UPDATE: Ghid final EDPB: Ce fel de incidente de securitate, pentru care sunt responsabili salariații firmei, trebuie raportate autorităților

Ghidul EDPB a fost adoptat la jumătatea lunii decembrie 2021, iar zilele trecute a fost publicată forma sa finală. Având în vedere, însă, profilul organizației care l-a adoptat, precum și exemplele conținute în el, acesta este relevant, mai ales că se bazează pe situații concrete în care s-a ajuns la breșe de securitate ce afectează integritatea datelor personale.

Ghidul conține, în primul rând, mai multe exemple de situații concrete în care diverse (acțiuni) sau inacțiuni ale salariaților pot conduce la breșe de securitate. 

1) „Exportarea” datelor din companie, de către un angajat. Această situație se referă la angajații care, în primă instanță, au acces la anumite date personale (ale clienților companiei, de exemplu), pentru a-și îndeplini atribuțiile. Ulterior, însă, același angajat poate să plece din firmă și să folosească datele respective într-un mod neautorizat și ilegal. Exemplul dat în ghid este al unui angajat care, după ce pleacă dintr-o companie, folosește datele de contact ale clienților pentru a-i atrage înspre afacerea sa.

Exemplul este relevant și pentru că se-ncadrează într-una dintre situațiile greu de prevenit, fix pentru că mulți angajați nu-și pot desfășura activitatea fără a avea acces la date personale (de pildă, agenții de vânzări). În asemenea situații, EDPB recomandă integrarea unor măsuri de securitate în activitatea de accesare a datelor, precum stabilirea unor politici clare de acces sau un control des asupra datelor personale și utilizării acestora.

2) Divulgarea accidentală de date unei persoane de încredere. În această situație, din neatenție, date personale ajung să fie trimise unei persoane de încredere, dar la care nu trebuia să ajungă acele date. Exemplul dat de EDPB este al unui agent de asigurări la care ajung date despre clienți care nu erau ai lui. În cazul acela, însă, obligațiile agentului și stabilirea, clară, a unui proces pentru asemenea situații au permis remedierea rapidă a problemei și evitarea unor consecințe negative pentru clienți.

Aceste două tipuri de breșe de securitate sunt des întâlnite în practică, însă nu sunt singurele care pot apărea, din cauza unor angajați. De aceea, și EDPB insistă foarte mult pe instruirea acestora, în privința respectării confidențialității și integrității datelor personale (despre același lucru am scris, mai demult - aici sau aici).

Pe lângă incidentele de securitate generate de activitatea salariaților, breșele mai pot apărea din cauza:

• unor atacuri de tip ransomware (în esență, are loc o criptare a datelor personale, de către un atacator, iar acesta cere firmei o sumă de bani, pentru a-i dezvălui cheia pentru decriptare);
• „exportării” datelor, ulterior unui atac (și aici are loc o infiltrare a unui atacator, dincolo de sistemul de securitate; doar că, de data asta, datele nu mai sunt criptate, ci sunt copiate și folosite pentru diverse scopuri);
• pierderii sau furtului unor dispozitive pe care existau date personale;
• trimiterii greșite de produse, e-mail-uri (și aici discutăm de o situație des întâlnită; s-au dat amenzi inclusiv în România pentru asemenea erori) etc.

Ce trebuie făcut când are loc o breșă de securitate

După cum a menționat și EPDB în ghid, incidentele de securitate presupun o breșă în sistemul de securitate al unei firme ce a dus la distrugerea ilegală, pierderea, modificarea sau dezvăluirea ori accesul neautorizat la date personale. Poate fi vorba atât de date deținute de o firmă, cât și de date cu care s-a interacționat în orice alt fel (prin transmitere, de exemplu).

Există trei tipuri de breșe de securitate:

• breșe de confidențialitate - când are loc un acces neautorizat sau o divulgare neautorizată a unor date personale;
• breșe de integritate - care presupun modificarea neautorizată sau accidentală a datelor personale;
• breșe de disponibilitate - care presupun pierderea accesului sau chiar pierderea unor date; din nou, dacă vorbim de situații în care acest lucru nu e autorizat sau are loc din greșeală.

Potrivit Regulamentului general privind protecția datelor, o breșă de securitate trebuie notificată, dacă este posibil, în cel mult 72 de ore de la momentul la care firma a devenit conștientă de eveniment (cu excepția situațiilor în care incidentul e puțin probabil să creeze un risc pentru drepturile și libertățile persoanelor vizate de datele compromise).

În anumite situații, dacă a avut loc o breșă de securitate, trebuie notificate și persoanele vizate de datele deținute de firma ce a fost victima acelei breșe de securitate (dacă există un risc ridicat ca drepturile și libertățile acelor persoane să fie afectate). Dacă se ajunge aici, persoanele vizate ar putea chiar să îi ceară despăgubiri firmei ce a suferit un incident de securitate, pentru eventualele prejudicii suferite din cauza breșei.