Noile reglementari din UE in domeniul protectiei datelor cu caracter personal adoptate pentru sectorul comunicatiilor electronice introduc o noua institutie juridica, deja implementata in anumite state - notificarea pentru incalcarea securitatii protectiei datelor cu caracter personal. Din discutiile de la nivelul UE, se pare ca aceasta institutie va fi introdusa si in noua modificare a directivei-cadru, devenind, probabil, in urmatorii ani o obligatie pentru toti operatorii de date personale. Prezentarea cuprinde definirea si explicarea conceptului de notificare, prezentarea legislatiei actuale de la nivelul UE si a implementarii sale subsecvente in Romania, ca si referinte cu privire la includerea acesteia in noua directiva-cadru.

3. "a state agency, or a person or business that conducts business in California, that owns or licenses computerized data that includes personal information, as defined, to disclose in specified ways, any breach of the security of the data , as defined, to any resident of California whose unencrypted personal information was, or is reasonably believed to have been, acquired by an unauthorized person."

4. In 2010 doar 4 state ale SUA nu aveau dispozitii similare

6. Noul articol 4 (3) Notificarea

7. În cazul unei încălcări a securității datelor cu caracter personal, furnizorul serviciilor de comunicații electronice destinate publicului notifică , fără întârzieri nejustificate , autoritatea națională competentă cu privire la respectiva încălcare.

9. Atunci când încălcarea securității datelor cu caracter personal ar putea aduce atingere datelor cu caracter personal și vieții private ale unui abonat sau ale unei persoane , furnizorul notifică respectiva încălcare, fără întârzieri nejustificate, abonatului sau persoanei.

11. Notificarea având ca obiect o încălcare a datelor cu caracter personal către abonatul sau persoana în cauză nu este necesară dacă furnizorul a demonstrat autorității competente, într-un mod pe care aceasta îl consideră satisfăcător, că a aplicat măsuri tehnologice adecvate de protecție și că respectivele măsuri au fost aplicate datelor afectate de încălcarea securității. Astfel de măsuri tehnologice de protecție trebuie să asigure că datele devin neinteligibile persoanelor care nu sunt autorizate să le acceseze.

13. Notificarea adresată abonatului sau persoanei în cauză cuprinde cel puțin natura încălcării securității datelor cu caracter personal și punctele de contact unde pot fi obținute mai multe informații și recomandă măsuri de atenuare a posibilelor efecte negative ale încălcării securității datelor cu caracter personal. Notificarea adresată autorității naționale competente descrie, de asemenea, consecințele încălcării securității datelor cu caracter personal și măsurile propuse sau adoptate de furnizor în vederea remedierii acesteia.

15. Care trebuie adoptata pina in 25 Mai 2011

16. In Romania inseamna modificarea legii 506/2004

17. Se permit interpretari comune la nivel UE (Vezi si primul raport ENISA)

19. Uneori chiar si dincolo de sectorul telecom

20. Trebuie o notificare scrisa sau pastrat un jurnal al notificarilor pentru un audit ?

21. Au capacitatea tehnica autoritatile competente sa faca analize ale incalcarii securitatii ?

23. Cand avem de a face cu o „ încălcare a securității datelor cu caracter personal”

24. Trebuie raportată indiferent de consecințe ?

25. Ce înseamna ”fara întârzieri nejustificate?”

26. Cine poate lua decizia de a trimite notificarea consumatorului ? În ce circumstanțe ?

27. Este publica notificarea ?

30. Proiect lege ANCOM Art.46. – (1) Furnizorii de reţele publice de comunicaţii electronice sau de servicii de comunicaţii electronice destinate publicului au obligaţia de a lua toate măsurile tehnice şi organizatorice adecvate pentru a administra riscurile care pot afecta securitatea reţelelor şi serviciilor.

31. Proiect lege ANCOM (2) Art.47 – (1) Furnizorii de reţele publice de comunicaţii electronice sau de servicii de comunicaţii electronice destinate publicului au obligaţia de a notifica ANCOM, în cel mai scurt timp , cu privire la orice încălcare a securităţii sau pierdere a integrităţii care are un impact semnificativ asupra furnizării reţelelor sau serviciilor. (2) ANCOM poate informa publicul cu privire la existenţa cazului prevăzut la alin. (1) sau poate solicita furnizorului să informeze publicul cu privire la existenţa acestui caz, atunci când consideră că este în interesul public.

32. Proiect lege ANCOM (3) Art.49. – (1) În vederea aplicării prevederilor prezentului capitol, ANCOM poate solicita furnizorilor de reţele publice de comunicaţii electronice sau de servicii de comunicaţii electronice destinate publicului: a) să furnizeze toate informaţiile necesare evaluării securităţii şi integrităţii reţelelor şi serviciilor, inclusiv politicile interne de securitate aplicabile; b) să se supună, pe cheltuiala proprie, unui audit de securitate realizat de un organism independent sau de o altă autoritate competentă şi să transmită ANCOM rezultatele auditului

34. Exista posibilitatea includerii si unei obligatii suplimentare de notificare a pierderii/alterarii datelor cu caracter personal in al doilea proiect legislativ

36. Un prim draft va fi disponibil probabil in Aprilie 2011

37. Exista sanse extrem de mari ca obligatia de notificare privind incalcarile de securitate cu privire la protectia datelor cu caracter personal sa fie extinsa la toate domeniile

39. Aceasta notificare va fi probabil extinsa la toate categoriile de servicii prin modificare directivei privind procesarea datelor cu caracter personal

40. Proiectul ANCOM largeste aceasta notificare pentru oric e ” încălcare a securităţii sau pierdere a integrităţii care are un impact semnificativ asupra furnizării reţelelor sau serviciilor.”