MEDIA DESIGN Studio Laborator Colaborari Contact
Acceseaza programul ANTREPRENOR START pentru avantaje comerciale exclusive.
Ai nevoie de suport? Suna: +40 744 933 131

Media Design Legal

Notificare Incident de Securitate

Procedura internă pentru gestionarea și notificarea încălcărilor securității datelor conform GDPR Art. 33-34.

1. Ce reprezintă o încălcare a securității datelor

Conform GDPR Art. 4 pct. 12, o "încălcare a securității datelor cu caracter personal" înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate altfel. Încălcările pot afecta una sau mai multe dintre cele trei proprietăți ale securității informației:

  • Confidențialitate: date accesate sau divulgate fără autorizare (de exemplu, exfiltrare de baze de date, acces neautorizat la cont);
  • Integritate: date modificate sau corupte fără autorizare (de exemplu, ransomware care criptează sau alterează înregistrări);
  • Disponibilitate: date distruse sau inaccesibile (de exemplu, ștergere accidentală, atac DDoS care blochează accesul la date).

2. Obligația notificării ANSPDCP în 72 de ore

Conform GDPR Art. 33, în cazul unei încălcări a securității datelor cu caracter personal, Media Design S.R.L. va notifica Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la momentul în care a luat cunoștință de incident, cu excepția cazului în care încălcarea este puțin probabilă să genereze un risc pentru drepturile și libertățile persoanelor fizice. Dacă notificarea nu poate fi transmisă în 72 de ore, se va transmite împreună cu motivele întârzierii.

3. Obligația notificării persoanei vizate

Conform GDPR Art. 34, dacă o încălcare a securității datelor este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, Media Design S.R.L. va comunica această încălcare persoanei vizate fără întârzieri nejustificate, utilizând un limbaj clar și simplu, accesibil persoanei afectate. Evaluarea riscului se realizează conform criteriilor din secțiunea 4.

4. Procedura internă de gestionare a incidentelor

La detectarea unui potențial incident de securitate, Media Design S.R.L. urmează pașii de mai jos:

  1. Detectare: identificarea incidentului prin alerte automate de sistem, raportare internă de la un colaborator sau notificare externă (client, cercetător de securitate, terț);
  2. Triere: confirmarea că incidentul constituie o încălcare a securității datelor personale (și nu un fals pozitiv tehnic);
  3. Evaluare risc (5 criterii): (a) natura și gravitatea consecințelor posibile; (b) numărul de persoane vizate afectate; (c) categoriile de date implicate (date sensibile = risc sporit); (d) ușurința cu care datele pot fi folosite abuziv; (e) dacă datele sunt criptate sau pseudonimizate;
  4. Notificare: activarea obligației de notificare ANSPDCP și/sau a persoanelor vizate conform secțiunilor 2 și 3 de mai sus;
  5. Documentare: înregistrarea în Registrul intern al încălcărilor conform GDPR Art. 33(5), inclusiv fapte, efecte și măsuri de remediere, indiferent dacă notificarea a fost sau nu obligatorie.

5. Conținutul notificării către ANSPDCP

Conform GDPR Art. 33 alin. (3), notificarea transmisă ANSPDCP va conține cel puțin:

  • natura încălcării securității datelor, inclusiv, dacă este posibil, categoriile și numărul aproximativ de persoane vizate afectate și categoriile și numărul aproximativ de înregistrări de date cu caracter personal afectate;
  • datele de contact ale punctului nostru de contact pentru protecția datelor (DPO sau echivalent);
  • consecințele probabile ale încălcării securității datelor;
  • măsurile luate sau propuse pentru remedierea încălcării, inclusiv, după caz, măsuri de atenuare a posibilelor sale efecte negative.

Dacă informațiile nu sunt disponibile integral în 72 de ore, notificarea inițială va include informațiile disponibile, urmând să fie completată fără întârzieri nejustificate.

6. Conținutul notificării către persoana vizată

Conform GDPR Art. 34, comunicarea transmisă persoanei vizate va fi redactată în limbaj clar și simplu și va include:

  • o descriere a naturii încălcării securității datelor personale;
  • ce date au fost afectate (categorii, tipuri);
  • ce am făcut pentru a remedia situația și a limita efectele negative;
  • ce acțiuni recomandăm persoanei vizate să ia pentru a se proteja (de exemplu, schimbarea parolei, monitorizarea tranzacțiilor financiare);
  • datele de contact ale punctului nostru de contact pentru protecția datelor.

7. Excepții de la notificarea persoanei vizate

Conform GDPR Art. 34 alin. (3), notificarea persoanei vizate nu este necesară dacă:

  • Media Design S.R.L. a implementat măsuri tehnice și organizatorice de protecție adecvate, în special măsuri care fac datele inteligibile pentru orice persoană care nu este autorizată să le acceseze, cum ar fi criptarea (datele afectate sunt complet criptate și cheia nu a fost compromisă);
  • Media Design S.R.L. a luat măsuri ulterioare care asigură că riscul ridicat pentru drepturile și libertățile persoanelor vizate nu mai este susceptibil să se materializeze;
  • notificarea fiecărei persoane vizate ar implica un efort disproporționat; în acest caz, se va publica o comunicare publică sau se va lua o altă măsură similară prin care persoanele vizate să fie informate la fel de eficient.

8. Registrul intern al încălcărilor

Conform GDPR Art. 33 alin. (5), Media Design S.R.L. documentează toate încălcările securității datelor cu caracter personal, inclusiv pe cele care nu necesită notificarea ANSPDCP, în Registrul intern al încălcărilor. Registrul include:

  • data și ora detectării;
  • descrierea faptelor;
  • categoriile și numărul (estimat) de persoane vizate și înregistrări afectate;
  • efectele și consecințele probabile;
  • măsurile de remediere luate;
  • decizia motivată privind notificarea sau ne-notificarea ANSPDCP / persoanelor vizate.

Registrul este păstrat timp de 5 ani și este pus la dispoziția ANSPDCP la cerere.

9. Cum raportezi o suspiciune

Dacă suspectați o încălcare a securității datelor sau ați identificat o vulnerabilitate, vă rugăm să ne contactați imediat:

În raportul dvs., includeți (dacă știți): ce ați observat, când, ce pagini sau funcționalități sunt implicate, capturi de ecran sau mesaje de eroare relevante. Nu testați activ vulnerabilitățile fără acordul nostru scris prealabil.

10. Contact ANSPDCP

Autoritatea națională de supraveghere poate fi contactată direct la:

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
B-dul G-ral. Gheorghe Magheru nr. 28-30, Sector 1, București, cod 010336
Telefon: +40 318 059 211
Email: anspdcp@dataprotection.ro
Web: www.dataprotection.ro

Ultima actualizare: 1 iunie 2026.

Newsletter

Prin trimiterea acestui formular, datele tale sunt prelucrate de Media Design SRL a-ți trimite newsletter-ul nostru ocazional + a-ți comunica noutățile relevante, în temeiul Art. 6(1)(a) GDPR + Art. 12 Legea 506/2004 -- consimțământ explicit, pentru o durată de până la dezabonare (cu un click în orice email). Drepturile tale GDPR + detalii complete în Politica de Confidențialitate.

*

Aboneaza-te la newsletter-ul nostru si fii la curent cu cele mai recente tendinte in design digital.

"Sunt aici sa preiau greutatea organizarii de pe umerii tai. Rolul meu este sa armonizez munca tuturor acestor specialisti pentru ca proiectul tau sa fie livrat la timp si la standardele promise. Iti ofer garantia unei comunicari transparente si a unui parteneriat in care nu exista surprize neplacute."
Radu Project Manager