Article 33 RGPD. Notification à l'autorité de contrôle d'une violation de données à caractère personnel
1. En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente conformément à l’article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.
[…]
3. La notification visée au paragraphe 1 doit, à tout le moins:
[…]
b) communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
c) décrire les conséquences probables de la violation de données à caractère personnel;
d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
«Des termes clairs et simples»
S’agissant d’informations écrites (et lorsque des informations écrites sont prononcées oralement ou, au moyen de méthodes audio/audiovisuelles, notamment pour les personnes concernées souffrant de problèmes de vue), les bonnes pratiques applicables au principe d’écriture claire doivent être suivies [11] . Une exigence linguistique semblable (pour des «termes clairs et compréhensibles») a été précédemment appliquée dans la législation de l’Union [12] et est explicitement énoncée dans le contexte du consentement au considérant 42 du RGPD [13] . L’exigence de termes clairs et simples signifie que les informations devraient être fournies de la façon la plus simple possible, en évitant des phrases et des structures linguistiques complexes. Les informations devraient être concrètes et fiables; elles ne devraient pas être formulées dans des termes abstraits ou ambigus ni laisser de place à différentes interprétations. Plus particulièrement, les finalités et fondements juridiques du traitement des données à caractère personnel devraient être clairs.
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 34 GDPR:
6.13.1.1 Обязанности и процедуры
Руководство по внедрению
В рамках общего процесса управления инцидентами информационной безопасности организация должна установить обязанности и процедуры для выявления и регистрации нарушений PII. Кроме того, организация должна установить обязанности и процедуры, связанные с уведомлением требуемых сторон о нарушениях PII (включая время таких уведомлений) и раскрытием властям, принимая во внимание применимое законодательство и / или регулирование.
…
Войти
для доступа к полному тексту