În termen de cel mult 72 de ore de la data la care a luat cunoștință de o încălcare a securității datelor cu caracter personal, cu excepția cazului în care încălcarea este puțin susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor fizice, operatorul1 notifică Centrul Național pentru Protecția Datelor cu Caracter Personal (în continuare – Centru) despre acest lucru fără întârzieri nejustificate, prevede Legea nr. 195/2024 privind protecția datelor cu caracter personal, care va intra în vigoare pe data de 23 august 2026.
Normele și cerințele minime de documentare a incidentelor de securitate sunt stabilite în art. 33 din legea prenotată, iar obligația de aprobare a actele normative necesare pentru executarea acesteia este impusă Centrului prin art. 89 alin. (3) din Legea nr. 195/2024.
Ținând cont de aceste reglementări, Centrul propune pentru consultări publice proiectul formularul tipizat al notificării încălcării securității datelor cu caracter personal, acesta urmând a fi aprobat prin ordinul directorului Centrului. Propunerile părților interesate asupra proiectului pot fi prezentate până la 11 iulie 2026.
Aprobarea formularului va asigura standardizarea procesului de notificare a încălcărilor securității datelor cu caracter personal și transmiterea completă și structurata a informației necesare pentru evaluarea incidentelor, dat și va contribui la eficientizarea procesului de examinare a notificărilor.
Potrivit notei de fundamentare a proiectului, acesta nu introduce obligații noi pentru operatori, ci reglementează modalitatea practică de realizare a unei obligații deja prevăzute de lege.
Ordinul aprobat va fi pus în aplicare odată cu Legea nr. 195/2024 – din 23 august 2026.
______________________________
1 Legea nr. 195/2024, art. 3:
operator – persoană fizică sau juridică, autoritate publică, agenție sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal. În cazul în care scopurile și mijloacele de prelucrare sunt stabilite de actele normative, operatorul sau criteriile specifice pentru desemnarea acestuia sunt prevăzute de actele normative respective.