Articol scris de Adriana Radu, partener și coordonator al practicii de dreptul muncii și protecția datelor cu caracter personal la Schoenherr și Asociații.
Dacă măsurile tehnice și organizatorice discutate în cadrul pasului șapte au dat greș și securitatea datelor a fost compromisă, operatorul are obligația de a lua măsuri ca efectele și prejudiciile produse să fie cât mai reduse.
Din acest motiv, GDPR impune operatorilor să notifice Autoritatea de Supraveghere dacă are loc o încălcare a securității datelor cu caracter personal, fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta.
De asemenea, dacă încălcarea securității datelor cu caracter personal este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul informează persoana vizată fără întârzieri nejustificate cu privire la încălcare.
Deși traducerea oficială în limba română a GDPR este defectuoasă, din varianta în limba engleză rezultă că obligația de notificare nu există dacă încălcarea nu este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor fizice.
Care sunt aspectele la care trebuie să fim atenți? Dacă notificarea nu are loc în termen de 72 de ore, pentru a stabili dacă notificarea a fost efectuată cu o întârziere nejustificată Autoritatea de Supraveghere va lua în calcul, în special, natura și gravitatea încălcării securității datelor cu caracter personal, precum și consecințele și efectele negative ale acesteia asupra persoanei vizate.
De asemenea, întrucat termenul de notificare curge de la data la are operatorul a luat la cunostință despre încălcare, extrem de multe aspecte de natură factuală vor fi luate în calcul pentru a stabili acest moment, cum ar fi: când a fost informat despre o potențială încălcare, prin ce metode, de către cine (de exemplu: media, angajați, terți etc.), ce pași concreți a adoptat pentru a verifica informația, cât de rapid a acționat și cât de complicat a fost de stabilit că a avut loc o încălcare de securitate.
Consultă aici pașii anteriori de pregătire pentru GDPR.
Nota redacției: Acest articol face parte dintr-o serie referitoare la pregătirea angajatorilor pentru aplicarea GDPR, desfășurată de avocatnet.ro împreună cu Schoenherr și Asociații. Toate articolele din serie pot fi găsite aici.