Comisia Europeană

Regulamentul nr. 611/2013 privind măsurile aplicabile notificării încălcărilor securității datelor cu caracter personal în temeiul Directivei 2002/58/CE a Parlamentului European și a Consiliului privind confidențialitatea și comunicațiile electronice
Număr celex: 32013R0611

În vigoare de la 26.06.2013

În versiunea gratuită textul este afisat parțial. Pentru textul integral alegeți un abonament Lege5 care permite vizualizarea completă a documentului sau cumpărați documentul în formă completă.

Cumpără forma completă

COMISIA EUROPEANÃ,

având în vedere Tratatul privind funcționarea Uniunii Europene,

având în vedere Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice) (1), în special articolul 4 alineatul (5),

(1) JO L 201, 31.7.2002, p. 37.

după consultarea Agenției Europene pentru Securitatea Rețelelor Informatice și a Datelor (ENISA),

după consultarea Grupului de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal, instituit prin articolul 29 din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (2) (Grupul de lucru instituit prin articolul 29),

(2) JO L 281, 23.11.1995, p. 31.

după consultarea Autorității Europene pentru Protecția Datelor (AEPD),

întrucât:

(1) Directiva 2002/58/CE prevede armonizarea dispozițiilor naționale, lucru necesar în vederea asigurării unui nivel echivalent de protecție a drepturilor și libertăților fundamentale, în special a dreptului la confidențialitate și la respectarea vieții private, în domeniul prelucrării de date cu caracter personal în sectorul comunicațiilor electronice, precum și în vederea asigurării liberei circulații a acestor date și a serviciilor și echipamentelor de comunicații electronice în interiorul Uniunii.

(2) În temeiul articolului 4 din Directiva 2002/58/CE, prestatorii de servicii publice de comunicații electronice trebuie să informeze autoritățile naționale competente și, în anumite cazuri, de asemenea, abonații și persoanele în cauză cu privire la încălcarea securității datelor cu caracter personal. Încălcările privind securitatea datelor cu caracter personal sunt definite la articolul 2 litera (i) din Directiva 2002/58/CE ca încălcări ale securității având ca rezultat distrugerea accidentală sau ilegală, pierderea, alterarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate în alt mod în legătură cu furnizarea de servicii de comunicații electronice destinate publicului în cadrul Uniunii.

(3) Pentru a asigura consecvența în punerea în aplicare a măsurilor la care se face referire la articolul 4 alineatele (2), (3) și (4) din Directiva 2002/58/CE, articolul 4 alineatul (5) din regulamentul respectiv permite Comisiei să adopte măsuri tehnice de punere în aplicare privind circumstanțele, formatul și procedurile aplicabile cerințelor de informare și notificare la care se face referire în articolul respectiv.

(4) Cerințe naționale diferite în aceste privințe ar putea genera incertitudine juridică, proceduri mai complexe și greoaie și costuri administrative semnificative pentru prestatorii care desfășoară activități transfrontaliere. Prin urmare, Comisia consideră că este necesar să se adopte astfel de măsuri tehnice de punere în aplicare.

(5) Prezentul regulament se limitează la notificarea încălcărilor securității datelor cu caracter personal și, prin urmare, nu prevede măsuri tehnice de punere în aplicare cu privire la articolul 4 alineatul (2) din Directiva 2002/58/CE în ceea ce privește informarea abonaților în cazul unui anumit risc de încălcare a securității rețelei.

(6) Din articolul 4 alineatul (3) primul paragraf din Directiva 2002/58/CE rezultă că prestatorii trebuie să notifice autorității naționale competente toate cazurile de încălcare a securității datelor cu caracter personal. Prin urmare, nu ar trebui lăsată la latitudinea prestatorului decizia de a notifica sau nu autoritatea națională competentă. Totuși, acest lucru nu ar trebui să împiedice autoritatea națională competentă în cauză să investigheze cu prioritate anumite încălcări ale securității în modul pe care îl consideră adecvat, în conformitate cu legislația aplicabilă, și să ia măsurile necesare pentru a evita supraraportarea sau subraportarea încălcărilor securității datelor cu caracter personal.

(7) Este necesar să se prevadă un sistem de notificare către autoritatea națională competentă a încălcărilor securității datelor cu caracter personal, un sistem alcătuit, în cazul în care sunt îndeplinite anumite condiții, din diferitele etape, fiecare etapă făcând obiectul unui anumit termen limită. Acest sistem este menit a garanta că autoritatea națională competentă este informată cât mai repede și cât mai complet posibil, fără însă a îngreuna în mod nejustificat eforturile prestatorului de a investiga încălcarea securității și de a lua măsurile necesare pentru a limita încălcarea și a remedia consecințele acesteia.

(8) Nici o simplă suspiciune că a avut loc o încălcare a securității datelor cu caracter personal, nici o simplă depistare a unui incident, în lipsa unor informații suficiente, în pofida tuturor eforturilor depuse de un prestator în acest sens, nu trebuie apreciate ca suficiente pentru a se considera că a fost depistată o încălcare a datelor cu caracter personal în scopul prezentului regulament. În acest sens, trebuie să se țină seama în special de disponibilitatea informațiilor menționate în anexa I.

(9) În contextul aplicării prezentului regulament, autoritățile naționale competente în cauză trebuie să coopereze atunci când încălcările securității datelor cu caracter personal au o dimensiune transfrontalieră.

(10) Prezentul regulament nu prevede detalii suplimentare referitoare la inventarul cazurilor de încălcare a securității datelor cu caracter personal pe care trebuie să îl țină prestatorii, deoarece articolul 4 din Directiva 2002/58/CE precizează în mod exhaustiv conținutul inventarului. Totuși, prestatorii pot face trimitere la prezentul regulament pentru a stabili formatul inventarului.

..........


În versiunea gratuită textul este afisat parțial. Pentru textul integral alegeți un abonament Lege5 care permite vizualizarea completă a documentului sau cumpărați documentul în formă completă.

;
se încarcă...