4ALL

GDPR Explicitat (13): Notificarea breșelor de securitate


Articol publicat pe siteul cloud☁mania în data de  13 Decembrie  2017. Autor: Radu Crahmaliuc

Continuăm seria de articole dedicate analizei orizontale a prevederilor GDPR cu o problematică esențială pentru GDPR. Am constatat sau am fost anunțați că în sistemul nostru în care deținem date cu caracter personal a apărut o breșă de securitate. Ce avem de făcut mai întâi și mai întâi? Pe cine trebuie să anunțăm, când și cum? Ce măsuri trebuie să luam pentru limitarea eventualelor daune?

Sunt câteva întrebări foarte importante pentru luarea primelor măsuri. Haideți să vedem despre ce e vorba.

 Cum notificăm apariția unei breșe de securitate?

Creșterea numărului mare de atacuri cibernetice se reflectă în obligațiile sporite privind securitatea datelor în regulament și în obligațiile paralele, precum cele conținute de Directiva privind securitatea rețelelor informatice și a datelor (Networks and Information Security – NIS).

Conform Articolului 33 din GDPR va fi obligatoriu ca o organizație cu rol de operator să raporteze autorității sale de supraveghere orice breșă de securitate a datelor personale în termen de 72 de ore de la conștientizarea acesteia. Dacă această cerință nu este îndeplinită, raportul final trebuie însoțit de o explicație a întârzierii. Notificarea trebuie să includă informații specifice, inclusiv o descriere a măsurilor luate pentru a soluționa breșa și pentru a atenua posibilele efecte secundare.

În cazul în care breșa poate avea ca rezultat un risc ridicat pentru drepturile și libertățile persoanelor fizice, indivizii înșiși trebuie să fie contactați „fără întârzieri nejustificate”. Acest contact nu va fi necesar dacă există măsuri de protecție adecvate – în esență, criptare – pentru a elimina pericolul pentru persoanele vizate.

În Articolul 33 – Notificarea unei încălcări a datelor cu caracter personal către autoritatea de supraveghere, se specifică foarte clar că:

  • Raportarea în situația apariției unor breșe de securitate este obligatorie pentru orice operator de date personale;
  • Operatorii trebuie să raporteze către autorităților de supraveghere competente orice încălcare a condițiilor de siguranță fără întârzieri nejustificate;
  • Dacă este posibil, nu mai târziu de 72 de ore de la prima conștientizare;
  • Dacă raportarea nu este făcută în termen de 72 de ore, trebuie furnizată o justificare a întârzierii;
  • Nu este necesară notificarea cazurilor în care încălcarea este «puțin probabil să ducă la un risc pentru drepturile și libertățile» persoanelor vizate;
  • Dacă breșa de securitate este constatată de către un procesator de date, acesta trebuie să notifice operatorul cu care colaborează fără întârzieri nejustificate.

Ce informații trebuie să conțină notificarea unei breșe de securitate?

Elementele esențiale care trebuie să se regăsească într-o notificare se referă la:

  • natura încălcării datelor cu caracter personal;
  • categoriile și numărul aproximativ al persoanelor implicate;
  • categoriile și numărul aproximativ al înregistrărilor de date cu caracter personal în cauză;
  • numele și datele de contact ale responsabilului cu protecția datelor (în cazul în care organizația dvs. dispune de unul) sau orice alt punct de contact de unde pot fi obținute mai multe informații;
  • descriere a consecințelor probabile ale încălcării datelor cu caracter personal;
  • descriere a măsurilor luate sau propuse a fi luate pentru a face față încălcării datelor cu caracter personal dacă este cazul, o descriere a măsurilor luate pentru a atenua eventualele efecte adverse.

Ce trebuie să pregătim pentru raportarea breșelor?

Nimeni nu își dorește asta, dar o bună pregătire pentru situațiile de urgență implică și stabilirea clară a responsabilităților și procedurilor de urmat. Cum vă puteți pregăti mai bine pentru raportarea încălcărilor de securitate?

  • În primul rând ar trebui să vă asigurați că personalul dvs. înțelege ce reprezintă o încălcare a datelor și că aceasta este mai mult decât o pierdere de date cu caracter personal;
  • Apoi, ar trebui să vă asigurați că aveți o procedură de raportare internă a breșelor. Acest lucru va facilita luarea deciziilor cu privire la necesitatea notificării autorității de supraveghere sau a persoanelor vizate;
  • Nu în ultimul rând, având în vedere perioadele scurte de timp pentru raportarea unei breșe, este important să existe proceduri robuste de detectare a incidentului, investigații și proceduri de raportare internă.

Când nu suntem obligați să notificăm persoanele vizate?

În Articolul 34: Informarea persoanei vizate cu privire la încălcarea securităţii datelor cu caracter personal, Alineatul 3 regulamentul stipulează că informarea persoanei vizate nu este necesară în cazul în care este îndeplinită oricare dintre următoarele condiţii:

  • operatorul a implementat măsuri de protecţie tehnice şi organizatorice adecvate, iar acestea au fost aplicate în cazul datelor cu caracter personal afectate de încălcarea securităţii datelor cu caracter personal, în special măsuri prin care se asigură că datele cu caracter personal devin neinteligibile oricărei persoane care nu este autorizată să le acceseze, cum ar fi criptarea;
  • operatorul a luat măsuri ulterioare prin care se asigură că riscul ridicat pentru drepturile şi libertățile persoanelor vizate nu mai este susceptibil să se materializeze;
  • informarea ar necesita un efort disproporționat. În această situație, se efectuează în loc o informare publică sau se ia o măsură similară prin care persoanele vizate sunt informate într-un mod la fel de eficace.

Ghidul recomandărilor legate de anunțarea breșelor de Securitate

De pe site-ul oficial al Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) poate fi descărcat Ghidul privind notificarea încălcărilor de securitate”, un instrument deosebit de util în implementarea condițiilor impuse de GDPR elaborate de Grupul de Lucru Articolul 29.

Tot de pe site-ul Autorității Naționale pot fi accesate și consultate formularele utilizate deja în notificarea breșelor de securitate conform legislației actuale.

Dacă nu este soluţionată la timp şi într-un mod adecvat, o încălcare a securităţii datelor cu caracter personal poate conduce la prejudicii fizice, materiale sau morale aduse persoanelor fizice, cum ar fi pierderea controlului asupra datelor lor cu caracter personal sau limitarea drepturilor lor, discriminare, furt sau fraudă de identitate, pierdere financiară, inversarea neautorizată a pseudonimizării, compromiterea reputaţiei, pierderea confidenţialităţii datelor cu caracter personal protejate prin secret profesional sau orice alt dezavantaj semnificativ de natură economică sau socială adus persoanei fizice în cauză.