Notificarea ANSPDCP privind incidentele de securitate, cele ce presupun încălcarea securității datelor personale, este obligatorie pentru toți operatorii de date personale. Este prevăzută în GDPR și trebuie făcută în maximum 72 de ore de la data la care firma că a fost victima unui astfel de incident
Avem, pentru aceste notificări, un formular oficializat încă de acum un an de zile. De curând însă, ANSPDCP a venit cu un formular online pentru notificarea incidentelor de securitate, formular care este disponibil aici.
Formularul online cuprinde mai multe secțiuni de completat înainte de a apăsa butonul albastru "Trimite formularul": una cu identificarea operatorului, alta cu informații inițiale despre breșa de securitate, o secțiune cu informații suplimentare despre incident, o secțiune privitor la persoanele fizice ale căror date au fost vizate de breșă (dacă s-a făcut informarea lor sau nu și de ce), precum și o secțiune privind aspectele transfrontaliere ale incidentului (dacă e cazul).
Atenție! Când există un risc pentru drepturile și libertățile persoanelor fizice ale căror date personale sunt prelucrate, GDPR prevede că și acestea trebuie informate despre incidentele de securitate, însă nu întotdeauna. Informații suplimentare sunt aici.
Câteva aspecte remarcate din cuprinsul acestui formular online de notificare:
- se poate face nu doar o notificare nouă, privitoare la un nou incident de securitate, ci și o completare a unei notificări depuse anterior;
- câmpurile de completat permit folosirea a numeroase caractere, pentru a descrie cât mai detaliat situațiile.
În acest context, e important de menționat că notificarea de încălcare a securității datelor personale poate fi temei pentru ca ANSPDCP să pornească o investigație din oficiu la compania respectivă. Acesta nu ar trebui nicidecum să fie un motiv pentru a face firma afectată de o breșă să ezite să facă notificarea sau să o amâne (iată aici opt aspecte care să te ajute să-ți dai seama cât de riscantă e o breșă de securitate).
Pe de o parte, consecințele breșei, în special când ne gândim la persoanele ale căror date personale au fost descoperite de către terți neautorizați, consecințele pentru persoanele vizate se pot agrava. Iar, pe de altă parte, notificarea cu întârziere sau deloc a incidentelor de securitate poate fi motiv de sancționare severă din partea ANSPDCP.
Merită să citești: GDPR aplicat: Zece pași utili la construirea unei politici de gestionare a incidentelor de securitate