GDPR: Când are loc o breșă de securitate, o firmă poate fi amendată și dacă nu îi informează pe cei afectați

Potrivit unui comunicat recent al Comitetului European pentru Protecția Datelor, amenda i-a fost aplicată unei entități din domeniul medical, care nu și-a informat pacienții cu privire la breșa de securitate ivită, deși Autoritatea poloneză îi ceruse, printr-o decizie administrativă, să facă acest lucru - cu alte cuvinte, Autoritatea a aplicat o măsură corectivă.

Logica din spatele informării pacienților că a avut loc o breșă de securitate e de a le permite celor afectați să înțeleagă impactul și să știe că măsuri pot lua pentru a diminua efectele negative. În acest sens, o notificare făcută persoanelor afectate de o breșă de securitate ar trebui, de principiu, să conțină următoarele informații:

• descrierea breșei de securitate, în sine;
• numele și datele de contact ale responsabilului cu protecția datelor sau ale altei persoane responsabile, care poate fi contactată;
• o descriere a consecințelor - ori a posibilelor consecințe ale - breșei;
• ce măsuri a luat - sau plănuiește să ia - operatorul de date pentru a remedia sau ameliora problema. 

Când are loc un incident de securitate, firmele trebuie să îndeplinească două obligații principale - iar măsurile necesare, în acest context, trebuie aplicate cât mai repede posibil, pentru a se remedia efectele negative ale breșei de securitate. În primul rând, o firmă trebuie să ia măsuri tehnice și organizatorice pentru a gestiona breșa de securitate - ceea ce nu înseamnă doar măsuri reactive, ci și proactive/preventive - încă dinainte de a avea loc incidentul de securitate. Dar, dacă vorbim de măsurile ce trebuie luate imediat ce a avut loc breșa de securitate, o firmă trebuie să o ancheteze imediat (chiar dacă nu există o obligație de informare a Autorității și, eventual, a persoanelor afectate).

În al doilea rând, trebuie informată Autoritatea de protecție a datelor cu privire la breșă. Cu excepția situației în care nu există riscuri pentru drepturile și libertățile celor afectați de breșă - sau e improbabil ca acele riscuri să se concretizeze.

Însă, dacă acele riscuri există, GDPR prevede că o companie ce a trecut printr-un asemenea incident trebuie să informeze și persoanele fizice afectate.

În ceea ce le privește pe acestea din urmă, există câteva situații când acest lucru nu mai e obligatoriu. De exemplu, dacă firma vizată reușește să ia măsuri suficiente pentru a înlătura riscurile de mai sus. Sau dacă s-au luat măsuri de criptare a datelor compromise, nimeni în afară de persoane autorizate putând să le acceseze.

De asemenea, mai există o excepție și pentru acele situații când informarea ar implica un efort disproporționat pentru companie. Ceea ce nu înseamnă, însă, că informarea nu mai e obligatorie - tot ar trebui să existe o comunicare făcută public, chiar dacă nu adresată, neapărat, fiecărui individ ale cărui date personale ar fi fost compromise.

Pentru a înțelege mai bine riscurile unei breșe de securitate, cei interesați pot accesa acest articol.