Notificare privind încălcarea securității datelor în temeiul GDPR

Aflați cum detectează Microsoft o încălcare a securității datelor cu caracter personal, cum reacționează la aceasta și cum vă notifică în temeiul GDPR.

GDPR impune cerințe de notificare pentru operatorii de date și pentru persoanele împuternicite de operatorii de date, în cazul încălcării securității datelor cu caracter personal. Informațiile de mai jos abordează aceste prevederi, modul în care Microsoft încearcă să prevină din start încălcările, modul în care Microsoft detectează o încălcare și modul în care Microsoft răspunde în cazul unei încălcări și vă notifică din postura de operator de date.


Documentația privind încălcarea securității datelor pentru serviciile online

Dynamics 365

Microsoft Professional Services

Instrumente de administrare

Stabiliți persoana de contact pentru confidențialitatea organizației dvs. Administratorii de entități găzduite pot utiliza portalul de administrare Azure Active Directory pentru a stabili persoana de contact pentru confidențialitatea organizației dvs. în cazul în care Microsoft trebuie să comunice cu aceasta.

Întrebări frecvente despre notificarea privind încălcarea securității datelor

În continuare, sunt prezentate câteva întrebări și răspunsuri importante despre notificarea privind încălcarea securității datelor:
|

Datele personale sunt toate informațiile legate de o persoană care pot fi utilizate pentru a o identifica în mod direct sau indirect. Încălcarea securității datelor cu caracter personal se definește ca „o violare a securității care are drept rezultat distrugerea accidentală sau ilegală, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate în alt mod”.

În cazul unei încălcări a securității datelor cu caracter personal, care ar putea implica un nivel ridicat de riscuri pentru drepturile și libertățile persoanelor vizate (cum ar fi discriminare, furt de identitate, fraudă, pierderi financiare sau prejudiciu de imagine), GDPR vă solicită să:
  • Notificați Autoritatea pentru protecția datelor (APD) în termen de 72 de ore aducându-i la cunoștință acest fapt, de exemplu, după ce Microsoft vă anunță pe dvs. Dacă nu notificați APD în acest interval de timp, va trebui să explicați motivul către APD. Această notificare către DPA este necesară chiar și în cazul în care există un anumit risc pentru persoanele care nu va rezulta într-un risc cu nivel ridicat.
  • Notificați persoanele vizate cu privire la respectiva încălcare fără întârzieri nejustificate.
  • Documentați încălcarea securității, inclusiv cu o descriere a naturii acesteia, cum ar fi numărul de persoane afectate, numărul de înregistrări de date afectate, consecințele acestei încălcări și orice măsură de remediere pe care și-o propune organizația sau pe care a întreprins-o.

După ce ni se aduce la cunoștință breșa în datele personale, GDPR ne impune să vă notificăm fără întârzieri nejustificate. În cazul în care Microsoft este o persoană împuternicită de operatorul de date, obligațiile noastre reflectă atât cerințele GDPR, cât și dispozițiile contractuale standard în întreaga lume. Considerăm că toate încălcările securității datelor cu caracter personal sunt în vizor; nu există risc de producere a unor daune. Ne vom notifica clienții dacă încălcarea securității datelor a afectat Microsoft direct sau oricare dintre subcontractanții noștri. Am instituit procese cu scopul de a identifica și a contacta rapid personalul care se ocupă de incidente de securitate pe care le-ați identificat în organizația dvs. În plus, toți subcontractanții se obligă, prin contract, să raporteze propriile încălcări către Microsoft și să furnizeze garanții în acest sens.

Atât serviciile noastre, cât și personalul nostru respectă procedurile interne de gestionare a incidentelor pentru a garanta că luăm măsurile de precauție corespunzătoare pentru a evita de la bun început încălcarea securității datelor. În plus, serviciile online au implementate controale de securitate specifice pe toate platformele noastre pentru a depista orice încălcare a securității datelor în eventualitatea în care apar.

Pentru a vă susține în eventualitatea încălcării securității datelor cu caracter personal Microsoft deține:
  • Personal de securitate instruit pentru proceduri specifice de urmat.
  • Dispune de politici, proceduri și controale pentru a garanta că Microsoft păstrează evidențe detaliate. Printre acestea se numără documentația care prezintă faptele aferente incidentului, efectele acestuia și măsurile de remediere, precum și urmărirea și stocarea informațiilor în sistemele noastre de gestionare a incidentelor.

Microsoft dispune de politici și proceduri pentru a vă notifica prompt. Pentru a vă satisface cerințele privind notificarea către APD, vom oferi o descriere a procesului pe care îl utilizăm pentru a stabili dacă s-a produs o încălcare a securității datelor cu caracter personal, o descriere a naturii acestei încălcări, precum și o descriere a măsurilor pe care le-am întreprins pentru a o atenua.