspecte problematice privind protectia datelor.

Autor: Iurie Cojocaru, asociat in practica de protectia datelor a NNDKP