avocatnet.ro 
GDPR prevede că, „în cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică acest lucru autorității de supraveghere competente (...), fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta, cu excepția cazului în care [nu] este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor fizice.”
Pentru a putea respecta aceste prevederi, orice operator de date trebuie să îşi ia o serie de măsuri operaţionale anticipate. O analiză făcută de Imperva - o companie care se ocupă cu securitatea datelor - cu privire la aspectul practic al prevederii menţionate anterior scoate în evidenţă o serie de măsuri care fac posibilă reacţia imediată, în cazul apariţiei incidentului de securitate.
În primul rând, pot fi implementate măsuri cu privire la identificarea comportamentului suspicios în ceea ce priveşte accesarea datelor. Astfel de măsuri permit recunoaşterea unor tipare, în condiţiile în care accesarea datelor se produce constant. Pentru eficientizarea acestor măsuri, este recomandat să se recurgă la pregătiri ale angajaţilor în privinţa accesării datelor sau recurgerea la tehnologii care să recunoască tiparele unei accesări autorizate şi normale.
În al doilea rând, este foarte importantă prioritizarea şi categorizarea cu privire la incidente. Acest element este relevant în contextul în care responsabilii cu securitatea se confruntă cu o multitudine de alerte zilnice. Pentru a putea acţiona în privinţa incidentelor cu adevărat serioase şi a le putea separa, astfel, de alertele false, măsuri precum monitorizarea bazelor de date pot fi eficiente.
Cu alte cuvinte, recurgerea la tehnologie specifică poate diminua resursele necesare (în special de timp) pentru descoperirea incidentelor serioase.
De asemenea, monitorizarea efectivă a activităţii de accesare a datelor poate ajuta în scopul raportării incidentelor. Mai exact, o monitorizare sistematică, în privinţa accesului la datele cu care operează o companie, poate să ofere probe specifice în sensul demonstrării folosirii celor mai bune mijloace pentru respectarea GDPR-ului.
În plus, o analiză operaţională cu privire la efecte şi la măsurile luate pentru diminuarea consecinţelor incidentelor de securitate este necesară, de asemenea, conform GDPR-ului. Astfel, dacă sunt implementate măsuri pentru facilitarea unei astfel de analize, în caz de incident, scade probabilitatea unui risc de amendă, în baza GDPR.
De asemenea, operatorii de date pot, pe lângă implementarea unor astfel de măsuri, să recurgă la măsuri cu caracter general, în scopul creării unui cadru general de securitate. Pentru mai multe detalii, a se vedea articolul de aici.
Informaţiile ce trebuie raportate autorităților
Raportarea trebuie făcută cât mai rapid posibil şi, în orice caz, în maximum 72 de ore de la producerea incidentului de securitate. Excepţional, operatorii pot raporta incidentul dincolo de limita de 72 de ore, dar trebuie să motiveze întârzierea. De exemplu, pot exista cazuri când incidentul este descoperit la câteva luni de la producere.
Astfel, odată ce incidentul s-a produs (şi a fost descoperit), compania trebuie să notifice autorităților, conform GDPR, următoarele informaţii:
- caracterul încălcării securității datelor, inclusiv, acolo unde este posibil, categoriile și numărul aproximativ al persoanelor vizate în cauză, precum și categoriile și numărul aproximativ al înregistrărilor de date cu caracter personal în cauză;
- datele responsabilului cu protecția datelor sau un alt punct de contact de unde se pot obține mai multe informații;
- consecințele probabile ale încălcării securității datelor cu caracter personal;
- măsurile luate sau propuse spre a fi luate de operator pentru a remedia problema încălcării securității datelor cu caracter personal, inclusiv, după caz, măsurile pentru atenuarea eventualelor sale efecte negative.
Implementarea unor măsuri precum cele redate anterior poate crea cadrul respectării efective a obligaţiei de raportare, în cazul incidentelor de securitate, conform GDPR.
miai222