GDPR: Principalele măsuri de securitate ce pot fi luate de firme pentru protejarea datelor personale

GDPR va reprezenta, începând cu data de 25 mai 2018, cadrul legal european unic în materie de prelucrare a datelor personale și va trebui respectat inclusiv în România de către companiile care folosesc asemenea date.

Pentru a împiedica incidentele de securitate, companiile ar trebui să se ocupe mai ales de autoeducare. De ce? Pentru a nu mai colecta date personale fără un motiv întemeiat, dar și pentru a fi mai atente cu datele personale prelucrate la nivel de firmă. Totodată, nici sistemele IT nu trebuie neglijate.

„Companiile vor trebui să se educe, în sensul de a nu mai folosi date cu caracter personal fără temei. Astfel, este necesară implementarea unor proceduri interne și, de asemenea, este obligatorie punerea la punct a sistemelor IT. Un alt aspect este legat de instruirea angajaților, astfel încât aceștia să fie informați și să poată lua deciziile potrivite”, a explicat, pentru redacția noastră, Andreea Manolache, senior associate la Accace România.

În acest sens, specialista a oferit și câteva sfaturi practice pe care companiile le pot urma pentru a preveni problemele legate de securitatea datelor personale:

• folosirea credențialelor (nume de utilizator, parolă, token etc.) de acces la sistemele informatice;
• descărcarea pe calculatoare doar a programelor sigure;
• evitarea deschiderii de atașamente suspecte primite pe e-mail;
• criptarea datelor, parolarea conturilor, încetarea de a mai folosi aceeași parolă pentru toate conturile;
• evitarea divulgării de informații confidențiale la telefon sau prin e-mail, dacă nu se poate verifica identitatea persoanei care cere aceste date (există persoane care pot încerca să obțină informații în acest fel, activitatea fiind cunoscută ca inginerie socială).

În continuare, abonații avocatnet.ro premium pot citi despre:

• ce scop au măsurile de securitate pentru protejarea datelor personale;
• măsuri interne recomandate pentru protecția datelor;
• ce scrie în GDPR despre securitatea datelor;
• ce riscă firmele dacă nu protejează îndeajuns datele personale pe care le prelucrează.

Pentru ce trebuie luate măsuri de securitate și câteva exemple

Măsurile de securitate pentru protejarea datelor personale prelucrate de o companie vizează, în esență, asigurarea unui acces autorizat la date, corectitudinea datelor și recuperarea datelor în caz că apar probleme, informează autoritatea britanică de supraveghere a prelucrărilor de date personale (ICO).

Concret, măsurile de securitate trebuie să asigure că datele personale sunt accesate, modificate, făcute publice sau șterse numai de către persoanele autorizate de firmă în acest sens, dar și că datele sunt corecte și complete pentru scopurile prelucrării. De asemenea, măsurile de securitate trebuie să asigure faptul că datele rămân accesibile și utilizabile chiar și în cazul în care sunt pierdute sau distruse (adică pot fi recuperate).

ICO scrie că efectuarea unei evaluări a riscului informațiilor este una dintre măsurile pe care le pot lua firmele, însă acestea mai pot să desemneze o persoană care să se ocupe de securitatea datelor sau să pună la punct politici de securitate a informațiilor. Pe partea tehnică, autoritățile britanice recomandă să se acorde atenție:

• calității ușilor și încuietorilor;
• protecției sediului cu alarme sau camere video;
• controlului accesului în sediu și supravegherii vizitatorilor;
• ținerii în siguranță a echipamentelor IT, în special a dispozitivelor mobile (laptopuri, tablete și telefoane mobile);
• securității sistemelor care prelucrează date personale;
• securității datelor personale;
• securității site-urilor proprii și a altor servicii online sau aplicații;
• securității dispozitivelor personale folosite în activitatea profesională.

În același timp, reprezentanții ICO subliniază că pregătirea adecvată a salariaților care au acces la prelucrările de date personale este un punct esențial în cadrul măsurilor de securitate: „GDPR vă solicită să vă asigurați că oricine acționează sub autoritatea dvs. cu acces la datele cu caracter personal nu procesează aceste date decât dacă le-ați instruit să facă acest lucru. Prin urmare, este vital ca personalul dvs. să înțeleagă importanța protejării datelor personale, să cunoască politica de securitate și să pună în practică procedurile”.

GDPR impune luarea unor măsuri în funcție de riscurile asociate prelucrărilor

Prevederile GDPR nu impun un set-standard de măsuri de securitate pentru protejarea datelor, ci sunt mai flexibile. Concret, firmele sunt obligate să ia măsuri, însă acestea trebuie să fie corespunzătoare cu gradul de risc al prelucrărilor de date personale.

„Având în vedere stadiul actual al dezvoltării, costurile implementării și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscul cu diferite grade de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul (compania - n. red.) și persoana împuternicită de acesta implementează măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc (...)”, este explicat în regulamentul european.

GDPR face referire -- însă nu în mod limitativ -- la pseudonimizarea și criptarea datelor personale și la capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare. Totodată, este indicată capacitatea de recuperare a datelor personale în cazurile în care apar probleme precum ștergerea accidentală sau distrugerea.

În fine, firmele trebuie să testeze și să evalueze periodic eficacitatea măsurilor de securitate implementate, pentru a fi sigure că nu apar probleme odată cu trecerea timpului.

Lăsând deoparte sancțiunile pe care le riscă firmele pentru că nu protejează îndeajuns de bine datele personale ale persoanelor fizice, acestea trebuie să țină cont și de problemele pe care le pot cauza în viețile lor. Potrivit ICO, pierderea și abuzul datelor personale pot duce la ridiculizare publică, furt de identitate, tranzacții bancare neautorizate, fraudă ipotecară sau chiar punerea în pericol a anumitor indivizi.