Inca din 2009 fusesera aduse unele modificari la Directiva 2002/58/CE privind prelucrarea datelor personale si protejarea confidentialitatii in sectorul comunicatiilor publice. Termenul de transpunere a respectivelor modificari in legislatia interna era 25 mai 2011.

Abia in luna aprilie a acestui an, respectivele prevederi cerute de Directiva 2002/58/CE au fost incluse in legislatia romaneasca.

Printre aceste prevederi, legea introduce obligatia de notificare, fara intarziere, a Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal (,,ANSPDCP”) cu privire la orice incalcare a securitatii datelor cu caracter personal.

Respectiva obligatie de notificare este in sarcina furnizorilor de servicii de comunicatii electronice destinate publicului. Pana la modificarea recenta a Legii nr. 506/2004, in caz de incalcare a securitatii datelor, exista obligatia respectivilor furnizori de a informa doar abonatii, nu si ANSPDCP.

Legea, in forma ei actuala, precizeaza ca notificarea trebuie sa includa si o descriere a consecintelor incalcarii, precum si a masurilor propuse sau adoptate pentru remedierea acestora.

De asemenea, legea obliga furnizorii sa pastreze o evidenta a tuturor incalcarilor securitatii datelor. Aceasta evidenta trebuie sa includa o descriere a situatiei in care a avut loc incalcarea, a efectelor acesteia si a masurilor de remediere intreprinse, asa incat ANSPDCP sa poata verifica in ce masura au fost respectate obligatiile furnizorilor.

Legea mai precizeaza ca ANSPDCP poate sa stabileasca conditiile in care furnizorii sunt obligati sa notifice incalcarile, formatul acestor notificari si modalitatile in care se face notificarea. ANSPDCP nu a adoptat inca asemenea reglementari.

In situatia neindeplinirii obligatiei de notificare a ANSPDCP in cazul incalcarii de securitate a datelor, sancti