ZRP
Tuca Zbarcea & Asociatii

Incidentele de securitate a datelor potrivit GDPR. Cum le recunoaștem și calificăm corect?

13 Iulie 2022   |   Marta Tudor, Attorney at Law - Schoenherr și Asociații SCA

Pe lângă orice măsuri de prevenție existente, operatorii trebuie să fie în măsură să recunoască un potențial incident de securitate a datelor și să identifice impactul asupra protecției datelor, dacă e cazul, prin raportare la oricare dintre scenariile ce pot interveni.

 
 
Situațiile în care operatorii de date cu caracter personal se pot confrunta cu incidente de securitate a datelor ce ridică riscuri pentru drepturile și libertățile persoanelor vizate sunt numeroase. În astfel de cazuri, operatorii de date sunt nevoiți, printre altele, să notifice respectivele incidente către autoritatea de supraveghere competentă și către persoanele vizate, după caz, în linie cu prevederile GDPR.

Uneori, pașii inițiali privind recunoașterea unui incident și corecta calificare a acestuia pot reprezenta o provocare pentru operatorii de date, având în vedere scenariile extrem de frecvente și variate în care acestea pot interveni și evolua.

Recunoașterea și calificarea incidentelor


Pe scurt, pornind de la definiția acestora din cuprinsul GDPR, incidentele de securitate a datelor sunt:
•    încălcări de confidențialitate, respectiv cele în care are loc o dezvăluire a datelor cu caracter personal sau accesul neautorizat sau accidental la acestea;
•    încălcări de integritate, respectiv cele în care are loc o alterare/ modificare a datelor cu caracter personal; și
•    încălcări privind disponibilitatea, respectiv cele în care are loc pierderea datelor cu caracter personal sau în care acestea nu mai sunt disponibile pentru operator.

În practică, un incident se poate încadra simultan în toate cele trei categorii de mai sus sau în orice combinație a acestora. Analiza preliminară a unui eveniment prin raportare la cele trei categorii va facilita procesul operatorilor de calificare a acestuia drept incident. Totodată, această analiză va servi în etapa ulterioară a notificării incidentului către autoritatea de supraveghere, dacă va fi cazul, în condițiile în care formularul impus de autoritate în acest sens cuprinde o secțiune vizând chiar această categorisire.

Câteva situații particulare și exemple practice

Riscuri generate de activitatea angajaților. Incidentele de securitate nu au întotdeauna o cauză externă. Operatorii de date trebuie să aibă în vedere că și diverse neconformități interne (intenționate sau neintenționate) vor putea fi calificate drept incidente de securitate a datelor. De altfel, aceste ipoteze par a fi din ce în ce mai numeroase, inclusiv prin raportare la activitatea sancționatorie recentă a ANSPDCP.

Cu titlu de exemplu, prezentăm în cele ce urmează câteva situații practice relevante:
•    un angajat al unei instituții medicale, cu rea-credință, acționând cu încălcarea procedurilor interne, distruge singura copie a unor documente medicale aparținând unor pacienți, situație care va putea reprezenta un incident privind disponibilitatea datelor;
•    un angajat al unui operator retail preia, la momentul la care părăsește organizația, o copie a bazei de date conținând informațiile clienților, situație care va putea reprezenta un incident privind confidențialitatea datelor;
•    un angajat transmite, din eroare/ neglijență, documente conținând date cu caracter personal către destinatari neautorizați să obțină acces la acestea, cum este cazul e-mailurilor transmise greșit sau chiar intenționat, în alte scopuri decât cele privind îndeplinirea atribuțiilor de serviciu, precum dezvăluirea unor informații către prieteni/ familie, reprezentând tot un posibil incident privind confidențialitatea datelor;
•    încălcarea regulilor interne privind distrugerea securizată a documentelor fizice sau generarea diverselor disfuncționalități ale sistemelor ce pot afecta disponibilitatea, integritatea sau confidențialitatea datelor.

Atacuri cibernetice. Un caz din ce în ce mai frecvent de incident de securitate experimentat de operatorii de date este cel al atacurilor cibernetice. Deși sunt privite în primă fază ca o problemă de securitate a sistemelor, operatorii trebuie să fie conștienți că, în cele mai multe dintre cazuri, aceste situații vor reprezenta și o problemă de securitate a datelor, pe care vor fi nevoiți să o gestioneze potrivit prevederilor GDPR. Exemple includ:
•    atacuri cibernetice vizând criptarea bazei de date de clienți ai operatorului, ce va reprezenta, ca regulă, un incident de disponibilitate;
•    atacuri cibernetice în care se reușește exfiltrarea unor informații vizând angajații sau obținerea accesului la conturile de e-mail aparținând unor angajați, ce vor putea fi calificate drept incidente privind confidențialitatea datelor.

Echipamente pierdute sau furate. În acest caz, avem în vedere ipoteza în care echipamentele încredințate angajaților pentru îndeplinirea atribuțiilor de serviciu sunt pierdute sau furate. Poate fi astfel vorba, în special, despre echipamentele portabile, cum ar fi laptop-uri, tablete, telefoane sau stick-uri de memorie, care în mod firesc pot conține documente ce cuprind date cu caracter personal sau permit accesul în aplicații în care sunt prelucrate acestea.

Astfel, furtul sau pierderea unor astfel de echipamente va putea reprezenta o problemă de confidențialitate a datelor (în special în cazul în care echipamentele sau fișierele/ aplicațiile relevante nu sunt securizate corespunzător – prin mecanisme de criptate, spre exemplu). Mai mult, poate fi și o problemă de disponibilitate a datelor, în cazul în care, la nivelul organizației nu există back-up corespunzător pentru informațiile disponibile pe echipamente. Din această perspectivă, relevante pot fi chiar și echipamentele personale ale angajaților, în cazul în care acestea sunt utilizate de către ei pentru exercitarea atribuțiilor de serviciu.

Măsuri recomandabile pentru operatorii de date

Pe lângă orice măsuri de prevenție existente, operatorii trebuie să fie în măsură să recunoască un potențial incident de securitate a datelor și să identifice impactul asupra protecției datelor, dacă e cazul, prin raportare la oricare dintre scenariile ce pot interveni.

Aceasta implică, în principal, instruirea corespunzătoare a personalului relevant, pe toate fluxurile de prelucrare, pentru ca aceștia să poată identifica preliminar un potențial incident de securitate a datelor, să îl informeze pe responsabilul cu protecția datelor/ alte persoane cu atribuții în acest sens și să coopereze cu aceștia în analiza și gestionarea situației.

În continuare, analiza de risc a incidentului și determinarea obligațiilor de notificare trebuie realizată de la caz la caz, în funcție de caracteristicile concrete ale fiecărei spețe. Aceasta, împreună cu implementarea de măsuri adecvate de răspuns la incident sau pentru adaptarea măsurilor tehnice și organizatorice existe, ce prin apariția incidentului s-au dovedit a nu fi suficiente. Orientări în acest sens oferă și îndrumările emise la nivel european în materia incidentelor de securitate a datelor, cum sunt cele emise de către Comitetul European pentru Protecția Datelor, de către precursorul său, Grupul de Lucru Art. 29  sau de către autoritățile de supraveghere din Irlanda, Marea Britanie și Spania.

 
 

PNSA

 
 

ARTICOLE PE ACEEASI TEMA

ARTICOLE DE ACELASI AUTOR


     

    Ascunde Reclama
     
     

    POSTEAZA UN COMENTARIU


    Nume *
    Email (nu va fi publicat) *
    Comentariu *
    Cod de securitate*







    * campuri obligatorii


    Articol 176 / 17819
     

    Ascunde Reclama
     
    BREAKING NEWS
    ESENTIAL
    Studiu Refinitiv | Sectorul fuziunilor şi achiziţiilor a frânat puternic în primul semestru al acestui an. Activitatea de M&A a scăzut cu 21 % la nivel global, iar în Europa Estică regresul a fost de 18 %. Câteva firme de avocați cu prezență la București strălucesc, însă, în clasamentele globale și europene
    Wolf Theiss a asistat un sindicat de bănci în legătură cu acordarea unei facilități de credit către Romgaz S.A. în cadrul tranzacției de preluare a participaţiei Exxon în proiectul de gaze din Marea Neagră
    Avocații Kinstellar spun că au remarcat preocuparea angajatorilor de a creiona strategii de menținere a personalului-cheie, fiind mandatați în acest sens cu elaborarea unor programe de tip Stock Option Plan sau a unor scheme de bonusare în funcție de performanțe. Activitate intensă în practica de Employment, cu mandate diverse și o echipă expusă la proiecte cu un caracter multidisciplinar
    Noul ghid al Comitetului European pentru Protecția Datelor ar putea aduce o creștere statistică a sancțiunilor, spun avocații Wolf Theiss, firmă cu o echipă dedicată proiectelor din acest domeniu | Biroul din București a asistat clienții în tranzacții complexe, care au implicat aspecte mai sofisticate de protecția datelor. Potențialii cumpărători ai unei afaceri sunt din ce în ce mai interesați să înțeleagă riscurile la care se expun din perspectiva protecției datelor și care sunt modalitățile de a se proteja
    Wolf Theiss promovează trei avocați din linia a doua care au participate la unele dintre cele mai importante tranzacţii. Brian Jardine, Managing Partner: Promovarea, recunoaștere a contribuțiilor profesionale deosebite la consolidarea poziției de lider pe piața românească a biroului din București
    LegiTeam: Reff & Associates is looking for a Senior Associate | Banking & Finance
    LegiTeam: Reff & Associates is looking for an Associate | Banking & Finance
    BizLawyer îi prezintă pe cei mai buni absolvenți din generația lor | Laura Elena Ionașcu, medie finală 9,79 (2021): Cred că notele din timpul facultății pot fi, într-o anumită măsură, indicatori pentru performanța pe care o vei avea în practică, dar succesul profesional nu este determinat de acest aspect. De o importanță majoră sunt și abilitățile practice dobândite, competențele personale, abilitățile de comunicare, de relaționare, de organizare
    Arbitrajul KELAG-Kärntner Elektrizitäts-Aktiengesellschaft and others v. Romania intra în linie dreaptă după ce părțile și-au ales arbitrii. România a mers pe mâna unui avocat cu o bogată experiență în comerț internațional, care a lucrat timp de 20 de ani pentru guvernul mexican
    BizLawyer îi prezintă pe cei mai buni absolvenți din generația lor | Ion Arhiliuc a trecut Prutul pentru a studia Dreptul la Iași și a fost unul dintre cei mai buni absolvenți din generația anului 2021, cu nota 9,60: ‘Media a atras anumite oportunități. Apreciez că România oferă toate oportunitățile necesare unui profesionist, însă depinde de fiecare dacă uzează de aceste pârghii’
    Pe masa de lucru a avocaților Mitel & Asociații au ajuns proiecte legate de protecția datelor cu caracter personal din ce în ce mai sofisticate. Mădălina Mitel, Partener: Data Protection a devenit o practică de sine stătătoare la nivelul societății noastre, iar mandatele primite sunt dintre cele mai diverse și provocatoare
    LegiTeam: Băncilă, Diaconu și Asociații SPRL is recruiting senior associates - Legal consultancy practice | Banking, Finance, Digital & Tech Law
     
    Citeste pe SeeNews Digital Network
    • BizBanker

    • BizLeader

        in curand...
    • SeeNews

      in curand...