Avocații și GDPR: Incidentele de securitate și măsuri ce trebuie luate, în funcție de riscuri

Documentarea acestor incidente este o chestiune absolut necesară, iar uneori poate fi incidentă și obligația de a anunța autoritatea de supraveghere a datelor și persoana vizată cu privire la producerea acelei breșe de securitate.

Riscurile cu privire la securitatea datelor cu caracter personal trebuie să fie avute serios în vedere de operatorii de astfel de date și de persoanele împuternicite de aceștia, GDPR-ul arătând că e necesar a fi luate măsuri tehnice și organizatorice adecvate pentru a le evita pe cât posibil. Vorbim despre incidente, dar și despre riscuri aduse de acțiuni ilegale, vorbim de accidente precum pierderea unor date sau divulgarea neautorizată și nu numai.

Trebuie reținut că unul dintre principiile de bază la prelucrarea datelor cu caracter personal este chiar prelucrarea lor într-un mod care să asigure securitatea acestora.

În regulamentul european se vorbește despre luarea unor măsuri precum: pseudonimizarea și criptarea datelor cu caracter personal, capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare, capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică ori un proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.

În ghidul de bune practici întocmit de UNBR pentru avocați în contextul GDPR se punctează și aspectele legate de securitatea datelor. 

De pildă, pornind de la evidențele pe care trebuie să le țină avocații, UNBR atrage atenția asupra externalizării datelor prin servicii de cloud ori similare. "Specificitățile acestor proceduri și mecanisme ce presupun transferul unor date din evidența avocaților către serverele administrate de terțe persoane (denumite generic în continuare prestatori de servicii de gestiune a datelor, persoane împuternicite în accepțiunea Regulamentului) impun o atenție sporită pentru respectarea Regulamentului și pentru evitarea oricăror breșe de securitate", scrie în ghidul UNBR, unde sunt sugerate și unele măsuri ce ar trebui luate de cei ce folosesc astfel de servicii.

Cum transmitem date la cererea autorităților

"Avocații pot transmite date cu caracter personal pe care le prelucrează ca operatori către autorități publice doar dacă și în măsura în care, în principal: a) aceasta se manifestă într-o obligație legală pentru aceștia; b) autoritatea care solicită aceste informații are competență în domeniu, verificată în prealabil de către avocatul căruia i se solicită transferul; c) avocatul asigură un nivel de protecție adecvat al datelor prelucrate și astfel transmise; d) transferul se realizează cu respectarea principiilor prevăzute de GDPR și sintetizate în art. 5 din acesta: legalitate, echitate și transparență; principiul limitării transferului în funcție de scop; principiul reducerii la minimum a datelor transferate; principiul exactității datelor; principiul limitării legate de stocarea datelor; principiul asigurării integrității și confidențialității datelor; principiul responsabilității", spune UNBR.

Exemplul ales pentru cele menționate mai sus este obligația pe care o au avocații în virtutea Legii nr. 656/2002: orice suspiciune cu privire la fapte de spălare de bani sau finanțarea actelor de terorism trebuie raportată, prin persoanele special desemnate, la Oficiul Național de Prevenire şi Combatere a Spălării Banilor, dar în condițiile din lege.

Ce e de făcut când a avut loc o breșă de securitate?

În primul rând, GDPR-ul califică drept breșă de securitate o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea sau divulgarea neautorizată a datelor cu caracter personal sau la accesul neautorizat la acestea. De pildă, sunt considerate breșe de securitate atacurile informatice tip ransomware (recentul WannaCry), pierderea cheii de criptare a datelor, nefuncționarea sistemelor informatice, pierderea unor documente, transmiterea unei corespondențe la adresa greșită ș.a.

"Chiar dacă art. 33 din Regulament nu o prevede în mod expres, formele de exercitare trebuie să implementeze măsuri tehnice și organizatorice care, în cazul apariției unei breșe de securitate, asigură componenta reactivă a politicilor interne privind securitatea  datelor", punctează UNBR.

Astfel de măsuri ar trebui să-i permită operatorului de date (avocatul) să stabilească imediat dacă s-a produs o breșă de securitate, dacă e cazul să notifice autoritatea de supraveghere a prelucrării datelor cu caracter personal, dacă e cazul să informeze persoana sau persoanele vizate de acele breșe de securitate. Iar documentarea breșelor de securitate este obligatorie, potrivit GDPR.

"Este foarte important ca FEPA (forma de exercitare a profesiei de avocat - n.red.), în calitatea lor de operatori, să se asigure că indiferent de cauza acesteia și forma în care se manifestă, apariția unei breșe de securitate este identificată imediat și adusă în mod corespunzător la cunoștința persoanelor competente să implementeze măsurile care se impun", scrie UNBR în ghidul de bune practici.

Nu orice fel de breșă de securitate trebuie notificată însă autorității de supraveghere a datelor, ci trebuie analizată situația concretă, pentru că nu întotdeauna e vorba de riscuri pentru drepturile și libertăților persoanelor vizate de prelucrări.

"Exemplu: pierderea unor date cu caracter personal criptate cu un algoritm de criptare complex nu este susceptibilă să genereze riscuri pentru drepturile și libertățile persoanelor vizate, atât timp cât criptarea asigură că datele nu pot fi accesate de persoane neautorizate. Totuși, dacă datele nu sunt criptate, pierderea acestora ar trebui notificată", scrie UNBR.

Cât despre informarea persoanei sau persoanelor vizate, nici aici nu trebuie făcută de fiecare dată, ci doar atunci când riscul pentru drepturile și libertățile persoanei/persoanelor este unul ridicat. "Exemplu: pierderea unui document care cuprinde identitatea reală a unui martor cu identitate protejată este susceptibilă să genereze riscuri ridicate pentru drepturile și libertățile respectivului martor", arată aici UNBR.