Cand se aplica notificarea incalcarilor securitatii datelor personale si ce urmeaza
Răspuns direct
Notificarea se aplica atunci cand un incident de securitate afecteaza date personale si poate crea risc, obligatii ale procesatorului sau obligatii fata de clienti. Primul pas este un dosar de evaluare, ownership clar, analiza de risc si pastrarea dovezilor.
Pe cine afectează: Echipe de privacy, compliance, produs, juridic, securitate si fondatori SaaS
Ce trebuie făcut acum
- Deschideti un dosar cand un incident poate implica date personale.
- Separati autoritatea, persoanele vizate, clientii si echipele interne.
- Pastrati cronologia, evaluarea, decizia si remedierea intr-un singur loc.
Notificarea incalcarilor securitatii datelor personale este un flux operational. Cand un incident poate implica date personale, echipa trebuie sa deschida un dosar de evaluare, sa confirme sistemele afectate, sa atribuie responsabili si sa documenteze faptele cunoscute si necunoscute.
Articolul 33 GDPR cere operatorului sa notifice autoritatea competenta fara intarzieri nejustificate si, daca este posibil, in 72 de ore de la momentul in care a luat cunostinta de incalcare, cu exceptia cazului in care este improbabil sa existe risc pentru drepturile si libertatile persoanelor. Persoana imputernicita trebuie sa notifice operatorul fara intarzieri nejustificate. Articolul 34 cere comunicare catre persoane cand exista risc ridicat.
Pentru SaaS, intrebarile sunt simple: exista date personale, exista risc sau risc ridicat, si ce rol are compania pentru fiecare set de date. Furnizorul poate fi operator pentru date de cont si imputernicit pentru datele clientilor.
Dosarul trebuie sa includa detectarea, momentul constientizarii, sistemele, categoriile de date, persoanele sau inregistrarile afectate, furnizorii, limitarea efectelor, consecintele probabile, masurile si decizia de notificare. Termenele din DPA si contracte trebuie incluse in acelasi workflow.
Autoritatea, persoanele vizate, clientii si echipele interne au nevoi diferite. Evaluati separat riscul si riscul ridicat.
Greselile frecvente sunt asteptarea certitudinii, maparea gresita a rolurilor, confuzia dintre risc si risc ridicat, increderea excesiva in criptare sau containment si dovezi imprastiate in chat-uri, tichete si emailuri. Un proces bun conecteaza incident response, privacy, obligatii catre clienti si remediere.
FAQ
Trebuie notificata fiecare incalcare?
Nu. Daca riscul pentru persoane este improbabil, notificarea autoritatii poate sa nu fie necesara. Decizia trebuie documentata.
Ce documentam prima data?
Cronologia, datele afectate, rolul GDPR, clientii, limitarea efectelor, analiza de risc, decizia si actiunile corective.
Termeni-cheie din acest articol
Surse primare
- General Data Protection RegulationEuropean Union · Accesat 9 mai 2026
- Guidelines 9/2022 on personal data breach notification under GDPREuropean Data Protection Board · Accesat 9 mai 2026
- Personal data breaches - a guideInformation Commissioner's Office · Accesat 9 mai 2026
- 72 hours - how to respond to a personal data breachInformation Commissioner's Office · Accesat 9 mai 2026
Explorează huburi similare
Articole similare
Termeni similari din glosar
Pregătit să îți asiguri conformitatea?
Nu aștepta ca încălcările să îți afecteze afacerea. Primește raportul complet de conformitate în câteva minute.
Scanează-ți site-ul gratuit acum