GDPR și securitatea cibernetică: Spețe interesante de care să ții cont

• GDPR impune implementarea măsurilor adecvate de securitate cibernetică, iar neconformarea atrage sancțiuni severe, după cum demonstrează cazurile investigate de ANSPDCP.
• Companiile trebuie să evalueze și să testeze periodic eficacitatea măsurilor de securitate, inclusiv prin implementarea sistemelor de jurnalizare a accesărilor și backup-uri.
• Conform CJUE, o breșă de securitate cauzată de un terț nu implică automat că măsurile de securitate ale operatorului au fost inadecvate, fiind necesară o evaluare concretă.

Analiza unor spețe concrete investigate de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) și clarificările aduse de Curtea de Justiție a Uniunii Europene (CJUE) oferă perspective valoroase pentru înțelegerea aplicării practice a acestor cerințe și pot constitui un ghid de bune practici pentru companiile care vor să evite situații asemănătoare celor în care s-au aflat protagoniștii cazurilor de mai jos.

O primă situație relevantă prin frecvența întâmplărilor de acest gen este cea în care o companie a fost sancționată cu 99.518 lei (echivalentul a 20.000 de euro) de către ANSPDCP, ca urmare a unei investigații declanșate de o notificare de încălcare a securității datelor personale.

În cadrul investigației s-a constatat că operatorul unui site de facturare online a fost victima unui atac cibernetic, în urma căruia a fost accesat ilegal serverul care stoca baza de date a clienților.

Acest atac a dus la accesul neautorizat la o gamă largă de date personale ale clienților, inclusiv nume, prenume, cod numeric personal, adresă, telefon, e-mail și număr de cont bancar.

ANSPDCP a constatat că, în prealabil, operatorul nu a implementat măsuri de protecție adecvate pentru păstrarea confidențialității și integrității datelor, și nu a întreprins nici măsuri de evaluare a riscurilor și de testare a eficienței securității digitale.

Mai exact, s-a constatat că operatorul nu a evaluat și testat periodic eficacitatea măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării, inclusiv capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continuă a sistemelor și serviciilor de prelucrare, așa cum prevăd cerințele Regulamentului (UE) 2016/679.

Ca urmare a acestui incident, ANSPDCP a cerut operatorului implementarea tehnică și organizatorică a unui sistem de jurnalizare a tuturor accesărilor valide și a erorilor privind încercările nereușite de acces asupra serverelor, cu reținerea acestora pe o durată de cel puțin 30 de zile și efectuarea de backup-uri.

Această speță arată importanța evaluării și testării periodice a măsurilor de securitate, precum și necesitatea de a implementa mecanisme de monitorizare și înregistrare a accesului la infrastructura IT a companiei tale, măsuri care ajută la evitarea unor amenzi usturătoare și a unor măsuri ulterioare care necesită un mare efort logistic și financiar.

Un al doilea caz interesant este cel referitor la o companie de contabilitate, care a fost sancționată de ANSPDCP pentru încălcarea a două articole din GDPR.

Prima încălcare a Regulamentului a fost reprezentată de refuzul companiei de a răspunde solicitărilor Autorității de a prezenta informații și documente necesare investigației, încălcând obligația legală de a permite accesul la date și informații.

A doua încălcare a GDPR a fost aceea a transmiterii de către companie, prin intermediul aplicației WhatsApp, a unui tabel conținând parole de acces în platforma Revisal pentru mai multe entități juridice.

Această acțiune a condus la posibilitatea ca terțe persoane să acceseze datele personale ale angajaților sau foștilor angajați, incluzând nume, prenume, cetățenie, cod numeric personal și domiciliu, rezultând într-un acces și o divulgare neautorizată.

Pe lângă amendă (în cuantum de 10.000 de euro), ANSPDCP a dispus măsura corectivă de schimbare a tuturor credențialelor de acces în platforma Revisal pentru entitățile afectate.

Cazul arată că refuzul de a coopera cu autoritatea de supraveghere în timpul investigațiilor nu poate acoperi riscurile asociate cu practicile de gestionare și transmitere a datelor de acces, în special atunci când acestea permit accesul la volume mari de date personale.

Amenda a reprezentat aproximativ 10% din cifra de afaceri a companiei, consecințele financiare ale unei astfel de practici fiind, după cum se poate constata, destul de serioase.

În contextul atacurilor cibernetice, așa cum sunt cele din cazurile descrise mai sus avem hotărârea CJUE în cauza C‑340/21, care aduce clarificări privind responsabilitatea operatorilor de date.

Curtea a statuat că o breșă de securitate cauzată de un terț nu implică automat că măsurile de securitate ale operatorului au fost inadecvate, iar operatorii nu sunt prezumați responsabili exclusiv pe baza compromiterii datelor.

Așadar, instanțele naționale sau, după caz, autoritățile, trebuie să evalueze concret dacă operatorul și-a îndeplinit obligațiile de protecție a datelor conform GDPR. Operatorii au o marjă de apreciere în stabilirea măsurilor de securitate, în funcție de riscurile specifice, dar, în final, instanțele (sau autoritățile competente) pot verifica adecvarea acestor măsuri.

Interesant este că, în cazul unei acțiuni în despăgubire, sarcina de a demonstra adecvarea măsurilor de securitate revine operatorului. De asemenea, operatorii nu pot fi exonerați de sarcinile și responsabilitățile ce le revin doar pentru că atacul a fost realizat de un terț, fiind necesar să demonstreze că nu sunt responsabili pentru evenimentul prejudiciabil.

În plus, nerespectarea cerințelor GDPR care contribuie la exploatarea breșei de securitate poate atrage răspunderea operatorului.

Curtea a mai stabilit că temerile justificate ale unei persoane privind utilizarea abuzivă a datelor sale în viitor pot constitui un prejudiciu moral în sine, permițând solicitarea de despăgubiri chiar și în absența unei utilizări abuzive efective. 

Din nou, constatăm necesitatea unei evaluări atente a riscurilor, a implementării de măsuri de securitate și a capacității operatorilor de a demonstra conformitatea cu GDPR în fața autorităților. Companiile sunt responsabile, de cele mai multe ori, chiar și în contextul atacurilor cibernetice inițiate de terți, responsabilitate de care pot ”scăpa” numai în situația în care pot dovedi că au luat toate măsurile ce le stăteau în putință pentru a evita astfel de situații nefericite.