Secţiunea 2 - Securitatea datelor cu caracter personal - Directiva 680/27-apr-2016 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracţiunilor sau al executării pedepselor şi privind libera circulaţie a acestor date şi de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului
Acte UE
Jurnalul Oficial 119L
În vigoare Versiune de la: 23 Mai 2018
Secţiunea 2:Securitatea datelor cu caracter personal
Art. 29: Securitatea prelucrării
(1)Statele membre garantează că, având în vedere stadiul actual al tehnologiei şi costurile implementării şi ţinând seama de natura,domeniul de aplicare, contextul şi scopurile prelucrării, precum şi de riscurile cu grade diferite de probabilitate şi de gravitate la adresa drepturilor şi libertăţilor persoanelor fizice, operatorul şi persoana împuternicită de acesta implementează măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, în special în ceea ce priveşte prelucrarea categoriilor speciale de date cu caracter personal menţionate la articolul 10.
(2)În ceea ce priveşte prelucrarea automată, fiecare stat membru garantează că operatorul sau persoana împuternicită de către operator pune în aplicare, în urma unei evaluări a riscurilor, măsuri menite:
a)să împiedice accesul persoanelor neautorizate la echipamentele de prelucrare utilizate pentru prelucrare ("controlul accesului la echipamente");
b)să împiedice orice citire, copiere, modificare sau eliminare neautorizată a suporturilor de date ("controlul suporturilor de date");
c)să împiedice introducerea neautorizată de date cu caracter personal şi inspectarea, modificarea sau ştergerea neautorizată a datelor cu caracter personal stocate ("controlul stocării");
d)să împiedice utilizarea sistemelor de prelucrare automată de către persoane neautorizate cu ajutorul echipamentelor de comunicare a datelor ("controlul utilizatorului");
e)să asigure faptul că persoanele autorizate să utilizeze un sistem de prelucrare automată au acces numai la datele cu caracter personal pentru care au autorizare ("controlul accesului la date");
f)să asigure că este posibilă verificarea şi identificarea organismelor cărora le-au fost transmise sau puse la dispoziţie sau s-ar putea să le fie transmise sau puse la dispoziţie date cu caracter personal utilizându-se echipamente de comunicare a datelor ("controlul comunicării");
g)să asigure că este posibil ulterior să se verifice şi să se identifice datele cu caracter personal introduse în sistemele de prelucrare automată, momentul introducerii datelor cu caracter personal şi entitatea care le-a introdus ("controlul introducerii datelor");
h)să împiedice citirea, copierea, modificarea sau ştergerea neautorizată a datelor cu caracter personal în timpul transferurilor de date cu caracter personal sau în timpul transportării suporturilor de date ("controlul transportării");
i)să asigure posibilitatea recuperării sistemelor instalate în cazul unei întreruperi ("recuperarea");
j)să asigure funcţionarea sistemului, raportarea defecţiunilor de funcţionare (fiabilitate) şi imposibilitatea coruperii datelor cu caracter personal stocate din cauza funcţionării defectuoase a sistemului ("integritate").
Art. 30: Notificarea autorităţii de supraveghere în cazul încălcării securităţii datelor cu caracter personal
(1)Statele membre garantează că, în cazul în care are loc o încălcare a securităţii datelor cu caracter personal, operatorul notifică acest lucru autorităţii de supraveghere fără întârzieri nejustificate şi, în cazul în care este posibil, în cel mult 72 de ore după ce a luat cunoştinţă de aceasta, cu excepţia cazului în care încălcarea securităţii datelor cu caracter personal nu este susceptibilă să genereze un risc la adresa drepturilor şi libertăţilor persoanelor fizice. În cazul în care notificarea către autoritatea de supraveghere nu are loc în termen de 72 de ore, aceasta este însoţită de o explicaţie motivată pentru întârziere.
(2)Persoana împuternicită de către operator înştiinţează operatorul fără întârzieri nejustificate după ce ia cunoştinţă de o încălcare a securităţii datelor cu caracter personal.
(3)Notificarea menţionată la alineatul (1) trebuie, cel puţin:
a)să descrie caracterul încălcării securităţii datelor cu caracter personal, inclusiv, acolo unde este posibil, categoriile şi numărul aproximativ de persoane vizate în cauză, precum şi categoriile şi numărul aproximativ de înregistrări de date cu caracter personal în cauză;
b)să comunice numele şi datele de contact ale responsabilului cu protecţia datelor sau un alt punct de contact de unde se pot obţine mai multe informaţii;
c)să descrie consecinţele probabile ale încălcării securităţii datelor cu caracter personal;
d)să descrie măsurile luate sau propuse de operator pentru a remedia încălcarea securităţii datelor cu caracter personal, inclusiv, dacă este cazul, măsuri pentru a atenua eventualele efecte adverse ale acesteia.
(4)În cazul în care şi în măsura în care furnizarea informaţiilor în acelaşi timp nu este posibilă, informaţiile pot fi furnizate treptat, fără întârzieri nejustificate.
(5)Statele membre garantează că operatorul păstrează documente referitoare la toate cazurile de încălcare a securităţii datelor cu caracter personal, menţionate la alineatul (1), care cuprind o descriere a situaţiei în care a avut loc încălcarea securităţii datelor cu caracter personal, a efectelor acesteia şi a măsurilor de remediere întreprinse. Această documentaţie trebuie să permită autorităţii de supraveghere să verifice respectarea prezentului articol.
(6)Statele membre garantează că, în cazul în care încălcarea securităţii datelor implică date cu caracter personal care au fost transmise de un operator dintr-un alt stat membru sau către un astfel de operator, informaţiile prevăzute la alineatul (3) se comunică operatorului din respectivul stat membru fără întârzieri nejustificate.
Art. 31: Informarea persoanei vizate cu privire la încălcarea securităţii datelor cu caracter personal
(1)Statele membre garantează că, în cazul în care încălcarea securităţii datelor cu caracter personal este susceptibilă să genereze un risc ridicat la adresa drepturilor şi libertăţilor persoanelor fizice, operatorul informează persoana vizată, fără întârzieri nejustificate, cu privire la încălcarea securităţii datelor cu caracter personal.
(2)În informarea transmisă persoanei vizate, prevăzută la alineatul (1) din prezentul articol, se include o descriere într-un limbaj simplu şi clar a caracterului încălcării securităţii datelor cu caracter personal, precum şi cel puţin informaţiile şi măsurile menţionate la articolul 30 alineatul (3) literele (b), (c) şi (d).
(3)Informarea persoanei vizate, menţionată la alineatul (1), nu este necesară în cazul în care este îndeplinită oricare dintre următoarele condiţii:
a)operatorul a pus în aplicare măsuri tehnologice şi organizatorice adecvate de protecţie, iar aceste măsuri au fost aplicate în cazul datelor cu caracter personal afectate de încălcarea securităţii datelor cu caracter personal, în special măsuri prin care se asigură că datele cu caracter personal devin neinteligibile oricărei persoane care nu este autorizată să le acceseze, cum ar fi criptarea;
b)operatorul a luat măsuri ulterioare prin care se asigură că riscul ridicat la adresa drepturilor şi libertăţilor persoanelor vizate menţionat la alineatul (1) nu mai este susceptibil să se materializeze;
c)aceasta ar necesita un efort disproporţionat. În acest caz, informarea se înlocuieşte printr-o informare publică sau o măsură similară prin care persoanele vizate sunt informate într-un mod la fel de eficace.
(4)În cazul în care operatorul nu a informat deja persoana vizată cu privire la încălcarea securităţii datelor cu caracter personal, autoritatea de supraveghere, luând în considerare probabilitatea ca încălcarea securităţii datelor cu caracter personal să genereze un risc ridicat, poate să îi solicite să facă acest lucru sau poate decide că oricare dintre condiţiile menţionate la alineatul (3) sunt îndeplinite.
(5)Informarea persoanei vizate menţionată la alineatul (1) din prezentul articol poate fi amânată, restricţionată sau omisă, sub rezerva condiţiilor şi a motivelor menţionate la articolul 13 alineatul (3).