Art. 3. - Art. 3: Măsuri de securitate - Legea 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice
M.Of. 1101
În vigoare Versiune de la: 8 Octombrie 2024
Art. 3: Măsuri de securitate 
(1)Furnizorul unui serviciu de comunicaţii electronice destinat publicului are obligaţia de a lua măsuri tehnice şi organizatorice adecvate în vederea asigurării securităţii prelucrării datelor cu caracter personal. Dacă este necesar, furnizorul serviciului de comunicaţii electronice destinate publicului va lua aceste măsuri împreună cu furnizorul reţelei publice de comunicaţii electronice.
(2)Măsurile adoptate potrivit alin. (1) trebuie să asigure un nivel de securitate proporţional cu riscul existent, având în vedere posibilităţile tehnice de ultimă oră şi costurile implementării acestor măsuri.
(3)Fără a aduce atingere prevederilor Legii nr. 677/2001, cu modificările şi completările ulterioare, măsurile adoptate potrivit alin. (1) trebuie să respecte cel puţin următoarele condiţii:a)să garanteze că datele cu caracter personal pot fi accesate numai de persoane autorizate, în scopurile autorizate de lege;
b)să protejeze datele cu caracter personal stocate sau transmise împotriva distrugerii accidentale ori ilicite, împotriva pierderii sau deteriorării accidentale şi împotriva stocării, prelucrării, accesării ori divulgării ilicite;
c)să asigure punerea în aplicare a politicii de securitate elaborate de furnizor în ceea ce priveşte prelucrarea datelor cu caracter personal.
(4)Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal, denumită în continuare ANSPDCP, poate audita măsurile luate de furnizori în conformitate cu alin. (1) şi poate emite recomandări cu privire la cele mai bune practici privind nivelul de securitate care trebuie atins de aceste măsuri.
(5)În cazul existenţei unui risc determinat de încălcarea securităţii datelor cu caracter personal, furnizorii de servicii de comunicaţii electronice destinate publicului au obligaţia de a informa abonaţii cu privire la existenţa acestui risc, precum şi la posibilele consecinţe ce decurg. În cazul în care acest risc depăşeşte domeniul de aplicare a măsurilor pe care le pot lua furnizorii, aceştia au obligaţia de a informa abonaţii despre remediile posibile, inclusiv prin indicarea costurilor implicate.
(6)În cazul unei încălcări a securităţii datelor cu caracter personal, furnizorii de servicii de comunicaţii electronice destinate publicului vor notifica ANSPDCP, fără întârziere, la respectiva încălcare.
(7)Atunci când încălcarea securităţii datelor cu caracter personal ar putea aduce atingere datelor cu caracter personal sau vieţii private a unui abonat ori a unei alte persoane, furnizorul va notifica respectiva încălcare, fără întârziere, abonatului sau persoanei în cauză.
(8)Notificarea prevăzută la alin. (7) nu este necesară dacă furnizorul a demonstrat ANSPDCP, într-un mod pe care aceasta îl consideră satisfăcător, că a aplicat măsuri tehnologice de protecţie adecvate şi că respectivele măsuri au fost aplicate datelor afectate de încălcarea securităţii. Astfel de măsuri tehnologice de protecţie trebuie să asigure faptul că datele devin neinteligibile persoanelor care nu sunt autorizate să le acceseze.
(9)Fără a aduce atingere obligaţiei furnizorului de a notifica abonaţilor şi persoanelor în cauză, în cazul în care furnizorul nu a notificat deja abonatului sau persoanei în cauză încălcarea securităţii datelor cu caracter personal, ANSPDCP poate, după analizarea posibilelor efecte negative ale încălcării, să îi solicite să facă acest lucru.
(10)Notificarea prevăzută la alin. (7) va cuprinde cel puţin o descriere a naturii încălcării securităţii datelor cu caracter personal şi punctele de contact ale furnizorului unde pot fi obţinute mai multe informaţii şi va recomanda măsuri de atenuare a posibilelor efecte negative ale acestei încălcări. Notificarea prevăzută la alin. (6) va conţine şi o descriere a consecinţelor încălcării securităţii datelor cu caracter personal, precum şi a măsurilor propuse sau adoptate de furnizor în vederea remedierii acestora.
(11)Sub rezerva oricăror măsuri tehnice de punere în aplicare adoptate de Comisia Europeană, ANSPDCP poate să stabilească circumstanţele în care furnizorii sunt obligaţi să notifice încălcări ale securităţii datelor cu caracter personal, formatul unei astfel de notificări şi modalităţile în care se va face notificarea.
(12)Furnizorii au obligaţia de a păstra o evidenţă a tuturor încălcărilor securităţii datelor cu caracter personal, care trebuie să cuprindă o descriere a situaţiei în care a avut loc încălcarea, a efectelor acesteia şi a măsurilor de remediere întreprinse, astfel încât ANSPDCP să poată verifica dacă au fost respectate obligaţiile ce incumbă furnizorilor potrivit prezentului articol. Evidenţa va include numai informaţiile necesare în acest scop.
(1)Furnizorul unui serviciu de comunicaţii electronice destinat publicului are obligaţia de a lua măsuri tehnice şi organizatorice adecvate în vederea asigurării securităţii prelucrării datelor cu caracter personal. Dacă este necesar, furnizorul serviciului de comunicaţii electronice destinate publicului va lua aceste măsuri împreună cu furnizorul reţelei publice de comunicaţii electronice.(2)Măsurile adoptate potrivit alin. (1) trebuie să asigure un nivel de securitate proporţional cu riscul existent, având în vedere posibilităţile tehnice de ultimă oră şi costurile implementării acestor măsuri.(3)Fără a aduce atingere prevederilor Legii nr. 677/2001, cu modificările şi completările ulterioare, măsurile adoptate potrivit alin. (1) trebuie să respecte cel puţin următoarele condiţii:a)să garanteze că datele cu caracter personal pot fi accesate numai de persoane autorizate, în scopurile autorizate de lege;b)să protejeze datele cu caracter personal stocate sau transmise împotriva distrugerii accidentale ori ilicite, împotriva pierderii sau deteriorării accidentale şi împotriva stocării, prelucrării, accesării ori divulgării ilicite;c)să asigure punerea în aplicare a politicii de securitate elaborate de furnizor în ceea ce priveşte prelucrarea datelor cu caracter personal.(4)Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal, denumită în continuare ANSPDCP, poate audita măsurile luate de furnizori în conformitate cu alin. (1) şi poate emite recomandări cu privire la cele mai bune practici privind nivelul de securitate care trebuie atins de aceste măsuri.(5)În cazul existenţei unui risc determinat de încălcarea securităţii datelor cu caracter personal, furnizorii de servicii de comunicaţii electronice destinate publicului au obligaţia de a informa abonaţii cu privire la existenţa acestui risc, precum şi la posibilele consecinţe ce decurg. În cazul în care acest risc depăşeşte domeniul de aplicare a măsurilor pe care le pot lua furnizorii, aceştia au obligaţia de a informa abonaţii despre remediile posibile, inclusiv prin indicarea costurilor implicate.(6)În cazul unei încălcări a securităţii datelor cu caracter personal, furnizorii de servicii de comunicaţii electronice destinate publicului vor notifica ANSPDCP, fără întârziere, la respectiva încălcare.(7)Atunci când încălcarea securităţii datelor cu caracter personal ar putea aduce atingere datelor cu caracter personal sau vieţii private a unui abonat ori a unei alte persoane, furnizorul va notifica respectiva încălcare, fără întârziere, abonatului sau persoanei în cauză.(8)Notificarea prevăzută la alin. (7) nu este necesară dacă furnizorul a demonstrat ANSPDCP, într-un mod pe care aceasta îl consideră satisfăcător, că a aplicat măsuri tehnologice de protecţie adecvate şi că respectivele măsuri au fost aplicate datelor afectate de încălcarea securităţii. Astfel de măsuri tehnologice de protecţie trebuie să asigure faptul că datele devin neinteligibile persoanelor care nu sunt autorizate să le acceseze.(9)Fără a aduce atingere obligaţiei furnizorului de a notifica abonaţilor şi persoanelor în cauză, în cazul în care furnizorul nu a notificat deja abonatului sau persoanei în cauză încălcarea securităţii datelor cu caracter personal, ANSPDCP poate, după analizarea posibilelor efecte negative ale încălcării, să îi solicite să facă acest lucru.(10)Notificarea prevăzută la alin. (7) va cuprinde cel puţin o descriere a naturii încălcării securităţii datelor cu caracter personal şi punctele de contact ale furnizorului unde pot fi obţinute mai multe informaţii şi va recomanda măsuri de atenuare a posibilelor efecte negative ale acestei încălcări. Notificarea prevăzută la alin. (6) va conţine şi o descriere a consecinţelor încălcării securităţii datelor cu caracter personal, precum şi a măsurilor propuse sau adoptate de furnizor în vederea remedierii acestora.(11)Sub rezerva oricăror măsuri tehnice de punere în aplicare adoptate de Comisia Europeană, ANSPDCP poate să stabilească circumstanţele în care furnizorii sunt obligaţi să notifice încălcări ale securităţii datelor cu caracter personal, formatul unei astfel de notificări şi modalităţile în care se va face notificarea.(12)Furnizorii au obligaţia de a păstra o evidenţă a tuturor încălcărilor securităţii datelor cu caracter personal, care trebuie să cuprindă o descriere a situaţiei în care a avut loc încălcarea, a efectelor acesteia şi a măsurilor de remediere întreprinse, astfel încât ANSPDCP să poată verifica dacă au fost respectate obligaţiile ce incumbă furnizorilor potrivit prezentului articol. Evidenţa va include numai informaţiile necesare în acest scop.