Salve a tutti,
sto definendo una procedura per il Data Breach ma non ho capito se tutti quanti siano tenuti a farla oppure solo chi tratta determinati dati. Sono andata a vedermi il modulo di comunicazione predisposto dal Garante ma all'interno fa riferimento solo alle pubbliche amministrazioni quindi non ho capito se solo loro devono fare la comunicazione in caso di data breach oppure se esiste un altro modulo di comunicazione da compilare (e se sì quale?). Grazie
Salve a tutti,
sto definendo una procedura per il Data Breach ma non ho capito se tutti quanti siano tenuti a farla oppure solo chi tratta determinati dati. Sono andata a vedermi il modulo di comunicazione predisposto dal Garante ma all'interno fa riferimento solo alle pubbliche amministrazioni quindi non ho capito se solo loro devono fare la comunicazione in caso di data breach oppure se esiste un altro modulo di comunicazione da compilare (e se sì quale?). Grazie
[/quote]
La comunicazione di DATA BREACH spetta a tutti i titolari, di qualsiasi entità (pubblici e privati) e dimensioni (piccoli e grandi) con o senza DPO, tenuto o meno al registro dei trattamenti.
[color=red][b]Regolamento (UE) 2016/679
Articolo 33 Notifica di una violazione dei dati personali all'autorità di controllo [/b][/color]
1. [b] In caso di violazione dei dati personali, il titolare del trattamento notifica[/b] la violazione all'autorità di controllo competente a norma dell'articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all'autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.
2. Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione.
3. La notifica di cui al paragrafo 1 deve almeno:
a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
c) descrivere le probabili conseguenze della violazione dei dati personali;
d) descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
4. Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo.
5. Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all'autorità di controllo di verificare il rispetto del presente articolo.
Grazie, gentilmente qual'è il modulo da utilizzare per la cominicazione? ne esiste uno precompilato? sul sito del garante ho trovato solo quella della pubblica amministrazione.
riferimento id:47053
Grazie, gentilmente qual'è il modulo da utilizzare per la cominicazione? ne esiste uno precompilato? sul sito del garante ho trovato solo quella della pubblica amministrazione.
[/quote]
Il modello del Garante è "[b]universale[/b]", valido cioè per tutti i soggetti (pubblici e privai)
Si trova su: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1915835
ATTENZIONE: non è visualizzabile da browser ma va aperto una volta scaricato su PC
Grazie, poi a quale indirizzo lo posso inviare? qual'è l'indirizzo del Garante? grazie
riferimento id:47053
Grazie, poi a quale indirizzo lo posso inviare? qual'è l'indirizzo del Garante? grazie
[/quote]
[img]https://www.garanteprivacy.it/image/image_gallery?uuid=19a2b382-fee5-4c35-b829-1d08fad172b5&groupId=10160&t=1460713887025[/img]
https://www.garanteprivacy.it/web/guest/home/footer/contatti
grazie ancora, gentilmente esiste on line da scaricare un modello-base già pronto di registro del data breach, quello in cui vanno elencate le violazioni anche se non comunicate al Garante? grazie
Grazie, poi a quale indirizzo lo posso inviare? qual'è l'indirizzo del Garante? grazie
[/quote]
[img]https://www.garanteprivacy.it/image/image_gallery?uuid=19a2b382-fee5-4c35-b829-1d08fad172b5&groupId=10160&t=1460713887025[/img]
https://www.garanteprivacy.it/web/guest/home/footer/contatti
[/quote]
NON ho trovato niente ma non starei a fare una cosa complessa:
FILE EXCEL con tre colonne:
DATA: La data in cui è accaduto l'evento
EVENTO: Es. attacco hacker
RIMEDI: Attacco rimosso. Non risulta esserci stata alcuna violazione di dati personali
e basta ... senza grosse complessità