Incidentele de securitate: Respectarea obligațiilor impuse de GDPR și tot ce alege firma să facă ulterior pot cântări semnificativ în impunerea unei sancțiuni

Luni, ANSPDCP a anunțat că a sancționat două mari companii din România cu amenzi de câteva mii de euro pentru încălcarea unor prevederi din GDPR:

• o primă amendă, în cazul Ikea, în urma unui incident de securitate ce a presupus divulgarea neautorizată a datelor cu caracter personal ale membrilor IKEA Family (numele, prenumele și vârsta persoanelor fizice minore, numele, prenumele, orașul, țara, e-mailul, numărul de membru IKEA Family și semnătura olografă a părintelui/tutorelui legal), pe platforma on-line dedicată membrilor IKEA Family din România, accesibilă doar acestora, timp de aproximativ 40 de ore, fiind afectate un număr de 114 persoane fizice (jumătate dintre aceștia fiind minori);
• a doua amendă, dată companiei Hidroelectrica, pentru că nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prezentat de prelucrare, ceea ce a dus la accesarea ori divulgarea ilicită către destinatari eronați, a datelor cu caracter personal ale unui număr de 325 persoane fizice.

Contextul oferit de cele două amenzi recente e un bun prilej pentru a reaminti că operatorii de date personale au mai multe obligații față de persoanele cărora le prelucrează datele și față de Autoritate, atunci când au loc breșe de securitate. 

GDPR prevede că o încălcare a securității datelor este o întâmplare ce duce, ori accidental, ori ilegal, la distrugerea, pierderea, modificarea, divulgarea neautorizată a datelor personale ori la accesul neautorizat la acestea. „Șansele” unui incident de securitate există și sunt cu atât mai ridicate cu cât măsurile tehnice și organizatorice luate în companie pentru a preveni astfel de incidente sunt mai firave sau chiar inexistente. Angajații lipsiți de training pe zona de prelucrare a datelor personale și care nu conștientizează importanța protecției datelor sunt o verigă slabă.

Ghid: Ce fel de incidente de securitate, pentru care sunt responsabili salariații firmei, trebuie raportate autorităților

Există de multă vreme un formular special, online, pe care firmele îl pot folosi pentru a notifica ANSPDCP un incident de securitate. Notificarea ANSPDCP privind incidentele de securitate, cele ce presupun încălcarea securității datelor personale, este obligatorie pentru toți operatorii de date personale și trebuie făcută în maximum 72 de ore de la data la care firma a aflat de incident. Ce ar trebui să explice compania Autorității: 

• caracterul încălcării securității datelor, inclusiv, acolo unde este posibil, categoriile și numărul aproximativ al persoanelor vizate în cauză, precum și categoriile și numărul aproximativ al înregistrărilor de date cu caracter personal în cauză;
• datele responsabilului cu protecția datelor sau un alt punct de contact de unde se pot obține mai multe informații;
• consecințele probabile ale încălcării securității datelor cu caracter personal;
• măsurile luate sau propuse spre a fi luate de operator pentru a remedia problema încălcării securității datelor cu caracter personal, inclusiv, după caz, măsurile pentru atenuarea eventualelor sale efecte negative.

Util: Dacă nu răspund în timp util ANSPDCP, firmele pot primi amenzi chiar dacă faptele investigate nu sunt foarte grave

Pe lângă că vorbim de respectarea unei obligații, aceea de a notifica Autoritatea, vorbim totodată și de buna-credință pe care o dovedește operatorul de date într-o atare situație și care poate contribui semnificativ la sancțiunea impusă apoi - chestiune valabilă, de altfel, nu doar în domeniul GDPR, ci în oricare altul unde vorbim de aplicarea unor sancțiuni sau de posibilitatea de a scăpa de acestea. 

Companiile care prelucrează date personale sunt obligate să documenteze toate incidentele de securitate apărute în activitatea lor de zi cu zi, ce efecte a avut breșa de securitate și ce măsuri au fost luate pentru a rezolva problemele. „Operatorul păstrează documente referitoare la toate cazurile de încălcare a securității datelor cu caracter personal, care cuprind o descriere a situației de fapt în care a avut loc încălcarea securității datelor cu caracter personal, a efectelor acesteia și a măsurilor de remediere întreprinse. Această documentație permite autorității de supraveghere să verifice conformitatea cu prezentul articol (articolul 33 din GDPR - n. red.)”, prevede regulamentul european.

În fine, dacă un incident de securitate în materia prelucrărilor de date personale produce prejudicii vreuneia dintre persoanele ale cărei date au fost afectate, atunci compania poate să fie pusă în fața unei pretenții de despăgubire. Când compania e afectată de un incident de securitate care implică un număr mare de persoane (clienții și angajații), fiecare pas pe care îl face va fi atent urmărit, atrăgeau atenția cei de la Deloitte acum ceva vreme. Cum aproape toată lumea a aflat astăzi ce sunt datele personale și cum stă treaba cu protecția acestora și ce pot pretinde companiilor, neglijența în urma unui incident de securitate poate fi costisitoare. Mai mult, sunt de părere specialiștii Deloitte, compania trebuie să fie atentă la nevoile imediate ale celor vizați de incidentul de securitate și să fie proactivă.