Incidentele de securitate a datelor potrivit GDPR. Cum le recunoaștem și calificăm corect?

8 iul. 2022
Vizualizari: 209

Situațiile în care operatorii de date cu caracter personal se pot confrunta cu incidente de securitate a datelor ce ridică riscuri pentru drepturile și libertățile persoanelor vizate sunt numeroase. În astfel de cazuri, operatorii de date sunt nevoiți, printre altele, să notifice respectivele incidente către autoritatea de supraveghere competentă și către persoanele vizate, după caz, în linie cu prevederile GDPR.

Uneori, pașii inițiali privind recunoașterea unui incident și corecta calificare a acestuia pot reprezenta o provocare pentru operatorii de date, având în vedere scenariile extrem de frecvente și variate în care acestea pot interveni și evolua.

Recunoașterea și calificarea incidentelor

Pe scurt, pornind de la definiția acestora din cuprinsul GDPR, incidentele de securitate a datelor sunt:

− încălcări de confidențialitate, respectiv cele în care are loc o dezvăluire a datelor cu caracter personal sau accesul neautorizat sau accidental la acestea;

− încălcări de integritate, respectiv cele în care are loc o alterare/ modificare a datelor cu caracter personal; și

− încălcări privind disponibilitatea, respectiv cele în care are loc pierderea datelor cu caracter personal sau în care acestea nu mai sunt disponibile pentru operator.

În practică, un incident se poate încadra simultan în toate cele trei categorii de mai sus sau în orice combinație a acestora. Analiza preliminară a unui eveniment prin raportare la cele trei categorii va facilita procesul operatorilor de calificare a acestuia drept incident. Totodată, această analiză va servi în etapa ulterioară a notificării incidentului către autoritatea de supraveghere, dacă va fi cazul, în condițiile în care formularul impus de autoritate în acest sens cuprinde o secțiune vizând chiar această categorisire.

Câteva situații particulare și exemple practice

Riscuri generate de activitatea angajaților. Incidentele de securitate nu au întotdeauna o cauză externă. Operatorii de date trebuie să aibă în vedere că și diverse neconformități interne (intenționate sau neintenționate) vor putea fi calificate drept incidente de securitate a datelor. De altfel, aceste ipoteze par a fi din ce în ce mai numeroase, inclusiv prin raportare la activitatea sancționatorie recentă a ANSPDCP. Cu titlu de exemplu, prezentăm în cele ce urmează câteva situații practice relevante:

− un angajat al unei instituții medicale, cu rea-credință, acționând cu încălcarea procedurilor interne, distruge singura copie a unor documente medicale aparținând unor pacienți, situație care va putea reprezenta un incident privind disponibilitatea datelor;

− un angajat al unui operator retail preia, la momentul la care părăsește organizația, o copie a bazei de date conținând informațiile clienților, situație care va putea reprezenta un incident privind confidențialitatea datelor;

− un angajat transmite, din eroare/ neglijență, documente conținând date cu caracter personal către destinatari neautorizați să obțină acces la acestea, cum este cazul e-mailurilor transmise greșit sau chiar intenționat, în alte scopuri decât cele privind îndeplinirea atribuțiilor de serviciu, precum dezvăluirea unor informații către prieteni/ familie, reprezentând tot un posibil incident privind confidențialitatea datelor;

− încălcarea regulilor interne privind distrugerea securizată a documentelor fizice sau generarea diverselor disfuncționalități ale sistemelor ce pot afecta disponibilitatea, integritatea sau confidențialitatea datelor.

Atacuri cibernetice. Un caz din ce în ce mai frecvent de incident de securitate experimentat de operatorii de date este cel al atacurilor cibernetice. Deși sunt privite în primă fază ca o problemă de securitate a sistemelor, operatorii trebuie să fie conștienți că, în cele mai multe dintre cazuri, aceste situații vor reprezenta și o problemă de securitate a datelor, pe care vor fi nevoiți să o gestioneze potrivit prevederilor GDPR. Exemple includ:

− atacuri cibernetice vizând criptarea bazei de date de clienți ai operatorului, ce va reprezenta, ca regulă, un incident de disponibilitate;

− atacuri cibernetice în care se reușește exfiltrarea unor informații vizând angajații sau obținerea accesului la conturile de e-mail aparținând unor angajați, ce vor putea fi calificate drept incidente privind confidențialitatea datelor.

Materialul integral este disponibil aici.

Incidentele de securitate a datelor potrivit GDPR. Cum le recunoaștem și calificăm corect? was last modified: iulie 8th, 2022 by Marta Tudor

Jurisprudență

Vezi tot

PARTENERI INSTITUȚIONALI

Revista de seară

Vezi tot

Opinii

Mircea Ursuța Mircea Ursuța 23 apr. 2024

Recurs vs. apel în contencios administrativ. Tradiţie vs. avantaje (citește)

Marius Dumitrescu Marius Dumitrescu 3 apr. 2024

Implementarea directivei NIS şi a Regulamentului European pentru Protecţi… (citește)

Ioan Lazăr Ioan Lazăr 4 mart. 2024

Analiza unor practici ale organelor judiciare care contravin prevederilor p… (citește)

Actualitate legislativă

Vezi tot

Jurisprudență CEDO

Vezi tot

Conferințe

Vezi tot

Noutati editoriale

Vezi tot

Vă recomandăm:

Rămâi la curent cu noutățile juridice

Despre autor:

Marta Tudor

Marta Tudor

Este avocat, attorney at law, specializat în protecția datelor cu caracter personal, în cadrul Schoenherr și Asociații SCA.
A mai scris:

Despre concurență sine ira et studio

Vezi tot

Ora Arbitrajului

Vezi tot

Legal Point

Vezi tot

Agenda Juridică

Vezi tot

Gânduri (ne)juridice DIN LUMEA JURIDICA

Vezi tot

Gânduri nejuridice

Vezi tot

Content parteneri

Vezi tot

Coduri principale

Vezi tot

Ultimele comentarii