Art. 36. - Notificarea prevăzută la alin. (1) trebuie să conţină cel puţin următoarele informaţii: - Legea 363/2018 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor, măsurilor educative şi de siguranţă, precum şi privind libera circulaţie a acestor date

M.Of. 13

În vigoare
Versiune de la: 7 Ianuarie 2019
Art. 36
(1)În cazul în care operatorul constată o încălcare a securităţii datelor, notifică fără întârzieri nejustificate autoritatea de supraveghere.
(2)În funcţie de complexitatea încălcării securităţii, notificarea prevăzută la alin. (1) se transmite nu mai târziu de 72 de ore. În această situaţie, operatorul este obligat să transmită şi o justificare a întârzierii. Termenul începe să curgă de la momentul la care operatorul a luat cunoştinţă despre încălcarea securităţii datelor cu caracter personal.
(3)Notificarea prevăzută la alin. (1) nu este necesară în cazul în care încălcarea securităţii datelor cu caracter personal nu este susceptibilă să genereze un risc la adresa drepturilor şi libertăţilor persoanelor fizice.
(4)Persoana împuternicită de către operator are obligaţia să informeze operatorul, fără întârzieri nejustificate, cu privire la existenţa unei încălcări a securităţii datelor cu caracter personal.
(5)Operatorul are obligaţia să implementeze toate măsurile necesare pentru a se asigura că persoana împuternicită de către operator respectă şi îndeplineşte obligaţiile ce îi revin potrivit prevederilor alin. (4).
(6)Notificarea prevăzută la alin. (1) trebuie să conţină cel puţin următoarele informaţii:
a)o descriere a naturii încălcării securităţii datelor cu caracter personal, inclusiv, acolo unde este posibil, categoriile şi numărul aproximativ de persoane vizate în cauză, precum şi categoriile şi numărul aproximativ de înregistrări de date cu caracter personal în cauză;
b)numele şi datele de contact ale responsabilului cu protecţia datelor sau un alt punct de contact de unde se pot obţine mai multe informaţii;
c)descrierea consecinţelor probabile ale încălcării securităţii datelor cu caracter personal;
d)descrierea măsurilor luate sau propuse de operator pentru a remedia încălcarea securităţii datelor cu caracter personal, inclusiv, dacă este cazul, a măsurilor necesare pentru a atenua eventualele efecte adverse ale acesteia.
(7)În cazul în care nu este posibilă furnizarea, în acelaşi timp, a informaţiilor prevăzute la alin. (6), acestea pot fi transmise treptat, fără întârzieri nejustificate, într-un termen care să nu depăşească 48 de ore de la momentul transmiterii notificării iniţiale.