O breșă de securitate nu e o chestiune de „dacă", ci de „când". Pentru firmele din Moldova care prelucrează date ale clienților din UE, GDPR impune o regulă strictă: notificare în 72 de ore. Cine nu e pregătit descoperă termenul exact în cel mai prost moment. Iată cum funcționează și cum te organizezi.

Ce este o breșă în sensul GDPR

O breșă de securitate a datelor personale este orice incident care duce la:

  • Distrugerea sau pierderea datelor (de exemplu un server căzut fără backup).
  • Alterarea neautorizată a datelor.
  • Divulgarea sau accesul neautorizat (un cont spart, un email trimis greșit, o bază de date expusă).

Nu doar hackingul contează. Un laptop pierdut, un email cu date trimis către destinatarul greșit sau un colaborator care copiază o bază de date pe un stick sunt tot breșe.

Regula celor 72 de ore

Dacă ești controlor de date, ai obligația să notifici autoritatea de supraveghere competentă fără întârziere nejustificată și, dacă e posibil, în cel mult 72 de ore de la momentul în care ai luat cunoștință de breșă. Dacă breșa prezintă un risc ridicat pentru persoane, trebuie să le anunți și pe ele.

Dacă ești procesator (prestezi pentru un client din UE), obligația ta este să anunți controlorul fără întârziere. Termenul concret e de obicei fixat în DPA — adesea 24 sau 48 de ore, ca să apuce el să respecte cele 72 de ore față de autoritate.

Termenul curge din momentul în care ai aflat, nu de când s-a produs. De aceea contează cât de repede detectezi.

Ce trebuie să conțină notificarea

O notificare corectă include:

  1. Natura breșei — ce s-a întâmplat, ce categorii și câte persoane sunt afectate.
  2. Datele de contact ale persoanei responsabile.
  3. Consecințele probabile ale breșei.
  4. Măsurile luate sau propuse pentru a limita efectele.

Dacă nu ai toate detaliile în 72 de ore, notifici ce știi și completezi ulterior — mai bine o notificare parțială la timp decât una completă întârziată.

Cum te pregătești din timp

Nu poți improviza o notificare sub presiune. Ai nevoie de o procedură scrisă care să răspundă la:

  • Cine detectează și cui raportează intern?
  • Cine decide dacă e breșă notificabilă?
  • Cine contactează autoritatea / clientul?
  • Unde e lista de contacte (autoritate, clienți, reprezentant în UE)?
  • Cum documentezi incidentul?

Ține și un registru al breșelor — GDPR îți cere să documentezi orice incident, chiar și pe cele pe care decizi să nu le notifici, cu motivarea deciziei.

Prevenția reduce riscul de breșă

Cele mai multe breșe vin din lucruri banale: parole slabe, lipsa autentificării în doi factori, scripturi de tracking care încarcă date fără consimțământ, tool-uri terțe necontrolate. O igienă de bază a datelor reduce drastic probabilitatea unui incident.

Pe partea vizibilă, un site conform arată că iei securitatea în serios. Aici GDPR Moldova te ajută cu elementul cel mai des verificat: un banner de consimțământ conform, cu blocare reală prin Google Consent Mode v2, plus politica de cookies în română și rusă. Astfel, scripturile de tracking nu rulează necontrolat înainte de acceptul vizitatorului. Ai 7 zile gratis să testezi.

Ce riști dacă nu notifici

Nerespectarea obligației de notificare este ea însăși o încălcare GDPR, cu sancțiuni care ajung până la 10.000.000 € sau 2% din cifra de afaceri anuală. Iar dacă breșa a produs prejudicii persoanelor, riști și acțiuni în despăgubire. Pentru un procesator din Moldova, ratarea termenului din DPA înseamnă adesea și pierderea clientului european.

Concluzie

Regula celor 72 de ore nu iartă improvizația. Pregătește din timp o procedură de răspuns, ține un registru al breșelor, redu riscul prin măsuri de securitate de bază și un site conform. Când un incident apare — și va apărea — diferența dintre o firmă serioasă și una neglijentă se vede în primele ore.

Material orientativ, nu constituie consultanță juridică.