Folosim cookie-uri pentru a analiza traficul și a îmbunătăți experiența ta.
RefuzArticol scris de: Marta Tudor, Attorney at Law, avocat specializat în protecția datelor cu caracter personal în cadrul Schoenherr și Asociații SCA
Situațiile în care operatorii de date cu caracter personal se pot confrunta cu incidente de securitate a datelor ce ridică riscuri pentru drepturile și libertățile persoanelor vizate sunt numeroase. În astfel de cazuri, operatorii de date sunt nevoiți, printre altele, să notifice respectivele incidente către autoritatea de supraveghere competentă și către persoanele vizate, după caz, în linie cu prevederile GDPR.
Uneori, pașii inițiali privind recunoașterea unui incident și corecta calificare a acestuia pot reprezenta o provocare pentru operatorii de date, având în vedere scenariile extrem de frecvente și variate în care acestea pot interveni și evolua.
Recunoașterea și calificarea incidentelor
Pe scurt, pornind de la definiția acestora din cuprinsul GDPR, incidentele de securitate a datelor sunt:
În practică, un incident se poate încadra simultan în toate cele trei categorii de mai sus sau în orice combinație a acestora. Analiza preliminară a unui eveniment prin raportare la cele trei categorii va facilita procesul operatorilor de calificare a acestuia drept incident. Totodată, această analiză va servi în etapa ulterioară a notificării incidentului către autoritatea de supraveghere, dacă va fi cazul, în condițiile în care formularul impus de autoritate în acest sens cuprinde o secțiune vizând chiar această categorisire.
Câteva situații particulare și exemple practice
Riscuri generate de activitatea angajaților. Incidentele de securitate nu au întotdeauna o cauză externă. Operatorii de date trebuie să aibă în vedere că și diverse neconformități interne (intenționate sau neintenționate) vor putea fi calificate drept incidente de securitate a datelor. De altfel, aceste ipoteze par a fi din ce în ce mai numeroase, inclusiv prin raportare la activitatea sancționatorie recentă a ANSPDCP. Cu titlu de exemplu, prezentăm în cele ce urmează câteva situații practice relevante:
Atacuri cibernetice. Un caz din ce în ce mai frecvent de incident de securitate experimentat de operatorii de date este cel al atacurilor cibernetice. Deși sunt privite în primă fază ca o problemă de securitate a sistemelor, operatorii trebuie să fie conștienți că, în cele mai multe dintre cazuri, aceste situații vor reprezenta și o problemă de securitate a datelor, pe care vor fi nevoiți să o gestioneze potrivit prevederilor GDPR. Exemple includ:
Echipamente pierdute sau furate. În acest caz, avem în vedere ipoteza în care echipamentele încredințate angajaților pentru îndeplinirea atribuțiilor de serviciu sunt pierdute sau furate. Poate fi astfel vorba, în special, despre echipamentele portabile, cum ar fi laptop-uri, tablete, telefoane sau stick-uri de memorie, care în mod firesc pot conține documente ce cuprind date cu caracter personal sau permit accesul în aplicații în care sunt prelucrate acestea.
Astfel, furtul sau pierderea unor astfel de echipamente va putea reprezenta o problemă de confidențialitate a datelor (în special în cazul în care echipamentele sau fișierele/ aplicațiile relevante nu sunt securizate corespunzător – prin mecanisme de criptate, spre exemplu). Mai mult, poate fi și o problemă de disponibilitate a datelor, în cazul în care, la nivelul organizației nu există back-up corespunzător pentru informațiile disponibile pe echipamente. Din această perspectivă, relevante pot fi chiar și echipamentele personale ale angajaților, în cazul în care acestea sunt utilizate de către ei pentru exercitarea atribuțiilor de serviciu.
Măsuri recomandabile pentru operatorii de date
Pe lângă orice măsuri de prevenție existente, operatorii trebuie să fie în măsură să recunoască un potențial incident de securitate a datelor și să identifice impactul asupra protecției datelor, dacă e cazul, prin raportare la oricare dintre scenariile ce pot interveni.
Aceasta implică, în principal, instruirea corespunzătoare a personalului relevant, pe toate fluxurile de prelucrare, pentru ca aceștia să poată identifica preliminar un potențial incident de securitate a datelor, să îl informeze pe responsabilul cu protecția datelor/ alte persoane cu atribuții în acest sens și să coopereze cu aceștia în analiza și gestionarea situației.
În continuare, analiza de risc a incidentului și determinarea obligațiilor de notificare trebuie realizată de la caz la caz, în funcție de caracteristicile concrete ale fiecărei spețe. Aceasta, împreună cu implementarea de măsuri adecvate de răspuns la incident sau pentru adaptarea măsurilor tehnice și organizatorice existe, ce prin apariția incidentului s-au dovedit a nu fi suficiente. Orientări în acest sens oferă și îndrumările emise la nivel european în materia incidentelor de securitate a datelor, cum sunt cele emise de către Comitetul European pentru Protecția Datelor, de către precursorul său, Grupul de Lucru Art. 29 sau de către autoritățile de supraveghere din Irlanda, Marea Britanie și Spania.
Preşedintele american Donald Trump, care remodelează Casa Albă după gusturile sale, va adăuga o sală…
Ministrul Afacerilor Externe, Oana Ţoiu, a solicitat Primăriei Tulcea să îndepărteze steagul Rusiei arborat în…
Iranul a respins acuzaţiile de tentative de "asasinat şi răpiri" în străinătate pe care i…
Ministerul Finanțelor lansează astăzi, 1 august până vineri 8 august, o nouă emisiune FIDELIS de…
Donald Trump a calificat joi drept "dezgustător" ultimul val de atacuri ruseşti asupra Ucrainei, după…
Compania energetică sârbească Naftna Industrija Srbije (NIS), controlată de Gazprom, a decis oficial să renunţe…
This website uses cookies.
Read More