GDPR: Firmele vor trebui să documenteze și să raporteze incidentele de securitate către autorități și persoanele fizice

Incidentele de securitate trebuie tratate cu o deosebită seriozitate de către firmele care prelucrează date personale. GDPR, care intră mâine în vigoare, impune documentarea tuturor incidentelor de securitate, indiferent dacă acestea trebuie raportate sau nu.

Însă când intervine obligația raportării incidentelor de securitate către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)? Conform regulamentului citat, notificările se fac atunci când există riscuri pentru drepturile și libertățile persoanelor fizice. De principiu, raportarea se face în maximum 72 de ore de la data la care firma află despre incidentul de securitate.

„În cazul unei breșe de securitate (de exemplu, atacuri informatice, pierderea de documente), poate fi afectată securitatea datelor cu caracter personal prin pierderea, alterarea sau accesul neautorizat la aceste date. În aceste condiții, va trebui notificată autoritatea de supraveghere (adică ANSPDCP - n. red.) în maximum 72 de ore de la momentul în care operatorul a luat cunostință despre eveniment. Dacă breșa de securitate prezintă un risc pentru drepturile și libertățile individuale, vor trebui anunțate și persoanele vizate afectate”, a lămurit, la solicitarea redacției noastre, Andreea Manolache, senior associate la Accace România.

De principiu, când există un risc pentru drepturile și libertățile persoanelor fizice ale căror date personale sunt prelucrate, GDPR prevede că și acestea trebuie informate despre incidentele de securitate. Însă nu întotdeauna.

De exemplu, notificarea persoanelor fizice vizate nu se face dacă, ulterior apariției incidentului de securitate, firma a luat măsuri prin care s-a asigurat că riscurile pentru drepturi și libertăți au fost eliminate. De asemenea, notificarea celor vizați nu se face nici când aceasta ar implica un efort disproporționat, dar tot ar fi necesară, ca alternativă, o informare publică.

GDPR va reprezenta, începând de mâine, cadrul legal european unic în materie de prelucrare a datelor cu caracter personal. Prin urmare, toate firmele care prelucrează date personale trebuie să-i respecte prevederile. Informații mai multe despre măsurile de securitate pe care le pot lua companiile pentru a proteja datele personale sunt în articolul de aici.