(75) Ir-riskji għad-drittijiet u l-libertajiet tal-persuni fiżiċi, bi probabbiltà u gravità li jvarjaw, jistgħu jirriżultaw mill-ipproċessar ta’ data personali li tista’ twassal għal dannu fiżiku, materjali jew mhux materjali, b’mod partikolari fejn l-ipproċessar jista’ jagħti lok għal diskriminazzjoni, serq ta’ identità jew frodi, telf finanzjarju, dannu għar-reputazzjoni, telf ta’ kunfidenzjalità ta’ data personali protetta mis-segretezza professjonali, it-treġġigħ lura mhux awtorizzat tal-psewdonimizzazzjoni, jew kwalunkwe żvantaġġ ekonomiku jew soċjali sinifikanti ieħor; jew fejn is-suġġetti tad-data jistgħu jiġu mċaħħda mid-drittijiet u l-libertajiet tagħhom jew impediti milli jeżerċitaw kontroll fuq id-data personali tagħhom; fejn tiġi pproċessata data personali li tiżvela l-oriġini razzjali jew etnika, l-opinjonijiet politiċi, it-twemmin reliġjuż jew filosofiku, is-sħubija fi trade union, u l-ipproċessar ta’ data ġenetika, data dwar is-saħħa jew data dwar il-ħajja sesswali jew kundanni kriminali u reati jew miżuri ta’ sigurtà relatati; fejn l-aspetti personali jiġu evalwati, b’mod partikolari l-analiżi jew it-tbassir ta’ aspetti rigward il-prestazzjoni fuq ix-xogħol, is-sitwazzjoni ekonomika, is-saħħa, il-preferenzi jew l-interessi personali, l-affidabbiltà jew l-imġiba, il-lokalizzazzjoni jew il-movimenti, sabiex jinħolqu jew jintużaw profili personali; fejn tiġi proċessata data personali ta’ persuni fiżiċi vulnerabbli, b’mod partikolari ta’ tfal; jew fejn l-ipproċessar jinvolvi ammont kbir ta’ data personali u jaffettwa numru kbir ta’ suġġetti tad-data.
(85) Il-vjolazzjoni ta' data personali tista', jekk ma tiġix indirizzata b'mod adegwat u fil-ħin, tirriżulta f'dannu fiżiku, materjali jew mhux materjali lill-persuni fiżiċi bħat-telf ta' kontroll tad-data personali tagħhom jew limitazzjoni tad-drittijiet tagħhom, diskriminazzjoni, serq tal-identità jew frodi, telf finanzjarju, it-treġġigħ lura mhux awtorizzat tal-psewdonimizzazzjoni, dannu għar-reputazzjoni, telf ta' kunfidenzjalità tad-data personali protetta mis-segretezza professjonali jew kwalunkwe żvantaġġ ekonomiku jew soċjali ieħor għall-persuna fiżika kkonċernata. Għalhekk, malli l-kontrollur jinduna li sar ksur ta' data personali, il-kontrollur għandu jinnotifika l-ksur tad-data personali lill-awtorità superviżorja mingħajr dewmien bla bżonn u, fejn fattibbli, mhux aktar tard minn 72 siegħa wara li jkun sar jaf bih, sakemm il-kontrollur ma jkunx kapaċi juri, f'konformità mal-prinċipju tar-responsabbiltà, li l-ksur ta' data personali x'aktarx ma jirriżultax f'riskju għad-drittijiet u l-libertajiet tal-persuni fiżiċi. Fejn tali notifika ma tkunx tista' tinkiseb fi żmien 72 siegħa, in-notifika għandha tkun akkumpanjata mir-raġunijiet tad-dewmien u tista' tingħata informazzjoni f'fażijiet mingħajr aktar dewmien bla bżonn.
(87) Għandu jiġi vverifikat jekk kull protezzjoni teknoloġika xierqa u miżuri organizzattivi ġewx implimentati biex jiġi stabbilit immedjatament jekk seħħitx vjolazzjoni ta' data personali u biex jiġu informati minnufih l-awtorità superviżorja u s-suġġett tad-data. Il-fatt li n-notifika saret mingħajr dewmien żejjed għandu jiġi stabbilit filwaqt li jitqiesu b'mod partikolari n-natura u l-gravità tal-vjolazzjoni tad-data personali u l-konsegwenzi u l-effetti negattivi tagħha għas-suġġett tad-data. Notifika bħal din tista' tirriżulta f'intervent mill-awtorità superviżorja f'konformità mal-kompiti u s-setgħat tagħha stabbiliti f'dan ir-Regolament.
(88) Waqt l-istabbiliment ta' regoli dettaljati dwar il-format u l-proċeduri applikabbli għan-notifika ta' vjolazzjoni ta' data personali, għandha tingħata konsiderazzjoni xierqa liċ-ċirkostanzi ta' dik il-vjolazzjoni, inkluż jekk id-data personali kinitx protetta b'miżuri adatti ta' protezzjoni teknika, li jnaqqsu b'mod effettiv il-possibbiltà ta' frodi tal-identità jew forom oħra ta' użu ħażin. Barra minn hekk, dawn ir-regoli u l-proċeduri għandhom jikkunsidraw l-interessi leġittimi tal-awtoritajiet tal-infurzar tal-liġi fejn l-iżvelar bikri jista' jxekkel mingħajr bżonn l-investigazzjoni taċ-ċirkostanzi ta' vjolazzjoni ta' data personali.
(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 16.1.1.
Here is the relevant paragraph to article 33 GDPR:
6.13.1.1 Responsibilities and procedures
Implementation guidance
As part of the overall information security incident management process, the organization should establish responsibilities and procedures for the identification and recording of breaches of PII. Additionally, the organization should establish responsibilities and procedures related to notification to required parties of PII breaches (including the timing of such notifications) and the disclosure to authorities, taking into account the applicable legislation and/or regulation.
(EN) […]
(EN) Sign in
to read the full text