סעיף 33: דיווח לרשות הפיקוח על פרצת מידע אישי



1. במקרה של פרצת מידע אישי, בעל השליטה יידע את רשות הפיקוח המוסמכת בהתאם לסעיף 55, בלא שיהוי ובמידת האפשר לא יאוחר מ-72 שעות מהיוודע לו דבר הפרצה, אלא אם פרצת המידע האישי לא צפויה לסכן זכויות וחירויות של אנשים. במקרה שרשות הפיקוח לא תיודע בתוך 72 שעות, היידוע יכלול גם את הסיבות לעיכוב.

2. המעבד יידע את בעל השליטה בלא שיהוי בהיוודע לו דבר פרצת מידע אישי.

3. ביידוע הנזכר בפסקה 1, לכל הפחות:

  • (א) יתואר אופי פרצת המידע האישי, לרבות במידת האפשר הקטגוריות ומספרם המוערך של נושאי המידע ושל הקטגוריות המעורבות וההיקף המוערך של המידע האישי המעורב;
  • (ב) יימסרו השם ופרטי הקשר של קצין הגנת המידע או מען אחר לתקשורת ממנו ניתן לקבל מידע נוסף;
  • (ג) יתוארו ההשלכות הצפויות של פרצת המידע האישי;
  • (ד) יתוארו האמצעים בהם נקט בעל השליטה או אותם הוא מציע לטיפול בפרצת המידע האישי, לרבות, לפי העניין, אמצעים למזעור השפעותיה השליליות האפשריות.

4. כאשר ובמידה שלא ניתן למסור את המידע בו זמנית, ניתן למסור את המידע בשלבים בלא שיהוי נוסף.

5. בעל השליטה יתעד כל פרצת מידע אישי, תוך שיכלול העובדות הנוגעות לפרצה, להשלכותיה ולפעולה המתקנת שיושמה. התיעוד יאפשר לרשות הפיקוח לוודא עמידה בהוראת סעיף זה.


ניווט:

« | »