Noile reglementari din UE in domeniul protectiei datelor cu caracter personal adoptate pentru sectorul comunicatiilor electronice introduc o noua institutie juridica, deja implementata in anumite state - notificarea pentru incalcarea securitatii protectiei datelor cu caracter personal. Din discutiile de la nivelul UE, se pare ca aceasta institutie va fi introdusa si in noua modificare a directivei-cadru, devenind, probabil, in urmatorii ani o obligatie pentru toti operatorii de date personale.
Prezentarea cuprinde definirea si explicarea conceptului de notificare, prezentarea legislatiei actuale de la nivelul UE si a implementarii sale subsecvente in Romania, ca si referinte cu privire la includerea acesteia in noua directiva-cadru.
3. "a state agency, or a person or business that conducts business in California, that owns or licenses computerized data that includes personal information, as defined, to disclose in specified ways, any breach of the security of the data , as defined, to any resident of California whose unencrypted personal information was, or is reasonably believed to have been, acquired by an unauthorized person."
4. In 2010 doar 4 state ale SUA nu aveau dispozitii similare
7. În cazul unei încălcări a securității datelor cu caracter personal, furnizorul serviciilor de comunicații electronice destinate publicului notifică , fără întârzieri nejustificate , autoritatea națională competentă cu privire la respectiva încălcare.
8.
9. Atunci când încălcarea securității datelor cu caracter personal ar putea aduce atingere datelor cu caracter personal și vieții private ale unui abonat sau ale unei persoane , furnizorul notifică respectiva încălcare, fără întârzieri nejustificate, abonatului sau persoanei.
10.
11. Notificarea având ca obiect o încălcare a datelor cu caracter personal către abonatul sau persoana în cauză nu este necesară dacă furnizorul a demonstrat autorității competente, într-un mod pe care aceasta îl consideră satisfăcător, că a aplicat măsuri tehnologice adecvate de protecție și că respectivele măsuri au fost aplicate datelor afectate de încălcarea securității. Astfel de măsuri tehnologice de protecție trebuie să asigure că datele devin neinteligibile persoanelor care nu sunt autorizate să le acceseze.
12.
13. Notificarea adresată abonatului sau persoanei în cauză cuprinde cel puțin natura încălcării securității datelor cu caracter personal și punctele de contact unde pot fi obținute mai multe informații și recomandă măsuri de atenuare a posibilelor efecte negative ale încălcării securității datelor cu caracter personal. Notificarea adresată autorității naționale competente descrie, de asemenea, consecințele încălcării securității datelor cu caracter personal și măsurile propuse sau adoptate de furnizor în vederea remedierii acesteia.
30. Proiect lege ANCOM Art.46. – (1) Furnizorii de reţele publice de comunicaţii electronice sau de servicii de comunicaţii electronice destinate publicului au obligaţia de a lua toate măsurile tehnice şi organizatorice adecvate pentru a administra riscurile care pot afecta securitatea reţelelor şi serviciilor.
31. Proiect lege ANCOM (2) Art.47 – (1) Furnizorii de reţele publice de comunicaţii electronice sau de servicii de comunicaţii electronice destinate publicului au obligaţia de a notifica ANCOM, în cel mai scurt timp , cu privire la orice încălcare a securităţii sau pierdere a integrităţii care are un impact semnificativ asupra furnizării reţelelor sau serviciilor. (2) ANCOM poate informa publicul cu privire la existenţa cazului prevăzut la alin. (1) sau poate solicita furnizorului să informeze publicul cu privire la existenţa acestui caz, atunci când consideră că este în interesul public.
32. Proiect lege ANCOM (3) Art.49. – (1) În vederea aplicării prevederilor prezentului capitol, ANCOM poate solicita furnizorilor de reţele publice de comunicaţii electronice sau de servicii de comunicaţii electronice destinate publicului: a) să furnizeze toate informaţiile necesare evaluării securităţii şi integrităţii reţelelor şi serviciilor, inclusiv politicile interne de securitate aplicabile; b) să se supună, pe cheltuiala proprie, unui audit de securitate realizat de un organism independent sau de o altă autoritate competentă şi să transmită ANCOM rezultatele auditului
33.
34. Exista posibilitatea includerii si unei obligatii suplimentare de notificare a pierderii/alterarii datelor cu caracter personal in al doilea proiect legislativ
35.
36. Un prim draft va fi disponibil probabil in Aprilie 2011
37. Exista sanse extrem de mari ca obligatia de notificare privind incalcarile de securitate cu privire la protectia datelor cu caracter personal sa fie extinsa la toate domeniile
38.
39. Aceasta notificare va fi probabil extinsa la toate categoriile de servicii prin modificare directivei privind procesarea datelor cu caracter personal
40. Proiectul ANCOM largeste aceasta notificare pentru oric e ” încălcare a securităţii sau pierdere a integrităţii care are un impact semnificativ asupra furnizării reţelelor sau serviciilor.”
Notas del editor
http://www.youtube.com/watch?v=3YcZ3Zqk0a8
Vezi info la http://www.ncsl.org/Default.aspx?TabId=13489
Raport NISAȘ In one country, for example, the regulator outlined specific examples of incidents that they would consider to be a breach: ● Processing personal data for direct marketing purposes without consent of the data subject ● The use of a personal identification number without consent of the data subject ● A disclosure of debtor’s data without a written reminder to the data subject about the default ● Processing personal data by automatic means without notifying State Data Protection Inspectorate