avocatnet.ro 
Printre altele, în acest document (link, material .pdf descărcabil) sunt precizate o serie de exemple ale unor incidente de securitate, cine trebuie să le notifice și ce alte lucruri ar mai trebui luate în considerare.
-
Un operator păstrează o copie de rezervă a unei arhive de date cu caracter personal criptate pe o cheie USB. Cheia este furată în timpul unei spargeri.
În acest caz, nu trebuie notificată Autoritatea de Supraveghere și nici persoanele vizate. Explicația este aceea că, atât timp cât datele sunt criptate utilizând un algoritm de ultimă generație, există copii de rezervă ale datelor, cheia unică nu este compromisă, iar datele pot fi recuperate în timp util, aceasta ar putea să nu fie o încălcare de raportat. Cu toate acestea, dacă datele sunt compromise ulterior, este necesară notificarea.
-
Un operator suferă un atac cibernetic, care conduce la criptarea tuturor datelor. Nu sunt disponibile copii de rezervă și datele nu pot fi recuperate. În cadrul investigației, devine clar că singura funcționalitate a programului de ransomware a fost de a cripta datele și că în sistem nu este prezent niciun alt program de malware.
În acest caz trebuie raportat incidentul Autorității de Supraveghere, dacă există consecințe posibile pentru persoane, întrucât aceasta constituie o pierdere a disponibilității. De asemenea, trebuie notificat persoanelor, în funcție de natura datelor cu caracter personal afectate și de efectul posibil al lipsei de disponibilitate a datelor, precum și de alte consecințe posibile.
Explicația este aceea că, dacă era disponibilă o copie de rezervă și datele puteau fi recuperate în timp util, nu ar fi fost necesar ca incidentul să fie raportat autorității de supraveghere sau persoanelor deoarece nu ar fi existat o pierdere permanentă a disponibilității sau a confidențialității. Cu toate acestea, în cazul în care autoritatea de supraveghere a luat cunoștință de incident prin alte mijloace, aceasta poate lua în considerare o investigație pentru a evalua respectarea cerințelor mai ample de securitate prevăzute la articolul 32.
-
Dosarele medicale dintr-un spital nu sunt disponibile pentru perioada de 30 de ore din cauza unui atac cibernetic.
În acest caz, trebuie notificat incidentul atât Autorității de Supraveghere, cât și persoanelor vizate, pentru că vorbim despre lipsa accesibilității datelor personale pentru o perioada suficientă de timp pentru a prezenta un pericol pentru pacienții spitalului în cauză.
-
Un e-mail de marketing direct este trimis destinatarilor în câmpurile „către:" sau „cc:", permițând astfel fiecărui destinatar să vadă adresa de e-mail a altor destinatari.
În acest caz, notificarea autorității de supraveghere poate fi obligatorie dacă este afectat un număr mare de persoane, dacă sunt dezvăluite date sensibile (de exemplu, lista de corespondență a unui psihoterapeut) sau dacă alți factori prezintă riscuri ridicate (de exemplu, e-mailul conține parolele inițiale). De asemenea, trebuie notificate persoanele vizate în funcție de domeniul de aplicare și de tipul datelor cu caracter personal implicate și de gravitatea posibilelor consecințe.
Este posibil ca notificarea să nu fie necesară dacă nu se dezvăluie date sensibile și dacă se dezvăluie doar un număr minor de adrese de e-mail.
Notă: Informații mai multe despre notificarea incidentelor de securitate pot fi găsite aici, aici și aici.
Dalia2015