Notificarea autoritatii competente in cazul incalcarii de securitate a datelor
Modificarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice era asteptata de mult timp.
Abia in luna aprilie a acestui an, respectivele prevederi cerute de Directiva 2002/58/CE au fost incluse in legislatia romaneasca.
Printre aceste prevederi, legea introduce obligatia de notificare, fara intarziere, a Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal (,,ANSPDCP”) cu privire la orice incalcare a securitatii datelor cu caracter personal.
Respectiva obligatie de notificare este in sarcina furnizorilor de servicii de comunicatii electronice destinate publicului. Pana la modificarea recenta a Legii nr. 506/2004, in caz de incalcare a securitatii datelor, exista obligatia respectivilor furnizori de a informa doar abonatii, nu si ANSPDCP.
Legea, in forma ei actuala, precizeaza ca notificarea trebuie sa includa si o descriere a consecintelor incalcarii, precum si a masurilor propuse sau adoptate pentru remedierea acestora.
De asemenea, legea obliga furnizorii sa pastreze o evidenta a tuturor incalcarilor securitatii datelor. Aceasta evidenta trebuie sa includa o descriere a situatiei in care a avut loc incalcarea, a efectelor acesteia si a masurilor de remediere intreprinse, asa incat ANSPDCP sa poata verifica in ce masura au fost respectate obligatiile furnizorilor.
Legea mai precizeaza ca ANSPDCP poate sa stabileasca conditiile in care furnizorii sunt obligati sa notifice incalcarile, formatul acestor notificari si modalitatile in care se face notificarea. ANSPDCP nu a adoptat inca asemenea reglementari.
In situatia neindeplinirii obligatiei de notificare a ANSPDCP in cazul incalcarii de securitate a datelor, sanctiunea prevazuta de legea modificata este amenda de pana la 100.000 lei, iar in cazul societatilor comerciale cu o cifra de afaceri de peste 5.000.000 lei, amenda este de pana la 2% din cifra de afaceri. Cu toate acestea, pentru furnizori mai semnificativ poate fi riscul operational si de imagine. Conform noii obligatii de notificare acestia nu mai pot rezolva eventuale riscuri de securitate a datelor fara implicarea autoritatii, implicare care poate atrage atentia si asupra altor aspecte problematice privind protectia datelor.
Autor: Iurie Cojocaru, asociat in practica de protectia datelor a NNDKP
Citeste si:
Calculator Salariu: Află câți bani primești în mână în funcție de salariul brut »
Te-ar putea interesa și: