Conformément à l’art. 33 du Règlement (UE) 2016/679, relatif à la notification à l’autorité de contrôle d’une violation des données personnelles, le responsable du traitement doit notifier à la CPDP la violation en question, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance. Le responsable du traitement a l’obligation d’informer de tout changement intervenu dans les circonstances / les données notifiées.
En ce qui concerne le contenu de la notification, les exigences de l’art. 33, alinéa 3 du Règlement (UE) 2016/679 doivent être respectées. Pour des explications méthodologiques supplémentaires, nous recommandons d’utiliser les « Lignes directrices sur la notification de violations des données personnelles conformément au Règlement (UE) 2016/679 », adoptées par le groupe de travail conformément à l’art. 29, le 3 octobre 2017, révisées pour la dernière fois et adoptées le 6 février 2018 (WP250, rév.01), confirmées par la suite par le Comité européen de la protection des données le 25 mai 2018. Les lignes directrices sont publiées sur le site de la CPDP : ICI.
Modalités de dépôt :
Le dépôt des informations respectives au titre des points 1 et 2, par le responsable du traitement ou le sous-traitant, doit être effectué de l’une des manières suivantes :
1. En personne au secrétariat de la CPDP ou par courrier à l’adresse de : Sofia 1592, 2, bd Prof. Tsvetan Lazarov, Commission de protection des données personnelles. Dans ce cas, la notification remplie, signée et portant un cachet est déposé sur support papier.
2. Par courriel envoyé à la CPDP : kzld@cpdp.bg. Dans ce cas, la notification doit être remplie et le fichier électronique correspondant doit être signé avec une signature électronique qualifiée.
3. Via le système de notification sécurisée par voie électronique, géré par Ministère de l`e-gouvernement. Dans ce cas, la notification doit être remplie et le fichier électronique correspondant doit être envoyé via ce système.