Conform art. 5 din Regulament unul din principiile de bază care guvernează prelucrarea datelor cu caracter personal este acela că datele trebuie să fie prelucrate într-un mod care asigură securitatea adecvată a acestora. Garanțiile legale ale acestui principiu se regăsesc în principal în art. 32-34 din Regulament.
Persoanele juridice sunt obligate să implementeze măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător (art. 32 din Regulament). Acestea trebuie să stabilească măsurile necesare și suficiente pentru a asigura securitatea datelor.
Totodată, chiar dacă art. 33 din Regulament nu o prevede în mod expres, persoanele juridice trebuie să implementeze măsuri tehnice și organizatorice care, în cazul apariției unei breșe de securitate, asigură componenta reactivă a politicilor interne privind securitatea datelor. Aceste măsuri trebuie să ajute operatorul:
- să stabilească imediat dacă s-a produs o breșă de securitate (preambul, pct. 87 din Regulament);
- dacă este cazul, să notifice autoritatea de supraveghere a prelucrării datelor cu caracter personal (art. 33 din Regulament);
- după caz, să informeze persoana sau persoanele vizate afectate de apariția breșei de securitate (art. 34 din Regulament). Nu în ultimul rând, incidentele de securitate trebuie documentate conform art. 33 alin. (5) din Regulament.
Art. 4 alin. (12) din Regulament definește breșa de securitate: „o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea sau divulgarea neautorizată a datelor cu caracter personal (…) sau la accesul neautorizat la acestea”.
Este foarte important ca persoanele juridice, în calitatea lor de operatori, să se asigure că indiferent de cauza acesteia și forma în care se manifestă, apariția unei breșe de securitate este identificată imediat și adusă în mod corespunzător la cunoștința persoanelor competente să implementeze măsurile care se impun.
Pentru aceasta, persoanele juridice vor asigura instruirea persoanelor implicate în procesele de prelucrare a datelor astfel încât acestea să poată identifica breșele de securitate și să le aducă la cunoștința persoanelor responsabile pentru a lua măsurile necesare în vederea analizei și limitării consecințelor breșei de securitate și, după caz, în vederea notificării autorității de supraveghere și eventual a persoanelor vizate.
Art. 33 din Regulament reglementează obligația operatorului de a notifica breșele de securitate către autoritatea de supraveghere a prelucrării datelor cu caracter personal. În situația în care persoana juridica acționează în calitate de persoană împuternicită, este obligația operatorului să notifice autoritatea de supraveghere cu privire la breșa de securitate. Totuși, persoanele juridice, în calitate de persoane împuternicite vor informa operatorul imediat ce ia cunoștință de apariția breșei de securitate.
Scopul notificării autorității este ca aceasta să poată interveni pentru limitarea riscurilor asupra drepturilor și libertăților persoanelor vizate.
Nu orice breșă de securitate trebuie notificată autorității de supraveghere. Conform art. 32 din Regulament, nu este obligatorie notificarea dacă respectiva breșă nu este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor vizate. Este obligația operatorului să analizeze dacă incidentul de securitate cu care se confruntă generează riscuri pentru drepturile și libertăților persoanelor vizate. Analiza se face de la caz la caz, pe baza următoarelor elemente:
- a) tipul incidentului;
- b) natura, contextul, volumul datelor afectate;
- c) posibilitatea de a identifica persoanele vizate;
- d) consecințele incidentului asupra persoanelor vizate;
- e) consecințele incidentului asupra persoanelor vizate;
- f) circumstanțele persoanelor vizate;
- g) circumstanțele operatorului în cauză.
În cazurile în care notificarea autorității este obligatorie, aceasta trebuie făcută „fără întârziere”, de principiu nu mai târziu de 72 de ore de la data la care operatorul a luat la cunoștință de existența breșei.
Conținutul minim al notificării este reglementat de art. 33 din Regulament. La pregătirea notificării, persoanele juridice vor trebui să protejeze confidențialitatea informațiilor oferite de clienți, sens în care vor oferi autorității detalii despre categoriile și numărul persoanelor afectate, fără însă a compromite confidențialitatea datelor primite de la clienți. În anumite situații, este posibil ca nu toate datele să fie de la început la dispoziția operatorului, unele amănunte devenind disponibile pe măsură ce operatorul investighează breșa. Pentru aceste situații, Regulamentul (art. 33 alin. (4)) și A29 GL recunosc posibilitatea notificării etapizate, în care operatorul transmite autorității de supraveghere datele relevante pe măsură ce acestea devin disponibile.
Art. 34 din Regulament reglementează obligația operatorului de a informa persoanele vizate cu privire la breșele de securitate. Scopul informării este ca persoanele vizate să își poată lua măsuri de protecție.
Informarea persoanelor vizate este obligatorie numai dacă incidentul de securitate este susceptibil să genereze un risc ridicat pentru drepturile și libertățile persoanelor vizate. Dacă notificarea autorității de supraveghere este obligatorie ori de câte ori există un risc privind drepturile și libertățile persoanelor vizate, informarea persoanelor vizate este obligatorie atunci când există un risc ridicat pentru drepturile și libertățile acestora.
Regulamentul nu prevede criterii obiective în funcție de care se determină nivelul riscului generat de incidentul de securitate. Conform Ghidului privind notificarea încălcării securității datelor, la analiza nivelului de risc, operatorul va avea în vedere criteriile de mai jos:
- a) tipul incidentului;
- b) natura, contextul, volumul datelor afectate;
- c) posibilitatea de a identifica persoanele vizate;
- d) consecințele incidentului asupra persoanelor vizate;
- e) consecințele incidentului asupra persoanelor vizate;
- f) circumstanțele persoanelor vizate;
- g) circumstanțele operatorului în cauză;
- h) numărul persoanelor afectate.
În analiza sa, persoanele juridice vor avea în vedere severitatea riscului, însă în același timp va ține cont de probabilitatea apariției acestuia. Astfel, posibilitatea ca incidentul de securitate să genereze un risc ridicat cu privire la drepturile și libertățile persoanei/persoanelor vizate crește (i) atunci când severitatea riscului crește, dar și (ii) atunci când, chiar dacă riscul nu este foarte ridicat, totuși probabilitatea apariției sale este mai mare.
Toate incidentele de securitate trebuie documentate de catre persoanele juridice. Obligația de a documenta incidentele de securitate se întinde și asupra acelor incidente care nu au făcut obiectul notificării.
Regulamentul nu prevede o formă anume a instrumentului care documentează breșele de securitate. Totuși, conținutul acestuia este reglementat în art. 33 alin. (5) din Regulament.
În cazul incidentelor de securitate pentru care s-a luat decizia să nu se notifice autoritatea de supraveghere sau persoanele vizate, operatorul va face mențiune despre decizia de a nu notifica, arătând motivele care au fundamentat această decizie.