avocatnet.ro 
GDPR, act normativ în vigoare în toate statele Uniunii Europene (UE) începând din 25 mai 2018, impune companiilor să documenteze toate situațiile în care securitatea datelor personale prelucrate este încălcată. Asta chiar dacă incidentul de securitate nu trebuie raportat către autorități.
Continuarea articolului este exclusivă pentru abonații avocatnet.ro premium. Aceștia pot afla mai multe despre:
- documentarea incidentelor de securitate și justificarea deciziei de a nu notifica autoritățile;
- notificarea incidentelor de securitate către autorități și către persoanele fizice vizate;
- identificarea incidentelor de securitate;
- stabilirea unui plan de măsuri pentru situațiile în care apar incidente de securitate.
În esență, atunci când intervine un incident de securitate, compania trebuie să documenteze situația în care a avut loc încălcarea securității, ce efecte a avut breșa de securitate și ce măsuri au fost luate pentru a rezolva problemele.
„Operatorul (adică firma ce prelucrează date personale - n. red.) păstrează documente referitoare la toate cazurile de încălcare a securității datelor cu caracter personal, care cuprind o descriere a situației de fapt în care a avut loc încălcarea securității datelor cu caracter personal, a efectelor acesteia și a măsurilor de remediere întreprinse. Această documentație permite autorității de supraveghere (în cazul României, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal - n. red.) să verifice conformitatea cu prezentul articol (articolul 33 din GDPR - n. red.)”, este explicat în regulament.
În plus, Grupul de lucru articolul 29 -- un organism european independent format din reprezentanții autorităților naționale pentru protecția datelor din statele membre UE -- recomandă firmelor să documenteze și decizia de a nu notifica autorităților un incident de securitate.
„În special, în cazul în care o încălcare nu este notificată, trebuie justificată decizia respectivă. Aceasta ar trebui să includă motivele pentru care operatorul consideră că este puțin probabil ca încălcarea să ducă la un risc pentru drepturile și libertățile persoanelor”, sunt de părere reprezentanții organismului european independent.
Grupul de lucru recomandă și implicarea responsabilului cu protecția datelor, acolo unde prezența acestuia în firmă este obligatorie. Mai exact, acesta trebuie informat imediat despre încălcările de securitate și apoi implicat în gestionarea și notificarea breșelor.
Notificarea incidentelor de securitate se face atunci când există riscuri pentru drepturile și libertățile persoanelor fizice, conform GDPR. De principiu, raportarea se face în maximum 72 de ore de la data la care firma află despre incidentul de securitate.
De principiu, când există un risc pentru drepturile și libertățile persoanelor fizice ale căror date personale sunt prelucrate, și acestea trebuie informate despre incidentele de securitate, deși nu mereu.
Identificarea incidentelor și gestionarea lor
GDPR prevede că o încălcare a securității datelor este o întâmplare ce duce -- ori accidental, ori ilegal -- la distrugerea, pierderea, modificarea, divulgarea neautorizată a datelor personale ori la accesul neautorizat la acestea.
Ce este important de reținut este că un incident nu implică întotdeauna intervenția unui factor extern firmei. De exemplu, incidente de securitate pot fi, conform autorității britanice de supraveghere (ICO):
- accesul la datele personale de către o persoană neautorizată;
- o acțiune intenționată sau neintenționată a companiei;
- o lipsă de acțiune a companiei;
- transmiterea datelor personale către un destinatar greșit;
- pierderea sau furtul dispozitivelor ce conțin date personale;
- modificarea datelor personale fără permisiune;
- dacă datele devin indisponibile pentru că au fost criptate de un virus de tip ransomware (adică virus care cere bani în schimbul deblocării datelor).
Totodată, ICO oferă și o listă de puncte principale ce trebuie bifate pentru ca firma să fie pregătită de incidentele de securitate.
- Știm să recunoaștem o încălcare a securității datelor personale.
- Înțelegem că încălcarea securității nu se referă numai la pierderea sau furtul datelor.
- Am pregătit un plan de bătaie pentru a aborda orice încălcare a securității datelor.
- Am atribuit responsabilitatea pentru gestionarea încălcărilor unei persoane sau unei echipe dedicate.
- Personalul nostru știe să trimită un incident de securitate la persoana/echipa potrivită din firmă pentru a determina dacă a apărut o încălcare a securității datelor.
Autoritatea britanică scrie că, în gestionarea unei breșe de securitate, compania trebuie să aibă o modalitate prin care să estimeze rapid riscurile pentru drepturile și libertățile persoanelor fizice vizate. În același timp, trebuie să existe o procedură internă pentru notificarea autorităților și persoanelor fizice despre incidentele de securitate (detalii despre raportarea breșelor în România sunt aici).
De asemenea, fiecare firmă trebuie să știe ce informații trebuie să dea autorităților și persoanelor fizice. Acestora din urmă trebuie să li se ofere și sfaturi pentru protejarea de potențialele efecte ale incidentelor de securitate.
Important! Informații mai multe despre măsurile de securitate pe care le pot lua companiile pentru a proteja datele personale sunt în articolul de aici.
miai222