Furnizorii de servicii ar putea fi obligați să ia măsurile tehnice și organizatorice necesare pentru a asigura securitatea serviciilor. Aceste măsuri vor trebui să garanteze atât accesibilitatea datelor personale numai pentru personalul autorizat și numai în scopuri autorizate de lege, cât și protecția datelor personale stocate sau transmise, precum și protecția rețelei și a serviciilor. Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP) a elaborat un proiect de modificare a Legii cu privire la prevenirea şi combaterea criminalităţii informatice. Potrivit documentului, Centrul ar putea fi inclus în lista autorităților publice competente în domeniul prevenirii și combaterii criminalității informatice. Proiectul elaborat de instituție prevede completarea art. 4 din Legea cu privire la prevenirea şi combaterea criminalităţii informatice, astfel încât instituția să poate efectua supravegherea și investigarea conformității prelucrării datelor cu caracter personal și/sau a mijloacelor utilizate în acest sens, cu cerințele legislației din domeniul protecției datelor cu caracter personal. O altă modificare se referă la obligaţiile furnizorilor de servicii. Legea ar putea fi completată cu un nou articol, care se va referi la securitatea datelor cu caracter personal. Mai exact, furnizorii de servicii vor fi obligați și responsabili să ia măsuri tehnice și organizatorice corespunzătoare pentru a proteja conformitatea și confidențialitatea datelor cu caracter personal (date personale) și a securității informațiilor la prestarea serviciilor acordate. Aceste măsuri vor trebui să asigure un nivel de securitate adecvat și proporțional riscurilor existente. Măsurile propuse vor trebui să respecte cel puțin următoarele condiții:
  • să garanteze că datele personale pot fi prelucrate numai de persoane autorizate și în scopurile prevăzute de lege;
  • să protejeze datele personale stocate sau transmise împotriva distrugerii accidentale ori ilicite, împotriva pierderii sau deteriorării accidentale și împotriva stocării, prelucrării, accesării ori divulgării ilicite;
  • să asigure punerea în aplicare a măsurilor de securitate elaborate de furnizor cu privire la prelucrarea datelor cu caracter personal;
  • să păstreze înregistrările de audit cel puțin pentru operațiunile de prelucrare, colectare, consultare, dezvăluire și ștergere a datelor personale.
Înregistrările de audit ale operațiunilor:
  • trebuie să indice scopul, data și ora acestor operațiuni;
  • identitatea persoanei care a consultat informația, cât și a destinatarului acestora și vor fi utilizate exclusiv în scopul verificării și automonitorizării, pentru asigurarea integrității și securității datelor sau pentru audit;
  • vor fi puse, la cerere, la dispoziția Centrului Național pentru Protecția Datelor cu Caracter Personal;
  • vor fi păstrate o perioadă de 5 ani.
Centrul mai propune ca, în cazul în care are loc o încălcare a securității datelor cu caracter personal, furnizorul de servicii să informeze CNPDCP imediat, dar nu mai mult de 24 de ore de la data la care a luat cunoștință de aceasta. O altă propunere este că, atunci când încălcarea securității datelor cu caracter personal aduce atingere drepturilor subiecților de date personale sau a regimului de conformitate și securitate, furnizorii vor trebui să informeze utilizatorii sau persoanele fizice. Informarea subiectului de date nu va fi necesară în cazul în care:
  • furnizorul de servicii a implementat măsuri de protecţie tehnice şi organizatorice adecvate, iar aceste măsuri au fost aplicate în cazul datelor personale afectate de încălcarea securităţii datelor personale, în special măsuri prin care se asigură că datele personale devin neinteligibile oricărei persoane care nu este autorizată să le acceseze, cum ar fi criptarea;
  • furnizorul de servicii a luat măsuri ulterioare prin care se asigură că riscul ridicat pentru drepturile şi libertăţile subiectului de date nu mai este susceptibil să se materializeze;
  • ar necesita un efort disproporţionat. În această situaţie, se efectuează o informare publică sau se ia o măsură similară prin care subiecții de date sunt informați într-un mod la fel de eficace.
În același timp, furnizorii de servicii vor asigura  distrugerea ireversibilă a datelor personale la expirarea termenilor de păstrare a acestora, prin proceduri automatizate, cu excepția informațiilor care, conform actelor normative, se păstrează pentru o perioadă mai îndelungată.