Article 33
Notification à l'autorité de contrôle d'une violation de données à caractère personnel
Il n'y pas de considérant de la Directive 95/46 lié à l'article 33.
Règlement
Art. 33 1. En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l'autorité de contrôle compétente conformément à l'article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l’autorité de contrôle n'a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard. 2. Le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance. 3. La notification visée au paragraphe 1 doit, à tout le moins: a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés; b) communiquer le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues; c) décrire les conséquences probables de la violation de données à caractère personnel; d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives. 4. Si, et dans la mesure où, il n'est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu. 5. Le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation a insi constituée permet à l'autorité de contrôle de vérifier le respect du présent article.
|
Directive
Règlement (UE) No 611/2013 de la commission du 24 juin 2013 concernant les mesures relatives à la notification des violations de données à caractère personnel en vertu de la directive 2002/58/CE du Parlement européen et du Conseil sur la vie privée et les communications électroniques Art. 2 Notification à l’autorité nationale compétente 1. Le fournisseur notifie toutes les violations de données à caractère personnel à l’autorité nationale compétente. 2. Le fournisseur notifie la violation de données à caractère personnel à l’autorité nationale compétente, au plus tard vingt-quatre heures après le constat de la violation, si possible. Le fournisseur fournit les informations visées à l’annexe I dans sa notification à l’autorité nationale compétente. Le constat d’une violation de données à caractère personnel est considéré comme établi dès lors que le fournisseur dispose d’assez d’éléments indiquant qu’il s’est produit un incident de sécurité ayant compromis des données à caractère personnel pour justifier une notification conformément au présent règlement. 3. Si les informations visées à l’annexe I ne sont pas toutes disponibles et si la violation de données à caractère personnel exige une enquête plus approfondie, le fournisseur est autorisé à transmettre une notification initiale à l’autorité nationale compétente, au plus tard vingt-quatre heures après le constat de la violation. Cette notification initiale comprend les informations visées à la partie 1 de l’annexe I. Le fournisseur transmet une seconde notification à l’autorité nationale compétente le plus rapidement possible et au plus tard trois jours après la notification initiale. Cette seconde notification comprend les informations visées à la partie 2 de l’annexe I et, si nécessaire, actualise les informations déjà fournies. Si le fournisseur, malgré ses recherches, n’est pas en mesure de fournir toutes les informations dans le délai de trois jours à compter de la notification initiale, il notifie toutes les informations qu’il a recueillies dans ce délai et présente à l’autorité nationale compétente une justification valable de la notification tardive des informations restantes. Le fournisseur notifie dès que possible les informations restantes à l’autorité nationale compétente et, si nécessaire, actualise les informations déjà fournies. 4. L’autorité nationale compétente met à la disposition de tous les fournisseurs établis dans l’État membre concerné un moyen électronique sécurisé de notification des violations de données à caractère personnel ainsi que des informations sur les procédures pour y accéder et l’utiliser. Si nécessaire, la Commission organise des réunions avec les autorités nationales compétentes pour faciliter l’application de cette disposition. 5. Si la violation de données à caractère personnel porte atteinte à des abonnés ou des particuliers d’États membres autres que celui de l’autorité nationale compétente à laquelle la violation a été notifiée, ladite autorité informe les autres autorités nationales concernées. Pour faciliter l’application de cette disposition, la Commission établit et tient à jour une liste des autorités nationales compétentes et des points de contact appropriés. |
Belgique
Aucune disposition spécifique |