GDPR: Cum trebuie să arate un cadru de securitate adecvat, pentru a facilita protecția datelor

Vestea bună pentru companii este că, în vederea aplicării GDPR, există o sursă foarte bogată de materiale orientative și de ghiduri. În plus, pentru că discutăm de un regulament aplicabil în formă identică pe tot teritoriul Uniunii Europene, astfel de materiale suport pot fi găsite în orice jurisdicție a Uniunii Europene și din partea oricărei autorități de protecția a datelor din cadrul Uniunii. Toate materialele de genul acesta sunt în egală măsură relevante. 

În privința securității datelor, Autoritatea irlandeză a actualizat, luna aceasta, un ghid făcut special pentru a da informații și sugestii cu privire la asigurarea unui cadru adecvat de securitate. Trebuie spus, de la început, că măsuri de securitate trebuie asigurate pe două planuri - pe de o parte, în ceea ce privește sistemele informatice folosite pentru prelucrarea datelor; pe de altă parte, trebuie asigurată și securitatea fizică, dacă discutăm de date personale prelucrate și, mai ales, stocate în format tipărit.

Securitatea informatică

1) Reducerea datelor colectate și stocate. Prima măsură pe care o pot lua firmele este să se asigure că datele prelucrate sunt exclusiv cele necesare pentru operațiunile acestora și, mai ales, că sunt păstrate doar atât cât este necesar. Un exemplu dat în ghid este prelucrarea datelor bancare pentru efectuarea de plăți. Odată ce furnizorul de plăți a executat tranzacția, detaliile bancare ar trebui șterse, ca regulă.

2) Controlarea și limitare accesului la părțile sistemului ce conțin date personale. O măsură ce poate fi luată de firme pentru a se asigura că datele nu sunt compromise este să limiteze accesul persoanelor la datele deținute. Aici, putem vorbi de angajați sau de colaboratori, printre alții. Accesul lor ar trebui limitat doar la ce este strict necesar pentru îndeplinirea funcției. O altă măsură este limitarea posibilității de descărcare a datelor stocate. De asemenea, fiecare utilizator ar trebui să aibă acces la date doar prin folosirea unui cont ce conține o parolă sau alte măsuri de autentificare (de preferat, în combinații, nu doar o singură măsură). 

3) Blocarea automată a sistemului informatic, după o perioadă de neutilizare. Acest lucru înseamnă că nefolosirea unui sistem informatic, pentru o perioadă de timp, va bloca automat acel sistem. Oricine va dori să îl refolosească va fi nevoit să se reautentifice.

4) Folosirea măsurilor de criptare. Astfel de măsuri, în esență, maschează informațiile confidențiale, pentru a nu permite accesul la ele decât persoanelor ce dețin instrumente de deblocare, numite „chei”. Însă, pentru a fi eficientă măsura, va fi nevoie ca și cheile să beneficieze de măsuri de securitate care să protejeze accesul la ele. Tehnologia de criptare ar trebui folosită și pentru dispozitive portabile, cum sunt laptop-urile sau telefoanele.

5) Folosirea de soft-uri antivirus și de firewall. Antivirușii, de exemplu, vor trebui actualizați constant. De aceea, folosirea unui antivirus recunoscut, ce adoptă constant măsuri de actualizare, ar fi recomandată. În privința firewall, o astfel de măsură este relevantă când un sistem este conectat la cadre externe, cum este internetul.

6) Actualizarea constantă a soft-urilor folosite, prin folosirea de patches. În esență, acestea reprezintă actualizări venite din partea celor care au creat soft-ul folosit și sunt importante pentru că, printre altele, urmăresc să remedieze problemele de securitate.

7) Măsuri luate când există acces la distanță. Pentru persoanele care se conectează la sistemele unei firme de la distanță, este important să se verifice faptul că acel acces este sigur și limitat la doar anumite adrese IP, conform ghidului Autorității irlandeze. Alte soluții sunt folosirea unor mecanisme de autentificare bazate pe mai multe nivele, de exemplu.

8) Rețele wireless. Astfel de rețele pot prezenta probleme de securitate, mai ales din perspectiva faptului că ele nu ar putea fi securizate corespunzător. De exemplu, folosirea unei astfel de rețele publice ar trebui evitată, din cauza riscurilor prezentate de o astfel de utilizare. În orice caz, un firewall efectiv ar trebui folosit.

9) Păstrarea unor instrumente care să permită înregistrarea și urmărirea activității de accesare a datelor. Astfel de măsuri sunt eficiente pentru a putea observa comportamente neobișnuite sau pentru a analiza abuzuri. De asemenea, ele ajută la identificarea punctelor slabe, dacă are loc o breșă. Ca atare, aceste înregistrări și analizarea lor ar putea duce la perfecționarea garanțiilor de securitate.

10) Crearea unor sisteme de back-up. Acest lucru garantează faptul că datele nu vor risca să fie pierdute. Este important de menționat că o astfel de garanție vine să asigure integritatea datelor, din perspectiva deținerii unor date relevante și actualizate, altă obligație impusă de Regulament.

11) Măsuri de reacție rapidă la incidente de securitate. Având în vedere că o companie trebuie să reacționeze rapid pentru a remedia impactul unor incidente de securitate, este importantă existența unor măsuri tehnice ce ar permite așa ceva. Acest lucru nu ține strict de măsurile tehnice, însă, ci și de măsuri și politici organizaționale, în general (pentru că astfel de măsuri implică și informarea autorității naționale de protecție a datelor). Mai multe informații pot fi găsite aici. 

12) Ștergerea datelor, când echipamentele vechi sunt scoase din funcțiune. Dacă echipamente vechi sunt vândute sau donate, firma trebuie să se asigure că datele conținute pe ele sunt șterse, este sugerat în ghidul Autorității irlandeze. Formatarea nu este suficientă, astfel că este necesară folosirea unor măsuri suplimentare, precum soft-uri specializate.

Securitatea fizică

Măsurile de securitate fizică sunt relevante atât pentru datele conținute pe suport fizic (hârtie), cât și pentru protecția fizică a sistemelor informatice ce conțin date personale.

De exemplu, izolarea perimetrului în care astfel de documente/sisteme sunt conținute, prin limitarea accesului și monitorizarea lui. Acest lucru este valabil în special în zone precum camerele unde sunt ținute server-ele.

De asemenea, trebuie integrate măsuri de distrugere a documentelor și a sistemelor, când acestea nu mai sunt folosite. Am vorbit mai sus de acest lucru în privința sistemelor informatice. În privința hârtiilor, cel mai simplu exemplu este cel al mașinilor ce asigură distrugerea lor, pentru a nu mai putea fi reconstituite informațiile.

Alte obligații relevante

Dincolo de obligația de a asigura un cadru efectiv de securitate, ghidul Autorității irlandeze mai menționează și că firmele trebuie să implementeze și politici și măsuri organizaționale prin care să aibă grijă că și angajații acestora sunt conștienți de măsurile de securitate existente și efectuează operațiuni de prelucrare în acord cu acele măsuri.

Astfel de măsuri trebuie proiectate să prevină fapte făcute din neglijență, precum notarea parolelor sau deschiderea de e-mail-uri suspicioase. Pregătirea angajaților în acest sens este esențială.

În final, pentru a demonstra conformarea (aspect foarte important pentru domenii cum e cel al protecției datelor, unde operatorii de date trebuie să arate că au luat măsuri efective de conformare), firmele pot să obține certificate emise de terți specializați care atestă că acele companii au fost auditate și că au implementat măsuri eficiente de securitate.  

Avocatnet.ro a mai scris, în trecut, despre problema securității datelor și despre implementarea unor măsuri de securitate eficiente. Mai multe informații pot fi găsite aici. De asemenea, a fost abordată și problema amenzilor aplicate pentru lipsa măsurilor adecvate de securitate. Mai multe informații, despre amenzi în general, dar și despre sancțiunile implementate pentru lipsa de măsurilor de securitate, pot fi găsite aici.