Article 33 RGPD. Notification à l'autorité de contrôle d'une violation de données à caractère personnel
1. En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente conformément à l’article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.
[…]
3. La notification visée au paragraphe 1 doit, à tout le moins:
[…]
b) communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
c) décrire les conséquences probables de la violation de données à caractère personnel;
d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
«Des termes clairs et simples»
S’agissant d’informations écrites (et lorsque des informations écrites sont prononcées oralement ou, au moyen de méthodes audio/audiovisuelles, notamment pour les personnes concernées souffrant de problèmes de vue), les bonnes pratiques applicables au principe d’écriture claire doivent être suivies [11] . Une exigence linguistique semblable (pour des «termes clairs et compréhensibles») a été précédemment appliquée dans la législation de l’Union [12] et est explicitement énoncée dans le contexte du consentement au considérant 42 du RGPD [13] . L’exigence de termes clairs et simples signifie que les informations devraient être fournies de la façon la plus simple possible, en évitant des phrases et des structures linguistiques complexes. Les informations devraient être concrètes et fiables; elles ne devraient pas être formulées dans des termes abstraits ou ambigus ni laisser de place à différentes interprétations. Plus particulièrement, les finalités et fondements juridiques du traitement des données à caractère personnel devraient être clairs.
(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 16.1.1.
Here is the relevant paragraph to article 34 GDPR:
6.13.1.1 Responsibilities and procedures
Implementation guidance
As part of the overall information security incident management process, the organization should establish responsibilities and procedures for the identification and recording of breaches of PII. Additionally, the organization should establish responsibilities and procedures related to notification to required parties of PII breaches (including the timing of such notifications) and the disclosure to authorities, taking into account the applicable legislation and/or regulation.
…
Pieslēgties
lai piekļūtu pilnam tekstam