Răspuns
O încălcare a securității datelor se produce atunci când datele pentru care societatea/organizația dvs. este responsabilă suferă un incident de securitate care duce la compromiterea confidențialității, a disponibilității sau a integrității. Dacă se întâmplă acest lucru și există probabilitatea ca încălcarea să prezinte un risc pentru drepturile și libertățile unei persoane fizice, societatea/organizația dvs. trebuie să înștiințeze autoritatea de supraveghere fără întârzieri nejustificate, în termen de cel mult 72 de ore de la momentul la care ați luat cunoștință de încălcare. Dacă societatea/organizația dvs. este persoana împuternicită de operator, trebuie să înștiințați operatorul cu privire la fiecare încălcare a securității datelor.
Dacă încălcarea securității datelor prezintă un risc ridicat pentru persoanele fizice afectate, atunci trebuie să fie informate și toate aceste persoane (cu excepția cazului în care s-au aplicat măsuri de protecție tehnice și organizatorice eficace sau alte măsuri care asigură faptul că riscul nu mai este susceptibil să se materializeze).
Ca organizație, este vital să puneți în aplicare măsuri tehnice și organizatorice adecvate pentru a evita posibile încălcări ale securității datelor.
Exemple
Organizația trebuie să înștiințeze APD și persoanele fizice
Datele angajaților unei fabrici de textile au fost dezvăluite. Datele includeau adresele personale, componența familiei, salariul lunar și cererile medicale ale fiecărui angajat. În acest caz, fabrica de textile trebuie să informeze autoritatea de supraveghere cu privire la încălcarea securității datelor. Deoarece datele cu caracter personal includ date sensibile, cum sunt cele referitoare la sănătate, fabrica trebuie să înștiințeze și angajații.
Un angajat al unui spital decide să copieze datele pacienților pe un CD și le publică online. Spitalul află câteva zile mai târziu. Din momentul în care află, spitalul are la dispoziție 72 de ore pentru a informa autoritatea de supraveghere și, pentru că datele cu caracter personal conțin informații sensibile, cum ar fi dacă un pacient are cancer, dacă o pacientă este însărcinată etc., acesta trebuie să informeze și pacienții. În acest caz, este puțin probabil ca spitalul să fi pus în aplicare măsuri de protecție tehnice și organizatorice – dacă ar fi pus în aplicare măsuri de protecție adecvate (de exemplu, criptarea datelor), riscul nu ar fi susceptibil să se materializeze, iar spitalul ar putea fi scutit de la înștiințarea pacienților.
Societatea trebuie să înștiințeze clienții, iar aceștia pot avea obligația de a înștiința apoi APD și persoanele fizice
Un serviciu de cloud pierde mai multe hard diskuri care conțin date cu caracter personal ale mai multor clienți ai săi. Societatea trebuie să înștiințeze clienții respectivi de îndată ce ia cunoștință de încălcarea securității. Clienții săi trebuie să anunțe APD și persoanele fizice, în funcție de natura datelor pe care le prelucra persoana împuternicită de operator.
Referințe
Examples
Organisation must notify the DPA and individuals
The data of a textile company’s employees has been disclosed. The data included the personal addresses, family composition, monthly salary and medical claims of each employee. In that case, the textile company must inform the supervisory authority of the breach. Since the personal data includes sensitive data, such as health data, the company has to notify the employees as well.
A hospital employee decides to copy patients’ details onto a CD and publishes them online. The hospital finds out a few days later. As soon as the hospital finds out, it has 72 hours to inform the supervisory authority and, since the personal details contain sensitive information such as whether a patient has cancer, is pregnant, etc., it has to inform the patients as well. In that case, there would be doubts about whether the hospital has implemented appropriate technical and organisational protection measures. If it had indeed implemented appropriate protection measures (for example encrypting the data), a material risk would be unlikely and it could be exempt from notifying the patients.
Company must notify clients and they may then have to notify the DPA and individuals
A cloud service loses several hard drives containing personal data belonging to several of its clients. It has to notify those clients as soon as it becomes aware of the breach. Its clients must notify the DPA and the individuals depending on the data that was processed by the data processor.